網(wǎng)絡(luò)安全的防范措施研究

摘要：網(wǎng)絡(luò)安全技術(shù)是計算機領(lǐng)域關(guān)注的焦點之一，文章從網(wǎng)絡(luò)安全的基本概念談起，分析了影晌計算機網(wǎng)絡(luò)安全的主要因素。基于對威脅網(wǎng)絡(luò)安全類型的介紹，重點分析了網(wǎng)絡(luò)安全的防范措施。希望該文的研究能夠為今后網(wǎng)絡(luò)安全防范措施的研究有所幫助。

關(guān)鍵詞：網(wǎng)絡(luò)安全；防范措施；研究

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)23-918-02

網(wǎng)絡(luò)時代是一個信息共享的時代。網(wǎng)絡(luò)安全對于我們來講則十分重要。我們需要安全的網(wǎng)絡(luò)，以保證網(wǎng)絡(luò)系統(tǒng)中軟件、硬件、數(shù)據(jù)、信息等不受破壞和竊取，保證其能夠安全可靠運行。當我們需要網(wǎng)絡(luò)服務(wù)時，也不會被非法拒絕和中斷。

1 網(wǎng)絡(luò)安全的基本概念

1.1 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)具有跨國界、無主管、不設(shè)防、開放、自由、缺少法律約束力等特性，網(wǎng)絡(luò)的這些特性顯示了它的許多優(yōu)點，但同時也使得它可受來自各個方面的入侵和攻擊。由于網(wǎng)絡(luò)的定義有許多種，所以有關(guān)網(wǎng)絡(luò)安全的定義也有所不同。有的定義：網(wǎng)絡(luò)安全就是保護網(wǎng)上保存和流動的數(shù)據(jù)，不被他人偷看，竊取或修改。也有的認為：網(wǎng)絡(luò)信息安全是指保護信息財產(chǎn)，以防止偶然的或未授權(quán)信息的泄漏、修改和破壞，從而導(dǎo)致信息的不可行或無法處理。

1.2 網(wǎng)絡(luò)安全的基本組成

從內(nèi)容上看，網(wǎng)絡(luò)安全大致包括四個方面：

1）網(wǎng)絡(luò)實體安全：如計算機的物理條件、物理環(huán)境及設(shè)施的安全標準，計算機硬件、附屬設(shè)備及網(wǎng)絡(luò)傳輸線路的安裝及配置等；

2）軟件安全：如保護網(wǎng)絡(luò)系統(tǒng)不被非法侵入，系統(tǒng)軟件與應(yīng)用軟件不被非法復(fù)制、篡改、不受病毒的侵害等；

3）網(wǎng)絡(luò)中的數(shù)據(jù)安全：如保護網(wǎng)絡(luò)信息的數(shù)據(jù)安全，不被非法存取，保護其完整、一致等；

4）網(wǎng)絡(luò)安全管理：如運行時突發(fā)事件的安全處理等，包括采取計算機安全技術(shù)，建立安全管理制度，開展安全審計，進行風險分析等內(nèi)容。

從特征上看，網(wǎng)絡(luò)安全包括五個基本要素：

1）機密性：確保信息不暴露給未授權(quán)的實體或進程；

2）完整性：只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被篡改；

3）可用性：得到授權(quán)的實體在需要時可訪問數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作；

4）可控性：可以控制授權(quán)范圍內(nèi)的信息流向及行為方式。

50可審查性：對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。

2 影晌計算機網(wǎng)絡(luò)安全的主要因素

計算機網(wǎng)絡(luò)安全受到的安全威脅是來自各個方面的，一般來說，影響計算機網(wǎng)絡(luò)安全的因素主要有以下幾個方面：

1）計算機網(wǎng)絡(luò)使信息的收集方便而且快速，信息的價值劇增，吸引了許多網(wǎng)上黑客前來攻擊。

2）現(xiàn)有的計算機系統(tǒng)皆有安全漏洞，使網(wǎng)絡(luò)入侵成為可能。一般操作系統(tǒng)的體系結(jié)構(gòu)其本身是不安全的，這也是計算機系統(tǒng)不安全的根本原因之一，操作系統(tǒng)的程序是可以動態(tài)連接的，包括I/O的驅(qū)動程序與系統(tǒng)服務(wù)，都可以用打“補丁”的方式進行動態(tài)連接，為黑客的侵入和病毒的產(chǎn)生提供了一個好環(huán)境。

3）網(wǎng)絡(luò)系統(tǒng)中數(shù)據(jù)的安全問題。網(wǎng)絡(luò)中的信息數(shù)據(jù)是存放在計算機數(shù)據(jù)庫中的，通常也指存放在服務(wù)器中的信息集，供不同的用戶來共享，數(shù)據(jù)庫存在著不安全性和危險性，因為在數(shù)據(jù)庫系統(tǒng)中存放著大量重要的信息資源，在用戶共享資源時可能會出現(xiàn)以下現(xiàn)象：授權(quán)用戶超出了他們的訪問權(quán)限進行更改活動，非法用戶繞過安全內(nèi)核，竊取信息資源等。

4）系統(tǒng)通信協(xié)議和應(yīng)用服務(wù)協(xié)議中存在缺陷，可被惡意濫用。

5）遠程訪問控制使得每個主機甚至可以被國外的黑客攻擊。網(wǎng)絡(luò)黑客是計算機網(wǎng)絡(luò)發(fā)展的產(chǎn)物，黑客攻擊，早在主機終端時代就已出現(xiàn)，隨著Internet的發(fā)展，現(xiàn)代黑客則從以系統(tǒng)為主的攻擊轉(zhuǎn)變到以網(wǎng)絡(luò)為主的攻擊，利用網(wǎng)絡(luò)竊取重要的情報，毀壞數(shù)據(jù)和信息。

6）目前的計算機病毒不但可以破壞計算機硬件，而且可以破壞網(wǎng)絡(luò)安全系統(tǒng)并通過網(wǎng)絡(luò)破壞更多的計算機。計算機病毒的數(shù)量和種類都在高速增長，病毒機理和變種不斷演變，為檢測與消除病毒帶來了更大的難度，成為計算機與網(wǎng)絡(luò)發(fā)展的一大公害，計算機病毒破壞計算機的正常工作和信息的正常存儲，嚴重時使計算機系統(tǒng)或網(wǎng)絡(luò)陷于癱瘓。

7）計算機和網(wǎng)絡(luò)系統(tǒng)的配置十分復(fù)雜而且經(jīng)常變化，若配置不當，也會產(chǎn)生安全漏洞。

8）有關(guān)人員對計算機網(wǎng)絡(luò)系統(tǒng)的安全認識不足，未能及時采取必要的防范措施。世界上現(xiàn)有的計算機信息系統(tǒng)絕大多數(shù)都缺少安全管理員，缺少信息系統(tǒng)安全管理的技術(shù)規(guī)范，缺少定期的安全測試與檢查，更缺少安全監(jiān)控。

3 威脅網(wǎng)絡(luò)安全的類型

計算機網(wǎng)絡(luò)系統(tǒng)的廣泛應(yīng)用，黑客入侵網(wǎng)絡(luò)事件的頻頻發(fā)生，使得網(wǎng)絡(luò)的安全問題越來越嚴重，威脅網(wǎng)絡(luò)安全的類型主要有以下幾種：

1）非授權(quán)訪問。沒有預(yù)先經(jīng)過同意就使用網(wǎng)絡(luò)或計算機資源被看作非授權(quán)訪問。非授權(quán)訪問主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網(wǎng)絡(luò)系統(tǒng)進行違法操作、合法用戶以未授權(quán)方式進行操作等。

2）信息泄露或丟失。指敏感數(shù)據(jù)在有意或無意中被泄露出去或丟失，它通常包括，信息在傳輸中丟失或泄露，信息在存儲介質(zhì)中丟失或泄漏，通過建立隱蔽隧道等方式竊取敏感信息等。

3）破壞數(shù)據(jù)完整性。以非法手段竊得對數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應(yīng)，同時干擾用戶的正常使用。

4）拒絕服務(wù)攻擊。拒絕服務(wù)攻擊是一種破壞性攻擊，它是旨在徹底地阻止用戶使用自己的計算機的一種侵襲。它不斷對網(wǎng)絡(luò)服務(wù)系統(tǒng)進行干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶不能進入計算機網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。

5）利用網(wǎng)絡(luò)傳播的病毒。計算機病毒被發(fā)現(xiàn)以來，其種類以幾何級數(shù)在增漲，受害的計算機數(shù)量每年增加一倍，很多病毒的泛濫還帶來了災(zāi)難性的后果。同時病毒機理和變種不斷演變，并通過網(wǎng)絡(luò)快速地廣泛傳播。

6）來自內(nèi)部網(wǎng)的安全問題。據(jù)不完全統(tǒng)計，企業(yè)內(nèi)部數(shù)據(jù)的被泄漏，有80%左右是由于有企業(yè)內(nèi)部人員的參與，來自企業(yè)內(nèi)部的安全問題不容忽視。解決這類問題，好的管理體制是必不可少的，但只有結(jié)合對企業(yè)內(nèi)部系統(tǒng)安全問題有較為全面的考慮，才能比較徹底。

7）EMAIL的安全問題。EMAIL服務(wù)是應(yīng)用最為廣泛的網(wǎng)絡(luò)服務(wù)之一，但與EMAIL相關(guān)的網(wǎng)絡(luò)協(xié)議都沒有全面的考慮安全問題。現(xiàn)在EMAIL信件在網(wǎng)上傳輸，沒有任何安全可言。所以用EMAIL進行數(shù)據(jù)傳送，數(shù)據(jù)泄密可能是不知不覺的。

4 計算機網(wǎng)絡(luò)安全的防范措施

4.1 防火墻技術(shù)

目前保護網(wǎng)絡(luò)安全最主要的手段之一就是構(gòu)筑防火墻。防火墻是一種形象的說法，其實它是一種計算機硬件和軟件相結(jié)合的技術(shù)，是在受保護網(wǎng)與外部網(wǎng)之間構(gòu)造一個保護層，把攻擊者擋在受保護網(wǎng)的外面。這種技術(shù)強制所有出入內(nèi)外網(wǎng)的數(shù)據(jù)流都必須經(jīng)過此安全系統(tǒng)。它通過監(jiān)測、限制或更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部網(wǎng)絡(luò)屏蔽有關(guān)受保護網(wǎng)絡(luò)的信息和結(jié)構(gòu)來實現(xiàn)對網(wǎng)絡(luò)的安全保護。因而防火墻可以被認為是一種訪問控制機制，用來在不安全的公共網(wǎng)絡(luò)環(huán)境下實現(xiàn)局部網(wǎng)絡(luò)的安全性。

4.2 身份認證

身份認證是任何一個安全的計算機所必需的組成部分。身份認證必須做到準確無誤地將對方辨認出來，同時還應(yīng)該提供雙向的認證，即互相證明自己的身份，網(wǎng)絡(luò)環(huán)境下的身份認證比較復(fù)雜，因為驗證身份的雙方都是通過網(wǎng)絡(luò)而不是直接接觸的，傳統(tǒng)的指紋等手段已無法使用，同時大量的黑客隨時隨地都可能嘗試向網(wǎng)絡(luò)滲透，截獲合法用戶口令并冒名頂替，以合法身份入網(wǎng)，所以目前通常采用的是基于對稱密鑰加密或公開密鑰加密的方法，以及采用高科技手段的密碼技術(shù)進行身份驗證。

4.3 訪問控制

訪問控制也叫接入控制，阻止非授權(quán)用戶進入網(wǎng)絡(luò)，防止任何對計算機資源和通信資源的非授權(quán)訪問。即根據(jù)用戶的身份賦予其相應(yīng)的權(quán)限，也就是說按事先確定的規(guī)則決定主體對客體的訪問是否合法。訪問控制主要通過注冊口令，用戶分組控制，文件權(quán)限控制三個層次來實現(xiàn)。

4.4 基于密碼論的技術(shù)

密碼技術(shù)是集數(shù)學、計算機科學、電子與通信等諸多學科于一體的交叉學科，是保護信息安全的主要手段之一，它不僅具有保證信息機密性的信息加密功能，而且具有數(shù)字簽名、身份驗證、秘密分存、系統(tǒng)安全等功能。

1）密鑰技術(shù)：密鑰技術(shù)的任務(wù)是在一個密碼系統(tǒng)中控制密鑰的選擇和分配。密鑰是一段數(shù)字信息，它與加密算法相互作用，以控制信息的加密。

2）數(shù)字簽名：數(shù)字簽名是一種用于鑒別的重要技術(shù)。數(shù)字簽名是一個數(shù)，它依賴于消息的所有位以及一個保密密鑰，它的正確性可以用一個公開密鑰來檢驗。數(shù)字簽名可以用于鑒別服務(wù)，也可以用于完整性服務(wù)和無拒絕服務(wù)。當數(shù)字簽名用于無拒絕服務(wù)時，它是和公證一起使用的。公證是通過可信任的第三方來驗證消息的。

3）驗證技術(shù)：驗證技術(shù)可分為基于共享密鑰的認證和基于公鑰的認證。前者實際上是執(zhí)行一種查詢—問答協(xié)議，發(fā)送方發(fā)送一個隨機數(shù)給接收方，接收方解密后以一種特殊形式轉(zhuǎn)換它并傳回結(jié)果，從而實現(xiàn)認證。該協(xié)議的關(guān)鍵是如何建立共享密鑰。

5）智能卡技術(shù)：與數(shù)據(jù)加密技術(shù)緊密相關(guān)的另一項技術(shù)則是智能卡技術(shù)。所謂智能卡就是密鑰的一種媒體，一般就象信用卡一樣，由授權(quán)用戶所持有并由該用戶賦予它一個口令或密碼字。該密碼與內(nèi)部網(wǎng)絡(luò)服務(wù)器上注冊的密碼一致。當口令與身份特征共同使用時，智能卡的保密性還是相當有效的。

6）反病毒軟件：即使有防火墻、身份認證和加密措施，人們?nèi)該脑獾讲《竞秃诳偷墓簦S著計算機網(wǎng)絡(luò)的發(fā)展，攜帶病毒和黑客程序的數(shù)據(jù)包和電子郵件越來越多，打開或運行這些文件，計算機就有可能感染病毒。假如安裝有反病毒軟件，就可以預(yù)防、檢測一些病毒和黑客程序。

5 結(jié)束語

計算機網(wǎng)絡(luò)安全的防范措施還有很多，諸如重視安裝補丁程序、嚴格控制共享、不輕易下載和運行網(wǎng)上軟件、注意安全管理等等。它們在一定程度上都能對網(wǎng)絡(luò)安全進行加強，相信隨著IT網(wǎng)絡(luò)技術(shù)的進一步發(fā)展，我們的網(wǎng)絡(luò)安全防范措施也會取得更大的成果。

參考文獻：

[1] 曹振麗.計算機網(wǎng)絡(luò)安全及其防范技術(shù)[J].中國教育信息化：基礎(chǔ)教育，2008，(4):67-69.

[2] 楊繼家.網(wǎng)絡(luò)安全與入侵檢測技術(shù)探討[J].電視工程，2008，(01):13-14.

[3] 潘榕.網(wǎng)絡(luò)與信息安全策略芻議[J].電子政務(wù)，2008，(3):76-77.