网络空间安全---计算机网络安全概述

现如今是一个信息化的社会，网络空间安全十分重要。

1、计算机常见的风险

黑客的攻击手段层出不穷，根据攻击对象、安全弱点的不同，攻击者所采用的方法也千变万化。下面将介绍一些常见的攻击方法。

1.利用漏洞

利用漏洞是指利用特定的操作，或使用专门的漏洞攻击程序，利用操作系统、应用软件中的漏洞，可入侵系统或获取特殊权限。

溢出攻击

溢出攻击是利用漏洞的一种攻击方法，它通过向程序提交超长的数据，结合特定的攻击编码，可以导致系统崩溃，或者执行非授权的指令，获取系统特权等，从而产生更大的危害

SQL注入

SQL注入是一种典型的网页代码漏洞利用。大量的动态网站页面中的信息，都需要与数据库进行交互，若缺少有效的合法性验证，则攻击者可以通过网页表单提交特定的SQL语句，从而查看未授权的信息，获取数据操作权限等

2.暴力破解

暴力破解多用于密码攻击领域，即使用各种不同的密码组合反复进行验证，直到找出正确的密码。

3.木马植入

木马植入是指向受害者系统中植入并启用木马程序，在用户不知情的情况下窃取敏感信息，甚至于夺取计算机的控制权。当访问一些恶意网站、聊天工具中的不知名链接、或者使用一些破解版软件等都有可能被悄悄植入木马。

木马程序好比潜伏在计算机中的电子间谍，通常伪装成合法的系统文件，具有较强的隐蔽性、欺骗性，基本都具有键盘记录甚至截图功能，收集的信息会自动发送给攻击者。

4.病毒/恶意程序

与木马程序不同的是，计算机病毒、恶意程序的主要目的是破坏(如删除文件、拖慢网速、使主机崩溃、破坏分区等)，而不是窃取信息。

其中病毒程序具有自我复制和传染能力，可以通过电子邮件、图片和视频、下载的软件、光盘等途径进行传播；而恶意程序一般不具有自我复制、感染能力等病毒特征。

5.系统扫描

实际上扫描不算是真正的攻击，而更像是攻击的前奏，其方式是通过攻击软件来探测目标网络或主机的过程。通过扫描过程，可以获取目标的系统类型、软件版本、端口开放情况、发现已知或潜在的漏洞。

攻击者可以根据扫描结果来决定下一步的行动，如选择哪种攻击方式，使用哪种软件等；防护者可以根据扫描结果采取相应的安全策略，封堵系统漏洞，加固系统和完善访问控制。

6.DoS

DoS(拒绝服务)全称为Denial of service，指的是不管通过什么方式，最终导致目标系统崩溃，失去响应，从而无法正常提供服务或资源访问的情况。导致拒绝服务的手段可以有很多，包括物理破坏、资源抢占等。

DoS攻击中比较常见的是洪水方式，如SYN Flood，Ping Flood。

SYN Flood

SYN Flood攻击利用Tcp协议三次握手的原理，发送大量伪造源IP地址的SYN，服务器每收到一个SYN就要为这个链接信息分配核心内存并放入半连接队列，然后向源地址返回SYN+ACK确认包，并等待其返回ACK。由于源地址是伪造的，所以源端永远都不会返回ACK，如果短时间内接收到的SYN太多，半连接队列也就会溢出，操作系统就会丢弃一些连接信息。这样客户发送的正常SYN请求也会被服务器丢弃。

Ping Flood

Ping Flood是通过不断地向目标发送大量的数据包，导致对方不断的回复数据包，从而导致对方的网络瘫痪，带宽耗尽，从而无法提供正常的服务。

DDoS

DDoS是分布式拒绝服务(Distributed Denial of Service)，是DoS攻击方式的加强版，其攻击方不再是一台主机，数量上呈现规模化，可能是被发起者所控制的分布在不同网络、不同位置的成千上万的主机。

7.网络钓鱼

即伪造一个与真正的网站几乎一模一样的网站，从而骗取受害者的敏感信息。

8.MITM

MITM即中间人攻击(Man-In-The-Middle Attack)，是一种古老且至今依然生命旺盛的攻击手段。MITM攻击就是攻击者伪装用户，然后拦截其他计算机的网络通信数据，并进行数据篡改和窃取，但是通信双方并不知情。常用的方法有ARP欺骗、DNS欺骗等。

ARP欺骗

ARP是地址解析协议，根据IP地址获取物理地址的一个TCP/IP协议，用来寻找目的主机的MAC地址

由于交换机中有一个arp缓存表，攻击者向交换机不断发送伪装的arp应答报文，就会造成以假乱真的效果，导致arp缓存表中的mac地址发生变化，从而使发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗

2、计算机网络信息安全体系

根据安全攻击与防护对象的不同，信息安全的基本分类包括物理安全，系统安全，网络安全，数据安全和人为因素。

1.物理安全

物理安全考虑的对象主要是各种硬件设备，机房环境等物质载体，也可以称物理安全为硬件安全。

2.系统安全

系统安全考虑的对象主要是操作系统，操作系统是计算机中最基本，最重要的软件，以及路由交换设备的网际操作系统等。操作系统承担着协调CPU、内存、磁盘存储等硬件资源，为用户提供应用环境和服务的核心任务，因此是信息安全中最核心的防攻对象。

系统安全的风险来自于各种软件或所开放服务中的漏洞，忽视账号及权限管理、弱口令，以及潜伏在各种应用程序、多媒体文件中的木马和病毒等。

在网络环境中，网络系统的安全性依赖于网络中各主机系统的安全性，而计算机系统的安全性正是由其操作系统的安全性所决定的，没有安全的操作系统的支持，网络安全也毫无根基可言。所以操作系统安全是计算机安全体系的基础。

3.网络安全

网络安全考虑的对象主要是面向网络的访问控制。各种路由交换设备、服务器、工作站等并不是孤立的个体，而是需要通过网络来提供服务。

4.数据安全

数据安全考虑的对象是各种需要保密的文档信息。

5.人为因素

人为因素是网络安全的极大隐患，可通过如下措施避免：
1.钓鱼网站、恶意软件是造成用户密码泄露和数据丢失的罪魁祸首，所以，应该时刻做到不访问可疑网站等。
2.在CMOS中禁用USB接口和光驱，并给BIOS设置密码，可以杜绝非法用户修改CMOS设置进入系统。CMOS是主板上用来保存计算机基本启动信息（如日期、时间、启动设置等）的芯片。用来保存BIOS的硬件配置和用户对某些参数的设定

3、操作系统安全级别

级别	系统的安全可靠性
D	没有安全防护
C1	自主存取控制
C2	较完善的自主存取控制、审计
B1	强制存取控制
B2	良好的结构化设计、形式化安全模式
B3	全面的访问控制，可信恢复
A1	形式化认证，安全级别最高

表中的操作系统级别依次增高。其中，达到C级标准的操作系统即可称为安全操作系统。平时我们接触的Window Server和Linux都属于C2级别

4、常见的解决方案

1.系统漏洞

系统漏洞主要包括两个方面的内容：1是不安全的服务，2是配置与初始化错误。

不安全的服务

每次启动windows时 ，会有很多服务被调入系统内存，windows服务可以看做运行于后台的应用程序，他们可用来控制windows系统的硬件设备、文件管理或者其他重要的系统功能。可以将windows开机启动中不需要额服务停止掉，可以在一定程度上避免系统风险

配置与初始化错误

windows系统中包含许多默认的设置和选项，允许管理员进行更复杂的管理。这些系统默认值可以被有经验的黑客用来渗透系统。例如，windows系统处于管理的目的会自动建立共享，包括C盘，D盘和系统其它的逻辑分区的默认共享，可用如下命令去查看本机的共享内容

net share

应对措施：可以建立一个启动脚本将系统默认的共享删除。打开一个新记事本，在其中输入以下命令，然后保存并命名为"delshare.bat":
文件内容如下：

net share C$ /del
net share D$ /del
net share ADMINS$ /del

然后将此文件拖放到"开始"–>“程序”–>"启动"中，下次开机就会删除Windows中的磁盘分区的默认共享

这里以单个删除为例：

2.服务安全

系统默认开启的很多服务都是不必要的，多余的服务会给系统带来一定的安全隐患，可以根据自身的需求，将多余的服务停掉。

3.身份验证

身份验证是确认该用户是否合法和可靠的途径之一

4.账户管理

通过设置安全性高的密码，来增大密码破解的难度。

5.权限管理

权限是指定某个特定的用户具有特定的系统资源使用权利。一般而言，高权限的用户越少越好，用户的权限越低越好。

6.日志管理

日志文件记录着系统及其各种服务运行的每个细节，对于系统管理员及网络管理相当重要，对增强系统的稳定性和安全性也有至关重要的作用。

若系统中的事件建立和审核机制，该事件的操作都会被记录到相应的日志文件中，通过这些日志，管理员就可以分析当时操作系统所处的应用状态、故障可能产生的原因。可以通过日志文件跟踪系统的错误，为解决问题大下基础。

7.数据文件的保护

可以通过定时备份已经文件加密的方式对文件进行保护操作

8.防止有害程序的危害

在计算机的有害程序中，病毒、代码炸弹和特洛伊木马是常见的几种破坏形式

病毒

病毒是把自己的备份附着于机器中另一程序上的有害代码。通过这种方式病毒可以进行自我复制，并随着它所依附的程序通过网络、光盘、移动存储等在机器间进行传播。

代码炸弹

代码炸弹又称逻辑炸弹，是一种具有杀伤力的代码，不会像病毒一样四处传播。其原理是一旦到达设定的日期或者在机器中发生了某种操作，引发炸弹，那么代码炸弹就会被触发并且开始产生破坏性行为。

特洛伊木马

特洛伊木马是一种典型的黑客程序，一旦被安装到机器上，就会按照开发者的意图行事。
特洛伊木马能够摧毁数据，有时候会伪装成系统上已有的程序，有时候会创建新的用户名和口令。可以使受攻击的计算机系统损坏，数据丢失，还可以通过木马程序控制被攻击的计算机系统，盗窃被攻击的计算机系统中的重要信息和数据。

可以通过安装杀毒软件、定期的病毒查杀、启用防火墙设置。但是需要注意的是，防火墙并不能阻止已受到病毒感染的文件的传输。

5、企业面临的威胁

企业网络的组成大致可以分成3个层次，网络设备层(包含路由器和交换机)、操作系统层和应用服务层

网络设备层面临的威胁

路由器是企业网接入互联网的最外层网络设备。所有的网络攻击都要经过路由器。要么是利用路由器的缺陷展开攻击，要么是在路由器上展开攻击。
如发送虚假路由信息，使路由表、路由器混乱；或通过改变自己的IP地址来伪装成企业局域网用户或可信任的外部网络用户，发送特定的报文以及扰乱正常的网路数据传输；或者伪造一些可接受的路由报文来更改路由信息；还可以利用路由器软件的漏洞，通过查询特定的端口来进行攻击等方式

操作系统面临的威胁

操作系统为整个系统管理和应用的基础。其地位非常之高，以下列举几个针对操作系统的漏洞进行攻击的例子。

1.IPC$入侵

IPC$入侵即“管道入侵”，是windows操作系统特有的一项管理功能，用来在两台计算机进程之间建立通信连接。通过该功能，一些网络程序的数据交换可以建立在IPC上，实现远程访问和管理主机。

利用IPC$入侵的前提是已经获得目标主机管理员的账号和密码，然后使用命令将远程主机的磁盘分区映射成本地的磁盘分区，从而在本地对远程主机执行任意操作。

2.处理本地缓冲区溢出漏洞

windows内核消息处理本地缓冲区溢出漏洞可能导致本地用户权限的提升，入侵者先以普通用户的身份交互登录到操作系统，然后植入专门的溢出工具，利用该漏洞进行权限的提升并使之拥有管理员的权限，从而达到完全控制系统的目的。

应用服务器面临的威胁

现代应用服务可以有很多种，比如有web服务器、电子邮件服务器、mysql服务器等。
web服务器主要是通过软件的漏洞，让其获得系统管理员的身份从而进入网内站点；电子邮件服务器主要是通过邮件的收发途径，从而拦截或者是截取邮件的内容；mysql服务器主要是通过系统管理员的密码，从而将其暴露在网络中。

6、常见的网络攻击

网络攻击常见的有利用网络协议或者是系统漏洞进行攻击

利用网络协议攻击

因为数据包其所有的传输都是在网络中进行的，并且都是需要遵循必要的协议，因此很多黑客都是利用网路协议对网络进行攻击。如ARP、SYN Flood攻击、DDoS攻击、TCP半连接
TCP协议漏洞及解决方案

利用系统漏洞攻击

利用系统漏洞攻击需要借助工具软件，PsTools是一款安全管理工具套件，其中的工具简要介绍如下：

工具名称	作用
1.PsEcec	远程执行进程
2.PsFile	显示远程打开的文件
3.PsGetSid	显示计算机或用户的SID
4.PsInfo	列出有关系统的信息
5.PsKill	结束进程
6.PsList	列出有关进程的详细信息
7.PsLoggedOn	查看登录在本地的用户
8.PsLogList	导出事件日志记录
9.PsPasswd	更改账户密码
10.PsService	查看和控制服务
11.PsShutdown	关闭并重启计算机
12.PsSuspend	暂停进程

注意：
1.SID全称安全标识符，是标识用户、组和计算机帐户的唯一的号码，相当于Linux系统中的uid
2.PsExec是PsTools中最强大最常利用的工具，可以替代Telnet进行远程操作计算机，且使用者无需安装客户端就可以远程操作服务器。但是需要注意的是，不允许空密码登录
登录命令：

psexec \\hostnameip -u username -p password cmd.exe

使用上面的命令，会自动登录到ip地址为hostnameip的主机上，并且为其分配一个命令提示符，从而可以在远程操控该主机。

7、网络安全的解决方案

1.加固操作系统

通过打补丁的方式来堵上系统漏洞

2.安装防病毒软件

因为网络病毒有很强的传播性，且破坏性很强，所以需要安装病毒防火墙，定期更新病毒库发现和查杀病毒

3.部署防火墙

防火墙可以对进出内网的数据包进行筛选，按照事先定义的安全策略选择允许或者拒绝其通过。从而达到控制网络安全的措施

4.部署入侵检测系统

入侵检测系统能够对网络或者操作系统的可疑行为作出反应，及时切断入侵源，并通过各种途径通知网络管理员，最大幅度地保障系统安全