關(guān)于計算機網(wǎng)絡(luò)安全技術(shù)的探討

摘要：網(wǎng)絡(luò)安全在21世紀(jì)成為信息社會發(fā)展的一個關(guān)鍵。21世紀(jì)人類步入信息社會后，信息這一社會發(fā)展的重要戰(zhàn)略資源迫切需要網(wǎng)絡(luò)安全的有力保障，才能形成社會發(fā)展的推動力。在我國信息網(wǎng)絡(luò)安全問題方面的技術(shù)研究和產(chǎn)品開發(fā)仍然處于研究階段，只有走有中國特色的產(chǎn)學(xué)研聯(lián)合發(fā)展之路，才能趕超發(fā)達(dá)國家水平。本文結(jié)合當(dāng)前網(wǎng)絡(luò)安全的產(chǎn)生原因，從幾個方面闡述主何加強網(wǎng)絡(luò)安全的防范措施。

關(guān)鍵詞：網(wǎng)絡(luò)系統(tǒng)；網(wǎng)絡(luò)安全；防范措施

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2008)36-2900-02

隨著政府、部門和行業(yè)以及個人對網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)資源依賴程度的逐漸加強。網(wǎng)絡(luò)系統(tǒng)的安全問題，也越來越多的受到人們的關(guān)注。網(wǎng)上信息被泄露、篡改和假冒，黑客入侵，計算機犯罪，病毒蔓延和不良信息傳播等，對網(wǎng)絡(luò)構(gòu)成了極為嚴(yán)重的威脅，因此解決計算機網(wǎng)絡(luò)安全問題成為迫在眉睫的一件事情。

1 計算機網(wǎng)絡(luò)安全問題產(chǎn)生的原因及特點

1.1 網(wǎng)絡(luò)安全缺陷產(chǎn)生的原因主要有

1.1.1 網(wǎng)絡(luò)硬件的配置不協(xié)調(diào)

一是文件服務(wù)器。它是網(wǎng)絡(luò)的中樞，其運行穩(wěn)定性、功能完善性直接影響網(wǎng)絡(luò)系統(tǒng)的質(zhì)量。二是網(wǎng)卡工作站選配不當(dāng)導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定。

1.1.2網(wǎng)絡(luò)結(jié)構(gòu)的不安全性

因特網(wǎng)是一種網(wǎng)間網(wǎng)技術(shù)，實際上是由無數(shù)個局域網(wǎng)連接而成的巨大網(wǎng)絡(luò)，網(wǎng)絡(luò)通信實質(zhì)就是數(shù)據(jù)流經(jīng)過很多機器多重轉(zhuǎn)發(fā)的過程，由于控制的復(fù)雜性和系統(tǒng)設(shè)計的不合理性，攻擊者通?？梢岳脭?shù)據(jù)流傳輸路徑上的一臺主機對數(shù)據(jù)包進(jìn)行劫持，獲得其所需的信息。

1.1.3 用戶缺乏安全意識

雖然網(wǎng)絡(luò)中設(shè)置了許多安全保障，但人們普遍缺乏安全防范意識，從而使這些保護(hù)形同虛設(shè)。如防火墻技術(shù)，網(wǎng)絡(luò)防火墻技術(shù)是用來加強網(wǎng)絡(luò)之間訪問控制、防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互連設(shè)備。它負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸，為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)，但不少用戶為了避開防火墻代理服務(wù)器的額外認(rèn)證，進(jìn)行直接的PPP連接從而避開了防火墻的保護(hù)。

1.1.4 TCP/IP協(xié)議的脆弱性

TCP/IP協(xié)議是Internet的基礎(chǔ)協(xié)議。由于TCP/IP協(xié)議從開始設(shè)計時候并沒有考慮到現(xiàn)在網(wǎng)絡(luò)上如此多的威脅，由此導(dǎo)致了許多形形色色的攻擊方法，一般針對協(xié)議原理的攻擊(尤其是DDOS)我們無能為力。

1.1.5 管理制度不健全，網(wǎng)絡(luò)管理、維護(hù)任其自然

其實大多數(shù)安全事件和安全隱患的發(fā)生，管理不善是主要原因，網(wǎng)管沒有嚴(yán)格遵守網(wǎng)絡(luò)相關(guān)操作章程，沒有及時維護(hù)和更新網(wǎng)絡(luò)，是造成諸多安全漏洞的主要原因之一。有調(diào)查表明一半以上的網(wǎng)絡(luò)漏洞是人為造成的，因此不斷完善網(wǎng)絡(luò)管理制度，嚴(yán)格遵守安全管理規(guī)章是十分必要的。

1.2 計算機網(wǎng)絡(luò)攻擊的特點

1.2.1 損失巨大

由于攻擊和入侵的對象是網(wǎng)絡(luò)上的計算機，所以一旦他們?nèi)〉贸晒?，就會使網(wǎng)絡(luò)中成千上萬臺計算機處于癱瘓狀態(tài)，從而給計算機用戶造成巨大的損失。

1.2.2 威脅社會和國家安全

一些計算機網(wǎng)絡(luò)攻擊者出于各種目的經(jīng)常把政府要害部門和軍事部門的計算機作為攻擊目標(biāo)，從而對社會和國家安全造成威脅。

1.2.3 以軟件攻擊為主

幾乎所有的網(wǎng)絡(luò)入侵都是通過對軟件的截取和攻擊從而破壞整個計算機系統(tǒng)的。它完全不同于人們在生活中所見到的對某些機器設(shè)備進(jìn)行物理上的摧毀。因此，這一方面導(dǎo)致了計算機犯罪的隱蔽性，另一方面又要求人們對計算機的各種軟件（包括計算機通信過程中的信息流）進(jìn)行嚴(yán)格的保護(hù)。

2 計算機網(wǎng)絡(luò)中信息系統(tǒng)的安全防范措施

網(wǎng)絡(luò)的普及為病毒的快速傳播創(chuàng)造了便利的條件，近年來出現(xiàn)的多種惡性病毒都是基于網(wǎng)絡(luò)進(jìn)行傳播的。2006年底出現(xiàn)的病毒“熊貓燒香”可謂是人人談之而色變，它給網(wǎng)絡(luò)帶來了很嚴(yán)重的損失。在2007年初又出現(xiàn)了“熊貓燒香”的變種“金豬拜年”，可見病毒的進(jìn)化是非常迅速的，并且對系統(tǒng)的破壞力也是難以估計的。

2.1 網(wǎng)絡(luò)防火墻技術(shù)

防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中，尤其以接入Internet網(wǎng)絡(luò)為多。

防火墻是網(wǎng)絡(luò)安全的屏障：一個防火墻(作為阻塞點、控制點)能極大地提高一個網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻可以強化網(wǎng)絡(luò)安全策略：通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認(rèn)證、審計等)配置在防火墻上。對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計：如果所有的訪問都經(jīng)過防火墻，那么防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。防止內(nèi)部信息的外泄：通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。除了安全作用，有的防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。通過VPN，將企事業(yè)單位在世界各地的LAN或?qū)Ｓ米泳W(wǎng)，有機地聯(lián)成一個整體。這樣不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。

2.2 加密技術(shù)

2.2.1 對稱加密技術(shù)

在對稱加密技術(shù)中，對信息的加密和解密都使用相同的密鑰，也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程，信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露，那么機密性和報文完整性就可以得以保證。

2.2.2 非對稱加密/公開密鑰加密

在非對稱加密體系中，密鑰被分解為一對(即公開密鑰和私有密鑰)。這對密鑰中任何一把都可以作為公開密鑰(加密密鑰)通過非保密方式向他人公開，而另一把作為私有密鑰(解密密鑰)加以保存。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛公布，但它只對應(yīng)于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信，廣泛應(yīng)用于身份認(rèn)證、數(shù)字簽名等信息交換領(lǐng)域。最具有代表性是RSA公鑰密碼體制。

2.3 入侵檢測技術(shù)

根據(jù)檢測對象的不同，入侵檢測系統(tǒng)可分為主機型和網(wǎng)絡(luò)型。主機型入侵檢測系統(tǒng)就是以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，當(dāng)然也可以通過其他手段(如監(jiān)督系統(tǒng)調(diào)用)從所在的主機收集信息進(jìn)行分析。網(wǎng)絡(luò)型入侵檢測。它的數(shù)據(jù)源是網(wǎng)絡(luò)上的數(shù)據(jù)包。往往將一臺機子的網(wǎng)卡設(shè)于混雜模式(Promise Mode)，對所有本網(wǎng)段內(nèi)的數(shù)據(jù)包并進(jìn)行信息收集并進(jìn)行判斷。一般網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔(dān)負(fù)著保護(hù)整個網(wǎng)段的任務(wù)。

2.4 服務(wù)器端安全措施

只有正確的安裝和設(shè)置操作系統(tǒng)，才能使其在安全方面發(fā)揮應(yīng)有的作用。下面以Win2000 Server為例：

2.4.1 正確地選擇安裝順序

一般的人可能對安裝順序不太重視，認(rèn)為只要安裝好了，怎么裝都可以的。很多時候正是因為管理員思想上的松懈才給不法分子以可乘之機。在安裝中有幾個順序是一定要注意的：

首先，何時接入網(wǎng)絡(luò)：Win2000在安裝時有一個漏洞，在你輸入Administrator密碼后，系統(tǒng)就建立了ADMIN$的共享，但是并沒有用你剛剛輸入的密碼來保護(hù)它這種情況一直持續(xù)到你再次啟動后，在此期間，任何人都可以通過ADMIN$進(jìn)入你的機器。同時，只要安裝一完成，各種服務(wù)就會自動運行，而這時的服務(wù)器是滿身漏洞，非常容易進(jìn)入的。因此在完全安裝并配置好WinXSERVER之前，一定不要把主機接入網(wǎng)絡(luò)。

其次，補丁的安裝：補丁的安裝應(yīng)該在所有應(yīng)用程序安裝完之后，因為補丁程序往往要替換/修改某些系統(tǒng)文件，如果先安裝補丁再安裝應(yīng)用程序有可能導(dǎo)致補丁不能起到應(yīng)有的效果。例如：IIS的HotFix就要求每次更改IIS的配置都需要安裝，盡管很麻煩，卻很必要。

2.4.2 安全配置

1) 端口：端口是計算機和外部網(wǎng)絡(luò)相連的邏輯接口，從安全的角度來看，僅打開你需要使用的端口會比較安全，配置的方法是在網(wǎng)卡屬性—TCP/IP—高級—選項—TCP/IP篩選中啟用TCP/IP篩選，不過對于Win2000的端口過濾來說，有一個不好的特性：只能規(guī)定開哪些端口，不能規(guī)定關(guān)閉哪些端口。這樣對于需要開大量端口的用戶就比較麻煩。

2) IIS：IIS是微軟的組件中漏洞最多的一個，平均兩三個月就要出一個漏洞，而微軟的IIS默認(rèn)安裝又實在不敢恭維，所以IIS的配置是我們的重點，因而在本系統(tǒng)的WWW服務(wù)器采取下面的設(shè)置：

首先，把操作系統(tǒng)在C盤默認(rèn)安裝的Inetpub目錄徹底刪掉，在D盤建一個Inetpub在IIS管理器中將主目錄指向D：\\Inetpub。其次，在IIS安裝時默認(rèn)的scripts等虛擬目錄一概刪除，這些都容易成為攻擊的目標(biāo)。如果需要什么權(quán)限的目錄可以在需要的時候再建，需要什么權(quán)限開什么。

3) 應(yīng)用程序配置：在IIS管理器中刪除必須之外的任何無用映射，必須指出的是ASP，ASP和其它確實需要用到的文件類型。我們不需要IIS提供的應(yīng)用程序的映射，刪除所有的映射。具體操作：在IIS管理器中右擊主機一屬性一WWW服務(wù)編輯一主目錄配置一應(yīng)用程序映射，然后就一個個刪除這些映射。點擊“確定”退出時要讓虛擬站點繼承剛才所設(shè)定的屬性。

3 結(jié)束語

我國信息網(wǎng)絡(luò)安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護(hù)兩個階段，正在進(jìn)入網(wǎng)絡(luò)信息安全研究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。雖然信息管理系統(tǒng)安全性措施取得了一定的成績，但我們切不可馬虎大意。只有不斷學(xué)習(xí)新的網(wǎng)絡(luò)安全知識，采取日新月異的網(wǎng)絡(luò)安全措施，才能保證我們的網(wǎng)絡(luò)安全和正常運行。

參考文獻(xiàn)：

[1] 韓莜卿.計算機病毒分析與防范大全[M]. 北京：電子工業(yè)出版社，2006，4.

[2] 楊兵.網(wǎng)絡(luò)系統(tǒng)安全技術(shù)研究及其在寶鋼設(shè)備采購管理系統(tǒng)中的應(yīng)用（學(xué)位論文）. 遼寧：東北大學(xué)，2002.

[3] 李輝．黑客攻防與計算機病毒分析檢測及安全解決方案[M]．2006.

[4] 丁霞軍.基于ASP的管理信息系統(tǒng)開發(fā)及其安全性研究（學(xué)位論文）. 安徽：安徽理工大學(xué)，2005.