網絡面臨的安全威脅與保護對策

　　摘要：隨著計算機通信和網絡技術的發展，給人們生活帶來極大的便利，但基于網絡連接的安全問題也日益突出。文章主要介紹了網絡所面臨的安全威脅，并提出了行之有效的解決方案。
　　關鍵詞：網絡；病毒；安全；防火墻
　　
　　隨著計算機網絡的不斷發展，全球信息化對社會產生巨大深遠的影響。但同時由于計算機網絡具有多樣性、不均性、開放性、互連性等特征，致使計算機網絡容易受到病毒、黑客、惡意軟件和其他不軌的攻擊，所以使得網絡安全和保密是一個至關重要的問題。
　　一、網絡面臨的安全威脅
　　迄今為止，網絡上存在有無數的安全威脅和攻擊，對于他們也存在著不同的分類方法。大體可分為兩種：一是對網絡本身的威脅，二是對網絡中信息的威脅。造成這種安全威脅的因素很多，按照攻擊的性質、手段、結果等暫且將其分為人為的無意失誤、機密攻擊、非法訪問、計算機病毒、網絡軟件系統的漏洞和不良信息資源幾類。
　　1.人為的無意失誤是造成網絡不安全的重要原因，網絡管理員稍有考慮不周，安全配置不當，就會造成安全漏洞。另外，用戶安全意識不強，不按照安全規定操作，如口令選擇不慎，將自己的賬戶隨意轉借他人或與別人共享，都會對網絡安全帶來威脅。
　　2.機密攻擊又可以分為兩類：一類是主動攻擊，它以各種方式有選擇地破壞系統和數據的有效性和完整性。某些人出于怨恨或心懷不滿等不同目的，向特定的主機發起攻擊。而有的是出于好奇，試圖發現某些應用系統的安全漏洞、竊取數據、破解口令、占領和控制他人的計算機系統。主動攻擊在當今最為突出的就是拒絕服務攻擊了，拒絕服務攻擊通過使計算機功能或性能崩潰來組織提供服務，典型的拒絕服務攻擊有如下兩種形式：資源耗盡和資源過載。當一個對資源的合理請求大大超過資源的支付能力時，就會造成拒絕服務攻擊。主要瞄準比較大的站點，像商業公司、搜索引擎和政府部門的站點。他利用一批受控制的機器向一臺目標機器采用字典破解和暴力破解來發起攻擊，這樣來勢迅猛的攻擊令人難以防備，因此具有很大的破壞性。
　　另一類是被動攻擊，它是在不影響網絡和應用系統正常運行的情況下，非法訪問網絡，進行截獲、竊取、破譯以獲得重要機密信息。如電子郵件炸彈：這是最古老的匿名攻擊之一，通過設置一臺機器不斷地向同一地址發送電子郵件，攻擊者能耗盡接受者的郵箱。
　　操作系統和各種應用軟件中存在著許多的安全漏洞，這些漏洞恰恰是黑客進行攻擊的首選目標，黑客就可以利用這些漏洞進行滲透，一般可以通過在不安全的傳輸通道上截取正在傳輸的信息或利用協議或網絡的弱點來實現的。黑客中有的出于商業利益或個人目的，有的出于好奇或炫耀自己的技術才能，這些人對技術的追求或許比網絡管理者更狂熱更摯著。如通過往程序的緩沖區寫超過其長度的內容，造成緩沖區的溢出，從而破壞程序的堆棧，使程序轉而執行其他指令，以達到攻擊的目的。緩沖區溢出是一種非常普遍、非常危險的漏洞，在各種操作系統、應用軟件中廣泛存在，根據統計：通過緩沖區溢出進行的攻擊占所有系統攻擊總數的80%以上。利用緩沖區溢出攻擊可以導致程序運行失敗、系統死機、重新啟動等后果，更嚴重的是，可以利用他執行非授權的指令，甚至可以取得系統特權，進而進行各種非法操作。
　　竊取信息的情況主要有：（1）網絡踩點：攻擊者事先匯集目標的信息，通常采用whois、Finger等工具和DNS、LDAP等協議獲取目標的一些信息，如域名、IP地址、網絡拓撲結構、相關的用戶信息等，這往往是黑客入侵之前所做的第一步工作；（2）掃描攻擊：掃描攻擊包括地址掃描和端口掃描等，通常采用ping命令和各種端口掃描工具，可以獲得目標計算機的一些有用信息，例如機器上打開了哪些端口，這樣就知道開設了哪些服務，從而為進一步的入侵打下基礎；（3）協議指紋：黑客對目標主機發出探測包，由于不同操作系統廠商的IP協議棧實現之間存在許多細微的差別，因此各個操作系統都有其獨特的響應方法，黑客經常能確定出目標主機所運行的操作系統；（4）信息流監視：這是一個在共享型局域網環境中最常采用的方法。由于在共享介質的網絡上數據包會經過每個網絡節點，網卡在一般情況下只會接受發往本機地址或本機所在廣播地址的數據包，但如果將網卡設置為混雜模式，網卡就會接受所有經過的數據包，就可以對網絡的信息流進行監視，從而獲得他們感興趣的內容；（5）會話劫持：利用TCP協議本身的不足，在合法的通信連接建立后攻擊者可以通過阻塞或摧毀通信的一方來接管已經過認證建立起來的連接，從而假冒被接管方與對方通信。
　　3.計算機病毒是對軟件、計算機和網絡系統的最大威脅之一。病毒是可執行代碼，可以捕捉密碼和其他個人信息，經常利用受感染系統的文件傳輸功能，通常偽裝成合法附件，通過電子郵件或文件拷貝自動進行傳播，產生極大破壞。如特洛伊木馬病毒：把一個能幫助黑客完成某個特定動作的程序依附在某一合法用戶的正常程序中，這時合法用戶的程序代碼已經被改變，而一旦用戶觸發該程序，那么依附在內的黑客指令代碼同時被激活，這些代碼往往能完成黑客早已指定的任務。
　　4.不良信息除了一些暴力、色情、反動等不良信息外，還有采用說服或欺騙的手段，讓網絡內部的人來提供必要的信息，從而獲得對網絡系統的訪問權限。主要有：（1）拒絕服務攻擊：此類攻擊向服務器發出大量偽請求，造成服務器超載，進而導致服務器喪失功能。在很多情況下攻擊者利用蠕蟲感染不同主機，并利用眾多主機發起攻擊即分布式拒絕服務攻擊。（2）間諜軟件：間諜軟件惡意病毒代碼有時出現在各種免費軟件或共享軟件中，也會出現在文件共享客戶端中。它們可以監控系統性能，竊取賬戶口令等秘密信息，并將用戶數據發送給間諜軟件開發者。（3）垃圾郵件和網絡釣魚：盡管垃圾郵件未被正式定義為安全威脅，但同樣也會嚴重地破壞生產力。垃圾郵件中不少攜帶惡意軟件和“網絡釣魚”軟件，所以存在潛在風險。“網絡釣魚”是一種通過虛假郵件信息獲取個人信息的手段，包括密碼、銀行賬戶、信用證號碼等。（4）僵尸網絡：僵尸網絡已成為日益嚴重的安全威脅。僵尸程序通過聊天室、文件共享網絡感染存在漏洞的計算機，它們難以被發現，而能夠遠程控制被害人的計算機，然后組成僵尸軍團對其他計算機與網站發動攻擊，發送垃圾郵件或者竊取數據。（5）惡意網站和流氓軟件：一些惡意網站通常將病毒、蠕蟲和特洛伊木馬內置在下載文件中，造成訪問者計算機系統被感染。“流氓軟件”具有惡意行為的一種插件形式的軟件，未經授權悄悄潛伏在用戶電腦上，一般來說極難徹底清除卸載干凈。流氓軟件包括：惡意廣告軟件、惡意共享軟件。（6）IP欺騙：攻擊者可以通過偽裝成被信任的IP地址等方式來獲取目標的信任。這主要是針對防火墻的IP包過濾以及LINUX/UNIX下建立的IP地址信任關系的主機實施欺騙。
　　二、計算機網絡安全的對策
　　網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。一方面要保證網絡運行無障礙，還要保證網絡的內容即網絡中產生、存儲、流轉、傳輸中的信息的完整性、保密性和可用性。
　　網絡安全如何有效進行介入控制，以及如何保證數據傳輸的安全性的技術手段，主要包括物理安全分析技術，網絡結構安全分析技術，系統安全分析技術，管理安全分析技術，及其他的安全服務和安全機制策略。
　　1.網絡防火墻技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監視網絡運行狀態。在最大程度上避免黑客或病毒進入到計算機或內部網絡中來，以保護重要信息不被隨意更改和移動。但是就目前的實際情況來看，軟件類防火墻在阻擋技術水平相對較高的攻擊者時根本無法發揮其應有的作用，因此對于那些對數據的安全性要求較高的企業和部門來說，一定要設置相應的硬件防火墻。
　　
　　根據防火墻所采用的技術不同，我們可以將它分為四種基本類型：包括過濾型、網絡地址轉換—NAT、代理型和監測型。
　　2.數據加密技術是為提高信息系統及數據的安全性和保密性，防止秘密數據被外部竊取、偵聽或破壞所采用的主要技術手段之一。其特心技術就是對公網中傳輸的IP包進行加密和封裝，實現數據傳輸的保密性、完整性。它通過變換和置換等各種方法將被保護信息置換成密文，然后再進行信息的存儲或傳輸，即使加密信息在存儲或者傳輸過程為非授權人員所獲得，也可以保證這些信息不為其認知，從而達到保護信息的目的。按其作用不同，文件加密技術主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術四種。
　　3.殺毒軟件技術是最為普遍的安全技術方案，因此這種技術實現起來最為簡單。但在計算機網絡中，病毒的更新和傳播速度非常快，傳統的單機殺毒軟件的更新速度已經不能滿足現階段的殺毒要求，因此必須要配置可以服務于整個局域網的反病毒產品。建立起一套全方位、多層次的防病毒系統，并及時進行系統的升級，以確保網絡免于病毒的侵襲。
　　4.入侵檢測技術能夠檢測來自網絡的攻擊，能夠檢測到超過授權的非法訪問，對分析“可能的攻擊行為”非常有用，除了指出入侵者試圖執行一些“危險的命令”之外，還能分辨出入侵者干了什么事，他們運行了什么程序，打開了哪些文件，執行了哪些系統調用。目的是提供實時的入侵檢測及采取相應的防護手段，如記錄證據用于跟蹤和恢復、斷開網絡連接；誘騙黑客，間接保護網絡；監視黑客對網絡的入侵攻擊活動，捕獲通信流量，研究攻擊者的攻擊機制、手法和策略；觀察僵尸網絡的活動，獲取服務器的域名、IP地址和通信端口號，以及僵尸程序的昵稱和通信頻道的名稱等。在典型的密網網關的幫助下，收集僵尸程序的樣本，提取敏感信息和僵尸程序的特征指紋等。
　　入侵檢測系統主要分為網絡端和主機端兩類，如果同時加以利用，就可以建立起一套全方位的主動防御體系，從而達到限制非法活動、保護系統安全的目的。
　　5.漏洞掃描技術是發現安全隱患的重要措施，并對重要網絡設備進行風險評估，保證信息系統盡量在最優的狀況下運行。
　　想要確保計算機網絡系統的安全，關鍵是要清楚地掌握網絡中哪些地方存在安全隱患，哪些地方是防范的薄弱環節。大型網絡的復雜度較高，僅靠管理人員的查缺補漏是無法實現對全部漏洞的修補和防范的，因此在工作中應注意使用專業的漏洞評估和修改工具，通過優化系統配置和打補丁等方式最大限度地消除系統的安全隱患。如果情況允許，管理人員還可以嘗試利用黑客工具對系統進行攻擊的方法來尋找系統的安全漏洞，以便及時對其進行處理。包括端口掃描、數據庫掃描、補丁掃描、弱口令掃描、OS漏洞掃描、指紋掃描、SNMP community 掃描等。
　　三、結論
　　21世紀全世界的計算機都將通過Internet聯到一起，網絡安全的內涵也就發生了根本的變化，已成為世界各國當今共同關注的焦點，它的重要性是不言而喻的。計算機網絡的安全防范工作是一項長期的、不斷更新和變化的工作，新的安全問題的出現需要新的技術和手段來解決，要不斷追蹤新技術的應用情況，及時升級、完善自身的防御措施，確保網絡安全穩定運行。
　　參考文獻：
　?。?］ 謝秀蘭，張艷慧，劉慧文.計算機網絡安全及防范措施［J］.內蒙古科技與經濟，2006，（16）.
　?。?］ 張兆信.計算機網絡安全與應用技術［M］.北京：機械工業出版社，2010，（5）.
　?。?］ 田庚林，田華，張少芳.計算機網絡安全與管理［M］.北京：清華大學出版社，2010，（3）.
　　［4］ 劉春翔.針對網絡威脅淺談計算機網絡安全策略［J］.硅谷，2009，（10）.
　　［5］ 吳應良.管理信息系統的安全問題與對策研究［J］.計算機應用研究，1999，（11）.