計算機網(wǎng)絡(luò)安全現(xiàn)狀及對策

摘要:網(wǎng)絡(luò)已成為獲取各種信息的重要手段，人們在享受著網(wǎng)絡(luò)帶來快樂的同時，也面臨著越來越嚴重和復雜的網(wǎng)絡(luò)安全威脅和難以規(guī)避的風險。該文從網(wǎng)絡(luò)安全定義入手，全面分析了影響網(wǎng)絡(luò)安全的因素，從而提出計算機網(wǎng)絡(luò)安全防范相關(guān)措施，以確保網(wǎng)絡(luò)安全有效運行。

關(guān)鍵詞:網(wǎng)絡(luò)安全;安全策略;安全機制;物理隔離網(wǎng)閘

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)05-1079-02

The Security Actuality and Countermeasure of Network

HU Chun

(Yunnan Vocational Institute of Energy Technology， Qujing 655001， China)

Abstract: network has become the main means to get all sorts of information. At the same time people enjoy the convenient and efficiency from network， they also face the unavoidable risk and the complicated security threat. Beginning with the definiens of network security， this paper analyzes the factors affecting network security and brings forward the related countermeasure to make insure the failure-free operation of network security.

Key words: network security; security policy; security mechanism; GAP technology

1 計算機網(wǎng)絡(luò)安全的定義

計算機網(wǎng)絡(luò)安全來自兩個方面的定義。從狹義的保護角度來看，計算機網(wǎng)絡(luò)安全是指計算機及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害，即是指計算機、網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，確保系統(tǒng)能連續(xù)可靠正常地運行，使網(wǎng)絡(luò)服務(wù)不中斷。從廣義上說，凡涉及到計算機網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是計算機網(wǎng)絡(luò)安全的研究領(lǐng)域。所以，廣義的計算機網(wǎng)絡(luò)安全還包括信息設(shè)備的物理安全性。[1]從本質(zhì)上講，就是系統(tǒng)上的信息安全。

2影響計算機網(wǎng)絡(luò)安全的因素

2.1 安全策略

安全策略是為了保護網(wǎng)絡(luò)不受來自網(wǎng)絡(luò)內(nèi)外的各種危害而采取的防范措施。許多站點在防火墻配置上無意識地擴大了訪問權(quán)限，忽視了這些權(quán)限可能會被其他人員濫用。網(wǎng)絡(luò)入侵的目的主要是取得使用系統(tǒng)的存儲權(quán)限、寫權(quán)限以及訪問其他存儲內(nèi)容的權(quán)限，或者是作為進一步進入其他系統(tǒng)的跳板，或者惡意破壞這個系統(tǒng)，使其毀壞而喪失服務(wù)能力。對安全策略的忽視或設(shè)計不當，將給網(wǎng)絡(luò)帶來不可規(guī)避的風險。

2.2 應用系統(tǒng)安全漏洞

近年來，隨著Internet的發(fā)展，Web技術(shù)日新月異，人們已經(jīng)不再滿足于靜態(tài)HTML，更多的是要求動態(tài)、交互的網(wǎng)絡(luò)技術(shù)。繼通用網(wǎng)關(guān)接口(CGI)之后，諸如ASP之類的服務(wù)器端網(wǎng)頁設(shè)計技術(shù)，被廣泛應用于各種系統(tǒng)中。這一技術(shù)解決方案為我們帶來便捷的同時，也帶來了嚴峻的安全問題。[2]

2.3 后門和木馬程序

后門的功能主要有:使管理員無法阻止種植者再次進入系統(tǒng);使種植者在系統(tǒng)中不易被發(fā)現(xiàn);使種植者進入系統(tǒng)花費最少時間。木馬，又稱為特洛伊木馬，是一類特殊的后門程序，英文叫做“trojian horse”，其名稱取自希臘神話的“特洛伊木馬記”，它是一種基于遠程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點。一旦自己的計算機被安裝了后門或木馬程序，該程序可能會竊取用戶信息，包括用戶輸入的各種密碼，將這些信息發(fā)送出去，或者，使得別人可以通過網(wǎng)絡(luò)控制這些計算機，竊取計算機中的用戶信息和文件。

2.4 計算機病毒

計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或程序代碼。[3]如常見的蠕蟲病毒，就是以計算機為載體，利用操作系統(tǒng)和應用程序的漏洞主動進行攻擊，是一種通過網(wǎng)絡(luò)傳統(tǒng)的惡性病毒。它具有病毒的一些共性，如傳播性、隱蔽性、破壞性和潛伏性等等，同時具有自己的一些特征，如不利用文件寄生(有的只存在于內(nèi)存中)，對網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合等。

2.5 硬件的配置不協(xié)調(diào)

一是文件服務(wù)器，它是網(wǎng)絡(luò)的中樞，其運行穩(wěn)定性、功能完善性直接影響網(wǎng)絡(luò)系統(tǒng)的質(zhì)量。網(wǎng)絡(luò)應用的需求沒有引起足夠的重視，設(shè)計和選型考慮欠周密，從而使網(wǎng)絡(luò)功能發(fā)揮受阻，影響網(wǎng)絡(luò)的可靠性、擴充性和升級換代。二是網(wǎng)卡用工作站選配不當導致網(wǎng)絡(luò)不穩(wěn)定。

3 網(wǎng)絡(luò)安全機制應具有的功能

3.1 身份認證

身份認證是計算機網(wǎng)絡(luò)系統(tǒng)的用戶在進入系統(tǒng)或訪問不同保護級別的系統(tǒng)資源時，系統(tǒng)確認該用戶的身份是否真實、合法和唯一的過程。對于一般的計算機網(wǎng)絡(luò)而言，主要考慮主機和節(jié)點的身份認證，至于用戶的身份認證可以由應用系統(tǒng)來實現(xiàn)。

3.2 訪問控制

訪問控制是指主體依據(jù)某些控制策略或權(quán)限對客體本身或是其資源進行的不同授權(quán)訪問，可分為自主訪問控制和強制訪問控制。自主訪問控制(Discretionary Access Control)是基于對主體或主體所屬的主體組的識別來限制對客體的訪問，也就是由擁有資源的用戶自己來決定其他一個或一些主體可以在什么程度上訪問哪些資源。強制訪問控制(Mandatory Access Control)是一種多級訪問控制策略，其主要特點是系統(tǒng)對主體和客體實行強制訪問控制:系統(tǒng)事先給所有的主體和客體指定不同的安全級別，比如絕密級、機密級、秘密級和無密級。在實施訪問控制時，系統(tǒng)先對主體和客體的安全級別進行比較，再決定主體能否訪問該客體。所以，不同級別的主體對不同級別的客體的訪問是在強制的安全策略下實現(xiàn)的。

3.3 數(shù)字簽名

數(shù)字簽名可以證明消息發(fā)送者的身份、消息的真實性及抗否認性。數(shù)字簽名分為直接數(shù)字簽名和需要仲裁的數(shù)字簽名。

3.4 數(shù)據(jù)完整性保護

數(shù)據(jù)的完整性可以用消息認證來驗證，當接收方收到發(fā)送方的消息時，接收方能夠驗證收到的消息是真實的、未被篡改的。一方面，驗證消息的發(fā)送者是真正的而不是冒充的，即數(shù)據(jù)起源認證;另一方面，驗證消息在傳送過程中未被篡改、重放或延遲等。

3.5 審計追蹤

通過網(wǎng)絡(luò)上發(fā)生的各種訪問情況記錄日志，對日志進行統(tǒng)計分析，從而對資源使用情況進行事后分析。審計也是發(fā)現(xiàn)和追蹤事件的常用措施。當系統(tǒng)出現(xiàn)安全問題時能夠追查原因。

3.6 密鑰管理

信息加密是保障信息安全的重要途徑，以密文方式在相對安全的信道上傳遞信息，可以讓用戶比較放心地使用網(wǎng)絡(luò)。對密鑰的產(chǎn)生、存儲、傳遞和定期更換進行有效地控制而引入密鑰管理機制，對增加網(wǎng)絡(luò)的安全性和抗攻擊性非常重要。

4 計算機網(wǎng)絡(luò)安全防范措施

4.1 加強實體安全管理，確保計算機網(wǎng)絡(luò)系統(tǒng)實體安全

加強教育培訓、資格認證和人事考核鑒定，規(guī)范日常工作，明確方位職責;建立健全安全管理制度，防止非法用戶進入計算機控制室和各種非法行為的發(fā)生;注重在保護計算機系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機等外部設(shè)備和通信鏈路上狠下功夫，并不定期的對運行環(huán)境條件(溫度、濕度、清潔度、三防措施、供電接頭、接線及設(shè)備)進行檢查、測試和維護;著力改善抑制和防止電磁泄漏的能力，確保計算機系統(tǒng)有一個良好的電磁兼容的工作環(huán)境。

4.2 強化訪問控制，保證計算機網(wǎng)絡(luò)系統(tǒng)運行正常

建立網(wǎng)絡(luò)的權(quán)限控制模塊。網(wǎng)絡(luò)的權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權(quán)限?？梢愿鶕?jù)訪問權(quán)限將用戶分為3 種類型:特殊用戶(系統(tǒng)管理員);一般用戶，系統(tǒng)管理員根據(jù)他們的實際需要為他們分配操作權(quán)限;審計用戶，負責網(wǎng)絡(luò)的安全控制與資源使用情況的審計。

建立屬性安全服務(wù)模塊。屬性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來。屬性安全在權(quán)限安全的基礎(chǔ)上提供更進一步的安全性。網(wǎng)絡(luò)屬性可以控制以下幾個方面的權(quán)限:向某個文件寫數(shù)據(jù)、拷貝一個文件、刪除目錄或文件的查看、執(zhí)行、隱含、共享及系統(tǒng)屬性等，還可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刪除、執(zhí)行修改、顯示等。

建立網(wǎng)絡(luò)服務(wù)器安全設(shè)置模塊。網(wǎng)絡(luò)服務(wù)器的安全控制包括設(shè)置口令鎖定服務(wù)器控制臺;設(shè)置服務(wù)器登錄時間限制、非法訪問者檢測和關(guān)閉的時間間隔;安裝非法訪問設(shè)備等。安裝非法訪問裝置最有效的設(shè)施是安裝防火墻。它是一個用以阻止網(wǎng)絡(luò)中非法用戶訪問某個網(wǎng)絡(luò)的屏障，也是控制進、出兩個方向通信的門檻。目前的防火墻有3 種類型:一是雙重宿主主機體系結(jié)構(gòu)的防火墻;二是被屏蔽主機體系結(jié)構(gòu)的防火墻;三是被屏蔽主機體系結(jié)構(gòu)的防火墻。

4.3 信息網(wǎng)絡(luò)安全

數(shù)據(jù)備份。數(shù)據(jù)備份就是將硬盤上的有用的文件、數(shù)據(jù)都拷貝到另外的地方如移動硬盤等，這樣即使連接在網(wǎng)絡(luò)上的計算機被攻擊破壞，因為已經(jīng)有備份，所以不用擔心，再將需要的文件和數(shù)據(jù)拷回去就可以了。做好數(shù)據(jù)的備份是解決數(shù)據(jù)安全問題的最直接與最有效措施之一。

物理隔離網(wǎng)閘。物理隔離網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個獨立主機系統(tǒng)的信息安全設(shè)備。由于物理隔離網(wǎng)閘所連接的兩個獨立主機系統(tǒng)之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無協(xié)議“擺渡”，且對固態(tài)存儲介質(zhì)只有“讀”和“寫”兩個命令。因此，他能夠抵御互聯(lián)網(wǎng)目前存在的幾乎所有攻擊，例如基于操作系統(tǒng)漏洞的入侵、基于TCP/IP漏洞的攻擊、特洛伊木馬和基于隧道的攻擊等。

防火墻技術(shù)。防火墻對信任度不同的網(wǎng)絡(luò)之間的通信進行控制，通過強制實施統(tǒng)一的安全策略，限制外界用戶和內(nèi)部網(wǎng)絡(luò)之間的互訪。防火墻對流經(jīng)它的網(wǎng)絡(luò)通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口，而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信， 在很大程度上保護了網(wǎng)絡(luò)的安全性。

參考文獻:

[1] 蔡立軍.計算機網(wǎng)絡(luò)安全技術(shù)[M].北京:中國水利水電出版社，2007.

[2] 劉東杰.ASP+ACCESS網(wǎng)上應用系統(tǒng)的安全漏洞及對策[J].期刊論文，2004.

[3] 殷偉.計算機安全與病毒防治[M].合肥:安徽科學技術(shù)出版社，2004.