計算機(jī)網(wǎng)絡(luò)安全防護(hù)

計算機(jī)網(wǎng)絡(luò)安全防護(hù)院系：計算機(jī)科學(xué)與技術(shù)專業(yè)：計算機(jī)科學(xué)與技術(shù)姓名：摘要：隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大以及應(yīng)用的不斷深入,網(wǎng)絡(luò)中的安全問題也逐步暴露出來。本文介紹了計算機(jī)網(wǎng)絡(luò)安全方面的有關(guān)知識,對網(wǎng)絡(luò)安全方面存在的漏洞進(jìn)行了分析,并針對這些漏洞提出了計算機(jī)網(wǎng)絡(luò)安全的基本技術(shù)關(guān)鍵字：計算機(jī)；網(wǎng)絡(luò)安全；病毒；漏洞1.計算機(jī)網(wǎng)絡(luò)安全問題分析自從1946年第一臺馮-諾依曼型計算機(jī)ENIAC出世以來，計算機(jī)已被應(yīng)用到人類社會的各個領(lǐng)域。然而，1988年發(fā)生在美國的“蠕蟲病毒”事件，給計算機(jī)技術(shù)的發(fā)展罩上了一層陰影。蠕蟲病毒是由美國CORNELL大學(xué)研究生莫里斯編寫。雖然并無惡意，但在當(dāng)時，“蠕蟲”在INTERNET上大肆傳染，使得數(shù)千臺連網(wǎng)的計算機(jī)停止運行，并造成巨額損失，成為一時的輿論焦點。在國內(nèi)，最初引起人們注意的病毒是80年代末出現(xiàn)的“黑色星期五”，“米氏病毒”，“小球病毒”等。因當(dāng)時軟件種類不多，用戶之間的軟件交流較為頻繁且反病毒軟件并不普及，造成病毒的廣泛流行。后來出現(xiàn)的word宏病毒及win95下的CHI病毒，使人們對病毒的認(rèn)識更加深了一步。而目前，互聯(lián)網(wǎng)上病毒、蠕蟲程序、木馬程序、拒絕服務(wù)攻擊、網(wǎng)絡(luò)欺詐等新的攻擊手段越來越多,導(dǎo)致數(shù)據(jù)泄密、硬件損壞等事件屢屢發(fā)生,甚至導(dǎo)致世界性的互聯(lián)網(wǎng)癱瘓,造成軍事、經(jīng)濟(jì)等各方面無法估計的損失。現(xiàn)在,黑客攻擊工具在網(wǎng)上泛濫成災(zāi),而個別學(xué)生的心理特點決定了其利用這些工具進(jìn)行攻擊的可能性。目前使用的操作系統(tǒng)或多或少地存在安全漏洞,本身系統(tǒng)的漏洞、瀏覽器的漏洞、IIS的漏洞、服務(wù)安全漏洞、Unix自身的病毒等等,這些都對網(wǎng)絡(luò)安全構(gòu)成威脅。2.計算機(jī)網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施，保證在一個網(wǎng)絡(luò)環(huán)境里，數(shù)據(jù)的機(jī)密性，完整性，即可使用新設(shè)的保護(hù)。根據(jù)網(wǎng)絡(luò)安全的特點，網(wǎng)絡(luò)安全問題包括兩方面的內(nèi)容一是網(wǎng)絡(luò)本身的系統(tǒng)安全。二是網(wǎng)絡(luò)的信息安全而網(wǎng)絡(luò)安全的最終目的是信息安全，要像信息安全必須保證網(wǎng)絡(luò)系統(tǒng)軟件應(yīng)用軟件數(shù)據(jù)庫系統(tǒng)就有一定的安全保護(hù)功能。并保證網(wǎng)絡(luò)部件如終端、調(diào)制解調(diào)器、數(shù)據(jù)鏈路的功能僅僅能被那些被授權(quán)的人訪問。3.計算機(jī)網(wǎng)絡(luò)安全面臨的威脅3.1來自網(wǎng)絡(luò)硬件系統(tǒng)的安全威脅。網(wǎng)絡(luò)硬件系統(tǒng)的安全隱患主要表現(xiàn)在物理安全方面的問題。計算機(jī)或網(wǎng)絡(luò)設(shè)備。包括主機(jī)顯示器、電源、交換機(jī)、路由器等，除了難以抗拒的自然災(zāi)害外，溫度、濕度、靜電、電磁場也可能造成信息的泄露或失效，甚至危害使者的健康和生命安全。3.2來自軟件系統(tǒng)的安全威脅。軟件系統(tǒng)的安全隱患來源于設(shè)計和軟件工程中的問題。軟件設(shè)計中的疏忽可能留下安全漏洞，如“沖擊波”病毒就是針對操作系統(tǒng)中的漏洞實施攻擊軟件系統(tǒng)的安全隱患主要表現(xiàn)在操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用軟件上。3.3網(wǎng)絡(luò)和通信協(xié)議的安全性的缺乏。Internet上普遍使用的標(biāo)準(zhǔn)主要基于TCP/IP架構(gòu)。TCP/IP在設(shè)計上存在著一定不足，對于安全問題，不能提供通信所需的安全性和保密性。雖然TCP/TP經(jīng)歷了多次改版級，但由F協(xié)議本身的原因，未能徹底解決自身的安全問題，存在以下隱患：（1）缺乏用戶身份鑒別機(jī)制TCP/IP使用IP地址作為網(wǎng)絡(luò)節(jié)點的唯一標(biāo)識，而IP地址很容易被偽造或更改。TCP/TP沒有樹立對IP包1源地真實性的鑒別和保密機(jī)制，因此，Internet上任何一臺主機(jī)都可以另一臺主機(jī)進(jìn)行地址欺騙，使得網(wǎng)上傳輸數(shù)據(jù)的真實性無法得到保證。（2）缺乏路由協(xié)議鑒別機(jī)制TCP/IP在IP層上缺乏對路由協(xié)議的安全認(rèn)證機(jī)制，對路由信息缺乏鑒別和保護(hù)。因此，可以通過Internet利用路由信息修改網(wǎng)絡(luò)傳輸路徑，誤導(dǎo)網(wǎng)絡(luò)分組傳輸。（3）缺乏保密性TCP/IP數(shù)據(jù)流采用的明文傳輸方式無法保障信息的保密性和完整性。(4)TCP/UDP的缺陷TCP/UDP是基于IP上的傳輸協(xié)議，TCP分段和UDP數(shù)據(jù)包是封裝在IP包中傳輸?shù)?，除可能面臨IP層所遇到的安全威脅外，還存在TCPUDP實現(xiàn)中的安全隱患。例如，攻者可以利用TCP建立所需要的“三次握手”，使TCP連接處于“半打開狀態(tài)”，實現(xiàn)拒絕服務(wù)攻擊。UDP是個無連接協(xié)議:板易受到IP源路由和拒絕服務(wù)攻擊。(5)TCP/IP服務(wù)的脆弱性各種應(yīng)用層服務(wù)協(xié)議(如FTP、DNS.HTTP、SMTP等)本身存在安全隱患，涉及身份鑒別、訪問控制、完整性和機(jī)密性多個方面。4.網(wǎng)絡(luò)系統(tǒng)安全綜合解決措施4.1殺毒軟件技術(shù)殺毒軟件，也稱反病毒軟件或防毒軟件，是用于消除電腦病毒、特洛伊木馬和惡意軟件等計算機(jī)威脅的一類軟件。殺毒軟件通常集成監(jiān)控識別、病毒掃描和清除和自動升級等功能，有的殺毒軟件還帶有數(shù)據(jù)恢復(fù)等功能，是計算機(jī)防御系統(tǒng)（包含殺毒軟件，防火墻，特洛伊木馬和其他惡意軟件的查殺程序，入侵預(yù)防系統(tǒng)等）的重要組成部分。殺毒軟件通常集成監(jiān)控識別、病毒掃描和清除、自動升級病毒庫、主動防御等功能，有的殺毒軟件還帶有數(shù)據(jù)恢復(fù)等功能，是計算機(jī)防御系統(tǒng)（包含殺毒軟件、防火墻、特洛伊木馬和其他惡意軟件的查殺系統(tǒng)和入侵預(yù)防系統(tǒng)等）的重要組成部分。殺毒軟件是一種可以對病毒、木馬等一切已知的對計算機(jī)有危害的程序代碼進(jìn)行清除的程序工具。殺毒軟件通常集成監(jiān)控識別、病毒掃描和清除和自動升級等功能，有的反病毒軟件還帶有數(shù)據(jù)恢復(fù)、防范黑客入侵，網(wǎng)絡(luò)流量控制等功能。殺毒技術(shù)在不斷的進(jìn)步，但是眾多殺毒軟件只能殺死病毒，殺死木馬，并且在病毒查殺過程中存在著文件誤殺，數(shù)據(jù)破壞的問題。如何實現(xiàn)系統(tǒng)殺毒與數(shù)據(jù)保護(hù)并存是現(xiàn)有殺毒技術(shù)需要改進(jìn)的方面之一。4.2防火墻技術(shù)(1)網(wǎng)絡(luò)層防火墻

網(wǎng)絡(luò)層防火墻可視為一種IP封包過濾器，運作在底層的TCP/IP協(xié)議堆棧上。我們可以以枚舉的方式，只允許符合特定規(guī)則的封包通過，其余的一概禁止穿越防火墻（病毒除外，防火墻不能防止病毒侵入）。這些規(guī)則通?？梢越?jīng)由管理員定義或修改，不過某些防火墻設(shè)備可能只能套用內(nèi)置的規(guī)則。我們也能以另一種較寬松的角度來制定防火墻規(guī)則，只要封包不符合任何一項“否定規(guī)則”就予以放行。操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備大多已內(nèi)置防火墻功能。較新的防火墻能利用封包的多樣屬性來進(jìn)行過濾，例如：來源IP地址、來源端口號、目的IP地址或端口號、服務(wù)類型（如HTTP或是FTP）。也能經(jīng)由通信協(xié)議、TTL值、來源的網(wǎng)域名稱或網(wǎng)段...等屬性來進(jìn)行過濾。

(2)應(yīng)用層防火墻

應(yīng)用層防火墻是在TCP/IP堆棧的“應(yīng)用層”上運作，您使用瀏覽器時所產(chǎn)生的數(shù)據(jù)流或是使用FTP時的數(shù)據(jù)流都是屬于這一層。應(yīng)用層防火墻可以攔截進(jìn)出某應(yīng)用程序的所有封包，并且封鎖其他的封包（通常是直接將封包丟棄）。理論上，這一類的防火墻可以完全阻絕外部的數(shù)據(jù)流進(jìn)到受保護(hù)的機(jī)器里。防火墻借由監(jiān)測所有的封包并找出不符規(guī)則的內(nèi)容，可以防范電腦蠕蟲或是木馬程序的快速蔓延。不過就實現(xiàn)而言，這個方法很麻煩（軟件有千萬種?。?，所以大部分的防火墻都不會考慮以這種方法設(shè)計。XML防火墻是一種新型態(tài)的應(yīng)用層防火墻。根據(jù)側(cè)重不同，可分為：包過濾型防火墻、應(yīng)用層網(wǎng)關(guān)型防火墻、服務(wù)器型防火墻。

（3）數(shù)據(jù)庫防火墻

數(shù)據(jù)庫防火墻是一款基于數(shù)據(jù)庫協(xié)議分析與控制技術(shù)的數(shù)據(jù)庫安全防護(hù)系統(tǒng)?；谥鲃臃烙鶛C(jī)制，實現(xiàn)數(shù)據(jù)庫的訪問行為控制、危險操作阻斷、可疑行為審計。數(shù)據(jù)庫防火墻通過SQL協(xié)議分析，根據(jù)預(yù)定義的禁止和許可策略讓合法的SQL操作通過，阻斷非法違規(guī)操作，形成數(shù)據(jù)庫的外圍防御圈，實現(xiàn)SQL危險操作的主動預(yù)防、實時審計。數(shù)據(jù)庫防火墻面對來自于外部的入侵行為，提供SQL注入禁止和數(shù)據(jù)庫虛擬補丁包功能。4.3數(shù)據(jù)加密技術(shù)在常規(guī)密碼中，收信方和發(fā)信方使用相同的密鑰，即加密密鑰和解密密鑰是相同或等價的。比較著名的常規(guī)密碼算法有：美國的DES及其各種變形，比如TripleDES、GDES、NewDES和DES的前身Lucifer；歐洲的IDEA；日本的FEALN、LOKI?91、Skipjack、RC4、RC5以及以代換密碼和轉(zhuǎn)輪密碼為代表的古典密碼等。在眾多的常規(guī)密碼中影響最大的是DES密碼。常規(guī)密碼的優(yōu)點是有很強的保密強度，且經(jīng)受住時間的檢驗和攻擊，但其密鑰必須通過安全的途徑傳送。因此，其密鑰管理成為系統(tǒng)安全的重要因素。在公鑰密碼中，收信方和發(fā)信方使用的密鑰互不相同，而且?guī)缀醪豢赡軓募用苊荑€推導(dǎo)解密密鑰。最有影響的公鑰密碼算法是RSA，它能抵抗到目前為止已知的所有密碼攻擊。公鑰密碼的優(yōu)點是可以適應(yīng)網(wǎng)絡(luò)的開放性要求，且密鑰管理問題也較為簡單，尤其可方便的實現(xiàn)數(shù)字簽名和驗證。但其算法復(fù)雜，加密數(shù)據(jù)的速率較低。盡管如此，隨著現(xiàn)代電子技術(shù)和密碼技術(shù)的發(fā)展，公鑰密碼算法將是一種很有前途的網(wǎng)絡(luò)安全加密體制。當(dāng)然在實際應(yīng)用中人們通常將常規(guī)密碼和公鑰密碼結(jié)合在一起使用，比如：利用DES或者IDEA來加密信息，而采用RSA來傳遞會話密鑰。如果按照每次加密所處理的比特來分類，可以將加密算法分為序列密碼和分組密碼。前者每次只加密一個比特而后者則先將信息序列分組，每次處理一個組。密碼技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一。一個加密網(wǎng)絡(luò)，不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，而且也是對付惡意軟件的有效方法之一。一般的數(shù)據(jù)加密可以在通信的三個層次來實現(xiàn)：鏈路加密、節(jié)點加密和端到端加密。4.4網(wǎng)絡(luò)掃描與監(jiān)聽網(wǎng)絡(luò)掃描是黑客實施攻擊前獲得目標(biāo)及其漏洞信息的重要手段，而網(wǎng)絡(luò)監(jiān)聽則是黑客向內(nèi)部網(wǎng)進(jìn)行滲透的常用手法。掃描是進(jìn)行信息收集的一種必要工具，它可以完成大量的重復(fù)性工作，為使用者收集與系統(tǒng)相關(guān)的必要信息。對于黑客來講，掃描是攻擊系統(tǒng)時的有力助手，而對于管理員，掃描同樣具備檢查漏洞，提高安全性的重要作用。發(fā)現(xiàn)目標(biāo)的掃描主要有Ping掃描和ICMP查詢兩種，而TCP掃射和UDP掃射也可用于發(fā)現(xiàn)目標(biāo)是否存活。還有探測開放服務(wù)的端口掃描和漏洞掃描。漏洞掃描是使用漏洞掃描程序?qū)δ繕?biāo)系統(tǒng)進(jìn)行信息查詢，通過漏洞掃描，可以發(fā)現(xiàn)系統(tǒng)中存在的不安全的地方。針對各種服務(wù)的漏洞是一個龐大的數(shù)字，在2001年一年中，僅微軟就針對自己的產(chǎn)品一共發(fā)布了上百個安全漏洞，而其中接近半都是IS漏洞。這些龐大的漏洞全部由手工檢測是非常困難的。網(wǎng)絡(luò)監(jiān)聽可以有效地對網(wǎng)絡(luò)數(shù)據(jù)、流量進(jìn)行偵聽、分析，從而排除網(wǎng)絡(luò)故障，但它同時又帶來了信息失竊等方面的極大安全隱患。能夠捕獲口令(如FTP，Telnet明文傳輸)它的危害是能夠捕獲專用的或機(jī)密的信息(信用卡的使用)，可以危害網(wǎng)絡(luò)鄰居的安全，獲得進(jìn)一步攻擊所需要的信息網(wǎng)絡(luò)監(jiān)聽的預(yù)防和檢測為了達(dá)到良好的嗅探效果，入侵者一般將嗅探器放置在被攻擊機(jī)器或網(wǎng)絡(luò)附近，這樣才能捕獲到很多口令，還有一個常見的方法就是放在網(wǎng)關(guān)上。如果嗅探器運行在路由器上，或有路由功能的主機(jī)上，這樣就能捕獲到更多的口令