導(dǎo)語(yǔ)：如何才能寫(xiě)好一篇網(wǎng)絡(luò)攻擊的防范措施，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：網(wǎng)絡(luò)攻擊；口令保護(hù)；漏洞

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-7712 (2012) 10-0088-01

為了加強(qiáng)網(wǎng)絡(luò)安全建設(shè)，用戶應(yīng)當(dāng)在對(duì)網(wǎng)絡(luò)攻擊進(jìn)行分析與識(shí)別的基礎(chǔ)上，認(rèn)真制定有針對(duì)性地策略。明確安全對(duì)象，設(shè)置強(qiáng)有力的安全保障體系。有的放矢，在網(wǎng)絡(luò)中層層設(shè)防，發(fā)揮網(wǎng)絡(luò)的每層作用，使每一層都成為一道關(guān)卡，才能全方位地抗拒各種不同的威脅和脆弱性，確保網(wǎng)絡(luò)信息的保密性、完整性、可用性。

一、防范措施

（1）提高安全意識(shí)：不要隨意打開(kāi)來(lái)歷不明的電子郵件及文件，不要運(yùn)行來(lái)歷不明的軟件和盜版軟件。不要隨便從Internet上下載軟件，尤其是不可靠的FIP站點(diǎn)和非授權(quán)的軟件分發(fā)點(diǎn)。即使從知名的網(wǎng)站下載的軟件也要及時(shí)用最新的殺毒軟件進(jìn)行掃描。（2）防字典攻擊和口令保護(hù)：選擇12-15個(gè)字符組成口令，盡肯能使用字母數(shù)字混排，并且在任何字典上都查不到，那么口令就不可能被輕易竊取了。不要用個(gè)人信息（如生日、名字等），口令中要有一些非字母（數(shù)字、標(biāo)點(diǎn)符號(hào)、控制字符等），還要好記一些，不能寫(xiě)在紙上或計(jì)算機(jī)中的文件中，選擇口令的一個(gè)好辦法是將兩個(gè)相關(guān)的詞用一個(gè)數(shù)字或控制字符相連。重要的口令最好經(jīng)常更換。（3）及時(shí)下載安裝系統(tǒng)補(bǔ)丁程序。（4）不隨便運(yùn)行黑客程序，不少這類程序運(yùn)行時(shí)會(huì)發(fā)出用戶的個(gè)人信息：在支持HTML的BBS上，如發(fā)現(xiàn)提交警告，現(xiàn)看源代碼，很可能是騙取密碼的陷阱。經(jīng)常運(yùn)行專門(mén)的反黑客軟件，不要時(shí)應(yīng)在系統(tǒng)中安裝具有實(shí)時(shí)監(jiān)測(cè)、攔截、查找黑客攻擊程序的工具。經(jīng)常采用掃描工具軟件掃描，以發(fā)現(xiàn)漏洞并及早采取彌補(bǔ)措施。（5）使用能防病毒、防黑客的防火墻軟件：防火墻是一個(gè)用以阻止網(wǎng)絡(luò)中的黑客訪問(wèn)某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障，也可稱之為控制進(jìn)/出兩個(gè)方向通信的門(mén)檻。在網(wǎng)絡(luò)邊界上通過(guò)建立起來(lái)的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻擋外部網(wǎng)絡(luò)的侵入。將防毒、防黑客當(dāng)成日常例行工作，定時(shí)更新防毒軟件，將防毒軟件保持在常駐狀態(tài)，以徹底防毒。由于黑客經(jīng)常會(huì)針對(duì)特定的日期發(fā)動(dòng)攻擊，用戶在此期間應(yīng)特別提高警惕。（6）設(shè)置服務(wù)器，隱藏自己的IP地址：保護(hù)自己的IP地址是很重要的。事實(shí)上，即便用戶的計(jì)算機(jī)上被安裝了木馬程序，若沒(méi)有用戶的IP地址，攻擊者也是沒(méi)有辦法的，而保護(hù)IP地址的最好辦法就是設(shè)置服務(wù)器。服務(wù)器能起到外部網(wǎng)絡(luò)申請(qǐng)?jiān)L問(wèn)內(nèi)部網(wǎng)絡(luò)的中間轉(zhuǎn)接作用，其功能類似于一個(gè)數(shù)據(jù)轉(zhuǎn)發(fā)器，主要控制哪些用戶能訪問(wèn)哪些服務(wù)類型。當(dāng)外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)某種網(wǎng)絡(luò)服務(wù)時(shí)，服務(wù)器接受申請(qǐng)，然后他根據(jù)其服務(wù)類型、服務(wù)內(nèi)容、被服務(wù)的對(duì)象、服務(wù)者申請(qǐng)的時(shí)間、申請(qǐng)者的域名范圍等來(lái)決定是否接受此項(xiàng)服務(wù)，如果接受，它就向內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)發(fā)這項(xiàng)請(qǐng)求。（7）安裝過(guò)濾器路由器，防止IP欺騙：防止IP欺騙站點(diǎn)的最好辦法是安裝一臺(tái)過(guò)濾器路由器，該路由器限制對(duì)本站點(diǎn)外部接口的輸入，監(jiān)視數(shù)據(jù)包，可發(fā)現(xiàn)IP欺騙。應(yīng)不允許那些以本站點(diǎn)內(nèi)部網(wǎng)為源地址的包通過(guò)，還應(yīng)該過(guò)濾去那些以不同于內(nèi)部網(wǎng)為源地址的包輸出，以防止從本站點(diǎn)進(jìn)行IP欺騙。（8）建立完善的訪問(wèn)控制策略：訪問(wèn)控制時(shí)網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常反問(wèn)。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。要正確地設(shè)置入網(wǎng)訪問(wèn)控制、網(wǎng)絡(luò)權(quán)限控制、目錄等級(jí)控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)的安全控制。網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制、防火墻控制等安全機(jī)制。各種安全訪問(wèn)控制互相配合，可以達(dá)到保護(hù)系統(tǒng)的最佳效果。（9）采用加密技術(shù)：不要在網(wǎng)絡(luò)上傳輸未經(jīng)加密的口令和重要文件、信息。（10）做好備份工作：經(jīng)常檢查系統(tǒng)注冊(cè)表，做好數(shù)據(jù)備份工作。

二、處理對(duì)策

（1）發(fā)現(xiàn)攻擊者。一般很難發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)是否被人入侵。即便系統(tǒng)上有攻擊者入侵，也可能永遠(yuǎn)不被發(fā)現(xiàn)。如果攻擊者破壞了網(wǎng)絡(luò)系統(tǒng)的安全性，則可以追蹤他們。借助下面一些途徑可以發(fā)現(xiàn)攻擊者。（2）攻擊者正在行動(dòng)時(shí)，捉住攻擊者。例如，當(dāng)管理員正在工作時(shí)，發(fā)現(xiàn)有人使用超級(jí)用戶的帳號(hào)通過(guò)撥號(hào)終端登陸，而超級(jí)用戶口令只有管理員本人知道。（3）根據(jù)系統(tǒng)發(fā)生的一些改變推斷系統(tǒng)以被入侵。（4）其他站點(diǎn)的管理員那里收到郵件，稱從本站點(diǎn)有人對(duì)“他”的站點(diǎn)大肆活動(dòng)。（5）根據(jù)網(wǎng)絡(luò)系統(tǒng)中一些奇怪的現(xiàn)象，發(fā)現(xiàn)攻擊者。例如，不正常的主機(jī)連接及連接次數(shù)，系統(tǒng)崩潰，突然的磁盤(pán)存儲(chǔ)活動(dòng)或者系統(tǒng)突然變得非常緩慢等。（6）經(jīng)常注意登陸文件并對(duì)可逆行為進(jìn)行快速檢查，檢查訪問(wèn)及錯(cuò)誤登陸文件，檢查系統(tǒng)命令如login等的使用情況。在Windows NT平臺(tái)上，可以定期檢查Event Log中的Security Log，以尋找可疑行為。（7）使用一些工具軟件可以幫助發(fā)現(xiàn)攻擊者。

三、處理原則

（1）不要驚慌。發(fā)現(xiàn)攻擊者后會(huì)有許多選擇，但是不管發(fā)生什么事，沒(méi)有慎重的思考就去行動(dòng)，只會(huì)使事情變得更糟。（2）記錄每一件事情，甚至包括日期和時(shí)間。（3）估計(jì)形勢(shì)。估計(jì)入侵造成的破壞程度，攻擊者是否還滯留在系統(tǒng)中？威脅是否來(lái)自內(nèi)部？攻擊者身份及目的？若關(guān)閉服務(wù)器，是否能承受得起失去有用系統(tǒng)信息的損失？（4）采取相應(yīng)措施。一旦了解形勢(shì)之后，就應(yīng)著手做出決定并采取相應(yīng)的措施，能否關(guān)閉服務(wù)器？若不能，也可關(guān)閉一些服務(wù)或至少拒絕一些人；是否關(guān)心追蹤攻擊者？若打算如此，則不要關(guān)閉Internet聯(lián)接，因?yàn)檫€會(huì)失去攻擊者的蹤跡。

四、發(fā)現(xiàn)攻擊者后的處理對(duì)策

發(fā)現(xiàn)攻擊者后，網(wǎng)絡(luò)管理員的主要目的不是抓住他們，而是應(yīng)把保護(hù)用戶、保護(hù)網(wǎng)絡(luò)系統(tǒng)的文件和資源放在首位。因此，可采取下面某些對(duì)策。

（1）不理睬。（2）使用write或talk工具詢問(wèn)他們究竟想要做什么。（3）跟蹤這個(gè)連接，找出攻擊者的來(lái)路和身份。這時(shí)候，nslookup、finger、rusers等工具很有用。（4）管理員可以使用一些工具來(lái)監(jiān)視攻擊者，觀察他們正在做什么。這些工具包括snoop、ps、lastcomm、ttywatch等。（5）殺死這個(gè)進(jìn)程來(lái)切斷攻擊者與系統(tǒng)的連接。斷開(kāi)調(diào)制解調(diào)器與網(wǎng)絡(luò)線的連接，或者關(guān)閉服務(wù)器。（6）找出安全漏洞并修補(bǔ)漏洞，在恢復(fù)系統(tǒng)。（7）最后，根據(jù)記錄的整個(gè)文件的發(fā)生發(fā)展過(guò)程，編檔保存并從中吸取經(jīng)驗(yàn)教訓(xùn)。

總之，面對(duì)當(dāng)前如此猖獗的黑客攻擊，必須做好網(wǎng)絡(luò)的防范工作。正所謂對(duì)癥下藥，只有了解了攻擊者的手法，才能更好地采取措施，來(lái)保護(hù)網(wǎng)絡(luò)與計(jì)算機(jī)系統(tǒng)的正常運(yùn)行。

參考文獻(xiàn)：

[1]戚文靜.網(wǎng)絡(luò)安全與管理[M].中國(guó)水利水電出版社,2010

篇2

關(guān)鍵詞：服務(wù)器虛擬化；安全風(fēng)險(xiǎn)；防護(hù)措施

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）03-0033-03

近幾年來(lái)，虛擬化技術(shù)受到廣泛關(guān)注，其被廣泛應(yīng)用于各個(gè)領(lǐng)域，與此同時(shí)新的安全風(fēng)險(xiǎn)和安全隱患也隨之而來(lái)。這將嚴(yán)重影響服務(wù)器虛擬化技術(shù)的發(fā)展前景，因此為了保證服務(wù)器虛擬化的安全性能，采取必要的防護(hù)措施是十分有必要的。

1 服務(wù)器虛擬化技術(shù)概述

1.1 虛擬化技術(shù)簡(jiǎn)介

服務(wù)器虛擬化是一種從邏輯角度對(duì)資源進(jìn)行重新配置的方法，而傳統(tǒng)的資源配置方式更多的是從物理的角度考慮。我們可以把服務(wù)器虛擬化技術(shù)看作是一種對(duì)硬件資源的重新配置的技術(shù)。由于服務(wù)器虛擬化技術(shù)是采用邏輯方式對(duì)資源進(jìn)行重新配置，因此在同一個(gè)物理機(jī)器上可以同時(shí)運(yùn)行一個(gè)或者多個(gè)操作系統(tǒng)的虛擬化服務(wù)器。服務(wù)器虛擬化技術(shù)的優(yōu)點(diǎn)在于大大方便了企業(yè)對(duì)系統(tǒng)的管理，它是一種最好的資源優(yōu)化整合方式。目前，隨著虛擬化服務(wù)器技術(shù)在我國(guó)的廣泛普及和應(yīng)用，產(chǎn)生了一些新的安全風(fēng)險(xiǎn)和安全隱患問(wèn)題急需解決，否則服務(wù)器虛擬化技術(shù)存在的安全隱患將嚴(yán)重影響其未來(lái)的發(fā)展前景。

1.2 如何實(shí)現(xiàn)服務(wù)器虛擬化技術(shù)

服務(wù)器虛擬化技術(shù)的實(shí)現(xiàn)方式主要有兩種，一種是將一個(gè)物理服務(wù)器虛擬化為若干數(shù)量的獨(dú)立的邏輯服務(wù)器，其中分區(qū)就是該種方式的一個(gè)典型代表。另一種方式就是將若干個(gè)不同的物理服務(wù)器看作是一個(gè)邏輯服務(wù)器，其中網(wǎng)絡(luò)就是這種形式的典型代表。其很好地詮釋了服務(wù)器虛擬化技術(shù)在我國(guó)各個(gè)領(lǐng)域的廣泛關(guān)注程度和應(yīng)用程度。

1.3 服務(wù)器虛擬化的三種主流實(shí)現(xiàn)模式

目前，市場(chǎng)上的主流服務(wù)器虛擬化軟件種類繁多，其實(shí)現(xiàn)技術(shù)各不相同，因此針對(duì)服務(wù)器虛擬化的技術(shù)分類也沒(méi)有統(tǒng)一的說(shuō)法。服務(wù)器虛擬化技術(shù)根據(jù)實(shí)現(xiàn)模式的不同大體可以將其分為三種主流實(shí)現(xiàn)模式：全虛擬化、半虛擬化和硬件輔助虛擬化。 全虛擬化的實(shí)現(xiàn)原理是在利用一個(gè)VMM（虛擬機(jī)監(jiān)視器）來(lái)實(shí)現(xiàn)虛擬機(jī)系統(tǒng)和硬件資源之間的“溝通交流”。該種模式主要代表是VMware。它的主要優(yōu)點(diǎn)在于它可以直接安裝在原有的操作系統(tǒng)上運(yùn)行而無(wú)需對(duì)原系統(tǒng)有任何配置修改。它的缺點(diǎn)是大大增加了二進(jìn)制轉(zhuǎn)譯的工作量，而且到目前為止尚沒(méi)有一種比較好的優(yōu)化方法。

半虛擬化則是利用VMM對(duì)底層的硬件進(jìn)行訪問(wèn)。半虛擬化與虛擬化的區(qū)別在于它將許多與虛擬化有關(guān)的代碼植入到虛擬系統(tǒng)中，因此就不需要VMM來(lái)轉(zhuǎn)譯二進(jìn)制。半虛擬化在很大程度上降低了負(fù)荷，很大程度上提高了其性能。但它同樣存在很大的問(wèn)題，例如兼容性差就是半虛擬化服務(wù)器存在的主要問(wèn)題。其次半虛擬化的維護(hù)成本相對(duì)比較高。

硬件輔助虛擬化在原有的基礎(chǔ)之上加上了root模式，也就是說(shuō)把VMM運(yùn)行到root模式。這種模式的好處在于可以把關(guān)鍵指令放在VMM上直接執(zhí)行而不需要二進(jìn)制轉(zhuǎn)譯，這在很大程度上提高了服務(wù)器虛擬化的性能，其發(fā)展前景良好。

2 服務(wù)器虛擬化技術(shù)存在的安全風(fēng)險(xiǎn)和安全隱患

事實(shí)上，服務(wù)器虛擬化作為一種新興的熱門(mén)技術(shù)之一，不僅能夠?qū)τ布Y源進(jìn)行重新配置，實(shí)現(xiàn)硬件資源的不斷優(yōu)化，而且還大大提高了硬件資源的利用效率。雖然服務(wù)器虛擬化技術(shù)尚不成熟，還存在一些安全隱患和安全漏洞；例如由于VMWare 平臺(tái)網(wǎng)絡(luò)框架的不同而造成安全漏洞的發(fā)生等。

2.1 VMWare 平臺(tái)網(wǎng)絡(luò)架構(gòu)存在的安全隱患

根據(jù)網(wǎng)絡(luò)的覆蓋范圍可以將網(wǎng)絡(luò)分為局域網(wǎng)、城域網(wǎng)和廣域網(wǎng)，本文主要針對(duì)局域網(wǎng)中VMWare平臺(tái)網(wǎng)絡(luò)架構(gòu)進(jìn)行分析。在局域網(wǎng)中，將處于私有云上的VMWare 平臺(tái)與Internet進(jìn)行物理隔離，由于VMWare平臺(tái)網(wǎng)絡(luò)架構(gòu)不能對(duì)其自身的補(bǔ)丁庫(kù)進(jìn)行自動(dòng)更新操作，致使VMWare平臺(tái)網(wǎng)絡(luò)架構(gòu)一旦出F安全漏洞，補(bǔ)丁庫(kù)也不能對(duì)其進(jìn)行及時(shí)的修復(fù)，這樣就導(dǎo)致了VMWare平臺(tái)網(wǎng)絡(luò)架構(gòu)中出現(xiàn)了安全隱患，給VMWare平臺(tái)網(wǎng)絡(luò)架構(gòu)的正常運(yùn)行帶來(lái)了安全方面的威脅。網(wǎng)絡(luò)攻擊人員例如黑客、駭客等就利用了VMWare平臺(tái)網(wǎng)絡(luò)架構(gòu)中的安全漏洞侵入虛擬服務(wù)器宿的主機(jī)，進(jìn)行竊取機(jī)密或投放病毒等破壞性行動(dòng)。一旦網(wǎng)絡(luò)攻擊人員成功侵入虛擬服務(wù)器的主機(jī)，那么他就能夠輕而易舉的獲取VMWare平臺(tái)網(wǎng)絡(luò)架構(gòu)的管理權(quán)限，對(duì)其中的虛擬服務(wù)器進(jìn)行各個(gè)擊破，毫無(wú)阻礙。也就是說(shuō)，網(wǎng)絡(luò)攻擊人員可以輕而易舉的獲取他們需要的東西，網(wǎng)絡(luò)安全防護(hù)措施形同虛設(shè)，網(wǎng)絡(luò)安全成為一句空話。

2.2虛擬機(jī)跳板式攻擊

將服務(wù)器進(jìn)行虛擬化后會(huì)有多個(gè)虛擬機(jī)同時(shí)存在，這些虛擬機(jī)共同自動(dòng)運(yùn)行在相同的一臺(tái)物理主機(jī)上，由于網(wǎng)絡(luò)安全系統(tǒng)不可能同時(shí)對(duì)同一臺(tái)物理主機(jī)上的多個(gè)虛擬機(jī)進(jìn)行同時(shí)監(jiān)控，致使這些虛擬機(jī)在進(jìn)行通信過(guò)程中的安全防護(hù)和安全性能都比較差，這給網(wǎng)絡(luò)攻擊人員提供了侵入主機(jī)的機(jī)會(huì)。進(jìn)行服務(wù)器虛擬化以后的虛擬機(jī)在安全防護(hù)方面存在很大的問(wèn)題，網(wǎng)絡(luò)攻擊者完全可以利用安全防護(hù)漏洞進(jìn)行攻擊，網(wǎng)絡(luò)攻擊人員一旦將虛擬機(jī)的安全防護(hù)措施攻破就很容易對(duì)其進(jìn)行控制；與此同時(shí)，網(wǎng)絡(luò)攻擊者完全可以利用已經(jīng)控制的虛擬機(jī)對(duì)網(wǎng)絡(luò)中其他未攻破的虛擬機(jī)進(jìn)行攻擊，這樣將給整個(gè)數(shù)據(jù)中心虛擬化環(huán)境帶來(lái)嚴(yán)重的安全威脅。

2.3 VMM設(shè)計(jì)上存在缺陷

虛擬機(jī)的安全機(jī)制是建立在VMM完全可信的基礎(chǔ)之上的，但是就目前的服務(wù)器虛擬化技術(shù)而言，VMM的安全性能并非牢不可破。VMM在設(shè)計(jì)方面存在的一些安全漏洞給了攻擊者可趁之機(jī)，此外，VMM自身并不能對(duì)外部的篡改和替換等操作進(jìn)行識(shí)別和阻止。例如如果攻擊者在成功控制了虛擬機(jī)后將VMM關(guān)閉，這將造成運(yùn)行在宿主機(jī)上的其他虛擬系統(tǒng)也跟著全部關(guān)閉。

網(wǎng)絡(luò)攻擊人員可以通過(guò)應(yīng)用接口程序（API）來(lái)操控其中的一臺(tái)虛擬機(jī)，并利用這臺(tái)虛擬機(jī)向VMM發(fā)送請(qǐng)求。由于VMM自身缺乏對(duì)請(qǐng)求的判斷和識(shí)別機(jī)制，導(dǎo)致其很容易獲取VMM的信任，從而對(duì)其發(fā)動(dòng)攻擊。除此之外，網(wǎng)絡(luò)攻擊人員還可以利用網(wǎng)絡(luò)對(duì)VMM發(fā)動(dòng)攻擊，他們利用的網(wǎng)絡(luò)通常是在配置上存在缺陷的網(wǎng)絡(luò)，并沒(méi)有安裝相應(yīng)的安全訪問(wèn)控制，入侵者很容易通過(guò)網(wǎng)絡(luò)連接到VMM的IP地址。即使網(wǎng)絡(luò)攻擊人員無(wú)法通過(guò)暴力途徑將VMM的登錄口令破解掉，但依然可以通過(guò)拒絕服務(wù)攻擊的形式將VMM的資源消耗殆盡，那么也就間接的將運(yùn)行在VMM上的所有虛擬機(jī)宕機(jī)，這樣管理人員就不能在通過(guò)網(wǎng)絡(luò)與VMM連接，解決的辦法只能是重啟VMM以及所有的虛擬機(jī)。

2.4 虛擬機(jī)通信上存在安全風(fēng)險(xiǎn)

隨著網(wǎng)絡(luò)虛擬化的廣泛普及和應(yīng)用，安全問(wèn)題的發(fā)生概率有所上升。在傳統(tǒng)網(wǎng)絡(luò)中比較有效的安全防護(hù)措施，將其移植到虛擬化的網(wǎng)絡(luò)環(huán)境中其效果并不顯著。

虛擬機(jī)通信上存在的安全風(fēng)險(xiǎn)主要有以下幾個(gè)方面：網(wǎng)絡(luò)安全防護(hù)困難、VM hopping攻擊、拒絕服務(wù)DOS攻擊等。其中網(wǎng)絡(luò)安全防護(hù)困難主要體現(xiàn)在服務(wù)器虛擬化之前通過(guò)使用防火墻將其劃分為不同等級(jí)的安全區(qū)域，不同級(jí)別的區(qū)域其管理策略也各不相同。從理論上可以認(rèn)為最嚴(yán)密的網(wǎng)絡(luò)安全隔離可以防止一臺(tái)服務(wù)器被網(wǎng)絡(luò)攻擊者攻破后對(duì)其他的服務(wù)器進(jìn)行攻擊。自從應(yīng)用了服務(wù)器虛擬化技術(shù)之后，同一臺(tái)機(jī)器上的所有虛擬機(jī)都共用物理機(jī)上的一塊網(wǎng)卡與網(wǎng)絡(luò)中的其他主機(jī)進(jìn)行通信，這就導(dǎo)致安全隱患問(wèn)題很容易擴(kuò)展到網(wǎng)絡(luò)中的其他主機(jī)上。因此傳統(tǒng)的防火墻部署形式并不能滿足服務(wù)器虛擬化對(duì)網(wǎng)絡(luò)安全的要求，還需要對(duì)防火墻技術(shù)進(jìn)行不斷的改進(jìn)和優(yōu)化。

VM Hopping攻擊是指為了提高虛擬化技術(shù)的性能而進(jìn)行內(nèi)存共享、交換，導(dǎo)致虛擬機(jī)在通信過(guò)程中存在風(fēng)險(xiǎn)，網(wǎng)絡(luò)攻擊人員利用已經(jīng)控制的虛擬機(jī)對(duì)處于同一物理機(jī)上的另一臺(tái)虛擬機(jī)進(jìn)行入侵，一旦成功后就可以借助其以同樣的形式對(duì)其他虛擬機(jī)進(jìn)行攻擊。網(wǎng)絡(luò)攻擊人員甚至可以直接控制宿主機(jī)，進(jìn)一步控制運(yùn)行在該宿主機(jī)上的所有虛擬機(jī)，因此一旦宿主機(jī)失去控制權(quán)，其后果相當(dāng)嚴(yán)重。

此外，還有一種對(duì)虛擬化危害比較嚴(yán)重的安全問(wèn)題就是拒絕服務(wù)（DOS）攻擊，在虛擬的服務(wù)器中，在同一個(gè)物理機(jī)上的所有硬件資源和網(wǎng)絡(luò)等都是由虛擬機(jī)和宿主機(jī)共同使用。拒絕服務(wù)攻擊的主要目標(biāo)是耗盡宿主機(jī)的所有資源，使其不能夠在為運(yùn)行在宿主機(jī)上的虛擬機(jī)服務(wù)，從而達(dá)到是虛擬機(jī)宕機(jī)的目的。

3 服務(wù)器虛擬化的安全防范措施

網(wǎng)絡(luò)安全防范措施是確保服務(wù)器正常穩(wěn)定安全運(yùn)行的屏障，服務(wù)器虛擬化技術(shù)改變了傳統(tǒng)網(wǎng)絡(luò)安全防范措施的部署形式，因此加強(qiáng)安全防范措施的改良、優(yōu)化對(duì)確保服務(wù)器的安全運(yùn)行有重大意義。下面將詳細(xì)介紹如何防范服務(wù)器虛擬化技術(shù)中存在的安全隱患和安全漏洞。

3.1應(yīng)用互感器邏輯隔離技術(shù)

在對(duì)服務(wù)器虛擬化進(jìn)行改良優(yōu)化過(guò)程中，負(fù)責(zé)網(wǎng)絡(luò)信息安全的工作人員可以將虛擬機(jī)當(dāng)作是AD服務(wù)器，在搭建網(wǎng)絡(luò)服務(wù)器時(shí)根據(jù)互聯(lián)網(wǎng)環(huán)境的實(shí)際情況分配不同的IP地址，利用這種方式來(lái)確保信息傳播過(guò)程中的安全性能，除此之外，網(wǎng)絡(luò)信息安全工作人員還可以采用劃分VLAN的方式，對(duì)網(wǎng)站上的各種信息進(jìn)行邏輯上的隔離操作。至于用于處理虛擬機(jī)內(nèi)部信息的操作軟件，將其進(jìn)行一體化連接，物理服務(wù)器是其信息交流的橋梁，這樣就有效防止了網(wǎng)卡橋出現(xiàn)安全問(wèn)題。由于虛擬器裝備在進(jìn)行信息傳遞的過(guò)程中很可能出現(xiàn)負(fù)荷越來(lái)越大的情況，這樣十分不利于網(wǎng)絡(luò)接受方對(duì)信號(hào)的動(dòng)態(tài)捕捉，致使原本能夠正常傳播的各種信號(hào)如視頻信號(hào)、音頻信號(hào)和圖片信息等發(fā)生畸變而不能正確傳播。

為了有效避免網(wǎng)絡(luò)攻擊人員對(duì)服務(wù)器虛擬化操作系統(tǒng)進(jìn)行各種攻擊侵入行為，信息安全維護(hù)人員可以通過(guò)應(yīng)用信息安全的技術(shù)系統(tǒng)來(lái)改善虛擬服務(wù)器的環(huán)境，來(lái)避免虛擬服務(wù)器被惡意攻擊。除此之外，負(fù)責(zé)網(wǎng)絡(luò)信息安全的工作人員還可以利用大數(shù)據(jù)庫(kù)提供的一些信息數(shù)據(jù)對(duì)虛擬環(huán)境進(jìn)行安全檢測(cè)，一旦數(shù)據(jù)庫(kù)中有異常情況發(fā)生就立即執(zhí)行安全的操作策略。vShield可以通過(guò)在虛擬的環(huán)境中建立隔離來(lái)解決主機(jī)和虛擬機(jī)之間的隔離問(wèn)題。此外，通過(guò)強(qiáng)化管理的功能層的性能，可以有效提升服務(wù)器虛擬化系統(tǒng)的抗攻擊能力，大大提高其安全系數(shù)。

3.2對(duì)虛擬機(jī)的操作系統(tǒng)進(jìn)行日常維護(hù)

在深入分析、研究了服務(wù)器虛擬化存在的安全L險(xiǎn)之后，我們發(fā)展負(fù)責(zé)維護(hù)網(wǎng)絡(luò)信息安全的工作人員應(yīng)該對(duì)虛擬機(jī)的操作系統(tǒng)進(jìn)行規(guī)范化、常規(guī)化的維護(hù)工作，網(wǎng)絡(luò)安全部門(mén)應(yīng)該充分重視虛擬化服務(wù)器的安全問(wèn)題，嚴(yán)格監(jiān)督控制信息分配和處理過(guò)程。與此同時(shí)，網(wǎng)絡(luò)信息安全部門(mén)應(yīng)該設(shè)有專門(mén)的虛擬機(jī)系統(tǒng)維護(hù)人員，一般2到3人為最佳，對(duì)系統(tǒng)中安裝的所有軟件進(jìn)行維護(hù)、升級(jí)等操作，確保一旦有病毒入侵能夠第一時(shí)間被安全防護(hù)人員發(fā)現(xiàn)并進(jìn)行有效攔截。此外，通過(guò)定期對(duì)信息通道監(jiān)控還可以有效減少垃圾信息的數(shù)量，從而有效避免了信息信號(hào)傳輸受阻情況的發(fā)生。必須定期排查服務(wù)器虛擬化的安全防范措施，并將其作為一種常態(tài)化操作保留下來(lái)，這樣能夠在很大程度上提高制度的執(zhí)行效率。最后，引進(jìn)并使用先進(jìn)的殺毒軟件系統(tǒng)，對(duì)運(yùn)行在虛擬機(jī)上的操作系統(tǒng)進(jìn)行及時(shí)的漏洞修補(bǔ)，將出現(xiàn)安全鏈斷裂的地方及時(shí)修復(fù)。此外，還要適時(shí)的對(duì)運(yùn)行在虛擬機(jī)上的操作系統(tǒng)進(jìn)行升級(jí)操作，與之配套的防火墻軟件也要進(jìn)行相應(yīng)的升級(jí)，這樣才能更好地避免安全隱患的發(fā)生，確保服務(wù)器虛擬機(jī)的安全穩(wěn)定運(yùn)行。

3.3對(duì)服務(wù)器進(jìn)行鏡像處理和冗余設(shè)置

如果網(wǎng)絡(luò)攻擊人員利用硬盤(pán)故障發(fā)動(dòng)對(duì)服務(wù)器的攻擊的話，那么對(duì)服務(wù)器虛擬化的打擊可以說(shuō)是十分致命的，因此，網(wǎng)絡(luò)信息安全的工程人員在對(duì)服務(wù)器進(jìn)行安全防護(hù)的過(guò)程中，首要工作就是對(duì)服務(wù)器進(jìn)行一系列的評(píng)估活動(dòng)，對(duì)網(wǎng)絡(luò)硬盤(pán)的內(nèi)存和運(yùn)行速度等性能進(jìn)行評(píng)估，判斷其能否滿足服務(wù)器虛擬化的實(shí)際需求。為了阻止網(wǎng)絡(luò)攻擊人員的攻擊行為，弱化網(wǎng)絡(luò)信息安全的安全隱患，信息安全維護(hù)人員可以采用應(yīng)用多臺(tái)物理服務(wù)器的方式對(duì)硬件資源進(jìn)行鏡像處理和冗余設(shè)置，從而達(dá)到虛擬軟件動(dòng)態(tài)遷移的目標(biāo)。對(duì)服務(wù)器進(jìn)行鏡像處理和冗余設(shè)置可以從根本上不斷地對(duì)服務(wù)器虛擬化軟件進(jìn)行更新?lián)Q代，使服務(wù)器虛擬化一直保持在動(dòng)態(tài)遷移的狀態(tài)，這樣即使服務(wù)器虛擬化系統(tǒng)被網(wǎng)絡(luò)攻擊人員攻擊破壞，出現(xiàn)網(wǎng)絡(luò)安全的威脅，它也能夠及時(shí)發(fā)現(xiàn)并進(jìn)行有效修復(fù)，從而避免了因?yàn)殚L(zhǎng)時(shí)間的連接而造成的連接中斷問(wèn)題。

3.4 部署網(wǎng)絡(luò)安全產(chǎn)品

為了保證虛擬機(jī)的安全穩(wěn)定的運(yùn)行，可以通過(guò)部署網(wǎng)絡(luò)安全產(chǎn)品如網(wǎng)絡(luò)殺毒軟件等的方式防止網(wǎng)絡(luò)攻擊人員的惡意攻擊和病毒入侵。通過(guò)安裝殺毒軟件可以實(shí)時(shí)更新惡意代碼庫(kù)和病毒庫(kù)，從而更好的查殺病毒，防范病毒的入侵。此外，部署網(wǎng)絡(luò)防火墻也是一種比較常見(jiàn)的防止網(wǎng)絡(luò)攻擊的方式，它的工作原理遵循最小授權(quán)訪問(wèn)原則，即訪問(wèn)虛擬主機(jī)和虛擬機(jī)IP地址和端口號(hào)都要受到控制，只有這樣才能確保虛擬機(jī)運(yùn)行環(huán)境的安全可靠。

為了確保虛擬機(jī)的安全穩(wěn)定運(yùn)行，對(duì)虛擬機(jī)中出現(xiàn)的任何漏洞問(wèn)題都要進(jìn)行及時(shí)的修補(bǔ)操作和系統(tǒng)的更新處理。即使做了上述防范措施也無(wú)法避免虛擬化平臺(tái)出現(xiàn)安全問(wèn)題，造成這種現(xiàn)象發(fā)生的主要原因是補(bǔ)丁的更新速度跟不上漏洞產(chǎn)生的速度；同時(shí)，在虛擬化平臺(tái)上同時(shí)運(yùn)行著多個(gè)虛擬機(jī)，致使虛擬化平臺(tái)的運(yùn)行速度比較慢。即使虛擬機(jī)受到虛擬化平臺(tái)的保護(hù)，但由于虛擬機(jī)自身存在安全漏洞，同樣會(huì)給虛擬機(jī)的正常運(yùn)行帶來(lái)安全威脅。

3.5建立完善的審計(jì)機(jī)制

建立完善的審計(jì)機(jī)制也是一種保證服務(wù)器虛擬化系統(tǒng)安全運(yùn)行的有效措施。該審計(jì)機(jī)制主要包括以下幾個(gè)方面的內(nèi)容。首先要嚴(yán)格監(jiān)控虛擬服務(wù)器上負(fù)載的數(shù)量。其次提高用戶對(duì)操作行為的審計(jì)水平，通過(guò)檢查和分析系統(tǒng)日志來(lái)發(fā)現(xiàn)是否有異常的情況發(fā)生，從而及時(shí)發(fā)現(xiàn)異常并進(jìn)行修復(fù)工作。

3.6加強(qiáng)系統(tǒng)管理

世界上并不存在無(wú)懈可擊的事物，因此即使在網(wǎng)絡(luò)中采取了安全防范措施也不能夠完全保證網(wǎng)絡(luò)的安全運(yùn)行，因此，我們應(yīng)該根據(jù)不同風(fēng)險(xiǎn)的實(shí)際情況而采取不同策略的安全防范措施，從而最大程度的保障其安全性能。為了實(shí)現(xiàn)這一目標(biāo)制定完善的安全管理措施是十分有必要的。與此同時(shí)，加強(qiáng)系統(tǒng)管理人員自身的安全防范意識(shí)對(duì)避免安全隱患的發(fā)生的意義也是十分重大的。

4 總結(jié)

綜上所述，服務(wù)器虛擬化技術(shù)已經(jīng)實(shí)現(xiàn)了多個(gè)操作系統(tǒng)在同一個(gè)物理服務(wù)器上運(yùn)行，使得硬件資源被最大程度的利用，與此同時(shí)還大大降低了對(duì)服務(wù)器的管理工作的工作量，從一定程度上減少了管理成本。然而，隨之而來(lái)的還有新的安全風(fēng)險(xiǎn)和安全隱患，為了確保服務(wù)器的安全性能，加強(qiáng)防護(hù)是必要的。

參考文獻(xiàn)：

[1] 孫志明.服務(wù)器虛擬化安全風(fēng)險(xiǎn)防范措施[J].算機(jī)光盤(pán)軟件與應(yīng)用，2013（12）：69-72.

篇3

【關(guān)鍵詞】安全；VLAN技術(shù)；AFC系統(tǒng)網(wǎng)絡(luò)；安全隱患；解決方案

0.引言

自動(dòng)售檢票（AFC）系統(tǒng)是一個(gè)集售票、檢票、計(jì)費(fèi)、收費(fèi)、統(tǒng)計(jì)、清分結(jié)算和運(yùn)行管理等于一體的自動(dòng)化系統(tǒng)[1]，其作為軌道交通運(yùn)營(yíng)管理重要子系統(tǒng)之一，既承擔(dān)著減少地鐵工作人員的勞動(dòng)強(qiáng)度，獲取城市交通客流信息的一手資料等任務(wù)，也負(fù)責(zé)著票務(wù)收入計(jì)量，財(cái)務(wù)信息的匯總分析等重要工作。鑒于AFC系統(tǒng)在軌道交通運(yùn)營(yíng)過(guò)程中的重要地位，其安全性原則不容忽視。安全性建設(shè)意義重大，但完善安全性建設(shè)卻難以面面俱到。一方面，我們知道安全是AFC系統(tǒng)能否正常運(yùn)行的關(guān)鍵；另一方面，AFC系統(tǒng)作為內(nèi)容繁多，結(jié)構(gòu)嚴(yán)密，邏輯清晰的信息聯(lián)機(jī)儲(chǔ)存以及管理的系統(tǒng)，其安全性建設(shè)是一個(gè)系統(tǒng)工程。信息安全理論的木桶原理告訴我們：一個(gè)組織的信息安全水平將由與信息安全有關(guān)的所有環(huán)節(jié)中最薄弱的環(huán)節(jié)決定，也即是說(shuō)，安全性建設(shè)這個(gè)系統(tǒng)工程必須重視每一個(gè)安全細(xì)節(jié)。

1.三號(hào)線網(wǎng)絡(luò)中的VLAN技術(shù)

網(wǎng)絡(luò)作為AFC系統(tǒng)的重要組成部分，其安全性也是AFC系統(tǒng)安全的一部分。

三號(hào)線的AFC網(wǎng)絡(luò)規(guī)劃需要將多個(gè)車(chē)站的終端組成一個(gè)網(wǎng)絡(luò)，并且由于業(yè)務(wù)分工的需要，每個(gè)車(chē)站內(nèi)部的終端需要組成不同的局域網(wǎng)。若使用傳統(tǒng)的局域網(wǎng)加路由的技術(shù)，則滿足需求的網(wǎng)絡(luò)方案中必須用到大量的路由，而且對(duì)處理網(wǎng)絡(luò)結(jié)構(gòu)的改變也不夠靈活。而VLAN技術(shù)的特點(diǎn)卻正好有效的解決了以上需求。利用VLAN技術(shù)以及VLAN技術(shù)上的干道技術(shù)，一方面，我們可以有效的分割廣播域且不會(huì)增加對(duì)路由的需求，節(jié)約了成本；另一方面，VLAN可以非常靈活的處理終端的重新歸網(wǎng)問(wèn)題。

2.安全隱患

在了解了VLAN技術(shù)之后，我們來(lái)看看這種安全技術(shù)的兩個(gè)潛在隱患。

第二層攻擊類型介紹。

交換機(jī)處理的數(shù)據(jù)屬于參考網(wǎng)絡(luò)模型的第二層，即數(shù)據(jù)鏈路層。利用該層數(shù)據(jù)幀進(jìn)行的網(wǎng)絡(luò)攻擊我們都稱為第二層網(wǎng)絡(luò)攻擊。已知的第二層攻擊有以下幾種：VLAN跳躍，STP攻擊，DHCP欺騙，CAM表溢出等。我們將重點(diǎn)放在VLAN跳躍攻擊上。

VLAN跳躍攻擊有兩種方法，分別是交換機(jī)欺騙和雙重標(biāo)示。

2.1交換機(jī)欺騙

我們知道，如果一條線路成為干道的話，該線路將可以傳遞所有VLAN數(shù)據(jù)幀。一些cisco交換機(jī)端口的中繼默認(rèn)設(shè)置為auto模式，這使得接入交換機(jī)的攻擊者主機(jī)可以構(gòu)造DTP幀來(lái)打開(kāi)交換機(jī)的中繼模式。收到DTP幀的交換機(jī)會(huì)認(rèn)為攻擊者主機(jī)是另一交換機(jī)的中繼端口，從而打開(kāi)自己的中繼模式，使得交換機(jī)將所有的VLAN數(shù)據(jù)幀傳送給攻擊者主機(jī)。如果車(chē)站服務(wù)器被入侵，那么當(dāng)服務(wù)器上的入侵者向交換機(jī)發(fā)送其構(gòu)造的DTP幀時(shí)，中繼默認(rèn)設(shè)置為auto模式的交換機(jī)便會(huì)將該交換機(jī)上所有VLAN的數(shù)據(jù)包發(fā)給工作站。此時(shí)，服務(wù)器上的入侵者得到了該連接到該交換機(jī)上所有其他設(shè)備的數(shù)據(jù)包，包括GATE，TVM，BOM，TCM等。這就是VLAN跳躍攻擊。

2.2雙重標(biāo)記

為了能和不支持VLAN技術(shù)的交換機(jī)或其他設(shè)備通訊，支持VLAN技術(shù)的交換機(jī)設(shè)置了一個(gè)默認(rèn)的本地VLAN。這個(gè)VLAN的發(fā)出數(shù)據(jù)幀是不帶VLAN標(biāo)簽的。如果一個(gè)數(shù)據(jù)幀含有本地VLAN的標(biāo)簽，那么在發(fā)出這個(gè)數(shù)據(jù)幀的時(shí)候，該VLAN會(huì)被交換機(jī)刪去。針對(duì)這一處理方法，攻擊者可以構(gòu)造一個(gè)雙重標(biāo)記的數(shù)據(jù)幀，達(dá)到訪問(wèn)本不能訪問(wèn)的VLAN網(wǎng)絡(luò)的目的。

如右圖所示，假設(shè)下圖的工作站A和終端A分別屬于VLAN2和VLAN3，在一般情況下工作站A不能訪問(wèn)終端A。然而，當(dāng)工作站A向交換機(jī)A發(fā)送一個(gè)雙重標(biāo)記的數(shù)據(jù)幀時(shí)，這個(gè)數(shù)據(jù)幀就可以到達(dá)終端A，進(jìn)而達(dá)到訪問(wèn)終端A的目的。

3.防范措施

3.1針對(duì)交換機(jī)欺騙的防范措施

交換機(jī)欺騙的危害雖大，但其預(yù)防措施卻并不復(fù)雜。事實(shí)上，交換機(jī)欺騙攻擊之所以說(shuō)是一個(gè)安全隱患是因?yàn)榇蠖鄶?shù)的交換機(jī)默認(rèn)就將端口設(shè)置auto模式。三號(hào)線采用的交換機(jī)CiscoCatalyst 3550，其端口的默認(rèn)設(shè)置便是這種形式。

為了防范交換機(jī)欺騙攻擊，我們可以修改非干道端口上默認(rèn)打開(kāi)的auto模式，將其改成接入模式。以CiscoCatalyst 3550交換機(jī)為例，我們可以用下面的命令消除交換機(jī)欺騙攻擊隱患：

Switch（config）#interface gigabitethernet 0/1

Switch（config-if）#switchport mode access

C3550交換機(jī)是地鐵三號(hào)線車(chē)站計(jì)算機(jī)系統(tǒng)中的站臺(tái)設(shè)備接入交換機(jī)，數(shù)目較多，這就加大該隱患的危險(xiǎn)性。以上改變端口默認(rèn)設(shè)置的命令應(yīng)該在各個(gè)C3550交換機(jī)上執(zhí)行，另外，對(duì)于線路中的其他交換機(jī)，我們也必須確定交換機(jī)的端口是否為auto設(shè)置，若是，則按照相應(yīng)交換機(jī)的操作命令修改auto設(shè)置。

3.2針對(duì)雙重標(biāo)記的防范措施

實(shí)現(xiàn)雙重標(biāo)記這種攻擊，前提條件是兩臺(tái)交換機(jī)使用802.1q協(xié)議作為干道的中繼通訊以及兩臺(tái)交換機(jī)均具有相同標(biāo)號(hào)的本地VLAN。大多數(shù)的交換機(jī)為了提高兼容性都是使用802.1q協(xié)議作為干道的中繼通訊協(xié)議，并且，交換機(jī)默認(rèn)的本地VLAN都為VLAN1，從而，這些默認(rèn)設(shè)置滋生了雙重標(biāo)識(shí)這種安全隱患。

（1）修改以上提及的默認(rèn)設(shè)置，我們便可以防范這個(gè)隱患。

以C3550交換機(jī)為例，可以在交換機(jī)上利用下列命令將本地VLAN的編號(hào)設(shè)置成其他編號(hào)：

Switch（config）#interface gigabitethernet 0/1

Switch（config-if）#switchport trunk native vlan 123

（2）選擇思科的專有協(xié)議ISL代替802.1q協(xié)議。這方法只能用在車(chē)站交換機(jī)全部支持ISL協(xié)議的場(chǎng)合，操作的命令是：

Switch（config-if）#switchport trunk encapsulation isl

（3）比較實(shí)用的防范方法是在干道端口上標(biāo)記所有本地VLAN流量，命令如下：

Switch（config-if）#switchport native vlan tag

通過(guò)這條命令，我們可以讓所有的干道端口保留本地VLAN數(shù)據(jù)包的幀標(biāo)記，雙重標(biāo)記攻擊便失效了。

4.結(jié)語(yǔ)

通過(guò)討論VLAN的兩個(gè)較為隱蔽安全隱患及其防范措施，我們填補(bǔ)三號(hào)線AFC網(wǎng)絡(luò)的存在的一些安全隱患。安全是一個(gè)系統(tǒng)性工程，而安全系統(tǒng)總是取決與最薄弱環(huán)節(jié)的安全程度，因此在日常工作中，我們必須加強(qiáng)安全意識(shí)，領(lǐng)會(huì)安全性原則，并重視安全性操作，借此提高廣州地鐵的安全性建設(shè)水平，為更好服務(wù)市民做出努力。

【參考文獻(xiàn)】

篇4

1常見(jiàn)的計(jì)算機(jī)網(wǎng)絡(luò)攻擊手段

1.1黑客攻擊

黑客通常都比較了解計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)漏洞，黑客會(huì)利用很多網(wǎng)絡(luò)手段攻擊計(jì)算機(jī)網(wǎng)絡(luò)，從而對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的維護(hù)構(gòu)成很大危害。比較常見(jiàn)的黑客手段有：通過(guò)非法的手段來(lái)截獲網(wǎng)絡(luò)上傳播的數(shù)據(jù)信息、惡意修改網(wǎng)絡(luò)程序來(lái)破壞網(wǎng)絡(luò)的運(yùn)行等等。

1.2病毒攻擊手段

病毒軟件是威脅計(jì)算機(jī)網(wǎng)絡(luò)安全的主要手段之一。計(jì)算機(jī)病毒是人為編寫(xiě)的破壞型指令或程序，當(dāng)侵入計(jì)算機(jī)系統(tǒng)后，就會(huì)被激發(fā)進(jìn)而破壞計(jì)算機(jī)系統(tǒng)或進(jìn)行其他操作，給用戶造成損失。計(jì)算機(jī)病毒的種類有很多，包括復(fù)合型病毒、系統(tǒng)引導(dǎo)病毒、宏病毒、文件型病毒等等病毒蠕蟲(chóng)和木馬。而且計(jì)算機(jī)病毒可以自我復(fù)制、自動(dòng)傳播，不容易被發(fā)現(xiàn)，還變化多端，比殺毒軟件發(fā)展的更快。人們?cè)谟糜?jì)算機(jī)上網(wǎng)的過(guò)程中，很容易被病毒程序侵入。一旦計(jì)算機(jī)感染上病毒就會(huì)出現(xiàn)很多安全隱患。比如，當(dāng)病毒侵入計(jì)算機(jī)系統(tǒng)之后，有可能造成電腦死機(jī)、數(shù)據(jù)丟失、數(shù)據(jù)被盜取、數(shù)據(jù)被惡意修改、計(jì)算機(jī)系統(tǒng)被惡意破壞等等，更嚴(yán)重者可能危害到網(wǎng)絡(luò)的正常運(yùn)行。

1.3拒絕服務(wù)攻擊手段

人們上網(wǎng)是通過(guò)正常的網(wǎng)上鏈接等來(lái)訪問(wèn)服務(wù)器，進(jìn)而獲得服務(wù)器傳送的數(shù)據(jù)，查看想要訪問(wèn)的內(nèi)容。然而我們說(shuō)的拒絕服務(wù)攻擊手段通常指的是，一些網(wǎng)絡(luò)攻擊者利用TCP協(xié)議存在的缺陷，向服務(wù)器發(fā)送大量偽造的TCP連接請(qǐng)求，使被攻擊方服務(wù)器資源耗盡，導(dǎo)致被攻擊的服務(wù)器某些服務(wù)被暫停或者是造成服務(wù)器死機(jī)。拒絕服務(wù)攻擊手段操作比較簡(jiǎn)單，是黑客常用的攻擊手段，而且難以防范。拒絕服務(wù)攻擊手段可以造成嚴(yán)重的安全問(wèn)題。

2計(jì)算機(jī)網(wǎng)絡(luò)安全的防范措施

目前的網(wǎng)絡(luò)安全問(wèn)題日益突出，為了保證用戶的正常生活，防止網(wǎng)絡(luò)安全隱患帶來(lái)危害，必須要搭建一個(gè)安全的計(jì)算機(jī)網(wǎng)絡(luò)。危害計(jì)算機(jī)網(wǎng)絡(luò)安全的因素有很多，有計(jì)算機(jī)系統(tǒng)的漏洞、病毒黑客的攻擊、用戶自己不夠小心等等。想要加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全性，就要從各個(gè)方面入手。下面介紹幾種加強(qiáng)網(wǎng)絡(luò)安全的措施。

2.1技術(shù)手段防范

計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)還存在很多沒(méi)有改善的系統(tǒng)漏洞，維護(hù)網(wǎng)絡(luò)安全的工作者要盡快完善網(wǎng)絡(luò)漏洞，盡快推出有效的系統(tǒng)補(bǔ)丁。網(wǎng)絡(luò)用戶也要提高網(wǎng)絡(luò)安全意識(shí)，選擇合適的查毒、殺毒、掃描軟件定期對(duì)計(jì)算機(jī)進(jìn)行掃描監(jiān)控和消滅病毒。而且，網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)安全也要受到有效的保護(hù)，可以利用復(fù)雜的加密措施來(lái)防止系統(tǒng)數(shù)據(jù)被惡意破壞或者外泄。同時(shí)還可以通過(guò)使用網(wǎng)絡(luò)密鑰以期達(dá)到提高數(shù)據(jù)信息的安全性的目的。

2.2加強(qiáng)網(wǎng)絡(luò)安全監(jiān)管

計(jì)算機(jī)網(wǎng)絡(luò)安全還沒(méi)有引起國(guó)家和群眾的足夠重視，很對(duì)人對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安全認(rèn)識(shí)還不夠。為了讓計(jì)算機(jī)網(wǎng)絡(luò)安全受到足夠的重視，國(guó)家應(yīng)該制定一套系統(tǒng)的針對(duì)網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)，加強(qiáng)對(duì)網(wǎng)絡(luò)安全的監(jiān)管力度，對(duì)惡意破壞攻擊網(wǎng)絡(luò)安全的行為進(jìn)行強(qiáng)有力的制劑。同時(shí)在社會(huì)上加大對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全知識(shí)的教育，增加群眾的網(wǎng)絡(luò)安全意識(shí)，提高網(wǎng)絡(luò)運(yùn)營(yíng)商和管理人員的責(zé)任意識(shí)。

2.3物理安全防范措施

計(jì)算機(jī)病毒和黑客的攻擊方式繁多，但攻擊對(duì)象多是計(jì)算機(jī)系統(tǒng)，計(jì)算機(jī)相關(guān)的硬件設(shè)施或是網(wǎng)絡(luò)服務(wù)器等。所以物理安全防范措施就是要防范以上的硬件系統(tǒng)受到攻擊。為了更好的保護(hù)物理安全，計(jì)算機(jī)網(wǎng)絡(luò)用戶一定要提防外界傳播導(dǎo)致的計(jì)算機(jī)硬件系統(tǒng)被惡意攻擊破壞。上網(wǎng)時(shí)不下載有安全隱患的軟件程序，不訪問(wèn)有安全隱患的網(wǎng)站，不把不知道安全與否的外界媒體插入計(jì)算機(jī)，對(duì)網(wǎng)上下載的資料可以先進(jìn)行安全監(jiān)測(cè)之后在打開(kāi)，對(duì)本地計(jì)算機(jī)存儲(chǔ)的重要數(shù)據(jù)進(jìn)行及時(shí)備份。以此來(lái)防范計(jì)算機(jī)病毒的攻擊。

2.4訪問(wèn)控制防范措施

計(jì)算機(jī)網(wǎng)絡(luò)會(huì)被非法攻擊的一個(gè)重要因素就是計(jì)算機(jī)的訪問(wèn)限制存在漏洞，給不法分子可乘之機(jī)。所以為了維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全，應(yīng)該加強(qiáng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的訪問(wèn)控制。對(duì)訪問(wèn)的控制可以從以下方向著手：入網(wǎng)訪問(wèn)控制、網(wǎng)絡(luò)權(quán)限控制、網(wǎng)絡(luò)服務(wù)器安全控制、防火墻技術(shù)。首先要做的是嚴(yán)格做好入網(wǎng)訪問(wèn)的控制。入網(wǎng)訪問(wèn)控制要做的就是對(duì)網(wǎng)絡(luò)用戶連接服務(wù)器和獲取信息的時(shí)候進(jìn)行控制。最基本的方法就是對(duì)用戶的賬號(hào)、用戶名、密碼等用戶基本信息的正確性進(jìn)行識(shí)別，并提高用戶密碼的加密等級(jí)。當(dāng)用戶入網(wǎng)后，要控制給用戶一定的網(wǎng)絡(luò)權(quán)限，對(duì)用戶的修改、讀寫(xiě)等等操作加以控制。為了保證完了服務(wù)器的安全，必須要用軟件和刪除的方式來(lái)防止服務(wù)器被惡意破壞修改。同時(shí)要實(shí)時(shí)對(duì)服務(wù)器的訪問(wèn)動(dòng)態(tài)進(jìn)行監(jiān)測(cè)。當(dāng)出現(xiàn)非法訪問(wèn)時(shí)要通過(guò)警報(bào)的方式提醒管理人員及時(shí)進(jìn)行處理。最后也是最應(yīng)用最為普遍的防范措施就是防火墻技術(shù)。防火墻技術(shù)是一種軟件和硬件設(shè)備的組合，就是網(wǎng)絡(luò)之間通過(guò)預(yù)定義的安全策略對(duì)內(nèi)外網(wǎng)之間的通信實(shí)施訪問(wèn)控制。為了提高網(wǎng)絡(luò)安全，應(yīng)該盡快完善防火墻技術(shù)

3總結(jié)

如今的網(wǎng)絡(luò)技術(shù)正在飛速發(fā)展，然而，在發(fā)展的同時(shí)網(wǎng)絡(luò)安全出現(xiàn)了諸多漏洞，威脅了網(wǎng)絡(luò)環(huán)境的健康。為了能夠讓網(wǎng)絡(luò)更好的服務(wù)于大眾，保證計(jì)算機(jī)網(wǎng)絡(luò)的安全是網(wǎng)絡(luò)繼續(xù)發(fā)展所面臨的亟需解決的問(wèn)題。計(jì)算機(jī)網(wǎng)絡(luò)的維護(hù)不可能通過(guò)簡(jiǎn)單的一個(gè)方法就能達(dá)到目的，所以必須在全民重視的同時(shí)通過(guò)各種技術(shù)手段來(lái)不斷完善建立一個(gè)安全的網(wǎng)絡(luò)環(huán)境。

參考文獻(xiàn)

[1]陳豪.淺談網(wǎng)絡(luò)時(shí)代計(jì)算機(jī)的安全問(wèn)題及應(yīng)對(duì)策略[J].科技致富向?qū)?2013(08).

[2]唐雅玲.計(jì)算機(jī)網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)的研究與實(shí)現(xiàn)[J].數(shù)字技術(shù)與應(yīng)用,2013(02).

篇5

關(guān)鍵詞：  病毒攻擊  ARP欺騙 

0 概述

    近幾年來(lái)，隨著全國(guó)高校教育信息化的深入開(kāi)展，穩(wěn)定的網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)成為教育信息化的重要保障，網(wǎng)絡(luò)及信息安全也成為高校關(guān)注焦點(diǎn)之一。

    本文通過(guò)研究分析高校網(wǎng)絡(luò)典型的安全問(wèn)題，將從病毒攻擊、ARP欺騙攻擊、ADSL攻擊等方面入手，給出了防范策略和保護(hù)措施。

1  高校典型病毒攻擊分析

    病毒攻擊仍然是高校最重要的、最廣泛的網(wǎng)絡(luò)攻擊現(xiàn)象，隨著病毒攻擊原理以及方法不斷變化，病毒攻擊仍然為最嚴(yán)峻的網(wǎng)絡(luò)安全問(wèn)題。

1.1 典型病毒攻擊以及防范措施

1.1.1  ARP木馬病毒

    當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)運(yùn)行ARP欺騙的木馬程序時(shí)，會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和路由器，迫使局域網(wǎng)所有主機(jī)的arp地址表的網(wǎng)關(guān)MAC地址更新為該主機(jī)的MAC地址，導(dǎo)致所有局域網(wǎng)內(nèi)上網(wǎng)的計(jì)算機(jī)的數(shù)據(jù)首先通過(guò)該計(jì)算機(jī)再轉(zhuǎn)發(fā)出去，用戶原來(lái)直接通過(guò)路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過(guò)該主機(jī)上網(wǎng)，切換的時(shí)候用戶會(huì)斷線一次。由于ARP欺騙的木馬程序發(fā)作的時(shí)候會(huì)發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶會(huì)感覺(jué)上網(wǎng)速度越來(lái)越慢。當(dāng)ARP欺騙的木馬程序停止運(yùn)行時(shí)，用戶會(huì)恢復(fù)從路由器上網(wǎng)，切換過(guò)程中用戶會(huì)再斷一次線。ARP木馬病毒會(huì)導(dǎo)致整個(gè)局域網(wǎng)網(wǎng)絡(luò)運(yùn)行不穩(wěn)定，時(shí)斷時(shí)通。

    防范措施：可以借助NBTSCAN工具來(lái)檢測(cè)局域網(wǎng)內(nèi)所有主機(jī)真實(shí)的IP與MAC地址對(duì)應(yīng)表，在網(wǎng)絡(luò)不穩(wěn)定狀況下，以arp –a命令查看主機(jī)的Arp緩存表，此時(shí)網(wǎng)關(guān)IP對(duì)應(yīng)的MAC地址為感染病毒主機(jī)的MAC地址，通過(guò)“Nbtscan –r 192.168.1.1/24”掃描192.168.1.1/24網(wǎng)段查看所有主機(jī)真實(shí)IP和MAC地址表，從而根據(jù)IP確定感染病毒主機(jī)。也可以通過(guò)SNIFFER或者IRIS偵聽(tīng)工具進(jìn)行抓取異常數(shù)據(jù)包，發(fā)現(xiàn)感染病毒主機(jī)。

    另外，未雨綢繆，建議用戶采用雙向綁定的方法解決并且防止ARP欺騙，在計(jì)算機(jī)上綁定正確的網(wǎng)關(guān)的IP和網(wǎng)關(guān)接口MAC地址，在正常情況下，通過(guò)arp –a命令獲取網(wǎng)關(guān)IP和網(wǎng)關(guān)接口的MAC地址，編寫(xiě)一個(gè)批處理文件farp.bat內(nèi)容如下：

    @echo off

    arp –d（清零ARP緩存地址表）

    arp -s 192.168.1.254 00-22-aa-00-22-aa（綁定正確網(wǎng)關(guān)IP和MAC地址）

    把批處理放置開(kāi)始--程序--啟動(dòng)項(xiàng)中，使之隨計(jì)算機(jī)重起自動(dòng)運(yùn)行，以避免ARP病毒的欺騙。

1.1.2  W32.Blaster 蠕蟲(chóng)

    W32.Blaster是一種利用DCOM RPC漏洞進(jìn)行傳播的蠕蟲(chóng)，傳播能力很強(qiáng)。蠕蟲(chóng)通過(guò)TCP/135進(jìn)行探索發(fā)現(xiàn)存在漏洞的系統(tǒng)，一旦攻擊成功，通過(guò)TCP/4444端口進(jìn)行遠(yuǎn)程命令控制，最后通過(guò)在受感染的計(jì)算機(jī)的UDP/69端口建立tftp服務(wù)器進(jìn)行上傳蠕蟲(chóng)自己的二進(jìn)制代碼程序Msblast.exe加以控制與破壞，該蠕蟲(chóng)傳播時(shí)破壞了系統(tǒng)的核心進(jìn)程svchost.exe，會(huì)導(dǎo)致系統(tǒng)RPC 服務(wù)停止，因此可能引起其他服務(wù)（如IIS）不能正常工作，出現(xiàn)比如拷貝、粘貼功能不工作，無(wú)法進(jìn)入網(wǎng)站頁(yè)面鏈接等等現(xiàn)象，嚴(yán)重時(shí)并可能造成系統(tǒng)崩潰和反復(fù)重新啟動(dòng)。

1.1.3  W32.Nachi.Worm 蠕蟲(chóng)

    W32.Nachi.Worm蠕蟲(chóng)(以下簡(jiǎn)稱Nachi蠕蟲(chóng))利用了Microsoft Windows DCOM RPC接口遠(yuǎn)程緩沖區(qū)溢出漏洞和Microsoft Windows 2000 WebDAV遠(yuǎn)程緩沖區(qū)溢出漏洞進(jìn)行傳播。如果該蠕蟲(chóng)發(fā)現(xiàn)被感染的機(jī)器上有“沖擊波”蠕蟲(chóng)，則殺掉“沖擊波”蠕蟲(chóng)，并為系統(tǒng)打上補(bǔ)丁程序，但由于程序運(yùn)行上下文的限制，很多系統(tǒng)不能被打上補(bǔ)丁，并被導(dǎo)致反復(fù)重新啟動(dòng)。Nachi蠕蟲(chóng)感染機(jī)器后，會(huì)產(chǎn)生大量長(zhǎng)度為92字節(jié)的ICMP報(bào)文，從而嚴(yán)重影響網(wǎng)絡(luò)性能。

1.1.4  w32.sasser蠕蟲(chóng)病毒

    w32.sasser蠕蟲(chóng)病毒利用了本地安全驗(yàn)證子系統(tǒng)（Local Security Authority Subsystem，LSASS）里的一個(gè)緩沖區(qū)溢出錯(cuò)誤，從而使得攻擊者能夠取得被感染系統(tǒng)的控制權(quán)。震蕩波病毒會(huì)利用 TCP 端口 5554 架設(shè)一個(gè) FTP 服務(wù)器。同時(shí)，它使用 TCP 端口5554 隨機(jī)搜索 Internet 的網(wǎng)段，尋找其它沒(méi)有修補(bǔ) LSASS 錯(cuò)誤的 Windows 2000 和 Windows XP 系統(tǒng)。震蕩波病毒會(huì)發(fā)起 128 個(gè)線程來(lái)掃描隨機(jī)的IP地址，并連續(xù)偵聽(tīng)從 TCP 端口 1068 開(kāi)始的各個(gè)端口。該蠕蟲(chóng)會(huì)使計(jì)算機(jī)運(yùn)行緩慢、網(wǎng)絡(luò)堵塞、并讓系統(tǒng)不停的進(jìn)行倒計(jì)時(shí)重啟。

    蠕蟲(chóng)病毒防范措施：用戶首先要保證計(jì)算機(jī)系統(tǒng)的不斷更新，高?？山⑽④浀腤SUS系統(tǒng)保證用戶計(jì)算機(jī)系統(tǒng)的及時(shí)快速升級(jí)，另外用戶必須安裝可持續(xù)升級(jí)的殺毒軟件，沒(méi)有及時(shí)升級(jí)殺毒軟件也是同樣危險(xiǎn)的，高校網(wǎng)絡(luò)管理部門(mén)出臺(tái)相應(yīng)安全政策以及保證對(duì)用戶定時(shí)的安全培訓(xùn)也是相當(dāng)重要的。用戶本地計(jì)算機(jī)可采取些輔助措施保護(hù)計(jì)算機(jī)系統(tǒng)的安全，如本地硬盤(pán)克隆、局域網(wǎng)硬盤(pán)克隆技術(shù)等。

2  高校家屬區(qū)網(wǎng)絡(luò)攻擊分析

2.1  ADSL貓（MODEM）攻擊

篇6

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；安全；防火墻；防范措施；管理

中圖分類號(hào)：TP39 文獻(xiàn)標(biāo)識(shí)碼:A

隨著時(shí)代的進(jìn)步與發(fā)展，當(dāng)今的社會(huì)已經(jīng)是一個(gè)信息化的社會(huì)。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和互連網(wǎng)的大力發(fā)展，使得計(jì)算機(jī)網(wǎng)絡(luò)已廣泛用各個(gè)領(lǐng)域，成為了人們工作與生活中不可缺少的部分。但是，由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開(kāi)放性、互連性等特征，無(wú)論是在局域網(wǎng)還是在廣域網(wǎng)中，都存在著自然和人為等諸多因素的潛在威脅，病毒擴(kuò)散、黑客攻擊、網(wǎng)絡(luò)犯罪等違法事件的數(shù)量迅速增長(zhǎng)，計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題越來(lái)越嚴(yán)峻。因此，分析影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素，并采取強(qiáng)有力的安全防范措施，對(duì)于保障網(wǎng)絡(luò)的安全性將變得十分重要。

1 計(jì)算機(jī)網(wǎng)絡(luò)安全的含義

參照ISO給出的計(jì)算機(jī)網(wǎng)絡(luò)安全定義，計(jì)算機(jī)網(wǎng)絡(luò)安全是指保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中軟件和數(shù)據(jù)資源，不因偶然或惡意的原因遭到破壞、更改、泄露，使網(wǎng)絡(luò)系統(tǒng)連續(xù)可靠性地正常運(yùn)行，網(wǎng)絡(luò)服務(wù)正常有序。計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施，主要是要求信息在網(wǎng)絡(luò)上傳輸時(shí)受到機(jī)密性、完整性和真實(shí)性的保護(hù)，避免其他人或?qū)κ掷酶`聽(tīng)、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私。

2 影響計(jì)算機(jī)網(wǎng)絡(luò)安全的主要因素

影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素很多，包括人為因素、自然因素和偶發(fā)因素，人為因素是對(duì)計(jì)算機(jī)信息網(wǎng)絡(luò)安全威脅最大的因素。影響計(jì)算機(jī)網(wǎng)絡(luò)安全的主要因素表現(xiàn)在幾個(gè)方面。

2.1計(jì)算機(jī)網(wǎng)絡(luò)的本身問(wèn)題

互聯(lián)網(wǎng)是對(duì)全世界都開(kāi)放的網(wǎng)絡(luò)，任何單位或個(gè)人都可以在網(wǎng)上方便地傳輸和獲取各種信息，互聯(lián)網(wǎng)這種具有開(kāi)放性、共享性、自由性的特點(diǎn)構(gòu)成了網(wǎng)絡(luò)的脆性性，從而成為影響計(jì)算機(jī)網(wǎng)絡(luò)安全的一個(gè)主要因素。

2.2 操作系統(tǒng)存在的安全問(wèn)題

操作系統(tǒng)是作為一個(gè)支撐軟件，操作系統(tǒng)提供了很多的管理功能，主要是管理系統(tǒng)的軟件資源和硬件資源。

2.3 數(shù)據(jù)庫(kù)存儲(chǔ)的內(nèi)容存在的安全問(wèn)題

數(shù)據(jù)庫(kù)管理系統(tǒng)大量的信息存儲(chǔ)在各種各樣的數(shù)據(jù)庫(kù)里面，包括我們上網(wǎng)看到的所有信息，數(shù)據(jù)庫(kù)主要考慮的是信息方便存儲(chǔ)、利用和管理，但在安全方面考慮的比較少。

3 計(jì)算機(jī)網(wǎng)絡(luò)安全的主要技術(shù)

安全是網(wǎng)絡(luò)賴以生存的保障，只有安全得到保障，網(wǎng)絡(luò)才能實(shí)現(xiàn)自身的價(jià)值。網(wǎng)絡(luò)安全技術(shù)隨著人們網(wǎng)絡(luò)實(shí)踐的發(fā)展而發(fā)展，其涉及的技術(shù)面非常多，主要的技術(shù)如訪問(wèn)控制、認(rèn)證、加密、防火墻及入侵檢測(cè)等是網(wǎng)絡(luò)安全的重要防線。

3.1防病毒技術(shù)

網(wǎng)絡(luò)是病毒傳播的重要途徑，病毒檢測(cè)是計(jì)算機(jī)網(wǎng)絡(luò)安全的一個(gè)基本技術(shù)，網(wǎng)絡(luò)中的系統(tǒng)可能會(huì)受到多種病毒威脅，由于病毒在網(wǎng)絡(luò)中存儲(chǔ)、傳播、感染的方式各異且途徑多種多樣， 故相應(yīng)地在構(gòu)建網(wǎng)絡(luò)防病毒系統(tǒng)時(shí)，應(yīng)用全方位的企業(yè)防毒產(chǎn)品，實(shí)施層層設(shè)防、集中控制、以防為主、防殺結(jié)合的安全防范技術(shù)。

3.3入侵者檢測(cè)

為了防止各種形式針對(duì)計(jì)算機(jī)實(shí)驗(yàn)室的網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)應(yīng)該能對(duì)各種形式的訪問(wèn)者進(jìn)行檢測(cè)、分類，參照用戶所掌握的基本入侵案例和經(jīng)驗(yàn)，判斷其中入侵者，進(jìn)而加以拒絕和備案。

4 計(jì)算機(jī)網(wǎng)絡(luò)安全的防范措施

基于IP技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)架構(gòu)，缺乏必要的安全防范策略，隨著網(wǎng)絡(luò)安全的重視和網(wǎng)絡(luò)攻擊的隱蔽性，相信還有許多攻擊事件未被發(fā)現(xiàn)，因此，計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)當(dāng)從安全技術(shù)、安全管理上加強(qiáng)防范。

4.1從技術(shù)上增強(qiáng)系統(tǒng)的防范能力

(1)采用網(wǎng)絡(luò)隔離技術(shù)和“安全域”技術(shù)，利用網(wǎng)絡(luò)隔離技術(shù)把兩個(gè)以上可路由的網(wǎng)絡(luò)通過(guò)不可路由的協(xié)議進(jìn)行數(shù)據(jù)交換以達(dá)到隔離目的，即在不連通的網(wǎng)絡(luò)之間數(shù)據(jù)傳輸，但不允許這些網(wǎng)絡(luò)間運(yùn)行交互式協(xié)議以確保把有害攻擊隔離。

(2)安裝防火墻和殺毒軟件，網(wǎng)絡(luò)防火墻技術(shù)是用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。防火墻保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)不被非授權(quán)用戶訪問(wèn)，控制網(wǎng)絡(luò)用戶對(duì)計(jì)算機(jī)系統(tǒng)的訪問(wèn)。目前技術(shù)較為先進(jìn)且安全級(jí)別高的防火墻是隱蔽智能網(wǎng)關(guān)技術(shù)和多重防護(hù)識(shí)別，它將網(wǎng)關(guān)隱藏在公共系統(tǒng)后使其免遭直接攻擊。軟件上，注意各種系統(tǒng)的漏洞補(bǔ)丁，關(guān)閉不使用的服務(wù)進(jìn)程、作好各種安全設(shè)置，安裝瑞星防病毒軟件等。

(3)網(wǎng)絡(luò)訪問(wèn)控制，訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略。它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)，它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。

(4)數(shù)據(jù)加密和身份認(rèn)證技術(shù)。數(shù)據(jù)加密技術(shù)是網(wǎng)絡(luò)安全有效的技術(shù)之一，它的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)文件口令和保護(hù)網(wǎng)絡(luò)傳輸，數(shù)據(jù)加密不但可以防止非授權(quán)用戶的搭線竊聽(tīng)和入網(wǎng)，而且也是對(duì)付惡意軟件的有效方法之一。

(5)合理進(jìn)行系統(tǒng)的安全設(shè)置，系統(tǒng)管理員應(yīng)該確切的知道需要哪些服務(wù)，而且僅僅安裝確實(shí)需要的服務(wù)，根據(jù)安全原則，最少的服務(wù)+最小的權(quán)限=最大的安全。

4.2 從管理上加強(qiáng)防范能力

包括對(duì)計(jì)算機(jī)用戶的安全教育、建立相應(yīng)的安全管理機(jī)構(gòu)、不斷完善和加強(qiáng)計(jì)算機(jī)的管理功能、加強(qiáng)計(jì)算機(jī)及網(wǎng)絡(luò)的立法和執(zhí)法力度等方面。加強(qiáng)計(jì)算機(jī)安全管理、加強(qiáng)用戶的法律、法規(guī)和道德觀念，提高計(jì)算機(jī)用戶的安全意識(shí)，對(duì)防止計(jì)算機(jī)犯罪、抵制黑客攻擊和防止計(jì)算機(jī)病毒干擾，是十分重要的措施。

(1)制定嚴(yán)格的網(wǎng)絡(luò)安全規(guī)則，對(duì)進(jìn)出網(wǎng)絡(luò)的信息進(jìn)行嚴(yán)格的限定。這樣可充分保證黑客的試探行動(dòng)不能得逞。

(2)將網(wǎng)絡(luò)的TCP超時(shí)縮短至一定時(shí)間，以減少黑客進(jìn)攻窗口機(jī)會(huì)。擴(kuò)大連接表，增加黑客填充整個(gè)連接表的難度。

(3)時(shí)刻監(jiān)測(cè)系統(tǒng)的登錄數(shù)據(jù)和網(wǎng)絡(luò)信息流向，以便及時(shí)發(fā)現(xiàn)異常，經(jīng)常對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行掃描，以發(fā)現(xiàn)任何安全隱患。

(4)盡量減少暴露在互聯(lián)網(wǎng)上的系統(tǒng)和服務(wù)的數(shù)量。計(jì)算機(jī)網(wǎng)絡(luò)安全是一項(xiàng)復(fù)雜的系統(tǒng)工程，網(wǎng)絡(luò)安全防范策略是將操作系統(tǒng)技術(shù)、防火墻技術(shù)、病毒防護(hù)技術(shù)、入侵檢測(cè)技術(shù)等綜合起來(lái)的網(wǎng)絡(luò)安全防護(hù)體系。只有將技術(shù)、管理等因素緊密結(jié)合，才能使計(jì)算機(jī)網(wǎng)絡(luò)安全確實(shí)有效。

結(jié)束語(yǔ)

綜上所述，計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題是一項(xiàng)長(zhǎng)期值得探索的工作，網(wǎng)絡(luò)安全問(wèn)題不僅不能發(fā)揮其有利的作用，甚至?xí)＜皣?guó)家、企業(yè)及個(gè)人的安全。因此，必須從安全技術(shù)防范上可加強(qiáng)對(duì)訪問(wèn)控制、認(rèn)證、加密、防火墻及入侵檢測(cè)等方面的應(yīng)用，還應(yīng)加強(qiáng)網(wǎng)絡(luò)的安全管理，制定有關(guān)規(guī)章制度，對(duì)于確保網(wǎng)絡(luò)安全，建立一個(gè)安全舒適的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境，將起到十分有效的作用。

篇7

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)工程安全；因素；對(duì)策

在當(dāng)前的社會(huì)生活中，計(jì)算機(jī)網(wǎng)絡(luò)工程中安全問(wèn)題已經(jīng)引起了一定的重視，安全威脅可以說(shuō)無(wú)處不在，可能是網(wǎng)絡(luò)供應(yīng)商的漏洞造成的安全問(wèn)題，也有可能是用戶自己對(duì)安全問(wèn)題沒(méi)有得到應(yīng)有的重視，造成計(jì)算機(jī)出現(xiàn)木馬病毒等，這些問(wèn)題對(duì)于我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展將會(huì)帶來(lái)十分嚴(yán)重的影響，在今后的工作中，我們必須要采取有效的措施應(yīng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)工程的安全問(wèn)題，從而滿足社會(huì)發(fā)展與進(jìn)步的同時(shí)，更好的為今后的工作帶來(lái)貢獻(xiàn)，產(chǎn)生強(qiáng)大的推動(dòng)力量。

1計(jì)算機(jī)網(wǎng)絡(luò)安全之網(wǎng)絡(luò)攻擊的特點(diǎn)

計(jì)算機(jī)受到網(wǎng)絡(luò)攻擊主要可以體現(xiàn)出以下四方面的特點(diǎn)。首先是將會(huì)產(chǎn)生十分嚴(yán)重的損失，一旦黑客入侵用戶的電腦，就會(huì)造成計(jì)算機(jī)無(wú)法正常運(yùn)行，還會(huì)有很多信息遭受泄露。其次是對(duì)社會(huì)以及國(guó)家造成的安全隱患，一些黑客主要將政府以及國(guó)家中的機(jī)密文件作為主要的攻擊對(duì)象，所以一旦受到黑客入侵，那么對(duì)于國(guó)家造成的損失將會(huì)是極大的。再次，在攻擊手段方面呈現(xiàn)出多樣化以及隱蔽性的發(fā)展特點(diǎn)，可以說(shuō)是防不勝防。黑客想要入侵計(jì)算機(jī)，根據(jù)計(jì)算機(jī)受到保護(hù)的安全程度的不同可以選擇不同的方式，這樣就會(huì)對(duì)用戶計(jì)算機(jī)的安全性造成極大的威脅。最后是從計(jì)算機(jī)網(wǎng)絡(luò)攻擊的主體來(lái)說(shuō)，軟件攻擊是最主要的一種方式，其產(chǎn)生的影響也是隱形的，但是卻與正常的社會(huì)發(fā)展秩序具有緊密的關(guān)聯(lián)性。

2計(jì)算機(jī)網(wǎng)絡(luò)工程的安全問(wèn)題

首先，計(jì)算機(jī)網(wǎng)絡(luò)工程自身存在一定的脆弱性，因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)是一個(gè)開(kāi)放性的發(fā)展環(huán)境，所以產(chǎn)生的問(wèn)題很多，任何人都可以在這個(gè)網(wǎng)絡(luò)上實(shí)現(xiàn)傳輸以及資源共享，在這一影響下，就會(huì)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)帶來(lái)很大的挑戰(zhàn)。在上述三個(gè)脆弱性計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境的影響在，黑客就會(huì)利用這樣的環(huán)境進(jìn)行攻擊，這樣一來(lái)，就無(wú)法保障計(jì)算機(jī)網(wǎng)絡(luò)的安全性，面對(duì)各種途徑的攻擊也會(huì)顯得束手無(wú)策。其次，在進(jìn)行網(wǎng)絡(luò)操作的過(guò)程中，需要通過(guò)計(jì)算機(jī)的操作系統(tǒng)提供必要的支持，所以如果操作系統(tǒng)自身就存在安全問(wèn)題，那么對(duì)于網(wǎng)絡(luò)安全就會(huì)造成十分嚴(yán)重的影響。在計(jì)算機(jī)操作系統(tǒng)中，為了便于管理主要存在兩個(gè)主要的部分，一個(gè)是軟件，一個(gè)是硬件，計(jì)算機(jī)想要獲得正常的運(yùn)轉(zhuǎn)，需要這兩個(gè)部分。再次，在進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)的過(guò)程中也潛在著一定的安全問(wèn)題。當(dāng)人們?cè)跒g覽網(wǎng)頁(yè)或者是查閱信息的過(guò)程中，黑客就會(huì)竊取我們的信息，自己的個(gè)人隱私自然也就無(wú)法得到有效的保障。對(duì)個(gè)人、對(duì)社會(huì)產(chǎn)生的影響是十分巨大的。此外，在其他方面，計(jì)算機(jī)網(wǎng)絡(luò)工程安全也會(huì)受到其他方面的威脅，例如計(jì)算機(jī)病毒對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安全性影響就很大，這是一種沒(méi)有經(jīng)過(guò)授權(quán)就入侵計(jì)算機(jī)的一種非法程序。

3計(jì)算機(jī)網(wǎng)絡(luò)工程的對(duì)策研究

3.1提高技術(shù)防范措施

要想加強(qiáng)技術(shù)防范，那么建立起一個(gè)安全的技術(shù)管理制度是相當(dāng)必要的，對(duì)于管理這一制度的工作人員來(lái)說(shuō)，必須要具備相應(yīng)的技能，并且不斷提升自身的素質(zhì)，進(jìn)一步完善網(wǎng)絡(luò)系統(tǒng)的安全問(wèn)題，在技術(shù)人員工作的過(guò)程中，需要不斷提升其職業(yè)素養(yǎng)，在每一道關(guān)卡中都要涉及到技術(shù)防范措施，面對(duì)一些重要的信息時(shí)，需要將其備份并且進(jìn)行有效的管理，同時(shí)應(yīng)該有專門(mén)的負(fù)責(zé)人進(jìn)行負(fù)責(zé)，一旦出現(xiàn)問(wèn)題，那么負(fù)責(zé)人就需要承擔(dān)相應(yīng)的責(zé)任。在對(duì)網(wǎng)絡(luò)進(jìn)行控制的過(guò)程中，應(yīng)該對(duì)訪問(wèn)人數(shù)進(jìn)行限制，禁止出現(xiàn)非法入侵的狀況，這樣就能在一定程度上促進(jìn)網(wǎng)絡(luò)系統(tǒng)的安全性，在用戶訪問(wèn)網(wǎng)絡(luò)的過(guò)程中需要加以嚴(yán)格的篩選，對(duì)相關(guān)的權(quán)限進(jìn)行有效的管理。

3.2加強(qiáng)管理層面的力度

計(jì)算機(jī)網(wǎng)絡(luò)工程的安全管理主要是針對(duì)網(wǎng)絡(luò)防護(hù)工作而言的，單純的采用技術(shù)防范顯然不能從根本上解決安全問(wèn)題，依然會(huì)對(duì)計(jì)算機(jī)管理帶來(lái)一定的隱患，在這種情況下，就必須要采用更加科學(xué)的手段，讓計(jì)算機(jī)用戶不會(huì)受到威脅，這就要求在管理層面上加強(qiáng)管理力度，嚴(yán)格進(jìn)行執(zhí)法活動(dòng)，對(duì)于計(jì)算機(jī)用戶的安全問(wèn)題，應(yīng)該建立起相應(yīng)的制度或者法律法規(guī)，這樣可以起到約束性的作用，與此同時(shí)，在進(jìn)行管理的過(guò)程中，人為因素對(duì)管理的影響較大，并且還會(huì)在操作層面上對(duì)管理帶來(lái)一定的壓力，這就需要進(jìn)一步強(qiáng)化管理水平，保證相關(guān)的管理人員都具有完善的安全意識(shí)。

3.3安全層面的保障

如果想要保證計(jì)算機(jī)網(wǎng)絡(luò)工程的安全性，首先就需要有一個(gè)相對(duì)安全的物理?xiàng)l件，比如機(jī)房或者和機(jī)房類似的物理空間。在對(duì)地址進(jìn)行選擇的時(shí)候比較重要，需要防止來(lái)自于環(huán)境等方面的物理災(zāi)害的攻擊，還需要防止人為的破壞。在具體的操作過(guò)程中需要對(duì)虛擬地址的訪問(wèn)進(jìn)行必要的控制，還需要對(duì)用戶的權(quán)限進(jìn)行限制，實(shí)行必要的身份識(shí)別，這樣可以在一定的程度上防止有非法入侵的現(xiàn)象發(fā)生。

3.4計(jì)算機(jī)網(wǎng)絡(luò)工程安全的綜合防范措施

網(wǎng)絡(luò)具有開(kāi)放性，所以，對(duì)用戶信息的認(rèn)證在網(wǎng)絡(luò)安全這一塊將顯得十分關(guān)鍵，需要通過(guò)用戶的口令和密碼來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的權(quán)限分級(jí)。同時(shí)還需要對(duì)密碼技術(shù)進(jìn)提升，在此基礎(chǔ)上還要提高防火墻的防范技術(shù)，防火墻技術(shù)分為三類，一是數(shù)據(jù)包過(guò)濾技術(shù)，二是應(yīng)用網(wǎng)關(guān)技術(shù)，三是技術(shù)。將防火墻技術(shù)和侵入檢測(cè)系統(tǒng)聯(lián)動(dòng)起來(lái)，使其相輔相成的運(yùn)行，可以為計(jì)算機(jī)網(wǎng)絡(luò)的安全提供一個(gè)可靠的保障。

4結(jié)束語(yǔ)

綜上所述，加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)工程的安全問(wèn)題迫在眉睫，這是人們共同關(guān)注的問(wèn)題，是社會(huì)得到穩(wěn)定發(fā)展的重要保障，是人們工作與學(xué)習(xí)順利進(jìn)行的首要前提，加強(qiáng)相關(guān)的預(yù)防工作是當(dāng)前技術(shù)人員的工作重點(diǎn)。

引用：

[1]黃丹.關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題分析及對(duì)策研究[J].信息與電腦（理論版），2011，12（15）：245-246.

篇8

1.1內(nèi)部安全威脅

所謂的內(nèi)部安全是指在企業(yè)內(nèi)部范圍之內(nèi)的一些安全威脅，包括硬件故障、員工的操作失誤、內(nèi)部網(wǎng)絡(luò)攻擊。

（1）硬件故障。一個(gè)企業(yè)的網(wǎng)絡(luò)設(shè)備和設(shè)施主要為計(jì)算機(jī)以及交換機(jī)、路由器、傳輸設(shè)備等，其中計(jì)算機(jī)的硬盤(pán)主要有硬盤(pán)、顯卡、顯示器、內(nèi)存、主板、網(wǎng)卡、電源等，其中任何一個(gè)硬件發(fā)生了微小的故障都會(huì)導(dǎo)致整個(gè)系統(tǒng)出現(xiàn)問(wèn)題，嚴(yán)重的將會(huì)導(dǎo)致企業(yè)的重要信息和數(shù)據(jù)丟失或者外漏，甚至整個(gè)網(wǎng)絡(luò)系統(tǒng)都不能正常運(yùn)行，整個(gè)企業(yè)的正常工作受到影響。

（2）員工的操作不當(dāng)。由于機(jī)器都是人進(jìn)行操作的，是人都會(huì)犯錯(cuò)，都回存在懶惰以及粗心大意的情況，尤其是在操作員對(duì)于設(shè)備的使用和業(yè)務(wù)都不太熟練的情況下，他們的操作更容易造成數(shù)據(jù)的丟失和網(wǎng)絡(luò)設(shè)備的損壞，如果誤將硬盤(pán)進(jìn)行格式化將會(huì)導(dǎo)致所有數(shù)據(jù)丟失。甚至有的時(shí)候企業(yè)員工為了報(bào)復(fù)領(lǐng)導(dǎo)的不公或者冷漠，會(huì)對(duì)企業(yè)的一些機(jī)密文件資料進(jìn)行故意的竊取或者破壞。

（3）內(nèi)部網(wǎng)絡(luò)攻擊。內(nèi)部網(wǎng)絡(luò)攻擊，還是指企業(yè)的內(nèi)部員工為了一己私利對(duì)于企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行破壞。

1.2外部安全威脅

（1）自然災(zāi)害或其他非法攻擊。外部安全威脅是指企業(yè)的計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)，因?yàn)樽匀粸?zāi)害或者非法攻擊造成系統(tǒng)安全風(fēng)險(xiǎn)。常見(jiàn)外部風(fēng)險(xiǎn)：火災(zāi)、水災(zāi)、其他自然災(zāi)害以及盜竊等人為的破壞，這是引起信息系統(tǒng)損失的一個(gè)原因，對(duì)硬件系統(tǒng)構(gòu)成潛在的安全風(fēng)險(xiǎn)。

（2）黑客攻擊。黑客通過(guò)網(wǎng)絡(luò)非法入侵計(jì)算機(jī)信息系統(tǒng)，這是目前計(jì)算機(jī)網(wǎng)絡(luò)所面臨的一個(gè)很大威脅。黑客攻擊的主要目的要么是為了截取競(jìng)爭(zhēng)企業(yè)的保密信息，要么為了摧毀競(jìng)爭(zhēng)企業(yè)的實(shí)力，對(duì)其信息進(jìn)行破壞，讓其寶貴數(shù)據(jù)丟失。

（3）病毒感染。任何事物都會(huì)存在漏洞或者瑕疵，互聯(lián)網(wǎng)作為一個(gè)虛擬的網(wǎng)絡(luò)系統(tǒng)也存在一些漏洞，這個(gè)時(shí)候木馬就會(huì)對(duì)互聯(lián)網(wǎng)進(jìn)行攻擊，導(dǎo)致互聯(lián)網(wǎng)上的數(shù)據(jù)丟失或者系統(tǒng)癱瘓。一般狀況下，企業(yè)的計(jì)算機(jī)只要接入網(wǎng)絡(luò)，在計(jì)算機(jī)的運(yùn)行過(guò)程中就有病毒對(duì)產(chǎn)生威脅的可能。病毒感染網(wǎng)絡(luò)的途徑有很多，計(jì)算機(jī)網(wǎng)絡(luò)或者電腦的U盤(pán)都可以進(jìn)行傳播病毒，計(jì)算機(jī)病毒不僅對(duì)計(jì)算機(jī)系統(tǒng)安全影響大，而且傳播速度很快。一旦電腦的文件被病毒感染之后就很難清除，并不是文件刪除了病毒就沒(méi)了。

2企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全問(wèn)題的部分解決措施

主要的企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全問(wèn)題的部分解決措施主要是依據(jù)上述的對(duì)企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全造成不利影響的因素提出來(lái)的，主要的解決措施包括內(nèi)部安全防范措施和外部安全防范措施。

2.1內(nèi)部安全的防御措施

在上面的分析中，可以知道來(lái)自企業(yè)的內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)安全威脅并不小于外部的網(wǎng)絡(luò)安全，甚至過(guò)之而無(wú)不及，所以企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)要想得到很好地保護(hù)，首先要將責(zé)任分配到個(gè)人，每一個(gè)設(shè)備和設(shè)施都能找到對(duì)應(yīng)的負(fù)責(zé)人，設(shè)備要避免身份不明的人進(jìn)入，這樣企業(yè)內(nèi)部人員在操作時(shí)警惕性就高，操作失誤就少，更不敢因?yàn)椴粷M將設(shè)備破壞。然后企業(yè)要建立完善的設(shè)備網(wǎng)絡(luò)維護(hù)制度，要求使用者對(duì)于設(shè)備要進(jìn)行不定期的檢查和維護(hù)，實(shí)時(shí)掌握設(shè)備的運(yùn)行環(huán)境和運(yùn)行情況。即使計(jì)算機(jī)系統(tǒng)運(yùn)行正常，也要對(duì)計(jì)算機(jī)系統(tǒng)和設(shè)備進(jìn)行定期的維護(hù)，從而保證計(jì)算機(jī)系統(tǒng)在一個(gè)良好的兼容環(huán)境下運(yùn)行。加強(qiáng)計(jì)算機(jī)用戶的網(wǎng)絡(luò)安全保護(hù)意識(shí)，日常工作和生活中要不斷提升企業(yè)管理者和員工的網(wǎng)絡(luò)安全重要性意識(shí)，處處宣傳計(jì)算機(jī)網(wǎng)絡(luò)安全的重要性。企業(yè)對(duì)于常見(jiàn)的網(wǎng)絡(luò)故障和重點(diǎn)數(shù)據(jù)要建立網(wǎng)絡(luò)安全日志，企業(yè)的內(nèi)部操作人員在查看這些日志的時(shí)候就能掌握企業(yè)網(wǎng)絡(luò)系統(tǒng)中經(jīng)常出現(xiàn)的問(wèn)題，以及哪些薄弱環(huán)節(jié)要重點(diǎn)預(yù)防。

2.2外部安全的防御措施

（1）防火墻與IDS（入侵檢測(cè)系統(tǒng)）。防火墻主要限制非法訪問(wèn)攻擊，同時(shí)能夠及時(shí)地對(duì)網(wǎng)絡(luò)的相關(guān)規(guī)定進(jìn)行防御，一般防火墻的等級(jí)越高，對(duì)于一些安全系數(shù)要求高的部門(mén)的網(wǎng)絡(luò)，防火墻的等級(jí)可以高一些，在出口處設(shè)置防火墻，避免Internet或者非本企業(yè)用戶攻擊企業(yè)網(wǎng)，同時(shí)不要將這些部門(mén)的網(wǎng)絡(luò)系統(tǒng)和整個(gè)大的企業(yè)網(wǎng)絡(luò)系統(tǒng)連接在一起，防止企業(yè)內(nèi)部員工的攻擊。然后IDS能夠和防火墻進(jìn)行很好地配合，對(duì)于抵抗一些網(wǎng)絡(luò)攻擊的效果非常好，所以企業(yè)網(wǎng)絡(luò)系統(tǒng)內(nèi)IDS是必不可缺的。

（2）對(duì)黑客的防御。1）應(yīng)用技術(shù)。該技術(shù)主要是指在能夠和最終的數(shù)據(jù)聯(lián)系上的應(yīng)用層上，對(duì)數(shù)據(jù)進(jìn)行數(shù)據(jù)監(jiān)測(cè)，該監(jiān)測(cè)是整個(gè)OSI模型的最高級(jí)別的檢測(cè)。這個(gè)時(shí)候整個(gè)防火墻的線路都是透明的，在外界數(shù)據(jù)進(jìn)入到企業(yè)的網(wǎng)絡(luò)客戶端的時(shí)候，網(wǎng)絡(luò)協(xié)議就會(huì)對(duì)這些數(shù)據(jù)進(jìn)行檢查，查看這些外來(lái)的數(shù)據(jù)是否安全。2）包過(guò)濾技術(shù)。該技術(shù)是使用比較早的一種技術(shù)，它主要是為各種基于TCP/IP協(xié)議數(shù)據(jù)報(bào)文出進(jìn)的通道，現(xiàn)在使用的大多是動(dòng)態(tài)過(guò)濾技術(shù)，該技術(shù)與靜態(tài)過(guò)濾不同的是，它增添了傳輸層。動(dòng)態(tài)過(guò)濾技術(shù)是先對(duì)信息進(jìn)行處理分析，然后用預(yù)置防火墻過(guò)濾規(guī)則進(jìn)行校核，加入發(fā)現(xiàn)某個(gè)包有問(wèn)題就會(huì)被阻止。

（3）對(duì)病毒的防御。學(xué)會(huì)巧用主動(dòng)型防御技術(shù)防范病毒的入侵。計(jì)算機(jī)系統(tǒng)應(yīng)安裝正規(guī)的殺毒軟件，并及時(shí)進(jìn)行更新。同時(shí)對(duì)每臺(tái)電腦使用常用口令來(lái)控制對(duì)系統(tǒng)資源的訪問(wèn)，每一臺(tái)電腦都有自己的口令，外人甚至是同事都不知道口令，這樣就可以很好地防御病毒，終端操作和網(wǎng)絡(luò)管理人員可以根據(jù)自己的職責(zé)權(quán)限，使用不同的口令。避免用戶越機(jī)訪問(wèn)數(shù)據(jù)以及使用網(wǎng)絡(luò)資源，并且操作員應(yīng)定期變更一次口令，爭(zhēng)取將病毒在在網(wǎng)絡(luò)前端就得到殺除。

3結(jié)語(yǔ)

篇9

【關(guān)鍵詞】計(jì)算機(jī)；網(wǎng)絡(luò)安全；攻擊；系統(tǒng)；防范措施

1.計(jì)算機(jī)網(wǎng)絡(luò)安全概要

隨著計(jì)算機(jī)科學(xué)的迅速發(fā)展，伴隨而來(lái)的計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題也愈演愈烈。我們將計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題拆分為計(jì)算機(jī)安全和網(wǎng)絡(luò)系統(tǒng)安全兩個(gè)板塊來(lái)討論。而對(duì)于什么是計(jì)算機(jī)安全呢？國(guó)際標(biāo)準(zhǔn)化組織給出的定義是：為以數(shù)據(jù)處理為中心的系統(tǒng)建立一個(gè)采取技術(shù)和管理雙重保護(hù)的安全保護(hù)。主要是保護(hù)計(jì)算機(jī)的硬件和軟件數(shù)據(jù)不因自然因素，偶然因素或者惡意操作而遭到攻擊，損壞，泄露等。對(duì)于計(jì)算機(jī)來(lái)說(shuō)，它的組要組成部分是硬件和軟件數(shù)據(jù)，那我們不難理解，對(duì)于計(jì)算機(jī)安全來(lái)說(shuō)，我們主要研究方向就是兩個(gè)方面：一是物理安全，二是邏輯安全。物理安全指的是計(jì)算機(jī)硬件不遭受各種因素的攻擊和破壞。

2.計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀

計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題已經(jīng)成為國(guó)際環(huán)境中一個(gè)普遍的問(wèn)題，這主要是因?yàn)榛ヂ?lián)網(wǎng)全球共享化的特征所造成的，不管你身在何處，只要通過(guò)互聯(lián)網(wǎng)，就能進(jìn)行各種各樣的操作。而這也是計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題潛在威脅的最大原因。如果說(shuō)自然因素和偶發(fā)因素是我們不可控制的，只能在加強(qiáng)計(jì)算機(jī)硬件和軟件的性能方面來(lái)減少這種因素發(fā)生所帶來(lái)的損失。那么人為因素所造成的安全問(wèn)題可謂防不勝防。這主要體現(xiàn)在以下幾個(gè)方面：

2.1計(jì)算機(jī)病毒。計(jì)算機(jī)病毒具有傳播性、隱蔽性、感染性、潛伏性、可激發(fā)性、表現(xiàn)性或破壞性等特征。它的病毒的生命周期主要?jiǎng)澐譃椋洪_(kāi)發(fā)期傳染期潛伏期發(fā)作期發(fā)現(xiàn)期消化期消亡期等七個(gè)階段。我們可以將計(jì)算機(jī)病毒比喻成生物病毒，它可以自我繁殖、互相傳染以及激活再生。這些特征意味著計(jì)算機(jī)病毒有強(qiáng)悍的繁衍（復(fù)制）能力并且擴(kuò)散速度之快，在你還沒(méi)有來(lái)得及做出相應(yīng)措施的時(shí)候，它就侵入了計(jì)算機(jī)的核心系統(tǒng)，導(dǎo)致計(jì)算機(jī)數(shù)據(jù)流失，系統(tǒng)紊亂，無(wú)法操作和響應(yīng)等一系列病癥，甚至直接崩潰。

2.2黑客攻擊。黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統(tǒng)的運(yùn)行，并不盜竊系統(tǒng)資料，通常采用拒絕服務(wù)攻擊或信息炸彈；破壞性攻擊是以侵入他人電腦系統(tǒng)、盜竊系統(tǒng)保密信息、破壞目標(biāo)系統(tǒng)的數(shù)據(jù)為目的。黑客攻擊的工具有很多，攻擊方式也層出不窮，性質(zhì)惡劣。

2.3內(nèi)部威脅。內(nèi)部威脅主要發(fā)生在各種企業(yè)或公司內(nèi)部，他們并不像計(jì)算機(jī)病毒和黑客攻擊等有意為之，而是內(nèi)部計(jì)算機(jī)操作人員由于缺乏網(wǎng)絡(luò)安全意識(shí)，而導(dǎo)致的內(nèi)部操作方式不當(dāng)而造成的計(jì)算機(jī)安全隱患。

2.4網(wǎng)絡(luò)釣魚(yú)。網(wǎng)絡(luò)釣魚(yú)其實(shí)按性質(zhì)來(lái)說(shuō)，就是一種詐騙手段。只不過(guò)它是通過(guò)網(wǎng)絡(luò)建立虛假的WEB網(wǎng)站或者電子郵件等來(lái)盜取使用者的信息。常見(jiàn)的形式有網(wǎng)絡(luò)購(gòu)物的促銷(xiāo)活動(dòng)，各種抽獎(jiǎng)活動(dòng)和金錢(qián)交易等吸引人去點(diǎn)擊，然后騙取他們的身份信息和銀行卡號(hào)和信用卡密碼等私密信息，達(dá)到利用人們脆弱的心理防線來(lái)達(dá)成竊取信息的目的。從以上可以看出，網(wǎng)絡(luò)攻擊的形式多種多樣，盡管計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)人員們已經(jīng)在竭盡全力的去尋找消滅他們的方法，但就拿計(jì)算機(jī)病毒來(lái)說(shuō)，它就像生物病毒一樣，繁衍速度極快，種類也在無(wú)限的增長(zhǎng)過(guò)程中，并且在攻擊過(guò)程中產(chǎn)生各種各樣的“病變”。也就是說(shuō)，你研發(fā)一種對(duì)抗另外一種病毒的工具的速度也趕不上制造一種病毒的速度。但是，這并不是說(shuō)我們就完全坐以待斃，等著網(wǎng)絡(luò)攻擊來(lái)侵害計(jì)算機(jī)網(wǎng)絡(luò)，我們需要借助科學(xué)嚴(yán)密的管理制度，創(chuàng)新精密的科學(xué)技術(shù)來(lái)盡可能的降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。創(chuàng)造更加健全和穩(wěn)固的計(jì)算機(jī)網(wǎng)絡(luò)防范于未然，是我們從現(xiàn)在到未來(lái)一種奮斗的目標(biāo)！

3.對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題的防范措施

3.1加大資金投入，培養(yǎng)網(wǎng)絡(luò)技術(shù)人才。我們都知道，一個(gè)國(guó)家科技發(fā)展的速度直接影響這個(gè)國(guó)家的發(fā)展速度，高科技對(duì)于一個(gè)國(guó)家的發(fā)展起著至關(guān)重要的作用。面對(duì)層出不窮的計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題，我們需要培養(yǎng)更過(guò)的網(wǎng)絡(luò)技術(shù)人才來(lái)創(chuàng)造和維護(hù)和諧的網(wǎng)絡(luò)環(huán)境。所以，為什么美國(guó)是世界上第一科技大國(guó)，這和他們對(duì)于科學(xué)技術(shù)人才的大力培養(yǎng)是有密不可分的關(guān)系的。

3.2強(qiáng)化安全意識(shí)和內(nèi)部管理。對(duì)于普羅大眾來(lái)說(shuō)，計(jì)算機(jī)網(wǎng)絡(luò)安全隱患往往來(lái)自于自身對(duì)于網(wǎng)絡(luò)安全意識(shí)的不重視和對(duì)于網(wǎng)絡(luò)安全知識(shí)的匱乏，從而引起的操作不當(dāng)導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)安全的隱患，以及內(nèi)部管理人員竊取機(jī)密信息等不法行為。加強(qiáng)內(nèi)部管理主要從以下幾個(gè)方面入手：一是設(shè)置網(wǎng)絡(luò)密碼，并且時(shí)常更換密碼。這些密碼最好組成比較復(fù)雜，因?yàn)樵綇?fù)雜的密碼就越難攻破。二是設(shè)置訪問(wèn)權(quán)限，這些訪問(wèn)權(quán)限對(duì)于管理者來(lái)說(shuō)，主要是用來(lái)區(qū)分管理階層的，什么身份的管理人員獲得什么樣的權(quán)限，最高的權(quán)限是為最高級(jí)別的管理者設(shè)置的，這么做是為了對(duì)計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)信息進(jìn)行更好的保密。設(shè)置訪問(wèn)權(quán)限對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)來(lái)說(shuō)，不僅保護(hù)了路由器本身，并且保護(hù)了拓?fù)浣Y(jié)構(gòu)和計(jì)算機(jī)的操作和配置等。設(shè)置可信任的地址段從而防止非法IP的登陸。

3.3管理上的安全防護(hù)措施。這是指對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行集中、高效、科學(xué)的管理，這些管理主要是對(duì)計(jì)算機(jī)硬件設(shè)備的管理，包括主干交換機(jī)，各種服務(wù)器，通訊線路，終端設(shè)備等。對(duì)這些設(shè)備進(jìn)行科學(xué)的安裝和維護(hù)管理工作，是對(duì)網(wǎng)絡(luò)安全的一項(xiàng)重要措施。管理上的安全防護(hù)措施還來(lái)自的管理人員的規(guī)范。管理人員對(duì)于安全管理意識(shí)，安全管理技術(shù)和用戶安全意識(shí)的提升都直接影響網(wǎng)絡(luò)安全的健全。在工作生產(chǎn)中，如果網(wǎng)絡(luò)安全遭受到攻擊，管理人員良好的專業(yè)素質(zhì)和管理準(zhǔn)備辦法都能技術(shù)抵御攻擊或者對(duì)攻擊過(guò)后的損失進(jìn)行及時(shí)的補(bǔ)救。

4結(jié)論

篇10

關(guān)鍵詞：無(wú)線Mesh網(wǎng)絡(luò) 安全隱患 防御

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2013）12-0189-02

無(wú)線Mesh網(wǎng)絡(luò)也就是無(wú)線網(wǎng)狀網(wǎng)，因?yàn)樗俾瘦^高、容易組網(wǎng)和成本低廉的優(yōu)勢(shì)被大家熟悉和接受，被普遍應(yīng)用于無(wú)線設(shè)備和互聯(lián)網(wǎng)的接入中。無(wú)線Mesh網(wǎng)絡(luò)最主要的意義，是能夠使任何網(wǎng)絡(luò)節(jié)點(diǎn)都具備接收和轉(zhuǎn)發(fā)數(shù)據(jù)的功能，并且能夠使每個(gè)節(jié)點(diǎn)都可以實(shí)現(xiàn)與一個(gè)或多個(gè)對(duì)等的節(jié)點(diǎn)直接進(jìn)行通信。和無(wú)線局域網(wǎng)相比，無(wú)線Mesh網(wǎng)絡(luò)使用的是多跳機(jī)制，這就意味著用戶要實(shí)現(xiàn)通信就必須通過(guò)較多數(shù)量的節(jié)點(diǎn)，這在一定程度上大大增加了無(wú)線Mesh網(wǎng)絡(luò)的安全隱患。隨著無(wú)線Mesh網(wǎng)絡(luò)越來(lái)越廣泛地被應(yīng)用，其安全問(wèn)題已經(jīng)成為了急需研究的話題。

1 無(wú)線Mesh網(wǎng)絡(luò)的結(jié)構(gòu)特點(diǎn)

無(wú)線Mesh網(wǎng)絡(luò)有別于傳統(tǒng)無(wú)線網(wǎng)絡(luò)技術(shù)，其無(wú)線電通信網(wǎng)絡(luò)是由網(wǎng)狀的拓?fù)渖漕l節(jié)點(diǎn)組成的。無(wú)線Mesh網(wǎng)絡(luò)所包含的節(jié)點(diǎn)可以分為三類，分別是客戶端、路由以及網(wǎng)關(guān)。其客戶端節(jié)點(diǎn)可以是傳統(tǒng)筆記本電腦，也可以是手機(jī)、ipad等無(wú)線設(shè)備，路由節(jié)點(diǎn)則利用自身組織或者預(yù)先配置的方式形成骨干網(wǎng)絡(luò)，為客戶端提供無(wú)線接口，網(wǎng)關(guān)節(jié)點(diǎn)則提供到網(wǎng)絡(luò)的訪問(wèn)。由于無(wú)線Mesh網(wǎng)絡(luò)的通信網(wǎng)絡(luò)結(jié)構(gòu)特點(diǎn)，能夠滿足當(dāng)一個(gè)節(jié)點(diǎn)發(fā)生故障，其他剩余節(jié)點(diǎn)仍能夠直接或間接實(shí)現(xiàn)相互通信的要求，因此是一種比較可靠的數(shù)據(jù)通信方式。

2 無(wú)線Mesh網(wǎng)絡(luò)潛在的安全問(wèn)題

無(wú)線Mesh網(wǎng)絡(luò)的結(jié)構(gòu)特點(diǎn)使得其除了面臨傳統(tǒng)有線網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)外，還面臨著其他特殊的安全隱患：

2.1 無(wú)線傳輸?shù)拈_(kāi)放性使其安全面臨更大挑戰(zhàn)

通常情況下，要對(duì)有線網(wǎng)絡(luò)發(fā)起供給需要依賴于對(duì)物理通道的監(jiān)聽(tīng)或以流量注入的方式發(fā)起攻擊。而無(wú)線網(wǎng)絡(luò)由于其開(kāi)放性特點(diǎn)，使得黑客可以通過(guò)竊聽(tīng)無(wú)線鏈路的信號(hào)、接收覆蓋范圍的節(jié)點(diǎn)發(fā)送的報(bào)文篡改數(shù)據(jù)等方式實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的供給，甚至可以直接發(fā)送無(wú)線干擾信號(hào)來(lái)對(duì)無(wú)線Mesh網(wǎng)絡(luò)造成破壞。

2.2 無(wú)線Mesh網(wǎng)絡(luò)認(rèn)證的分散性使其更加容易受到攻擊

與傳統(tǒng)有線網(wǎng)絡(luò)不同，無(wú)線Mesh網(wǎng)絡(luò)缺少控制中心這樣的節(jié)點(diǎn)，導(dǎo)致對(duì)其進(jìn)行安全管理變得困難。又由于其特殊的拓?fù)浣Y(jié)構(gòu)，使得網(wǎng)絡(luò)中節(jié)點(diǎn)之間的數(shù)據(jù)傳送變得不穩(wěn)定，已有的安全措施難以直接應(yīng)用，安全認(rèn)證變得困難重重。

2.3 無(wú)線Mesh網(wǎng)絡(luò)終端節(jié)點(diǎn)的兩重身份加大其安全威脅

在無(wú)線Mesh網(wǎng)絡(luò)中，非常特殊的一點(diǎn)在于其終端節(jié)點(diǎn)同時(shí)承擔(dān)著主機(jī)和路由器的角色因而既需要運(yùn)行相關(guān)聯(lián)的應(yīng)用程序，又需要遵守路由協(xié)議運(yùn)轉(zhuǎn)。如果網(wǎng)絡(luò)內(nèi)部的節(jié)點(diǎn)要實(shí)現(xiàn)與網(wǎng)絡(luò)外部節(jié)點(diǎn)的通信，就必須依靠終端網(wǎng)絡(luò)節(jié)點(diǎn)的多跳機(jī)制參與，這意味著如果任何一個(gè)有多條通信鏈經(jīng)過(guò)的節(jié)點(diǎn)受到攻擊，都有可能給整個(gè)網(wǎng)絡(luò)的安全造成影響。

2.4 無(wú)線Mesh網(wǎng)絡(luò)獨(dú)特的路由機(jī)制給網(wǎng)絡(luò)攻擊提供更多機(jī)會(huì)

無(wú)線Mesh網(wǎng)絡(luò)的路由節(jié)點(diǎn)運(yùn)行原理是多跳動(dòng)態(tài)機(jī)制。攻擊者可以利用路由器的這一特點(diǎn)進(jìn)行錯(cuò)誤路由信息的傳播，整個(gè)網(wǎng)絡(luò)系統(tǒng)有可能因此陷入停運(yùn)狀態(tài)。路由節(jié)點(diǎn)的這一特質(zhì)也使得DOS攻擊手段變得多樣化，通過(guò)虛假路由信息進(jìn)行欺騙，實(shí)現(xiàn)蟲(chóng)洞等形式的攻擊，更加隱蔽和防不慎防。

3 無(wú)線Mesh網(wǎng)絡(luò)常見(jiàn)的安全攻擊手段

有線網(wǎng)絡(luò)的攻擊手段仍可能對(duì)無(wú)線Mesh網(wǎng)絡(luò)造成威脅。同時(shí)，由于無(wú)線Mesh網(wǎng)絡(luò)的特殊性，使其還將面臨更多的威脅?？偟膩?lái)說(shuō)，針對(duì)無(wú)線Mesh網(wǎng)絡(luò)的攻擊可能由網(wǎng)絡(luò)外部的惡意節(jié)點(diǎn)發(fā)起，也可能由內(nèi)部的被侵入的節(jié)點(diǎn)進(jìn)行，手段比較多樣，且一些手法具有很強(qiáng)的隱蔽性，應(yīng)該引起高度的重視。

3.1 竊聽(tīng)

竊聽(tīng)是一種比較傳統(tǒng)的攻擊方式，通常是其他網(wǎng)絡(luò)攻擊的基礎(chǔ)，在有線網(wǎng)絡(luò)時(shí)代已經(jīng)存在，通過(guò)竊取流經(jīng)網(wǎng)絡(luò)的計(jì)算機(jī)信號(hào)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)傳輸流的截取，對(duì)用戶的信息隱私造成威脅。由于無(wú)線網(wǎng)絡(luò)是以無(wú)線電為載體進(jìn)行的，介質(zhì)具有公開(kāi)向，理論上說(shuō)流經(jīng)無(wú)線通信的每一個(gè)信息對(duì)于竊聽(tīng)者都是可見(jiàn)的。如果用戶的數(shù)據(jù)沒(méi)有進(jìn)行加密，竊聽(tīng)者將非常容易地獲取到想要獲得的明文，再通過(guò)報(bào)文解析獲取信息。

3.2 DDoS進(jìn)攻

DDoS是中文“分布式拒絕服務(wù)”的英文縮寫(xiě)，其攻擊主要以干擾正常網(wǎng)絡(luò)通信，占用正常網(wǎng)絡(luò)帶寬為手段，以實(shí)現(xiàn)影響用戶網(wǎng)絡(luò)正常使用或?qū)е乱恍┕?jié)點(diǎn)對(duì)某種服務(wù)無(wú)法正常訪問(wèn)。與傳統(tǒng)DoS不同，DDoS的攻擊更多是通過(guò)向目標(biāo)主機(jī)傳輸大量的垃圾數(shù)據(jù)，造成其通信堵塞或服務(wù)器不堪重負(fù)，從而實(shí)現(xiàn)拒絕服務(wù)的目的，用戶對(duì)網(wǎng)內(nèi)資源的正常訪問(wèn)受到嚴(yán)重影響。

3.3 中間人進(jìn)攻

數(shù)據(jù)要實(shí)現(xiàn)通信必須在至少兩個(gè)節(jié)點(diǎn)之間傳輸，中間人進(jìn)攻就是在兩個(gè)合法節(jié)點(diǎn)之間，利用一定手段對(duì)節(jié)點(diǎn)雙方以欺騙的方式獲取通信內(nèi)容。對(duì)于底層的無(wú)線Mesh網(wǎng)絡(luò)，這種以中間人的身份進(jìn)行的進(jìn)攻是非常突出和致命的。中間人進(jìn)攻對(duì)于無(wú)線Mesh網(wǎng)絡(luò)的各個(gè)傳輸線路都可能造成嚴(yán)重的危害。攻擊者可以通過(guò)這種欺騙手段獲得累積的明文甚至加密文件，在此基礎(chǔ)上進(jìn)行分析，就可能對(duì)網(wǎng)絡(luò)密匙實(shí)現(xiàn)破解。

3.4 路由節(jié)點(diǎn)進(jìn)攻

路由機(jī)制的實(shí)現(xiàn)需要內(nèi)部節(jié)點(diǎn)的相互合作。如果內(nèi)部節(jié)點(diǎn)被利用改造成惡意節(jié)點(diǎn)，就可能向其他節(jié)點(diǎn)發(fā)送虛假信息，或者偽造其他節(jié)點(diǎn)的路由信息，對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)造成嚴(yán)重破壞。由路由節(jié)點(diǎn)發(fā)起的進(jìn)攻具有很大的隱蔽性，在爆發(fā)前通常難以被發(fā)現(xiàn)，引起破壞性非常大。目前針對(duì)無(wú)線Mesh網(wǎng)絡(luò)路由機(jī)制的進(jìn)攻主要通過(guò)以下幾種方法：

（1）黑洞。黑洞攻擊是通過(guò)惡意節(jié)點(diǎn)對(duì)外偽裝具有最短路勁，欺騙其他節(jié)點(diǎn)與其建立路由連接。在連接建立之后，惡意節(jié)點(diǎn)將利用竊聽(tīng)或者吞噬需要轉(zhuǎn)發(fā)的數(shù)據(jù)，造成數(shù)據(jù)分組丟失的拒絕服務(wù)。

（2）蟲(chóng)洞。蟲(chóng)洞攻擊的原理是通過(guò)兩個(gè)處于同一網(wǎng)絡(luò)但位置不同的惡意節(jié)點(diǎn)之間繞路信息的交換，導(dǎo)致通過(guò)惡意節(jié)點(diǎn)的跳躍數(shù)的減少，以此換取獲得路權(quán)機(jī)會(huì)的增加。這種攻擊可能導(dǎo)致路由擾，正常的通信無(wú)法進(jìn)行。

（3）篡改數(shù)據(jù)。對(duì)數(shù)據(jù)的篡改通常很難被檢測(cè)。這種攻擊是由惡意節(jié)點(diǎn)在報(bào)文上動(dòng)手腳，修改報(bào)文的內(nèi)容，從而造成該報(bào)文在目標(biāo)節(jié)點(diǎn)上的認(rèn)證失敗，或者使攻擊者獲得需要信息。

（4）自私節(jié)點(diǎn)。自私節(jié)點(diǎn)是指在整個(gè)網(wǎng)絡(luò)系統(tǒng)中為了盡可能地滿足本節(jié)點(diǎn)的需求，而拒絕為其他節(jié)點(diǎn)提供中繼服務(wù)的節(jié)點(diǎn)。如果攻擊者制造出大量的自私節(jié)點(diǎn)，就可能造成網(wǎng)絡(luò)系統(tǒng)較大面積的停止運(yùn)行。

（5）女巫攻擊。這種策略是指一個(gè)惡意節(jié)點(diǎn)使用一個(gè)物理設(shè)備但是卻偽造了多個(gè)身份，造成一定的迷惑性，使得路由協(xié)議的運(yùn)行受到干擾，網(wǎng)絡(luò)資源的分配也可能出現(xiàn)問(wèn)他，從而影響系統(tǒng)的正常運(yùn)行。

4 無(wú)線Mesh網(wǎng)絡(luò)的安全防御

針對(duì)上述無(wú)線Mesh網(wǎng)絡(luò)面臨的安全問(wèn)他，可以采取適當(dāng)?shù)拇胧┻M(jìn)行防護(hù)，最大程度降低破壞的發(fā)生，保障系統(tǒng)的相對(duì)安全。

4.1 針對(duì)竊聽(tīng)的防范措施

從竊聽(tīng)攻擊的發(fā)動(dòng)原理可以看出，無(wú)線Mesh網(wǎng)絡(luò)的竊聽(tīng)風(fēng)險(xiǎn)主要是由于無(wú)線介質(zhì)的開(kāi)放性造成的，其防御也是利用這一原理，盡量減少其開(kāi)放性帶來(lái)的威脅。一方面，可以利用定向天線技術(shù)和擴(kuò)頻技術(shù)等手段，減少惡意破壞者接收到完整信號(hào)的幾率。另一方面，采取數(shù)據(jù)加密，保證節(jié)點(diǎn)的認(rèn)證和路由信息都受到網(wǎng)絡(luò)密鑰的支撐。

4.2 DDoS攻擊的防范措施

如果網(wǎng)絡(luò)節(jié)點(diǎn)已經(jīng)受到了DDoS攻擊，再進(jìn)行防御產(chǎn)生的效果是不盡如人意的。因?yàn)楫?dāng)意識(shí)到有大量垃圾數(shù)據(jù)向其傳輸?shù)臅r(shí)候，網(wǎng)絡(luò)很可能已經(jīng)因?yàn)橥ㄐ帕砍^(guò)負(fù)荷而陷入癱瘓。此時(shí)只有及時(shí)進(jìn)行相關(guān)檢查進(jìn)行抵抗。第一，是盡力找出進(jìn)攻的發(fā)源，及時(shí)關(guān)閉相關(guān)設(shè)備。第二，是查處攻擊經(jīng)過(guò)的路由，再有針對(duì)性的進(jìn)行屏蔽。由于DDoS攻擊通常是惡意的網(wǎng)絡(luò)擁堵，并非傳統(tǒng)意義上端口到端口的擁堵，因此單獨(dú)節(jié)點(diǎn)上的有效防范難以實(shí)現(xiàn)，需要通過(guò)路由來(lái)解決。一個(gè)比較可行的方法是在每個(gè)節(jié)點(diǎn)上加入檢測(cè)攻擊，或者選擇分組丟失功能。另外使用資源調(diào)節(jié)器也可以對(duì)資源耗盡類型的DDoS攻擊達(dá)到比較好的防范目的。

4.3 中間人攻擊的防范措施

中間人攻擊之所以能夠成功，關(guān)鍵原因是任何一個(gè)無(wú)線Mesh網(wǎng)的節(jié)點(diǎn)都被允許既是申請(qǐng)者同時(shí)又是認(rèn)證者。利用這一原理，運(yùn)用身份簽名技術(shù)，采取挑戰(zhàn)簽名及以及驗(yàn)證的方法實(shí)現(xiàn)雙向認(rèn)證，能夠較好地防御中間人攻擊這一手段。具體來(lái)說(shuō)，當(dāng)每一個(gè)節(jié)點(diǎn)新加入到整個(gè)網(wǎng)絡(luò)系統(tǒng)中時(shí)，必須向其相鄰的節(jié)點(diǎn)發(fā)出認(rèn)證，通過(guò)認(rèn)證的節(jié)點(diǎn)蔡有資格進(jìn)入。這就使得節(jié)點(diǎn)只具備一種身份，新加入的節(jié)點(diǎn)為申請(qǐng)者，而其相鄰的節(jié)點(diǎn)則成為認(rèn)證者。

4.4 路由攻擊的防范措施

（1）黑洞攻擊的防范。要預(yù)防黑洞攻擊的發(fā)生，最可靠的辦法是找出黑洞節(jié)點(diǎn)。使用者可以利用對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行監(jiān)聽(tīng)的方法來(lái)實(shí)現(xiàn)對(duì)黑洞節(jié)點(diǎn)的檢測(cè)和排查。監(jiān)聽(tīng)的原理如下：由于無(wú)線信號(hào)的傳播是全向的，當(dāng)源節(jié)點(diǎn)向非目的節(jié)點(diǎn)發(fā)送數(shù)據(jù)分組的時(shí)候，非目的節(jié)點(diǎn)會(huì)根據(jù)路由信息轉(zhuǎn)發(fā)這一數(shù)據(jù)分組，其他節(jié)點(diǎn)包括源節(jié)點(diǎn)在內(nèi)，都肯定能夠收到來(lái)自非目的節(jié)點(diǎn)轉(zhuǎn)發(fā)的這一數(shù)據(jù)分組，從而可以由源節(jié)點(diǎn)對(duì)非目的節(jié)點(diǎn)轉(zhuǎn)發(fā)的數(shù)據(jù)分組的數(shù)量進(jìn)行檢測(cè)，以此作為依據(jù)判斷非目的節(jié)點(diǎn)為黑洞節(jié)點(diǎn)的可能性大小。

（2）蟲(chóng)洞攻擊的防范。針對(duì)蟲(chóng)洞攻擊當(dāng)前已經(jīng)有了一些比較成熟的防范。比較常使用的是地理束縛和時(shí)間束縛、計(jì)算鄰居數(shù)目分布以及基于鄰居信任的評(píng)估。

（3）數(shù)據(jù)篡改的防范。目前對(duì)于數(shù)據(jù)篡改類的網(wǎng)絡(luò)攻擊，比較常用的方法是對(duì)路由信息進(jìn)行加密以及采用數(shù)字簽名的方法。為了避免被惡意俘獲的節(jié)點(diǎn)利用路由進(jìn)行網(wǎng)絡(luò)攻擊，用戶應(yīng)該定期和非定期地對(duì)路由表以及選擇方式進(jìn)行更新，確保正確的路由選擇。

（4）自私節(jié)點(diǎn)攻擊的防范。自私節(jié)點(diǎn)攻擊的防范可以通過(guò)對(duì)自私節(jié)點(diǎn)的排查和檢測(cè)進(jìn)行方法。目前比較流行的檢測(cè)方法有基于上下文感知的排查法、中心極限定理（CLT）檢測(cè)算法以及基于滑動(dòng)窗口的殘差閡值測(cè)算法等。

（5）女巫攻擊的防范。如果能夠?qū)?jié)點(diǎn)的身份進(jìn)行有效的識(shí)別和檢測(cè)，女巫攻擊就能夠得到有效的防范。其檢測(cè)的標(biāo)準(zhǔn)時(shí)能夠確保每個(gè)節(jié)點(diǎn)有效并且只具備一個(gè)物理身份。當(dāng)前比較流行的方法有網(wǎng)絡(luò)密鑰預(yù)分配和節(jié)點(diǎn)定位等。

隨著無(wú)線Mesh網(wǎng)絡(luò)的應(yīng)用和推廣，其面臨的安全隱患引起人們?cè)絹?lái)越多的關(guān)注，針對(duì)無(wú)線Mesh網(wǎng)絡(luò)進(jìn)行的攻擊也更加多樣，其中一些具有很強(qiáng)的隱蔽性，能夠?qū)φ麄€(gè)網(wǎng)絡(luò)系統(tǒng)造成較大的破壞。本文在簡(jiǎn)單介紹無(wú)線Mesh網(wǎng)絡(luò)特性的基礎(chǔ)上，主要針對(duì)其存在的安全隱患進(jìn)行分析。介紹了幾種主要的攻擊手段，并提供了相應(yīng)的防御方法。這些方法能夠比較有針對(duì)性地防范一種或幾種攻擊，但從長(zhǎng)遠(yuǎn)來(lái)看，要真正打破無(wú)線Mesh網(wǎng)絡(luò)的安全瓶頸，還是應(yīng)該從無(wú)線Mesh網(wǎng)絡(luò)的網(wǎng)絡(luò)協(xié)議入手，構(gòu)建安全穩(wěn)定的網(wǎng)絡(luò)框架結(jié)構(gòu)，從根源上堵塞安全漏洞。

參考文獻(xiàn)

[1]郭淵博，楊奎武，張暢.無(wú)線局域網(wǎng)安全：設(shè)計(jì)與實(shí)現(xiàn)[M].北京：國(guó)防工業(yè)出版社，2010.

[2]劉振華.無(wú)線Mesh網(wǎng)絡(luò)安全機(jī)制研究.中國(guó)科學(xué)技術(shù)大學(xué)博士學(xué)位論文，2011.