網絡安全技術的探討

摘要：隨著計算機技術的發展，在計算機上處理業務已由基于單機的數學運算、文件處理，基于簡單連結的內部網絡的內部業務處理、辦公自動化等發展到基于企業復雜的內部網、企業外部網、全球互聯網的企業級計算機處理系統和世界范圍內的信息共享和業務處理。在信息處理能力提高的同時，系統的連結能力也在不斷的提高。但在連結信息能力、流通能力提高的同時，基于網絡連接的安全問題也日益突出。不論是外部網還是內部網的網絡都會受到安全的問題。

關鍵詞：網絡；防火墻；黑客；Internet

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)11-20233-02

1 引言

隨著計算機技術的發展，在計算機上處理業務已由基于單機的數學運算、文件處理，基于簡單連結的內部網絡的內部業務處理、辦公自動化等發展到基于企業復雜的內部網、企業外部網 、全球互聯網的企業級計算機處理系統和世界范圍內的信息共享和業務處理。在信息處理能力提高的同時，系統的連結能力也在不斷的提高。但開放的信息系統必然存在眾多潛在的安全隱患，黑客和反黑客、破壞和反破壞的斗爭仍將繼續。在這樣的斗爭中，安全技術作為一個獨特的領域越來越受到全球網絡建設者的關注，本文主要從以下幾個方面進行探討。

2 網絡的開放性帶來的安全問題

Internet的開放性以及其他方面因素導致了網絡環境下的計算機系統存在很多安全問題。為了解決這些安全問題，各種安全機制、策略和工具被研究和應用。然而，即使在使用了現有的安全工具和機制的情況下，網絡的安全仍然存在很大隱患，這些安全隱患主要可以歸結為以下幾點：

（1）每一種安全機制都有一定的應用范圍和應用環境。防火墻是目前保護網絡免遭黑客襲擊的有效的安全工具，它可以隱蔽內部網絡結構，限制外部網絡到內部網絡的訪問，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內部變節者和不經心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數據驅動型的攻擊。因此，對于內部網絡到內部網絡之間的入侵行為和內外勾結的入侵行為，防火墻是很難發覺和防范的。

（2）安全工具的使用受到人為因素的影響。一個安全工具能不能實現期望的效果，在很大程度上取決于使用者，包括系統管理者和普通用戶，不正當的設置就會產生不安全因素。例如，NT在進行合理的設置后可以達到C2級的安全性，但很少有人能夠對NT本身的安全策略進行合理的設置。雖然在這方面，可以通過靜態掃描工具來檢測系統是否進行了合理的設置，但是這些掃描工具基本上也只是基于一種缺省的系統安全策略進行比較，針對具體的應用環境和專門的應用需求就很難判斷設置的正確性。

（3）系統的后門是傳統安全工具難以考慮到的地方。防火墻很難考慮到這類安全問題，多數情況下，這類入侵行為可以堂而皇之經過防火墻而很難被察覺；比如說，眾所周知的ASP源碼問題，這個問題在IIS服務器4.0以前一直存在，它是IIS服務的設計者留下的一個后門，任何人都可以使用瀏覽器從網絡上方便地調出ASP程序的源碼，從而可以收集系統信息，進而對系統進行攻擊。對于這類入侵行為，防火墻是無法發覺的，因為對于防火墻來說，該入侵行為的訪問過程和正常的WEB訪問是相似的，唯一區別是入侵訪問在請求鏈接中多加了一個后綴。

（4）只要有程序，就可能存在BUG。甚至連安全工具本身也可能存在安全的漏洞。幾乎每天都有新的BUG被發現和公布出來，程序設計者在修改已知的BUG的同時又可能使它產生了新的BUG。系統的BUG經常被黑客利用，而且這種攻擊通常不會產生日志，幾乎無據可查。比如說現在很多程序都存在內存溢出的BUG，現有的安全工具對于利用這些BUG的攻擊幾乎無法防范。

（5）黑客的攻擊手段在不斷地更新，幾乎每天都有不同系統安全問題出現。然而安全工具的更新速度太慢，絕大多數情況需要人為的參與才能發現以前未知的安全問題，這就使得它們對新出現的安全問題總是反應太慢。當安全工具剛發現并努力更正某方面的安全問題時，其他的安全問題又出現了。因此，黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。

3 網絡安全的防護力漏洞，導致黑客在網上任意暢行

根據Warroon Research的調查，1997年世界排名前一千的公司幾乎都曾被黑客闖入。據美國FBI統計，美國每年因網絡安全造成的損失高達75億美元。Ernst和Young報告，由于信息安全被竊或濫用，幾乎80%的大型企業遭受損失在一次黑客大規模的攻擊行動中，雅虎網站的網絡停止運行3小時，這令它損失了幾百萬美金的交易。

據統計在這整個行動中，美國經濟共損失了十多億美金。由于業界人心惶惶，亞馬遜(Amazon.com)、AOL、雅虎(Yahoo)、eBay的股價均告下挫，以科技股為主的那斯達克指數(Nasdaq)打破過去連續三天創下新高的升勢，下挫了六十三點，杜瓊斯工業平均指數周三收市時也跌了二百五十八點。看到這些令人震驚的事件，不禁讓人們發出疑問：“網絡還安全嗎？”

據不完全統計，目前我國網站所受到黑客的攻擊，還不能與美國的情況相提并論，因為我們在用戶數、用戶規模上還都處在很初級的階段，但以下事實也不能不讓我們深思：

1996年某ISP發現“黑客”侵入其主服務器并刪改其帳號管理文件，造成數百人無法正常使用。

1997年，中科院網絡中心的主頁面被“黑客”用魔鬼圖替換。

進入1998年，黑客入侵活動日益猖獗，國內各大網絡幾乎都不同程度地遭到黑客的攻擊：2月，廣州視聆通被黑客多次入侵，造成4小時的系統失控；4月，貴州信息港被黑客入侵，主頁被一幅淫穢圖片替換；5月，大連ChinaNET節點被入侵，用戶口令被盜；6月，上海熱線被侵入，多臺服務器的管理員口令被盜，數百個用戶和工作人員的賬號和密碼被竊取；7月，江西169網被黑客攻擊，造成該網3天內中斷網絡運行2次達30個小時，工程驗收推遲20天；同期，上海某證券系統被黑客入侵；8月，印尼事件激起中國黑客集體入侵印尼網點，造成印尼多個網站癱瘓，但與此同時，中國的部分站點遭到印尼黑客的報復；同期，西安某銀行系統被黑客入侵后，提走80.6萬元現金。9月，揚州某銀行被黑客攻擊，利用虛存帳號提走26萬元現金；10月，福建省圖書館主頁被黑客替換。

4 網絡安全體系的探討

現階段為了保證網絡工作順通常用的方法如下：

（1）網絡病毒的防范。在網絡環境下，病毒傳播擴散快，僅用單機防病毒產品已經很難徹底清除網絡病毒，必須有適合于局域網的防病毒產品：一個由服務器端統一控制管理客戶端的全方位、多層次的防病毒軟件。針對網絡中所有可能的病毒攻擊點設置對應的防病毒策略，并通過定期或不定期的升級，使網絡免受病毒的侵襲。

（2）配置防火墻。網絡防火墻技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監視網絡運行狀態。利用防火墻技術，可以最大限度地阻止網絡中的黑客來訪問自己的網絡，防止他們隨意更改、移動甚至刪除網絡上的重要信息。防火墻是一種行之有效且應用廣泛的網絡安全機制，防止Internet上的不安全因素蔓延到局域網內部，所以，防火墻是網絡安全的重要一環。

（3）采用入侵檢測系統。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未 授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。在入侵檢測系統中利用審計記錄，入侵檢測系統能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統的安全。在校園網絡中采用入侵檢測技術，最好采用混合入侵檢測，在網絡中同時采用基于網絡和基于主機的入侵檢測系統，則會構架成一套完整立體的主動防御體系。

（4）Web，Email，BBS的安全監測系統。在網絡的www服務器、Email服務器等中使用網絡安全監測系統，實時跟蹤、監視網絡， 截獲Internet網上傳輸的內容，并將其還原成完整的www、Email、FTP、Telnet應用的內容 ，建立保存相應記錄的數據庫。及時發現在網絡上傳輸的非法內容，及時向上級安全網管中 心報告，采取措施。

（5）漏洞掃描系統。解決網絡層安全問題，首先要清楚網絡中存在哪些安全隱患、脆弱點。面對大型網絡的復雜性和不斷變化的情況，僅僅依靠網絡管理員的技術和經驗尋找安全漏洞、做出風險評估，顯然是不現實的。解決的方案是，尋找一種能查找網絡安全漏洞、評估并提出修改建議的網絡 安全掃描工具，利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下，可以利用各種黑客工具，對網絡模擬攻擊從而暴露出網絡的漏洞。

（6）IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時，路由器要檢查發出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符，如果相符就放行。否則不允許通過路由器，同時給發出這個IP廣播包的工作站返回一個警告信息。

（7）利用網絡監聽維護子網系統安全。對于網絡外部的入侵可以通過安裝防火墻來解決，但是對于網絡內部的侵襲則無能為力。在這種情況下，我們可以采用對各個子網做一個具有一定功能的審計文件，為管理人員分析自己的網絡運作狀態提供依據。設計一個子網專用的監聽程序。該軟件的主要功能為長期監聽子網絡內計算機間相互聯系的情況，為系統中各個服務器的審計文件提供備份。

5 結束語

總之，網絡安全是一個綜合性的課題，涉及技術、管理、使用等許多方面，既包括信息系統本身的安全問題，也有物理的和邏輯的技術措施，一種技術只能解決一方面的問題，而不是萬能的。因此只有嚴格的保密政策、明晰的安全策略以及高素質的網絡管理人才才能完好、實時地保證信息的完整性和確證性，為網絡提供強大的安全服務——這也是21世紀網絡安全領域的迫切需要。

參考文獻：

[1] 盧開澄.計算機密碼學——計算機網絡中的數據預安全[M].北京：清華大學出版社，1998.

[2] 余建斌.黑客的攻擊手段及用戶對策[M].北京：北京人民郵電出版社，1998.

[3] 蔡立軍.計算機網絡安全技術[M].中國水利水電出版社，2002.

[4] 鄧文淵，陳惠貞，陳俊榮.ASP與網絡數據庫技術[M].中國鐵道出版社，2003.