【正文】 有自然威脅，可能是有意的，也可能是無意的；可能是人為的，也可能是非人為的。訪問控制安全策略的任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問，訪問控制是計(jì)算機(jī)網(wǎng)絡(luò)安全中最重要的核心策略之一。當(dāng)前，入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、防火墻控制等都是訪問控制的主要策略，安全策略存在著安全問題。(1)操作系統(tǒng)和應(yīng)用軟件缺省安裝。操作系統(tǒng)和應(yīng)用軟件缺省安裝帶來個問題：一個是不知究竟安裝了什么組件和服務(wù)，另一個是安裝了拙劣的腳本范例，為被攻擊提供了“土 壤”。(2)口令和帳號。攻擊者入侵的第一步往往是竊取口令和帳號，口令是多系統(tǒng)第一層和唯一的防御線，因此沒有口令、使用弱口令或系統(tǒng)缺省帳號的口令，如果沒有及時修改或清除，都會攻擊者容易入侵到網(wǎng)絡(luò)內(nèi)部。(3)權(quán)限設(shè)置不正確。權(quán)限設(shè)置包括用戶權(quán)限和文件權(quán)限，如果未將用戶權(quán)限做好設(shè)定，攻擊者可以輕易修改系統(tǒng)。例如，有些網(wǎng)站目錄設(shè)為a—nonymous ftp user可以寫入，使得攻擊者不費(fèi)吹灰之力修改網(wǎng)頁。(4)防火墻不能過濾地址不正確的包。在防火墻控制中，防火墻是一個用來阻止網(wǎng)絡(luò)中黑客訪問某個機(jī)構(gòu)的屏障，也可稱之為控制進(jìn)／出兩個方向通信的門檻。但對于包過濾技術(shù)不能識別有危險(xiǎn)的信息包，無法實(shí)施對應(yīng)用級協(xié)議的處理，也無法處理UDP，RPC或動態(tài)協(xié)議；代理防火墻無法快速支持一些新出現(xiàn)的業(yè)務(wù)。(5)大量打開的端口。大量打開的端口給攻擊者提供更多的入侵途徑，對安全造成隱患。(6)日志文件不健全。日志記錄著系統(tǒng)安全方面重要的信息，包括攻擊者的入侵蹤跡和系統(tǒng)修改記錄等。(7)緩沖區(qū)溢出。緩沖區(qū)溢出是由于編程時的疏忽,在很多的服務(wù)程序中使用如strcpy()strcat()不進(jìn)行有效位的檢查的函數(shù)，最終可能導(dǎo)致惡意用戶編寫一小段利用程序來進(jìn)一步打開安全缺口，然后將代碼綴加在緩沖區(qū)有效載荷末尾，這樣當(dāng)發(fā)生緩沖區(qū)溢出時，返回指針指向惡意代碼，這樣系統(tǒng)的控制權(quán)就會被奪取。(8)沒有備份或備份不完整沒有備份、備份不完整、備份不正確或設(shè)備 物理介質(zhì)保管不善一旦系統(tǒng)遭到自然災(zāi)難或認(rèn)為攻擊后，數(shù)據(jù)將不能得到完全或部分恢復(fù)。(9)信息加密的缺陷。在信息加密策略中，一般分為兩類，一類是常規(guī)密碼，另一類是公鑰密碼。常規(guī)密碼是指收信方和發(fā)信方使用相同的密鑰，即加密密鑰和解密密鑰是相同或等價(jià)的，比較著名的常規(guī)密碼算法有：des,idea等常規(guī)密碼有很強(qiáng)的保密強(qiáng)度，且經(jīng)受住時間的檢驗(yàn)和攻擊，但其密鑰必須通過安全的途徑傳送，密鑰管理成為系統(tǒng)安全重要因素。公鑰密碼是指收信方和發(fā)信方使用的密鑰互不相同，而且?guī)缀醪豢赡芡茖?dǎo)出解密密鑰，比較著名的公鑰密碼算法有：rsa，rabin，eigamal等，雖然公鑰密碼可以適應(yīng)但其算法復(fù)雜，加密數(shù)據(jù)的速率較低。針對ＴＣＰ／ＩＰ 網(wǎng)絡(luò)提出 、snmp、ftp等協(xié)議，但此協(xié)議有諸多脆弱之處，snmp（簡單網(wǎng)絡(luò)管理協(xié)議）管理工作站在解析和處理trap消息及snmp代理和在處理請求消息時具有某些缺陷，主要原因是對ＳＮＭＰ消息 的檢查不充分，當(dāng)數(shù)據(jù)包中含有異常的字段值或過長的對象識別時，會引起內(nèi)存耗盡，堆棧耗盡以及緩沖區(qū)溢出等致命錯誤，而導(dǎo)致修改目標(biāo)系統(tǒng)和執(zhí)行其他代碼。后果因具體設(shè)備而異，形成拒絕服務(wù)器攻擊條件，設(shè)備不能正常工作，產(chǎn)生大量日志記錄、系統(tǒng)崩潰或掛起和設(shè)備自動啟動等。SNMP主要采用VDPC傳輸，很容易進(jìn)行ＩＰ源地址假冒。所以，僅僅使用訪問控制列表有時不足以防范。大多數(shù)snmp設(shè)備接受來自網(wǎng)絡(luò)廣播地址的snmp消息，攻擊者甚至可以不必知道目標(biāo)設(shè)備的IP地址，通過發(fā)送廣播snmp數(shù)據(jù)包達(dá)到目的。ftp（文件傳輸協(xié)議）是一種脆弱而且漏洞較多的協(xié)議。ftp有兩個通道，一個控制通道，一個傳輸通道。在passive模式下服務(wù)器并不檢查客戶端的地址，因此，在文件傳輸發(fā)生的情況下，傳輸?shù)臄?shù)據(jù)可以被第三個用戶劫持。在日常工作中，預(yù)防計(jì)算機(jī)病毒，保證網(wǎng)絡(luò)安雖然全，應(yīng)主要做到以下幾點(diǎn)：(1)機(jī)器專人管理負(fù)責(zé)；(2)不要從Ａ盤引導(dǎo)系統(tǒng)；(3)對所有系統(tǒng)軟件、工具軟件、程序軟件要進(jìn)行寫保護(hù)；(4)對于外來的機(jī)器和軟件進(jìn)行病毒檢查；(5)對游戲程序要嚴(yán)格控制 ；(6)網(wǎng)絡(luò)上的計(jì)算機(jī)用戶，要遵守網(wǎng)絡(luò)的使用(7)安裝一個具備實(shí)時攔截電子郵件病毒和惡意代碼病毒的防火墻，并且要經(jīng)常 及時更新病毒庫，至少一周應(yīng)進(jìn)行一次更新升級；(8)收到陌生郵件時要慎之又慎，尤其是對于帶有附件的陌生電子郵件?？傊?，只有掌握較完備的安全策略和養(yǎng)成良好的網(wǎng)絡(luò)操作習(xí)慣，才能真正安全地游弋于網(wǎng)絡(luò)世界。結(jié)束語對于網(wǎng)絡(luò)攻防，網(wǎng)絡(luò)安全漏洞必將是網(wǎng)上爭奪的焦點(diǎn)。一方面，安全漏洞使網(wǎng)絡(luò)攻擊“有空可鉆”提供了“可趁之機(jī)”—網(wǎng)絡(luò)攻擊的入口。網(wǎng)絡(luò)攻擊過程能否成功的關(guān)鍵在于發(fā)現(xiàn)并利用敵方網(wǎng)絡(luò)安全漏洞的能力。假設(shè)網(wǎng)絡(luò)系統(tǒng)本身沒有安全漏洞，那么敵方“黑客”即使有天大的本事也不能對我方網(wǎng)絡(luò)系統(tǒng)構(gòu)成任何威脅。另一方面，網(wǎng)絡(luò)安全漏洞是造成計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全脆弱性的最根本原因，系統(tǒng)對付網(wǎng)絡(luò)攻擊能力的強(qiáng)弱在于發(fā)現(xiàn)并堵塞網(wǎng)絡(luò)安全漏洞的能力。參考文獻(xiàn)［1］田豐．現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)［Ｍ］．北京：冶金工引起內(nèi)存耗盡，堆棧耗盡以及緩沖區(qū)溢出等致命錯業(yè)出版社，2003．1［2］楊金峰．對當(dāng)前計(jì)算機(jī)信息網(wǎng)絡(luò)安全問題的幾點(diǎn)思考［Ａ］．中國電腦教育報(bào)，2003．1［3］陳立新．計(jì)算機(jī)病毒防治百事通［Ｍ］．北京清華學(xué)出版社，2002［4］（美）Kelley ．網(wǎng)絡(luò)管理手冊［Ｍ］．北京：電子工業(yè)出版社，2002［5］張堯?qū)W．計(jì)算機(jī)網(wǎng)絡(luò)與Ｉｎｔｅｒｎｅｔ教程［Ｍ］．北京：清華大學(xué)出版社，［6］溫曉軍．Internet組網(wǎng)、管理與應(yīng)用［Ｍ］．北京：人民郵電出版社