篇一:淺談網(wǎng)絡(luò)攻防
【摘要】
計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和信息技術(shù)的飛速發(fā)展已影響到各個(gè)領(lǐng)域,不斷改變著人們的生活和工作方式,然而威脅信息安全的各種入侵也隨之而來。信息安全與國(guó)家安全息息相關(guān),事關(guān)社會(huì)和經(jīng)濟(jì)發(fā)展,有必要且必須采取措施確保我國(guó)的信息安全。
【關(guān)鍵詞】
網(wǎng)絡(luò) 安全 攻防
對(duì)于信息系統(tǒng)的非法入侵和破壞活動(dòng)正以驚人的速度在全世界蔓延,帶來巨大的經(jīng)濟(jì)損失和安全威脅。面對(duì)不容樂觀的網(wǎng)絡(luò)環(huán)境,無論是國(guó)家,網(wǎng)絡(luò)管理人,乃至個(gè)人,都應(yīng)該掌握基本的網(wǎng)絡(luò)攻防技術(shù),了解網(wǎng)絡(luò)攻防的基礎(chǔ)技術(shù),做好自身防范,增強(qiáng)抵御黑客攻擊的意識(shí)和能力。
一、認(rèn)識(shí)網(wǎng)絡(luò)攻擊
1.網(wǎng)絡(luò)安全的定義
網(wǎng)絡(luò)安全的最終目標(biāo)是通過各種技術(shù)與管理手段實(shí)現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)的機(jī)密性、完整性、可用性、可靠性、可控性和拒絕否認(rèn)性,其中前三項(xiàng)是網(wǎng)絡(luò)安全的基本屬性。保證網(wǎng)絡(luò)安全實(shí)質(zhì)就是要保證網(wǎng)絡(luò)上各種信息的安全,涵蓋領(lǐng)域非常廣泛。但網(wǎng)絡(luò)安全具有動(dòng)態(tài)性,其概念是相對(duì)的。任何一個(gè)系統(tǒng)都是具有潛在的危險(xiǎn)和安全威脅,沒有絕對(duì)的安全,安全程度也是會(huì)隨著時(shí)間的變化而改變的。在一個(gè)特定的時(shí)期內(nèi),在一定的安全策略下,系統(tǒng)是相對(duì)安全的。但是隨著時(shí)間變化和環(huán)境演變,如攻擊技術(shù)的進(jìn)步、新漏洞的暴露等,使得系統(tǒng)遭遇不同的威脅,系統(tǒng)就變得再不安全。
2.網(wǎng)絡(luò)攻擊的分類
人們?cè)诰W(wǎng)絡(luò)攻擊的分類上已經(jīng)做過不少研究,由于這些分類研究的出發(fā)點(diǎn)和目的不同,為此,分類著眼點(diǎn)一級(jí)原則、標(biāo)準(zhǔn)也不盡相同,分類的結(jié)果也存在很大差異。著名安全學(xué)家Amoroso對(duì)分類研究提出了一些有益的建議,他認(rèn)為攻擊分類的理想結(jié)果應(yīng)該具有六個(gè)特征:互斥性、完備性、無二義性、可重復(fù)性、可接受性、實(shí)用性。雖然分類研究中還沒有一個(gè)分類結(jié)果能夠真正滿足以上六個(gè)特征,但對(duì)于分類研究和安全防御方面都有一定的借鑒意義。目前已有的網(wǎng)絡(luò)攻擊分類方法大致可以分為以下幾類:
(1)基于經(jīng)驗(yàn)術(shù)語(yǔ)的分類方法
(2)基于單一屬性的分類方法
(3)基于多屬性的分類方法
(4)基于應(yīng)用的分類方法
(5)基于攻擊方式的分類方法
在最高層次上,按照攻擊方式進(jìn)行劃分,可以將網(wǎng)絡(luò)攻擊分為兩類:主動(dòng)攻擊和被動(dòng)攻擊。主動(dòng)攻擊主要有竊取、篡改、假冒和破壞等攻擊方法。對(duì)付主動(dòng)攻擊的主要措施是及時(shí)發(fā)現(xiàn)并及時(shí)恢復(fù)所造成的破壞。被動(dòng)攻擊主要是收集信息,主要有嗅探、信息收集等攻擊方法。由于被動(dòng)攻擊很難被發(fā)現(xiàn),因此預(yù)防很重要,防止被動(dòng)攻擊的主要手段是數(shù)據(jù)加密傳輸。
二、安全隱患
網(wǎng)絡(luò)具有開放性和自由性的特點(diǎn),因此網(wǎng)絡(luò)安全存在很大的風(fēng)險(xiǎn)和脆弱性。越來越多的網(wǎng)絡(luò)攻擊使得網(wǎng)絡(luò)合法用戶的個(gè)人信息和重要數(shù)據(jù)被非法占用和利用。入侵者破壞網(wǎng)絡(luò)安全的屬性,從而獲得用戶甚至是超級(jí)用戶的權(quán)限,進(jìn)行不許可的操作。入侵者(黑客)可能是友善的,只是為了試探一下,或者了解一下網(wǎng)絡(luò)戰(zhàn)其他機(jī)器上的內(nèi)容;也可能是惡意的,企圖獲取未經(jīng)授權(quán)的數(shù)據(jù),或者破壞系統(tǒng)。但不管出于什么目的,都反應(yīng)出當(dāng)今網(wǎng)絡(luò)的安全隱患非常嚴(yán)重,面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)非常嚴(yán)峻,造成的損失和破壞性更是不可估量的。網(wǎng)絡(luò)具有的脆弱性是指系統(tǒng)中存在的漏洞,各種潛在的威脅通過利用這些漏洞給系統(tǒng)造成損失。脆弱性的存在將導(dǎo)致風(fēng)險(xiǎn),而威脅主體利用脆弱性產(chǎn)生風(fēng)險(xiǎn)。產(chǎn)生這些安全隱患的因素有很多,沒有一個(gè)系統(tǒng)是絕對(duì)安全、無脆弱性的,我們只能盡量保證網(wǎng)絡(luò)的安全。
三、攻擊技術(shù)
1.絕服務(wù)攻擊
拒絕服務(wù)攻擊即DoS攻擊是目前黑客經(jīng)常采用而難以防范的攻擊手段。其目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)。最常見的DoS攻擊有計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量攻擊網(wǎng)絡(luò),使得所有可用網(wǎng)絡(luò)資源被消耗殆盡,最終導(dǎo)致合法用戶請(qǐng)求無法通過。連通性攻擊指用大量的連接請(qǐng)求沖擊計(jì)算機(jī),使得所有可用的操作系統(tǒng)資源被消耗殆盡,最終計(jì)算機(jī)無法再處理合法用戶的請(qǐng)求。
2.沖區(qū)溢出攻擊
緩沖區(qū)溢出是指向固定長(zhǎng)度的緩沖區(qū)寫入超出其預(yù)先分配長(zhǎng)度的內(nèi)容,造成緩沖區(qū)中數(shù)據(jù)的溢出,從而覆蓋緩沖區(qū)相鄰的內(nèi)存空間。就像個(gè)杯子只能盛一定量的水,如果倒入太多的水到杯子中,多余的水就會(huì)溢出到杯外。
3.b應(yīng)用安全攻擊
Web應(yīng)用呈現(xiàn)出快速增長(zhǎng)的趨勢(shì),越來越多的單位開始將傳統(tǒng)的Client/Server應(yīng)用程序轉(zhuǎn)變?yōu)槿龑覤rower/Server結(jié)構(gòu),即客戶端瀏覽器(表示層)/Web服務(wù)器(應(yīng)用層)/數(shù)據(jù)庫(kù)(Brower/Server/Database)三層結(jié)構(gòu)。三層結(jié)構(gòu)的劃分,在傳統(tǒng)兩層模式的基礎(chǔ)上增加了應(yīng)用服務(wù)這一級(jí),使邏輯上更加獨(dú)立,每個(gè)功能模塊的任務(wù)更加清晰。在這種結(jié)構(gòu)下,用戶工作界面通過WWW瀏覽器實(shí)現(xiàn)。然而,易于開發(fā)的Web應(yīng)用卻有許多安全問題值得關(guān)注。
4.毒、蠕蟲與木馬
計(jì)算機(jī)病毒,指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒,它具有病毒的一些特征,同時(shí)具有自己的一些特征,如不需要宿主文件、自身觸發(fā)等。木馬專指表面上是有用、實(shí)際目的卻是危害計(jì)算機(jī)安全并導(dǎo)致嚴(yán)重破壞的計(jì)算機(jī)程序。
四、防御技術(shù)
主要的防御技術(shù)有PKI網(wǎng)絡(luò)安全協(xié)議;防火墻;入侵檢測(cè)系統(tǒng)。
1.網(wǎng)絡(luò)安全協(xié)議
目前廣泛采用公鑰基礎(chǔ)設(shè)施PKI技術(shù)。PKI是一種新的安全技術(shù),主要功能是對(duì)秘鑰和公鑰進(jìn)行管理。
2.火墻技術(shù)
防火墻技術(shù)是解決網(wǎng)絡(luò)安全問題的主要手段之一。是一種加強(qiáng)網(wǎng)絡(luò)之間訪問控制的網(wǎng)絡(luò)設(shè)備,它能夠保護(hù)內(nèi)部網(wǎng)絡(luò)信息不被外部非法授權(quán)用戶訪問。但是防火墻技術(shù)只能防外不防內(nèi),不能防范網(wǎng)絡(luò)內(nèi)部的攻擊,也不能防范病毒,且經(jīng)偽裝通過了防火墻的入侵者可在內(nèi)部網(wǎng)上橫行無阻。
3.侵檢測(cè)系統(tǒng)
入侵檢測(cè)是對(duì)入侵行為進(jìn)行識(shí)別和判斷的處理過程,它通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)手機(jī)信息并對(duì)其進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略和危及系統(tǒng)安全的行為。
參考文獻(xiàn):
[1]杜曄、張大偉、范艷芳.網(wǎng)絡(luò)攻防技術(shù)教程.2012,8
[2]姚永雷,馬利.計(jì)算機(jī)網(wǎng)絡(luò)安全.2011,12
篇二:計(jì)算機(jī)網(wǎng)絡(luò)攻擊與防御淺析
摘要:
主要闡述計(jì)算機(jī)網(wǎng)絡(luò)攻擊和入侵的特點(diǎn)、步驟及其安全防御策略。
關(guān)鍵詞:
計(jì)算機(jī)網(wǎng)絡(luò);網(wǎng)絡(luò)攻擊;防御策略
在科學(xué)技術(shù)發(fā)展的今天,計(jì)算機(jī)網(wǎng)絡(luò)正在逐步改變著人們的工作和生活方式,隨著INTERNET/INTRANET的不斷發(fā)展,全球信息化已成為人類發(fā)展的大趨勢(shì)。但是,任何事務(wù)都象一把雙刃劍,計(jì)算機(jī)網(wǎng)絡(luò)在給人們帶來便利的同時(shí)卻面臨著巨大的威脅,這種威脅將不斷給社會(huì)帶來巨大的損失。雖然計(jì)算機(jī)網(wǎng)絡(luò)安全已被信息社會(huì)的各個(gè)領(lǐng)域所重視,但由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和計(jì)算機(jī)網(wǎng)絡(luò)的開放性、互連性等特征;無論是在局域網(wǎng)還是在廣域網(wǎng)中,都存在著自然和人為等諸多因素的潛在威脅以及計(jì)算機(jī)網(wǎng)絡(luò)自身的脆弱性,致使計(jì)算機(jī)網(wǎng)絡(luò)易受黑客、病毒、惡意軟件和其他不軌行為的攻擊。 因此若要保證計(jì)算機(jī)網(wǎng)絡(luò)安全、可靠,則必須熟知計(jì)算機(jī)網(wǎng)絡(luò)攻擊的一般過程。只有這樣方可在被攻擊前做好必要的防備,從而確保計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行的安全和可靠。
1 計(jì)算機(jī)網(wǎng)絡(luò)攻擊分析
1.1計(jì)算機(jī)網(wǎng)絡(luò)攻擊的特點(diǎn)
“攻擊”是指任何的非授權(quán)行為。攻擊的范圍從簡(jiǎn)單的服務(wù)器無法提供正常的服務(wù)到完全破壞、控制服務(wù)器。目前的計(jì)算機(jī)網(wǎng)絡(luò)攻擊者主要是利用計(jì)算機(jī)網(wǎng)絡(luò)通信協(xié)議本身存在的缺陷或因安全配置不當(dāng)而產(chǎn)生的安全漏洞進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)攻擊。目標(biāo)系統(tǒng)攻擊或者被入侵的程度依賴于攻擊者的攻擊思路和采用攻擊手段的不同而不同?梢詮墓粽叩男袨樯蠈⒐魠^(qū)分為以下兩類:
(1)被動(dòng)攻擊:攻擊者簡(jiǎn)單地監(jiān)視所有信息流以獲得某些秘密。這種攻擊可以是基于計(jì)算機(jī)網(wǎng)絡(luò)或者基于系統(tǒng)的。這種攻擊是最難被檢測(cè)到的,對(duì)付這類攻擊的重點(diǎn)是預(yù)防,主要手段是數(shù)據(jù)加密。
(2)主動(dòng)攻擊:攻擊者試圖突破計(jì)算機(jī)網(wǎng)絡(luò)的安全防線。這種攻擊涉及到數(shù)據(jù)流的修改或創(chuàng)建錯(cuò)誤信息流,主要攻擊形式有假冒、重放、欺騙、消息篡改、拒絕服務(wù)等。這類攻擊無法預(yù)防但容易檢測(cè),所以,對(duì)付這種攻擊的重點(diǎn)是“測(cè)”而不是“防”,主要手段有:防火墻、入侵檢測(cè)系統(tǒng)等。
入侵者對(duì)目標(biāo)進(jìn)行攻擊或入侵的目的大致有兩種:第一種是使目標(biāo)系統(tǒng)數(shù)據(jù)的完整性失效或者服務(wù)的可用性降低。為達(dá)到此目的,入侵者一般采用主動(dòng)攻擊手段入侵并影響目標(biāo)信息基礎(chǔ)設(shè)施;第二種是監(jiān)視、觀察所有信息流以獲得某些秘密。入侵者采用被動(dòng)手段,通過計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備對(duì)開放的計(jì)算機(jī)網(wǎng)絡(luò)產(chǎn)生影響。因此,入侵者可以主動(dòng)入侵并觀察,也可以被動(dòng)手段觀察、建模、推理達(dá)到其目的。無論入侵者采用什么手段,其行為的最終目的是干擾目標(biāo)系統(tǒng)的正常工作、欺騙目標(biāo)主機(jī)、拒絕目標(biāo)主機(jī)上合法用戶的服務(wù),直至摧毀整個(gè)目標(biāo)系統(tǒng)。
1.2計(jì)算機(jī)網(wǎng)絡(luò)中的安全缺陷及其產(chǎn)生的原因
第一,TCP/IP的脆弱性。 因特網(wǎng)的基礎(chǔ)是TCP/IP協(xié)議。但不幸的是該協(xié)議對(duì)于網(wǎng)絡(luò)的安全性考慮得并不多。并且,由于TCP/IP協(xié)議是公布于眾的,如果人們對(duì)TCP/IP很熟悉,就可以利用它的安全缺陷來實(shí)施網(wǎng)絡(luò)攻擊。
第二,網(wǎng)絡(luò)結(jié)構(gòu)的不安全性。因特網(wǎng)是一種網(wǎng)間網(wǎng)技術(shù)。它是由無數(shù)個(gè)局域網(wǎng)所連成的一個(gè)巨大網(wǎng)絡(luò)。當(dāng)人們用一臺(tái)主機(jī)和另一局域網(wǎng)的主機(jī)進(jìn)行通信時(shí),通常情況下它們之間互相傳送的數(shù)據(jù)流要經(jīng)過很多機(jī)器重重轉(zhuǎn)發(fā),如果攻擊者利用一臺(tái)處于用戶的數(shù)據(jù)流傳輸路徑上的主機(jī),他就可以劫持用戶的數(shù)據(jù)包。
第三,缺乏安全意識(shí)。雖然網(wǎng)絡(luò)中設(shè)置了許多安全保護(hù)屏障,但人們普遍缺乏安全意識(shí),從而使這些保護(hù)措施形同虛設(shè)。如人們?yōu)榱吮荛_防火墻代理服務(wù)器的額外認(rèn)證,進(jìn)行直接的PPP連接從而避開了防火墻的保護(hù)。
1.3網(wǎng)絡(luò)攻擊和入侵的主要途徑
網(wǎng)絡(luò)入侵是指網(wǎng)絡(luò)攻擊者通過非法的手段(如破譯口令、電子欺騙等)獲得非法的權(quán)限,并通過使用這些非法的權(quán)限使網(wǎng)絡(luò)攻擊者能對(duì)被攻擊的主機(jī)進(jìn)行非授權(quán)的操作。網(wǎng)絡(luò)入侵的主要途徑有:破譯口令、IP欺騙和DNS欺騙。
口令是計(jì)算機(jī)系統(tǒng)抵御入侵者的一種重要手段,所謂口令入侵是指使用某些合法用戶的帳號(hào)和口令登錄到目的主機(jī),然后再實(shí)施攻擊活動(dòng)。這種方法的前提是必須先得到該主機(jī)上的某個(gè)合法用戶的帳號(hào),然后再進(jìn)行合法用戶口令的破譯。
IP欺騙是指攻擊者偽造別人的IP地址,讓一臺(tái)計(jì)算機(jī)假冒另一臺(tái)計(jì)算機(jī)以達(dá)到蒙混過關(guān)的目的。它只能對(duì)某些特定的運(yùn)行TCP/IP的計(jì)算機(jī)進(jìn)行入侵。IP欺騙利用了TCP/IP網(wǎng)絡(luò)協(xié)議的脆弱性。在TCP的三次握手過程中,入侵者假冒被入侵主機(jī)的信任主機(jī)與被入侵主機(jī)進(jìn)行連接,并對(duì)被入侵主機(jī)所信任的主機(jī)發(fā)起淹沒攻擊,使被信任的主機(jī)處于癱瘓狀態(tài)。當(dāng)主機(jī)正在進(jìn)行遠(yuǎn)程服務(wù)時(shí),網(wǎng)絡(luò)入侵者最容易獲得目標(biāo)網(wǎng)絡(luò)的信任關(guān)系,從而進(jìn)行IP欺騙。IP欺騙是建立在對(duì)目標(biāo)網(wǎng)絡(luò)的信任關(guān)系基礎(chǔ)之上的。同一網(wǎng)絡(luò)的計(jì)算機(jī)彼此都知道對(duì)方的地址,它們之間互相信任。由于這種信任關(guān)系,這些計(jì)算機(jī)彼此可以不進(jìn)行地址的認(rèn)證而執(zhí)行遠(yuǎn)程操作。
域名系統(tǒng)(DNS)是一種用于TCP/IP應(yīng)用程序的分布式數(shù)據(jù)庫(kù),它提供主機(jī)名字和IP地址之間的轉(zhuǎn)換信息。通常,網(wǎng)絡(luò)用戶通過UDP協(xié)議和DNS服務(wù)器進(jìn)行通信,而服務(wù)器在特定的53端口監(jiān)聽,并返回用戶所需的相關(guān)信息。DNS協(xié)議不對(duì)轉(zhuǎn)換或信息性的更新進(jìn)行身份認(rèn)證,這使得該協(xié)議被人以一些不同的方式加以利用。當(dāng)攻擊者危害DNS服務(wù)器并明確地更改主機(jī)名―IP地址映射表時(shí),DNS欺騙就會(huì)發(fā)生。這些改變被寫入DNS服務(wù)器上的轉(zhuǎn)換表。因而,當(dāng)一個(gè)客戶機(jī)請(qǐng)求查詢時(shí),用戶只能得到這個(gè)偽造的地址,該地址是一個(gè)完全處于攻擊者控制下的機(jī)器的IP地址。因?yàn)榫W(wǎng)絡(luò)上的主機(jī)都信任DNS服務(wù)器,所以一個(gè)被破壞的DNS服務(wù)器可以將客戶引導(dǎo)到非法的服務(wù)器,也可以欺騙服務(wù)器相信一個(gè)IP地址確實(shí)屬于一個(gè)被信任客戶。
1.4常見的計(jì)算機(jī)網(wǎng)絡(luò)攻擊方式
(1)計(jì)算機(jī)網(wǎng)絡(luò)監(jiān)聽攻擊:計(jì)算機(jī)網(wǎng)絡(luò)監(jiān)聽是一種監(jiān)視計(jì)算機(jī)網(wǎng)絡(luò)狀態(tài)、數(shù)據(jù)流以及計(jì)算機(jī)網(wǎng)絡(luò)上傳輸信息的管理工具,它可以將計(jì)算機(jī)網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽模式,并且可以截獲計(jì)算機(jī)網(wǎng)絡(luò)上傳輸?shù)男畔,取得目?biāo)主機(jī)的超級(jí)用戶權(quán)限。作為一種發(fā)展比較成熟的技術(shù),監(jiān)聽在協(xié)助計(jì)算機(jī)網(wǎng)絡(luò)管理員監(jiān)測(cè)計(jì)算機(jī)網(wǎng)絡(luò)傳輸數(shù)據(jù)、排除計(jì)算機(jī)網(wǎng)絡(luò)故障等方面具有不可替代的作用。然而,在另一方面計(jì)算機(jī)網(wǎng)絡(luò)監(jiān)聽也給計(jì)算機(jī)網(wǎng)絡(luò)安全帶來了極大的隱患,當(dāng)信息傳播的時(shí)候,只要利用工具將計(jì)算機(jī)網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽的模式,就可以將計(jì)算機(jī)網(wǎng)絡(luò)中正在傳播的信息截獲,從而進(jìn)行攻擊。計(jì)算機(jī)網(wǎng)絡(luò)監(jiān)聽在計(jì)算機(jī)網(wǎng)絡(luò)中的任何一個(gè)位置模式下都可實(shí)施進(jìn)行。而入侵者一般都是利用了計(jì)算機(jī)網(wǎng)絡(luò)監(jiān)聽工具來截獲用戶口令的。
(2)緩沖區(qū)溢出攻擊:簡(jiǎn)單地說就是程序?qū)邮艿妮斎霐?shù)據(jù)沒有進(jìn)行有效檢測(cè)導(dǎo)致的錯(cuò)誤,后果可能造成程序崩潰或者是執(zhí)行攻擊者的命令。UNIX和Windows本身以及在這兩個(gè)系統(tǒng)上運(yùn)行的許多應(yīng)用程序都是C語(yǔ)言編寫的,C、C++語(yǔ)言對(duì)數(shù)組下標(biāo)訪問越界不做檢查,是引起緩沖區(qū)溢出的根本原因。在某些情況下,如果用戶輸入的數(shù)據(jù)長(zhǎng)度超過應(yīng)用程序給定的緩沖區(qū),就會(huì)覆蓋其他數(shù)據(jù)區(qū)。這就稱“緩沖區(qū)溢出”。
(3)拒絕服務(wù)攻擊:拒絕服務(wù)攻擊,即攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù)或資源訪問。這些資源包括磁盤空間、內(nèi)存、進(jìn)程甚至計(jì)算機(jī)網(wǎng)絡(luò)帶寬,從而阻止正常用戶的訪問。最常見的拒絕服務(wù)攻擊有計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊指極大的通信量沖擊計(jì)算機(jī)網(wǎng)絡(luò),使得所有的計(jì)算機(jī)網(wǎng)絡(luò)資源都被消耗殆盡,最終計(jì)算機(jī)無法再處理合法用戶的請(qǐng)求。這是由計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議本身的安全缺陷造成的,從而拒絕服務(wù)攻擊也成為了攻擊者的終極手法。攻擊者進(jìn)行拒絕服務(wù)攻擊,實(shí)際上讓服務(wù)器實(shí)現(xiàn)兩種效果:一是迫使服務(wù)器緩沖區(qū)滿負(fù)荷,不接受新的請(qǐng)求;二是使用IP欺騙,迫使服務(wù)器把合法用戶的連接復(fù)位,影響合法用戶的連接。
2 計(jì)算機(jī)網(wǎng)絡(luò)安全防御策略
計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)本身在物理上、操作上和管理上的種種漏洞構(gòu)成了系統(tǒng)的安全脆弱性,尤其是多用戶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)自身的復(fù)雜性、資源共享性使得多種技術(shù)組合應(yīng)用變得非常必要。攻擊者使用的是“最易滲透原則”,必然在最有利的時(shí)間地點(diǎn),從系統(tǒng)最薄弱的地方進(jìn)行攻擊。因此,充分、全面、完整地對(duì)系統(tǒng)安全漏洞和安全威脅進(jìn)行分析、評(píng)估和檢測(cè),從計(jì)算機(jī)網(wǎng)絡(luò)的各個(gè)層次進(jìn)行技術(shù)防范是設(shè)計(jì)計(jì)算機(jī)網(wǎng)絡(luò)安全防御系統(tǒng)的必要條件。目前采用的技術(shù)要主要有加密、認(rèn)證、訪問控制、防火墻技術(shù)、入侵檢測(cè)、安全協(xié)議、漏洞掃描、病毒防治、數(shù)據(jù)備份和硬件冗余等。
2.1建立安全實(shí)時(shí)響應(yīng)和應(yīng)急恢復(fù)的整體防御
沒有百分之百安全和保密的計(jì)算機(jī)網(wǎng)絡(luò)信息,因此要求計(jì)算機(jī)網(wǎng)絡(luò)在被攻擊和破壞時(shí)能夠及時(shí)發(fā)現(xiàn),及時(shí)反映,盡可能快地恢復(fù)計(jì)算機(jī)網(wǎng)絡(luò)信息中心的服務(wù),減少損失。所以,計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)應(yīng)該包括:安全防護(hù)機(jī)制、安全監(jiān)測(cè)機(jī)制、安全反應(yīng)機(jī)制和安全恢復(fù)機(jī)制。
安全防護(hù)機(jī)制是指根據(jù)系統(tǒng)具體存在的各種安全漏洞和安全威脅采取相應(yīng)的防護(hù)措施,避免非法攻擊的進(jìn)行;
安全監(jiān)測(cè)機(jī)制是指檢測(cè)系統(tǒng)的運(yùn)行情況,及時(shí)發(fā)現(xiàn)對(duì)系統(tǒng)進(jìn)行的各種攻擊;
安全反應(yīng)機(jī)制,能對(duì)攻擊作出及時(shí)的反映,有效制止攻擊的進(jìn)行,防止損失擴(kuò)大;
安全恢復(fù)機(jī)制,能在安全防護(hù)機(jī)制失效的情況下,進(jìn)行應(yīng)急處理和盡量及時(shí)地恢復(fù)信息,降低攻擊的破壞程度。
2.2建立分層管理和各級(jí)安全管理中心
建立多級(jí)安全層次和安全級(jí)別。將計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)應(yīng)用分為不同的級(jí)別。包括:對(duì)信息保密程度的分級(jí)(絕密、機(jī)密、秘密、普密);對(duì)用戶操作權(quán)限分級(jí);對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全程度分級(jí);對(duì)系統(tǒng)實(shí)現(xiàn)結(jié)構(gòu)的分級(jí)等。從而針對(duì)不同級(jí)別的安全對(duì)象,提供全面、可選的安全算法和安全體制,以滿足計(jì)算機(jī)網(wǎng)絡(luò)中不同層次的各種實(shí)際需求。
3 結(jié)束語(yǔ)
保證網(wǎng)絡(luò)安全和保密涉及的問題是十分復(fù)雜的,網(wǎng)絡(luò)安全不是單一的技術(shù)問題,而是一個(gè)集技術(shù)、管理、法規(guī)綜合作用為一體的、長(zhǎng)期的、復(fù)雜的系統(tǒng)工程。在實(shí)施過程中盡可能采取多種技術(shù)的融合和相關(guān)的管理措施,防止網(wǎng)絡(luò)安全問題的發(fā)生。
參考文獻(xiàn):
[1]劉占全.網(wǎng)絡(luò)管理與防火墻[M].北京:人民郵電出版社,1999.
[2](美)Kevin D.Mitnick,William L.Simon.入侵的藝術(shù).清華大學(xué)出版社,2007年1月.
[3]張仁斌.網(wǎng)絡(luò)安全技術(shù). 清華大學(xué)出版社,2004年8月.
[4]卿斯?jié)h.安全協(xié)議.清華大學(xué)出版社,2005年3月.
篇三:計(jì)算機(jī)網(wǎng)絡(luò)安全防范技術(shù)
1軟件漏洞和后門帶來的安全問題
用戶只要使用計(jì)算機(jī)網(wǎng)絡(luò)就會(huì)多多少少存在一些網(wǎng)絡(luò)漏洞,一些不法分子就是利用這些漏洞在設(shè)計(jì)計(jì)算機(jī)軟件設(shè)計(jì)之前就設(shè)定一些后門,有了后門不法分子就會(huì)通過后門對(duì)用戶的計(jì)算機(jī)進(jìn)行攻擊,從而威脅用戶的計(jì)算機(jī)網(wǎng)絡(luò)安全。
2計(jì)算機(jī)網(wǎng)絡(luò)安全防范技術(shù)的意義
其實(shí)所謂的網(wǎng)絡(luò)安全一般情況下指的就是網(wǎng)絡(luò)的信息安全,計(jì)算機(jī)在受到不法分子的攻擊時(shí),會(huì)致使用戶的重要信息外泄或者計(jì)算機(jī)數(shù)據(jù)被破損。隨著科學(xué)技術(shù)的不斷發(fā)展變更,網(wǎng)絡(luò)攻擊的手段也在不斷地更新?lián)Q代,攻擊的方式也越來越復(fù)雜。怎樣能更好地預(yù)防計(jì)算機(jī)網(wǎng)絡(luò)安全隱患是迫在眉睫的問題。如今的網(wǎng)絡(luò)攻擊都是有組織有預(yù)謀的,一些木馬病毒也日益猖獗泛濫。網(wǎng)絡(luò)安全預(yù)防工作受到嚴(yán)重的威脅。現(xiàn)在的網(wǎng)絡(luò)發(fā)展還不夠成熟,黑客很容易實(shí)施網(wǎng)絡(luò)攻擊,網(wǎng)絡(luò)結(jié)構(gòu)不緊密也造成網(wǎng)絡(luò)信息傳遞嚴(yán)重受到威脅,與此同時(shí)計(jì)算機(jī)軟件的不成熟也大大加深了計(jì)算機(jī)網(wǎng)絡(luò)管理的難度。針對(duì)這些問題加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全,提高計(jì)算機(jī)網(wǎng)絡(luò)安全預(yù)防能力刻不容緩。
3計(jì)算機(jī)網(wǎng)絡(luò)安全防范技術(shù)的建立
3.1防火墻和防毒墻技術(shù)的建立
作為一種網(wǎng)絡(luò)隔離技術(shù),防火墻是所有安全策略中的根本基礎(chǔ),防火墻會(huì)對(duì)外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)實(shí)施強(qiáng)制性的主動(dòng)控制,它一般分為三種技術(shù)手段:過濾技術(shù)、狀態(tài)檢測(cè)技術(shù)、網(wǎng)關(guān)技術(shù)。所謂的過濾技術(shù)是指運(yùn)用網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行過濾與篩選,就是通過先前預(yù)訂的過濾邏輯,檢測(cè)每一個(gè)通過數(shù)據(jù)的源地址、目標(biāo)地址和其適用的端口來確定是否通過;所謂狀態(tài)檢測(cè)技術(shù)就是防火墻通過一個(gè)網(wǎng)關(guān)執(zhí)行網(wǎng)絡(luò)安全策略的檢測(cè)引擎而獲得非常好的安全檢測(cè),狀態(tài)檢測(cè)技術(shù)中一經(jīng)出現(xiàn)鏈接失誤就會(huì)停止整個(gè)運(yùn)行操作;所謂應(yīng)用網(wǎng)絡(luò)信息技術(shù),是指系統(tǒng)利用數(shù)據(jù)安全查殺工作站將用戶的網(wǎng)站給隔離保護(hù)鏈接,通過這種保護(hù)以便實(shí)現(xiàn)網(wǎng)絡(luò)安全。防火墻技術(shù)一般來講是指過濾用戶網(wǎng)絡(luò)的入口與整個(gè)網(wǎng)絡(luò)的傳輸過程。防火墻技術(shù)被廣泛應(yīng)用于企業(yè)局域網(wǎng)與互聯(lián)網(wǎng)的交接地,防火墻雖然可以清除網(wǎng)絡(luò)病毒,對(duì)用戶信息實(shí)施安全保護(hù),但是在一定程度上卻嚴(yán)重影響了用戶的網(wǎng)絡(luò)速度,為用戶帶來了不便。
3.2身份認(rèn)證和訪問控制技術(shù)的建立
目前來講計(jì)算機(jī)網(wǎng)絡(luò)安全的最重要組成部分就是身份認(rèn)證與訪問控制,計(jì)算機(jī)網(wǎng)絡(luò)會(huì)通過對(duì)使用者身份的辨別來確定使用者的身份。這種技術(shù)在計(jì)算機(jī)使用中被頻繁運(yùn)用,不同的操作權(quán)限設(shè)定不一樣登陸口令,以避免不法分子非法使用相關(guān)重要的權(quán)限實(shí)施不正當(dāng)?shù)木W(wǎng)絡(luò)攻擊。一般情況下登錄口令是由字母與數(shù)字共同組成的,用戶定期地對(duì)口令進(jìn)行更改與保密以便對(duì)口令進(jìn)行正當(dāng)?shù)木S護(hù)。用戶應(yīng)當(dāng)避免在郵件或者傳遞信息中將口令泄露,一旦被黑客得到相應(yīng)的信息,就會(huì)帶來一定網(wǎng)絡(luò)安全隱患。由此看來,口令認(rèn)證并不是絕對(duì)安全的,黑客有可能通過網(wǎng)絡(luò)傳播與其他途徑對(duì)口令進(jìn)行竊取,從而危害網(wǎng)絡(luò)安全。這時(shí)我們可以運(yùn)用訪問控制來有效阻止黑客,這種控制根據(jù)用戶本人進(jìn)行身份限定,確定其權(quán)限,按照確定的規(guī)則來確認(rèn)訪問者的身份是否合法,通過注冊(cè)口令、對(duì)用戶分組、控制文件權(quán)限來實(shí)現(xiàn)。
4結(jié)語(yǔ)
現(xiàn)階段,隨著科技的迅猛發(fā)展,各種技術(shù)不停地更新?lián)Q代,計(jì)算機(jī)網(wǎng)絡(luò)安全受到日益嚴(yán)重的威脅,計(jì)算機(jī)安全防范技術(shù)面臨著日益嚴(yán)重的考驗(yàn),我們應(yīng)當(dāng)通過技術(shù)手段不斷提升自身防范技術(shù),以保證用戶網(wǎng)絡(luò)安全不受侵害,使得信息可以在更加安全的狀態(tài)下進(jìn)行傳遞,用戶可以更加便捷地使用網(wǎng)絡(luò)資源。