計算機網(wǎng)絡安全與防范

鞍鋼教育培訓中心 李 實

在信息時代，信息可以幫助團體或個人，使他們受益，同樣，信息也可以用來對他們構(gòu)成威脅，造成破壞。因此網(wǎng)絡安全包括組成網(wǎng)絡系統(tǒng)的硬件、軟件及其在網(wǎng)絡上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡安全既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。

一、計算機網(wǎng)絡安全的概念

保密性：信息不泄露給非授權(quán)用戶、實體或過程，或供其利用的特性。完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。可用性：可被授權(quán)實體訪問并按需求使用的特性。即當需要時能否存取所需的信息。例如網(wǎng)絡環(huán)境下拒絕服務、破壞網(wǎng)絡和有關系統(tǒng)的正常運行等都屬于對可用性的攻擊?？煽匦裕簩π畔⒌膫鞑ゼ皟?nèi)容具有控制能力?？蓪彶樾裕撼霈F(xiàn)的安全問題時提供依據(jù)與手段。

國際標準化組織將“計算機安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護，保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護，而網(wǎng)絡安全性的含義是信息安全的引申，即網(wǎng)絡安全是對網(wǎng)絡信息保密性、完整性和可用性的保護。計算機網(wǎng)絡安全的具體含義會隨著使用者的變化而變化，使用者不同，對網(wǎng)絡安全的認識和要求也就不同。從普通使用者的角度來說，可能僅僅希望個人隱私或機密信息在網(wǎng)絡上傳輸時受到保護，避免被竊聽、篡改和偽造；而網(wǎng)絡提供商除了關心這些網(wǎng)絡信息安全外，還要考慮如何應付突發(fā)的自然災害、軍事打擊等對網(wǎng)絡硬件的破壞，以及在網(wǎng)絡出現(xiàn)異常時如何恢復網(wǎng)絡通信，保持網(wǎng)絡通信的連續(xù)性。

本質(zhì)上來講，網(wǎng)絡安全包括組成網(wǎng)絡系統(tǒng)的硬件、軟件及其在網(wǎng)絡上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡安全既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。人為的網(wǎng)絡入侵和攻擊行為使得網(wǎng)絡安全面臨新的挑戰(zhàn)。

二、計算機網(wǎng)絡安全現(xiàn)狀

計算機網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬、軟件及系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然或惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運行，網(wǎng)絡服務不中斷。計算機和網(wǎng)絡技術(shù)具有的復雜性和多樣性，使得計算機和網(wǎng)絡安全成為一個需要持續(xù)更新和提高的領域。目前黑客的攻擊方法已超過了計算機病毒的種類，而且許多攻擊都是致命的。在Internet網(wǎng)絡上，因互聯(lián)網(wǎng)本身沒有時空和地域的限制，每當有一種新的攻擊手段產(chǎn)生，就能在一周內(nèi)傳遍全世界，這些攻擊手段利用網(wǎng)絡和系統(tǒng)漏洞進行攻擊從而造成計算機系統(tǒng)及網(wǎng)絡癱瘓。蠕蟲、后門(Backdoors)、Rootkits、DOS(DenialofServices)和Sniffer(網(wǎng)路監(jiān)聽)是大家。熟悉的幾種黑客攻擊手段。但這些攻擊手段卻都體現(xiàn)了它們驚人的威力，時至今日，有愈演愈烈之勢。這幾類攻擊手段的新變種，與以前出現(xiàn)的攻擊方法相比，更加智能化，攻擊目標直指互聯(lián)網(wǎng)基礎協(xié)議和操作系統(tǒng)層次。從Web程序的控制程序到內(nèi)核級Rootlets。黑客的攻擊手法不斷升級翻新，向用戶的信息安全防范能力不斷發(fā)起挑戰(zhàn)。

三、計算機網(wǎng)絡安全的防范措施

1.加強內(nèi)部網(wǎng)絡管理人員以及使用人員的安全意識

很多計算機系統(tǒng)常用口令來控制對系統(tǒng)資源的訪問，這是防病毒進程中，最容易和最經(jīng)濟的方法之一。網(wǎng)絡管理員和終端操作員根據(jù)自己的職責權(quán)限，選擇不同的口令，對應用程序數(shù)據(jù)進行合法操作，防止用戶越權(quán)訪問數(shù)據(jù)和使用網(wǎng)絡資源。

在網(wǎng)絡上，軟件的安裝和管理方式是十分關鍵的，它不僅關系到網(wǎng)絡維護管理的效率和質(zhì)量，而且涉及到網(wǎng)絡的安全性。好的殺毒軟件能在幾分鐘內(nèi)輕松地安裝到組織里的每一個NT服務器上，并可下載和散布到所有的目的機器上，由網(wǎng)絡管理員集中設置和管理，它會與操作系統(tǒng)及其它安全措施緊密地結(jié)合在一起，成為網(wǎng)絡安全管理的一部分，并且自動提供最佳的網(wǎng)絡病毒防御措施。當計算機病毒對網(wǎng)上資源的應用程序進行攻擊時，這樣的病毒存在于信息共享的網(wǎng)絡介質(zhì)上，因此就要在網(wǎng)關上設防，在網(wǎng)絡前端進行殺毒。

2.網(wǎng)絡防火墻技術(shù)

是一種用來加強網(wǎng)絡之間訪問控制，防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內(nèi)部網(wǎng)絡，訪問內(nèi)部網(wǎng)絡資源，保護內(nèi)部網(wǎng)絡操作環(huán)境的特殊網(wǎng)絡互聯(lián)設備。它對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡之間的通信是否被允許，并監(jiān)視網(wǎng)絡運行狀態(tài)。雖然防火墻是目前保護網(wǎng)絡免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。

3.安全加密技術(shù)

加密技術(shù)的出現(xiàn)為全球電子商務提供了保證，從而使基于Internet上的電子交易系統(tǒng)成為了可能，因此完善的對稱加密和非對稱加密技術(shù)仍是21世紀的主流。對稱加密是常規(guī)的以口令為基礎的技術(shù)，加密運算與解密運算使用同樣的密鑰。不對稱加密，即加密密鑰不同于解密密鑰，加密密鑰公之于眾，誰都可以用，解密密鑰只有解密人自己知道。

4.網(wǎng)絡主機的操作系統(tǒng)安全和物理安全措施

防火墻作為網(wǎng)絡的第一道防線并不能完全保護內(nèi)部網(wǎng)絡，必須結(jié)合其他措施才能提高系統(tǒng)的安全水平。在防火墻之后是基于網(wǎng)絡主機的操作系統(tǒng)安全和物理安全措施。按照級別從低到高，分別是主機系統(tǒng)的物理安全、操作系統(tǒng)的內(nèi)核安全、系統(tǒng)服務安全、應用服務安全和文件系統(tǒng)安全；同時主機安全檢查和漏洞修補以及系統(tǒng)備份安全作為輔助安全措施。這些構(gòu)成整個網(wǎng)絡系統(tǒng)的第二道安全防線，主要防范部分突破防火墻以及從內(nèi)部發(fā)起的攻擊。系統(tǒng)備份是網(wǎng)絡系統(tǒng)的最后防線，用來遭受攻擊之后進行系統(tǒng)恢復。在防火墻和主機安全措施之后，是全局性的由系統(tǒng)安全審計、入侵檢測和應急處理機構(gòu)成的整體安全檢查和反應措施。它從網(wǎng)絡系統(tǒng)中的防火墻、網(wǎng)絡主機甚至直接從網(wǎng)絡鏈路層上提取網(wǎng)絡狀態(tài)信息，作為輸人提供給入侵檢測子系統(tǒng)。入侵檢測子系統(tǒng)根據(jù)一定的規(guī)則判斷是否有入侵事件發(fā)生，如果有入侵發(fā)生，則啟動應急處理措施，并產(chǎn)生警告信息。而且，系統(tǒng)的安全審計還可以作為以后對攻擊行為和后果進行處理、對系統(tǒng)安全策略進行改進的信息來源。

總之，計算機技術(shù)和網(wǎng)絡技術(shù)已深入到社會各個領域，人類社會各種活動對計算機網(wǎng)絡的依賴程度已經(jīng)越來越大。增強社會安全意識教育，普及計算機網(wǎng)絡安全教育，提高計算機網(wǎng)絡安全技術(shù)水平，改善其安全現(xiàn)狀，成為當務之急。網(wǎng)絡安全是一個綜合性的課題，涉及技術(shù)、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術(shù)措施，一種技術(shù)只能解決一方面的問題，而不是萬能的。為此建立有中國特色的網(wǎng)絡安全體系，需要國家政策和法規(guī)的支持及集團聯(lián)合研究開發(fā)。安全與反安全就像矛盾的兩個方面，總是不斷地向上攀升，所以安全產(chǎn)業(yè)將來也是一個隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。

[1]黃怡強,等.淺談軟件開發(fā)需求分析階段的主要任務[J].中山大學學報論叢,2002(01).

[2]胡道元.計算機局域網(wǎng)[M].北京:清華大學出版社,2001.

[3]朱理森,張守連.計算機網(wǎng)絡應用技術(shù)[M].北京:專利文獻出版社,2001.

[4]謝希仁.計算機網(wǎng)絡(第4版)[M].北京:電子工業(yè)出版社,2003.

[5]孫小剛,韓冬,等.面向軟件工程的Visual C++網(wǎng)絡程序開發(fā)[M].北京:清華大學出版社,2004,11.