試論信息安全防護(hù)方法和策略

試論信息安全防護(hù)方法和策略論文摘要：文章針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開(kāi)放性、互連性等特征，致使網(wǎng)絡(luò)易受黑客、怪客、惡意軟件和其他不軌的攻擊的安全和保密問(wèn)題，歸納并提出了一些網(wǎng)絡(luò)信息安全防護(hù)的方法和策略。近年來(lái)，伴隨著互聯(lián)網(wǎng)技術(shù)在全球迅猛發(fā)展，人們?cè)谔峁┝藰O大的方便，然而，信息化在給人們帶來(lái)種種物質(zhì)和文化享受的同時(shí)，我們也正受到日益嚴(yán)重的來(lái)自網(wǎng)絡(luò)的安全威脅，諸如網(wǎng)絡(luò)的數(shù)據(jù)竊賊、黑客的侵襲、病毒發(fā)布者，甚至系統(tǒng)內(nèi)部的泄密者。盡管我們正在廣泛地使用各種復(fù)雜的軟件技術(shù)，如防火墻、代理服務(wù)器，但是，無(wú)論在發(fā)達(dá)國(guó)家，還是在發(fā)展中國(guó)家，黑客活動(dòng)越來(lái)越猖狂，他們無(wú)孔不入，對(duì)社會(huì)造成了嚴(yán)重的危害。與此同時(shí)，更讓人不安的是，互聯(lián)網(wǎng)上黑客網(wǎng)站還在不斷增加，學(xué)習(xí)黑客技術(shù)、獲得黑客攻擊工具變得輕而易舉。這樣，使原本就十分脆弱的互聯(lián)網(wǎng)越發(fā)顯得不安全。針對(duì)各種來(lái)自網(wǎng)上的安全威脅，怎樣才能確保網(wǎng)絡(luò)信息的安全性，尤其是網(wǎng)絡(luò)上重要的數(shù)據(jù)的安全性。1計(jì)算機(jī)網(wǎng)絡(luò)信息安全面臨的威脅計(jì)算機(jī)網(wǎng)絡(luò)所面臨的威脅大體可分為兩種：對(duì)網(wǎng)絡(luò)中信息的威脅；②對(duì)網(wǎng)絡(luò)中設(shè)備的威脅。影響計(jì)算機(jī)網(wǎng)絡(luò)的因素很多，有些因素可能是有意的，也可能是無(wú)意的；可能是人為的，也可能是非人為的；可能是外來(lái)黑客對(duì)網(wǎng)絡(luò)系統(tǒng)資源的非法使有，歸結(jié)起來(lái)，針對(duì)網(wǎng)絡(luò)安全的威脅主要有以下幾方面：1.1人為的無(wú)意失誤如操作員安全配置不當(dāng)造成的安全漏洞，用戶(hù)安全意識(shí)不強(qiáng)，用戶(hù)口令選擇不慎，用戶(hù)將自己的賬號(hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅。1.2人為的惡意攻擊這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅，敵手的攻擊和計(jì)算機(jī)犯罪就屬于這一類(lèi)。此類(lèi)攻擊又可以分為以下兩種：一種是主動(dòng)攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類(lèi)是被動(dòng)攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息。這兩種攻擊均可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏。1.3網(wǎng)絡(luò)軟件的漏洞和“后門(mén)”網(wǎng)絡(luò)軟件不可能是百分之百的無(wú)缺陷和無(wú)漏洞的，然而，這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)，曾經(jīng)出現(xiàn)過(guò)的黑客攻入網(wǎng)絡(luò)內(nèi)部的事件，這些事件的大部分就是因?yàn)榘踩胧┎煌晟扑兄碌目喙?。另外，軟件的“后門(mén)”都是軟件公司的設(shè)計(jì)編程人員為了自便而設(shè)置的，一般不為外人所知，但一旦“后門(mén)”洞開(kāi)，其造成的后果將不堪設(shè)想。2計(jì)算機(jī)網(wǎng)絡(luò)存在的安全問(wèn)題導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)信息安全受到威脅的根本原因在于網(wǎng)絡(luò)存在安全問(wèn)題，歸納為以下幾點(diǎn)：2.1固有的安全漏洞現(xiàn)在，新的操作系統(tǒng)或應(yīng)用軟件剛一上市，漏洞就已被找出。沒(méi)有任何一個(gè)系統(tǒng)可以排除漏洞的存在，想要修補(bǔ)所有的漏洞很難。2.1.12.1.2拒絕服務(wù)。拒絕服務(wù)(DoS)攻擊的原理是攪亂TCP/IP連接的次序。典型的DoS攻擊會(huì)耗盡或是損壞一個(gè)或多個(gè)系統(tǒng)的資源(CPU周期、內(nèi)存和磁盤(pán)空間)，直至系統(tǒng)無(wú)法處理合法的程序。這類(lèi)攻擊的例子是Synflood攻擊。發(fā)動(dòng)Synflood攻擊的破壞者發(fā)送大量的不合法請(qǐng)求要求連接，目的是使系統(tǒng)不勝負(fù)荷。其結(jié)果是系統(tǒng)拒絕所有合法的請(qǐng)求，直至等待回答的請(qǐng)求超時(shí)。2.2合法工具的濫用大部分系統(tǒng)都配備了用以改進(jìn)系統(tǒng)管理及服務(wù)質(zhì)量的工具軟件，但遺憾的是，這些工具同時(shí)也會(huì)被破壞者利用去收集非法信息及加強(qiáng)攻擊力度：例如：NBTSTAT命令是用來(lái)給系統(tǒng)管理員提供遠(yuǎn)程節(jié)點(diǎn)的信息的。但是破壞者也用這一命令收集對(duì)系統(tǒng)有威脅性的信息，例如區(qū)域控制軟件的身份信息、NetBIOS的名字、IIS名甚至是用戶(hù)名。這些信息足以被黑客用來(lái)破譯口令。另一個(gè)最常被利用的工具是網(wǎng)包嗅探器(PacketSniffer)。系統(tǒng)管理員用此工具來(lái)監(jiān)控及分發(fā)網(wǎng)包，以便找出網(wǎng)絡(luò)的潛在問(wèn)題。黑客如要攻擊網(wǎng)絡(luò)，則先把網(wǎng)卡變成功能混雜的設(shè)備，截取經(jīng)過(guò)網(wǎng)絡(luò)的包(包括所有未加密的口令和