網絡安全與維護

郭崗磊 王方

一、威脅計算機網絡安全的因素

（1）非授權訪問。沒有預先經過同意，就使用網絡或計算機資源被看作非授權訪問，如有意避開系統訪問控制機制，對網絡設備及資源進行非正常使用，或擅自擴大權限，越權訪問信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網絡系統進行違法操作、合法用戶以未授權方式進行操作等。

（2）信息泄漏或丟失。指敏感數據在有意或無意中被泄漏出去或丟失，它通常包括：信息在傳輸中丟失或泄漏（黑客利用電磁泄漏或搭線竊聽等方式可截獲機密信息，或通過對信息流向、流量、通信頻度和長度等參數的分析，推出有用信息，如用戶口令、賬號等重要信息）、信息在存儲介質中丟失或泄漏、通過建立隱蔽隧道等竊取敏感信息等。

（3）破壞數據完整性。以非法手段竊得對數據的使用權，刪除、修改、插入或重發某些重要信息，以取得有益于攻擊者的響應;惡意添加、修改數據，以干擾用戶的正常使用。

（4）拒絕服務攻擊。它不斷對網絡服務系統進行干擾，改變其正常的作業流程，執行無關程序使系統響應減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進入計算機網絡系統或不能得到相應的服務。

（5）利用網絡傳播病毒。通過網絡傳播計算機病毒，其破壞性大大高于單機系統，而且用戶很難防范。

二、網絡安全建設方法與技術

（一）計算機病毒防治

大多數計算機都裝有殺毒軟件，如果該軟件被及時更新并正確維護，它就可以抵御大多數病毒攻擊。定期地升級軟件是很重要的。在病毒入侵系統時，對于病毒庫中已知的病毒或可疑程序、可疑代碼，殺毒軟件可以及時地發現，并向系統發出警報，準確地查找出病毒的來源。大多數病毒能夠被清除或隔離。再有，對于不明來歷的軟件、程序及陌生郵件，不要輕易打開或執行。感染病毒后要及時修補系統漏洞，并進行病毒檢測和清除。

（二）防火墻技術

防火墻是控制兩個網絡間互相訪問的一個系統。它通過軟件和硬件相結合，能在內部網絡與外部網絡之間構造起一個保護層網絡內外的所有通信都必須經過此保護層進行檢查與連接，只有授權允許的通信才能獲準通過保護層。防火墻可以阻止外界對內部網絡資源的非法訪問，也可以控制內部對外部特殊站點的訪問，提供監視Internet安全和預警的方便端點。

（三）入侵檢測

攻擊者進行網絡攻擊和入侵的原因，在于計算機網絡中存在著可以為攻擊者所利用的安全弱點、漏洞以及不安全的配置，比如操作系統、網絡服務、TCP/IP協議、應用程序、網絡設備等幾個方面。如果網絡系統缺少預警防護機制，那么即使攻擊者已經侵入到內部網絡，侵入到關鍵的主機，并從事非法的操作，我們的網管人員也很難察覺到。這樣，攻擊者就有足夠的時間來做他們想做的任何事情?；诰W絡的IDS，即入侵檢測系統，可以提供全天候的網絡監控，幫助網絡系統快速發現網絡攻擊事件，提高信息安全基礎結構的完整性。IDS可以分析網絡中的分組數據流，當檢測到未經授權的活動時，IDS可以向管理控制臺發送警告，其中含有詳細的活動信息，還可以要求其他系統（例如路由器）中斷未經授權的進程。IDS被認為是防火墻之后的第二道安全閘門，它能在不影響網絡性能的情況下對網絡進行監聽，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。

（四）安全漏洞掃描技術

安全漏洞掃描技術可以自動檢測遠程或本地主機安全性上的弱點，讓網絡管理人員能在入侵者發現安全漏洞之前，找到并修補這些安全漏洞。安全漏洞掃描軟件有主機漏洞掃描，網絡漏洞掃描，以及專門針對數據庫作安全漏洞檢查的掃描器。各類安全漏洞掃描器都要注意安全資料庫的更新，操作系統的漏洞隨時都在發布，只有及時更新才能完全的掃描出系統的漏洞，阻止黑客的入侵。

（五）數據加密技術

數據加密技術是最基本的網絡安全技術，被譽為信息安全的核心，

最初主要用于保證數據在存儲和傳輸過程中的保密性。它通過變換和置換等各種方法將被保護信息置換成密文，然后再進行信息的存儲或傳輸，即使加密信息在存儲或者傳輸過程為非授權人員所獲得，也可以保證這些信息不為其認知，從而達到保護信息的目的。該方法的密性直接取決于所采用的密碼算法和密鑰長度。

（六）安全隔離技術

面對新型網絡攻擊手段的不斷出現和高安全網絡的特殊需求，全新安全防護理念，安全隔離技術應運而生。它的目標是，在確保把有害攻擊隔離在可信網絡之外，并保證可信網絡內部信息不外泄的前提下，完成網絡間信息的安全交換。隔離概念的出現是為了保護高安全度網絡環境。

（七）黑客誘騙技術

黑客誘騙技術是近期發展起來的一種網絡安全技術，通過一個由網絡安全專家精心設置的特殊系統來引誘黑客，并對黑客進行跟蹤和記錄。這種黑客誘騙系統通常也稱為蜜罐（Honeypot）系統，其最重要的功能是特殊設置的對于系統中所有操作的監視和記錄，網絡安全專家通過精心的偽裝使得黑客在進入到目標系統后，仍不知曉自己所有的行為已處于系統的監視之中。為了吸引黑客，網絡安全專家通常還在蜜罐系統上故意留下一些安全后門來吸引黑客上鉤，或者放置一些網絡攻擊者希望得到的敏感信息，當然這些信息都是虛假信息。這樣，當黑客正為攻入目標系統而沾沾自喜的時候，他在目標系統中的所有行為，包括輸入的字符、執行的操作都已經為蜜罐系統所記錄。有些蜜罐系統甚至可以對黑客網上聊天的內容進行記錄。蜜罐系統管理人員通過研究和分析這些記錄，可以知道黑客采用的攻擊工具、攻擊手段、攻擊目的和攻擊水平，通過分析黑客的網上聊天內容還可以獲得黑客的活動范圍以及下一步的攻擊目標，根據這些信息，管理人員可以提前對系統進行保護。同時在蜜罐系統中記錄下的信息還可以作為對黑客進行起訴的證據。

（八）網絡安全管理防范措施

對于安全領域存在的問題，應采取多種技術手段和措施進行防范。在多種技術手段并用的同時，管理工作同樣不容忽視。規劃網絡的安全策略、確定網絡安全工作的目標和對象、控制用戶的訪問權限、制定書面或口頭規定、落實網絡管理人員的職責、加強網絡的安全管理、制定有關規章制度等等，對于確保網絡的安全、可靠運行將起到十分有效的作用。網絡安全管理策略包括：確定安全管理等級和安全管理范圍;指定有關網絡操作使用規程和人員出入機房管理制度;制定網絡系統的維護制度和應急措施等。（作者單位：鄭州財經學院）