蔡永泉：计算机网络安全攻防战

蔡永泉，北京工业大学计算机学院信息安全学科部主管工作的副系主任，从事计算机网络及网络安全的教学和科研工作，主要研究方向是计算机网络安全和计算机网络技术。

（未经许可，不得复制、印刷、出版，违者负知识产权法律责任）

随着棱镜事件的出现，我们国家对网络安全越来越重视。我从1995年开始研究网络安全，一直到现在。我今天讲的课，可能有一些专业术语，我尽量讲的通俗些。我想以故事的形式把网络安全的相关术语串起来，不单独以术语的形式说出来，不知道我的思想能不能够被大家接受。我的想法是这样的，尽量以故事的形式讲网络安全。我的目标就是讲网络安全，针对不同的对象有不同的讲法。比如说要给博士生讲课，讲的能够让博士生听懂，拿这个课给硕士生讲也能够听得懂，给本科生讲也能够听得懂，甚至给高中生讲也能够让他听得懂，这就是我讲课的一个最基本的初衷。

一、计算机网络

关于计算机网络安全，我主要围绕着三个方面来讲。首先讲一讲计算机网络是怎么回事儿，另外讲一下计算机网络存在的安全漏洞，由于计算机网络存在安全漏洞，才出现了计算机网络安全问题。如果没有漏洞的话，那就不存在研究网络安全的问题了。我侧重点是讲网络安全的,围绕计算机网络安全，我要讲一讲计算机网络的相关问题。我首先讲什么叫做计算机网络？它是以单个计算机为中心和一些互联设备构成的网络，我们称之为计算机网络。在计算机网络里面，只有计算机才是处理数据的，其他设备不处理数据，只是传输数据。这个网络里面有很多的设备，这些设备都是相互连接的。计算机网络里面重要的是互联网，互联网是美国研究的，就是英特尔网，又称为因特网，因特网实际上就是我们现在联到的计算机网络，它是美国国防部研究计划署的一个研究项目。该项目于1969年开始在军队运行，运行了十几年以后，军方就把这个英特尔网就交给了民营了。没有想到网络的发展非常快，这个军用网当时没有想到这么多人使用，那么一用的话就出现了各种各样的安全问题了。因特网具体由哪几个部分组成呢？一般是四个层次，一是媒体接入层，就是说我们所有的网络接入都要通过媒体接入到因特网，没有这个媒体我们接不上去的。比如说我们现在的电信、我们的交换机等等这都算媒体。  二是传输层，就是数据怎么传输。三是控制层。四是应用层，就是我们大家怎么应用。我们最熟悉的有哪几个应用层？浏览器和电子邮件是我们最常用的，还有文件传输，我们可能不太用。但是我们现在最常用的目前就是这几个。网络给美国控制信息提供了很好的便利。我们知道计算机网络遵照互联网的标准，然后达到资源共享。要遵照互联标准，网络互联的结构都要告诉大家。就是说你要遵照互联网的标准，你要提供它的互联结构，又要达到资源共享，这样就给一些非法者创造了攻击网络的机会。

二、安全漏洞

互联网的发展太快了，它不是一种线性发展，是指数倍的增长。当时美国也没有想到网络会出现这么多的漏洞。那么具体存在哪些漏洞呢？我可以把它分为几个方面。第一，网络自身存在漏洞。就是它组织的互联网自身存在漏洞。第二，网络软件与网络服务的漏洞。现在微软有很多的漏洞，经常打补丁。微软的操作系统的很多网络软件比如说现在的防火墙的软件都有漏洞，经常被黑客攻破。第三，软件漏洞。就是我们编的应用软件漏洞，你们经常做网站，是不是存在这个漏洞。现在很多软件都存在这样的问题，你要不考虑这个漏洞的话，黑客一下子就把你的数据库给揭穿了，就是攻破了。

（一） 网络自身存在的漏斗

我首先介绍网络自身的漏洞，网络自身的漏洞。第一个漏洞就是三次握手。我们知道计算机网络你要想发送数据，或者上某一个网站的话，首先需要三次握手。什么叫三次握手呢？是这样的，发起方要到一个网站上，发起方发一个数据的话,他首先发送这样的链接给B，B他就回答这样的信息给他。在回答这样信息的过程当中，如果一个黑客把这个信息拦截下来了，一个黑客从发起方发给B的时候，黑客把这个拦截下来了，而且他把发起方B的信息给断了，他来充当发起方B，是不是可以呀？那么一个黑客可以充当发起方的B，他来回答给信息给B，这样的话就造成一个黑客的链接，握手的链接。一旦握手链接好了，计算机网络是不是就可以发送数据了，计算机在发送数据，或者做什么事情，首先做的是三次握手。这三次握手就给黑客一把快刀，这样的话就给黑客创造了一个闯入网络最好的条件。这是第一个。第二，网络与安全之间的问题。我们又要想网络互联开放，又要考虑网络安全，这是一对矛盾。我们公安部的网，绝对不能跟网络连接的，根本就谈不上资源共享了。那么你要想资源共享，又想做安全，这个矛盾你处理不好的话，就会出现问题。第三，资源与共享的关系。就是组成计算机网络的目的就是资源共享，共享与安全隔离是不是一对矛盾？你怎么样做到安全和共享，这是一对矛盾。

（二）网络软件与网络服务的漏洞

计算机命令里面有一个叫做分格的命令，在UNIX系统里面有一个这样的命令，这在互联网我使用这个分格命令只需要一个IP地址，就可以获得什么信息，就可以获得谁在登陆的时间，登陆的地点。可以利用分格的命令，可以进入主机。还有一个FTB，是用来传输文件的，它可以创建一个文件目录，可以往里面写文件。写文件是什么概念？写文件就意味着在里面注入一个木马病毒进去。另外还有一个远程登录问题。希望我们每一个网络管理员最好别做远程登录。比如说我们朝阳区也的网站，那里面可能几十台服务器，这几十台服务器可能只允许一个人来管理，口令密码，用户名，只能用一个人管理。那么这个管理员一旦出去怎么弄呢？他有时候可能要远程登录，远程来维护他。一旦远程维护，你想想这些密码、口令，被黑客拿去了以后，他可以做什么？你不想做一些维护的工作，他来做你原来维护的工作。比如说我原来想把这个机器关了，这个黑客就不断的发这个关机的命令，让你服务器无法工作。

（二） 软件漏洞

计算机操作系统也存在漏洞，特别是微软经常打补丁。比如说输入、输出非法访问，某些操作系统一旦输入输出操作被检查通过以后，以后的操作他就再也不检查了。这就相当于我们进入朝阳区的大门一样，你进了这个门以后，你想进其他的楼他都不检查了。就相当于我们计算机把输入输出检查完了以后，后面做什么事情他都不检查了。这就造成后续的非法操作访问。还有一个是访问控制的困难，就是我们要强调安全访问，强调是隔离和保护，而资源共享是要求公开开放。一个是隔离和保护，一个是公开和开放。这是一对矛盾，你是永远无法解决好的。还有一个操作系统，我们知道微软公司为什么经常打补丁呢？就是操作系统为了安装公司的软件包，保留了一些特殊的管理程序的功能。它做一些特殊的管理，来访问权限的限制。微软为了对他的操作系统进行维护，就形成了操作系统的一些限门了。一个微软的Windows你知道有多少人在编这个操作系统吗？有上千个人在编。而且每一个人编的就那么一小块，每小块它都要有一个修补门限的问题。你说这怎么解决？只能是发现一个漏洞补一个漏洞，就是限门的问题。另还有一种程序，一般程序都有一定的执行的时限，如果程序被有意和错误的更改，或者被移植了某些病毒，那么此程序将会长期存在你的机室，你们有没有发现你的计算机有些是CPU，始终是占100%的，根本就没法用了，它把你计算机的资源都占满了。举一个例子，英特尔公司当时为了提高计算机的运行速度，做了一个线处理器，帮助英特尔的CPU268处理器。他说这个线处理器出现了错误的概率是万分之一，你不必害怕，那么用户不满了，整个计算机的用户，英特尔公司全部发邮件，把他的邮箱爆满了。