網絡安全對策

摘要：介紹了網絡安全方面的對策。

關鍵詞：計算機 信息 技術 網絡 安全

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1002－2422(2008)03－0044－02

1 網絡安全面臨的威脅

網絡攻擊能夠成功的主要原因：

(1)系統漏洞：網絡系統普遍采用TCPAP協議，TCPAP在設計時以方便應用為首要任務。許多協議，如文件傳輸協議，缺乏認證和保密措施。網絡操作系統和應用程序普遍存在漏洞，黑客和病毒常利用這些漏洞對網絡系統進行破壞。

(2)黑客攻擊：黑客會利用網絡掃描工具，發現目標系統的漏洞，發動攻擊，破壞目標系統的安全。主要有以下3種方法：①拒絕服務攻擊：通過制造無用的網絡數據，造成網絡擁堵或大量占用系統資源，使目標主機或網絡失去及時響應訪問能力。分布式拒絕服務的危害性更大，黑客先進入一些易于攻擊的系統，再利用這些被控制的系統向目標系統發動大規模的協同攻擊，其威力比拒絕服務攻擊大很多：②口令破解：網絡中的身份鑒別方法中很重要的一種是用戶名和口令。實現起來簡單，被廣泛使用。黑客利用黑客程序記錄登錄過程或用戶口令破解器來獲取口令，進而在網絡上進行身份冒充，從而對網絡安全造成威脅。如果黑客獲取了系統用戶的口令，則將對系統造成災難性的后果；③電子郵件炸彈：黑客通過不斷地向某郵箱發電子郵件，從而造成郵箱的崩潰，如果接收為郵件服務器，則可能造成服務器的癱瘓。

(3)病毒入侵：網絡已成為病毒傳播的主要途徑。病毒通過網絡入侵，具有更高的傳播速度和更大的傳播范圍，其破壞性也不言而喻，有些惡性的病毒會造成系統癱瘓、數據破壞，嚴重地危害到網絡安全。

(4)網絡配置管理不當：網絡配置管理不當會造成非授權訪問。網絡管理員在配置網絡時，往往因為用戶權限設置過大、開放不必要的服務器端口。或者一般用戶因為疏忽，丟失賬號和口令，從而造成非授權訪問。給網絡安全造成危害。

(5)陷井和后門：這是一段非法的操作系統程序。其目的是為闖入者提供后門，可以在用戶主機上沒有任何痕跡地運行一次即可安裝后門，通過后門實現對計算機的完全控制。而用戶可能莫名其妙地丟失文件、或被篡改數據等。

(6)操作人員方面：①保密觀念：部分操作人員保密觀念差，缺乏相應的計算機信息安全管理制度，隨意讓閑散人進入機房重地，隨意放置相關密碼和系統口令的工作筆記、存儲有重要信息的系統磁盤和光盤等：②工作責任心：操作人員工作責任心不強。經常擅自離開工作崗位或者疏于定期檢查和系統維護，不嚴格執行安全操作規程。

2 網絡安全對策措施

(1)物理安全管理：計算機網絡系統物理安全管理防護對策可歸納為：①對傳導發射的防護，可以采取對電源和信號線加裝濾波器的方法進行，減小傳輸阻抗和導線的交叉耦合：②對輻射的防護，可以采取各種電磁屏蔽措施，對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離。

(2)訪問控制技術：訪問控制是網絡安全防范和保護的主要策略，主要任務是保證網絡資源不被非法使用和訪問，是保證網絡安全最重要的核心策略之一。訪問控制涉及的技術也比較廣，訪問控制有多種手段：①入網訪問控制；②權限控制；③目錄級安全控制；④屬性安全控制。

(3)安全鑒別技術：一是網絡設備的鑒別，即基于VPN設備和IP加密機的鑒別：二是應用程序中的個人身份鑒別；三是遠程撥號訪問中心加密設備與遠程加密設備的鑒別；四是密碼設備對用戶的鑒別。可采用如下技術實現身份鑒別：數字簽名機制、消息鑒別碼、校驗、口令字、智能片、身份驗證服務。

(4)通信保密：一是中心網絡中采用IP加密機進行加密；二是遠程撥號網絡中采用數據密碼機進行線路加密；三是使用消息完整性編碼MIC。

(5)病毒防范及系統安全備份：病毒防范主要是通過殺毒軟件和防火墻來實現的。防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術，是在兩個網絡之間實行控制策略的系統，通常安裝在單獨的計算機上，與網絡的其余部分隔開。它使內部網絡與Inter-net之間或與其他外部網絡互相隔離，限制網絡互訪，用來保護內部網絡資源免遭非法入侵，執行安全管制措施，記錄所有可疑事件。利用防火墻技術，通過合理配置，一般能在內外網絡之間提供安全的網絡保護，降低網絡安全的風險。

(6)網絡的入侵檢測與漏洞掃描：入侵檢測包括：基于應用的監控技術、基于主機的監控技術、基于目標的監控技術、基于網絡的監控技術、綜合上述4種方法進行監控；漏洞檢測包括：基于應用的檢測技術、基于主機的檢測技術、基于目標的檢測技術、基于網絡的檢測技術、綜合上述4種方法進行檢測。檢測的具體實現與網絡拓撲結構有關。

(7)文件傳送安全：要求對等實體鑒別、數據加密、完整性檢驗、數字簽名。郵件可以加密或者使用安全PC卡。

(8)網絡安全制度管理：對網絡進行強有力的安全秩序管理，形成良好的組織管理程序，是克服網絡安全脆弱性的重要對策。必須建立完備的網絡機房安全管理制度，妥善保管備份磁盤和文檔資料，防止非法人員進入機房進行偷竊和破壞性操作。

3 網絡安全發展趨勢

從管理和技術兩個維度來推進網絡安全工作不僅是現階段解決好網絡安全問題的需要，也是今后網絡安全發展的必然趨勢。

(1)管理角度：從管理的角度講應遵循以下原則：整體考慮、統一規劃；戰略優先、合理保護：集中管理、重點防護；重視管理、依靠技術。

(2)技術角度：從技術角度而言，重點發展以下技術有助于網絡安全等級的提升；邏輯隔離技術、防病毒技術、身份認證技術、入侵檢測和主動防衛技術、加密和虛擬專用網技術、網管技術。

4 結束語

網絡安全是一個復雜的問題，涉及法律、管理和技術等綜合方面。只有協調好三者之間的關系，構建完善的安全體系，才能有效地保護網絡安全。