【正文】 算機(jī)軟件 1 班 胡小偉 網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)安全 江西渝州科技職業(yè)學(xué)院 14 響到網(wǎng)絡(luò)的安全。 計(jì)算機(jī)網(wǎng)絡(luò)存在的安全問題 導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)信息安全受到威脅的根本原因在于網(wǎng)絡(luò)存在安全問題，歸納為以下幾點(diǎn)： 固有的安全漏洞 現(xiàn)在，新的操作系統(tǒng)或應(yīng)用軟件剛一上市，漏洞就已被找出。從 CERT（ CarnegieMellon 大學(xué)計(jì)算機(jī)緊急事件響應(yīng)隊(duì)）那里，可以找到相當(dāng)全面的程序錯誤列表。 (1) 緩沖區(qū)溢出。很多系統(tǒng)在不檢查程序與緩沖區(qū)間的變化的情況下，就接收任何長度的數(shù)據(jù)輸入，把溢出部分放在堆棧內(nèi)，系統(tǒng)還照常執(zhí)行命令。他只要發(fā)送超出緩沖區(qū)所能處理的長度的指令，系統(tǒng)便進(jìn)入不穩(wěn)定狀態(tài)。 (2) 拒絕服務(wù)。典型的 DoS 攻擊會耗盡或是損壞一個(gè)或多個(gè)系統(tǒng)的資源（ CPU 周期、內(nèi)存和磁盤空間），直至系統(tǒng)無法處理合法的程序。發(fā)動 Synflood 攻擊的破壞者發(fā)送大量的不合法 請求要求連接，目的是使系統(tǒng)不勝負(fù)荷。 合法工具的濫用 大部分系統(tǒng)都配備了用以改進(jìn)系統(tǒng)管理及服務(wù)質(zhì)量的工具軟件，但遺憾的是，這些工具同時(shí)也會被破壞者利用去收集非法信息及加強(qiáng)攻擊力度： 例如： NBTSTAT 命令是用來給系統(tǒng)管理員提供遠(yuǎn)程節(jié)點(diǎn)的信息的。這些信息足以被黑客用來破譯口令。系統(tǒng)管理員用此工具來監(jiān)控及分發(fā)網(wǎng)包，以便找出網(wǎng)絡(luò)的潛在問題。 不正確的系統(tǒng)維護(hù)措施 系統(tǒng)固有的漏洞及一大堆隨處可見的破壞工具大大方便了黑客的攻擊，但無效的安全管理也是造成安全隱患的一個(gè)重要因素。 有時(shí)候，雖然我們已經(jīng)對系統(tǒng)進(jìn)行了維護(hù)，對軟件進(jìn)行了更新或升級，但由于路由器及防火墻的過濾規(guī)則過于復(fù)雜，系統(tǒng)又可能會出現(xiàn)新的漏洞。 低效的系統(tǒng)設(shè)計(jì)和檢測能力 在不重視信息保護(hù)的情況下設(shè)計(jì)出來的安全系統(tǒng)會非常 不安全 ，而且不能抵御復(fù)雜的攻擊。這個(gè)架構(gòu)應(yīng)能提供實(shí)效性的安全服務(wù)，并且06 計(jì)算機(jī)軟件 1 班 胡小偉 網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)安全 江西渝州科技職業(yè)學(xué)院 15 需要妥善的管理。最近 , 有很多公開的漏洞 報(bào)告指出：在輸入檢查不完全時(shí)， cgi bin 是非常脆弱的。低效的設(shè)計(jì)最后會產(chǎn)生漏洞百出的入侵檢測系統(tǒng)。 、計(jì)算機(jī)網(wǎng)絡(luò)安全的防范措施 、加強(qiáng)內(nèi)部 網(wǎng)絡(luò) 管理人員以及使用人員的安全意識 很多 計(jì)算 機(jī)系統(tǒng)常用口令來控制對系統(tǒng)資源的訪問，這是防病毒進(jìn)程中，最容易和最 經(jīng)濟(jì) 的方法 之一。 在網(wǎng)絡(luò)上，軟件的安 裝和管理方式是十分關(guān)鍵的，它不僅關(guān)系到網(wǎng)絡(luò)維護(hù)管理的效率和質(zhì)量，而且涉及到網(wǎng)絡(luò)的安全性。當(dāng)計(jì)算機(jī)病毒對網(wǎng)上資源的應(yīng)用程序進(jìn)行攻擊時(shí)，這樣的病毒存在于信息共享的網(wǎng)絡(luò)介質(zhì)上，因此就要在網(wǎng)關(guān)上設(shè)防，在網(wǎng)絡(luò)前端進(jìn)行殺毒。它對兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。 、安全加密技術(shù) 加密技術(shù)的出現(xiàn)為全球 電子 商務(wù)提供了保證，從而使基于 Inter 上的電子交易系統(tǒng)成為了可能，因此完善的對稱加密和非對稱加密技術(shù)仍是 21 世紀(jì)的主流。不對稱加密，即加密密鑰不同于解密密鑰，加密密鑰公之于眾，誰都可以用，解密密鑰只有解密人自己知道。鼠標(biāo)右擊 “網(wǎng)絡(luò)鄰居 ”，選擇 “屬性 ”，再鼠標(biāo)右擊 “本地連接 ”，選擇 “屬性 ”，卸載不必要的協(xié)議。 (2) 關(guān)閉 “文件和打印共享 ” 06 計(jì)算機(jī)軟件 1 班 胡小偉 網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)安全 江西渝州科技職業(yè)學(xué)院 16 文件和打印共享應(yīng)該是一個(gè)非常有用的功能，但在我們不需要它的時(shí)候，它也是引發(fā)黑客入侵的安全漏洞。即便確實(shí)需要共享，也應(yīng)該為共享資源設(shè)置訪問密碼。因此我們必須禁止建立空連接。比如在不需要遠(yuǎn)程管理計(jì)算機(jī)時(shí)，我都會將有關(guān)遠(yuǎn) 程網(wǎng)絡(luò)登錄的服務(wù)關(guān)掉。 做好 IE 的安全設(shè)置 ActiveX 控件和 Java Applets 有較強(qiáng)的功能，但也存在被人利用的隱患，網(wǎng)頁中的惡意代碼往往就是利用這些控件編寫的小程序，只要打開網(wǎng)頁就會被運(yùn)行。 IE 對此提供了多種選擇，具體設(shè)置步驟是： “工具 ”→“Inter 選項(xiàng) ”→“ 安全 ”→“ 自定義級別 ”。 安裝必要的安全軟件 我們還應(yīng)在電腦中安裝并使用必要的防黑軟件，殺毒軟件和防火墻都是必備的。 防范木馬程序 木馬程序會竊取所植入電腦中的有用信息，因此我們也要防止被黑客植入木馬程序，常用的辦法有： (1)在下載文件時(shí)先放到自己新建的文件夾里，再用殺毒軟件來檢測，起到提前預(yù)防的作用。 (3)將注冊表里 KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以 “Run”為前綴的可疑程序全部刪除即可。所以不要隨便回陌生人的郵件，即使他說得再動聽再誘人也不上當(dāng)。 (2)下載反間諜工具。 (4)安裝防火墻。 及時(shí)給系統(tǒng)打補(bǔ)丁 最后，建議大家到微軟的站點(diǎn)下載自己的操作系統(tǒng)對應(yīng)的補(bǔ)丁程序，微軟不斷推出的補(bǔ)丁盡管讓人厭煩，但卻是我們網(wǎng)絡(luò)安全的基礎(chǔ)。計(jì)算機(jī)信息系統(tǒng)安全 指計(jì)算機(jī)信息系統(tǒng)資產(chǎn) (包括網(wǎng)絡(luò) )的安全，即計(jì)算機(jī)信息系統(tǒng)資源 (硬件、軟件和信息 )不受自然和人為有害因素的威脅和危害。 由于計(jì)算機(jī)信息系統(tǒng)已經(jīng)成為信息社會另一種形式的 “金庫 ”和 “保密室 ”，因而，成為一些人窺視的目標(biāo)。計(jì)算機(jī)信息系統(tǒng)的安全威脅主要來自于以下幾個(gè)方面： 自然災(zāi)害。目前，我們不少計(jì)算機(jī)房并沒有防震、防火、防水、避雷、防電磁泄漏或干擾等措施，接地系統(tǒng)也疏于周到考慮，抵御自然災(zāi)害和意外事故的能力較差。由于噪音和電磁輻射，導(dǎo)致網(wǎng)絡(luò)信噪比下降，誤碼率增加，信息的安全性、完整性和可用性受到威脅。 計(jì)算機(jī)信息網(wǎng)絡(luò)上的黑客攻擊事件越 演越烈，已經(jīng)成為具有一定經(jīng)濟(jì)條件和技術(shù)專長的形形色色攻擊者活動的舞臺。境內(nèi)外黑客攻擊破壞網(wǎng)絡(luò)的問題十分嚴(yán)重，他們通常采用非法侵人重要信息系統(tǒng)，竊聽、獲取、攻擊侵人網(wǎng)的有關(guān)敏感性重要信息，修改和破壞信息網(wǎng)絡(luò)的正常使用狀態(tài)，造成數(shù)據(jù)丟失或系統(tǒng)癱瘓，給國家造成重大政治影響和經(jīng)濟(jì)損失。即信息網(wǎng)絡(luò)本身的不完善性和缺陷，成為被攻擊的目標(biāo)或利用為攻擊的途徑，其信息網(wǎng)絡(luò)脆弱 性引發(fā)了信息社會脆弱性和安全問題，并構(gòu)成了自然或人為破壞的威脅。 90 年代，出現(xiàn)了曾引起世界性恐慌的 “計(jì)算機(jī)病毒 ”，其蔓延范圍廣，增長速度驚人，損失難以估計(jì)。計(jì)算機(jī)感染上病毒后，輕則使系統(tǒng)上作效率下降，重則造成系統(tǒng)死機(jī)或毀壞，使部分文件或全部數(shù)據(jù)丟失，甚至造成計(jì)算機(jī)主板等部件的損壞。 一些人利用電子郵件地址的 “公開性 ”和系統(tǒng)的 “可廣播性 ”進(jìn)行商業(yè)、宗教、政治等活動，把自己的電 子郵件強(qiáng)行 “推入 ”別人的電子郵箱，強(qiáng)迫他人接受垃圾郵件。事實(shí)上，間諜軟件日前還是一個(gè)具有爭議的概念，一種被普遍接受的觀點(diǎn)認(rèn)為間諜軟件是指那些在用戶小知06 計(jì)算機(jī)軟件 1 班 胡小偉 網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)安全 江西渝州科技職業(yè)學(xué)院 18 情的情況下進(jìn)行非法安裝發(fā)裝后很難找到其蹤影，并悄悄把截獲的一些機(jī)密信息提供給第下者的軟件。 防御計(jì)算機(jī)病毒應(yīng)該從兩個(gè)方面著手，首 先應(yīng)該加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理人員以及使用人員的安全意識，使他們能養(yǎng)成正確上網(wǎng)、安全上網(wǎng)的好習(xí)慣。具體做法如下： ，口令控制。網(wǎng)絡(luò)管理員和終端操作員根據(jù)自己的職責(zé)權(quán)限，選擇不同的口令，對應(yīng)用程序數(shù)據(jù)進(jìn)行合法操作，防止用戶越權(quán)訪問數(shù)據(jù)和使用網(wǎng)絡(luò)資源。通常簡單的口令就能取得很好的控制效果，因?yàn)橄到y(tǒng)本身不會把口令泄露出去。 簡易安裝，集中管理。好的殺毒軟件能在幾分鐘內(nèi)輕松地安裝到組織里的每一個(gè) NT服務(wù)器上，并可下載和散布到所有的目的機(jī)器上，由網(wǎng)絡(luò)管理員集中設(shè)置和管 理，它會與操作系統(tǒng)及其它安全措施緊密地結(jié)合在一起，成為網(wǎng)絡(luò)安全管理的一部分，并且自動提供最佳的網(wǎng)絡(luò)病毒防御措施。 當(dāng)計(jì)算機(jī)病毒對網(wǎng)上資源的應(yīng)用程序進(jìn)行攻擊時(shí)，這樣的病毒存在于信息共享的網(wǎng)絡(luò)介質(zhì)上，因此就要在網(wǎng)關(guān)上設(shè)防，在網(wǎng)絡(luò)前端進(jìn)行殺毒。在計(jì)算機(jī)硬件和軟件， LAN服務(wù)器，服務(wù)器上的網(wǎng)關(guān)， Inter層層設(shè)防，對每種病毒都實(shí)行隔離、過濾，而且完全在后臺操作。為了引起普覺，當(dāng)在網(wǎng)絡(luò)中任何一臺工作站或服務(wù)器上發(fā)現(xiàn)病毒時(shí)，它都會立即報(bào)警通知網(wǎng)絡(luò)管理員。 網(wǎng)絡(luò)防毒不同于單機(jī)防毒。單機(jī)版的殺毒軟件雖然可以暫時(shí)查殺終端機(jī)上的病毒，一旦上網(wǎng)仍會被病毒感染，它是不能在網(wǎng)絡(luò)上徹底有效地查殺病毒，確保系統(tǒng)安全的。 對黑客的防御策略應(yīng)該是對整個(gè)網(wǎng)絡(luò)系統(tǒng)實(shí)施的分層次、多級別的包括檢測、告警和修復(fù)等應(yīng)急功能的實(shí)時(shí)系統(tǒng)策略，方法如下： 防火墻構(gòu)成了系統(tǒng)對外防御的第一道防線?；镜姆阑饓夹g(shù)有以下幾種： 路由器的一個(gè)主要功能足轉(zhuǎn)發(fā)分組，使之離目的更近。過濾路由器在一般路由器的基礎(chǔ)上增加了一些新的安全控制功能。 一個(gè)雙宿網(wǎng)關(guān)足一個(gè)具有兩個(gè)網(wǎng)絡(luò)界面的主機(jī)，每個(gè)網(wǎng)絡(luò)界面與它所對應(yīng)的網(wǎng)絡(luò)進(jìn)行了通信。 通常情況下，應(yīng)用層網(wǎng)關(guān)或代理雙宿網(wǎng)關(guān)下，他們傳遞的信息經(jīng)常是對一特定服務(wù)的請求或者對一特定服務(wù)的響應(yīng)。用戶只能夠使用代理服務(wù)器支持的服務(wù)。防火墻的配置包括一個(gè)位于內(nèi)部網(wǎng)絡(luò)下的堡壘主機(jī)和一個(gè)位于堡壘主機(jī)和 INTERNET 之間的過濾路由器。對到來的信息流而言，由于先要經(jīng)過過濾路由器的過濾，過濾后的信息流被轉(zhuǎn)發(fā)到堡壘主機(jī)上，然后由堡壘主機(jī)下的應(yīng)用服務(wù)代理對這此信息流進(jìn)行了分析并將合法的信息流轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)絡(luò)的主機(jī)上 。 一個(gè)安全的過濾子網(wǎng)建立在內(nèi)部網(wǎng)絡(luò)與 INTERNET 之間，這個(gè)子網(wǎng)的入口通常是一個(gè)堡壘主機(jī)，分組過濾器通常位于子網(wǎng)與 INTERNET之間以及內(nèi)部網(wǎng)絡(luò)與子網(wǎng)之間。堡壘主機(jī)上的代理提供了對外網(wǎng)絡(luò)的交互訪問。 、網(wǎng)絡(luò)檢測技術(shù)分析 人們意識到僅僅依靠防護(hù)技術(shù)是無法擋住所有攻擊，于是以檢測為主要標(biāo)志的安全技術(shù)應(yīng)運(yùn)而生。包括檢測外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法活動。它通過監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動來識別針對計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，包括檢測外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法活動。 入侵防御系統(tǒng)（ Intrusion Prevention System,IPS）則是一種主動的、積極的入侵防范、阻止系統(tǒng)。 IDS 是一種并聯(lián)在網(wǎng)絡(luò)上的設(shè)備，它只能被動地檢測網(wǎng)絡(luò)遭到了何種攻擊，它的阻斷攻擊能力非常有限；而 IPS 部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它檢測到攻擊企圖后，會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。防火墻是粒度比較粗的訪問控制產(chǎn)品，它在基于 TCP/IP 協(xié)議的過濾方面表現(xiàn)出色，同時(shí)具備網(wǎng)絡(luò)地址轉(zhuǎn)換、服務(wù)代理、流量統(tǒng)計(jì)、 VPN 等功能。發(fā)現(xiàn)系統(tǒng)漏洞的一種重要技術(shù)是蜜罐(Honeypot)系統(tǒng)，它是故意讓人攻擊的目標(biāo)，引誘黑客前來攻擊。 審計(jì)監(jiān)控技術(shù)。它不僅能夠識別誰訪問了系統(tǒng)，還能指出系統(tǒng)正被怎樣地使用。同時(shí)，系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識別問題，并且它是后面階段事故處理的重要依據(jù)。 轉(zhuǎn)貼于 中國論文下載中心 3 總結(jié) 綜上所述，網(wǎng)絡(luò)安全是一個(gè)綜合性的課題，涉及技術(shù)、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問題，也有物理和邏輯的技術(shù)措施。因此，一個(gè)用戶單位必須同時(shí)具備嚴(yán)格的保密政策、明確的安全策略以及高素質(zhì)的網(wǎng)絡(luò)管理人才這三方面的前提，才能完好、實(shí)時(shí)地保證信息的完整性和正確性，為網(wǎng)絡(luò)提供強(qiáng)大的安