隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，信息化的程度越來(lái)越高，網(wǎng)絡(luò)安全已經(jīng)成為計(jì)算機(jī)領(lǐng)域所關(guān)注的焦點(diǎn)。本文分析計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅和存在的安全隱患，并提出安全防范措施，維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全。

　　《信息網(wǎng)絡(luò)》宣傳中國(guó)電信的業(yè)務(wù)發(fā)展和經(jīng)營(yíng)管理成就，同時(shí)緊跟產(chǎn)業(yè)發(fā)展趨勢(shì)，報(bào)道通信新技術(shù)、新業(yè)務(wù)的發(fā)展與應(yīng)用，探討現(xiàn)代通信業(yè)的管理理念，把握行業(yè)市場(chǎng)脈絡(luò)，提供通信行業(yè)的新信息。

　　一、計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅

　　1.軟件編寫(xiě)存在bug:無(wú)論是服務(wù)器程序、客戶端軟件還是操作系統(tǒng)，只要是用代碼編寫(xiě)的程序，都會(huì)存在不同程度的bug。bug主要分為以下幾類(lèi):(1)緩沖區(qū)溢出:指入侵者在程序的有關(guān)輸入項(xiàng)目中了輸入了超過(guò)規(guī)定長(zhǎng)度的字符串，超過(guò)的部分通常就是入侵者想要執(zhí)行的攻擊代碼，而程序編寫(xiě)者又沒(méi)有進(jìn)行輸入長(zhǎng)度的檢查，最終導(dǎo)致多出的攻擊代碼占據(jù)了輸入緩沖區(qū)后的內(nèi)存而執(zhí)行。(2)意料外的聯(lián)合使用問(wèn)題:一個(gè)程序經(jīng)常由功能不同的多層代碼組成，甚至?xí)�涉及到最底層的操作系統(tǒng)級(jí)別。入侵者通常會(huì)利用這個(gè)特點(diǎn)為不同的層輸入不同的內(nèi)容，以達(dá)到竊取信息的目的。(3)不對(duì)輸入內(nèi)容進(jìn)行預(yù)期檢查:有些編程人員怕麻煩，對(duì)輸入內(nèi)容不進(jìn)行預(yù)期的匹配檢查，使入侵者輸送炸彈的工作輕松簡(jiǎn)單。(4)Raceconditions:多任務(wù)多線程的程序越來(lái)越多，在提高運(yùn)行效率的同時(shí)，也要注意Raceconditions的問(wèn)題。例如:程序A和程序B都按照“讀/改/寫(xiě)”的順序操作一個(gè)文件，當(dāng)A進(jìn)行完讀和改的工作時(shí)，B啟動(dòng)立即執(zhí)行完“讀/改/寫(xiě)”的全部工作，這時(shí)A繼續(xù)執(zhí)行寫(xiě)工作，結(jié)果是A的操作沒(méi)有了表現(xiàn)，入侵者就可能利用這個(gè)處理順序上的漏洞改寫(xiě)某些重要文件從而達(dá)到闖入系統(tǒng)的目的，所以，編程人員要注意文件操作的順序以及鎖定等問(wèn)題。

　　2.TCP/IP初始設(shè)計(jì)存在缺陷:即使軟件編寫(xiě)不出現(xiàn)bug,程序執(zhí)行時(shí)也按照正確的步驟進(jìn)行，但初始設(shè)計(jì)存在缺陷仍會(huì)導(dǎo)致入侵者的攻擊。TCP/IP協(xié)議現(xiàn)在已經(jīng)廣泛應(yīng)用，但是它卻是在入侵者猖狂的今天之前設(shè)計(jì)出來(lái)的，因此存在許多不足，造成安全漏洞在所難免。例如ICMPUnreachable數(shù)據(jù)包斷開(kāi),IP地址欺騙以及SY'N湮沒(méi)。然而，最大的問(wèn)題在于IP協(xié)議是非常容易“輕信”的，就是說(shuō)入侵者可以隨意地偽造及修改IP數(shù)據(jù)包而不被發(fā)現(xiàn)。

　　3.系統(tǒng)配置不當(dāng):(1)默認(rèn)配置的不足:許多系統(tǒng)安裝后都有默認(rèn)的安全配置信息，通常被稱(chēng)為easytouse。但遺憾的是，easytouse還意味著easytobreakin。所以，一定對(duì)默認(rèn)配置進(jìn)行揚(yáng)棄的工作。(2)管理員懶散:懶散的表現(xiàn)之一就是系統(tǒng)安裝后保持管理員口令的空置，而且隨后不進(jìn)行添加和修改。(3)臨時(shí)端口:有時(shí)候?yàn)榱藴y(cè)試之用，答理員會(huì)在機(jī)器上打開(kāi)一個(gè)臨時(shí)端口,但測(cè)試完后卻忘記了關(guān)閉，這樣就會(huì)給入侵者有空可鉆。(4)信任關(guān)系:網(wǎng)絡(luò)間的系統(tǒng)經(jīng)常建立信任關(guān)系以方便資源共享，只要攻破信任群中的一個(gè)機(jī)器，就有可能進(jìn)一步攻擊其他的機(jī)器。所以，要對(duì)信任關(guān)系嚴(yán)格審核、確保真正的安全聯(lián)盟。

　　4.安全意識(shí)不強(qiáng):用戶口令選擇不慎，或?qū)⒆约旱膸ぬ?hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅。

　　5.病毒:目前數(shù)據(jù)安全的頭號(hào)大敵是計(jì)算機(jī)病毒。新型病毒正向著更具破壞性、更加隱秘、感染率更高、傳播速度更快、適應(yīng)平臺(tái)更廣泛的方向發(fā)展。病毒給人類(lèi)造成的經(jīng)濟(jì)損失逐年上升，因此，提高對(duì)病毒的防范刻不容緩。

　　6.黑客:從某種意義上講，黑客對(duì)信息安全的危害甚至比一般的電腦病毒更為嚴(yán)重。形勢(shì)的日益嚴(yán)峻使得反病毒行業(yè)，防毒、防黑客產(chǎn)品的研究和開(kāi)發(fā)已成為一種趨勢(shì)。

　　二、計(jì)算機(jī)網(wǎng)絡(luò)中存在的隱患

　　1.廣播風(fēng)暴的風(fēng)險(xiǎn):由于NETBEUI等非路由協(xié)議的數(shù)據(jù)包以廣播方式在整個(gè)網(wǎng)上傳播，造成了網(wǎng)絡(luò)資源的浪費(fèi)，并可能產(chǎn)生“廣播風(fēng)暴”，造成整個(gè)網(wǎng)絡(luò)系統(tǒng)的癱瘓。

　　2.資源共享所產(chǎn)生的安全隱患:一些用戶喜歡利用網(wǎng)絡(luò)鄰居實(shí)現(xiàn)資源的共享，這樣是很方便，但同時(shí)也帶來(lái)不安全的隱患。首先，易造成網(wǎng)上計(jì)算機(jī)病毒的傳播。第二，會(huì)造成非法用戶的非法訪問(wèn)，竊取用戶保密資料或破壞用戶的資源。

　　3.共享式網(wǎng)絡(luò)設(shè)備的安全隱患:系統(tǒng)的內(nèi)部網(wǎng)都是采用的以廣播為技術(shù)基礎(chǔ)的以太網(wǎng)，任何兩個(gè)節(jié)點(diǎn)之間的通信數(shù)據(jù)包，不僅為這兩個(gè)節(jié)點(diǎn)的網(wǎng)卡所接收，也可以被處在同一以太網(wǎng)上的任何一個(gè)節(jié)點(diǎn)的網(wǎng)卡所截取，只要接入以太網(wǎng)上的任一節(jié)點(diǎn)的用戶現(xiàn)在很容易從Internet上得到的許多免費(fèi)的黑客工具，如SATAN,ISS,NETCAT等幫助下進(jìn)行偵聽(tīng)，就可以捕獲發(fā)生在這個(gè)以太網(wǎng)上的所有數(shù)據(jù)包，對(duì)其進(jìn)行解包分析，從而可能竊取關(guān)鍵信息，這就是以太網(wǎng)所固有的安全隱患。以交換式網(wǎng)絡(luò)設(shè)備代替共享式網(wǎng)絡(luò)設(shè)備對(duì)局域網(wǎng)的中心交換機(jī)進(jìn)行網(wǎng)絡(luò)分段后，以太網(wǎng)偵聽(tīng)的危險(xiǎn)仍然存在。這是因?yàn)榫W(wǎng)絡(luò)最終用戶是通過(guò)分支集線器而不一定都是通過(guò)中心交換機(jī)，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)交換時(shí)，還是有可能被同一臺(tái)集線器上的其他用戶偵聽(tīng)到。因此，在內(nèi)部網(wǎng)中最好要以交換式集線器代替共享式集線器，使數(shù)據(jù)包僅在兩個(gè)節(jié)點(diǎn)之間傳送，從而有效地防止可能的非法偵聽(tīng)。

　　4.應(yīng)用系統(tǒng)的安全隱患:非法用戶可通過(guò)SATAN等掃描工具對(duì)網(wǎng)絡(luò)上主機(jī)進(jìn)行掃描，找出漏洞，進(jìn)行攻擊。

　　5.文件服務(wù)器、郵件服務(wù)器及WEB服務(wù)器的安全隱患:如果這些服務(wù)器沒(méi)有采取相應(yīng)的安全保護(hù)措施，則可能遭受“黑客”的攻擊和病毒的侵害。如:涂改Web頁(yè)面、發(fā)送垃圾郵件、使用“特洛伊木馬”程序攻擊用戶。

　　6.路由協(xié)議存在的安全隱患:在許多計(jì)算機(jī)網(wǎng)絡(luò)中，路由器之間采用的協(xié)議有OSPF和RIP兩種;因?yàn)榘姹据^低，其中有的路由器協(xié)議的版本為RIP.它不支持加密功能.因而當(dāng)某一非法用戶啟用V1.0協(xié)議，將路由指向某一不存在的地址時(shí)，可能造成網(wǎng)絡(luò)故障。

　　三、計(jì)算機(jī)網(wǎng)絡(luò)安全防范技術(shù)

　　1.物理隔離網(wǎng)絡(luò)的安全技術(shù):建立一個(gè)內(nèi)網(wǎng)節(jié)點(diǎn)保護(hù)體系，并將整個(gè)網(wǎng)絡(luò)的所有情況通過(guò)節(jié)點(diǎn)的實(shí)時(shí)反饋，集中到一個(gè)系統(tǒng)安全信息管理中心，然后通過(guò)該管理中心對(duì)全網(wǎng)進(jìn)行統(tǒng)一管理。節(jié)點(diǎn)設(shè)備安全并不只是單點(diǎn)安全技術(shù)，不僅僅關(guān)注節(jié)點(diǎn)，同時(shí)還要考慮全網(wǎng)安全體系架構(gòu)。所有節(jié)點(diǎn)都要服從安全體系架構(gòu)的統(tǒng)一的框架，接受統(tǒng)一的管理。

　　2.訪問(wèn)控制技術(shù):訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問(wèn)。訪問(wèn)控制措施有以下幾個(gè)方面:

　　(1)入網(wǎng)訪問(wèn)控制。入網(wǎng)訪問(wèn)控制為網(wǎng)絡(luò)訪問(wèn)提供了第一層訪問(wèn)控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們?cè)谀呐_(tái)工作站入網(wǎng)。

　　(2)網(wǎng)絡(luò)的權(quán)限控制。網(wǎng)絡(luò)的權(quán)限控制是針對(duì)網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問(wèn)哪些目錄、子目錄、文件和其他資源�？梢灾付ㄓ脩魧�(duì)這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。受托者指派和繼承權(quán)限屏蔽(IRM)可作為其兩種實(shí)現(xiàn)方式。受托者指派控制用戶和用戶組如何使用網(wǎng)絡(luò)服務(wù)器的目錄、文件和設(shè)備。繼承權(quán)限屏蔽相當(dāng)于一個(gè)過(guò)濾器，可以限制子目錄從父目錄那里繼承哪些權(quán)限。

　　(3)目錄安全控制。網(wǎng)絡(luò)允許控制用戶對(duì)目錄、文件、設(shè)備的訪問(wèn)。對(duì)目錄和文件的訪問(wèn)權(quán)限一般有八種:系統(tǒng)管理員權(quán)限(Supervisor),讀權(quán)限(Read),寫(xiě)權(quán)限(Write),創(chuàng)建權(quán)限(Create)、刪除權(quán)限(Erase)、修改權(quán)限(Modify)、文件查找權(quán)限(AccessControl)。八種訪問(wèn)權(quán)限的有效組合可以讓用戶有效地完成工作，同時(shí)又能有效地控制用戶對(duì)服務(wù)器資源的訪問(wèn)，從而加強(qiáng)了網(wǎng)絡(luò)和服務(wù)器的安全性。

　　(4)屬性安全控制。當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時(shí)，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問(wèn)屬性。屬性往往能控制以下幾個(gè)方面的權(quán)限:向某個(gè)文件寫(xiě)數(shù)據(jù)、拷貝一個(gè)文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網(wǎng)絡(luò)的屬性可以保護(hù)重要的目錄和文件，防止用戶對(duì)目錄和文件的誤刪除、執(zhí)行修改、顯示等。

　　(5)網(wǎng)絡(luò)服務(wù)器安全控制。網(wǎng)絡(luò)允許在服務(wù)器控制臺(tái)上執(zhí)行一系列操作。用戶使用控制臺(tái)可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網(wǎng)絡(luò)服務(wù)器的安全控制包括設(shè)置口令鎖定服務(wù)器控制臺(tái).以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù);可以設(shè)定服務(wù)器登錄時(shí)間限制、非法訪問(wèn)者檢測(cè)和關(guān)閉的時(shí)間間隔。

　　(6)網(wǎng)絡(luò)監(jiān)測(cè)和訪問(wèn)控制。網(wǎng)絡(luò)管理員應(yīng)對(duì)網(wǎng)絡(luò)實(shí)施監(jiān)控服務(wù)器記錄用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)，對(duì)非法的網(wǎng)絡(luò)訪問(wèn)，服務(wù)器應(yīng)以圖形或文字或聲音等形式報(bào)警，以引起網(wǎng)絡(luò)管理員的注意。如果不法之徒試圖進(jìn)入網(wǎng)絡(luò)，網(wǎng)絡(luò)服務(wù)器應(yīng)會(huì)自動(dòng)記錄企圖嘗試進(jìn)入網(wǎng)絡(luò)的次數(shù)，如果非法訪問(wèn)的次數(shù)達(dá)到設(shè)定數(shù)值，那么該帳戶將被自動(dòng)鎖定。

　　(7)網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制。網(wǎng)絡(luò)中服務(wù)器的端口往往使用自動(dòng)回呼設(shè)備、靜默調(diào)制解調(diào)器加以保護(hù)，并以加密的形式來(lái)識(shí)別節(jié)點(diǎn)身份。自動(dòng)回呼設(shè)備用于防止假冒合法用戶，靜默調(diào)制解調(diào)器用于防范黑客的自動(dòng)撥號(hào)程序?qū)τ?jì)算機(jī)進(jìn)行攻擊。網(wǎng)絡(luò)還常對(duì)服務(wù)器端和用戶端采取控制，用戶必須攜帶證實(shí)身份的驗(yàn)證器。在對(duì)用戶的身份進(jìn)行驗(yàn)證之后，才允許用戶進(jìn)入用戶端。然后用戶端和服務(wù)端再進(jìn)行相互驗(yàn)證。

　　(8)防火墻控制。它是一個(gè)用以阻止網(wǎng)絡(luò)中的黑客訪問(wèn)某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障，也可稱(chēng)之為控制進(jìn)/出兩個(gè)方向通信的門(mén)檻。在網(wǎng)絡(luò)邊界上通過(guò)建立起來(lái)的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻檔外部網(wǎng)絡(luò)的侵入。