導語：如何才能寫好一篇網(wǎng)絡攻擊的防范措施，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

關鍵詞：網(wǎng)絡攻擊；口令保護；漏洞

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1674-7712 (2012) 10-0088-01

為了加強網(wǎng)絡安全建設，用戶應當在對網(wǎng)絡攻擊進行分析與識別的基礎上，認真制定有針對性地策略。明確安全對象，設置強有力的安全保障體系。有的放矢，在網(wǎng)絡中層層設防，發(fā)揮網(wǎng)絡的每層作用，使每一層都成為一道關卡，才能全方位地抗拒各種不同的威脅和脆弱性，確保網(wǎng)絡信息的保密性、完整性、可用性。

一、防范措施

（1）提高安全意識：不要隨意打開來歷不明的電子郵件及文件，不要運行來歷不明的軟件和盜版軟件。不要隨便從Internet上下載軟件，尤其是不可靠的FIP站點和非授權的軟件分發(fā)點。即使從知名的網(wǎng)站下載的軟件也要及時用最新的殺毒軟件進行掃描。（2）防字典攻擊和口令保護：選擇12-15個字符組成口令，盡肯能使用字母數(shù)字混排，并且在任何字典上都查不到，那么口令就不可能被輕易竊取了。不要用個人信息（如生日、名字等），口令中要有一些非字母（數(shù)字、標點符號、控制字符等），還要好記一些，不能寫在紙上或計算機中的文件中，選擇口令的一個好辦法是將兩個相關的詞用一個數(shù)字或控制字符相連。重要的口令最好經(jīng)常更換。（3）及時下載安裝系統(tǒng)補丁程序。（4）不隨便運行黑客程序，不少這類程序運行時會發(fā)出用戶的個人信息：在支持HTML的BBS上，如發(fā)現(xiàn)提交警告，現(xiàn)看源代碼，很可能是騙取密碼的陷阱。經(jīng)常運行專門的反黑客軟件，不要時應在系統(tǒng)中安裝具有實時監(jiān)測、攔截、查找黑客攻擊程序的工具。經(jīng)常采用掃描工具軟件掃描，以發(fā)現(xiàn)漏洞并及早采取彌補措施。（5）使用能防病毒、防黑客的防火墻軟件：防火墻是一個用以阻止網(wǎng)絡中的黑客訪問某個機構網(wǎng)絡的屏障，也可稱之為控制進/出兩個方向通信的門檻。在網(wǎng)絡邊界上通過建立起來的相應網(wǎng)絡通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡，以阻擋外部網(wǎng)絡的侵入。將防毒、防黑客當成日常例行工作，定時更新防毒軟件，將防毒軟件保持在常駐狀態(tài)，以徹底防毒。由于黑客經(jīng)常會針對特定的日期發(fā)動攻擊，用戶在此期間應特別提高警惕。（6）設置服務器，隱藏自己的IP地址：保護自己的IP地址是很重要的。事實上，即便用戶的計算機上被安裝了木馬程序，若沒有用戶的IP地址，攻擊者也是沒有辦法的，而保護IP地址的最好辦法就是設置服務器。服務器能起到外部網(wǎng)絡申請訪問內(nèi)部網(wǎng)絡的中間轉接作用，其功能類似于一個數(shù)據(jù)轉發(fā)器，主要控制哪些用戶能訪問哪些服務類型。當外部網(wǎng)絡向內(nèi)部網(wǎng)絡申請某種網(wǎng)絡服務時，服務器接受申請，然后他根據(jù)其服務類型、服務內(nèi)容、被服務的對象、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務，如果接受，它就向內(nèi)部網(wǎng)絡轉發(fā)這項請求。（7）安裝過濾器路由器，防止IP欺騙：防止IP欺騙站點的最好辦法是安裝一臺過濾器路由器，該路由器限制對本站點外部接口的輸入，監(jiān)視數(shù)據(jù)包，可發(fā)現(xiàn)IP欺騙。應不允許那些以本站點內(nèi)部網(wǎng)為源地址的包通過，還應該過濾去那些以不同于內(nèi)部網(wǎng)為源地址的包輸出，以防止從本站點進行IP欺騙。（8）建立完善的訪問控制策略：訪問控制時網(wǎng)絡安全防范和保護的主要策略，它的主要任務是保證網(wǎng)絡資源不被非法使用和非常反問。它也是維護網(wǎng)絡系統(tǒng)安全、保護網(wǎng)絡資源的重要手段。要正確地設置入網(wǎng)訪問控制、網(wǎng)絡權限控制、目錄等級控制、屬性安全控制、網(wǎng)絡服務的安全控制。網(wǎng)絡端口和節(jié)點的安全控制、防火墻控制等安全機制。各種安全訪問控制互相配合，可以達到保護系統(tǒng)的最佳效果。（9）采用加密技術：不要在網(wǎng)絡上傳輸未經(jīng)加密的口令和重要文件、信息。（10）做好備份工作：經(jīng)常檢查系統(tǒng)注冊表，做好數(shù)據(jù)備份工作。

二、處理對策

（1）發(fā)現(xiàn)攻擊者。一般很難發(fā)現(xiàn)網(wǎng)絡系統(tǒng)是否被人入侵。即便系統(tǒng)上有攻擊者入侵，也可能永遠不被發(fā)現(xiàn)。如果攻擊者破壞了網(wǎng)絡系統(tǒng)的安全性，則可以追蹤他們。借助下面一些途徑可以發(fā)現(xiàn)攻擊者。（2）攻擊者正在行動時，捉住攻擊者。例如，當管理員正在工作時，發(fā)現(xiàn)有人使用超級用戶的帳號通過撥號終端登陸，而超級用戶口令只有管理員本人知道。（3）根據(jù)系統(tǒng)發(fā)生的一些改變推斷系統(tǒng)以被入侵。（4）其他站點的管理員那里收到郵件，稱從本站點有人對“他”的站點大肆活動。（5）根據(jù)網(wǎng)絡系統(tǒng)中一些奇怪的現(xiàn)象，發(fā)現(xiàn)攻擊者。例如，不正常的主機連接及連接次數(shù)，系統(tǒng)崩潰，突然的磁盤存儲活動或者系統(tǒng)突然變得非常緩慢等。（6）經(jīng)常注意登陸文件并對可逆行為進行快速檢查，檢查訪問及錯誤登陸文件，檢查系統(tǒng)命令如login等的使用情況。在Windows NT平臺上，可以定期檢查Event Log中的Security Log，以尋找可疑行為。（7）使用一些工具軟件可以幫助發(fā)現(xiàn)攻擊者。

三、處理原則

（1）不要驚慌。發(fā)現(xiàn)攻擊者后會有許多選擇，但是不管發(fā)生什么事，沒有慎重的思考就去行動，只會使事情變得更糟。（2）記錄每一件事情，甚至包括日期和時間。（3）估計形勢。估計入侵造成的破壞程度，攻擊者是否還滯留在系統(tǒng)中？威脅是否來自內(nèi)部？攻擊者身份及目的？若關閉服務器，是否能承受得起失去有用系統(tǒng)信息的損失？（4）采取相應措施。一旦了解形勢之后，就應著手做出決定并采取相應的措施，能否關閉服務器？若不能，也可關閉一些服務或至少拒絕一些人；是否關心追蹤攻擊者？若打算如此，則不要關閉Internet聯(lián)接，因為還會失去攻擊者的蹤跡。

四、發(fā)現(xiàn)攻擊者后的處理對策

發(fā)現(xiàn)攻擊者后，網(wǎng)絡管理員的主要目的不是抓住他們，而是應把保護用戶、保護網(wǎng)絡系統(tǒng)的文件和資源放在首位。因此，可采取下面某些對策。

（1）不理睬。（2）使用write或talk工具詢問他們究竟想要做什么。（3）跟蹤這個連接，找出攻擊者的來路和身份。這時候，nslookup、finger、rusers等工具很有用。（4）管理員可以使用一些工具來監(jiān)視攻擊者，觀察他們正在做什么。這些工具包括snoop、ps、lastcomm、ttywatch等。（5）殺死這個進程來切斷攻擊者與系統(tǒng)的連接。斷開調(diào)制解調(diào)器與網(wǎng)絡線的連接，或者關閉服務器。（6）找出安全漏洞并修補漏洞，在恢復系統(tǒng)。（7）最后，根據(jù)記錄的整個文件的發(fā)生發(fā)展過程，編檔保存并從中吸取經(jīng)驗教訓。

總之，面對當前如此猖獗的黑客攻擊，必須做好網(wǎng)絡的防范工作。正所謂對癥下藥，只有了解了攻擊者的手法，才能更好地采取措施，來保護網(wǎng)絡與計算機系統(tǒng)的正常運行。

參考文獻：

[1]戚文靜.網(wǎng)絡安全與管理[M].中國水利水電出版社,2010

篇2

關鍵詞：服務器虛擬化；安全風險；防護措施

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2017）03-0033-03

近幾年來，虛擬化技術受到廣泛關注，其被廣泛應用于各個領域，與此同時新的安全風險和安全隱患也隨之而來。這將嚴重影響服務器虛擬化技術的發(fā)展前景，因此為了保證服務器虛擬化的安全性能，采取必要的防護措施是十分有必要的。

1 服務器虛擬化技術概述

1.1 虛擬化技術簡介

服務器虛擬化是一種從邏輯角度對資源進行重新配置的方法，而傳統(tǒng)的資源配置方式更多的是從物理的角度考慮。我們可以把服務器虛擬化技術看作是一種對硬件資源的重新配置的技術。由于服務器虛擬化技術是采用邏輯方式對資源進行重新配置，因此在同一個物理機器上可以同時運行一個或者多個操作系統(tǒng)的虛擬化服務器。服務器虛擬化技術的優(yōu)點在于大大方便了企業(yè)對系統(tǒng)的管理，它是一種最好的資源優(yōu)化整合方式。目前，隨著虛擬化服務器技術在我國的廣泛普及和應用，產(chǎn)生了一些新的安全風險和安全隱患問題急需解決，否則服務器虛擬化技術存在的安全隱患將嚴重影響其未來的發(fā)展前景。

1.2 如何實現(xiàn)服務器虛擬化技術

服務器虛擬化技術的實現(xiàn)方式主要有兩種，一種是將一個物理服務器虛擬化為若干數(shù)量的獨立的邏輯服務器，其中分區(qū)就是該種方式的一個典型代表。另一種方式就是將若干個不同的物理服務器看作是一個邏輯服務器，其中網(wǎng)絡就是這種形式的典型代表。其很好地詮釋了服務器虛擬化技術在我國各個領域的廣泛關注程度和應用程度。

1.3 服務器虛擬化的三種主流實現(xiàn)模式

目前，市場上的主流服務器虛擬化軟件種類繁多，其實現(xiàn)技術各不相同，因此針對服務器虛擬化的技術分類也沒有統(tǒng)一的說法。服務器虛擬化技術根據(jù)實現(xiàn)模式的不同大體可以將其分為三種主流實現(xiàn)模式：全虛擬化、半虛擬化和硬件輔助虛擬化。 全虛擬化的實現(xiàn)原理是在利用一個VMM（虛擬機監(jiān)視器）來實現(xiàn)虛擬機系統(tǒng)和硬件資源之間的“溝通交流”。該種模式主要代表是VMware。它的主要優(yōu)點在于它可以直接安裝在原有的操作系統(tǒng)上運行而無需對原系統(tǒng)有任何配置修改。它的缺點是大大增加了二進制轉譯的工作量，而且到目前為止尚沒有一種比較好的優(yōu)化方法。

半虛擬化則是利用VMM對底層的硬件進行訪問。半虛擬化與虛擬化的區(qū)別在于它將許多與虛擬化有關的代碼植入到虛擬系統(tǒng)中，因此就不需要VMM來轉譯二進制。半虛擬化在很大程度上降低了負荷，很大程度上提高了其性能。但它同樣存在很大的問題，例如兼容性差就是半虛擬化服務器存在的主要問題。其次半虛擬化的維護成本相對比較高。

硬件輔助虛擬化在原有的基礎之上加上了root模式，也就是說把VMM運行到root模式。這種模式的好處在于可以把關鍵指令放在VMM上直接執(zhí)行而不需要二進制轉譯，這在很大程度上提高了服務器虛擬化的性能，其發(fā)展前景良好。

2 服務器虛擬化技術存在的安全風險和安全隱患

事實上，服務器虛擬化作為一種新興的熱門技術之一，不僅能夠?qū)τ布Y源進行重新配置，實現(xiàn)硬件資源的不斷優(yōu)化，而且還大大提高了硬件資源的利用效率。雖然服務器虛擬化技術尚不成熟，還存在一些安全隱患和安全漏洞；例如由于VMWare 平臺網(wǎng)絡框架的不同而造成安全漏洞的發(fā)生等。

2.1 VMWare 平臺網(wǎng)絡架構存在的安全隱患

根據(jù)網(wǎng)絡的覆蓋范圍可以將網(wǎng)絡分為局域網(wǎng)、城域網(wǎng)和廣域網(wǎng)，本文主要針對局域網(wǎng)中VMWare平臺網(wǎng)絡架構進行分析。在局域網(wǎng)中，將處于私有云上的VMWare 平臺與Internet進行物理隔離，由于VMWare平臺網(wǎng)絡架構不能對其自身的補丁庫進行自動更新操作，致使VMWare平臺網(wǎng)絡架構一旦出F安全漏洞，補丁庫也不能對其進行及時的修復，這樣就導致了VMWare平臺網(wǎng)絡架構中出現(xiàn)了安全隱患，給VMWare平臺網(wǎng)絡架構的正常運行帶來了安全方面的威脅。網(wǎng)絡攻擊人員例如黑客、駭客等就利用了VMWare平臺網(wǎng)絡架構中的安全漏洞侵入虛擬服務器宿的主機，進行竊取機密或投放病毒等破壞性行動。一旦網(wǎng)絡攻擊人員成功侵入虛擬服務器的主機，那么他就能夠輕而易舉的獲取VMWare平臺網(wǎng)絡架構的管理權限，對其中的虛擬服務器進行各個擊破，毫無阻礙。也就是說，網(wǎng)絡攻擊人員可以輕而易舉的獲取他們需要的東西，網(wǎng)絡安全防護措施形同虛設，網(wǎng)絡安全成為一句空話。

2.2虛擬機跳板式攻擊

將服務器進行虛擬化后會有多個虛擬機同時存在，這些虛擬機共同自動運行在相同的一臺物理主機上，由于網(wǎng)絡安全系統(tǒng)不可能同時對同一臺物理主機上的多個虛擬機進行同時監(jiān)控，致使這些虛擬機在進行通信過程中的安全防護和安全性能都比較差，這給網(wǎng)絡攻擊人員提供了侵入主機的機會。進行服務器虛擬化以后的虛擬機在安全防護方面存在很大的問題，網(wǎng)絡攻擊者完全可以利用安全防護漏洞進行攻擊，網(wǎng)絡攻擊人員一旦將虛擬機的安全防護措施攻破就很容易對其進行控制；與此同時，網(wǎng)絡攻擊者完全可以利用已經(jīng)控制的虛擬機對網(wǎng)絡中其他未攻破的虛擬機進行攻擊，這樣將給整個數(shù)據(jù)中心虛擬化環(huán)境帶來嚴重的安全威脅。

2.3 VMM設計上存在缺陷

虛擬機的安全機制是建立在VMM完全可信的基礎之上的，但是就目前的服務器虛擬化技術而言，VMM的安全性能并非牢不可破。VMM在設計方面存在的一些安全漏洞給了攻擊者可趁之機，此外，VMM自身并不能對外部的篡改和替換等操作進行識別和阻止。例如如果攻擊者在成功控制了虛擬機后將VMM關閉，這將造成運行在宿主機上的其他虛擬系統(tǒng)也跟著全部關閉。

網(wǎng)絡攻擊人員可以通過應用接口程序（API）來操控其中的一臺虛擬機，并利用這臺虛擬機向VMM發(fā)送請求。由于VMM自身缺乏對請求的判斷和識別機制，導致其很容易獲取VMM的信任，從而對其發(fā)動攻擊。除此之外，網(wǎng)絡攻擊人員還可以利用網(wǎng)絡對VMM發(fā)動攻擊，他們利用的網(wǎng)絡通常是在配置上存在缺陷的網(wǎng)絡，并沒有安裝相應的安全訪問控制，入侵者很容易通過網(wǎng)絡連接到VMM的IP地址。即使網(wǎng)絡攻擊人員無法通過暴力途徑將VMM的登錄口令破解掉，但依然可以通過拒絕服務攻擊的形式將VMM的資源消耗殆盡，那么也就間接的將運行在VMM上的所有虛擬機宕機，這樣管理人員就不能在通過網(wǎng)絡與VMM連接，解決的辦法只能是重啟VMM以及所有的虛擬機。

2.4 虛擬機通信上存在安全風險

隨著網(wǎng)絡虛擬化的廣泛普及和應用，安全問題的發(fā)生概率有所上升。在傳統(tǒng)網(wǎng)絡中比較有效的安全防護措施，將其移植到虛擬化的網(wǎng)絡環(huán)境中其效果并不顯著。

虛擬機通信上存在的安全風險主要有以下幾個方面：網(wǎng)絡安全防護困難、VM hopping攻擊、拒絕服務DOS攻擊等。其中網(wǎng)絡安全防護困難主要體現(xiàn)在服務器虛擬化之前通過使用防火墻將其劃分為不同等級的安全區(qū)域，不同級別的區(qū)域其管理策略也各不相同。從理論上可以認為最嚴密的網(wǎng)絡安全隔離可以防止一臺服務器被網(wǎng)絡攻擊者攻破后對其他的服務器進行攻擊。自從應用了服務器虛擬化技術之后，同一臺機器上的所有虛擬機都共用物理機上的一塊網(wǎng)卡與網(wǎng)絡中的其他主機進行通信，這就導致安全隱患問題很容易擴展到網(wǎng)絡中的其他主機上。因此傳統(tǒng)的防火墻部署形式并不能滿足服務器虛擬化對網(wǎng)絡安全的要求，還需要對防火墻技術進行不斷的改進和優(yōu)化。

VM Hopping攻擊是指為了提高虛擬化技術的性能而進行內(nèi)存共享、交換，導致虛擬機在通信過程中存在風險，網(wǎng)絡攻擊人員利用已經(jīng)控制的虛擬機對處于同一物理機上的另一臺虛擬機進行入侵，一旦成功后就可以借助其以同樣的形式對其他虛擬機進行攻擊。網(wǎng)絡攻擊人員甚至可以直接控制宿主機，進一步控制運行在該宿主機上的所有虛擬機，因此一旦宿主機失去控制權，其后果相當嚴重。

此外，還有一種對虛擬化危害比較嚴重的安全問題就是拒絕服務（DOS）攻擊，在虛擬的服務器中，在同一個物理機上的所有硬件資源和網(wǎng)絡等都是由虛擬機和宿主機共同使用。拒絕服務攻擊的主要目標是耗盡宿主機的所有資源，使其不能夠在為運行在宿主機上的虛擬機服務，從而達到是虛擬機宕機的目的。

3 服務器虛擬化的安全防范措施

網(wǎng)絡安全防范措施是確保服務器正常穩(wěn)定安全運行的屏障，服務器虛擬化技術改變了傳統(tǒng)網(wǎng)絡安全防范措施的部署形式，因此加強安全防范措施的改良、優(yōu)化對確保服務器的安全運行有重大意義。下面將詳細介紹如何防范服務器虛擬化技術中存在的安全隱患和安全漏洞。

3.1應用互感器邏輯隔離技術

在對服務器虛擬化進行改良優(yōu)化過程中，負責網(wǎng)絡信息安全的工作人員可以將虛擬機當作是AD服務器，在搭建網(wǎng)絡服務器時根據(jù)互聯(lián)網(wǎng)環(huán)境的實際情況分配不同的IP地址，利用這種方式來確保信息傳播過程中的安全性能，除此之外，網(wǎng)絡信息安全工作人員還可以采用劃分VLAN的方式，對網(wǎng)站上的各種信息進行邏輯上的隔離操作。至于用于處理虛擬機內(nèi)部信息的操作軟件，將其進行一體化連接，物理服務器是其信息交流的橋梁，這樣就有效防止了網(wǎng)卡橋出現(xiàn)安全問題。由于虛擬器裝備在進行信息傳遞的過程中很可能出現(xiàn)負荷越來越大的情況，這樣十分不利于網(wǎng)絡接受方對信號的動態(tài)捕捉，致使原本能夠正常傳播的各種信號如視頻信號、音頻信號和圖片信息等發(fā)生畸變而不能正確傳播。

為了有效避免網(wǎng)絡攻擊人員對服務器虛擬化操作系統(tǒng)進行各種攻擊侵入行為，信息安全維護人員可以通過應用信息安全的技術系統(tǒng)來改善虛擬服務器的環(huán)境，來避免虛擬服務器被惡意攻擊。除此之外，負責網(wǎng)絡信息安全的工作人員還可以利用大數(shù)據(jù)庫提供的一些信息數(shù)據(jù)對虛擬環(huán)境進行安全檢測，一旦數(shù)據(jù)庫中有異常情況發(fā)生就立即執(zhí)行安全的操作策略。vShield可以通過在虛擬的環(huán)境中建立隔離來解決主機和虛擬機之間的隔離問題。此外，通過強化管理的功能層的性能，可以有效提升服務器虛擬化系統(tǒng)的抗攻擊能力，大大提高其安全系數(shù)。

3.2對虛擬機的操作系統(tǒng)進行日常維護

在深入分析、研究了服務器虛擬化存在的安全L險之后，我們發(fā)展負責維護網(wǎng)絡信息安全的工作人員應該對虛擬機的操作系統(tǒng)進行規(guī)范化、常規(guī)化的維護工作，網(wǎng)絡安全部門應該充分重視虛擬化服務器的安全問題，嚴格監(jiān)督控制信息分配和處理過程。與此同時，網(wǎng)絡信息安全部門應該設有專門的虛擬機系統(tǒng)維護人員，一般2到3人為最佳，對系統(tǒng)中安裝的所有軟件進行維護、升級等操作，確保一旦有病毒入侵能夠第一時間被安全防護人員發(fā)現(xiàn)并進行有效攔截。此外，通過定期對信息通道監(jiān)控還可以有效減少垃圾信息的數(shù)量，從而有效避免了信息信號傳輸受阻情況的發(fā)生。必須定期排查服務器虛擬化的安全防范措施，并將其作為一種常態(tài)化操作保留下來，這樣能夠在很大程度上提高制度的執(zhí)行效率。最后，引進并使用先進的殺毒軟件系統(tǒng)，對運行在虛擬機上的操作系統(tǒng)進行及時的漏洞修補，將出現(xiàn)安全鏈斷裂的地方及時修復。此外，還要適時的對運行在虛擬機上的操作系統(tǒng)進行升級操作，與之配套的防火墻軟件也要進行相應的升級，這樣才能更好地避免安全隱患的發(fā)生，確保服務器虛擬機的安全穩(wěn)定運行。

3.3對服務器進行鏡像處理和冗余設置

如果網(wǎng)絡攻擊人員利用硬盤故障發(fā)動對服務器的攻擊的話，那么對服務器虛擬化的打擊可以說是十分致命的，因此，網(wǎng)絡信息安全的工程人員在對服務器進行安全防護的過程中，首要工作就是對服務器進行一系列的評估活動，對網(wǎng)絡硬盤的內(nèi)存和運行速度等性能進行評估，判斷其能否滿足服務器虛擬化的實際需求。為了阻止網(wǎng)絡攻擊人員的攻擊行為，弱化網(wǎng)絡信息安全的安全隱患，信息安全維護人員可以采用應用多臺物理服務器的方式對硬件資源進行鏡像處理和冗余設置，從而達到虛擬軟件動態(tài)遷移的目標。對服務器進行鏡像處理和冗余設置可以從根本上不斷地對服務器虛擬化軟件進行更新?lián)Q代，使服務器虛擬化一直保持在動態(tài)遷移的狀態(tài)，這樣即使服務器虛擬化系統(tǒng)被網(wǎng)絡攻擊人員攻擊破壞，出現(xiàn)網(wǎng)絡安全的威脅，它也能夠及時發(fā)現(xiàn)并進行有效修復，從而避免了因為長時間的連接而造成的連接中斷問題。

3.4 部署網(wǎng)絡安全產(chǎn)品

為了保證虛擬機的安全穩(wěn)定的運行，可以通過部署網(wǎng)絡安全產(chǎn)品如網(wǎng)絡殺毒軟件等的方式防止網(wǎng)絡攻擊人員的惡意攻擊和病毒入侵。通過安裝殺毒軟件可以實時更新惡意代碼庫和病毒庫，從而更好的查殺病毒，防范病毒的入侵。此外，部署網(wǎng)絡防火墻也是一種比較常見的防止網(wǎng)絡攻擊的方式，它的工作原理遵循最小授權訪問原則，即訪問虛擬主機和虛擬機IP地址和端口號都要受到控制，只有這樣才能確保虛擬機運行環(huán)境的安全可靠。

為了確保虛擬機的安全穩(wěn)定運行，對虛擬機中出現(xiàn)的任何漏洞問題都要進行及時的修補操作和系統(tǒng)的更新處理。即使做了上述防范措施也無法避免虛擬化平臺出現(xiàn)安全問題，造成這種現(xiàn)象發(fā)生的主要原因是補丁的更新速度跟不上漏洞產(chǎn)生的速度；同時，在虛擬化平臺上同時運行著多個虛擬機，致使虛擬化平臺的運行速度比較慢。即使虛擬機受到虛擬化平臺的保護，但由于虛擬機自身存在安全漏洞，同樣會給虛擬機的正常運行帶來安全威脅。

3.5建立完善的審計機制

建立完善的審計機制也是一種保證服務器虛擬化系統(tǒng)安全運行的有效措施。該審計機制主要包括以下幾個方面的內(nèi)容。首先要嚴格監(jiān)控虛擬服務器上負載的數(shù)量。其次提高用戶對操作行為的審計水平，通過檢查和分析系統(tǒng)日志來發(fā)現(xiàn)是否有異常的情況發(fā)生，從而及時發(fā)現(xiàn)異常并進行修復工作。

3.6加強系統(tǒng)管理

世界上并不存在無懈可擊的事物，因此即使在網(wǎng)絡中采取了安全防范措施也不能夠完全保證網(wǎng)絡的安全運行，因此，我們應該根據(jù)不同風險的實際情況而采取不同策略的安全防范措施，從而最大程度的保障其安全性能。為了實現(xiàn)這一目標制定完善的安全管理措施是十分有必要的。與此同時，加強系統(tǒng)管理人員自身的安全防范意識對避免安全隱患的發(fā)生的意義也是十分重大的。

4 總結

綜上所述，服務器虛擬化技術已經(jīng)實現(xiàn)了多個操作系統(tǒng)在同一個物理服務器上運行，使得硬件資源被最大程度的利用，與此同時還大大降低了對服務器的管理工作的工作量，從一定程度上減少了管理成本。然而，隨之而來的還有新的安全風險和安全隱患，為了確保服務器的安全性能，加強防護是必要的。

參考文獻：

[1] 孫志明.服務器虛擬化安全風險防范措施[J].算機光盤軟件與應用，2013（12）：69-72.

篇3

【關鍵詞】安全；VLAN技術；AFC系統(tǒng)網(wǎng)絡；安全隱患；解決方案

0.引言

自動售檢票（AFC）系統(tǒng)是一個集售票、檢票、計費、收費、統(tǒng)計、清分結算和運行管理等于一體的自動化系統(tǒng)[1]，其作為軌道交通運營管理重要子系統(tǒng)之一，既承擔著減少地鐵工作人員的勞動強度，獲取城市交通客流信息的一手資料等任務，也負責著票務收入計量，財務信息的匯總分析等重要工作。鑒于AFC系統(tǒng)在軌道交通運營過程中的重要地位，其安全性原則不容忽視。安全性建設意義重大，但完善安全性建設卻難以面面俱到。一方面，我們知道安全是AFC系統(tǒng)能否正常運行的關鍵；另一方面，AFC系統(tǒng)作為內(nèi)容繁多，結構嚴密，邏輯清晰的信息聯(lián)機儲存以及管理的系統(tǒng)，其安全性建設是一個系統(tǒng)工程。信息安全理論的木桶原理告訴我們：一個組織的信息安全水平將由與信息安全有關的所有環(huán)節(jié)中最薄弱的環(huán)節(jié)決定，也即是說，安全性建設這個系統(tǒng)工程必須重視每一個安全細節(jié)。

1.三號線網(wǎng)絡中的VLAN技術

網(wǎng)絡作為AFC系統(tǒng)的重要組成部分，其安全性也是AFC系統(tǒng)安全的一部分。

三號線的AFC網(wǎng)絡規(guī)劃需要將多個車站的終端組成一個網(wǎng)絡，并且由于業(yè)務分工的需要，每個車站內(nèi)部的終端需要組成不同的局域網(wǎng)。若使用傳統(tǒng)的局域網(wǎng)加路由的技術，則滿足需求的網(wǎng)絡方案中必須用到大量的路由，而且對處理網(wǎng)絡結構的改變也不夠靈活。而VLAN技術的特點卻正好有效的解決了以上需求。利用VLAN技術以及VLAN技術上的干道技術，一方面，我們可以有效的分割廣播域且不會增加對路由的需求，節(jié)約了成本；另一方面，VLAN可以非常靈活的處理終端的重新歸網(wǎng)問題。

2.安全隱患

在了解了VLAN技術之后，我們來看看這種安全技術的兩個潛在隱患。

第二層攻擊類型介紹。

交換機處理的數(shù)據(jù)屬于參考網(wǎng)絡模型的第二層，即數(shù)據(jù)鏈路層。利用該層數(shù)據(jù)幀進行的網(wǎng)絡攻擊我們都稱為第二層網(wǎng)絡攻擊。已知的第二層攻擊有以下幾種：VLAN跳躍，STP攻擊，DHCP欺騙，CAM表溢出等。我們將重點放在VLAN跳躍攻擊上。

VLAN跳躍攻擊有兩種方法，分別是交換機欺騙和雙重標示。

2.1交換機欺騙

我們知道，如果一條線路成為干道的話，該線路將可以傳遞所有VLAN數(shù)據(jù)幀。一些cisco交換機端口的中繼默認設置為auto模式，這使得接入交換機的攻擊者主機可以構造DTP幀來打開交換機的中繼模式。收到DTP幀的交換機會認為攻擊者主機是另一交換機的中繼端口，從而打開自己的中繼模式，使得交換機將所有的VLAN數(shù)據(jù)幀傳送給攻擊者主機。如果車站服務器被入侵，那么當服務器上的入侵者向交換機發(fā)送其構造的DTP幀時，中繼默認設置為auto模式的交換機便會將該交換機上所有VLAN的數(shù)據(jù)包發(fā)給工作站。此時，服務器上的入侵者得到了該連接到該交換機上所有其他設備的數(shù)據(jù)包，包括GATE，TVM，BOM，TCM等。這就是VLAN跳躍攻擊。

2.2雙重標記

為了能和不支持VLAN技術的交換機或其他設備通訊，支持VLAN技術的交換機設置了一個默認的本地VLAN。這個VLAN的發(fā)出數(shù)據(jù)幀是不帶VLAN標簽的。如果一個數(shù)據(jù)幀含有本地VLAN的標簽，那么在發(fā)出這個數(shù)據(jù)幀的時候，該VLAN會被交換機刪去。針對這一處理方法，攻擊者可以構造一個雙重標記的數(shù)據(jù)幀，達到訪問本不能訪問的VLAN網(wǎng)絡的目的。

如右圖所示，假設下圖的工作站A和終端A分別屬于VLAN2和VLAN3，在一般情況下工作站A不能訪問終端A。然而，當工作站A向交換機A發(fā)送一個雙重標記的數(shù)據(jù)幀時，這個數(shù)據(jù)幀就可以到達終端A，進而達到訪問終端A的目的。

3.防范措施

3.1針對交換機欺騙的防范措施

交換機欺騙的危害雖大，但其預防措施卻并不復雜。事實上，交換機欺騙攻擊之所以說是一個安全隱患是因為大多數(shù)的交換機默認就將端口設置auto模式。三號線采用的交換機CiscoCatalyst 3550，其端口的默認設置便是這種形式。

為了防范交換機欺騙攻擊，我們可以修改非干道端口上默認打開的auto模式，將其改成接入模式。以CiscoCatalyst 3550交換機為例，我們可以用下面的命令消除交換機欺騙攻擊隱患：

Switch（config）#interface gigabitethernet 0/1

Switch（config-if）#switchport mode access

C3550交換機是地鐵三號線車站計算機系統(tǒng)中的站臺設備接入交換機，數(shù)目較多，這就加大該隱患的危險性。以上改變端口默認設置的命令應該在各個C3550交換機上執(zhí)行，另外，對于線路中的其他交換機，我們也必須確定交換機的端口是否為auto設置，若是，則按照相應交換機的操作命令修改auto設置。

3.2針對雙重標記的防范措施

實現(xiàn)雙重標記這種攻擊，前提條件是兩臺交換機使用802.1q協(xié)議作為干道的中繼通訊以及兩臺交換機均具有相同標號的本地VLAN。大多數(shù)的交換機為了提高兼容性都是使用802.1q協(xié)議作為干道的中繼通訊協(xié)議，并且，交換機默認的本地VLAN都為VLAN1，從而，這些默認設置滋生了雙重標識這種安全隱患。

（1）修改以上提及的默認設置，我們便可以防范這個隱患。

以C3550交換機為例，可以在交換機上利用下列命令將本地VLAN的編號設置成其他編號：

Switch（config）#interface gigabitethernet 0/1

Switch（config-if）#switchport trunk native vlan 123

（2）選擇思科的專有協(xié)議ISL代替802.1q協(xié)議。這方法只能用在車站交換機全部支持ISL協(xié)議的場合，操作的命令是：

Switch（config-if）#switchport trunk encapsulation isl

（3）比較實用的防范方法是在干道端口上標記所有本地VLAN流量，命令如下：

Switch（config-if）#switchport native vlan tag

通過這條命令，我們可以讓所有的干道端口保留本地VLAN數(shù)據(jù)包的幀標記，雙重標記攻擊便失效了。

4.結語

通過討論VLAN的兩個較為隱蔽安全隱患及其防范措施，我們填補三號線AFC網(wǎng)絡的存在的一些安全隱患。安全是一個系統(tǒng)性工程，而安全系統(tǒng)總是取決與最薄弱環(huán)節(jié)的安全程度，因此在日常工作中，我們必須加強安全意識，領會安全性原則，并重視安全性操作，借此提高廣州地鐵的安全性建設水平，為更好服務市民做出努力。

【參考文獻】

篇4

1常見的計算機網(wǎng)絡攻擊手段

1.1黑客攻擊

黑客通常都比較了解計算機系統(tǒng)和網(wǎng)絡漏洞，黑客會利用很多網(wǎng)絡手段攻擊計算機網(wǎng)絡，從而對計算機網(wǎng)絡安全的維護構成很大危害。比較常見的黑客手段有：通過非法的手段來截獲網(wǎng)絡上傳播的數(shù)據(jù)信息、惡意修改網(wǎng)絡程序來破壞網(wǎng)絡的運行等等。

1.2病毒攻擊手段

病毒軟件是威脅計算機網(wǎng)絡安全的主要手段之一。計算機病毒是人為編寫的破壞型指令或程序，當侵入計算機系統(tǒng)后，就會被激發(fā)進而破壞計算機系統(tǒng)或進行其他操作，給用戶造成損失。計算機病毒的種類有很多，包括復合型病毒、系統(tǒng)引導病毒、宏病毒、文件型病毒等等病毒蠕蟲和木馬。而且計算機病毒可以自我復制、自動傳播，不容易被發(fā)現(xiàn)，還變化多端，比殺毒軟件發(fā)展的更快。人們在用計算機上網(wǎng)的過程中，很容易被病毒程序侵入。一旦計算機感染上病毒就會出現(xiàn)很多安全隱患。比如，當病毒侵入計算機系統(tǒng)之后，有可能造成電腦死機、數(shù)據(jù)丟失、數(shù)據(jù)被盜取、數(shù)據(jù)被惡意修改、計算機系統(tǒng)被惡意破壞等等，更嚴重者可能危害到網(wǎng)絡的正常運行。

1.3拒絕服務攻擊手段

人們上網(wǎng)是通過正常的網(wǎng)上鏈接等來訪問服務器，進而獲得服務器傳送的數(shù)據(jù)，查看想要訪問的內(nèi)容。然而我們說的拒絕服務攻擊手段通常指的是，一些網(wǎng)絡攻擊者利用TCP協(xié)議存在的缺陷，向服務器發(fā)送大量偽造的TCP連接請求，使被攻擊方服務器資源耗盡，導致被攻擊的服務器某些服務被暫?；蛘呤窃斐煞掌魉罊C。拒絕服務攻擊手段操作比較簡單，是黑客常用的攻擊手段，而且難以防范。拒絕服務攻擊手段可以造成嚴重的安全問題。

2計算機網(wǎng)絡安全的防范措施

目前的網(wǎng)絡安全問題日益突出，為了保證用戶的正常生活，防止網(wǎng)絡安全隱患帶來危害，必須要搭建一個安全的計算機網(wǎng)絡。危害計算機網(wǎng)絡安全的因素有很多，有計算機系統(tǒng)的漏洞、病毒黑客的攻擊、用戶自己不夠小心等等。想要加強計算機網(wǎng)絡安全性，就要從各個方面入手。下面介紹幾種加強網(wǎng)絡安全的措施。

2.1技術手段防范

計算機網(wǎng)絡系統(tǒng)還存在很多沒有改善的系統(tǒng)漏洞，維護網(wǎng)絡安全的工作者要盡快完善網(wǎng)絡漏洞，盡快推出有效的系統(tǒng)補丁。網(wǎng)絡用戶也要提高網(wǎng)絡安全意識，選擇合適的查毒、殺毒、掃描軟件定期對計算機進行掃描監(jiān)控和消滅病毒。而且，網(wǎng)絡系統(tǒng)的數(shù)據(jù)安全也要受到有效的保護，可以利用復雜的加密措施來防止系統(tǒng)數(shù)據(jù)被惡意破壞或者外泄。同時還可以通過使用網(wǎng)絡密鑰以期達到提高數(shù)據(jù)信息的安全性的目的。

2.2加強網(wǎng)絡安全監(jiān)管

計算機網(wǎng)絡安全還沒有引起國家和群眾的足夠重視，很對人對計算機網(wǎng)絡的安全認識還不夠。為了讓計算機網(wǎng)絡安全受到足夠的重視，國家應該制定一套系統(tǒng)的針對網(wǎng)絡安全相關的法律法規(guī)，加強對網(wǎng)絡安全的監(jiān)管力度，對惡意破壞攻擊網(wǎng)絡安全的行為進行強有力的制劑。同時在社會上加大對計算機網(wǎng)絡安全知識的教育，增加群眾的網(wǎng)絡安全意識，提高網(wǎng)絡運營商和管理人員的責任意識。

2.3物理安全防范措施

計算機病毒和黑客的攻擊方式繁多，但攻擊對象多是計算機系統(tǒng)，計算機相關的硬件設施或是網(wǎng)絡服務器等。所以物理安全防范措施就是要防范以上的硬件系統(tǒng)受到攻擊。為了更好的保護物理安全，計算機網(wǎng)絡用戶一定要提防外界傳播導致的計算機硬件系統(tǒng)被惡意攻擊破壞。上網(wǎng)時不下載有安全隱患的軟件程序，不訪問有安全隱患的網(wǎng)站，不把不知道安全與否的外界媒體插入計算機，對網(wǎng)上下載的資料可以先進行安全監(jiān)測之后在打開，對本地計算機存儲的重要數(shù)據(jù)進行及時備份。以此來防范計算機病毒的攻擊。

2.4訪問控制防范措施

計算機網(wǎng)絡會被非法攻擊的一個重要因素就是計算機的訪問限制存在漏洞，給不法分子可乘之機。所以為了維護計算機網(wǎng)絡安全，應該加強對計算機網(wǎng)絡的訪問控制。對訪問的控制可以從以下方向著手：入網(wǎng)訪問控制、網(wǎng)絡權限控制、網(wǎng)絡服務器安全控制、防火墻技術。首先要做的是嚴格做好入網(wǎng)訪問的控制。入網(wǎng)訪問控制要做的就是對網(wǎng)絡用戶連接服務器和獲取信息的時候進行控制。最基本的方法就是對用戶的賬號、用戶名、密碼等用戶基本信息的正確性進行識別，并提高用戶密碼的加密等級。當用戶入網(wǎng)后，要控制給用戶一定的網(wǎng)絡權限，對用戶的修改、讀寫等等操作加以控制。為了保證完了服務器的安全，必須要用軟件和刪除的方式來防止服務器被惡意破壞修改。同時要實時對服務器的訪問動態(tài)進行監(jiān)測。當出現(xiàn)非法訪問時要通過警報的方式提醒管理人員及時進行處理。最后也是最應用最為普遍的防范措施就是防火墻技術。防火墻技術是一種軟件和硬件設備的組合，就是網(wǎng)絡之間通過預定義的安全策略對內(nèi)外網(wǎng)之間的通信實施訪問控制。為了提高網(wǎng)絡安全，應該盡快完善防火墻技術

3總結

如今的網(wǎng)絡技術正在飛速發(fā)展，然而，在發(fā)展的同時網(wǎng)絡安全出現(xiàn)了諸多漏洞，威脅了網(wǎng)絡環(huán)境的健康。為了能夠讓網(wǎng)絡更好的服務于大眾，保證計算機網(wǎng)絡的安全是網(wǎng)絡繼續(xù)發(fā)展所面臨的亟需解決的問題。計算機網(wǎng)絡的維護不可能通過簡單的一個方法就能達到目的，所以必須在全民重視的同時通過各種技術手段來不斷完善建立一個安全的網(wǎng)絡環(huán)境。

參考文獻

[1]陳豪.淺談網(wǎng)絡時代計算機的安全問題及應對策略[J].科技致富向?qū)?2013(08).

[2]唐雅玲.計算機網(wǎng)絡安全監(jiān)控系統(tǒng)的研究與實現(xiàn)[J].數(shù)字技術與應用,2013(02).

篇5

關鍵詞：  病毒攻擊  ARP欺騙 

0 概述

    近幾年來，隨著全國高校教育信息化的深入開展，穩(wěn)定的網(wǎng)絡和計算機系統(tǒng)成為教育信息化的重要保障，網(wǎng)絡及信息安全也成為高校關注焦點之一。

    本文通過研究分析高校網(wǎng)絡典型的安全問題，將從病毒攻擊、ARP欺騙攻擊、ADSL攻擊等方面入手，給出了防范策略和保護措施。

1  高校典型病毒攻擊分析

    病毒攻擊仍然是高校最重要的、最廣泛的網(wǎng)絡攻擊現(xiàn)象，隨著病毒攻擊原理以及方法不斷變化，病毒攻擊仍然為最嚴峻的網(wǎng)絡安全問題。

1.1 典型病毒攻擊以及防范措施

1.1.1  ARP木馬病毒

    當局域網(wǎng)內(nèi)某臺主機運行ARP欺騙的木馬程序時，會欺騙局域網(wǎng)內(nèi)所有主機和路由器，迫使局域網(wǎng)所有主機的arp地址表的網(wǎng)關MAC地址更新為該主機的MAC地址，導致所有局域網(wǎng)內(nèi)上網(wǎng)的計算機的數(shù)據(jù)首先通過該計算機再轉發(fā)出去，用戶原來直接通過路由器上網(wǎng)現(xiàn)在轉由通過該主機上網(wǎng)，切換的時候用戶會斷線一次。由于ARP欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數(shù)據(jù)包導致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶會感覺上網(wǎng)速度越來越慢。當ARP欺騙的木馬程序停止運行時，用戶會恢復從路由器上網(wǎng)，切換過程中用戶會再斷一次線。ARP木馬病毒會導致整個局域網(wǎng)網(wǎng)絡運行不穩(wěn)定，時斷時通。

    防范措施：可以借助NBTSCAN工具來檢測局域網(wǎng)內(nèi)所有主機真實的IP與MAC地址對應表，在網(wǎng)絡不穩(wěn)定狀況下，以arp –a命令查看主機的Arp緩存表，此時網(wǎng)關IP對應的MAC地址為感染病毒主機的MAC地址，通過“Nbtscan –r 192.168.1.1/24”掃描192.168.1.1/24網(wǎng)段查看所有主機真實IP和MAC地址表，從而根據(jù)IP確定感染病毒主機。也可以通過SNIFFER或者IRIS偵聽工具進行抓取異常數(shù)據(jù)包，發(fā)現(xiàn)感染病毒主機。

    另外，未雨綢繆，建議用戶采用雙向綁定的方法解決并且防止ARP欺騙，在計算機上綁定正確的網(wǎng)關的IP和網(wǎng)關接口MAC地址，在正常情況下，通過arp –a命令獲取網(wǎng)關IP和網(wǎng)關接口的MAC地址，編寫一個批處理文件farp.bat內(nèi)容如下：

    @echo off

    arp –d（清零ARP緩存地址表）

    arp -s 192.168.1.254 00-22-aa-00-22-aa（綁定正確網(wǎng)關IP和MAC地址）

    把批處理放置開始--程序--啟動項中，使之隨計算機重起自動運行，以避免ARP病毒的欺騙。

1.1.2  W32.Blaster 蠕蟲

    W32.Blaster是一種利用DCOM RPC漏洞進行傳播的蠕蟲，傳播能力很強。蠕蟲通過TCP/135進行探索發(fā)現(xiàn)存在漏洞的系統(tǒng)，一旦攻擊成功，通過TCP/4444端口進行遠程命令控制，最后通過在受感染的計算機的UDP/69端口建立tftp服務器進行上傳蠕蟲自己的二進制代碼程序Msblast.exe加以控制與破壞，該蠕蟲傳播時破壞了系統(tǒng)的核心進程svchost.exe，會導致系統(tǒng)RPC 服務停止，因此可能引起其他服務（如IIS）不能正常工作，出現(xiàn)比如拷貝、粘貼功能不工作，無法進入網(wǎng)站頁面鏈接等等現(xiàn)象，嚴重時并可能造成系統(tǒng)崩潰和反復重新啟動。

1.1.3  W32.Nachi.Worm 蠕蟲

    W32.Nachi.Worm蠕蟲(以下簡稱Nachi蠕蟲)利用了Microsoft Windows DCOM RPC接口遠程緩沖區(qū)溢出漏洞和Microsoft Windows 2000 WebDAV遠程緩沖區(qū)溢出漏洞進行傳播。如果該蠕蟲發(fā)現(xiàn)被感染的機器上有“沖擊波”蠕蟲，則殺掉“沖擊波”蠕蟲，并為系統(tǒng)打上補丁程序，但由于程序運行上下文的限制，很多系統(tǒng)不能被打上補丁，并被導致反復重新啟動。Nachi蠕蟲感染機器后，會產(chǎn)生大量長度為92字節(jié)的ICMP報文，從而嚴重影響網(wǎng)絡性能。

1.1.4  w32.sasser蠕蟲病毒

    w32.sasser蠕蟲病毒利用了本地安全驗證子系統(tǒng)（Local Security Authority Subsystem，LSASS）里的一個緩沖區(qū)溢出錯誤，從而使得攻擊者能夠取得被感染系統(tǒng)的控制權。震蕩波病毒會利用 TCP 端口 5554 架設一個 FTP 服務器。同時，它使用 TCP 端口5554 隨機搜索 Internet 的網(wǎng)段，尋找其它沒有修補 LSASS 錯誤的 Windows 2000 和 Windows XP 系統(tǒng)。震蕩波病毒會發(fā)起 128 個線程來掃描隨機的IP地址，并連續(xù)偵聽從 TCP 端口 1068 開始的各個端口。該蠕蟲會使計算機運行緩慢、網(wǎng)絡堵塞、并讓系統(tǒng)不停的進行倒計時重啟。

    蠕蟲病毒防范措施：用戶首先要保證計算機系統(tǒng)的不斷更新，高校可建立微軟的WSUS系統(tǒng)保證用戶計算機系統(tǒng)的及時快速升級，另外用戶必須安裝可持續(xù)升級的殺毒軟件，沒有及時升級殺毒軟件也是同樣危險的，高校網(wǎng)絡管理部門出臺相應安全政策以及保證對用戶定時的安全培訓也是相當重要的。用戶本地計算機可采取些輔助措施保護計算機系統(tǒng)的安全，如本地硬盤克隆、局域網(wǎng)硬盤克隆技術等。

2  高校家屬區(qū)網(wǎng)絡攻擊分析

2.1  ADSL貓（MODEM）攻擊

篇6

關鍵詞：計算機網(wǎng)絡；安全；防火墻；防范措施；管理

中圖分類號：TP39 文獻標識碼:A

隨著時代的進步與發(fā)展，當今的社會已經(jīng)是一個信息化的社會。計算機網(wǎng)絡技術和互連網(wǎng)的大力發(fā)展，使得計算機網(wǎng)絡已廣泛用各個領域，成為了人們工作與生活中不可缺少的部分。但是，由于計算機網(wǎng)絡具有聯(lián)結形式多樣性、終端分布不均勻性和網(wǎng)絡的開放性、互連性等特征，無論是在局域網(wǎng)還是在廣域網(wǎng)中，都存在著自然和人為等諸多因素的潛在威脅，病毒擴散、黑客攻擊、網(wǎng)絡犯罪等違法事件的數(shù)量迅速增長，計算機網(wǎng)絡安全問題越來越嚴峻。因此，分析影響計算機網(wǎng)絡安全的因素，并采取強有力的安全防范措施，對于保障網(wǎng)絡的安全性將變得十分重要。

1 計算機網(wǎng)絡安全的含義

參照ISO給出的計算機網(wǎng)絡安全定義，計算機網(wǎng)絡安全是指保護計算機網(wǎng)絡系統(tǒng)中軟件和數(shù)據(jù)資源，不因偶然或惡意的原因遭到破壞、更改、泄露，使網(wǎng)絡系統(tǒng)連續(xù)可靠性地正常運行，網(wǎng)絡服務正常有序。計算機網(wǎng)絡安全是指利用網(wǎng)絡管理控制和技術措施，主要是要求信息在網(wǎng)絡上傳輸時受到機密性、完整性和真實性的保護，避免其他人或?qū)κ掷酶`聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私。

2 影響計算機網(wǎng)絡安全的主要因素

影響計算機網(wǎng)絡安全的因素很多，包括人為因素、自然因素和偶發(fā)因素，人為因素是對計算機信息網(wǎng)絡安全威脅最大的因素。影響計算機網(wǎng)絡安全的主要因素表現(xiàn)在幾個方面。

2.1計算機網(wǎng)絡的本身問題

互聯(lián)網(wǎng)是對全世界都開放的網(wǎng)絡，任何單位或個人都可以在網(wǎng)上方便地傳輸和獲取各種信息，互聯(lián)網(wǎng)這種具有開放性、共享性、自由性的特點構成了網(wǎng)絡的脆性性，從而成為影響計算機網(wǎng)絡安全的一個主要因素。

2.2 操作系統(tǒng)存在的安全問題

操作系統(tǒng)是作為一個支撐軟件，操作系統(tǒng)提供了很多的管理功能，主要是管理系統(tǒng)的軟件資源和硬件資源。

2.3 數(shù)據(jù)庫存儲的內(nèi)容存在的安全問題

數(shù)據(jù)庫管理系統(tǒng)大量的信息存儲在各種各樣的數(shù)據(jù)庫里面，包括我們上網(wǎng)看到的所有信息，數(shù)據(jù)庫主要考慮的是信息方便存儲、利用和管理，但在安全方面考慮的比較少。

3 計算機網(wǎng)絡安全的主要技術

安全是網(wǎng)絡賴以生存的保障，只有安全得到保障，網(wǎng)絡才能實現(xiàn)自身的價值。網(wǎng)絡安全技術隨著人們網(wǎng)絡實踐的發(fā)展而發(fā)展，其涉及的技術面非常多，主要的技術如訪問控制、認證、加密、防火墻及入侵檢測等是網(wǎng)絡安全的重要防線。

3.1防病毒技術

網(wǎng)絡是病毒傳播的重要途徑，病毒檢測是計算機網(wǎng)絡安全的一個基本技術，網(wǎng)絡中的系統(tǒng)可能會受到多種病毒威脅，由于病毒在網(wǎng)絡中存儲、傳播、感染的方式各異且途徑多種多樣， 故相應地在構建網(wǎng)絡防病毒系統(tǒng)時，應用全方位的企業(yè)防毒產(chǎn)品，實施層層設防、集中控制、以防為主、防殺結合的安全防范技術。

3.3入侵者檢測

為了防止各種形式針對計算機實驗室的網(wǎng)絡攻擊，網(wǎng)絡應該能對各種形式的訪問者進行檢測、分類，參照用戶所掌握的基本入侵案例和經(jīng)驗，判斷其中入侵者，進而加以拒絕和備案。

4 計算機網(wǎng)絡安全的防范措施

基于IP技術的計算機網(wǎng)絡架構，缺乏必要的安全防范策略，隨著網(wǎng)絡安全的重視和網(wǎng)絡攻擊的隱蔽性，相信還有許多攻擊事件未被發(fā)現(xiàn)，因此，計算機網(wǎng)絡安全應當從安全技術、安全管理上加強防范。

4.1從技術上增強系統(tǒng)的防范能力

(1)采用網(wǎng)絡隔離技術和“安全域”技術，利用網(wǎng)絡隔離技術把兩個以上可路由的網(wǎng)絡通過不可路由的協(xié)議進行數(shù)據(jù)交換以達到隔離目的，即在不連通的網(wǎng)絡之間數(shù)據(jù)傳輸，但不允許這些網(wǎng)絡間運行交互式協(xié)議以確保把有害攻擊隔離。

(2)安裝防火墻和殺毒軟件，網(wǎng)絡防火墻技術是用來加強網(wǎng)絡之間訪問控制，防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內(nèi)部網(wǎng)絡，訪問內(nèi)部網(wǎng)絡資源，保護內(nèi)部網(wǎng)絡操作環(huán)境的特殊網(wǎng)絡互聯(lián)設備。防火墻保護計算機網(wǎng)絡不被非授權用戶訪問，控制網(wǎng)絡用戶對計算機系統(tǒng)的訪問。目前技術較為先進且安全級別高的防火墻是隱蔽智能網(wǎng)關技術和多重防護識別，它將網(wǎng)關隱藏在公共系統(tǒng)后使其免遭直接攻擊。軟件上，注意各種系統(tǒng)的漏洞補丁，關閉不使用的服務進程、作好各種安全設置，安裝瑞星防病毒軟件等。

(3)網(wǎng)絡訪問控制，訪問控制是網(wǎng)絡安全防范和保護的主要策略。它的主要任務是保證網(wǎng)絡資源不被非法使用和訪問，它是保證網(wǎng)絡安全最重要的核心策略之一。

(4)數(shù)據(jù)加密和身份認證技術。數(shù)據(jù)加密技術是網(wǎng)絡安全有效的技術之一，它的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)文件口令和保護網(wǎng)絡傳輸，數(shù)據(jù)加密不但可以防止非授權用戶的搭線竊聽和入網(wǎng)，而且也是對付惡意軟件的有效方法之一。

(5)合理進行系統(tǒng)的安全設置，系統(tǒng)管理員應該確切的知道需要哪些服務，而且僅僅安裝確實需要的服務，根據(jù)安全原則，最少的服務+最小的權限=最大的安全。

4.2 從管理上加強防范能力

包括對計算機用戶的安全教育、建立相應的安全管理機構、不斷完善和加強計算機的管理功能、加強計算機及網(wǎng)絡的立法和執(zhí)法力度等方面。加強計算機安全管理、加強用戶的法律、法規(guī)和道德觀念，提高計算機用戶的安全意識，對防止計算機犯罪、抵制黑客攻擊和防止計算機病毒干擾，是十分重要的措施。

(1)制定嚴格的網(wǎng)絡安全規(guī)則，對進出網(wǎng)絡的信息進行嚴格的限定。這樣可充分保證黑客的試探行動不能得逞。

(2)將網(wǎng)絡的TCP超時縮短至一定時間，以減少黑客進攻窗口機會。擴大連接表，增加黑客填充整個連接表的難度。

(3)時刻監(jiān)測系統(tǒng)的登錄數(shù)據(jù)和網(wǎng)絡信息流向，以便及時發(fā)現(xiàn)異常，經(jīng)常對整個網(wǎng)絡進行掃描，以發(fā)現(xiàn)任何安全隱患。

(4)盡量減少暴露在互聯(lián)網(wǎng)上的系統(tǒng)和服務的數(shù)量。計算機網(wǎng)絡安全是一項復雜的系統(tǒng)工程，網(wǎng)絡安全防范策略是將操作系統(tǒng)技術、防火墻技術、病毒防護技術、入侵檢測技術等綜合起來的網(wǎng)絡安全防護體系。只有將技術、管理等因素緊密結合，才能使計算機網(wǎng)絡安全確實有效。

結束語

綜上所述，計算機網(wǎng)絡安全問題是一項長期值得探索的工作，網(wǎng)絡安全問題不僅不能發(fā)揮其有利的作用，甚至會危及國家、企業(yè)及個人的安全。因此，必須從安全技術防范上可加強對訪問控制、認證、加密、防火墻及入侵檢測等方面的應用，還應加強網(wǎng)絡的安全管理，制定有關規(guī)章制度，對于確保網(wǎng)絡安全，建立一個安全舒適的計算機網(wǎng)絡環(huán)境，將起到十分有效的作用。

篇7

關鍵詞：計算機網(wǎng)絡工程安全；因素；對策

在當前的社會生活中，計算機網(wǎng)絡工程中安全問題已經(jīng)引起了一定的重視，安全威脅可以說無處不在，可能是網(wǎng)絡供應商的漏洞造成的安全問題，也有可能是用戶自己對安全問題沒有得到應有的重視，造成計算機出現(xiàn)木馬病毒等，這些問題對于我國計算機網(wǎng)絡的發(fā)展將會帶來十分嚴重的影響，在今后的工作中，我們必須要采取有效的措施應對計算機網(wǎng)絡工程的安全問題，從而滿足社會發(fā)展與進步的同時，更好的為今后的工作帶來貢獻，產(chǎn)生強大的推動力量。

1計算機網(wǎng)絡安全之網(wǎng)絡攻擊的特點

計算機受到網(wǎng)絡攻擊主要可以體現(xiàn)出以下四方面的特點。首先是將會產(chǎn)生十分嚴重的損失，一旦黑客入侵用戶的電腦，就會造成計算機無法正常運行，還會有很多信息遭受泄露。其次是對社會以及國家造成的安全隱患，一些黑客主要將政府以及國家中的機密文件作為主要的攻擊對象，所以一旦受到黑客入侵，那么對于國家造成的損失將會是極大的。再次，在攻擊手段方面呈現(xiàn)出多樣化以及隱蔽性的發(fā)展特點，可以說是防不勝防。黑客想要入侵計算機，根據(jù)計算機受到保護的安全程度的不同可以選擇不同的方式，這樣就會對用戶計算機的安全性造成極大的威脅。最后是從計算機網(wǎng)絡攻擊的主體來說，軟件攻擊是最主要的一種方式，其產(chǎn)生的影響也是隱形的，但是卻與正常的社會發(fā)展秩序具有緊密的關聯(lián)性。

2計算機網(wǎng)絡工程的安全問題

首先，計算機網(wǎng)絡工程自身存在一定的脆弱性，因為計算機網(wǎng)絡是一個開放性的發(fā)展環(huán)境，所以產(chǎn)生的問題很多，任何人都可以在這個網(wǎng)絡上實現(xiàn)傳輸以及資源共享，在這一影響下，就會對計算機網(wǎng)絡帶來很大的挑戰(zhàn)。在上述三個脆弱性計算機網(wǎng)絡環(huán)境的影響在，黑客就會利用這樣的環(huán)境進行攻擊，這樣一來，就無法保障計算機網(wǎng)絡的安全性，面對各種途徑的攻擊也會顯得束手無策。其次，在進行網(wǎng)絡操作的過程中，需要通過計算機的操作系統(tǒng)提供必要的支持，所以如果操作系統(tǒng)自身就存在安全問題，那么對于網(wǎng)絡安全就會造成十分嚴重的影響。在計算機操作系統(tǒng)中，為了便于管理主要存在兩個主要的部分，一個是軟件，一個是硬件，計算機想要獲得正常的運轉，需要這兩個部分。再次，在進行網(wǎng)絡數(shù)據(jù)存儲的過程中也潛在著一定的安全問題。當人們在瀏覽網(wǎng)頁或者是查閱信息的過程中，黑客就會竊取我們的信息，自己的個人隱私自然也就無法得到有效的保障。對個人、對社會產(chǎn)生的影響是十分巨大的。此外，在其他方面，計算機網(wǎng)絡工程安全也會受到其他方面的威脅，例如計算機病毒對計算機網(wǎng)絡的安全性影響就很大，這是一種沒有經(jīng)過授權就入侵計算機的一種非法程序。

3計算機網(wǎng)絡工程的對策研究

3.1提高技術防范措施

要想加強技術防范，那么建立起一個安全的技術管理制度是相當必要的，對于管理這一制度的工作人員來說，必須要具備相應的技能，并且不斷提升自身的素質(zhì)，進一步完善網(wǎng)絡系統(tǒng)的安全問題，在技術人員工作的過程中，需要不斷提升其職業(yè)素養(yǎng)，在每一道關卡中都要涉及到技術防范措施，面對一些重要的信息時，需要將其備份并且進行有效的管理，同時應該有專門的負責人進行負責，一旦出現(xiàn)問題，那么負責人就需要承擔相應的責任。在對網(wǎng)絡進行控制的過程中，應該對訪問人數(shù)進行限制，禁止出現(xiàn)非法入侵的狀況，這樣就能在一定程度上促進網(wǎng)絡系統(tǒng)的安全性，在用戶訪問網(wǎng)絡的過程中需要加以嚴格的篩選，對相關的權限進行有效的管理。

3.2加強管理層面的力度

計算機網(wǎng)絡工程的安全管理主要是針對網(wǎng)絡防護工作而言的，單純的采用技術防范顯然不能從根本上解決安全問題，依然會對計算機管理帶來一定的隱患，在這種情況下，就必須要采用更加科學的手段，讓計算機用戶不會受到威脅，這就要求在管理層面上加強管理力度，嚴格進行執(zhí)法活動，對于計算機用戶的安全問題，應該建立起相應的制度或者法律法規(guī)，這樣可以起到約束性的作用，與此同時，在進行管理的過程中，人為因素對管理的影響較大，并且還會在操作層面上對管理帶來一定的壓力，這就需要進一步強化管理水平，保證相關的管理人員都具有完善的安全意識。

3.3安全層面的保障

如果想要保證計算機網(wǎng)絡工程的安全性，首先就需要有一個相對安全的物理條件，比如機房或者和機房類似的物理空間。在對地址進行選擇的時候比較重要，需要防止來自于環(huán)境等方面的物理災害的攻擊，還需要防止人為的破壞。在具體的操作過程中需要對虛擬地址的訪問進行必要的控制，還需要對用戶的權限進行限制，實行必要的身份識別，這樣可以在一定的程度上防止有非法入侵的現(xiàn)象發(fā)生。

3.4計算機網(wǎng)絡工程安全的綜合防范措施

網(wǎng)絡具有開放性，所以，對用戶信息的認證在網(wǎng)絡安全這一塊將顯得十分關鍵，需要通過用戶的口令和密碼來實現(xiàn)網(wǎng)絡系統(tǒng)的權限分級。同時還需要對密碼技術進提升，在此基礎上還要提高防火墻的防范技術，防火墻技術分為三類，一是數(shù)據(jù)包過濾技術，二是應用網(wǎng)關技術，三是技術。將防火墻技術和侵入檢測系統(tǒng)聯(lián)動起來，使其相輔相成的運行，可以為計算機網(wǎng)絡的安全提供一個可靠的保障。

4結束語

綜上所述，加強計算機網(wǎng)絡工程的安全問題迫在眉睫，這是人們共同關注的問題，是社會得到穩(wěn)定發(fā)展的重要保障，是人們工作與學習順利進行的首要前提，加強相關的預防工作是當前技術人員的工作重點。

引用：

[1]黃丹.關于計算機網(wǎng)絡安全問題分析及對策研究[J].信息與電腦（理論版），2011，12（15）：245-246.

篇8

1.1內(nèi)部安全威脅

所謂的內(nèi)部安全是指在企業(yè)內(nèi)部范圍之內(nèi)的一些安全威脅，包括硬件故障、員工的操作失誤、內(nèi)部網(wǎng)絡攻擊。

（1）硬件故障。一個企業(yè)的網(wǎng)絡設備和設施主要為計算機以及交換機、路由器、傳輸設備等，其中計算機的硬盤主要有硬盤、顯卡、顯示器、內(nèi)存、主板、網(wǎng)卡、電源等，其中任何一個硬件發(fā)生了微小的故障都會導致整個系統(tǒng)出現(xiàn)問題，嚴重的將會導致企業(yè)的重要信息和數(shù)據(jù)丟失或者外漏，甚至整個網(wǎng)絡系統(tǒng)都不能正常運行，整個企業(yè)的正常工作受到影響。

（2）員工的操作不當。由于機器都是人進行操作的，是人都會犯錯，都回存在懶惰以及粗心大意的情況，尤其是在操作員對于設備的使用和業(yè)務都不太熟練的情況下，他們的操作更容易造成數(shù)據(jù)的丟失和網(wǎng)絡設備的損壞，如果誤將硬盤進行格式化將會導致所有數(shù)據(jù)丟失。甚至有的時候企業(yè)員工為了報復領導的不公或者冷漠，會對企業(yè)的一些機密文件資料進行故意的竊取或者破壞。

（3）內(nèi)部網(wǎng)絡攻擊。內(nèi)部網(wǎng)絡攻擊，還是指企業(yè)的內(nèi)部員工為了一己私利對于企業(yè)的計算機網(wǎng)絡系統(tǒng)進行破壞。

1.2外部安全威脅

（1）自然災害或其他非法攻擊。外部安全威脅是指企業(yè)的計算機信息網(wǎng)絡系統(tǒng)，因為自然災害或者非法攻擊造成系統(tǒng)安全風險。常見外部風險：火災、水災、其他自然災害以及盜竊等人為的破壞，這是引起信息系統(tǒng)損失的一個原因，對硬件系統(tǒng)構成潛在的安全風險。

（2）黑客攻擊。黑客通過網(wǎng)絡非法入侵計算機信息系統(tǒng)，這是目前計算機網(wǎng)絡所面臨的一個很大威脅。黑客攻擊的主要目的要么是為了截取競爭企業(yè)的保密信息，要么為了摧毀競爭企業(yè)的實力，對其信息進行破壞，讓其寶貴數(shù)據(jù)丟失。

（3）病毒感染。任何事物都會存在漏洞或者瑕疵，互聯(lián)網(wǎng)作為一個虛擬的網(wǎng)絡系統(tǒng)也存在一些漏洞，這個時候木馬就會對互聯(lián)網(wǎng)進行攻擊，導致互聯(lián)網(wǎng)上的數(shù)據(jù)丟失或者系統(tǒng)癱瘓。一般狀況下，企業(yè)的計算機只要接入網(wǎng)絡，在計算機的運行過程中就有病毒對產(chǎn)生威脅的可能。病毒感染網(wǎng)絡的途徑有很多，計算機網(wǎng)絡或者電腦的U盤都可以進行傳播病毒，計算機病毒不僅對計算機系統(tǒng)安全影響大，而且傳播速度很快。一旦電腦的文件被病毒感染之后就很難清除，并不是文件刪除了病毒就沒了。

2企業(yè)計算機網(wǎng)絡系統(tǒng)安全問題的部分解決措施

主要的企業(yè)計算機網(wǎng)絡系統(tǒng)安全問題的部分解決措施主要是依據(jù)上述的對企業(yè)計算機網(wǎng)絡安全造成不利影響的因素提出來的，主要的解決措施包括內(nèi)部安全防范措施和外部安全防范措施。

2.1內(nèi)部安全的防御措施

在上面的分析中，可以知道來自企業(yè)的內(nèi)部計算機網(wǎng)絡安全威脅并不小于外部的網(wǎng)絡安全，甚至過之而無不及，所以企業(yè)的計算機網(wǎng)絡安全系統(tǒng)要想得到很好地保護，首先要將責任分配到個人，每一個設備和設施都能找到對應的負責人，設備要避免身份不明的人進入，這樣企業(yè)內(nèi)部人員在操作時警惕性就高，操作失誤就少，更不敢因為不滿將設備破壞。然后企業(yè)要建立完善的設備網(wǎng)絡維護制度，要求使用者對于設備要進行不定期的檢查和維護，實時掌握設備的運行環(huán)境和運行情況。即使計算機系統(tǒng)運行正常，也要對計算機系統(tǒng)和設備進行定期的維護，從而保證計算機系統(tǒng)在一個良好的兼容環(huán)境下運行。加強計算機用戶的網(wǎng)絡安全保護意識，日常工作和生活中要不斷提升企業(yè)管理者和員工的網(wǎng)絡安全重要性意識，處處宣傳計算機網(wǎng)絡安全的重要性。企業(yè)對于常見的網(wǎng)絡故障和重點數(shù)據(jù)要建立網(wǎng)絡安全日志，企業(yè)的內(nèi)部操作人員在查看這些日志的時候就能掌握企業(yè)網(wǎng)絡系統(tǒng)中經(jīng)常出現(xiàn)的問題，以及哪些薄弱環(huán)節(jié)要重點預防。

2.2外部安全的防御措施

（1）防火墻與IDS（入侵檢測系統(tǒng)）。防火墻主要限制非法訪問攻擊，同時能夠及時地對網(wǎng)絡的相關規(guī)定進行防御，一般防火墻的等級越高，對于一些安全系數(shù)要求高的部門的網(wǎng)絡，防火墻的等級可以高一些，在出口處設置防火墻，避免Internet或者非本企業(yè)用戶攻擊企業(yè)網(wǎng)，同時不要將這些部門的網(wǎng)絡系統(tǒng)和整個大的企業(yè)網(wǎng)絡系統(tǒng)連接在一起，防止企業(yè)內(nèi)部員工的攻擊。然后IDS能夠和防火墻進行很好地配合，對于抵抗一些網(wǎng)絡攻擊的效果非常好，所以企業(yè)網(wǎng)絡系統(tǒng)內(nèi)IDS是必不可缺的。

（2）對黑客的防御。1）應用技術。該技術主要是指在能夠和最終的數(shù)據(jù)聯(lián)系上的應用層上，對數(shù)據(jù)進行數(shù)據(jù)監(jiān)測，該監(jiān)測是整個OSI模型的最高級別的檢測。這個時候整個防火墻的線路都是透明的，在外界數(shù)據(jù)進入到企業(yè)的網(wǎng)絡客戶端的時候，網(wǎng)絡協(xié)議就會對這些數(shù)據(jù)進行檢查，查看這些外來的數(shù)據(jù)是否安全。2）包過濾技術。該技術是使用比較早的一種技術，它主要是為各種基于TCP/IP協(xié)議數(shù)據(jù)報文出進的通道，現(xiàn)在使用的大多是動態(tài)過濾技術，該技術與靜態(tài)過濾不同的是，它增添了傳輸層。動態(tài)過濾技術是先對信息進行處理分析，然后用預置防火墻過濾規(guī)則進行校核，加入發(fā)現(xiàn)某個包有問題就會被阻止。

（3）對病毒的防御。學會巧用主動型防御技術防范病毒的入侵。計算機系統(tǒng)應安裝正規(guī)的殺毒軟件，并及時進行更新。同時對每臺電腦使用常用口令來控制對系統(tǒng)資源的訪問，每一臺電腦都有自己的口令，外人甚至是同事都不知道口令，這樣就可以很好地防御病毒，終端操作和網(wǎng)絡管理人員可以根據(jù)自己的職責權限，使用不同的口令。避免用戶越機訪問數(shù)據(jù)以及使用網(wǎng)絡資源，并且操作員應定期變更一次口令，爭取將病毒在在網(wǎng)絡前端就得到殺除。

3結語

篇9

【關鍵詞】計算機；網(wǎng)絡安全；攻擊；系統(tǒng)；防范措施

1.計算機網(wǎng)絡安全概要

隨著計算機科學的迅速發(fā)展，伴隨而來的計算機網(wǎng)絡安全問題也愈演愈烈。我們將計算機網(wǎng)絡安全問題拆分為計算機安全和網(wǎng)絡系統(tǒng)安全兩個板塊來討論。而對于什么是計算機安全呢？國際標準化組織給出的定義是：為以數(shù)據(jù)處理為中心的系統(tǒng)建立一個采取技術和管理雙重保護的安全保護。主要是保護計算機的硬件和軟件數(shù)據(jù)不因自然因素，偶然因素或者惡意操作而遭到攻擊，損壞，泄露等。對于計算機來說，它的組要組成部分是硬件和軟件數(shù)據(jù)，那我們不難理解，對于計算機安全來說，我們主要研究方向就是兩個方面：一是物理安全，二是邏輯安全。物理安全指的是計算機硬件不遭受各種因素的攻擊和破壞。

2.計算機網(wǎng)絡安全的現(xiàn)狀

計算機網(wǎng)絡安全問題已經(jīng)成為國際環(huán)境中一個普遍的問題，這主要是因為互聯(lián)網(wǎng)全球共享化的特征所造成的，不管你身在何處，只要通過互聯(lián)網(wǎng)，就能進行各種各樣的操作。而這也是計算機網(wǎng)絡安全問題潛在威脅的最大原因。如果說自然因素和偶發(fā)因素是我們不可控制的，只能在加強計算機硬件和軟件的性能方面來減少這種因素發(fā)生所帶來的損失。那么人為因素所造成的安全問題可謂防不勝防。這主要體現(xiàn)在以下幾個方面：

2.1計算機病毒。計算機病毒具有傳播性、隱蔽性、感染性、潛伏性、可激發(fā)性、表現(xiàn)性或破壞性等特征。它的病毒的生命周期主要劃分為：開發(fā)期傳染期潛伏期發(fā)作期發(fā)現(xiàn)期消化期消亡期等七個階段。我們可以將計算機病毒比喻成生物病毒，它可以自我繁殖、互相傳染以及激活再生。這些特征意味著計算機病毒有強悍的繁衍（復制）能力并且擴散速度之快，在你還沒有來得及做出相應措施的時候，它就侵入了計算機的核心系統(tǒng)，導致計算機數(shù)據(jù)流失，系統(tǒng)紊亂，無法操作和響應等一系列病癥，甚至直接崩潰。

2.2黑客攻擊。黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統(tǒng)的運行，并不盜竊系統(tǒng)資料，通常采用拒絕服務攻擊或信息炸彈；破壞性攻擊是以侵入他人電腦系統(tǒng)、盜竊系統(tǒng)保密信息、破壞目標系統(tǒng)的數(shù)據(jù)為目的。黑客攻擊的工具有很多，攻擊方式也層出不窮，性質(zhì)惡劣。

2.3內(nèi)部威脅。內(nèi)部威脅主要發(fā)生在各種企業(yè)或公司內(nèi)部，他們并不像計算機病毒和黑客攻擊等有意為之，而是內(nèi)部計算機操作人員由于缺乏網(wǎng)絡安全意識，而導致的內(nèi)部操作方式不當而造成的計算機安全隱患。

2.4網(wǎng)絡釣魚。網(wǎng)絡釣魚其實按性質(zhì)來說，就是一種詐騙手段。只不過它是通過網(wǎng)絡建立虛假的WEB網(wǎng)站或者電子郵件等來盜取使用者的信息。常見的形式有網(wǎng)絡購物的促銷活動，各種抽獎活動和金錢交易等吸引人去點擊，然后騙取他們的身份信息和銀行卡號和信用卡密碼等私密信息，達到利用人們脆弱的心理防線來達成竊取信息的目的。從以上可以看出，網(wǎng)絡攻擊的形式多種多樣，盡管計算機網(wǎng)絡安全維護人員們已經(jīng)在竭盡全力的去尋找消滅他們的方法，但就拿計算機病毒來說，它就像生物病毒一樣，繁衍速度極快，種類也在無限的增長過程中，并且在攻擊過程中產(chǎn)生各種各樣的“病變”。也就是說，你研發(fā)一種對抗另外一種病毒的工具的速度也趕不上制造一種病毒的速度。但是，這并不是說我們就完全坐以待斃，等著網(wǎng)絡攻擊來侵害計算機網(wǎng)絡，我們需要借助科學嚴密的管理制度，創(chuàng)新精密的科學技術來盡可能的降低網(wǎng)絡安全風險。創(chuàng)造更加健全和穩(wěn)固的計算機網(wǎng)絡防范于未然，是我們從現(xiàn)在到未來一種奮斗的目標！

3.對于計算機網(wǎng)絡安全問題的防范措施

3.1加大資金投入，培養(yǎng)網(wǎng)絡技術人才。我們都知道，一個國家科技發(fā)展的速度直接影響這個國家的發(fā)展速度，高科技對于一個國家的發(fā)展起著至關重要的作用。面對層出不窮的計算機網(wǎng)絡安全問題，我們需要培養(yǎng)更過的網(wǎng)絡技術人才來創(chuàng)造和維護和諧的網(wǎng)絡環(huán)境。所以，為什么美國是世界上第一科技大國，這和他們對于科學技術人才的大力培養(yǎng)是有密不可分的關系的。

3.2強化安全意識和內(nèi)部管理。對于普羅大眾來說，計算機網(wǎng)絡安全隱患往往來自于自身對于網(wǎng)絡安全意識的不重視和對于網(wǎng)絡安全知識的匱乏，從而引起的操作不當導致計算機網(wǎng)絡安全的隱患，以及內(nèi)部管理人員竊取機密信息等不法行為。加強內(nèi)部管理主要從以下幾個方面入手：一是設置網(wǎng)絡密碼，并且時常更換密碼。這些密碼最好組成比較復雜，因為越復雜的密碼就越難攻破。二是設置訪問權限，這些訪問權限對于管理者來說，主要是用來區(qū)分管理階層的，什么身份的管理人員獲得什么樣的權限，最高的權限是為最高級別的管理者設置的，這么做是為了對計算機網(wǎng)絡數(shù)據(jù)信息進行更好的保密。設置訪問權限對于計算機網(wǎng)絡來說，不僅保護了路由器本身，并且保護了拓撲結構和計算機的操作和配置等。設置可信任的地址段從而防止非法IP的登陸。

3.3管理上的安全防護措施。這是指對網(wǎng)絡設備進行集中、高效、科學的管理，這些管理主要是對計算機硬件設備的管理，包括主干交換機，各種服務器，通訊線路，終端設備等。對這些設備進行科學的安裝和維護管理工作，是對網(wǎng)絡安全的一項重要措施。管理上的安全防護措施還來自的管理人員的規(guī)范。管理人員對于安全管理意識，安全管理技術和用戶安全意識的提升都直接影響網(wǎng)絡安全的健全。在工作生產(chǎn)中，如果網(wǎng)絡安全遭受到攻擊，管理人員良好的專業(yè)素質(zhì)和管理準備辦法都能技術抵御攻擊或者對攻擊過后的損失進行及時的補救。

4結論

篇10

關鍵詞：無線Mesh網(wǎng)絡 安全隱患 防御

中圖分類號：TP309 文獻標識碼：A 文章編號：1007-9416（2013）12-0189-02

無線Mesh網(wǎng)絡也就是無線網(wǎng)狀網(wǎng)，因為速率較高、容易組網(wǎng)和成本低廉的優(yōu)勢被大家熟悉和接受，被普遍應用于無線設備和互聯(lián)網(wǎng)的接入中。無線Mesh網(wǎng)絡最主要的意義，是能夠使任何網(wǎng)絡節(jié)點都具備接收和轉發(fā)數(shù)據(jù)的功能，并且能夠使每個節(jié)點都可以實現(xiàn)與一個或多個對等的節(jié)點直接進行通信。和無線局域網(wǎng)相比，無線Mesh網(wǎng)絡使用的是多跳機制，這就意味著用戶要實現(xiàn)通信就必須通過較多數(shù)量的節(jié)點，這在一定程度上大大增加了無線Mesh網(wǎng)絡的安全隱患。隨著無線Mesh網(wǎng)絡越來越廣泛地被應用，其安全問題已經(jīng)成為了急需研究的話題。

1 無線Mesh網(wǎng)絡的結構特點

無線Mesh網(wǎng)絡有別于傳統(tǒng)無線網(wǎng)絡技術，其無線電通信網(wǎng)絡是由網(wǎng)狀的拓撲射頻節(jié)點組成的。無線Mesh網(wǎng)絡所包含的節(jié)點可以分為三類，分別是客戶端、路由以及網(wǎng)關。其客戶端節(jié)點可以是傳統(tǒng)筆記本電腦，也可以是手機、ipad等無線設備，路由節(jié)點則利用自身組織或者預先配置的方式形成骨干網(wǎng)絡，為客戶端提供無線接口，網(wǎng)關節(jié)點則提供到網(wǎng)絡的訪問。由于無線Mesh網(wǎng)絡的通信網(wǎng)絡結構特點，能夠滿足當一個節(jié)點發(fā)生故障，其他剩余節(jié)點仍能夠直接或間接實現(xiàn)相互通信的要求，因此是一種比較可靠的數(shù)據(jù)通信方式。

2 無線Mesh網(wǎng)絡潛在的安全問題

無線Mesh網(wǎng)絡的結構特點使得其除了面臨傳統(tǒng)有線網(wǎng)絡安全的風險外，還面臨著其他特殊的安全隱患：

2.1 無線傳輸?shù)拈_放性使其安全面臨更大挑戰(zhàn)

通常情況下，要對有線網(wǎng)絡發(fā)起供給需要依賴于對物理通道的監(jiān)聽或以流量注入的方式發(fā)起攻擊。而無線網(wǎng)絡由于其開放性特點，使得黑客可以通過竊聽無線鏈路的信號、接收覆蓋范圍的節(jié)點發(fā)送的報文篡改數(shù)據(jù)等方式實現(xiàn)對網(wǎng)絡的供給，甚至可以直接發(fā)送無線干擾信號來對無線Mesh網(wǎng)絡造成破壞。

2.2 無線Mesh網(wǎng)絡認證的分散性使其更加容易受到攻擊

與傳統(tǒng)有線網(wǎng)絡不同，無線Mesh網(wǎng)絡缺少控制中心這樣的節(jié)點，導致對其進行安全管理變得困難。又由于其特殊的拓撲結構，使得網(wǎng)絡中節(jié)點之間的數(shù)據(jù)傳送變得不穩(wěn)定，已有的安全措施難以直接應用，安全認證變得困難重重。

2.3 無線Mesh網(wǎng)絡終端節(jié)點的兩重身份加大其安全威脅

在無線Mesh網(wǎng)絡中，非常特殊的一點在于其終端節(jié)點同時承擔著主機和路由器的角色因而既需要運行相關聯(lián)的應用程序，又需要遵守路由協(xié)議運轉。如果網(wǎng)絡內(nèi)部的節(jié)點要實現(xiàn)與網(wǎng)絡外部節(jié)點的通信，就必須依靠終端網(wǎng)絡節(jié)點的多跳機制參與，這意味著如果任何一個有多條通信鏈經(jīng)過的節(jié)點受到攻擊，都有可能給整個網(wǎng)絡的安全造成影響。

2.4 無線Mesh網(wǎng)絡獨特的路由機制給網(wǎng)絡攻擊提供更多機會

無線Mesh網(wǎng)絡的路由節(jié)點運行原理是多跳動態(tài)機制。攻擊者可以利用路由器的這一特點進行錯誤路由信息的傳播，整個網(wǎng)絡系統(tǒng)有可能因此陷入停運狀態(tài)。路由節(jié)點的這一特質(zhì)也使得DOS攻擊手段變得多樣化，通過虛假路由信息進行欺騙，實現(xiàn)蟲洞等形式的攻擊，更加隱蔽和防不慎防。

3 無線Mesh網(wǎng)絡常見的安全攻擊手段

有線網(wǎng)絡的攻擊手段仍可能對無線Mesh網(wǎng)絡造成威脅。同時，由于無線Mesh網(wǎng)絡的特殊性，使其還將面臨更多的威脅?？偟膩碚f，針對無線Mesh網(wǎng)絡的攻擊可能由網(wǎng)絡外部的惡意節(jié)點發(fā)起，也可能由內(nèi)部的被侵入的節(jié)點進行，手段比較多樣，且一些手法具有很強的隱蔽性，應該引起高度的重視。

3.1 竊聽

竊聽是一種比較傳統(tǒng)的攻擊方式，通常是其他網(wǎng)絡攻擊的基礎，在有線網(wǎng)絡時代已經(jīng)存在，通過竊取流經(jīng)網(wǎng)絡的計算機信號實現(xiàn)對網(wǎng)絡傳輸流的截取，對用戶的信息隱私造成威脅。由于無線網(wǎng)絡是以無線電為載體進行的，介質(zhì)具有公開向，理論上說流經(jīng)無線通信的每一個信息對于竊聽者都是可見的。如果用戶的數(shù)據(jù)沒有進行加密，竊聽者將非常容易地獲取到想要獲得的明文，再通過報文解析獲取信息。

3.2 DDoS進攻

DDoS是中文“分布式拒絕服務”的英文縮寫，其攻擊主要以干擾正常網(wǎng)絡通信，占用正常網(wǎng)絡帶寬為手段，以實現(xiàn)影響用戶網(wǎng)絡正常使用或?qū)е乱恍┕?jié)點對某種服務無法正常訪問。與傳統(tǒng)DoS不同，DDoS的攻擊更多是通過向目標主機傳輸大量的垃圾數(shù)據(jù)，造成其通信堵塞或服務器不堪重負，從而實現(xiàn)拒絕服務的目的，用戶對網(wǎng)內(nèi)資源的正常訪問受到嚴重影響。

3.3 中間人進攻

數(shù)據(jù)要實現(xiàn)通信必須在至少兩個節(jié)點之間傳輸，中間人進攻就是在兩個合法節(jié)點之間，利用一定手段對節(jié)點雙方以欺騙的方式獲取通信內(nèi)容。對于底層的無線Mesh網(wǎng)絡，這種以中間人的身份進行的進攻是非常突出和致命的。中間人進攻對于無線Mesh網(wǎng)絡的各個傳輸線路都可能造成嚴重的危害。攻擊者可以通過這種欺騙手段獲得累積的明文甚至加密文件，在此基礎上進行分析，就可能對網(wǎng)絡密匙實現(xiàn)破解。

3.4 路由節(jié)點進攻

路由機制的實現(xiàn)需要內(nèi)部節(jié)點的相互合作。如果內(nèi)部節(jié)點被利用改造成惡意節(jié)點，就可能向其他節(jié)點發(fā)送虛假信息，或者偽造其他節(jié)點的路由信息，對整個網(wǎng)絡系統(tǒng)造成嚴重破壞。由路由節(jié)點發(fā)起的進攻具有很大的隱蔽性，在爆發(fā)前通常難以被發(fā)現(xiàn)，引起破壞性非常大。目前針對無線Mesh網(wǎng)絡路由機制的進攻主要通過以下幾種方法：

（1）黑洞。黑洞攻擊是通過惡意節(jié)點對外偽裝具有最短路勁，欺騙其他節(jié)點與其建立路由連接。在連接建立之后，惡意節(jié)點將利用竊聽或者吞噬需要轉發(fā)的數(shù)據(jù)，造成數(shù)據(jù)分組丟失的拒絕服務。

（2）蟲洞。蟲洞攻擊的原理是通過兩個處于同一網(wǎng)絡但位置不同的惡意節(jié)點之間繞路信息的交換，導致通過惡意節(jié)點的跳躍數(shù)的減少，以此換取獲得路權機會的增加。這種攻擊可能導致路由擾，正常的通信無法進行。

（3）篡改數(shù)據(jù)。對數(shù)據(jù)的篡改通常很難被檢測。這種攻擊是由惡意節(jié)點在報文上動手腳，修改報文的內(nèi)容，從而造成該報文在目標節(jié)點上的認證失敗，或者使攻擊者獲得需要信息。

（4）自私節(jié)點。自私節(jié)點是指在整個網(wǎng)絡系統(tǒng)中為了盡可能地滿足本節(jié)點的需求，而拒絕為其他節(jié)點提供中繼服務的節(jié)點。如果攻擊者制造出大量的自私節(jié)點，就可能造成網(wǎng)絡系統(tǒng)較大面積的停止運行。

（5）女巫攻擊。這種策略是指一個惡意節(jié)點使用一個物理設備但是卻偽造了多個身份，造成一定的迷惑性，使得路由協(xié)議的運行受到干擾，網(wǎng)絡資源的分配也可能出現(xiàn)問他，從而影響系統(tǒng)的正常運行。

4 無線Mesh網(wǎng)絡的安全防御

針對上述無線Mesh網(wǎng)絡面臨的安全問他，可以采取適當?shù)拇胧┻M行防護，最大程度降低破壞的發(fā)生，保障系統(tǒng)的相對安全。

4.1 針對竊聽的防范措施

從竊聽攻擊的發(fā)動原理可以看出，無線Mesh網(wǎng)絡的竊聽風險主要是由于無線介質(zhì)的開放性造成的，其防御也是利用這一原理，盡量減少其開放性帶來的威脅。一方面，可以利用定向天線技術和擴頻技術等手段，減少惡意破壞者接收到完整信號的幾率。另一方面，采取數(shù)據(jù)加密，保證節(jié)點的認證和路由信息都受到網(wǎng)絡密鑰的支撐。

4.2 DDoS攻擊的防范措施

如果網(wǎng)絡節(jié)點已經(jīng)受到了DDoS攻擊，再進行防御產(chǎn)生的效果是不盡如人意的。因為當意識到有大量垃圾數(shù)據(jù)向其傳輸?shù)臅r候，網(wǎng)絡很可能已經(jīng)因為通信量超過負荷而陷入癱瘓。此時只有及時進行相關檢查進行抵抗。第一，是盡力找出進攻的發(fā)源，及時關閉相關設備。第二，是查處攻擊經(jīng)過的路由，再有針對性的進行屏蔽。由于DDoS攻擊通常是惡意的網(wǎng)絡擁堵，并非傳統(tǒng)意義上端口到端口的擁堵，因此單獨節(jié)點上的有效防范難以實現(xiàn)，需要通過路由來解決。一個比較可行的方法是在每個節(jié)點上加入檢測攻擊，或者選擇分組丟失功能。另外使用資源調(diào)節(jié)器也可以對資源耗盡類型的DDoS攻擊達到比較好的防范目的。

4.3 中間人攻擊的防范措施

中間人攻擊之所以能夠成功，關鍵原因是任何一個無線Mesh網(wǎng)的節(jié)點都被允許既是申請者同時又是認證者。利用這一原理，運用身份簽名技術，采取挑戰(zhàn)簽名及以及驗證的方法實現(xiàn)雙向認證，能夠較好地防御中間人攻擊這一手段。具體來說，當每一個節(jié)點新加入到整個網(wǎng)絡系統(tǒng)中時，必須向其相鄰的節(jié)點發(fā)出認證，通過認證的節(jié)點蔡有資格進入。這就使得節(jié)點只具備一種身份，新加入的節(jié)點為申請者，而其相鄰的節(jié)點則成為認證者。

4.4 路由攻擊的防范措施

（1）黑洞攻擊的防范。要預防黑洞攻擊的發(fā)生，最可靠的辦法是找出黑洞節(jié)點。使用者可以利用對無線網(wǎng)絡進行監(jiān)聽的方法來實現(xiàn)對黑洞節(jié)點的檢測和排查。監(jiān)聽的原理如下：由于無線信號的傳播是全向的，當源節(jié)點向非目的節(jié)點發(fā)送數(shù)據(jù)分組的時候，非目的節(jié)點會根據(jù)路由信息轉發(fā)這一數(shù)據(jù)分組，其他節(jié)點包括源節(jié)點在內(nèi)，都肯定能夠收到來自非目的節(jié)點轉發(fā)的這一數(shù)據(jù)分組，從而可以由源節(jié)點對非目的節(jié)點轉發(fā)的數(shù)據(jù)分組的數(shù)量進行檢測，以此作為依據(jù)判斷非目的節(jié)點為黑洞節(jié)點的可能性大小。

（2）蟲洞攻擊的防范。針對蟲洞攻擊當前已經(jīng)有了一些比較成熟的防范。比較常使用的是地理束縛和時間束縛、計算鄰居數(shù)目分布以及基于鄰居信任的評估。

（3）數(shù)據(jù)篡改的防范。目前對于數(shù)據(jù)篡改類的網(wǎng)絡攻擊，比較常用的方法是對路由信息進行加密以及采用數(shù)字簽名的方法。為了避免被惡意俘獲的節(jié)點利用路由進行網(wǎng)絡攻擊，用戶應該定期和非定期地對路由表以及選擇方式進行更新，確保正確的路由選擇。

（4）自私節(jié)點攻擊的防范。自私節(jié)點攻擊的防范可以通過對自私節(jié)點的排查和檢測進行方法。目前比較流行的檢測方法有基于上下文感知的排查法、中心極限定理（CLT）檢測算法以及基于滑動窗口的殘差閡值測算法等。

（5）女巫攻擊的防范。如果能夠?qū)?jié)點的身份進行有效的識別和檢測，女巫攻擊就能夠得到有效的防范。其檢測的標準時能夠確保每個節(jié)點有效并且只具備一個物理身份。當前比較流行的方法有網(wǎng)絡密鑰預分配和節(jié)點定位等。

隨著無線Mesh網(wǎng)絡的應用和推廣，其面臨的安全隱患引起人們越來越多的關注，針對無線Mesh網(wǎng)絡進行的攻擊也更加多樣，其中一些具有很強的隱蔽性，能夠?qū)φ麄€網(wǎng)絡系統(tǒng)造成較大的破壞。本文在簡單介紹無線Mesh網(wǎng)絡特性的基礎上，主要針對其存在的安全隱患進行分析。介紹了幾種主要的攻擊手段，并提供了相應的防御方法。這些方法能夠比較有針對性地防范一種或幾種攻擊，但從長遠來看，要真正打破無線Mesh網(wǎng)絡的安全瓶頸，還是應該從無線Mesh網(wǎng)絡的網(wǎng)絡協(xié)議入手，構建安全穩(wěn)定的網(wǎng)絡框架結構，從根源上堵塞安全漏洞。

參考文獻

[1]郭淵博，楊奎武，張暢.無線局域網(wǎng)安全：設計與實現(xiàn)[M].北京：國防工業(yè)出版社，2010.

[2]劉振華.無線Mesh網(wǎng)絡安全機制研究.中國科學技術大學博士學位論文，2011.