導(dǎo)語(yǔ)：網(wǎng)絡(luò)安全策略研究論文一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢(xún)客服老師，歡迎參考。

計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)開(kāi)放和自由的網(wǎng)絡(luò)，它在大大增強(qiáng)了網(wǎng)絡(luò)信息服務(wù)靈活性的同時(shí)，也給黑客攻擊和入侵敞開(kāi)了方便之門(mén)。不僅傳統(tǒng)的病毒借助互聯(lián)網(wǎng)加快了其傳播速度并擴(kuò)大了其傳播范圍，而且各種針對(duì)網(wǎng)絡(luò)協(xié)議和應(yīng)用程序漏洞的新型攻擊方法層出不窮。這些黑客把先進(jìn)的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)，當(dāng)成一種新式犯罪工具和手段，不僅影響了網(wǎng)絡(luò)穩(wěn)定運(yùn)行和用戶(hù)的正常使用，造成重大經(jīng)濟(jì)損失，而且會(huì)威脅到國(guó)家安全。如何更有效地保護(hù)重要的信息數(shù)據(jù)、提高計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為影響一個(gè)國(guó)家的政治、經(jīng)濟(jì)、軍事和人民生活的重大關(guān)鍵問(wèn)題。近年來(lái)，網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性開(kāi)始成為世界各國(guó)共同關(guān)注的焦點(diǎn)。文章分析了幾種常見(jiàn)的網(wǎng)絡(luò)入侵方法以及在此基礎(chǔ)上探討了網(wǎng)絡(luò)安全的幾點(diǎn)策略。

一、常見(jiàn)的幾種網(wǎng)絡(luò)入侵方法

由于計(jì)算機(jī)網(wǎng)絡(luò)的設(shè)計(jì)初衷是資源共享、分散控制、分組交換，這決定了互聯(lián)網(wǎng)具有大跨度、分布式、無(wú)邊界的特征。這種開(kāi)放性使黑客可以輕而易舉地進(jìn)入各級(jí)網(wǎng)絡(luò)，并將破壞行為迅速地在網(wǎng)絡(luò)中傳播。同時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)還有著自然社會(huì)中所不具有的隱蔽性：無(wú)法有效識(shí)別網(wǎng)絡(luò)用戶(hù)的真實(shí)身份；由于互聯(lián)網(wǎng)上信息以二進(jìn)制數(shù)碼，即數(shù)字化的形式存在，所以操作者能比較容易地在數(shù)據(jù)傳播過(guò)程中改變信息內(nèi)容。計(jì)算機(jī)網(wǎng)絡(luò)的傳輸協(xié)議及操作系統(tǒng)也存在設(shè)計(jì)上的缺陷和漏洞，從而導(dǎo)致各種被攻擊的潛在危險(xiǎn)層出不窮，這使網(wǎng)絡(luò)安全問(wèn)題與傳統(tǒng)的各種安全問(wèn)題相比面臨著更加嚴(yán)峻的挑戰(zhàn)，黑客們也正是利用這樣的特征研發(fā)出了各種各樣的攻擊和入侵方法：

1.通過(guò)偽裝發(fā)動(dòng)攻擊

利用軟件偽造IP包，把自己偽裝成被信任主機(jī)的地址，與目標(biāo)主機(jī)進(jìn)行會(huì)話，一旦攻擊者冒充成功，就可以在目標(biāo)主機(jī)并不知曉的情況下成功實(shí)施欺騙或入侵；或者，通過(guò)偽造IP地址、路由條目、DNS解析地址，使受攻擊服務(wù)器無(wú)法辨別這些請(qǐng)求或無(wú)法正常響應(yīng)這些請(qǐng)求，從而造成緩沖區(qū)阻塞或死機(jī)；或者，通過(guò)將局域網(wǎng)中的某臺(tái)機(jī)器IP地址設(shè)置為網(wǎng)關(guān)地址，導(dǎo)致網(wǎng)絡(luò)中數(shù)據(jù)包無(wú)法正常轉(zhuǎn)發(fā)而使某一網(wǎng)段癱瘓。

2.利用開(kāi)放端口漏洞發(fā)動(dòng)攻擊

利用操作系統(tǒng)中某些服務(wù)開(kāi)放的端口發(fā)動(dòng)緩沖區(qū)溢出攻擊。這主要是由于軟件中邊界條件、函數(shù)指針等方面設(shè)計(jì)不當(dāng)或缺乏限制，因而造成地址空間錯(cuò)誤的一種漏洞。利用軟件系統(tǒng)中對(duì)某種特定類(lèi)型的報(bào)文或請(qǐng)求沒(méi)有處理，導(dǎo)致軟件遇到這種類(lèi)型的報(bào)文時(shí)運(yùn)行出現(xiàn)異常，從而導(dǎo)致軟件崩潰甚至系統(tǒng)崩潰。

3.通過(guò)木馬程序進(jìn)行入侵或發(fā)動(dòng)攻擊

木馬是一種基于遠(yuǎn)程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點(diǎn)，一旦被成功植入到目標(biāo)主機(jī)中，計(jì)算機(jī)就成為黑客控制的傀儡主機(jī)，黑客成了超級(jí)用戶(hù)。木馬程序可以被用來(lái)收集系統(tǒng)中的重要信息，如口令、賬號(hào)、密碼等。此外，黑客可以遠(yuǎn)程控制傀儡主機(jī)對(duì)別的主機(jī)發(fā)動(dòng)攻擊，如DDoS攻擊就是大量傀儡主機(jī)接到攻擊命令后，同時(shí)向被攻擊目標(biāo)發(fā)送大量的服務(wù)請(qǐng)求數(shù)據(jù)包。

4.嗅探器和掃描攻擊

嗅探器是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種技術(shù)。網(wǎng)絡(luò)嗅探器通過(guò)被動(dòng)地監(jiān)聽(tīng)網(wǎng)絡(luò)通信、分析數(shù)據(jù)來(lái)非法獲得用戶(hù)名、口令等重要信息，它對(duì)網(wǎng)絡(luò)安全的威脅來(lái)自其被動(dòng)性和非干擾性，使得網(wǎng)絡(luò)嗅探具有很強(qiáng)的隱蔽性，往往讓網(wǎng)絡(luò)信息泄密變得不容易被發(fā)現(xiàn)。掃描，是指針對(duì)系統(tǒng)漏洞，對(duì)系統(tǒng)和網(wǎng)絡(luò)的遍歷搜尋行為。由于漏洞普遍存在，掃描手段往往會(huì)被惡意使用和隱蔽使用，探測(cè)他人主機(jī)的有用信息，作為實(shí)施下一步攻擊的前奏。

為了應(yīng)對(duì)不斷更新的網(wǎng)絡(luò)攻擊手段，網(wǎng)絡(luò)安全技術(shù)也經(jīng)歷了從被動(dòng)防護(hù)到主動(dòng)檢測(cè)的發(fā)展過(guò)程。主要的網(wǎng)絡(luò)安全技術(shù)包括：防火墻、VPN、防毒墻、入侵檢測(cè)、入侵防御、漏洞掃描。其中防病毒、防火墻和VPN屬早期的被動(dòng)防護(hù)技術(shù)，入侵檢測(cè)、入侵防

御和漏洞掃描屬主動(dòng)檢測(cè)技術(shù)，這些技術(shù)領(lǐng)域的研究成果已經(jīng)成為眾多信息安全產(chǎn)品的基礎(chǔ)。

二、網(wǎng)絡(luò)的安全策略分析

早期的網(wǎng)絡(luò)防護(hù)技術(shù)的出發(fā)點(diǎn)是首先劃分出明確的網(wǎng)絡(luò)邊界，然后通過(guò)在網(wǎng)絡(luò)邊界處對(duì)流經(jīng)的信息利用各種控制方法進(jìn)行檢查，只有符合規(guī)定的信息才可以通過(guò)網(wǎng)絡(luò)邊界，從而達(dá)到阻止對(duì)網(wǎng)絡(luò)攻擊、入侵的目的。主要的網(wǎng)絡(luò)防護(hù)技術(shù)包括：

1.防火墻

防火墻是一種隔離控制技術(shù)，通過(guò)預(yù)定義的安全策略，對(duì)內(nèi)外網(wǎng)通信強(qiáng)制實(shí)施訪問(wèn)控制，常用的防火墻技術(shù)有包過(guò)濾技術(shù)、狀態(tài)檢測(cè)技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)。包過(guò)濾技術(shù)是在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò)，依據(jù)系統(tǒng)事先設(shè)定好的過(guò)濾邏輯，檢查數(shù)據(jù)據(jù)流中的每個(gè)數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、以及包所使用的端口確定是否允許該類(lèi)數(shù)據(jù)包通過(guò)；狀態(tài)檢測(cè)技術(shù)采用的是一種基于連接的狀態(tài)檢測(cè)機(jī)制，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過(guò)規(guī)則表與狀態(tài)表的共同配合，對(duì)表中的各個(gè)連接狀態(tài)因素加以識(shí)別，與傳統(tǒng)包過(guò)濾防火墻的靜態(tài)過(guò)濾規(guī)則表相比，它具有更好的靈活性和安全性；應(yīng)用網(wǎng)關(guān)技術(shù)在應(yīng)用層實(shí)現(xiàn)，它使用一個(gè)運(yùn)行特殊的“通信數(shù)據(jù)安全檢查”軟件的工作站來(lái)連接被保護(hù)網(wǎng)絡(luò)和其他網(wǎng)絡(luò)，其目的在于隱蔽被保護(hù)網(wǎng)絡(luò)的具體細(xì)節(jié)，保護(hù)其中的主機(jī)及其數(shù)據(jù)。

2.VPN

VPN（VirtualPrivateNetwork）即虛擬專(zhuān)用網(wǎng)絡(luò)，它是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過(guò)公用骨干網(wǎng)連接而成的邏輯上的虛擬子網(wǎng)。它可以幫助異地用戶(hù)、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商與內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。為了保障信息的安全，VPN技術(shù)采用了鑒別、訪問(wèn)控制、保密性和完整性等措施，以防止信息被泄露、篡改和復(fù)制。VPN技術(shù)可以在不同的傳輸協(xié)議層實(shí)現(xiàn)，如在應(yīng)用層有SSL協(xié)議，它廣泛應(yīng)用于Web瀏覽程序和Web服務(wù)器程序，提供對(duì)等的身份認(rèn)證和應(yīng)用數(shù)據(jù)的加密；在會(huì)話層有Socks協(xié)議，在該協(xié)議中，客戶(hù)程序通過(guò)Socks客戶(hù)端的1080端口透過(guò)防火墻發(fā)起連接，建立到Socks服務(wù)器的VPN隧道；在網(wǎng)絡(luò)層有IPSec協(xié)議，它是一種由IETF設(shè)計(jì)的端到端的確保IP層通信安全的機(jī)制，對(duì)IP包進(jìn)行的IPSec處理有AH（AuthenticationHeader）和ESP（EncapsulatingSecurityPayload）兩種方式。

3.防毒墻

防毒墻是指位于網(wǎng)絡(luò)入口處，用于對(duì)網(wǎng)絡(luò)傳輸中的病毒進(jìn)行過(guò)濾的網(wǎng)絡(luò)安全設(shè)備。防火墻能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)流連接的合法性進(jìn)行分析，但它對(duì)從允許連接的電腦上發(fā)送過(guò)來(lái)的病毒數(shù)據(jù)流卻是無(wú)能為力的，因?yàn)樗鼰o(wú)法識(shí)別合法數(shù)據(jù)包中是否存在病毒這一情況；防毒墻則是為了解決防火墻這種防毒缺陷而產(chǎn)生的一種安全設(shè)備。防毒墻使用簽名技術(shù)在網(wǎng)關(guān)處進(jìn)行查毒工作，阻止網(wǎng)絡(luò)蠕蟲(chóng)(Worm)和僵尸網(wǎng)絡(luò)(BOT)的擴(kuò)散。此外，管理人員能夠定義分組的安全策略，以過(guò)濾網(wǎng)絡(luò)流量并阻止特定文件傳輸、文件類(lèi)型擴(kuò)展名、即時(shí)通信信道、批量或單獨(dú)的IP/MAC地址，以及TCP/UDP端口和協(xié)議。

三、網(wǎng)絡(luò)檢測(cè)技術(shù)分析

人們意識(shí)到僅僅依靠防護(hù)技術(shù)是無(wú)法擋住所有攻擊，于是以檢測(cè)為主要標(biāo)志的安全技術(shù)應(yīng)運(yùn)而生。這類(lèi)技術(shù)的基本思想是通過(guò)監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)來(lái)識(shí)別針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，或者更廣泛意義上的信息系統(tǒng)的非法攻擊。包括檢測(cè)外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶(hù)的超越使用權(quán)限的非法活動(dòng)。主要的網(wǎng)絡(luò)安全檢測(cè)技術(shù)有：

1.入侵檢測(cè)

入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem,IDS）是用于檢測(cè)任何損害或企圖損害系統(tǒng)的保密性、完整性或可用性行為的一種網(wǎng)絡(luò)安全技術(shù)。它通過(guò)監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)來(lái)識(shí)別針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，包括檢測(cè)外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶(hù)的超越使用權(quán)限的非法活動(dòng)。作為防火墻的有效補(bǔ)充，入侵檢測(cè)技術(shù)能夠幫助系統(tǒng)對(duì)付已知和未知網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、攻擊識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

2.入侵防御

入侵防御系統(tǒng)（IntrusionPreventionSystem,IPS）則是一種主動(dòng)的、積極的入侵防范、阻止系統(tǒng)。IPS是基于IDS的、建立在IDS發(fā)展的基礎(chǔ)上的新生網(wǎng)絡(luò)安全技術(shù)，IPS的檢測(cè)功能類(lèi)似于IDS，防御功能類(lèi)似于防火墻。IDS是一種并聯(lián)在網(wǎng)絡(luò)上的設(shè)備，它只能被動(dòng)地檢測(cè)網(wǎng)絡(luò)遭到了何種攻擊，它的阻斷攻擊能力非常有限；而IPS部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它檢測(cè)到攻擊企圖后，會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷?？梢哉J(rèn)為IPS就是防火墻加上入侵檢測(cè)系統(tǒng)，但并不是說(shuō)IPS可以代替防火墻或入侵檢測(cè)系統(tǒng)。防火墻是粒度比較粗的訪問(wèn)控制產(chǎn)品，它在基于TCP/IP協(xié)議的過(guò)濾方面表現(xiàn)出色，同時(shí)具備網(wǎng)絡(luò)地址轉(zhuǎn)換、服務(wù)、流量統(tǒng)計(jì)、VPN等功能。

3.漏洞掃描

漏洞掃描技術(shù)是一項(xiàng)重要的主動(dòng)防范安全技術(shù)，它主要通過(guò)以下兩種方法來(lái)檢查目標(biāo)主機(jī)是否存在漏洞：在端口掃描后得知目標(biāo)主機(jī)開(kāi)啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫(kù)進(jìn)行匹配，查看是否有滿(mǎn)足匹配條件的漏洞存在；通過(guò)模擬黑客的攻擊手法，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測(cè)試弱勢(shì)口令等，若模擬攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。發(fā)現(xiàn)系統(tǒng)漏洞的一種重要技術(shù)是蜜罐(Honeypot)系統(tǒng)，它是故意讓人攻擊的目標(biāo)，引誘黑客前來(lái)攻擊。通過(guò)對(duì)蜜罐系統(tǒng)記錄的攻擊行為進(jìn)行分析，來(lái)發(fā)現(xiàn)攻擊者的攻擊方法及系統(tǒng)存在的漏洞。

四、結(jié)語(yǔ)

盡管傳統(tǒng)的安全技術(shù)在保障網(wǎng)絡(luò)安全方面發(fā)揮了重要作用，但在一個(gè)巨大、開(kāi)放、動(dòng)態(tài)和復(fù)雜的互聯(lián)網(wǎng)中技術(shù)都存在著各種各樣的局限性。安全廠商在疲于奔命的升級(jí)產(chǎn)品的檢測(cè)數(shù)據(jù)庫(kù)，系統(tǒng)廠商在疲于奔命的修補(bǔ)產(chǎn)品漏洞，而用戶(hù)也在疲于奔命的檢查自己到底還有多少破綻暴露在攻擊者的面前。傳統(tǒng)的防病毒軟件只能用于防范計(jì)算機(jī)病毒，防火墻只能對(duì)非法訪問(wèn)通信進(jìn)行過(guò)濾，而入侵檢測(cè)系統(tǒng)只能被用來(lái)識(shí)別特定的惡意攻擊行為。在一個(gè)沒(méi)有得到全面防護(hù)的計(jì)算機(jī)設(shè)施中，安全問(wèn)題的炸彈隨時(shí)都有爆炸的可能。用戶(hù)必須針對(duì)每種安全威脅部署相應(yīng)的防御手段，這樣使信息安全工作的復(fù)雜度和風(fēng)險(xiǎn)性都難以下降。為了有效地解決日益突出的網(wǎng)絡(luò)安全問(wèn)題，網(wǎng)絡(luò)安全研究人員和網(wǎng)絡(luò)安全企業(yè)也不斷推出新的網(wǎng)絡(luò)安全技術(shù)和安全產(chǎn)品。

參考文獻(xiàn):

[1]周碧英:淺析計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[J].甘肅科技,2008,24(3):18～19

[2]潘號(hào)良:面向基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全措施探討[J].軟件導(dǎo)刊,2008,(3):74～75

[3]劉愛(ài)國(guó)李志梅談:電子商務(wù)中的網(wǎng)絡(luò)安全管理[J].商場(chǎng)現(xiàn)代化,2007,(499):76～77

[4]孫曉南:防火墻技術(shù)與網(wǎng)絡(luò)安全[J].科技信息,2008,(3):199～120

[5]趙立志林偉:淺析網(wǎng)絡(luò)安全技術(shù)[J].民營(yíng)科技,2008,(3):193