網絡安全技術初探

摘要：隨著計算機技術的發展，在計算機上處理業務已由基于單機的數學運算、文件處理、辦公自動化等發展到基于企業復雜的內部網、企業外部網、全球互聯網的企業級計算機處理系統和世界范圍內的信息共享和業務處理。在信息處理能力提高的同時，系統的連結能力也在不斷的提高。但在連結信息能力、流通能力提高的同時，基于網絡連接的安全問題也日益突出。不論是外部網還是內部網的網絡都會受到安全的問題。

關鍵詞：網絡；防火墻（firewall）；黑客；Internet

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)09-11591-02

隨著計算機技術的發展，在計算機上處理業務已由基于單機的數學運算、文件處理，基于簡單連結的內部網絡的內部業務處理、辦公自動化等發展到基于企業復雜的內部網、企業外部網[W1]、全球互聯網的企業級計算機處理系統和世界范圍內的信息共享和業務處理。在信息處理能力提高的同時，系統的連結能力也在不斷的提高。但在連結信息能力、流通能力提高的同時，基于網絡連接的安全問題也日益突出。

1 網絡的開放性帶來的安全問題

Internet的開放性以及其他方面因素導致了網絡環境下的計算機系統存在很多安全問題。為了解決這些安全問題，各種安全機制、策略和工具被研究和應用。然而，即使在使用了現有的安全工具和機制的情況下，網絡的安全仍然存在很大隱患，這些安全隱患主要可以歸結為以下幾點：

(1)每一種安全機制都有一定的應用范圍和應用環境。防火墻是一種有效的安全工具，它可以隱蔽內部網絡結構，限制外部網絡到內部網絡的訪問。但是對于內部網絡之間的訪問，防火墻往往是無能為力的。因此，對于內部網絡到內部網絡之間的入侵行為和內外勾結的入侵行為，防火墻是很難發覺和防范的。

(2)安全工具的使用受到人為因素的影響。一個安全工具能不能實現期望的效果，在很大程度上取決于使用者，包括系統管理者和普通用戶，不正當的設置就會產生不安全因素。

(3)系統的后門是傳統安全工具難于考慮到的地方。防火墻很難考慮到這類安全問題，多數情況下，這類入侵行為可以堂而皇之經過防火墻而很難被察覺。比如說，眾所周知的ASP源碼問題，這個問題在IIS服務器4.0以前一直存在，它是IIS服務的設計者留下的一個后門，任何人都可以使用瀏覽器從網絡上方便地調出ASP程序的源碼，從而可以收集系統信息，進而對系統進行攻擊。對于這類入侵行為，防火墻是無法發覺的，因為對于防火墻來說，該入侵行為的訪問過程和正常的WEB訪問是相似的，唯一區別是入侵訪問在請求鏈接中多加了一個后綴。

(4)只要有程序，就可能存在BUG。甚至連安全工具本身也可能存在安全的漏洞。比如說現在很多程序都存在內存溢出的BUG，現有的安全工具對于利用這些BUG的攻擊幾乎無法防范。

(5)黑客的攻擊手段在不斷地更新，幾乎每天都有不同系統安全問題出現。然而安全工具的更新速度太慢，絕大多數情況需要人為的參與才能發現以前未知的安全問題，這就使得它們對新出現的安全問題總是反應太慢。

2 網絡安全的防護力漏洞，導致黑客在網上任意暢行

(1)根據Warroon Research的調查，1997年世界排名前一千的公司幾乎都曾被黑客闖入。

(2)據美國FBI統計，美國每年因網絡安全造成的損失高達75億美元。

(3)Ernst和Young報告，由于信息安全被竊或濫用，幾乎80%的大型企業遭受損失

看到這些令人震驚的事件，不禁讓人們發出疑問：“網絡還安全嗎？”

據不完全統計目前，我國網站所受到黑客的攻擊，還不能與美國的情況相提并論，因為我們在用戶數、用戶規模上還都處在很初級的階段，但以下事實也不能不讓我們深思： 1993年底，中科院高能所就發現有“黑客”侵入現象，某用戶的權限被升級為超級權限。當系統管理員跟蹤時，被其報復。1994年，美國一位14歲的小孩通過互聯網闖入中科院網絡中心和清華的主機，并向我方系統管理員提出警告。

同期，國內某ISP發現“黑客”侵入其主服務器并刪改其帳號管理文件，造成數百人無法正常使用。1997年，中科院網絡中心的主頁面被“黑客”用魔鬼圖替換。 進入1998年，黑客入侵活動日益猖獗，國內各大網絡幾乎都不同程度地遭到黑客的攻擊：

4月，貴州信息港被黑客入侵，主頁被一幅淫穢圖片替換；

6月，上海熱線被侵入，多臺服務器的管理員口令被盜，數百個用戶和工作人員的賬號和密碼被竊取；

8月，印尼事件激起中國黑客集體入侵印尼網點，造成印尼多個網站癱瘓，但與此同時，中國的部分站點遭到印尼黑客的報復；同期，西安某銀行系統被黑客入侵后，提走80.6萬元現金；

9月，揚州某銀行被黑客攻擊，利用虛存帳號提走26萬元現金。

3 網絡安全體系的探討

現階段為了保證網絡工作順通常用的方法如下：

(1)網絡病毒的防范。在網絡環境下，病毒 傳播擴散快，僅用單機防病毒產品已經很難徹底清除網絡病毒，必須有適合于局域網的全方位防病毒產品。所以最好使用全方位的防病毒產品，針對網絡中所有可能的病毒攻擊點設置對應的防病毒軟件，通過全方位、多層次的防病毒系統的配置，通過定期或不定期的自動升級，使網絡免受病毒的侵襲。

(2)配置防火墻。利用防火墻，在網絡通訊時執行一種訪問控制尺度，允許防火墻同意訪問的人與數據進入自己的內部網絡，同時將不允許的用戶與數據拒之門外，最大限度地阻止網絡中的黑客來訪問自己的網絡。防火墻是一種行之有效且應用廣泛的網絡安全機制，是網絡安全的重要一環。

(3)采用入侵檢測系統。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異?，F象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。在校園網絡中采用入侵檢測技術，最好采用混合入侵檢測，在網絡中同時采用基于網絡和基于主機的入侵檢測系統，則會構架成一套完整立體的主動防御體系。

(4)Web，Email，BBS的安全監測系統。在網絡的www服務器、Email服務器等中使用網絡安全監測系統，實時跟蹤、監視網絡， 截獲Internet網上傳輸的內容，并將其還原成完整的www、Email、FTP、Telnet應用的內容 ，建立保存相應記錄的數據庫。

(5)漏洞掃描系統。解決的方案是，尋找一種能查找網絡安全漏洞、評估并提出修改建議的網絡 安全掃描工具，利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。

(6)IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時，路由器要檢查發出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符，如果相符就放行。否則不允許通過路由器，同時給發出這個IP廣播包的工作站返回一個警告信息。

(7)利用網絡監聽維護子網系統安全。對于網絡外部的入侵可以通過安裝防火墻來解決，但是對于網絡內部的侵襲則無能為力。設計一個子網專用的監聽程序，主要功能為長期監聽子網絡內計算機間相互聯系的情況，為系統中各個服務器的審計文件提供備份。

總之，網絡安全是一個系統的工程，不能僅僅依靠防火墻等單個的系統，而需要仔細考慮系統的安全需求，并將各種安全技術，如密碼技術等結合在 一起，才能生成一個高效、通用、安全的網絡系統。

參考文獻：

[1] 余建斌. 黑客的攻擊手段及用戶對策[M].北京人民郵電出版社，1998.

[2] 蔡立軍. 計算機網絡安全技術[M].中國水利水電出版社，2002.

[3] 鄧文淵， 陳惠貞， 陳俊榮. ASP與網絡數據庫技術[M].中國鐵道出版社，2003.4.