摘要：隨著計算機網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，信息化的程度越來越高，網(wǎng)絡(luò)安全已經(jīng)成為計算機領(lǐng)域所關(guān)注的焦點。本文旨在分析計算機網(wǎng)絡(luò)面臨的威脅和存在的安全隱患，并提出安全防范措施，維護(hù)計算機網(wǎng)絡(luò)安全。
關(guān)鍵詞：:計算機；網(wǎng)絡(luò)安全；防范
一、計算機網(wǎng)絡(luò)面臨的威脅
1.軟件編寫存在bug:無論是服務(wù)器程序、客戶端軟件還是操作系統(tǒng)，只要是用代碼編寫的程序，都會存在不同程度的bug。bug主要分為以下幾類:(1)緩沖區(qū)溢出:指入侵者在程序的有關(guān)輸入項目中了輸入了超過規(guī)定長度的字符串，超過的部分通常就是入侵者想要執(zhí)行的攻擊代碼，而程序編寫者又沒有進(jìn)行輸入長度的檢查，最終導(dǎo)致多出的攻擊代碼占據(jù)了輸入緩沖區(qū)后的內(nèi)存而執(zhí)行。(2)意料外的聯(lián)合使用問題:一個程序經(jīng)常由功能不同的多層代碼組成，甚至?xí)�涉及到最底層的操作系統(tǒng)級別。入侵者通常會利用這個特點為不同的層輸入不同的內(nèi)容，以達(dá)到竊取信息的目的。(3)不對輸入內(nèi)容進(jìn)行預(yù)期檢查:有些編程人員怕麻煩，對輸入內(nèi)容不進(jìn)行預(yù)期的匹配檢查，使入侵者輸送炸彈的工作輕松簡單。(4)Raceconditions:多任務(wù)多線程的程序越來越多，在提高運行效率的同時，也要注意Raceconditions的問題。例如:程序A和程序B都按照“讀/改/寫”的順序操作一個文件，當(dāng)A進(jìn)行完讀和改的工作時，B啟動立即執(zhí)行完“讀/改/寫”的全部工作，這時A繼續(xù)執(zhí)行寫工作，結(jié)果是A的操作沒有了表現(xiàn)，入侵者就可能利用這個處理順序上的漏洞改寫某些重要文件從而達(dá)到闖入系統(tǒng)的目的，所以，編程人員要注意文件操作的順序以及鎖定等問題。
2.TCP/IP初始設(shè)計存在缺陷:即使軟件編寫不出現(xiàn)bug,程序執(zhí)行時也按照正確的步驟進(jìn)行，但初始設(shè)計存在缺陷仍會導(dǎo)致入侵者的攻擊。TCP/IP協(xié)議現(xiàn)在已經(jīng)廣泛應(yīng)用，但是它卻是在入侵者猖狂的今天之前設(shè)計出來的，因此存在許多不足，造成安全漏洞在所難免。例如ICMPUnreachable數(shù)據(jù)包斷開,IP地址欺騙以及SY'N湮沒。然而，最大的問題在于IP協(xié)議是非常容易“輕信”的，就是說入侵者可以隨意地偽造及修改IP數(shù)據(jù)包而不被發(fā)現(xiàn)。
3.系統(tǒng)配置不當(dāng):(1)默認(rèn)配置的不足:許多系統(tǒng)安裝后都有默認(rèn)的安全配置信息，通常被稱為easytouse。但遺憾的是，easytouse還意味著easytobreakin。所以，一定對默認(rèn)配置進(jìn)行揚棄的工作。(2)管理員懶散:懶散的表現(xiàn)之一就是系統(tǒng)安裝后保持管理員口令的空置，而且隨后不進(jìn)行添加和修改。(3)臨時端口:有時候為了測試之用，答理員會在機器上打開一個臨時端口,但測試完后卻忘記了關(guān)閉，這樣就會給入侵者有空可鉆。(4)信任關(guān)系:網(wǎng)絡(luò)間的系統(tǒng)經(jīng)常建立信任關(guān)系以方便資源共享，只要攻破信任群中的一個機器，就有可能進(jìn)一步攻擊其他的機器。所以，要對信任關(guān)系嚴(yán)格審核、確保真正的安全聯(lián)盟。
4.安全意識不強:用戶口令選擇不慎，或?qū)⒆约旱膸ぬ栯S意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅。
5.病毒:目前數(shù)據(jù)安全的頭號大敵是計算機病毒。新型病毒正向著更具破壞性、更加隱秘、感染率更高、傳播速度更快、適應(yīng)平臺更廣泛的方向發(fā)展。病毒給人類造成的經(jīng)濟(jì)損失逐年上升，因此，提高對病毒的防范刻不容緩。
6.黑客:從某種意義上講，黑客對信息安全的危害甚至比一般的電腦病毒更為嚴(yán)重。形勢的日益嚴(yán)峻使得反病毒行業(yè)，防毒、防黑客產(chǎn)品的研究和開發(fā)已成為一種趨勢。
二、計算機網(wǎng)絡(luò)中存在的隱患
1.廣播風(fēng)暴的風(fēng)險:由于NETBEUI等非路由協(xié)議的數(shù)據(jù)包以廣播方式在整個網(wǎng)上傳播，造成了網(wǎng)絡(luò)資源的浪費，并可能產(chǎn)生“廣播風(fēng)暴”，造成整個網(wǎng)絡(luò)系統(tǒng)的癱瘓。
2.資源共享所產(chǎn)生的安全隱患:一些用戶喜歡利用網(wǎng)絡(luò)鄰居實現(xiàn)資源的共享，這樣是很方便，但同時也帶來不安全的隱患。首先，易造成網(wǎng)上計算機病毒的傳播。第二，會造成非法用戶的非法訪問，竊取用戶保密資料或破壞用戶的資源。
3.共享式網(wǎng)絡(luò)設(shè)備的安全隱患:系統(tǒng)的內(nèi)部網(wǎng)都是采用的以廣播為技術(shù)基礎(chǔ)的以太網(wǎng)，任何兩個節(jié)點之間的通信數(shù)據(jù)包，不僅為這兩個節(jié)點的網(wǎng)卡所接收，也可以被處在同一以太網(wǎng)上的任何一個節(jié)點的網(wǎng)卡所截取，只要接入以太網(wǎng)上的任一節(jié)點的用戶現(xiàn)在很容易從Internet上得到的許多免費的黑客工具，如SATAN,ISS,NETCAT等幫助下進(jìn)行偵聽，就可以捕獲發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包，對其進(jìn)行解包分析，從而可能竊取關(guān)鍵信息，這就是以太網(wǎng)所固有的安全隱患。以交換式網(wǎng)絡(luò)設(shè)備代替共享式網(wǎng)絡(luò)設(shè)備對局域網(wǎng)的中心交換機進(jìn)行網(wǎng)絡(luò)分段后，以太網(wǎng)偵聽的危險仍然存在。這是因為網(wǎng)絡(luò)最終用戶是通過分支集線器而不一定都是通過中心交換機，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當(dāng)用戶與主機進(jìn)行數(shù)據(jù)交換時，還是有可能被同一臺集線器上的其他用戶偵聽到。因此，在內(nèi)部網(wǎng)中最好要以交換式集線器代替共享式集線器，使數(shù)據(jù)包僅在兩個節(jié)點之間傳送，從而有效地防止可能的非法偵聽。
4.應(yīng)用系統(tǒng)的安全隱患:非法用戶可通過SATAN等掃描工具對網(wǎng)絡(luò)上主機進(jìn)行掃描，找出漏洞，進(jìn)行攻擊。
5.文件服務(wù)器、郵件服務(wù)器及WEB服務(wù)器的安全隱患:如果這些服務(wù)器沒有采取相應(yīng)的安全保護(hù)措施，則可能遭受“黑客”的攻擊和病毒的侵害。如:涂改Web頁面、發(fā)送垃圾郵件、使用“特洛伊木馬”程序攻擊用戶。
6.路由協(xié)議存在的安全隱患:在許多計算機網(wǎng)絡(luò)中，路由器之間采用的協(xié)議有OSPF和RIP兩種;因為版本較低，其中有的路由器協(xié)議的版本為RIP.它不支持加密功能.因而當(dāng)某一非法用戶啟用V1.0協(xié)議，將路由指向某一不存在的地址時，可能造成網(wǎng)絡(luò)故障。
三、計算機網(wǎng)絡(luò)安全防范技術(shù)
1.物理隔離網(wǎng)絡(luò)的安全技術(shù):建立一個內(nèi)網(wǎng)節(jié)點保護(hù)體系，并將整個網(wǎng)絡(luò)的所有情況通過節(jié)點的實時反饋，集中到一個系統(tǒng)安全信息管理中心，然后通過該管理中心對全網(wǎng)進(jìn)行統(tǒng)一管理。節(jié)點設(shè)備安全并不只是單點安全技術(shù)，不僅僅關(guān)注節(jié)點，同時還要考慮全網(wǎng)安全體系架構(gòu)。所有節(jié)點都要服從安全體系架構(gòu)的統(tǒng)一的框架，接受統(tǒng)一的管理。
2.訪問控制技術(shù):訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問。訪問控制措施有以下幾個方面:(1)入網(wǎng)訪問控制。入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時間和準(zhǔn)許他們在哪臺工作站入網(wǎng)。(2)網(wǎng)絡(luò)的權(quán)限控制。網(wǎng)絡(luò)的權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。受托者指派和繼承權(quán)限屏蔽(IRM)可作為其兩種實現(xiàn)方式。受托者指派控制用戶和用戶組如何使用網(wǎng)絡(luò)服務(wù)器的目錄、文件和設(shè)備。繼承權(quán)限屏蔽相當(dāng)于一個過濾器，可以限制子目錄從父目錄那里繼承哪些權(quán)限。(3)目錄安全控制。網(wǎng)絡(luò)允許控制用戶對目錄、文件、設(shè)備的訪問。對目錄和文件的訪問權(quán)限一般有八種:系統(tǒng)管理員權(quán)限（Supervisor）,讀權(quán)限(Read),寫權(quán)限(Write),創(chuàng)建權(quán)限(Create)、刪除權(quán)限(Erase)、修改權(quán)限(Modify)、文件查找權(quán)限(AccessControl)。八種訪問權(quán)限的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對服務(wù)器資源的訪問，從而加強了網(wǎng)絡(luò)和服務(wù)器的安全性。(4)屬性安全控制。當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問屬性。屬性往往能控制以下幾個方面的權(quán)限:向某個文件寫數(shù)據(jù)、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網(wǎng)絡(luò)的屬性可以保護(hù)重要的目錄和文件，防止用戶對目錄和文件的誤刪除、執(zhí)行修改、顯示等。(5)網(wǎng)絡(luò)服務(wù)器安全控制。網(wǎng)絡(luò)允許在服務(wù)器控制臺上執(zhí)行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網(wǎng)絡(luò)服務(wù)器的安全控制包括設(shè)置口令鎖定服務(wù)器控制臺.以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù);可以設(shè)定服務(wù)器登錄時間限制、非法訪問者檢測和關(guān)閉的時間間隔。(6)網(wǎng)絡(luò)監(jiān)測和訪問控制。網(wǎng)絡(luò)管理員應(yīng)對網(wǎng)絡(luò)實施監(jiān)控服務(wù)器記錄用戶對網(wǎng)絡(luò)資源的訪問，對非法的網(wǎng)絡(luò)訪問，服務(wù)器應(yīng)以圖形或文字或聲音等形式報警，以引起網(wǎng)絡(luò)管理員的注意。如果不法之徒試圖進(jìn)入網(wǎng)絡(luò)，網(wǎng)絡(luò)服務(wù)器應(yīng)會自動記錄企圖嘗試進(jìn)入網(wǎng)絡(luò)的次數(shù)，如果非法訪問的次數(shù)達(dá)到設(shè)定數(shù)值，那么該帳戶將被自動鎖定。(7)網(wǎng)絡(luò)端口和節(jié)點的安全控制。網(wǎng)絡(luò)中服務(wù)器的端口往往使用自動回呼設(shè)備、靜默調(diào)制解調(diào)器加以保護(hù)，并以加密的形式來識別節(jié)點身份。自動回呼設(shè)備用于防止假冒合法用戶，靜默調(diào)制解調(diào)器用于防范黑客的自動撥號程序?qū)τ嬎銠C進(jìn)行攻擊。網(wǎng)絡(luò)還常對服務(wù)器端和用戶端采取控制，用戶必須攜帶證實身份的驗證器。在對用戶的身份進(jìn)行驗證之后，才允許用戶進(jìn)入用戶端。然后用戶端和服務(wù)端再進(jìn)行相互驗證。(8)防火墻控制。它是一個用以阻止網(wǎng)絡(luò)中的黑客訪問某個機構(gòu)網(wǎng)絡(luò)的屏障，也可稱之為控制進(jìn)/出兩個方向通信的門檻。在網(wǎng)絡(luò)邊界上通過建立起來的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻檔外部網(wǎng)絡(luò)的侵入。

 1/2    1 2 下一頁 尾頁