計算機網絡安全及防范策略探究

摘要:主要闡述了計算機信息網絡攻擊的特點,并提出了安全防范策略。

關鍵詞:計算機網絡安全 網絡攻擊防范策略

1 計算機網絡攻擊的特點

1.1 損失巨大 由于攻擊和入侵的對象是網絡上的計算機,因此攻擊一旦成功,就會使網絡中的計算機處于癱瘓狀態,從而給計算機用戶造成巨大的經濟損失。如美國每年因計算機犯罪而造成的經濟損失就達幾百億美元。平均每起計算機犯罪案件所成的經濟損失是一般案件的幾十到幾百倍。

1.2 威脅社會和國家安全 一些計算機網絡攻擊者出于各種目的經常把政府部門和軍事部門的計算機作為攻擊目標,從而對社會和國家安全造成威脅。

1.3 手段多樣,手法隱蔽 計算機攻擊的手段可以說五花八門:網絡攻擊者既可以通過監視網上數據來獲取別人的保密信息,又可以通過截取別人的帳號和口令進入別人的計算機系統,還可以通過一些特殊的方法繞過人們精心設計的防火墻,等等。這些過程都可以在很短的時間內通過計算機完成,因而犯罪不留痕跡,隱蔽性很強。

1.4 以軟件攻擊為主 幾乎所有的網絡入侵都是通過對軟件的截取和攻擊進而破壞整個計算機系統的。因此,計算機犯罪具有隱蔽性,這要求人們對計算機的各種軟件(包括計算機通信過程中的信息流)進行嚴格的保護。

2 計算機網絡安全存在的隱憂

2.1 間諜軟件 所謂“間諜軟件”,一般指從計算機上搜集信息,并在未得到該計算機用戶許可時便將信息傳遞到第三方的軟件,包括監視擊鍵,搜集機密信息(密碼、信用卡號、PIN碼等),獲取電子郵件地址,跟蹤瀏覽習慣等。間諜軟件還有一個副產品,在其影響下這些行為不可避免的響網絡性能,減慢系統速度,進而影響整個商業進程。

2.2 混合攻擊 混合攻擊集合了多種不同類型的攻擊方式,它們集病毒,蠕蟲以及其他惡意代碼于一身,針對服務器或者互聯網的漏洞進行快速的攻擊、傳播、擴散,從而導致極大范圍內的破壞。

2.3 繞道攻擊 網關級別的安全防護無法保護電腦免遭來自CD,USB設備或者閃盤上的惡意軟件攻擊。同理,那些被拿到辦公室之外使用的員工電腦也無法得到有效的保護。假如你將電腦拿到一個無線熱點區域之中,那么竊聽者以及AP盜用者都有可能攔截到電腦的相關通訊,如果你的電腦并未采取足夠客戶端安全防護措施的話。而這些攻擊,我們就將其稱為“繞道攻擊”。

2.4 強盜AP 是指那些既不屬于IT部門,也并非由IT部門根據公司安全策略進行配置的AP,代表著一種主要的網絡安全風險來源,它們可以允許未經授權的人對網絡通訊進行監聽,并嘗試注人風險,一旦某個強盜AP連接到了網絡上,只需簡單的將一個WiFi適配器插入一個USB端口,或者將一臺AP連到一個被人忽略的以太網端口,又或者使用一臺配備了WiFi的筆記本電腦以及掌上電腦,那么未經授權的用戶就可以在公司建筑的外面(甚至可能是更遠一些的地方)訪問你的網絡。

2.5 網頁及瀏覽器攻擊 網頁漏洞攻擊試圖通過Web服務器來破壞安全防護。

2.6 蠕蟲及病毒 感染現有計算機程序的病毒,以及那些本身就是可執行文件的蠕蟲,是最廣為人知的計算機安全威脅病毒。一般傾向于棲身在文檔、表格或者其他文件之中,然后通過電子郵件進行傳播,而蠕蟲通常是直接通過網絡對自身進行傳播。一旦病毒或者蠕蟲感染了一臺電腦,它不僅會試圖感染其他系統,同時還會對現有系統大搞破壞。

2.7 網絡欺詐 網絡釣魚只是企圖欺騙用戶相信那些虛假的電子郵件、電話或網站,這些網站往往和網上銀行或支付服務相關,讓你認為它們是合法的,而其意圖則是讓用戶提交自己的私人信息,或是下載惡意程序來感染用戶的計算機。

2.8 擊鍵記錄 擊鍵記錄,或者輸人記錄,指的都是那些對用戶鍵盤輸人(可能還有鼠標移動)進行記錄的程序,那些程序以此來獲取用戶的用戶名、密碼、電子郵件地址,即時通信相關信息,以及其他員工的活動等。擊鍵記錄程序一般會將這些信息保存到某個文件中,然后悄悄的將這些文件轉發出去,供記錄者進行不法活動。

3 安全策略

3.1 防火墻技術 防火墻的作用是對網絡訪問實施訪問控制策略。使用防火墻(Firewall)是一種確保網絡安全的方法。防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的惟一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。

3.2 建立安全實時相應和應急恢復的整體防御 沒有百分百安全和保密的網絡信息,因此要求網絡要在被攻擊和破壞時能夠及時發現,及時反映,盡可能快的恢復網絡信息中心的服務,減少損失,網絡安全系統包括安全防護機制、安全檢測機制、安全反映機制和安全恢復機制。

3.3 阻止入侵或非法訪問 入網訪問控制為網絡訪問提供第一層訪問控制,它控制哪些用戶能夠登錄到服務器并獲取網絡資源,控制準許用戶入網的時間和準許在哪臺工作站入網?？刂朴脩舻卿浫刖W的站點、限制用戶入網的時間、限制用戶入網的工作站數量。對所有用戶的訪問進行審計,如果多次輸入口令不正確,則認為是非法用戶的入侵,應給出報警信息。

3.4 數據傳輸加密技術 目的是對傳輸中的數據流加密,常用的方針有線路加密和端到端加密兩種。前者側重在線路上而不考慮信源與信宿,是對保密信息通過各線路采用不同的加密密鑰提供安全保護的。后者則指信息由發送者端自動加密,并進入TCP/IP數據包回封,然后作為不可閱讀和不可識別的數據穿過互聯網,當這些信息一旦到達目的地,將被自動重組、解密,成為可讀數據。

3.5 密鑰管理技術 為了數據使用的方便,數據加密在許多場合集中表現為密鑰的應用,因此密鑰往往是保密與竊密的主要對象。密鑰的媒體有:磁卡、磁帶、磁盤、半導體存儲器等。密鑰的管理技術包括密鑰的產生、分配保存、更換與銷毀等各環節上的保密措施。

3.6 加強網絡安全的人為管理 在網絡安全中,除了采用上述技術措施之外,加強網絡的安全管理、制定有效的規章制度,對于確保網絡的安全、可靠運行,將起到十分有效的作用。加強網絡的安全管理包括:確定安全管理等級和安全管理范圍;制定有關網絡操作使用規程和人員出入機房管理制度;制定網絡系統的維護制度和應急措施等。首先是加強立法,及時補充和修訂現有的法律法規。用法律手段打擊計算機犯罪。其次是加強計算機人員安全防范意識,提高人員的安全素質。另外還需要健全的規章制度和有效、易于操作的網絡安全管理平臺。

4 結束語

網絡安全是一個永遠說不完的話題,關于如何解決好網絡安全問題,網絡安全技術與工具是網絡安全的基礎,高水平的網絡安全技術隊伍是網絡安全的保證,嚴格的管理則是網絡安全的關鍵。我們要清醒認識到任何網絡安全和數據保護的防范措施都是有一定的限度,一勞永逸的網絡安全體系是不存在的。網絡安全需要我們每一個人的參與。

參考文獻:

[1]盧昱,王宇.《計算機網絡安全與控制技術》.北京科學出版社.2005.

[2]殷偉.《計算機安全與病毒防治》.合肥安徽科學技術出版社.2004.

[3]勞幗齡.《網絡安全與管理》.北京高等教育出版社.2003.