【導讀】垃圾郵件和間諜軟件。權限設置，口令控制。以網為本，多層防御。隨著全世界網民的增加，極大的刺激了互聯網絡的發(fā)展。Inter技術日趨成熟，已經。服務為特征的第二代Inter技術的過渡。技術并使企業(yè)數據通信網絡成為Inter的延伸已成為發(fā)展趨勢。眾所周知，作為全球使用。但是，由于在早期網絡協議設計上對安全問題的忽視，以及在管理和使用上的無政府。狀態(tài)，逐漸使Inter自身安全受到嚴重威脅，與它有關的安全事故屢有發(fā)生。用網絡傳播病毒，線路竊聽等方面。這以要求我們與Inter互連所帶來的安全性問題予以。為了讓用戶的合法權益不受侵害，網絡安全技術研究應運而聲。

　　

【正文】 一個智能的機器，易受自然災害及環(huán)境 (溫度、濕度、振動、沖擊、污染 )的影響。目前，我們不少計算機房并沒有防震、防火、防水、避雷、防電磁泄漏或干擾等措施，接地系統也疏于周到考慮，抵御自然災害和意外事故的能力較差。日常工作中因斷電而設備損壞、數據丟失的現象時有發(fā)生。由于噪音和電磁輻射，導致網絡信噪比下降，誤碼率增加，信息的安全性、完整性和可用性受到威脅。 黑客的威脅和攻擊。 計算機信息網絡上的黑客攻擊事件越 演越烈，已經成為具有一定經濟條件和技術專長的形形色色攻擊者活動的舞臺。他們具有計算機系統和網絡脆弱性的知識，能使用各種計算機工具。境內外黑客攻擊破壞網絡的問題十分嚴重，他們通常采用非法侵人重要信息系統，竊聽、獲取、攻擊侵人網的有關敏感性重要信息，修改和破壞信息網絡的正常使用狀態(tài)，造成數據丟失或系統癱瘓，給國家造成重大政治影響和經濟損失。黑客問題的出現，并非黑客能夠制造入侵的機會，從沒有路的地方走出一條路，只是他們善于發(fā)現漏洞。即信息網絡本身的不完善性和缺陷，成為被攻擊的目標或利用為攻擊的途徑，其信息網絡脆弱 性引發(fā)了信息社會脆弱性和安全問題，并構成了自然或人為破壞的威脅。 計算機病毒。 90 年代，出現了曾引起世界性恐慌的 “計算機病毒 ”，其蔓延范圍廣，增長速度驚人，損失難以估計。它像灰色的幽靈將自己附在其他程序上，在這些程序運行時進人到系統中進行擴散。計算機感染上病毒后，輕則使系統上作效率下降，重則造成系統死機或毀壞，使部分文件或全部數據丟失，甚至造成計算機主板等部件的損壞。 垃圾郵件和間諜軟件。 一些人利用電子郵件地址的 “公開性 ”和系統的 “可廣播性 ”進行商業(yè)、宗教、政治等活動，把自己的電 子郵件強行 “推入 ”別人的電子郵箱，強迫他人接受垃圾郵件。與計算機病毒不同，間諜軟件的主要目的不在于對系統造成破壞，而是竊取系統或是用戶信息。事實上，間諜軟件日前還是一個具有爭議的概念，一種被普遍接受的觀點認為間諜軟件是指那些在用戶小知06 計算機軟件 1 班 胡小偉 網絡攻擊與網絡安全 江西渝州科技職業(yè)學院 18 情的情況下進行非法安裝發(fā)裝后很難找到其蹤影，并悄悄把截獲的一些機密信息提供給第下者的軟件。間諜軟件的功能繁多，它可以監(jiān)視用戶行為，或是發(fā)布廣告，修改系統設置，威脅用戶隱私和計算機安全，并可能小同程度的影響系統性能。 防御計算機病毒應該從兩個方面著手，首 先應該加強內部網絡管理人員以及使用人員的安全意識，使他們能養(yǎng)成正確上網、安全上網的好習慣。再者，應該加強技術上的防范措施，比如使用高技術防火墻、使用防毒殺毒工具等。具體做法如下： ，口令控制。 很多計算機系統常用口令來控制對系統資源的訪問，這是防病毒進程中，最容易和最經濟的方法之一。網絡管理員和終端操作員根據自己的職責權限，選擇不同的口令，對應用程序數據進行合法操作，防止用戶越權訪問數據和使用網絡資源。在選擇口令應往意，必須選擇超過 6個字符并且由字母和數字共同組成的口令；操作員應定期變 一次口令；不得寫下口令或在電子郵件中傳送口令。通常簡單的口令就能取得很好的控制效果，因為系統本身不會把口令泄露出去。但在網絡系統中，由于認證信息要通過網遞，口令很容易被攻擊者從網絡傳輸線路上竊取，所以網絡環(huán)境中，使用口令控制并不是很安全的方法。 簡易安裝，集中管理。 在網絡上，軟件的安裝和管理方式是十分關鍵的，它不僅關系到網絡維護管理的效率和質量，而且涉及到網絡的安全性。好的殺毒軟件能在幾分鐘內輕松地安裝到組織里的每一個 NT服務器上，并可下載和散布到所有的目的機器上，由網絡管理員集中設置和管 理，它會與操作系統及其它安全措施緊密地結合在一起，成為網絡安全管理的一部分，并且自動提供最佳的網絡病毒防御措施。 實時殺毒，報警隔離。 當計算機病毒對網上資源的應用程序進行攻擊時，這樣的病毒存在于信息共享的網絡介質上，因此就要在網關上設防，在網絡前端進行殺毒?；诰W絡的病毒特點，應該著眼于網絡整體來設計防范手段。在計算機硬件和軟件， LAN服務器，服務器上的網關， Inter層層設防，對每種病毒都實行隔離、過濾，而且完全在后臺操作。例如 :某一終端機如果通過軟盤感染了計算機病毒，勢必會在 LAN上蔓延，而服務器具有了防毒功能，病毒在由終端機向服務器轉移的進程中就會被殺掉。為了引起普覺，當在網絡中任何一臺工作站或服務器上發(fā)現病毒時，它都會立即報警通知網絡管理員。 ，多層防御。 網絡防毒不同于單機防毒。計算機網絡是一個開放的系統，它是同時運行多程序、多數據流向和各種數據業(yè)務的服務。單機版的殺毒軟件雖然可以暫時查殺終端機上的病毒，一旦上網仍會被病毒感染，它是不能在網絡上徹底有效地查殺病毒，確保系統安全的。所以網絡防毒一定要以網為本，從網絡系統和角度重新設計防毒解決方案，只有這樣才能 有效地查殺網絡06 計算機軟件 1 班 胡小偉 網絡攻擊與網絡安全 江西渝州科技職業(yè)學院 19 上的計算機病毒。 對黑客的防御策略應該是對整個網絡系統實施的分層次、多級別的包括檢測、告警和修復等應急功能的實時系統策略，方法如下： 防火墻構成了系統對外防御的第一道防線。在這里，防火墻是一個小型的防御系統，用來隔離被保護的內部網絡，明確定義網絡的邊界和服務，同時完成授權、訪問控制以及安全審計的功能?；镜姆阑饓夹g有以下幾種： 路由器的一個主要功能足轉發(fā)分組，使之離目的更近。為了轉發(fā)分組，路由器從 IP報頭讀取目的地址，應用基于表格 的路由算法安排分組的出口。過濾路由器在一般路由器的基礎上增加了一些新的安全控制功能。絕人多數防火墻系統在它們的體系結構中含了這些路由器，但只足以一種相當隨意的方式來允許或禁止通過它的分組，因此它并不能做成一個完整的解決方案。 一個雙宿網關足一個具有兩個網絡界面的主機，每個網絡界面與它所對應的網絡進行了通信。它具有路由器的作用。 通常情況下，應用層網關或代理雙宿網關下，他們傳遞的信息經常是對一特定服務的請求或者對一特定服務的響應。如果認為消息是安全的，那么代理會將消息轉發(fā)相應的主 機上。用戶只能夠使用代理服務器支持的服務。 一個過濾主機網關是由一個雙宿網關和一個過濾路由器組成的。防火墻的配置包括一個位于內部網絡下的堡壘主機和一個位于堡壘主機和 INTERNET 之間的過濾路由器。這個系統結構的第一個安全設施是過濾路由器，它阻塞外部網絡進來的除了通向堡壘主機的所有其他信息流。對到來的信息流而言，由于先要經過過濾路由器的過濾，過濾后的信息流被轉發(fā)到堡壘主機上，然后由堡壘主機下的應用服務代理對這此信息流進行了分析并將合法的信息流轉發(fā)到內部網絡的主機上 。外出的信息 首先經過堡壘主機下的應用服務代理的檢查，然后被轉發(fā)到過濾路由器，然后有過濾路由器將其轉發(fā)到外部網絡上。 一個安全的過濾子網建立在內部網絡與 INTERNET 之間，這個子網的入口通常是一個堡壘主機，分組過濾器通常位于子網與 INTERNET之間以及內部網絡與子網之間。 分組過濾器通過出入信息流的過濾起到了子網與內部網絡和外部網絡的緩沖作用。堡壘主機上的代理提供了對外網絡的交互訪問。在過濾路由器過濾掉所有不能識別或禁止通過的信息流后，將其他信息流轉發(fā)到堡壘主機上，由其上的代理仔細進 行檢查。 、網絡檢測技術分析 人們意識到僅僅依靠防護技術是無法擋住所有攻擊，于是以檢測為主要標志的安全技術應運而生。這類技術的基本思想是通過監(jiān)視受保護系統的狀態(tài)和活動來識別針對 計算 機系統和網絡系統，或者更廣泛意義上的信息系統的非法攻擊。包括檢測外界非法入侵者的惡意攻擊或試探，以及內部合法用戶的超越使用權限的非法活動。主要的網絡安全檢測技術有： 06 計算機軟件 1 班 胡小偉 網絡攻擊與網絡安全 江西渝州科技職業(yè)學院 20 入侵檢測系統（ Intrusion Detection System,IDS）是用于檢測任何損害或企圖損害系統的保密性、完整性或可用性行為的一種網絡安全技術。它通過監(jiān)視受保護系統的狀態(tài)和活動來識別針對計算機系統和網絡系統，包括檢測外界非法入侵者的惡意攻擊或試探，以及內部合法用戶的超越使用權限的非法活動。作為防火墻的有效補充，入侵檢測技術能夠幫助系統對付已知和未知網絡攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監(jiān)視、攻擊識別和響應），提高了信息安全基礎結構的完整性。 入侵防御系統（ Intrusion Prevention System,IPS）則是一種主動的、積極的入侵防范、阻止系統。 IPS 是基于 IDS 的、建立在 IDS 發(fā)展 的基礎上的新生網絡安全技術， IPS 的檢測功能類似于 IDS，防御功能類似于防火墻。 IDS 是一種并聯在網絡上的設備，它只能被動地檢測網絡遭到了何種攻擊，它的阻斷攻擊能力非常有限；而 IPS 部署在網絡的進出口處，當它檢測到攻擊企圖后，會自動地將攻擊包丟掉或采取措施將攻擊源阻斷?？梢哉J為 IPS 就是防火墻加 上入侵檢測系統，但并不是說 IPS 可以代替防火墻或入侵檢測系統。防火墻是粒度比較粗的訪問控制產品，它在基于 TCP/IP 協議的過濾方面表現出色，同時具備網絡地址轉換、服務代理、流量統計、 VPN 等功能。 漏洞掃描技術是一項重要的主動防范安全技術，它主要通過以下兩種 方法 來檢查目標主機是否存在漏洞：在端口掃描后得知目標主機開啟的端口以及端口上的網絡服務，將這些相關信息與網絡漏洞掃描系統提供的漏洞庫進行匹配，查 看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對目標主機系統進行攻擊性的安全漏洞掃描，如測試弱勢口令等，若模擬攻擊成功，則表明目標主機系統存在安全漏洞。發(fā)現系統漏洞的一種重要技術是蜜罐(Honeypot)系統，它是故意讓人攻擊的目標，引誘黑客前來攻擊。通過對蜜罐系統記錄的攻擊行為進行分析，來發(fā)現攻擊者的攻擊方法及系統存在的漏洞。 審計監(jiān)控技術。 審計是記錄用戶使用計算機網絡系統進行所有活動的過程，它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統，還能指出系統正被怎樣地使用。對于確定 是否有網絡攻擊的情況，審計信息對于確定問題和攻擊源很重要。同時，系統事件的記錄能夠更迅速和系統地識別問題，并且它是后面階段事故處理的重要依據。另外，通過對安全事件的不斷收集、積聚和分析，有選擇性地對其中的某些站點或用戶進行審計跟蹤，可以及早發(fā)現可能產生的破壞性行為。 轉貼于 中國論文下載中心 3 總結 綜上所述，網絡安全是一個綜合性的課題，涉及技術、管理、使用等許多方面，既包括信息系統本身的安全問題，也有物理和邏輯的技術措施。一種技術只能解決一方面的問題，而不是萬 能的。因此，一個用戶單位必須同時具備嚴格的保密政策、明確的安全策略以及高素質的網絡管理人才這三方面的前提，才能完好、實時地保證信息的完整性和正確性，為網絡提供強大的安全服務。 06 計算機軟件 1 班 胡小偉 網絡攻擊與網絡安全 江西渝州科技職業(yè)學院 21 4 參考文獻 [1]作者： 馮登國 《 計算機通信網絡安全 》 清華大學出版社 [2]作者： 張兆信 《 計算機網絡安全與應用 》 機械工業(yè)出版社 [3]作者： 蔣天發(fā) 《網絡信息安全》 電子工業(yè)出版社 [4]作者： 石淑華 池瑞楠 《計算機網絡安全技術 (第 2 版 )》 人民郵電出版社