計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議中風(fēng)險(xiǎn)防范的思考

劉彩梅

云南麗江師范高等專科學(xué)校

計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議中風(fēng)險(xiǎn)防范的思考

劉彩梅

云南麗江師范高等專科學(xué)校

網(wǎng)絡(luò)安全協(xié)議是今天互聯(lián)網(wǎng)世界構(gòu)成的基石，但是由于操作系統(tǒng)本身漏洞和鏈路的連接漏洞和tcp/ip協(xié)議漏洞和安全策略方面的漏洞，使得計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議中存在風(fēng)險(xiǎn)。可以通過(guò)構(gòu)建防火墻，隨時(shí)更新桌面防病毒系統(tǒng)，強(qiáng)化服務(wù)器，補(bǔ)丁策略有有效降低這樣的風(fēng)險(xiǎn)。

網(wǎng)絡(luò)安全協(xié)議；風(fēng)險(xiǎn)；成因；策略

網(wǎng)絡(luò)協(xié)議為計(jì)算機(jī)網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)交換而建立的規(guī)則、標(biāo)準(zhǔn)或約定的集合。例如，網(wǎng)絡(luò)中一個(gè)微機(jī)用戶和一個(gè)大型主機(jī)的操作員進(jìn)行通信，由于這兩個(gè)數(shù)據(jù)終端所用字符集不同，因此操作員所輸入的命令彼此不認(rèn)識(shí)。為了能進(jìn)行通信，規(guī)定每個(gè)終端都要將各自字符集中的字符先變換為標(biāo)準(zhǔn)字符集的字符后，才進(jìn)入網(wǎng)絡(luò)傳送，到達(dá)目的終端之后，再變換為該終端字符集的字符。

一、網(wǎng)絡(luò)協(xié)議構(gòu)成原理

就像我們說(shuō)話用某種語(yǔ)言一樣，在網(wǎng)絡(luò)上的各臺(tái)計(jì)算機(jī)之間也有一種語(yǔ)言，這就是網(wǎng)絡(luò)協(xié)議，不同的計(jì)算機(jī)之間必須使用相同的網(wǎng)絡(luò)協(xié)議才能進(jìn)行通信。網(wǎng)絡(luò)協(xié)議是網(wǎng)絡(luò)上所有設(shè)備（網(wǎng)絡(luò)服務(wù)器、計(jì)算機(jī)及交換機(jī)、路由器、防火墻等）之間通信規(guī)則的集合，它規(guī)定了通信時(shí)信息必須采用的格式和這些格式的意義。大多數(shù)網(wǎng)絡(luò)都采用分層的體系結(jié)構(gòu)，每一層都建立在它的下層之上，向它的上一層提供一定的服務(wù)，而把如何實(shí)現(xiàn)這一服務(wù)的細(xì)節(jié)對(duì)上一層加以屏蔽。一臺(tái)設(shè)備上的第n層與另一臺(tái)設(shè)備上的第n層進(jìn)行通信的規(guī)則就是第n層協(xié)議。在網(wǎng)絡(luò)的各層中存在著許多協(xié)議，接收方和發(fā)送方同層的協(xié)議必須一致，否則一方將無(wú)法識(shí)別另一方發(fā)出的信息。網(wǎng)絡(luò)協(xié)議使網(wǎng)絡(luò)上各種設(shè)備能夠相互交換信息。常見(jiàn)的協(xié)議有：TCP/IP協(xié)議、IPX/ SPX協(xié)議、NetBEUI協(xié)議等。當(dāng)然了，網(wǎng)絡(luò)協(xié)議也有很多種，具體選擇哪一種協(xié)議則要看情況而定。Internet上的計(jì)算機(jī)使用的是TCP/IP協(xié)議。ARPANET成功的主要原因是因?yàn)樗褂昧薚CP/IP標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議，TCP/IP（TransmissionControlProtocol/InternetProtocol）——傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議是Internet采用的一種標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議。它是由ARPA于1977年到1979年推出的一種網(wǎng)絡(luò)體系結(jié)構(gòu)和協(xié)議規(guī)范。隨著Internet網(wǎng)的發(fā)展，TCP/IP也得到進(jìn)一步的研究開(kāi)發(fā)和推廣應(yīng)用，成為Internet網(wǎng)上的“通用語(yǔ)言”。

二、計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議中安全漏洞成因

1、操作系統(tǒng)本身漏洞和鏈路的連接漏洞

計(jì)算機(jī)網(wǎng)絡(luò)由于需要給用戶提供各種便利，那么就需要它在操作系統(tǒng)上擁有一個(gè)統(tǒng)一的用戶交互平臺(tái)，能夠全方位多角度的支持各種所需功用。而計(jì)算機(jī)網(wǎng)絡(luò)的功能越強(qiáng)大，就表明它交互平臺(tái)的網(wǎng)就撒得更大，那么它存在的漏洞也就越多，所以會(huì)更有可能受到攻擊。一個(gè)平臺(tái)的建立不可能是暫時(shí)性的，也不可能是永遠(yuǎn)都固定不變的，那么它在這種長(zhǎng)久的存在與優(yōu)化升級(jí)的過(guò)程中就會(huì)遭受更多的暴露與攻擊。在計(jì)算機(jī)的服務(wù)運(yùn)行過(guò)程中，網(wǎng)絡(luò)互通的功能需要由鏈路連接來(lái)實(shí)現(xiàn)。那么有了連接，就仿佛給攻擊搭了一座橋。而這些攻擊包括對(duì)鏈路連接本身的攻擊、對(duì)物理層表述的攻擊以及對(duì)互通協(xié)議的攻擊等等。

2、tcp/ip協(xié)議漏洞和安全策略方面的漏洞

應(yīng)用協(xié)議可以高效支持網(wǎng)絡(luò)通信順暢，但是tcp/ip固有缺陷決定了源地址無(wú)法得到相應(yīng)控制機(jī)制的科學(xué)鑒別。一旦ip地址無(wú)從確認(rèn)，黑客就可以從中截取數(shù)據(jù)，以篡改原有的路由地址。在計(jì)算機(jī)系統(tǒng)中，響應(yīng)端口開(kāi)放支持了各項(xiàng)服務(wù)正常運(yùn)轉(zhuǎn)，但是這種開(kāi)放依然給各種網(wǎng)絡(luò)的攻擊制造了便利。或許有人說(shuō)防火墻可以阻止其的進(jìn)攻，但是如今防火墻對(duì)于開(kāi)放的流入數(shù)據(jù)攻擊依然束手無(wú)策。

三、網(wǎng)絡(luò)安全協(xié)議安全措施

1、構(gòu)建防火墻

現(xiàn)在許多組織（最典型就是大學(xué)）都在運(yùn)行著沒(méi)有防火墻保護(hù)的公共網(wǎng)絡(luò)。讓我們姑且忽略有關(guān)“硬件防火墻好，還是軟件防火墻好”的爭(zhēng)論，無(wú)論采用哪一種防火墻，總比沒(méi)有防火墻好。這里的重點(diǎn)在于，連接到Internet的每一個(gè)人都需要在其網(wǎng)絡(luò)入口處采取一定的措施來(lái)阻止和丟棄惡意的網(wǎng)絡(luò)通信。當(dāng)你讀到本文的時(shí)候，說(shuō)明已經(jīng)有了一個(gè)企業(yè)防火墻。但是，不要忘了遠(yuǎn)程辦公人員和移動(dòng)用戶。最低限度也應(yīng)該為他們每個(gè)人配備一個(gè)個(gè)人防火墻。雖然Windows XP SP2自帶的防火墻也勉強(qiáng)可用，但為了滿足特殊需要，市場(chǎng)上還存在著大量產(chǎn)品可供挑選。最主要的事情就是去使用它們。

2、隨時(shí)更新桌面防病毒系統(tǒng)

良好的安全性要求你在每個(gè)桌面都配備防病毒功能，并隨時(shí)更新它。雖然在一個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)那里建立防病毒機(jī)制能解決一部分問(wèn)題，但在整個(gè)防病毒戰(zhàn)線中，只能把網(wǎng)關(guān)防病毒視為一道附加的防線，而不能把它視為桌面防病毒的一個(gè)替代品。

3、強(qiáng)化服務(wù)器

“強(qiáng)化”（Hardening）涉及兩個(gè)簡(jiǎn)單的實(shí)踐法則：購(gòu)買(mǎi)商業(yè)軟件時(shí)，刪除不需要的所有東西；如果不能刪除，就把它禁用。可以通過(guò)強(qiáng)化來(lái)刪除的典型對(duì)象包括示例文件、使用向?qū)а菔尽⑾扔煤蟾顿M(fèi)的捆綁軟件以及在可以預(yù)見(jiàn)的將來(lái)不準(zhǔn)備使用的高級(jí)特性。安裝越復(fù)雜，越有可能留下安全隱患，所以將安裝精簡(jiǎn)到不能再精簡(jiǎn)的程度。除此之外，設(shè)備和軟件通常配置了默認(rèn)用戶名/密碼訪問(wèn)、來(lái)賓（guest）和匿名帳戶以及默認(rèn)共享。刪除你不需要的，并修改所有身份驗(yàn)證憑據(jù)的默認(rèn)值（由于有像這樣的列表，所以黑客也知道它們）。在這個(gè)充斥著大量“臃腫件”（bloatware）的年代，這個(gè)實(shí)踐法則與5年前相比更重要了。

4、補(bǔ)丁策略

當(dāng)“紅色代碼”（Code Red）浮現(xiàn)的時(shí)候，它攻擊的一個(gè)漏洞，是Microsoft在9個(gè)月前就提供了免費(fèi)補(bǔ)丁以便用戶修補(bǔ)的。但是，這個(gè)蠕蟲(chóng)仍然快速和大面積地蔓延，原因是管理員們沒(méi)有下載和安裝這個(gè)補(bǔ)丁。今天，從一個(gè)新的漏洞被發(fā)現(xiàn)開(kāi)始，到新的大規(guī)模攻擊工具問(wèn)世為止，兩者間隔時(shí)間已經(jīng)縮短了許多。在廠商發(fā)布安全補(bǔ)丁的時(shí)候，IT管理員需要做出快速響應(yīng)。補(bǔ)丁管理目前是最熱門(mén)的IT主題之一，但是和許多事情一樣，80/20規(guī)則在這里仍然適用。如果沒(méi)有商業(yè)評(píng)估工具以及較多的預(yù)算，可以用已經(jīng)淘汰掉的“太慢”的機(jī)器來(lái)組建一個(gè)小的測(cè)試網(wǎng)絡(luò)。這樣一來(lái)，只需使用企業(yè)級(jí)工具來(lái)建立一個(gè)專業(yè)實(shí)驗(yàn)室所需的20%的付出，就能獲得一個(gè)80%有用的測(cè)試環(huán)境。Microsoft，Apple以及其他許多組織都基本上每個(gè)月提供一次安全補(bǔ)丁。訪問(wèn)和安裝那些補(bǔ)丁應(yīng)該成為工作內(nèi)容和計(jì)劃任務(wù)的一部分。

［1］王娟.淺談VPN技術(shù)及在中國(guó)的發(fā)展現(xiàn)狀［J］.網(wǎng)絡(luò)與信息.2008（08）

［2］王輝.計(jì)算機(jī)網(wǎng)絡(luò)信息安全面臨的問(wèn)題和對(duì)策［J］.網(wǎng)絡(luò)與信息.2008 （06）

［3］劉玉香，蘇穎.入侵檢測(cè)系統(tǒng)（IDS）應(yīng)用分析［J］.網(wǎng)絡(luò)與信息.2008 （05）

［4］魯慧，張衛(wèi).基于C/S模式的內(nèi)網(wǎng)應(yīng)用系統(tǒng)安全構(gòu)架的分析與設(shè)計(jì)［J］.計(jì)算機(jī)應(yīng)用與軟件.2008（01）