【正文】 有自然威脅，可能是有意的，也可能是無(wú)意的；可能是人為的，也可能是非人為的。訪問(wèn)控制安全策略的任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問(wèn)，訪問(wèn)控制是計(jì)算機(jī)網(wǎng)絡(luò)安全中最重要的核心策略之一。當(dāng)前，入網(wǎng)訪問(wèn)控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、防火墻控制等都是訪問(wèn)控制的主要策略，安全策略存在著安全問(wèn)題。(1)操作系統(tǒng)和應(yīng)用軟件缺省安裝。操作系統(tǒng)和應(yīng)用軟件缺省安裝帶來(lái)個(gè)問(wèn)題：一個(gè)是不知究竟安裝了什么組件和服務(wù)，另一個(gè)是安裝了拙劣的腳本范例，為被攻擊提供了“土 壤”。(2)口令和帳號(hào)。攻擊者入侵的第一步往往是竊取口令和帳號(hào)，口令是多系統(tǒng)第一層和唯一的防御線，因此沒(méi)有口令、使用弱口令或系統(tǒng)缺省帳號(hào)的口令，如果沒(méi)有及時(shí)修改或清除，都會(huì)攻擊者容易入侵到網(wǎng)絡(luò)內(nèi)部。(3)權(quán)限設(shè)置不正確。權(quán)限設(shè)置包括用戶權(quán)限和文件權(quán)限，如果未將用戶權(quán)限做好設(shè)定，攻擊者可以輕易修改系統(tǒng)。例如，有些網(wǎng)站目錄設(shè)為a—nonymous ftp user可以寫(xiě)入，使得攻擊者不費(fèi)吹灰之力修改網(wǎng)頁(yè)。(4)防火墻不能過(guò)濾地址不正確的包。在防火墻控制中，防火墻是一個(gè)用來(lái)阻止網(wǎng)絡(luò)中黑客訪問(wèn)某個(gè)機(jī)構(gòu)的屏障，也可稱(chēng)之為控制進(jìn)／出兩個(gè)方向通信的門(mén)檻。但對(duì)于包過(guò)濾技術(shù)不能識(shí)別有危險(xiǎn)的信息包，無(wú)法實(shí)施對(duì)應(yīng)用級(jí)協(xié)議的處理，也無(wú)法處理UDP，RPC或動(dòng)態(tài)協(xié)議；代理防火墻無(wú)法快速支持一些新出現(xiàn)的業(yè)務(wù)。(5)大量打開(kāi)的端口。大量打開(kāi)的端口給攻擊者提供更多的入侵途徑，對(duì)安全造成隱患。(6)日志文件不健全。日志記錄著系統(tǒng)安全方面重要的信息，包括攻擊者的入侵蹤跡和系統(tǒng)修改記錄等。(7)緩沖區(qū)溢出。緩沖區(qū)溢出是由于編程時(shí)的疏忽,在很多的服務(wù)程序中使用如strcpy()strcat()不進(jìn)行有效位的檢查的函數(shù)，最終可能導(dǎo)致惡意用戶編寫(xiě)一小段利用程序來(lái)進(jìn)一步打開(kāi)安全缺口，然后將代碼綴加在緩沖區(qū)有效載荷末尾，這樣當(dāng)發(fā)生緩沖區(qū)溢出時(shí)，返回指針指向惡意代碼，這樣系統(tǒng)的控制權(quán)就會(huì)被奪取。(8)沒(méi)有備份或備份不完整沒(méi)有備份、備份不完整、備份不正確或設(shè)備 物理介質(zhì)保管不善一旦系統(tǒng)遭到自然災(zāi)難或認(rèn)為攻擊后，數(shù)據(jù)將不能得到完全或部分恢復(fù)。(9)信息加密的缺陷。在信息加密策略中，一般分為兩類(lèi)，一類(lèi)是常規(guī)密碼，另一類(lèi)是公鑰密碼。常規(guī)密碼是指收信方和發(fā)信方使用相同的密鑰，即加密密鑰和解密密鑰是相同或等價(jià)的，比較著名的常規(guī)密碼算法有：des,idea等常規(guī)密碼有很強(qiáng)的保密強(qiáng)度，且經(jīng)受住時(shí)間的檢驗(yàn)和攻擊，但其密鑰必須通過(guò)安全的途徑傳送，密鑰管理成為系統(tǒng)安全重要因素。公鑰密碼是指收信方和發(fā)信方使用的密鑰互不相同，而且?guī)缀醪豢赡芡茖?dǎo)出解密密鑰，比較著名的公鑰密碼算法有：rsa，rabin，eigamal等，雖然公鑰密碼可以適應(yīng)但其算法復(fù)雜，加密數(shù)據(jù)的速率較低。針對(duì)ＴＣＰ／ＩＰ 網(wǎng)絡(luò)提出 、snmp、ftp等協(xié)議，但此協(xié)議有諸多脆弱之處，snmp（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議）管理工作站在解析和處理trap消息及snmp代理和在處理請(qǐng)求消息時(shí)具有某些缺陷，主要原因是對(duì)ＳＮＭＰ消息 的檢查不充分，當(dāng)數(shù)據(jù)包中含有異常的字段值或過(guò)長(zhǎng)的對(duì)象識(shí)別時(shí)，會(huì)引起內(nèi)存耗盡，堆棧耗盡以及緩沖區(qū)溢出等致命錯(cuò)誤，而導(dǎo)致修改目標(biāo)系統(tǒng)和執(zhí)行其他代碼。后果因具體設(shè)備而異，形成拒絕服務(wù)器攻擊條件，設(shè)備不能正常工作，產(chǎn)生大量日志記錄、系統(tǒng)崩潰或掛起和設(shè)備自動(dòng)啟動(dòng)等。SNMP主要采用VDPC傳輸，很容易進(jìn)行ＩＰ源地址假冒。所以，僅僅使用訪問(wèn)控制列表有時(shí)不足以防范。大多數(shù)snmp設(shè)備接受來(lái)自網(wǎng)絡(luò)廣播地址的snmp消息，攻擊者甚至可以不必知道目標(biāo)設(shè)備的IP地址，通過(guò)發(fā)送廣播snmp數(shù)據(jù)包達(dá)到目的。ftp（文件傳輸協(xié)議）是一種脆弱而且漏洞較多的協(xié)議。ftp有兩個(gè)通道，一個(gè)控制通道，一個(gè)傳輸通道。在passive模式下服務(wù)器并不檢查客戶端的地址，因此，在文件傳輸發(fā)生的情況下，傳輸?shù)臄?shù)據(jù)可以被第三個(gè)用戶劫持。在日常工作中，預(yù)防計(jì)算機(jī)病毒，保證網(wǎng)絡(luò)安雖然全，應(yīng)主要做到以下幾點(diǎn)：(1)機(jī)器專(zhuān)人管理負(fù)責(zé)；(2)不要從Ａ盤(pán)引導(dǎo)系統(tǒng)；(3)對(duì)所有系統(tǒng)軟件、工具軟件、程序軟件要進(jìn)行寫(xiě)保護(hù)；(4)對(duì)于外來(lái)的機(jī)器和軟件進(jìn)行病毒檢查；(5)對(duì)游戲程序要嚴(yán)格控制 ；(6)網(wǎng)絡(luò)上的計(jì)算機(jī)用戶，要遵守網(wǎng)絡(luò)的使用(7)安裝一個(gè)具備實(shí)時(shí)攔截電子郵件病毒和惡意代碼病毒的防火墻，并且要經(jīng)常 及時(shí)更新病毒庫(kù)，至少一周應(yīng)進(jìn)行一次更新升級(jí)；(8)收到陌生郵件時(shí)要慎之又慎，尤其是對(duì)于帶有附件的陌生電子郵件?？傊?，只有掌握較完備的安全策略和養(yǎng)成良好的網(wǎng)絡(luò)操作習(xí)慣，才能真正安全地游弋于網(wǎng)絡(luò)世界。結(jié)束語(yǔ)對(duì)于網(wǎng)絡(luò)攻防，網(wǎng)絡(luò)安全漏洞必將是網(wǎng)上爭(zhēng)奪的焦點(diǎn)。一方面，安全漏洞使網(wǎng)絡(luò)攻擊“有空可鉆”提供了“可趁之機(jī)”—網(wǎng)絡(luò)攻擊的入口。網(wǎng)絡(luò)攻擊過(guò)程能否成功的關(guān)鍵在于發(fā)現(xiàn)并利用敵方網(wǎng)絡(luò)安全漏洞的能力。假設(shè)網(wǎng)絡(luò)系統(tǒng)本身沒(méi)有安全漏洞，那么敵方“黑客”即使有天大的本事也不能對(duì)我方網(wǎng)絡(luò)系統(tǒng)構(gòu)成任何威脅。另一方面，網(wǎng)絡(luò)安全漏洞是造成計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全脆弱性的最根本原因，系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊能力的強(qiáng)弱在于發(fā)現(xiàn)并堵塞網(wǎng)絡(luò)安全漏洞的能力。參考文獻(xiàn)［1］田豐．現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)［Ｍ］．北京：冶金工引起內(nèi)存耗盡，堆棧耗盡以及緩沖區(qū)溢出等致命錯(cuò)業(yè)出版社，2003．1［2］楊金峰．對(duì)當(dāng)前計(jì)算機(jī)信息網(wǎng)絡(luò)安全問(wèn)題的幾點(diǎn)思考［Ａ］．中國(guó)電腦教育報(bào)，2003．1［3］陳立新．計(jì)算機(jī)病毒防治百事通［Ｍ］．北京清華學(xué)出版社，2002［4］（美）Kelley ．網(wǎng)絡(luò)管理手冊(cè)［Ｍ］．北京：電子工業(yè)出版社，2002［5］張堯?qū)W．計(jì)算機(jī)網(wǎng)絡(luò)與Ｉｎｔｅｒｎｅｔ教程［Ｍ］．北京：清華大學(xué)出版社，［6］溫曉軍．Internet組網(wǎng)、管理與應(yīng)用［Ｍ］．北京：人民郵電出版社