宋刚 张烈平

桂林理工大学信息科学与工程学院 广西 541004

0 引言

随着世界信息化进程的日益加深，计算机网络在我国信息化发展中发挥着举足轻重的作用，并在社会发展、国民经济等各个领域广泛应用。从科学计算、数据处理，到办公自动化、经济管理，再到情报检索、自动控制、模式识别等各行各业的信息在日益革新的网络技术的推动下，不断朝着数字化、网络化的方向发展。信息时代，对于一个国家、企业而言，网络信息系统无疑是其取得飞速发展必备的基础设施和重要途径，也是企业营销、物流、金融、机械设计与现代制造、能源等众多行业的核心与支柱。人民的日常生活、娱乐、消费更是与互联网息息相关。网络技术在给我们现代化建设带来了方便、快捷之余，由于人们对网络信息资源的开放与共享的需求日益增加，以及网络本身具有的开放性、自由性和国际性等特点，同时也给计算机网络安全提出了巨大挑战。因此，我们要充分了解当今计算机网络存在的安全现状和隐患，并针对具体问题提出有效的解决方案和解决途径，从而保障网络信息通道的安全畅通，以维护互联网各方面的稳定发展。

1 网络信息概念及安全现状

计算机网络安全是指利用现有的信息网络技术和国家相关管理制度，保证信息化数据在网络传输中不被破坏和窃取，以致私密信息泄露及非授权的被他人中断、截获、篡改、伪造、威胁、利用和信息数据被非法的系统辨认、控制等。计算机网络安全包含物理安全和逻辑安全两个方面，物理安全是指系统设施及相关设备受到空间上的保护，避免人为破坏、盗取等。逻辑安全包括信息数据的机密性、完整性、可用性、真实性和可控性。

依据中国互联网络信息中心(CNNIC)发布的《第29次中国互联网络发展状况统计报告》显示，截止2011年底，中国网民规模达5.13亿，互联网普及率为38.3%，较去年年底增加5580万；手机网民规模达3.55亿，较去年年底增加5285万；网民网络购物用户达到1.94亿人，交易额达到5.88万亿元，占据社会消费品零售总额的比重达到4.3%。从上述数据可以看出，人们无时无刻的都在应用计算机网络，然而，Internet恰似一把锋利的双刃剑，网络空间的安全问题日渐突出，计算机网络信息系统缺陷和漏洞层出不穷，屡禁不止。

2 网络信息安全隐患及防范措施

2.1 网络协议

网络协议是计算机之间为了实现互联，相互遵守的规则。作为当前互联网最基本的底层协议---TCP/IP协议，由于在设计时，人们过多的强调其开发性和便利性，并没有考虑其未来的安全需要，所以，协议中潜伏着许多安全漏洞，同时也为日后的互联网应用埋下了安全隐患。

在DDoS攻击中通过消耗目标主机的资源，例如导致监听队列溢出，使其不能正常的提供服务。

如图1所示，攻击者通过操控网络上多台主机，使得这些主机与目标Web服务器建立连接。首先，被控制的主机向目标服务器发送TCP/IP SYN(初始化/同步)包，这些信息包的来源IP地址都是虚假的、错误的。其次，对于每一个SYN(初始化/同步)包，Web服务器都需要对发送端做出响应，即向发送端回发一个SYN/ACK(同步/确认)包，然后对这个虚假的IP地址建立一个TCP连接。对于任何一个SYN请求，Web服务器都会为其创建并维持一个数据结构，当对方收到响应时，服务器端才能结束。但是对于大量的请求连接，Web服务器会由于无法处理而拒绝用户的请求连接。而用户并不知道服务器端发生了什么情况，所以就会一直等待这个连接响应。通过以上方式，攻击者达到了破坏连接的作用，或在此过程中趁机插入破坏性的数据，则会造成更加严重的后果。

图1 分布式SYN flood攻击

IP协议在互联网络之间提供无连接的数据包传输。IP协议在发送IP数据包时，不对IP头中的源地址项做任何检查，导致许多攻击者利用IP欺骗伪造IP地址进行非法攻击，使自己不被发现。

目前，能够防止SYN FLOOD攻击的有效方法并不多。为了防止SYN FLOOD攻击，我们可以为系统打上补丁，一种称为SYN Cookie的技术可以防范来自SYN FLOOD的攻击。SYN Cookie是作用于TCP服务器端的三次握手协议，对协议机制进行一部分修改，使得合法连接可以正常进行。对于IP欺骗攻击，我们可以采用出口过滤技术对来自该IP数据包的IP源地址进行检验。若IP源地址不符合规范，则该IP包就被网关或路由器拒绝。还可以利用防火墙技术来检验来自外部的IP数据包，若数据包的IP不属于防火墙内的任何一个子网，该IP数据包就不能通过防火墙。

2.2 网络攻击

2.2.1 电子邮件攻击

电子邮件攻击是一种常用的网络攻击手段，也是目前商业应用最多的一种商业攻击。其实质是攻击者利用虚假的IP地址和伪装自己的电子邮件地址反复向同一信箱发送数以万计的甚至更多内容相同的恶意信息，即垃圾邮件，从而占用大量的系统的可用空间和资源，使服务器无法正常工作，甚至瘫痪。以上阐述通常称为电子邮件炸弹。对于电子邮件攻击还有另外一种方式就是电子邮件欺骗。攻击者通过伪装自己的邮件地址假冒系统管理员给用户发送电子邮件，在该电子邮件中附带一些病毒和木马程序，只要用户点击邮件中的超链接就会进入攻击者的圈套；有时，邮件中还要求用户修改口令等。

为防止电子邮件攻击，我们应加强自己的防范意识，不要把自己的电子邮件地址随意的告诉陌生人或者公开自己的隐私信息，更不要随意的打开来历不明的电子邮件及附件。事实上，最有效的办法就是使用加密签名技术，通过验证可以保护信息从正确的地址发过来，而且在传送过程中内容不被修改。

2.2.2 口令入侵

口令入侵是指利用一些合法用户的账户和口令登录到目的主机，然后实施攻击活动。许多系统的安全性一般都是靠口令来维护的，通过口令验证用户身份。口令入侵就是把对目标口令的破解作为对目标系统攻击的开始。这种网络攻击的前提是取得目标主机上合法用户的账号，再进行合法用户口令的破译。攻击者可以通过多种途径获得普通用户的账号：①利用Finger协议，当用命令finger [选项] [使用者] [用户@主机]查询时，主机系统会在终端或计算机上显示已经保存的用户资料，例如上次登录时间、电子邮件地址、用户名、登录时间等。②运用X.500(名录服务系统)协议，攻击者常常会利用没有停止X.500服务的主机，通过目录查询服务获得用户信息。

在Windows系统中，可以通过设置密码最长期限、最短密码长度、最短密码期限、密码惟一性、账号锁定等安全的密码侧率来进行设置，也可以启动“用户必须先登录才能修改密码”的选项，提高抗口令猜测攻击的能力。

2.2.3 网络监(窃)听

网络监听是实现对网络中纷繁复杂的状态、不同环境下的信息传输以及数据的采集、输入、处理、加工和输出的一种管理工具，它可以将网络状态转换到监听工作模式，截获我们需要的信息数据。网络监听作为主机的一种工作模式，主机在这种环境模式下，对于本网段传输在同一条物理信道上的信息数据，可以轻松获取。例如，攻击者在系统服务器和用户之间进行口令校验通讯时，利用监听手段就可以截取密码数据，对用户账户进行攻击，进而给用户带来了不必要的利益损失。假设两台主机进行通信时，信息数据没经过加密技术处理，此时，只要使用某些网络监听工具(如Sniffit for Linux、Sloaries、NetXRay for Windows95/98/NT)就可轻而易举地截取包括口令和账号在内的信息资料。网关、路由器、防火墙等设备是监听最佳的地方，但是对于一个攻击者来说，要攻破网关、路由器、防火墙的防护不是一件很容易的事，为了更好的监听网络状态，防止黑客们的恶意攻击，可以利用一些安装了专业监听软件的设施对网络进行时时监控。

2.2.4 特洛伊木马

特洛伊木马是指在正常代码程序中的一段或几段具有特别功能的程序，它的隐藏性非常好，不易被觉察，是一种极为危险的网络攻击手段。一套完好无缺的特洛伊木马程序由服务器端(服务器部分)和客户端(控制器部分)两部分组成。黑客利用用户的疏忽大意或系统的漏洞，将木马程序(服务器部分)植入到用户的电脑内，并开放一个自定义端口。通过客户端连接到该端口，通过这个非法的端口实现与目标机器的通讯，进而可以监控用户的操作或者直接对用户的机器进行一些非法的操作活动。

木马可以非法夺取用户的权限，即在没有通过用户允许的情况下获得了对用户电脑的操控权。木马程序容量很小，运行时不会浪费很多资源，在没有使用杀毒软件的情况下是很难察觉的；运行时很难阻止它的行动，运行后，立刻自动登录在系统引导区，之后每次在Windows加载时自动运行；或立刻自动变更文件名，甚至隐形；或马上自动复制到其他文件夹中，运行连用户本身都无法运行的动作。

木马的种类繁多，但在网络中被广泛传播的只有少数几种，如冰河、NETBUS、Subseven等。对付木马病毒最重要的注意预防，定期用杀毒软件检查电脑里的文件(杀毒时，要注意软件的病毒库是最新的，以此确保不会漏杀)；对于来源不清楚的软件不要轻易安装和使用；还有，在安装新的软件之前，先备份注册表，软件安装完毕，立即用杀毒软件查杀，如果报告有病毒，则进行杀毒并重启计算机，并恢复之前备份的注册表。

2.3 网络病毒

计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中被明确定义，病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。

所有的病毒都能感染有可执行代码的程序或文件、通过网络传播、消耗内存，减缓系统运行速度、造成引导失败或破坏扇区、感染防毒程序、影响程序的运行方式、引发硬盘被重新格式化。按照病毒存在的媒介或载体大致可以分为以下几类。一是，引导扇区病毒。此类病毒存放于引导区和软、硬盘主引导区上。二是，文件感染病毒。通常，该类病毒通过感染计算机系统中的以.exe结尾的可执行文件或者以.com结尾的命令文件；在用户对染毒文件进行修改或运行时，潜伏在文件中的病毒就会达到传播的目的。三是，混合型病毒。混合型病毒相对于上述两种病毒来说破坏性更强。例如，Winux病毒，既可以感染Windows，也能感染Linux。

计算机病毒代码的结构一般含有三大功能模块，即引导模块，传染模块和破坏模块(又叫表现模块)。引导模块将病毒由外存引入内存，在传染和破坏模块中，各自包含一段触发条件检查代码，检查是否符合传染触发条件和破坏触发条件，由此使后两个模块处于活动状态。经过传染模块将病毒传染到其他数据对象上去，再通过破坏模块实施病毒的破坏作用。

病毒的防范：①安装防病毒软件，并保证病毒库版本为最新；②启用宏病毒警告，出现提示时，若不能肯定宏的内容是否安全，应使用“禁用宏”选项；③设置CMOS中程序的启动顺序，将启动顺序改为，首先从硬盘启动而不是从软盘启动。因为引导扇区病毒能够感染系统的惟一途径是计算机从一个感染有病毒的软盘中启动而不是从硬盘上的主引导记录(MBR)中启动。④及时修补系统和应用软件的安全漏洞，及时下载和安装补丁修复漏洞，切断病毒入侵的渠道。

2.4 用户安全意识

为了维护计算机网络安全，人们不仅在技术上采取措施，还应该加强用户对网络信息安全的意识，通过多方面的努力做好网络信息安全预防。为了加强我国对计算机网络信息安全的防护，国家信息化领导小组在2005年制定的《国家信息化发展战略(2006～2020年)》中明确要求，注重建设信息安全保障体系，实现信息化与信息安全协调发展。

2012年5 月26 日至27日，“2012网络犯罪与社会安全(中国)论坛”在上海召开。会议的主题为：网络安全的发展现状及解析。据悉，来自全球14个国家和地区的企业和行业代表就网络违法犯罪及网络支付安全、电商网购安全、网络数据及隐私保护的最新对策、净化互联网环境的最新举措、黑色产业链 及WEB应用安全防护、美国网络外交战略与行动等多个单元进行研讨。

2012年5 月31 日下午，由工业和信息化部、国家发改委、科技部、国家外国专家局和北京市人民政府共同主办，工业和信息部电子科学技术情报研究所承办的，面向“十二五”时期的信息安全产业“2012中国信息安全产业创新发展论坛”在北京举行。 会议上就促进信息安全产业发展和提升信息安全保障能力及信息安全宏观策略等相关问题进行探讨，并对下一代安全体系进行了展望。

我国每年都在不同程度上制定了信息安全的相关标准。早在2000年，国家制定了开放系统互联网网络层安全协议等标准，并且我国保密局出台的《计算机信息系统国际联网保密管理规定》已经开始实施，我国公安部颁布并实施了《计算机病毒防治管理办法》等；2010年国家还颁布了《信息安全技术 基于互联网电子政务信息安全实施指南》、《信息安全技术 信息安全风险管理指南》、《信息安全技术 信息安全应急响应计划规范》等一系列标准。

3 结论

网络信息化的时代改变了我们每个人的生活方式，成为社会生产不可分割的一部分，网络环境纷繁复杂，层出不穷的网络安全问题直接危害着国家安全和社会稳定。因此，我们应运用多种技术手段，及时采取有效措施，早日实现网络的规范化管理，使得用户的权益切实得到保障。

[1] 杨新蕾.计算机网络信息安全及其防护策略的研究[J].电脑知识与技术.2009.

[2] 杨旭.计算机网络信息安全技术研究[D].南京理工大学.2008.

[3] 冯登国,赵险峰.信息安全技术概论[M].北京：电子工业出版社.2009.

[4] Kwo-Jean Farn,Shu-Kuo Lin, Andrew Ren-Wei Fung.study on in-formation security management system evaluation—assets,threat and vulnerability[J].Computer Standards & Interfaces.2004.

[5] B.C. Soh,S.Young.Network system and world wide web secu-rity[J].Computer Communication.1998.