网络安全分析与技术解决方案探究

□张小莉

( 山西轻工职业技术学院，山西 太原 030013)

由于计算机网络具有形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、恶意软件和其他攻击。因此,网络信息的安全和保密是一个至关重要的问题。

一、网络常见的安全隐患

网络中存在着各种各样的安全隐患。简要概述为以下几点。

1.网络基础设施面临的安全隐患。这种安全隐患不太引人注意，但却是非常重要的物理威胁。大体分为四类：(1)环境隐患。主要是防止机房温度的过热或过冷、湿度的过湿或过干以及防水、防火、防鼠等等。解决方法为通过温度控制、湿度控制、加强空气流通、远程环境报警，以及记录和监视等措施营造合适的环境；(2)硬件隐患。防盗窃和防止人为有意或无意的破坏服务器、路由器、交换机、布线系统、工作站等。解决方法为锁好配线间，只允许授权的人员进入，使用电子访问控制，安装摄像头等措施；(3)电气隐患。主要是指防止电压过高、电源电压不足、不合格的电源和突然断电。解决方法为安装UPS系统和发电机组，实施远程监视；(4)维护隐患。控制静电的产生，并在产生后有相应的处理措施；杜绝布线混乱和设备及线缆标注不明。解决方法为确保电缆布线整齐有序、标记重要电缆和组件、遵循静电放电规则。

2.漏洞。漏洞是指每个网络和设备固有的薄弱环节。这些设备包括服务器、普通PC机、交换机、路由器，甚至网络安全设备也存在漏洞，如防火墙、入侵检测设备等都存在漏洞。因为每个网络或设备都是硬件和软件的结合体。就软件而言，本身在开发时就不完善。这样就给攻击者可乘之机。漏洞主要可分为三类：(1)技术缺陷。如TCP/IP协议、操作系统、网络设备等。超文本传输协议(HTTP)、文件传输协议(FTP)，这些协议本身就是不安全的。UNIX、Linux、Windows系列系统等都存在着安全漏洞。因此，我们经常需要给系统打补丁；(2)配置缺陷。如账户不安全、系统账户密码过于简单、各种网络产品默认设置不安全、网络配置不正确、Internet服务的配置不正确等；(3)策略缺陷。如服务器发生故障，没有备用服务器提供服务；网络核心设备发生故障，没有备用的设备等。

3.网络面临的威胁。(1)无组织的威胁。一般是一些缺乏经验的个人，他们使用从网络上下载的或自制的一些简单的工具对网络进行攻击或破坏。(2)有组织的威胁。大多是具备技术能力很强的个人或团体。这些人了解系统和网络的漏洞，通过各种方法攻破企业系统，进行欺骗、破坏或篡改数据、或者盗取机密数据，从中谋取暴利。

二、常见网络攻击的类型

网络可能遭受各种各样的攻击，了解攻击的方式可以有效地防范网络被破坏，数据被窃取。

1.侦查攻击。此类攻击也称为信息收集。侦察类似于冒充邻居的小偷伺机寻找容易下手的住宅，例如无人居住的住宅、容易打开的门或窗户等。侦查攻击可以通过Internet进行信息查询、Ping扫描可用的IP地址、扫描处于活动的端口、数据包嗅探等方式查找漏洞。类似于我们拿着电话本，随意拨打里面的电话号码，看哪些号码会有人接听。接听的电话就相当于端口处于活动状态。

2.访问攻击。此类攻击是利用Web服务、FTP服务和身份验证服务已存在的漏洞，获取对Web账户、机密数据库和其它敏感信息的访问。访问攻击是指入侵者获取本来不具备访问权限的访问权。入侵者进入或访问系统后会运行某种黑客程序、脚本或工具，以利用目标系统或应用程序的漏洞展开攻击。这类似于不法分子侵入某住宅，在其隐蔽的地方安装了摄像头和监听器。

3.拒绝服务。DoS 攻击的方式多种多样,其目的都是通过消耗系统资源使授权用户无法正常使用服务。DoS攻击是知名度最高的攻击，并且也是最难防范的一种攻击。发起这种攻击非常容易。由于其实施简单、破坏力强大，安全管理员需要特别注意。SYN 泛洪攻击是DoS攻击的一种，它利用了TCP 三次握手机制。它向目标服务器发送大量 SYN 请求。服务器使用常规的SYN-ACK做出响应，但恶意主机始终不发送最后的ACK 响应来完成握手过程。这会大量占用服务器资源，直到资源最终耗尽而无法响应有效的主机请求。DoS 攻击可以使系统崩溃或者将系统性能降低至无法使用。但是，DoS也可以只是简单地删除或破坏信息。例如电子邮件炸弹，这种攻击向个人或域批量发送电子邮件，从而独占电子邮件服务的程序，直至耗尽CPU资源，使邮件服务器系统瘫痪。

4.恶意代码。客户端最容易遭受蠕虫、病毒和特洛伊木马攻击。蠕虫会执行代码，并将自身的副本安装到受感染计算机的内存中，然后感染其它主机。病毒是附加在其它程序上的恶意软件，其目的是在工作站上执行特定恶意功能。特洛伊木马与蠕虫或病毒的不同之处仅在于整个应用程序经过伪装，看似无害，但实际上是攻击工具。感染恶意代码的机子表现为经常性死机、运行速度慢、黑屏、开机时间变长等的现象。

三、常用防范技术

探讨了各种与网络相关的攻击后，针对其特点采取有力的措施加以防范。

1.主机和服务器的安全。(1)设备加固。当计算机上安装了新操作系统时，在安全设置方面还停留在默认值。这样做是不安全的。比较稳妥的办法是更换默认用户名和密码；授权某些用户对系统资源进行访问；尽可能将一些不必要的服务和应用程序关闭或卸载。网络主机(例如工作站 PC 和服务器)的保护非常重要。当主机添加到网络时，需要对其进行保护，并在有新的安全补丁时尽可能使用安全补丁更新这些主机。(2)防病毒软件。防病毒软件安装在主机上可抵御已知病毒。他可以检测到大多数病毒和许多特洛伊木马应用程序，并能防止它们在网络中传播。例如瑞星、卡巴斯基、诺顿、360等杀毒软件。防病毒软件通过扫描文件，将文件的内容与病毒数据库的已知病毒进行比较。如果发现匹配，就认为是病毒，将其删除。(3)操作系统补丁。蠕虫、病毒及木马侵入系统的入口就是系统漏洞。因此，为系统打补丁是防范蠕虫及其变体的最有效方法。一种管理重要安全补丁的方法是创建一台中央补丁服务器，每隔指定的时间后，所有主机都必须自动从补丁服务器下载并安装尚未应用的补丁，用户无需干预。

2.网络信息的安全。信息的安全是要保证数据具有可用性、完整性、保密性。为了确保信息的安全，故采用如下几种技术：(1)加密技术。网络中的数据大多是以明文的形式传输的，这样被截获的数据很容易被破解。因此，通过对数据进行加密，以密文的形式传输，即使被截获也无法识别，有效地保证数据的可用性和完整性。数据加密可以通过DES、3DES、MD5等加密算法，还可以通过网路设备的IOS软件提供的安全功能进行加密。如IPSce隧道加密、SSL VPN等。采用加密技术的网络安全系统将成为网络安全的主要实现方式。(2)防火墙技术。防火墙技术已经成为近年来新兴的保护计算机网络安全技术性措施。它是一种隔离控制技术，在某个机构的网络和不安全的网络(如Internet)之间设置屏障。阻止对信息资源的非法访问，也可以使用防火墙阻止重要信息从企业的网络上被非法输出。企业信息系统对于来自Internet的访问，采取有选择的接收方式。它可以允许或禁止一类具体的IP地址访问，也可以接收或拒绝TCP/IP上的某一类具体的应用。例如一个企业只是使用Internet的电子邮件和WWW服务器向外部提供信息，那么就可以在FireWall上设置使得只有这两类应用的数据包可以通过，其他服务将被拒绝。还可以通过防火墙的设置让某个部门在上班时间不能使用QQ、MSN等聊天工具。(3)入侵检测技术。它不同于防火墙，IDS入侵检测系统是一个监听设备，无需串接在任何链路中，网络流量无需流经该设备，即可检测到网络中的异常传输。它时刻关注着网络中的数据传输。IDS可以检测到的攻击类型包括：系统扫描、拒绝服务、系统渗透。一般IDS安装的位置在服务器区域的交换机上、Internet接入路由器之后的第一台交换机上或重点保护网段的局域网交换机上，这些都是采用“旁路”的方式侦听。

总之，信息与网络安全必将成为网络运营商各项业务的关键点，而且发挥越来越重要的作用。因此，认清网络的脆弱性和潜在威胁，采取强有力的安全策略，对于保障网络的安全性将变得十分重要。

参考文献：

[1]张仕斌．网络安全技术[M]．北京：清华大学出版社，2004．

[2]王群．计算机网络安全技术[M]．北京：清华大学出版社，2008．

[3]海吉．网络安全技术与解决方案[M]．北京：人民邮电出版社，2010．

[4]邓吉，张奎亭．网络安全攻防实战[M]．北京：电子工业出版社，2008．