浅析基于策略网络安全防护系统框架研究.docVIP

浅析基于策略网络安全防护系统框架研究 　　摘要：随着时代的发展，信息化的水平的日益提高，网络上的不稳定因素也在逐渐增大，出现了一群专门以破坏，或谋取不正当利益的计算机行业的高手，就是我们俗称的黑客，最先开始的是以恶意破坏为目的，例如曾经赫赫有名的“冲击波”、“震荡波”，或者以拖慢程序，破坏数据，拖垮程序的“金蠕虫”等等演变到现今以窃听，盗取机密文件档案，用户信息密码等隐私机密文件的“木马病毒。”本文将简要分析基于策略的安全防护系统框架方面的相关内容，旨在促进网络信息安全性的进一步提高。 　　关键词：网络安全 防护系统 　　在实际生活中，更可怕的是“棱镜门”曝光以后，我们发现包括在我们国家的很多重要部门乃至企业，都在美国的监听名单中，因数据机密性的特质而引发的安全性和重要性，导致如今网络安全上的漏洞已经不只是单纯的以破坏别人电脑的正常使用以及盗取游戏账号，而演变成了一个企业与企业的较量，乃至于国防中的重要一环。害人之心不可有，防人之心不可无，如何构建一个较为完善的安全防护系统框架，已经是个急于解决的问题。 　　一、黑客惯用的攻击方式、攻击目标和常见病毒的流入途径和防范措施 　　知己知己，方能百战不殆。如果想要构设一个防御框架体系，应该先考虑到应当合理加强黑客们的惯用伎俩和常被攻击的薄弱环节。 　　（一）常见的攻击手段 　　主要的攻击手段一般分为破坏性和非破坏性，破坏性主要是以使网络或者计算机崩溃或数据大量损毁，而非破坏性则以监听为主要目的，达到盗取各种保密信息的目的。破坏性的主要以：后门程序，信息炸弹，拒绝服务为主。后门程序是指在程序员设计一些功能较为复杂的程序时，通常会将一个项目分割成多个功能模块，以方便设计和调试。因此留一个“后门”以方便测试，但通常这个后门会在程序设计完成后关闭，但是有些程序为了方便日后的访问和测试等原因，没有关闭，这样黑客们便因此找到了一个进入系统的机会，通过一些手段，潜入后，并进行攻击。顾名思义，信息炸弹就是通过使用一些软件，短时间的向目标服务器进行超负荷的信息发送，达到网络堵塞，系统崩溃的效果。比如向一定型号的路由器进行特定的数据包发送，导致路由器死机，或者向邮箱里发送大量的垃圾邮件，撑爆邮箱。在win95的时代，通过发送特定组和的UDP数据包，就会使目标的系统死机等等。所以一般情况下，来路不明的邮件，还是不拆开为妙。而拒绝服务式攻击又被叫做分布式DOS攻击，它通常是使用超出被攻击计算机的处理能力的数据包大量的消耗计算机的可用系统和宽带资源，并且导致网络的瘫痪，这种攻击一般会采用先控制一个网站，利用网络资源集中大量的服务器宽带，对单体的目标实施全面打击，因此攻击速度比较快，可以迅速造成网络的瘫痪。而非破坏性的常见的则是以网络监听，和密码破解为主要手段。 　　（二）常见的目的 　　如今，黑客的入侵，主要以获取信息谋求利益为主，常见的目的，就是进行对数据的获取，对使用权限的获取，甚至涂改以及对信息的暴露。如果是攻击者的目标就是急于要谋取目标系统中的重要文件数据，他通常会把当前用户目录下的文件系统中的/etc/hosts或/etc/passwd拷贝带走分析。或者甚至进行对权限进行获取，因为在UNIX系统中，想要支持监听程序，就必须要有这个权限，而且，有了权限就意味着掌握了这台机的所有功能，可以做任何事情，权限获取的诱惑，对于一个黑客来说，是十分巨大的。通过信息暴露手段对于黑客来说，保密性通常是非常强的，对于一个黑客，通过暴露信息，公布在一些公开的网站上，然后再进行取走，这样是非常安全的，但对于被攻击者来说，是比较残酷的，因为信息披露后，其他用户也可以浏览到，并可能造成二次扩散。 　　（三）病毒的流入路径 　　病毒通常会以三种情况来进行流入感染，网络传播，媒介传播，硬件感染。网络传播通常是经过浏览网页，下载软件等途径，强行进入电脑，进行资料的获取，而不需要口令和权限对文件大肆掠取和破坏，而媒介传播则是通过光盘，U盘，手机接入等方式交叉感染，如果有被感染的手机和光盘接入，那么此时被感染的机会就非常大。通过硬件感染的较为罕见，但由于通过固定的植入，程序则较难清除或修改，除了更换硬件，则很难清除，通常成本较高，不为普遍所使用。 　　二、防护框架的构设和研究 　　通常情况下尽可能的在出现问题之前，便进行一套合理的应对措施，应根据合理的方式对病毒和黑客的入侵，加以预防控制。 　　防护框架最基本的构设应该首先使网站服务器和其他计算机之间的设置经过公安部认证的防火墙，以达到保障网络安全，防止别有用心的黑客分子正面突袭，并且最好能与较为专业的网络安全公司进行合作，互相研究协商，根据单位的具体情况，做好相应的安全防范的措施，以保证网站的安全有效的进行。然后应该在网站的服务器和工作站上都装有正版的杀