論計算機網絡中的信息安全

■徐 強 李道明

計算機網絡應用的普及，給人們的生活生產帶來了極大的便利，如何保護信息在開放的網絡環境中的安全，保證信息不被篡改，是正常使用計算機網絡的基本保障，從網絡信息安全的主要內容、防護的技術手段、方法等幾個方面對網絡安全作了初步探討。

隨著計算機網絡在各行各業及個人應用的普及，網絡給人們的生活生產帶來了極大的便利，網絡信息每年以幾何級數向上增長，如何保護信息在開放的網絡環境中的安全，保證信息不被篡改，泄露是正常使用計算機網絡的基本保障，計算機網絡的運行主要是通過網絡和信息技術來支撐的，因此計算機網絡安全運行的核心內容就是網絡上的信息安全問題。

一、網絡信息安全的主要內容

1.保密性：保證信息不泄露給未經授權的用戶或供其利用。

2.完整性：防止信息被未經授權的人的篡改，保證真實的信息從真實的信息源無失真地傳到真實的信宿。

3.可用性：保證信息及信息系統確實為授權使用者所使用，防止由于計算機病毒或其他人為因素造成網絡和系統無法正常運行而拒絕服務或為敵手所利用。

4.可控性：對信息內容及信息系統實施安全監控管理，防止非法修改。

5.抗抵賴性：保證信息行為人不能否認自己的行為。

如何保證網絡信息的安全，為正常使用網絡提供最基本的保障，本文試圖從網絡防護的技術手段、網絡防護方法兩個主要方面做一簡單探討。

二、網絡安全的技術防護方面

主要分為主動防護與被動防護，主動防護主要技術手段包括：防火墻、病毒掃描、PKI技術和服務、網頁防篡改等，被動防護主要技術手段主要包括：安全掃描、日志審計、入侵檢測等

（一）主動防護技術

1.防火墻

網絡的最大特點是開放性、無邊界性、自由性。要想實現網絡的安全，一個最基本的方法就是將被開放的網絡從開放的、無邊界的網絡環境中獨立出來，使之成為可管理的、可控制的、安全的內部網絡。實現這一目標的最基本的分隔手段就是防火墻，作為網絡安全的第一道門戶，可以實現內部網（信任網）與外部不可信賴網絡之間或內部網不同網絡安全區域的隔離與訪問控制，保證網絡系統與網絡服務的可用性。防火墻是一種網絡安全保障手段，是網絡通信時執行的一種訪問控制尺度。它主要的目標是控制入、出的一個網絡權限，并強迫所有的網絡連接都經過這樣的檢查。其整個發展經歷了：基于路由器的防火墻、用戶化防火墻工具包、建立在通用操作系統上的防火墻和具有安全操作系統的防火墻4個階段。主要分為：包過濾防火墻、應用網關防火墻、代理服務器防火墻、狀態檢測防火墻、自適應代理技術。

由于防火墻主要用于限制保護的網絡和互聯網之間或與其他網絡之間進行相互的信息存取、傳遞操作，它處于內部網絡和外部網絡之間，因此網絡應用受到結構性限制，內部安全隱患仍然存在，效率低，而故障率較高。這些問題導致了：（1）不能防范外部刻意的人為攻擊；（2）不能防范內部用戶的攻擊；（3）不能防止內部用戶因誤操作而造成的口令失密受到攻擊；很難防止病毒或受病毒感染的文件的傳輸。

2.病毒掃描

病毒是指一段可執行的程序代碼，通過對其他程序進行修改來感染這些程序，使其含有該病毒的一個復制，并且可以在特定的條件下進行破環。在其整個生命周期中包括潛伏、繁殖、觸發和、執行4個階段。對于病毒防護而言，最徹底的方法是不允許其進入系統，但是這很難，因此大多數情況下，采用“檢測-標識-清除”的策略來應付。在病毒防護史上，大致經歷了以下幾個階段。（1）簡單掃描程序；（2）啟發式掃描程序；（3）行為陷阱；（4）全方位保護。反病毒技術的最新發展方向是類屬解密和數字免疫系統。

由于反病毒技術滯后與病毒的產生與發展，現有的反病毒技術只能夠對已有病毒、已有病毒的部分變種有良好的防護作用，而對于新型病毒還沒有有效的解決方式，需要升級特征庫。另外，它只是對病毒、黑客程序、間諜軟件這些惡間代碼有防護作用。

3.PKI

PKI技術主要借助“數字簽名”技術實現，數字簽名是維護網絡信息安全的一種重要方法和手段，在身份認證、數據完整性、抗抵賴性方面都有重要應用，特別是在大型網絡安全通信中密鑰分配、認證和電子商務、電子政務系統中有重要的作用。而且它通過密碼技術對電子文檔進行電子形式的簽名，是實現認證的重要工具。數字簽名是只有發送方才能夠進行的簽名，是任何其它人無法偽造的一段數字串，這段特殊的數字串同時也是對相應的文件和信息真實性的一個證明。數字簽名的特點是它代表了文件的特征。如果文件發生變化，數字簽名的值也會發生變化，不同的文件會得到不同的數字簽名。

（二）被動防護技術

1.入侵檢測

入侵檢測是指監視或在可能的情況下，阻止入侵者試圖控制自己的系統或網絡資源的那種努力。它是用于檢測任何損害或企圖損害系統的機密性、完整性、或可用性的行為的一種網絡安全技術。它通過監視受保護系統的狀態和活動，采用異常檢測或誤用檢測的方式，發現非授權的或惡意的系統及網絡行為，為防范入侵行為提供有效的手段。

入侵檢測系統要解決的最基本的兩 個問題是：如何充分并可靠地提取描述行為特征的數據，以及如何根據數據特征，高效并準確地判斷行為的性質。主要采用異常入侵檢測技術和誤用入侵檢測技術兩種方法。異常入侵檢測技術是指通過觀測到的一組測量值的偏離度來預測用戶行為的變化。誤用入侵檢測技術主要指假設具有能夠精確地按某種方式編碼的攻擊，并可以通過捕獲攻擊和重新整理來確認入侵活動是基于同一弱點進行攻擊的入侵方法的變種。

對于入侵檢測而言，入侵特征的收集十分重要，因此它對于已經存在的入侵手段能夠起到良好的作用，而對于新的入侵手段則有很大局限性。

2.安全掃描

安全掃描是指對計算機系統及網絡端口進行安全性檢查，它通常要借助于相關軟件。它是一個幫助管理員尋找到網絡安全隱患的工具，并不能直接解決安全問題，而且對未被業界發現的隱患也無法找到。

3.日志審計系統

日志審計系統是通過一些特定的、預先定義的規則來發現日志中潛在的問題，它可以用來事后亡羊補牢，也可以用來對網絡安全攻擊進行取證。顯然它是一種被動式、事后的防護或事中跟蹤的手段，很難在事前發揮作用。

三、網絡安全維護的主要方法

不論是主動防護技術還是被動防護技術，在實際網絡安全防護的應用中都不是孤立存在的，網絡安全防護應綜合交叉采用多種技術手段和方法才能盡最大可能的保障網絡安全。主要應包括：

1.保證接入的安全，一些攻擊往往來自外網，外網接入內網時必須保證對內網構成安全威脅的因素盡可能地補攔截，只允許授權用戶才可以訪問內網。

2.保證干路暢通和劃分子網，根據用戶對安全需求的不同，將同一安全級別的用戶劃入同一子網。

3.在網絡邊界設置防火墻、存取控制、端口隔離等多種技術手段進行安全控制。

4.保證軟件系統的安全，由于操作系統是軟件系統的基礎，所以保護好操作系統是保證網絡安全的基礎，設置好訪問策略，綜合運用多種版本的防病毒軟件對系統進行交叉殺毒。5.制定網絡安全管理辦法，健全管理機制。

顯然，保障網絡安全性與網絡服務效率永遠是一對矛盾體，在計算機應用普及的時代，要想網絡安全可靠，勢必會增加許多措施來安全設備，從而會或多或少的影響使用效率和方便性。

參加文獻：

[1]張友生主編.全國計算機技術與軟件專業技術資格（水平）考試指南[M].電子工業出版社,2004.

[2]陳宇.計算機網絡管理員——網絡管理師[M].清華大學出版社,2004.