淺析我國網絡安全面臨的威脅與對策

黃禮祥

（四川米易供電有限責任公司，四川 攀枝花 617000）

1 國內網絡安全現狀分析

隨著我國網絡技術的不斷發展，尤其是因特網在我國的迅速普及，針對我國境內信息系統的攻擊正在呈現快速增長的勢頭，利用網絡傳播有害信息的手段日益翻新。據了解，從1997年底到現在，我國的政府部門、證券公司、銀行、ISP、ICP等機構的計算機網絡相繼遭到多次攻擊。僅2001年4月份我國有記錄在案的被來自境外黑客攻擊的案例就多達443次。我國公安機關2002年共受理各類信息網絡違法犯罪案件6633起，比2001年增長45.9%，其中利用計算機實施的違法犯罪案件5301起，占案件總數的80%。

我國互聯網安全的狀況可以分為幾部分：

1.1 信息和網絡的安全防護能力差；

1.2 基礎信息產業嚴重依賴國外；

1.3 信息安全管理機構權威性不夠；

1.4 網絡安全人才短缺；

1.5 全社會的信息安全意識淡薄。

2 網絡面臨的安全威脅

目前網絡的安全威脅主要表現在以下幾個方面：

2.1 實體摧毀

實體摧毀是目前計算機網絡安全面對的“硬殺傷”威脅。其主要有電磁攻擊、兵力破壞和火力打擊3種。

2.2 無意失誤

例如操作員安全配置不當因而造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的賬號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。

2.3 黑客攻擊

沒有預先經過同意，就使用網絡或計算機資源被看作非授權訪問。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網絡系統進行違法操作、合法用戶以未授權方式進行操作等。某些新的信息技術在大大方便使用者的同時，也為“黑客”的入侵留下了大大小小的系統安全漏洞，令系統內部或外部人員可以輕易地對系統進行惡意入侵。比如，黑客可以使用一種稱為“IP spoofing”的技術，假冒用戶IP地址，從而進入內部IP網絡，對網頁及內部數據庫進行破壞性修改或進行反復的大量的查詢操作，使服務器不堪重負直至癱瘓。

2.4 病毒破壞

大量的來自于互聯網上的病毒。通過網絡傳播計算機病毒，其破壞性非常高，而且用戶很難防范。如眾所周知的CIH、“愛蟲”，以及“沖擊波”、“震蕩波”等病毒都具有極大的破壞性。這些病毒在互聯網上以幾何級數進行自我繁殖，在短時間內導致大量的計算機系統癱瘓，損失慘重。現在，互聯網上病毒的種類五花八門，不計其數，其對計算機系統的危害更是令所有的互聯網用戶以及網絡安全專家面臨巨大的挑戰。

2.5 TCP/IP協議上的某些不安全因素

目前廣泛使用的TCP/IP協議存在安全漏洞。如IP層協議就有許多安全缺陷。IP地址可以軟件設置，這就造成了地址假冒和地址欺騙兩類安全隱患；IP協議支持源路由方式，即源點可以指定信息包傳送到目的節點的中間路由，這就提供了源路由攻擊的條件。再如應用層協議Telnet，FTP，SMTP等協議缺乏認證和保密措施，這就為否認、拒絕等欺騙行為開了方便之門。

3 網絡安全問題的對策

網絡安全所采用的關鍵技術和措施有：

3.1 保密工作

對工作人員結合機房、硬件、軟件、數據和網絡等各個方面安全問題，進行安全教育，提高工作人員的保密觀念和責任心；加強業務、技術的培訓，提高操作技能；教育工作人員嚴格遵守操作規程和各項保密規定，防止人為事故的發生。

3.2 保護傳輸線路安全

對于傳輸線路，應有露天保護措施或埋于地下，并要求遠離各種輻射源，以減少各種輻射引起的數據錯誤；電纜鋪設應當使用金屬導管，以減少各種輻射引起的電磁泄露和對發送線路的干擾。對連接要定期檢查，以檢測是否有搭線竊聽、外連或破壞行為。

目前主要防護措施有兩類：一類是對外圍輻射的防護，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合；給網絡加裝電磁屏蔽網，防止敵方電磁武器的攻擊。另一類是對自身輻射的防護，這類防護措施又可分為兩種：一是采用各種電磁屏蔽措施，如對設備的金屬屏蔽和各種接插件的屏蔽，同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離；二是干擾的防護措施，即在計算機系統工作的同時，利用干擾裝置產生一種與計算機系統輻射相關的偽噪聲向空間輻射來掩蓋計算機系統的工作頻率和信息特征。

3.3 防御黑客攻擊

黑客攻擊是黑客自己開發或利用已有的工具尋找計算機系統和網絡的缺陷和漏洞，并對這些缺陷實施攻擊。在計算機網絡飛速發展的同時，黑客技術也日益高超，目前黑客能運用的攻擊軟件已有1000多種。從網絡防御的角度講，計算機黑客是一個揮之不去的夢魘。借助黑客工具軟件，黑客可以有針對性地頻頻對敵方網絡發動襲擊令其癱瘓，多名黑客甚至可以借助同樣的軟件在不同的地點“集中火力”對一個或者多個網絡發起攻擊。而且，黑客們還可以把這些軟件神不知鬼不覺地通過互聯網按到別人的電腦上，然后在電腦主人根本不知道的情況下“借刀殺人”，以別人的電腦為平臺對敵方網站發起攻擊！美軍認為，在未來計算機網絡進攻戰中，“黑客戰”將是其基本戰法之一。

理論上開放系統都會有漏洞的，正是這些漏洞被一些擁有很高技術水平和超強耐性的黑客所利用。黑客們最常用的手段是獲得超級用戶口令，他們總是先分析目標系統正在運行哪些應用程序，目前可以獲得哪些權限，有哪些漏洞可加以利用，并最終利用這些漏洞獲取超級用戶權限，再達到他們的目的。因此，對黑客攻擊的防御，主要從訪問控制技術、防火墻技術和信息加密技術入手。

3.4 訪問控制

訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和非常訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。可以說是保證網絡安全最重要的核心策略之一。訪問控制技術主要包括7種：入網訪問控制；網絡的權限控制；目錄級安全控制；屬性安全控制；網絡服務器安全控制；網絡監測和鎖定控制；網絡端口和節點的安全控制。根據網絡安全的等級，網絡空間的環境不同，可靈活地設置訪問控制的種類和數量。

3.5 防火墻技術

防火墻是近期發展起來的一種保護計算機網絡安全的技術性措施，它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障，也可稱之為控制進／出兩個方向通信的門檻。一個防火墻系統通常由屏蔽路由器和代理服務器組成。屏蔽路由器是一個多端口的IP路由器，它通過對每一個到來的IP包依據一組規則進行檢查來判斷是否對之進行轉發。代理服務器是防火墻系統中的一個服務器進程，它能夠代替網絡用戶完成特定的TCP/IP功能。一個代理服務器本質上是一個應用層的網關，一個為特定網絡應用而連接兩個網絡的網關。目前的防火墻主要有包過濾防火墻、代理防火墻和雙穴主機防火墻3種類型，并在計算機網絡得到了廣泛的應用。防火墻的確是一種重要的新型安全措施。但是，防火墻也不能解決進入防火墻的數據帶來的所有安全問題。如果用戶抓來一個程序在本地運行，那個程序很可能就包含一段惡意的代碼，或泄露敏感信息，或對之進行破壞。防火墻的另一個缺點是很少有 防火墻制造商推出簡便易用的“監獄看守”型的防火墻，大多數的產品還停留在需要網絡管理員手工建立的水平上。

3.6 信息加密技術

信息加密的目的是保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據。網絡加密常用的方法有鏈路加密、端點加密和節點加密3種。

3.6.1 鏈路加密的目的是保護網絡節點之間的鏈路信息安全；

3.6.2 端-端加密的目的是對源端用戶到目的端用戶的數據提供保護；

3.6.3 節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。

用戶可根據網絡情況酌情選擇上述加密方式。信息加密過程是由形形色色的加密算法來具體實施，它以很小的代價提供很大的安全保護。在多數情況下，信息加密是保證信息機密性的唯一方法。據不完全統計，到目前為止，已經公開發表的各種加密算法多達數百種。如果按照收發雙方密鑰是否相同來分類，可以將這些加密算法分為常規密碼算法和公鑰密碼算法。

在常規密碼中，收信方和發信方使用相同的密鑰，即加密密鑰和解密密鑰是相同或等價的。在公鑰密碼中，收信方和發信方使用的密鑰互不相同，而且幾乎不可能從加密密鑰推導出解密密鑰。當然在實際應用中人們通常將常規密碼和公鑰密碼結合在一起使用，比如：利用DES或者IDEA來加密信息，而采用RSA來傳遞會話密鑰。密碼技術是網絡安全最有效的技術之一。一個加密網絡，不但可以防止非授權用戶的搭線竊聽和入網，而且也是對付惡意軟件的有效方法之一。

3.7 防御計算機病毒

如果說，黑客們入侵計算機網絡事件是從計算機網絡中向外竊取信息情報的話。那么計算機病毒則是人們向內攻擊計算機網絡的方法了。目前計算機病毒已經攪得世界不得安寧，并且它將繼續逞兇在未來的信息戰場之上，成為各國軍隊不得不認真對付的一種高技術武器。

由于計算機病毒的傳染性、潛伏性和巨大的破壞性。計算機病毒作為信息戰的武器，其攻防對抗的焦點和關鍵技術是病毒的制作技術、注入技術、激活技術和隔離技術，其中實施病毒戰難度最大的是注入、激活和隔離技術。防御計算機病毒，首先要進行計算機病毒的種類、性能、干擾機理的研究，加強計算機病毒注入、激活、耦合技術的研究和計算機病毒的防御技術的研究。但是要從根本上解決問題，就必須要用我國自己的安全設備加強信息與網絡的安全性，大力發展基于自主技術的信息安全產業。這樣才能從根本上擺脫引進國外的關鍵信息系統難以安全利用、有效監控的被動局面。

結語

網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。它主要是指網絡系統的硬 件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。

[1]張衛清.網絡安全與網絡安全文化[D].南華大學，2006（05）.

[2]周濤，石堅，吳恩平，楊立純，力立.一種網絡安全狀態評估系統及方法，2010（11）.