淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全建設(shè)方法及安全技術(shù)

1、 淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全建設(shè)方法及安全技術(shù) 隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷進(jìn)展，信息全球化已成為人類進(jìn)展的現(xiàn)實(shí)。但由于計(jì)算機(jī)網(wǎng)絡(luò)具有多樣性、開(kāi)放性、互連性等特點(diǎn)，致使網(wǎng)絡(luò)易受攻擊。詳細(xì)的攻擊是多方面的，有來(lái)自黑客的攻擊，也有其他諸如計(jì)算機(jī)病毒等形式的攻擊。因此，網(wǎng)絡(luò)的平安措施就顯得尤為重要，只有針對(duì)各種不同的威逼或攻擊實(shí)行必要的措施，才能確保網(wǎng)絡(luò)信息的保密性、平安性和牢靠性。 1威逼計(jì)算機(jī)網(wǎng)絡(luò)平安的因素計(jì)算機(jī)網(wǎng)絡(luò)平安所面臨的威逼是多方面的，一般認(rèn)為，目前網(wǎng)絡(luò)存在的威逼主要表現(xiàn)在：1.1非授權(quán)訪問(wèn)沒(méi)有預(yù)先經(jīng)過(guò)同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作非授權(quán)訪問(wèn)，如有意避開(kāi)系統(tǒng)訪問(wèn)掌握機(jī)制，對(duì)網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使

2、用，或擅自擴(kuò)大權(quán)限，越權(quán)訪問(wèn)信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作、合法用戶以未授權(quán)方式進(jìn)行操作等。1.2信息泄漏或丟失指敏感數(shù)據(jù)在有意或無(wú)意中被泄漏出去或丟失，它通常包括：信息在傳輸中丟失或泄漏(如黑客利用電磁泄漏或搭線竊聽(tīng)等方式可截獲機(jī)密信息，或通過(guò)對(duì)信息流向、流量、通信頻度和長(zhǎng)度等參數(shù)的分析，推出有用信息，如用戶口令、賬號(hào)等重要信息)、信息在存儲(chǔ)介質(zhì)中丟失或泄漏、通過(guò)建立隱藏隧道等竊取敏感信息等。1.3破壞數(shù)據(jù)完整性以非法手段竊得對(duì)數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應(yīng)；惡意添加、修改數(shù)據(jù)，以干擾用戶的正常使用。1

3、.4拒絕服務(wù)攻擊它不斷對(duì)網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，轉(zhuǎn)變其正常的作業(yè)流程，執(zhí)行無(wú)關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。1.5利用網(wǎng)絡(luò)傳播病毒通過(guò)網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒，其破壞性大大高于單機(jī)系統(tǒng)，而且用戶很難防范。2網(wǎng)絡(luò)平安建設(shè)方法與技術(shù)網(wǎng)絡(luò)具有訪問(wèn)方式多樣、用戶群浩大、網(wǎng)絡(luò)行為突發(fā)性較高的特點(diǎn)。網(wǎng)絡(luò)平安問(wèn)題要從網(wǎng)絡(luò)規(guī)劃階段制定各種策略，并在實(shí)際運(yùn)行中加強(qiáng)管理。為保障網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行和網(wǎng)絡(luò)信息的平安，需要從多個(gè)方面實(shí)行對(duì)策。攻擊隨時(shí)可能發(fā)生，系統(tǒng)隨時(shí)可能被攻破，對(duì)網(wǎng)絡(luò)的平安實(shí)行防范措施是很有必要的。常用的防范措施有以下幾種。2

4、.1計(jì)算機(jī)病毒防治大多數(shù)計(jì)算機(jī)都裝有殺毒軟件，假如該軟件被準(zhǔn)時(shí)更新并正確維護(hù)，它就可以抵擋大多數(shù)病毒攻擊。定期地升級(jí)軟件是很重要的。在病毒入侵系統(tǒng)時(shí)，對(duì)于病毒庫(kù)中已知的病毒或可疑程序、可疑代碼，殺毒軟件可以準(zhǔn)時(shí)地發(fā)覺(jué)，并向系統(tǒng)發(fā)出警報(bào)，精確地查找出病毒的來(lái)源。大多數(shù)病毒能夠被清除或隔離。再有，對(duì)于不明來(lái)歷的軟件、程序及生疏郵件，不要輕易打開(kāi)或執(zhí)行。感染病毒后要準(zhǔn)時(shí)修補(bǔ)系統(tǒng)漏洞，并進(jìn)行病毒檢測(cè)和清除。2.2防火墻技術(shù)2.3入侵檢測(cè)攻擊者進(jìn)行網(wǎng)絡(luò)攻擊和入侵的緣由，在于計(jì)算機(jī)網(wǎng)絡(luò)中存在著可以為攻擊者所利用的平安弱點(diǎn)、漏洞以及擔(dān)心全的配置，比如操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、tcpip協(xié)議、應(yīng)用程序、網(wǎng)絡(luò)設(shè)備等幾

5、個(gè)方面。假如網(wǎng)絡(luò)系統(tǒng)缺少預(yù)警防護(hù)機(jī)制，那么即使攻擊者已經(jīng)侵入到內(nèi)部網(wǎng)絡(luò)，侵入到關(guān)鍵的主機(jī)，并從事非法的操作，我們的網(wǎng)管人員也很難察覺(jué)到。這樣，攻擊者就有足夠的時(shí)間來(lái)做他們想做的任何事情。基于網(wǎng)絡(luò)的ids，即入侵檢測(cè)系統(tǒng)，可以供應(yīng)全天候的網(wǎng)絡(luò)監(jiān)控，關(guān)心網(wǎng)絡(luò)系統(tǒng)快速發(fā)覺(jué)網(wǎng)絡(luò)攻擊大事，提高信息平安基礎(chǔ)結(jié)構(gòu)的完整性。ids可以分析網(wǎng)絡(luò)中的分組數(shù)據(jù)流，當(dāng)檢測(cè)到未經(jīng)授權(quán)的活動(dòng)時(shí)，ids可以向管理掌握臺(tái)發(fā)送警告，其中含有具體的活動(dòng)信息，還可以要求其他系統(tǒng)(例如路由器)中斷未經(jīng)授權(quán)的進(jìn)程。ids被認(rèn)為是防火墻之后的其次道平安閘門，它能在不影響網(wǎng)絡(luò)性能的狀況下對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)聽(tīng)，從而供應(yīng)對(duì)內(nèi)部攻擊、外部攻擊和誤操作

6、的實(shí)時(shí)愛(ài)護(hù)。2.4平安漏洞掃描技術(shù)平安漏洞掃描技術(shù)可以自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)平安性上的弱點(diǎn)，讓網(wǎng)絡(luò)管理人員能在入侵者發(fā)覺(jué)平安漏洞之前，找到并修補(bǔ)這些平安漏洞。平安漏洞掃描軟件有主機(jī)漏洞掃描，網(wǎng)絡(luò)漏洞掃描，以及特地針對(duì)數(shù)據(jù)庫(kù)作平安漏洞檢查的掃描器。各類平安漏洞掃描器都要留意平安資料庫(kù)的更新，操作系統(tǒng)的漏洞隨時(shí)都在發(fā)布，只有準(zhǔn)時(shí)更新才能完全的掃描出系統(tǒng)的漏洞，阻擋黑客的入侵。2.5數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù)是最基本的網(wǎng)絡(luò)平安技術(shù)，被譽(yù)為信息平安的核心，最初主要用于保證數(shù)據(jù)在存儲(chǔ)和傳輸過(guò)程中的保密性。它通過(guò)變換和置換等各種方法將被愛(ài)護(hù)信息置換成密文，然后再進(jìn)行信息的存儲(chǔ)或傳輸，即使加密信息在存儲(chǔ)或者傳

7、輸過(guò)程為非授權(quán)人員所獲得，也可以保證這些信息不為其認(rèn)知，從而達(dá)到愛(ài)護(hù)信息的目的。該方法的保密性直接取決于所采納的密碼算法和密鑰長(zhǎng)度。2.6平安隔離技術(shù)面對(duì)新型網(wǎng)絡(luò)攻擊手段的不斷消失和高平安網(wǎng)絡(luò)的特別需求，全新平安防護(hù)理念平安隔離技術(shù)應(yīng)運(yùn)而生。它的目標(biāo)是，在確保把有害攻擊隔離在可信網(wǎng)絡(luò)之外，并保證可信網(wǎng)絡(luò)內(nèi)部信息不外泄的前提下，完成網(wǎng)絡(luò)間信息的平安交換。隔離概念的消失是為了愛(ài)護(hù)高平安度網(wǎng)絡(luò)環(huán)境。2.7黑客誘騙技術(shù)黑客誘騙技術(shù)是近期進(jìn)展起來(lái)的一種網(wǎng)絡(luò)平安技術(shù)，通過(guò)一個(gè)由網(wǎng)絡(luò)平安專家細(xì)心設(shè)置的特別系統(tǒng)來(lái)引誘黑客，并對(duì)黑客進(jìn)行跟蹤和記錄。這種黑客誘騙系統(tǒng)通常也稱為蜜罐(honeypot)系統(tǒng)，其最重要

8、的功能是特別設(shè)置的對(duì)于系統(tǒng)中全部操作的監(jiān)視和記錄，網(wǎng)絡(luò)平安專家通過(guò)細(xì)心的偽裝使得黑客在進(jìn)入到目標(biāo)系統(tǒng)后，仍不知曉自己全部的行為已處于系統(tǒng)的監(jiān)視之中。為了吸引黑客，網(wǎng)絡(luò)平安專家通常還在蜜罐系統(tǒng)上有意留下一些平安后門來(lái)吸引黑客上鉤，或者放置一些網(wǎng)絡(luò)攻擊者盼望得到的敏感信息，當(dāng)然這些信息都是虛假信息。這樣，當(dāng)黑客正為攻入目標(biāo)系統(tǒng)而沾沾自喜的時(shí)候，他在目標(biāo)系統(tǒng)中的全部行為，包括輸入的字符、執(zhí)行的操作都已經(jīng)為蜜罐系統(tǒng)所記錄。有些蜜罐系統(tǒng)甚至可以對(duì)黑客網(wǎng)上談天的內(nèi)容進(jìn)行記錄。蜜罐系統(tǒng)管理人員通過(guò)討論和分析這些記錄，可以知道黑客采納的攻擊工具、攻擊手段、攻擊目的和攻擊水平，通過(guò)分析黑客的網(wǎng)上談天內(nèi)容還可以獲得黑客的活動(dòng)范圍以及下一步的攻擊目標(biāo)，依據(jù)這些信息，管理人員可以提前對(duì)系統(tǒng)進(jìn)行愛(ài)護(hù)。同時(shí)在蜜罐系統(tǒng)中記錄下的信息還可以作為對(duì)黑客進(jìn)行起訴的證據(jù)。2.8網(wǎng)絡(luò)平安管理防范措施對(duì)于平安領(lǐng)域存在的問(wèn)題，應(yīng)實(shí)行多種技術(shù)手段和措施進(jìn)行防范。在多種技術(shù)手段并用的同時(shí)，管理工作同樣不容忽視。規(guī)劃網(wǎng)絡(luò)的平安策略、確定網(wǎng)絡(luò)平安工作的目標(biāo)和對(duì)象、掌握用戶的訪問(wèn)權(quán)限、制定書(shū)