計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題及解決策略

王大明　胡宗義

[摘要]計(jì)算機(jī)誕生之初功能較為單一，數(shù)據(jù)處理相對(duì)簡(jiǎn)單，而隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)功能的多樣化與信息處理的復(fù)雜程度顯著提高網(wǎng)絡(luò)的出現(xiàn)，將過(guò)去時(shí)間與空間相對(duì)獨(dú)立和分散的信息集成起來(lái)，構(gòu)成龐大的數(shù)據(jù)信。網(wǎng)絡(luò)自身的特點(diǎn)有時(shí)候也成為網(wǎng)絡(luò)安全的隱患，諸如網(wǎng)絡(luò)的開(kāi)放性、軟件BUG、計(jì)算機(jī)網(wǎng)絡(luò)病毒、操作系統(tǒng)的自身漏洞等等。

[關(guān)鍵詞]網(wǎng)絡(luò)、安全、BUG、病毒、防火墻、漏洞

[中圖分類號(hào)]F224-39 文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1672-5158（2013）06-0073-0

息資源系統(tǒng)，為人們提供更加便捷化的信息處理與使用方式，極大的推動(dòng)了信息化時(shí)代的發(fā)展進(jìn)程。然而，隨之而來(lái)的是這些信息數(shù)據(jù)的安全問(wèn)題，公開(kāi)化的網(wǎng)絡(luò)平臺(tái)為非法入侵者提供了可乘之機(jī)，不但會(huì)對(duì)重要的信息資源造成損壞，同時(shí)也會(huì)給整個(gè)網(wǎng)絡(luò)帶來(lái)相當(dāng)大的安全隱患?；诰W(wǎng)絡(luò)連接的安全問(wèn)題也日益突出，因此，計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題成為當(dāng)今最為熱門的焦點(diǎn)之一，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，安全防范措施也在不斷更新，本文主要從以下幾個(gè)方面進(jìn)行探討：

1 網(wǎng)絡(luò)的開(kāi)放性帶來(lái)的安全問(wèn)

Internet的開(kāi)放性以及其他方面因素導(dǎo)致了網(wǎng)絡(luò)環(huán)境下的計(jì)算機(jī)系統(tǒng)存在很多安全問(wèn)題。要研究多種安全機(jī)制、策略和工具，并把它們應(yīng)用到這些安全問(wèn)題中。然而，即便運(yùn)用了現(xiàn)有的安全工具和機(jī)制，網(wǎng)絡(luò)的安全隱患仍然存在，這些安全隱患主要可以歸結(jié)為以下幾點(diǎn)：

（1）每一種安全機(jī)制都有一定的應(yīng)用范圍和應(yīng)用環(huán)境

防火墻可以有效地隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，它是一種實(shí)用的安全工具，它可以限制外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的連接。防火墻是無(wú)法解決內(nèi)部網(wǎng)絡(luò)之間的訪問(wèn)的。因此，防火墻很難發(fā)覺(jué)內(nèi)部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)之間的入侵行為和內(nèi)外勾結(jié)的入侵行為，所以無(wú)從防范。

（2）安全工具的使用受到人為因素的影響

系統(tǒng)管理者和普通用戶決定著使用安全工具的期望效果，不安全因素往往產(chǎn)生于錯(cuò)誤的設(shè)置。例如，NT在進(jìn)行合理的設(shè)置后可以達(dá)到c2級(jí)的安全，性，但很少有人能夠XCNT本身的安全策略進(jìn)行合理的設(shè)置。這方面雖然可以通過(guò)靜態(tài)掃描工具來(lái)檢測(cè)系統(tǒng)是否逆行了合理的設(shè)置，但是這些掃描工具基本上也只是比較一種缺省的系統(tǒng)安全策略，當(dāng)有具體的應(yīng)用環(huán)境和專門的應(yīng)用需求的時(shí)候，便很難判斷設(shè)置的正確與否。

（3）系統(tǒng)的后門是傳統(tǒng)安全工具難于考慮到的地方

傳統(tǒng)安全工具很難考慮到有關(guān)系統(tǒng)的后門問(wèn)題，這種形式的入侵大都可以大搖大擺地通過(guò)防火墻而不被察覺(jué)。例如，眾所周知的ASP源碼問(wèn)題，這個(gè)問(wèn)題在IIS服務(wù)器4.0以前一直存在，它是IIs服務(wù)的設(shè)計(jì)者留下的一個(gè)后門，任意一個(gè)人都可以從Internet上輕松地調(diào)出ASP程序的源碼，收集系統(tǒng)信息，做好準(zhǔn)備工作后，攻擊系統(tǒng)。防火墻是無(wú)法發(fā)覺(jué)這種方式的入侵行為的，因?yàn)閷?duì)它來(lái)說(shuō)，正常的WEB訪問(wèn)過(guò)程跟這種方式的入侵行為的形似度很高，僅僅有一個(gè)不同是正常訪問(wèn)的請(qǐng)求鏈接沒(méi)有入侵訪問(wèn)時(shí)的那個(gè)后綴。

（4）只要有程序，就可能存在BUG

網(wǎng)絡(luò)安全工具是由人設(shè)計(jì)的，因此必然存在安全漏洞。程序員在對(duì)BUG進(jìn)行消除時(shí)，很可能會(huì)產(chǎn)生新的BUG，黑客往往鉆這個(gè)空子對(duì)其加以利用。黑客的這種攻擊，電腦通常不會(huì)產(chǎn)生日志，因此無(wú)據(jù)可查，目前的安全工具還無(wú)法解決這一問(wèn)題。

2 解決網(wǎng)絡(luò)安全體系問(wèn)題的主要途徑

現(xiàn)階段為了保證網(wǎng)絡(luò)工作順通常用的方法如下：

（1）防范網(wǎng)絡(luò)病毒

由于網(wǎng)絡(luò)自身的特點(diǎn)，病毒傳播起來(lái)是很迅速的，目前通常采用單機(jī)防病毒的方式，這種方式不利于網(wǎng)絡(luò)病毒的清除，要盡快建立一種適用于局域網(wǎng)的全方位防毒產(chǎn)品。像校園網(wǎng)，它其實(shí)就是一種基于服務(wù)器操作系統(tǒng)平臺(tái)的內(nèi)部局域網(wǎng)。目前，就保護(hù)計(jì)算機(jī)安全最好的辦法是使用全方位的防病毒軟件，它能夠有針對(duì)性地對(duì)所有有可能被攻擊的點(diǎn)進(jìn)行防御，并且能夠進(jìn)行定期或不定期的升級(jí)，從而全方位、多層次地對(duì)防病毒體系重新配置，以更有效地防御病毒。

（2）配置防火墻

利用防火墻，在網(wǎng)絡(luò)通訊時(shí)執(zhí)行一種訪問(wèn)控制尺度，允許防火墻同意訪問(wèn)的人與數(shù)據(jù)進(jìn)入自己的內(nèi)部網(wǎng)絡(luò)，同時(shí)將不允許的用戶與數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)自己的網(wǎng)絡(luò)，防止他們隨意更改、移動(dòng)甚至刪除網(wǎng)絡(luò)上的重要信息。防火墻在網(wǎng)絡(luò)安全中占有十分重要的作用，它是一種卓有成效且已被廣泛使用的網(wǎng)絡(luò)安全產(chǎn)品，能有效地防止互聯(lián)網(wǎng)上的病毒傳播到局域網(wǎng)中。

（3）采用入侵檢測(cè)系統(tǒng)

入侵檢測(cè)技術(shù)能夠恰到時(shí)機(jī)地找出并呈送系統(tǒng)中未經(jīng)授權(quán)的或其它不正常的現(xiàn)象，以保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種技術(shù)，它能夠較好地檢測(cè)出計(jì)算機(jī)網(wǎng)絡(luò)中出現(xiàn)的違反安全策略的行為。在入侵檢測(cè)系統(tǒng)中利用審計(jì)記錄，可以找出并呈現(xiàn)任何不能有的行為，從而可以適時(shí)地限制這些行為，達(dá)到保護(hù)系統(tǒng)安全的目的。把入侵檢測(cè)技術(shù)運(yùn)用于校園網(wǎng)中，最好采用混合式的入侵檢測(cè)，因?yàn)檫@是一種基于網(wǎng)絡(luò)和主機(jī)兩者被聯(lián)通的入侵檢測(cè)系統(tǒng)，這是一套完整的、立體的主動(dòng)防御體系。

（4）Web、Email、BBS的安全監(jiān)測(cè)系統(tǒng)

在網(wǎng)絡(luò)的www服務(wù)器、Email服務(wù)器等中使用網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)，實(shí)時(shí)跟蹤、監(jiān)視網(wǎng)絡(luò)，截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容，并將其還原成完整的www、Email、FTP、TeNet應(yīng)用的內(nèi)容，建立保存相應(yīng)記錄的數(shù)據(jù)庫(kù)。及時(shí)發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容，及時(shí)向上級(jí)安全網(wǎng)管中心報(bào)告，采取措施。

（5）漏洞掃描系統(tǒng)

要解決問(wèn)題，首先要發(fā)現(xiàn)問(wèn)題，要確保網(wǎng)絡(luò)安全，首先要弄清楚網(wǎng)絡(luò)中到底有哪些不安全因素?，F(xiàn)今的網(wǎng)絡(luò)覆蓋面非常廣泛，面對(duì)如此大的、復(fù)雜的、變幻多端的網(wǎng)絡(luò)，僅僅依靠人工的技能和經(jīng)驗(yàn)發(fā)現(xiàn)并找出安全問(wèn)題，進(jìn)而做出風(fēng)險(xiǎn)評(píng)估，顯然是非常不現(xiàn)實(shí)的。那么，該如何解決好這一問(wèn)題呢？設(shè)計(jì)出一種能夠查找網(wǎng)絡(luò)安全問(wèn)題，而后做出評(píng)估并提出修改意見(jiàn)的網(wǎng)絡(luò)安全掃描工具，然后利用優(yōu)化系統(tǒng)配置和升級(jí)等方式對(duì)最新的安全漏洞進(jìn)行修復(fù)；在沒(méi)有對(duì)安全程度有苛刻要求的情況下，可以采用黑客工具模擬攻擊，從而暴漏出網(wǎng)絡(luò)安全問(wèn)題，進(jìn)而解決它。

（6）IP盜用問(wèn)題的解決

在路由器上捆綁IP和MAC地址。當(dāng)某個(gè)IP通過(guò)路由器訪問(wèn)Inlernet時(shí)。路由器要檢查發(fā)出這個(gè)IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符，如果相符就放行。否則不允許通過(guò)路由器，同時(shí)給發(fā)出這個(gè)IP廣播包的工作站返回一個(gè)警告信息。

（7）利用網(wǎng)絡(luò)維護(hù)子網(wǎng)系統(tǒng)安全

對(duì)于網(wǎng)絡(luò)外部的入侵可以通過(guò)安裝防火墻來(lái)解決，但是對(duì)于網(wǎng)絡(luò)內(nèi)部的侵襲則無(wú)能為力。在這種情況下，我們可以采用對(duì)各個(gè)子網(wǎng)做一個(gè)具有一定功能的審計(jì)文件，為管理人員分析自己的網(wǎng)絡(luò)運(yùn)作狀態(tài)提供依據(jù)設(shè)計(jì)一個(gè)子網(wǎng)專用的程序。該軟件的主要功能為長(zhǎng)期子網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)間相互聯(lián)系的情況，為系統(tǒng)中各個(gè)服務(wù)器的審計(jì)文件提供備份。

3 結(jié)束語(yǔ)

構(gòu)建全球化的信息網(wǎng)絡(luò)平臺(tái)已經(jīng)成為了當(dāng)今計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展的共識(shí)，實(shí)現(xiàn)這一目標(biāo)的最根本支撐點(diǎn)，就是強(qiáng)大的網(wǎng)絡(luò)安全保障。無(wú)論是在局域網(wǎng)還是因特網(wǎng)都同樣存在信息數(shù)據(jù)的保護(hù)問(wèn)題，在人為因素與技術(shù)因素的干擾下，如何實(shí)現(xiàn)信息數(shù)據(jù)的最大化安全成為計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)發(fā)展的根本出發(fā)點(diǎn)。計(jì)算機(jī)網(wǎng)絡(luò)安全對(duì)策應(yīng)當(dāng)更加全方位的針對(duì)各種安全隱患，并充分考慮到各種威脅的特點(diǎn)來(lái)實(shí)施，這樣才能夠?qū)崿F(xiàn)我們保護(hù)網(wǎng)絡(luò)信息數(shù)據(jù)完整性、可用性與保密性的目標(biāo)，隨著網(wǎng)絡(luò)安全技術(shù)的進(jìn)步而不斷繼續(xù)完善，是我們今后將繼續(xù)探討的核心之一。

參考文獻(xiàn)

[1]蔡立軍，計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)，中國(guó)水利水電出版社，2002

[2]鄧文淵，陳惠貞，陳俊榮，ASP與網(wǎng)絡(luò)數(shù)據(jù)庫(kù)技術(shù)，中國(guó)鐵道出版社，2003