網(wǎng)絡(luò)安全策略研究

網(wǎng)絡(luò)安全不僅影響了網(wǎng)絡(luò)穩(wěn)定運(yùn)行和用戶的正常使用，還有可能造計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)開放和自由的網(wǎng)絡(luò)，它在大大增強(qiáng)了網(wǎng)絡(luò)信息服務(wù)靈活性的同時(shí)，也給黑客攻擊和入侵敞開了方便之門。不僅傳統(tǒng)的病毒借助互聯(lián)網(wǎng)加快了其傳播速大了其傳播范圍，而且各種針對(duì)網(wǎng)絡(luò)協(xié)議和應(yīng)用程序漏洞的新型攻擊方法層出不窮。這些黑客把先進(jìn)的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)，當(dāng)成一種新式犯罪工具和手段，不僅影響了網(wǎng)絡(luò)行和用戶的正常使用，造成重大經(jīng)濟(jì)損失，而且會(huì)威脅到國(guó)家安全。如何更有效地共同關(guān)注的焦點(diǎn)。文章分析了幾種常見的網(wǎng)絡(luò)入侵方法以及在此基礎(chǔ)上探討了網(wǎng)絡(luò)由于計(jì)算機(jī)網(wǎng)絡(luò)的設(shè)計(jì)初衷是資源共享、分大跨度、分布式、無(wú)邊界的特征。這種開放性使黑客可以輕而易舉地進(jìn)入各級(jí)網(wǎng)絡(luò)，并將：無(wú)法有效識(shí)別網(wǎng)絡(luò)用戶的真實(shí)身份；由于互聯(lián)網(wǎng)上信息以二進(jìn)制數(shù)議及操作系統(tǒng)也存在設(shè)計(jì)上的缺陷和漏洞，從而導(dǎo)致各種被攻擊的潛在危險(xiǎn)層出不使網(wǎng)絡(luò)安全問(wèn)題與傳統(tǒng)的各種安全問(wèn)題相比面臨著更加嚴(yán)峻的挑戰(zhàn)，黑客們也正是利用這樣的特征研發(fā)出了各種各樣的攻擊和入侵方法：攻擊者冒充成功，就可以在目標(biāo)主機(jī)并不知曉的情況下成功實(shí)施欺騙或入侵；或者，通過(guò)2.利用開放端口漏洞發(fā)動(dòng)攻擊利用操作系統(tǒng)中某些服務(wù)開放的端口發(fā)動(dòng)緩沖區(qū)溢出攻擊。這主要是由于軟件中邊界條件、函數(shù)指針等方面設(shè)計(jì)不當(dāng)或缺乏限制，因而造成地址空間錯(cuò)誤的一種漏洞。利用軟件系統(tǒng)中對(duì)某種特定類型的報(bào)文或請(qǐng)求沒有處理，導(dǎo)致軟件遇到這種類型的報(bào)文時(shí)運(yùn)行出3.通過(guò)木馬程序進(jìn)行入侵或發(fā)動(dòng)攻擊木馬是一種基于遠(yuǎn)程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點(diǎn)，一旦入到目標(biāo)主機(jī)中，計(jì)算機(jī)就成為黑客控制的傀儡主機(jī)，黑客成了超級(jí)用戶。木馬程序被用來(lái)收集系統(tǒng)中的重要信息，如口令、賬號(hào)、密碼等。此外，黑客可以遠(yuǎn)程控制傀4.嗅探器和掃描攻擊嗅探器是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的絡(luò)嗅探器通過(guò)被動(dòng)地監(jiān)聽網(wǎng)絡(luò)通信、分析數(shù)據(jù)來(lái)非法獲得用戶名、口令等重要信息信息泄密變得不容易被發(fā)現(xiàn)。掃描，是指針對(duì)系統(tǒng)漏洞，對(duì)系統(tǒng)和網(wǎng)絡(luò)的遍歷搜尋行為。由于漏洞普遍存在，掃描手段往往會(huì)被惡意使用和隱蔽使用，探測(cè)他人主機(jī)的有用信息，為了應(yīng)對(duì)不斷更新的網(wǎng)絡(luò)攻擊手段，網(wǎng)絡(luò)安全技術(shù)也經(jīng)歷了從被早期的網(wǎng)絡(luò)防護(hù)技術(shù)的出發(fā)點(diǎn)是首先劃分出明確的網(wǎng)絡(luò)邊界，然后通過(guò)在對(duì)流經(jīng)的信息利用各種控制方法進(jìn)行檢查，只有符合規(guī)定的信息才可以通過(guò)網(wǎng)絡(luò)邊而達(dá)到阻止對(duì)網(wǎng)絡(luò)攻擊、入侵的目的。主要的網(wǎng)絡(luò)防護(hù)技術(shù)包括：防火墻是一種隔離控制技術(shù)，通過(guò)預(yù)定義的安全策制，常用的防火墻技術(shù)有包過(guò)濾技術(shù)、狀態(tài)檢測(cè)技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)。包過(guò)濾技術(shù)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò)，依據(jù)系統(tǒng)事先設(shè)定好的過(guò)濾邏輯，檢查數(shù)據(jù)據(jù)每個(gè)數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、以及包所使用的端口確定是否允許據(jù)包通過(guò)；狀態(tài)檢測(cè)技術(shù)采用的是一種基于連接的狀態(tài)檢測(cè)機(jī)制，將屬于同一連接包作為一個(gè)整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過(guò)規(guī)則表與狀態(tài)表的共同配合中的各個(gè)連接狀態(tài)因素加以識(shí)別，與傳統(tǒng)包過(guò)濾防火墻的靜態(tài)過(guò)濾規(guī)則表相比，它通過(guò)公用骨干網(wǎng)連接而成的邏輯上的虛擬子網(wǎng)。它可以幫助異地用戶、公司分支機(jī)構(gòu)業(yè)伙伴及供應(yīng)商與內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。為了保障信有Socks協(xié)議，在該協(xié)議中，客戶程序通過(guò)Socks客戶端的13.防毒墻的病毒數(shù)據(jù)流卻是無(wú)能為力的，因?yàn)樗鼰o(wú)法識(shí)別合法數(shù)據(jù)包中是否存在病毒這一情況；防毒墻則是為了解決防火墻這種防毒缺陷而產(chǎn)生的一種安全設(shè)備。防毒墻使用簽名技術(shù)在網(wǎng)定義分組的安全策略，以過(guò)濾網(wǎng)絡(luò)流量并阻止特定文件傳輸、文件類型擴(kuò)展名、即時(shí)通信人們意識(shí)到僅僅依靠防護(hù)技術(shù)是無(wú)法擋住所有攻擊，于是以檢測(cè)為主要標(biāo)術(shù)應(yīng)運(yùn)而生。這類技術(shù)的基本思想是通過(guò)監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)來(lái)識(shí)別針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，或者更廣泛意義上的信息系統(tǒng)的非法攻擊。包括檢測(cè)外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法活動(dòng)。主要的網(wǎng)絡(luò)安全檢測(cè)技術(shù)有：統(tǒng)的保密性、完整性或可用性行為的一種網(wǎng)絡(luò)安全技術(shù)。它通過(guò)監(jiān)視受保護(hù)系統(tǒng)的活動(dòng)來(lái)識(shí)別針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，包括檢測(cè)外界非法入侵者的惡意攻擊或試及內(nèi)部合法用戶的超越使用權(quán)限的非法活動(dòng)。作為防火墻的有效補(bǔ)充，入侵檢測(cè)技幫助系統(tǒng)對(duì)付已知和未知網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全），2.入侵防御口處，當(dāng)它檢測(cè)到攻擊企圖后，會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷?？?.漏洞掃描漏洞掃描技術(shù)是一項(xiàng)重要的主動(dòng)防范安全技術(shù)，它主要通過(guò)以下兩種方法來(lái)標(biāo)主機(jī)是否存在漏洞：在端口掃描后得知目標(biāo)主機(jī)開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫(kù)進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在；通過(guò)模擬黑客的攻擊手法，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測(cè)試弱勢(shì)口令等，若模擬攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。發(fā)現(xiàn)系統(tǒng)漏洞的一種盡管傳統(tǒng)的安全技術(shù)在保障網(wǎng)絡(luò)安全方面發(fā)揮了重要作用，但在態(tài)和復(fù)雜的互聯(lián)網(wǎng)中技術(shù)都存在著各種各樣的局限性。安全廠商在疲于奔命的升級(jí)產(chǎn)品的檢測(cè)數(shù)據(jù)庫(kù)，系統(tǒng)廠商在疲于奔命的修補(bǔ)產(chǎn)品漏洞，而用戶也在疲于奔命的檢查自己到底還有多少破綻暴露在攻擊者的面前。傳統(tǒng)的防病毒軟件只能用于防范計(jì)算機(jī)病毒，防火墻只能對(duì)非法訪問(wèn)通信進(jìn)行過(guò)濾，而入侵檢測(cè)系統(tǒng)只能被用來(lái)識(shí)別特定的惡意攻擊行為。在一個(gè)沒有得到全面防護(hù)的計(jì)算機(jī)設(shè)施中，安全問(wèn)題的須針對(duì)每種安全威脅部署相應(yīng)的防御手段，這樣使信息安全工作的復(fù)雜度和風(fēng)險(xiǎn)性都難以下降。為了有效地解決日益突出的網(wǎng)絡(luò)安全問(wèn)題，網(wǎng)絡(luò)安全研究人員和網(wǎng)絡(luò)安全企業(yè)也[1]周碧英:淺析計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[J].甘肅[2]