【正文】 網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施，否則該網(wǎng)絡(luò)將是個(gè)無用、甚至?xí)＜皣野踩木W(wǎng)絡(luò)。故此，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對(duì)各種不同的威脅和 網(wǎng)絡(luò)的 脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。本文就進(jìn)行初步探討計(jì)算機(jī)網(wǎng)絡(luò)安全 的管理及其技術(shù)措施。在目前法律法規(guī)尚不完善的情況下，首先是各計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用部門領(lǐng)導(dǎo)的重視，加強(qiáng)工作人員的責(zé)任心和防范意識(shí)，自覺執(zhí)行各項(xiàng)安全制度，在此基礎(chǔ)上，再采用先進(jìn)的技術(shù)和產(chǎn)品，構(gòu)造全方位的防御機(jī)制，使系統(tǒng)在理想的狀態(tài)下運(yùn)行。 上述的四種威脅可以分為兩類：即被動(dòng)攻擊和主動(dòng)攻擊。中斷、篡改和偽造信息被稱為主動(dòng)，主動(dòng)攻擊對(duì)信息進(jìn)行各種處理，如有選擇地更改、刪除或偽造等。對(duì)于主動(dòng)攻擊除了進(jìn)行信息加密以外，還應(yīng)網(wǎng)絡(luò)倫理問題與對(duì)策研究 6 該采取鑒別等措施。 2. 網(wǎng)絡(luò)不安全的原因是多方面的，主要包括： (1) 來自外部的不安全因素，即網(wǎng)絡(luò)上存在的攻擊。 (2) 來自網(wǎng)絡(luò)系統(tǒng)本身的，如網(wǎng)絡(luò)中存在著硬盤、軟件、通信、操作系統(tǒng)或其他方面的缺陷與漏洞，給網(wǎng)絡(luò)攻擊者以可乘之機(jī)。 (3) 網(wǎng)絡(luò)應(yīng)用安全管理方面的原因，網(wǎng)絡(luò)管理者缺乏網(wǎng)絡(luò)安全的警惕性，忽視網(wǎng)絡(luò)安全，或?qū)W(wǎng)絡(luò)安全技術(shù)缺乏了解，沒有制定切實(shí)可行的網(wǎng)絡(luò)策略和措施。在互聯(lián)網(wǎng)上使用的協(xié)議是 TCP/IP，其 IPV版在設(shè)計(jì)之初沒有考慮網(wǎng)絡(luò)安全問題，從協(xié)議的根本上缺乏安全的機(jī)制，這是互聯(lián)網(wǎng)存在的安全威脅的主要原因。 (1) 應(yīng)提醒用戶警覺未授權(quán)軟件或惡意軟件的危險(xiǎn)； (2) 并且管理員應(yīng)適當(dāng)?shù)匾胩厥獾目刂剖侄螜z測(cè)或防范這些軟件的侵襲； (3) 安裝并定期更新抗病毒的檢測(cè)和修復(fù)軟件； (4) 定期檢查支持關(guān)鍵業(yè)務(wù)進(jìn)程的系統(tǒng)的軟件和數(shù)據(jù)內(nèi)容。 河南廣播電視大學(xué)商丘 學(xué)院畢業(yè)論文 （設(shè)計(jì)） 7 7 方法： (1) 要求用戶在使用時(shí)更改初始口令； (2) 用戶忘記口令時(shí)，必須在對(duì)該用戶進(jìn)行適當(dāng)?shù)纳矸葑R(shí)別后才能向其提供臨時(shí)口令； (3) 應(yīng)避免使用明文電子郵件傳送口令； (4) 應(yīng)該根據(jù)情況考慮使用雙因素認(rèn)證。 第二個(gè)要素（所擁有的物品）：使用者擁有擁有的特殊認(rèn)證加強(qiáng)機(jī)制，例如動(dòng)態(tài)密碼卡， IC 卡，磁卡等。 單獨(dú)來看，這三個(gè)要素中的任何一個(gè)都有問題。把前兩種要素結(jié)合起來的身份認(rèn)證的方法就是“雙因素認(rèn)證”。 3. 用戶口令管理（針對(duì)用戶） (1) 應(yīng)避免在紙上記錄口令； (2) 只要有跡象表明系統(tǒng)或口令可能遭到破壞時(shí)，應(yīng)立即更改口令； (3) 最少要有六個(gè)字符； (4) 口令必須便于記憶； (5) 不應(yīng)該使用別人通過個(gè)人輸相關(guān)信息 ； 網(wǎng)絡(luò)倫理問題與對(duì)策研究 8 (6) 不要連續(xù)使用同一字符，不要全部使用數(shù)字，也不要全部使用字母 ； (7) 定期更改口令 ； (8) 首次登錄時(shí)應(yīng)更改臨時(shí)口令 ； (9) 不共享個(gè)人用戶口令。網(wǎng)絡(luò)是計(jì)算機(jī)技術(shù)和通信 技術(shù)的產(chǎn)物，是應(yīng)社會(huì)對(duì)信息共享和信息傳遞的要求發(fā)展起來的，各國都在建設(shè)自己的信息高速公路。我相信在不長的時(shí)間里，計(jì)算機(jī)網(wǎng)絡(luò)一定會(huì)得到極大的發(fā)展，那時(shí)將全面進(jìn)入信息時(shí) 代。 網(wǎng)絡(luò)的安全管理 面對(duì)網(wǎng)絡(luò)安全的脆弱性，除了在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功能，完善系統(tǒng)的安全保密設(shè)施外，還必須花大力氣加強(qiáng)網(wǎng)絡(luò)的安全管理，因?yàn)橹T多的不安全因素恰恰反映在組織管理 和人員錄用等方面，而這又是計(jì)算機(jī)網(wǎng)絡(luò)安全所必須考慮的基本問題。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，他們忠誠可靠，能勝任此項(xiàng)工作；他們應(yīng)該簽署工作情況記錄以證明安全工作以得到保障。 河南廣播電視大學(xué)商丘 學(xué)院畢業(yè)論文 （設(shè)計(jì)） 9 9 ② 任期有限原則 一般來講， 任何人最好不要長期擔(dān)任與安全有關(guān)的職務(wù)，以免使他認(rèn)為這個(gè)職務(wù)是專有的或永久性的。 ③ 職責(zé)分離原則 除非經(jīng)系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)，在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責(zé)以外的任何與安全有關(guān)的事情。 安全管理的實(shí)現(xiàn) 信息系統(tǒng)的 安全管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相應(yīng)的管理制度或采用相應(yīng)的規(guī)范。 ② 根據(jù)確定的安全等級(jí)，確定安全管理范圍。出入管理可采用證件識(shí)別或安裝自動(dòng)識(shí)別系統(tǒng)，采用磁卡、身份卡等手段，對(duì)人員進(jìn)行識(shí)別 、登記管理。目前主要采用的相關(guān)技術(shù)和產(chǎn)品有以下幾種。它是一個(gè)或一組系統(tǒng)，該系統(tǒng)可以設(shè)定哪些內(nèi)部服務(wù)可已被外界訪問，外界的哪些人可以訪問內(nèi)部的哪些服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問。其主要有：應(yīng)用層網(wǎng)關(guān)、數(shù)據(jù)包過濾、代理服務(wù)器等幾大類型。大多數(shù)情況下的防火墻的組件放在一起使用以滿足公司安全目的的需要。例如，也許你的安全策略只需對(duì) MAIL 服務(wù)器的 SMTP 流量作些限制，那么你要直接在防火墻強(qiáng)制這些策略。一旦這些檢查點(diǎn)清楚地建立，防火墻設(shè)備就可以監(jiān)視，過濾各檢查所 進(jìn)來和出去的流量。 通過強(qiáng)制所有進(jìn)出流量都通過這些檢查點(diǎn)，網(wǎng)絡(luò)管理員可以集中在較少的地方來實(shí)現(xiàn)安全目的。檢查點(diǎn)的另一個(gè)名字叫做網(wǎng)絡(luò)邊界。通過在防火墻上實(shí)現(xiàn)日志服務(wù)，安全管理員可以監(jiān)視所有從外部網(wǎng)或互聯(lián)網(wǎng)的訪問。防火墻對(duì)于管理員進(jìn)行日志存檔提供了更多的信息。 并且對(duì)于公網(wǎng)隱藏了你內(nèi)部系統(tǒng)的一河南廣播電視大學(xué)商丘 學(xué)院畢業(yè)論文 （設(shè)計(jì)） 11 11 些信息以增加保密性。遠(yuǎn)程設(shè)備將不會(huì)知道你內(nèi)部網(wǎng)絡(luò)的布局以及都有些什么。通過對(duì)所能進(jìn)來的流量時(shí)行源檢查，以限制從外部發(fā)動(dòng)的攻擊。隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)安全與信息保密日益引起人們的關(guān)注。長期以來，只在很小的范圍內(nèi)使用，如軍事、外交、情報(bào)等部門。 隨著計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)通訊技術(shù)的發(fā)展，計(jì)算機(jī)密碼學(xué)得到前所未有的重視并迅速普及和發(fā)展起來。 密碼學(xué)的歷史比較悠久，在四千年前，古埃及人就開始使用密碼來保密傳遞消息。按作 用不同 , 數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。認(rèn)證是指驗(yàn)證一個(gè)最終用戶或設(shè)備的身份過程，即認(rèn)證建立信息的發(fā)送者或接收者的身份。目前使用的認(rèn)證技術(shù)主要有：消息認(rèn)證、身份認(rèn)證、數(shù)字簽名。合格的防病毒軟件應(yīng)該具備以下條件： ① 、較強(qiáng)的查毒、殺毒能力。 ② 、完善的升級(jí)服務(wù)。 常用的網(wǎng)絡(luò)攻擊及防范對(duì)策 特洛伊木馬 特洛伊木馬是夾帶在執(zhí)行正常 功能的程序中的一段額外操作代碼。特洛伊木馬程序包括兩個(gè)部分，即實(shí)現(xiàn)攻擊者目的的指令和在網(wǎng)絡(luò)中傳播的指令。此類攻擊對(duì)計(jì)算機(jī)的危害極大，通過特洛伊木馬，網(wǎng)絡(luò)攻擊者可以讀寫未經(jīng)授權(quán)的文件，甚至可以獲得對(duì)被攻擊的計(jì)算機(jī)的控制權(quán)。避免下載可疑程序并拒絕執(zhí)行，運(yùn)用網(wǎng)絡(luò)掃描軟件定期監(jiān)視內(nèi)部主機(jī)上的監(jiān)聽 TCP 服務(wù)。此種攻擊經(jīng)常出現(xiàn)在網(wǎng)絡(luò)黑客通過 計(jì)算機(jī)網(wǎng)絡(luò)對(duì)某一目標(biāo)的報(bào)復(fù)活動(dòng)中。 過載攻擊 載攻擊是攻擊者通過服務(wù)器長時(shí)間發(fā)出大量無用的請(qǐng)求，使被攻擊的服務(wù)器一直處于繁忙的狀態(tài)，從而無法滿足其他用戶的請(qǐng)求。防 止過載攻擊的方法有：限制單個(gè)用戶所擁有的最大進(jìn)程數(shù)；殺死一些耗時(shí)的進(jìn)程。通過對(duì)單個(gè)用戶所擁有的最大進(jìn)程數(shù)的限制和耗時(shí)進(jìn)程的刪除，會(huì)使用戶某些正常的請(qǐng)求得不到系統(tǒng)的響應(yīng)，從而出現(xiàn)類似拒絕服務(wù)的現(xiàn)象。另外，還可以讓系統(tǒng)自動(dòng)檢查是否過載或者重新啟動(dòng)系統(tǒng)。 TCP 的這三次握手過程為人們提供了攻擊網(wǎng)絡(luò)的機(jī)會(huì)。由于此時(shí)主機(jī)的 IP 不存在或當(dāng)時(shí)沒有被使用所以無法向主機(jī)發(fā)送 RST，因此，造成被攻擊的主機(jī)一直處于等待狀態(tài)，直至超時(shí)。 對(duì)付淹沒攻擊的最好方法是實(shí)時(shí)監(jiān)控系統(tǒng)處于 SYNRECEIVED 狀態(tài)的連接數(shù)，當(dāng)連接數(shù)超過某一給定的數(shù)值時(shí)，實(shí)時(shí)關(guān)閉這些連接。局域網(wǎng)中的拓?fù)浣Y(jié)構(gòu)主要有總線型，星型，環(huán)形等，而目前大多數(shù)都采用載波偵聽多路訪問 /沖突檢測(cè)（ Carrier Sense Multiple Access with Collision Detection ,CSMA/CD）也就是發(fā)展到現(xiàn)在的 規(guī)范 ,利用這一方法建成的網(wǎng)絡(luò) ,我們稱之為以太網(wǎng) ,在以太網(wǎng)的通信方式中 ,每一個(gè)工作站都可以讀取電纜上傳輸?shù)乃袛?shù)據(jù) ,將以太網(wǎng)卡 (支持 規(guī)范的網(wǎng)卡 )設(shè)置為混雜模式 ,網(wǎng)卡便會(huì)將電纜上傳輸?shù)乃械臄?shù)據(jù)讀入緩沖區(qū) ,以供系統(tǒng)和程序調(diào)用 .但是入侵者還是可能通過割開網(wǎng)線 ,非法接入等手段來偵聽網(wǎng)絡(luò) ,截獲數(shù)據(jù) ,根據(jù)線路中的數(shù)據(jù)流量找到網(wǎng)絡(luò)的信息中心 ,因此布線要杜絕經(jīng)過不可靠的區(qū)域 ,以防止非法接入 ,在各網(wǎng)段的控制器上設(shè)置網(wǎng)段內(nèi)所有主機(jī)的介質(zhì)訪問控制器 (MAC)地址 ,該地址為 6 個(gè)字節(jié) ,是用來區(qū)分網(wǎng)絡(luò)設(shè)備的唯一標(biāo)志 .此外 ,對(duì)于每一個(gè)接入網(wǎng)絡(luò)中的計(jì)算機(jī)都必須先登記后連線接入 ,網(wǎng)段監(jiān)控程序一旦發(fā)現(xiàn)有陌生的 MAC 地址便發(fā)出警告 ,網(wǎng)管人員立即查找該設(shè)備 ,因此在局域網(wǎng)中應(yīng)該采用以下三種組網(wǎng)方式來加強(qiáng)安全防范 . 網(wǎng)絡(luò)分段 網(wǎng)絡(luò)分段通常被認(rèn)為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段 ,實(shí)際上也是保河南廣播電視大學(xué)商丘 學(xué)院畢業(yè)論文 （設(shè)計(jì)） 15 15 證網(wǎng)絡(luò)安全的一項(xiàng)重要措施 .其目的是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離 ,從而防上可能的 非法偵聽 . 以交換式集線器代替共享式集線器 對(duì)局域網(wǎng)的中心計(jì)算機(jī)進(jìn)行分段后 ,以太網(wǎng)的偵聽的危險(xiǎn)仍然存在 .這是因?yàn)榫W(wǎng)絡(luò)最終用戶的接入往往是通過分支集線器而不是中心交換機(jī) ,而使用最廣泛的分支集線器通常是共享式集線器 .這樣 ,當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)通信時(shí) ,兩臺(tái)機(jī)器之間的數(shù)據(jù)包 (稱為單播包 Nicest Packet)還是會(huì)被同一臺(tái)集線器上的其他用戶所偵聽 .因此應(yīng)該以交換式集線器代替共享式集線器 ,使單播包公在兩個(gè)節(jié)點(diǎn)之間傳送 ,從而防止非法偵聽。 基于以上拓?fù)浣Y(jié)構(gòu)的連接方式 ,用電纜和集線器連接而成的網(wǎng)絡(luò)始終是同一網(wǎng)段 , 在網(wǎng)上傳播的數(shù)據(jù)可以被所有的連接設(shè)備接收 ,為了防止網(wǎng)絡(luò)的入侵嗅探 ,可以把網(wǎng)絡(luò)分段 ,隔離網(wǎng)絡(luò)通信合用橋接器 ,交換器 ,路由器 ,應(yīng)用網(wǎng)關(guān)都可以實(shí)現(xiàn)各網(wǎng)段的通信隔離 ,同時(shí)將多個(gè)局域網(wǎng)進(jìn)行互聯(lián) ,拓展網(wǎng)絡(luò)形成廣域網(wǎng) ,還可將本地局域網(wǎng)與因特網(wǎng)連接從而成為全球最大的廣域網(wǎng)．但對(duì)于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全技術(shù)是加強(qiáng)對(duì)外界的攻擊的防范和應(yīng)策 . 網(wǎng)絡(luò)攻擊淺析 攻擊是指非授 權(quán)行為。在網(wǎng)絡(luò)上成功實(shí)施的攻擊級(jí)別以來于擁護(hù)采取的安全措施。最常見的 Does 攻擊有計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。連通性攻擊指用大量的 連接請(qǐng)求沖擊計(jì)算機(jī)，使得所有可用的網(wǎng)絡(luò)倫理問題與對(duì)策研究 16 操作系統(tǒng)資源都被消耗殆盡，最終計(jì)算機(jī)無法再處理合法用戶的請(qǐng)求。通常，攻擊者使用一個(gè)偷竊帳號(hào)將 DDoS 主控程序安裝在一個(gè)計(jì)算機(jī)上，在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在 Inter 上的許多計(jì)算機(jī)上。利 用客戶 /服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。計(jì)算機(jī)緊急響應(yīng)協(xié)調(diào)中心發(fā)現(xiàn)，幾乎每個(gè)受到 DDoS 攻擊的系統(tǒng)都沒有及時(shí)打上補(bǔ)丁。這是為了確保管理員知道每個(gè)主機(jī)系統(tǒng)在 運(yùn)行什么？誰在使用主機(jī)？哪些人可以訪問主機(jī)？不然，即使黑客侵犯了系統(tǒng)，也很難查明。 WuFtpd 等守護(hù)程序存在一些已知的漏洞，黑客通過根攻擊就能獲得訪問特權(quán)系統(tǒng)的權(quán)限，并能訪問其他系統(tǒng) —— 甚至是受防火墻保護(hù)的系統(tǒng)。 5) 禁止內(nèi)部網(wǎng)通過 Modem 連接至 PSTN 系統(tǒng)。 6) 禁止使用網(wǎng)絡(luò)訪問程序如 Tel、 Ftp、 Rsh、 Rlogin 和 Rcp，以基于 PKI 的訪問程序如 SSH 取代。此外，在 Unix 上應(yīng)該河南廣播電視大學(xué)商丘 學(xué)院畢業(yè)論文 （設(shè)計(jì)） 17 17 將 .rhost 和 文件刪除，因?yàn)椴挥貌驴诹?，這些文件就會(huì)提供登錄訪問！ 7) 限制在防火墻外與網(wǎng)絡(luò)文件共享。 8) 確保手頭有一張