淺談計算機網絡通信安全

楊 軍， 畢 萍

（1.中國聯合網絡通信有限公司西安分公司 信息化支撐中心，陜西 西安 710051；2.西安郵電學院 通信與信息工程學院，陜西 西安 710121）

20世紀90年代后，計算機網絡迅速發展，通過網絡我們可以方便的與人交流，及時了解時事新聞，獲取各種最新的知識和信息共享資源，可以說，地球以經成為了一個地球村。然而，與此相關的網絡安全問題也隨之凸現出來，逐漸成為人們網絡應用所面臨的主要問題，據美國FBI統計，美國每年網絡安全問題所造成的經濟損失高達75億美元，而全球平均每20秒鐘就發生一起Internet計算機侵入事件。

1 計算機通信網絡安全的特點和形成原因

計算機通信網絡是一種被廣泛應用的信息傳輸系統，它是計算機與通信技術相結合的產物，它的安全性至關重要。目前網絡安全已不再是軍方和政府要害部門的一種特殊需求。所有的網絡應用環境都有網絡安全的需求，如表1所示。

1.1 近年的網絡安全事件

2005年至2007年，T.J.Maxx和Marshalls的 4 500萬個信用卡和借記卡號碼遭竊。實施這起攻擊的黑客阿爾伯特·岡薩雷斯（Albert Gonzalez）在2008年被繩之以法，2010年被判處20年有期徒刑。在2005年和2008年間，岡薩雷斯總計盜取了超過1.7億個信用卡和借記卡帳號，令其成為史上最成功的“信用卡大盜”。2009年中，谷歌、雅虎等數十家硅谷企業遭到史無前例的黑客攻擊，目前尚不清楚這些美國公司究竟有哪些數據失竊，但谷歌承認其部分知識產權信息遭竊。據悉，黑客利用微軟老版Internet Explorer瀏覽器的漏洞進入了谷歌公司內網。2011年3月，一家世界知名網絡安全服務供應商RSASecurity的高度機密內部數據庫在黑客攻擊下暴露無遺，他們是被釣魚攻擊的，釣魚文件里面有一個惡意的郵件，不知情的員工點擊了郵件，然后公司就受到了攻擊。這起事件之所以引人注目，是因為RSA的技術原本是用來保護其他數千套系統安全的，連這家公司都遭到攻擊，黑客侵入這些系統的輕松程度由此可見一斑。2010年9月，首個網絡超級武器，名為Stuxnet的計算機病毒已經感染了全球超過45 000個網絡，伊朗遭到的攻擊最為嚴重。Stuxnet并非間諜網路的開端，是商業行為催生了網絡犯罪，隨著新型移動平臺的激增，圖謀不軌的人將有更多的手段來實施攻擊和盜取資料。2011年底，人人網、天涯、開心網、百合網等網站遭“泄露門”，被稱是這些網站的用戶數據資料被放到網上公開下載?？梢娋W絡安全事件隨時隨地發生在我們生活的方方面面，必須引起企業和用戶的足夠重視。

表1 典型的網絡安全需求Tab.1 A typical network security requirements

由諸多事例可以看出網絡攻擊的特點：

1）威脅社會安全 有些計算機網絡攻擊者將軍事部門和政府部門的計算機作為主要的攻擊目標，從而對社會和國家的安全造成巨大的威脅。

2）攻擊損失很大 由于攻擊以及侵害的對象是網絡上的計算機，每一次的成功攻擊，都會給廣大的計算機用戶以及企業等帶來很大災難，嚴重的甚至會帶來系統癱瘓、數據丟失甚至被竊。

3）攻擊手段多樣并且隱蔽 計算機攻擊者可以通過截取別人的口令和賬號進入別人的計算機，還可以通過監視網絡的數據獲取別人的保密信息，這些過程可以在很短的時間內完成，攻擊隱蔽性很強。

1.2 安全問題形成的原因

安全問題形成的原因有如下4方面[2]：

1）自然因素

計算機在使用的過程中，不可避免會受到自然環境（如溫度、濕度），人為因素（振動、沖擊、污染）的影響。當計算機對外界環境的抵御能力較弱時，就可能會發生硬件損壞，數據丟失，誤碼率增加，使得信息的安全性、完整性和可用性受到威脅。最常見的就是靜電威脅。因為各種原因產生的靜電，是發生最頻繁并且最難消除的危害之一。例如2011年7月28日溫州動車追尾事故這一重大的故障會給經濟帶來巨大的損失，造成的政治影響更是不容忽視。

2）網絡安全意識的缺乏

網絡構架正變得越來越復雜，這對網絡管理人員的素質提出了更高的要求。所以，網絡管理人員的素質對于整個網絡的安全起著至關重要的作用。雖然，目前有許多管理軟件可以輔助管理，但是如果網絡管理人員的安全意識淡薄，操作不當，安全設置不規范，密碼設置簡單等等，都會對網絡安全構成威脅。

3）操作系統的漏洞

操作系統是一個復雜的軟件包，即使研究人員考慮的比較周密，但是仍然會存在很多漏洞。目前操作系統最大的漏洞是I/O處理，I/O命令通常是儲存于用戶的內存空間內，任何用戶在I/O操作開始之后都可以改變命令的源地址或目的地址。由于操作系統在開始已經進行過以此存取檢查，因而，在每次每塊數據傳輸時并不再檢查，僅只改變傳輸地址。這種漏洞被黑客利用，影響了系統的安全。另外，TCP/IP協議的漏洞也是導致網絡不安全的原因。

4）安全管理的漏洞

由于沒有正確認識網絡入侵所造成的后果，舍不得投入必要的人力、物力、財力來加強網絡的安全性，因而沒有采取正確的安全策略和安全機制，致使安全問題頻頻發生。

2 網絡安全威脅和防御策略

2.1 安全威脅

安全威脅可以被分為故意的（如黑客滲透）和偶然的（如信息被發往錯誤的地址）兩類。故意的威脅又可以進一步分成被動的和主動的兩類。被動威脅包括只對信息進行監聽而不對其進行修改，主動威脅包括對信息進行故意的修改?？偟膩碚f被動攻擊比主動攻擊更容易以更少的花費付諸工程實現。但目前還沒有統一的方法來對各種威脅加以區別和進行分類，也難以搞清各種威脅之間的相互聯系。不同威脅的存在隨環境的變化而變化。然而，為了解釋網絡安全服務的作用，人們總結了現代計算機網絡以及通信過程中常遇到的一些威脅[1]，如表2所示。

在安全威脅中，主要的可實現的威脅包括滲入威脅和植入威脅。滲入威脅有：假冒、旁路控制、授權侵犯。植入威脅有：特洛伊木馬、陷門。當然，在具體實施攻擊時，攻擊者往往將幾種攻擊結合起來使用，例如Internet蠕蟲就是將旁路控制與假冒攻擊結合起來的一種威脅。

2.2 防御策略

網絡攻擊是利用系統等各方面的安全漏洞進行非法操作的行為，因此從網絡的各個層次進行技術防范是設計網絡安全防御系統的必要條件。目前采取的安全防御措施與設備主要有以下6種：加密系統、入侵檢測、漏洞掃描、身份認證、防火墻和殺毒軟件等[3-7]。

1）密碼技術

密碼技術是網絡安全最有效的技術之一，它可以防止非授權用戶的搭線竊聽和入網，也是對付惡意軟件的有效方法。一般的數據加密可以在通信的三個層次來實現：鏈路加密、節點加密和端到端加密。鏈路加密能為網上傳輸的數據提供安全保障。鏈路加密的所有消息在被傳輸之前進行加密，在每一個節點對接收到的消息進行解密，然后先使用下一個鏈路的密鑰對消息進行加密，再進行傳輸。在到達目的地之前，一條消息可能要經過許多鏈路的傳輸。節點加密能給網絡數據提供較高的安全性，它在操作方式上與鏈路加密是類似的，但與鏈路加密不同的是，節點加密不允許消息在網絡節點以明文形式存在，它先把收到的消息進行解密，然后采用另一個不同的密鑰進行加密，這一過程在節點上的一個安全模塊中進行。端到端加密允許數據在從源點到終點的傳輸過程中始終以密文形式存在。采用端到端加密，消息在被傳輸時到達終點之前不進行解密，因為消息在整個傳輸過程中均受到保護，所以即便節點損壞也不會使消息泄露。

表2 典型的網絡安全威脅Tab.2 A typical network security threats

2）防火墻技術

防火墻是網絡安全領域首要的、基礎的設備，利用防火墻可以有效地劃分網絡不同安全級別區域間的邊界，并在邊界上對不同區域間的訪問實施訪問控制、身份鑒別和審計等安全功能。根據實現方式的不同，防火墻的基本類型有包過濾型、應用網關防火墻、代理服務型和狀態檢測型。

3）入侵檢測

入侵檢測系統是一種主動保護網絡資源的網絡安全系統，它從計算機網絡中的關鍵點收集信息，并進行分析，查看網絡中是否有違反安全策略的行為和受到攻擊的跡象。入侵檢測是防火墻的合理補充，能幫助系統對付網絡攻擊，提高了信息安全基礎結構的完整性。入侵檢測的基本任務包括以下幾個方面：監視、分析用戶及系統活動；系統構造和弱點的審計；識別反映已知進攻的活動模式并向相關認識報警；異常行為模式的統計分析；評估重要系統和數據文件的完整性；操作系統的審計跟蹤管理，并識別用戶違反安全策略的行為。入侵檢測系統一般通過4種技術手段進行分析：模式匹配、統計分析、協議分析和完整性分析。其中前3種方法主要用于實時的入侵檢測，而完整性分析則用于事后分析。

4）漏洞掃描

在網絡安全事件中，很大一部分都是由于網絡系統存在系統漏洞造成的，網絡安全掃描系統就是針對系統漏洞而設計的。它能自動地對計算機系統或者網絡設備的安全漏洞進行檢測，并且為檢測到的漏洞提供修補措施，從而預防被攻擊的危險。漏洞掃描主要通過以下兩種方法來檢查目標主機是否存在漏洞：一是在端口掃描后得知目標主機開啟的端口以及端口上的網絡服務，將這些相關信息與網絡漏洞掃描系統提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在；二是通過模擬黑客攻擊手法，對目標主機系統進行攻擊性的安全漏洞掃描，若模擬攻擊成功，則表明目標主機系統存在安全漏洞。

5）身份認證

在網絡系統中，黑客可以輕易偽裝成他人進行網絡欺騙，非法訪問保密信息，使用網絡資源。因此，網絡環境的身份認證成為了保證系統信息和資源被合法使用的關鍵。網絡的分布性使得用戶的身份認證方法不能再依賴傳統的現場認證，因此需要提供網絡環境下身份認證能力，確保網絡資源、系統資源和重要數據被合法訪問。身份認證的常用術有動態密碼技術、PKI技術等。

6）殺毒軟件

殺毒軟件如今是計算機用戶必備的軟件，是用于消除病毒、特洛伊木馬和惡意軟件的一類軟件。殺毒軟件通常集成監控識別、病毒掃描和清除和自動升級等功能，有的殺毒軟件還帶有數據恢復等功能，是計算機防御系統的重要組成部分。殺毒軟件通過在系統添加驅動程序的方式，進駐系統，并且隨操作系統啟動。殺毒軟件的任務是實時監控和掃描磁盤，以便及時的發現威脅并清除。

5 結束語

計算機技術的發展致使網絡安全技術的不斷更新，掌握必要的網絡安全知識，增強網絡安全的防范意識是非常有必要的。我們必須時刻注意安全問題，使用盡量多而可靠的安全工具進行維護，讓我們的網絡更安全可靠，正常有序的運行，這也是行業未來電子化、信息化發展的要求。

[1]馮登國.計算機通信網絡安全[M].北京:清華大學出版社，2001.

[2]楊宇.計算機網絡安全存在的問題和解決對策分析[J].電腦知識與技術，2010，6（33）:9213-9214.

YANG Yu.Analysis on computer network security problems and solutions[J].Computer Knowledge and Technology，2010，6（33）:9213-9214.

[3]杜剛.淺談計算機網絡安全 [J].鐵道建筑技術，2010（11）:116-119.

DUGang.Oncomputernetworksecurity[J].RailwayConstruction Technology，2010（11）:116-119.

[4]祝曉光.網絡安全設備與技術[M].北京:清華大學出版社，2004.

[5]胡秀慧，姜晨.淺析計算機網絡安全與防范[J].網絡安全技術與應用，2010（11）:56-58.

HU Xiu-hui，JIANG Chen.Analyze calculatornetwork securityand guard[J].Network SecurityTechnology&Application，2010（11）:56-58.

[6]郭婧.淺談網絡信息安全及其防護 [J].電腦知識與技術.2010，6（33）:9459-9460.

GUO Jing.On the network security and protection[J].ComputerKnowledgeandTechnology，2010，6（33）:9459-9460.

[7]付忠勇.網絡安全管理與維護[M].北京:清華大學出版社，2009:1-335.