計算機網(wǎng)絡(luò)信息安全分析與管理探究

張 原

（國家食品藥品監(jiān)督管理總局信息中心， 北京，100053）

0 引言

近年來，計算機網(wǎng)絡(luò)已經(jīng)成為人們生活中不可或缺的應(yīng)用工具。然而，隨著網(wǎng)絡(luò)信息資源的日益發(fā)展和推廣，網(wǎng)絡(luò)資源開放與共享的需求也日益增加，隨之而來的信息安全問題也成為困擾人們的一大難題。病毒、黑客、網(wǎng)絡(luò)犯罪等等關(guān)于網(wǎng)絡(luò)安全的事故層出不窮，它往往導致系統(tǒng)癱瘓、經(jīng)濟損失、機密被竊、隱私暴露等后果，給人們的社會生活以及私人生活造成不可估量的損失與困擾。由此可見，在計算機網(wǎng)絡(luò)發(fā)展日新月異的今天，計算機網(wǎng)絡(luò)安全問題需要我們進行長期地探索與研究。

1 威脅計算機網(wǎng)絡(luò)信息安全的因素

1.1 環(huán)境因素

很多環(huán)境因素可以對計算機網(wǎng)絡(luò)產(chǎn)生不利影響。主要分為兩個方面，自然環(huán)境因素與社會環(huán)境因素。計算機網(wǎng)絡(luò)傳輸途徑主要是通過有線鏈路和無線電波將不同地域的計算機或終端連接起來，而依靠這兩種信息傳送方式，就必然受到自然環(huán)境因素與社會環(huán)境因素的直接影響。自然環(huán)境因素包括：不適宜的溫濕度、塵埃、地震、臺風、火災(zāi)、事故等等。比如，強電以及磁場會將正在傳輸中的數(shù)據(jù)信息破壞，強雷電會通過電纜傳導，損壞正在工作中的計算機網(wǎng)絡(luò)，導致主板破壞、網(wǎng)絡(luò)癱瘓等后果；社會環(huán)境因素是指：人為惡意窺伺、截取、干擾、破壞計算機網(wǎng)絡(luò)信息，并給網(wǎng)絡(luò)造成人為破壞并帶來重大損失的不良行為。這往往來源于不良的社會風氣、網(wǎng)絡(luò)管理法不健全等人為因素導致。

1.2 資源共享因素

軟件共享、硬件共享、數(shù)據(jù)共享、終端與服務(wù)器之間共享、終端與終端之間共享等，這些共享總體構(gòu)成了計算機網(wǎng)絡(luò)的資源共享。這種資源共享在為廣大用戶提供極大便利的同時，也為非法用戶惡意竊取、破壞網(wǎng)絡(luò)信息創(chuàng)造了便利條件。資源共享造成的泄密和破壞主要原因有三：一種原因是非法用戶通過數(shù)據(jù)終端進行的非法瀏覽以及非法修改；其次，當硬件或者軟件發(fā)生故障進行維修時造成的泄密；最后，因為絕大多數(shù)的共享資源具有間隔距離長的特點，在時間與空間上，就為惡意竊取信息的行為提供了便利條件和機會。

1.3 病毒因素

因為，計算機網(wǎng)絡(luò)具有能夠在多個終端與結(jié)點接收信息數(shù)據(jù)的特點，這就為網(wǎng)絡(luò)病毒的入侵感染造成了可乘之機。計算機一旦感染病毒，就會在網(wǎng)絡(luò)內(nèi)呈指數(shù)復制、增長并蔓延到各個終端與結(jié)點，從而造成網(wǎng)絡(luò)癱瘓、數(shù)據(jù)破壞或丟失。

1.4 數(shù)據(jù)通信因素

因為需要基于數(shù)據(jù)通信來交換信息，而這些信息的傳輸載體通常是是物理線路、無線電波、電子設(shè)備等，使得計算機網(wǎng)絡(luò)的通信傳輸信息很容易遭到竊取和破壞，如搭線竊聽、輻射等等。

1.5 操作系統(tǒng)因素

因為計算機系統(tǒng)的安全級別不同導致它的防護級別各有不同。比如TCSEC(Trusted Computer System Evaluation Criteria)標準所描述的D級，基本沒有安全防護措施，所以這種計算機系統(tǒng)只能作為一般的桌面系統(tǒng)來使用，而不能用于安全性能要求比較高的操作系統(tǒng)。另外，網(wǎng)絡(luò)系統(tǒng)也可能因為硬件或者軟件故障停止運行、操作失誤等原因被非法入侵。通常，操作系統(tǒng)中的安全問題主要由：端口設(shè)置、系統(tǒng)賬戶管理、系統(tǒng)配置、系統(tǒng)安全策略設(shè)置、系統(tǒng)訪問控制策略、系統(tǒng)服務(wù)開設(shè)、系統(tǒng)安全日志設(shè)置等方面構(gòu)成。

1.6 網(wǎng)絡(luò)管理因素

計算機網(wǎng)絡(luò)的日常管理與維護的好與壞，對計算機網(wǎng)絡(luò)系統(tǒng)能否健康運行有著最直接的影響。很多設(shè)備損壞、信息泄露等狀況的發(fā)生，都來源于對網(wǎng)絡(luò)系統(tǒng)的不當管理與疏漏管理。

1.7 應(yīng)用軟件因素

由于設(shè)計缺陷，部分網(wǎng)絡(luò)應(yīng)用程序會發(fā)生網(wǎng)絡(luò)安全隱患。例如緩沖區(qū)溢出攻擊。當應(yīng)用程序在接收參數(shù)緩沖區(qū)設(shè)置時，限制與檢查不夠周密，通過破壞程序的堆棧，使程序轉(zhuǎn)入預(yù)先植入的攻擊代碼，令其以一定權(quán)限運行在緩沖區(qū)內(nèi)因?qū)懗銎溟L度的內(nèi)容而溢出緩沖區(qū)的程序，得到攻擊主機控制權(quán)的目的，進而攻擊系統(tǒng)。這種攻擊占所有系統(tǒng)攻擊總數(shù)的 80%以上。由于部分網(wǎng)絡(luò)用戶缺乏安全防范措施，使用不被信任的軟件，導致大量存在于網(wǎng)絡(luò)中的惡意代碼通過E-mail、瀏覽器或FTP 等方式進行傳播，不僅消耗網(wǎng)絡(luò)資源，還在目標機中設(shè)置后門等。

1.8 協(xié)議因素

TCP/IP協(xié)議族是目前被廣泛使用于全球的協(xié)議族，也是Intemet 中的關(guān)鍵協(xié)議。因為在設(shè)計的初始階段，沒有將安全方面的因素充分考慮進去，導致現(xiàn)在IP網(wǎng)絡(luò)安全問題的先天缺陷。表現(xiàn)比較突出的有：Dos(Denial of Service)攻擊、DDOS(Distribute Denial of Service)攻 擊、SYN--FLOOD攻 擊、ICMP 攻擊、截取連接攻擊、源路由攻擊、IP地址盜用等。

2 解決計算機網(wǎng)絡(luò)信息安全問題的措施

2.1 檢測、修補安全漏洞

檢測工作主要包含網(wǎng)絡(luò)漏洞掃描、系統(tǒng)安全掃描、數(shù)據(jù)庫系統(tǒng)安全掃描三個方面。這種掃描檢測有助于網(wǎng)絡(luò)系統(tǒng)管理員對各種安全漏洞及時發(fā)現(xiàn)、修補并將修補結(jié)果進行驗證。

（1）對網(wǎng)絡(luò)漏洞的掃描。通常，從網(wǎng)絡(luò)安全邊界點上，網(wǎng)絡(luò)漏洞掃描器會對網(wǎng)絡(luò)內(nèi)部系統(tǒng)實行“黑箱”評估，并且可以從入侵者的角度，利用軟件本身的攻擊手段對網(wǎng)絡(luò)系統(tǒng)可能存在的缺陷進行分析并提出修補意見。

（2）對系統(tǒng)安全的掃描。以agent方式配置在關(guān)鍵服務(wù)主機上的系統(tǒng)安全掃描器，會對常見于系統(tǒng)內(nèi)部的配置錯誤與漏洞進行檢查。比如：用戶設(shè)置、路徑設(shè)置、關(guān)鍵文件權(quán)限設(shè)置、密碼設(shè)置、網(wǎng)絡(luò)服務(wù)配置、 應(yīng)用程序的可信性等。甚至能夠找出非法入侵系統(tǒng)的跡象并提出修補建議。

（3）對數(shù)據(jù)庫系統(tǒng)安全的掃描。通過網(wǎng)絡(luò)或從系統(tǒng)內(nèi)部對目標主機上的數(shù)據(jù)庫逐項檢查，利用軟件自身知識庫中的安全弱點，對全部安全漏洞和認證、授權(quán)、完整性等方面問題進行評估，比如：賬號權(quán)限、用戶設(shè)置、口令密碼期限與強度、配置情況、資源限制、登錄時長、防御能力、補丁與修正程序等，并且不僅能夠就目標機的反應(yīng)確定存在問題與否，還可以自動生成數(shù)據(jù)庫服務(wù)器的安全策略。

2.2 防火墻的應(yīng)用

為了保護內(nèi)部網(wǎng)絡(luò)免受攻擊，設(shè)置防火墻是切實可行的辦法。其工作原理是在網(wǎng)絡(luò)內(nèi)外或網(wǎng)絡(luò)之間建立安全控制點 通過對數(shù)據(jù)流采取允許、拒絕或重新定向的指令，審計、控制進出于網(wǎng)絡(luò)的服務(wù)與訪問。

2.3 病毒防范

主要分為對整個網(wǎng)絡(luò)以及單個計算機系統(tǒng)的防范。對大的網(wǎng)絡(luò)可采取集中防范統(tǒng)一管理的方式。正確識別并對網(wǎng)絡(luò)進行全面的防殺毒處理，從而將病毒完全徹底清除，是網(wǎng)絡(luò)防病毒軟件必須具備的功能。防病毒軟件可以在預(yù)定時間自動下載更新最新升級文件，并分發(fā)到局域網(wǎng)中所有安裝該軟件的終端上，無需人工操作。

2.4 入侵檢測

入侵檢測旨在對惡意與可疑活動進行發(fā)現(xiàn)，并及時作出反應(yīng)。一旦檢測出非法入侵，要及時采取修改防火墻、主機、路由器或者應(yīng)用系統(tǒng)等配置阻斷攻擊、追蹤定位攻擊源等有效措施。

2.5 控制訪問

認證系統(tǒng)、訪問控制網(wǎng)關(guān)以及防火墻三方面共同完成網(wǎng)絡(luò)資源的訪問控制任務(wù)。將防火墻與訪問控制網(wǎng)關(guān)設(shè)置在網(wǎng)絡(luò)資源邊界；將認證服務(wù)系統(tǒng)設(shè)置在網(wǎng)絡(luò)資源內(nèi)部，可以有效控制內(nèi)部網(wǎng)絡(luò)流量，根據(jù)需要進行過濾或放行；可以對網(wǎng)絡(luò)資源使用者進行真實身份認證，以保證網(wǎng)絡(luò)活動的可追查性；可以利用ACL連接時段的功能對不同用戶允許使用資源的時間區(qū)間進行定義。

2.6 明文加密

加密算法是加密技術(shù)的要點。由對稱加密、不對稱加密和不可逆加密三類算法構(gòu)成。是對數(shù)據(jù)保密的最常用方法。

（1）對稱加密算法是應(yīng)用較早、技術(shù)較成熟的加密算法。由數(shù)據(jù)發(fā)信人在對稱加密算法中運用特殊加密算法把明文和加密密鑰進行處理，變成加密文件發(fā)送出去。加密文件到達收信方后，收信方使用相同密鑰及該算法的逆算法解密文件，便可使其恢復為可讀明文。

（2）不對稱加密算法的使用工具是公鑰和私鑰，這是兩把完全不同但又完全匹配的鑰匙。在對文件進行加密解密的過程中，必須共同使用相匹配的公鑰和私鑰。使用公鑰加密明文，使用私鑰解密密文，發(fā)信方只知道收信方的公鑰，收信方掌握自己的私鑰。

（3）不用密鑰參與加密過程，由系統(tǒng)對明文直接經(jīng)過加密算法并處理成加密文件，是不可逆加密算法的特征。加密后的數(shù)據(jù)無法通過別的方式解密，如想解密，只有將明文重新輸入，再次采用同樣不可逆的加密算法，處理成相同的加密密文，并由系統(tǒng)進行重新識別，才能完成解密過程。

2.7 存儲備份

對數(shù)據(jù)進行存儲備份，是防止數(shù)據(jù)丟失最簡單易行的辦法。因為，雖然基于以上各種措施可以基本保證網(wǎng)絡(luò)的安全，但是，如果是系統(tǒng)遭遇硬件故障、人為破壞 自然災(zāi)害等，這些都是技術(shù)所不能預(yù)防的威脅。所以養(yǎng)成儲存?zhèn)浞輸?shù)據(jù)的習慣，可以未雨綢繆，將損失降低到最小程度。數(shù)據(jù)存儲備份要從存儲備份硬件、存儲備份軟件、存儲備份策略三個方面著手，從存儲備份的自動化程度 盡量減少人工操作方面進行充分考慮來實現(xiàn)產(chǎn)品的選擇。

3 結(jié)束語

綜上所述，網(wǎng)絡(luò)安全問題已成為計算機網(wǎng)絡(luò)應(yīng)用中的核心問題，如果進行科學的管理維護、行之有效的安全應(yīng)對策略、嚴格的保密措施、并且提高網(wǎng)絡(luò)管理素質(zhì)，多方面齊頭并進，對計算機網(wǎng)絡(luò)提供足夠的安全服務(wù)是不難做到的，這也是計算機網(wǎng)絡(luò)得以全球普及化的重要的技術(shù)保障。

[1]陳健瑜.計算機網(wǎng)絡(luò)安全的分析與防范[J].佳木斯教育學院學報.2010(05)

[2]張堯.計算機網(wǎng)絡(luò)安全技術(shù)與分析[J].信息與電腦(理論版).2010(05)

[3]李瑤,劉德強.網(wǎng)絡(luò)安全現(xiàn)狀與防范策略研究[J].現(xiàn)代商貿(mào)工業(yè).2010(09)

[4]賀新.計算機網(wǎng)絡(luò)安全技術(shù)的初探[J].科技創(chuàng)新導報.2010(06)

[5]周喆.計算機網(wǎng)絡(luò)安全的防范策略分析[J].電腦知識與技術(shù).2009(05)

[6]宋舉.計算機網(wǎng)絡(luò)安全防范措施的分析[J].今日科苑.2008(24)

[7]陳力.網(wǎng)絡(luò)信息安全與防護[J].電腦知識與技術(shù).2008(30)

[8]王輝.計算機網(wǎng)絡(luò)信息安全面臨的問題和對策[J].網(wǎng)絡(luò)與信息.2008(06)

[9]吳勝光.計算機網(wǎng)絡(luò)信息安全及防范技術(shù)[J].電腦編程技巧與維護.2009(08)

[10]馬丹.淺談計算機網(wǎng)絡(luò)信息安全及其防護策略[J].科技創(chuàng)新導報.2012(05)