淺論網絡安全的研究及防護

【文章摘要】

文章闡述我國發展民族信息安全體系的重要性及建立有中國特色的網絡安全體系的必要性。論述了網絡防火墻安全技術的分類及其主要技術特征，并且介紹了網絡安全的相關知識。

【關鍵詞】

網絡安全；策略體系；防護

0 引言

隨著計算機的發展，人們越來越意識到網絡的重要性，通過網絡，分散在各處的計算機被網絡聯系在一起。做為網絡的組成部分，把眾多的計算機聯系在一起，組成一個局域網，在這個局域網中，可以在它們之間共享程序、文檔等各種資源；還可以通過網絡使多臺計算機共享同一硬件；同時我們也可以通過網絡使用計算機發送和接收傳真，方便快捷而且經濟。

1 網絡安全現狀

1.1 網絡安全面臨的挑戰

Internet對于任何一個具有網絡連接和ISP帳號的人都是開放的，事實上它本身被設計成了一個開放的網絡。因此它本身并沒有多少內置的能力使信息安全，從一個安全的角度看，Internet 是天生不安全的。然而，商界和個人現在都想在Internet上應用一些安全的原則，在Internet發明人當初沒有意識到的方式下有效的使用它。對于Internet 用戶一個新的挑戰是如何在允許經授權的人在使用它的同時保護敏感信息。

1.2 安全是什么？

簡單的說在網絡環境里的安全指的是一種能夠識別和消除不安全因素的能力。安全的一般性定義也必須解決保護公司財產的需要，包括信息和物理設備。安全的想法也涉及到適宜性和從屬性概念。負責安全的任何一個人都必須決定誰在具體的設備上進行合適的操作，以及什么時候。當涉及到公司安全的時候什么是適宜的在公司與公司之間是不同的，但是任何一個具有網絡的公司都必須具有一個解決適宜性、從屬性和物理安全問題的安全策略。

1.3 建立有效的安全矩陣

盡管一個安全系統的成分和構造在公司之間是不同的，但某些特征是一致的，一個可行的安全矩陣是高度安全的和容易使用的，它實際上也需要一個合情合理的開銷。一個安全矩陣由單個操作系統安全特征、日志服務和其他的裝備包括防火墻，入侵檢測系統，審查方案構成。

2 計算機網絡面臨的主要威脅

2.1 人為的無意失誤

人為的無意失誤：如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。

企業用戶網絡安全維護范圍的重新界定。

2.2 個人的信用資料

個人信用資料在公眾的日常生活中占據著重要的地位。以前的網絡犯罪者只是通過網絡竊取個人用戶的信用卡賬號，但隨著網上竊取個人信用資料的手段的提高，預計2003年這種犯罪現象將會發展到全面竊取美國公眾的個人信用資料的程度。如網絡犯罪者可以對的銀行存款賬號、社會保險賬號以及最近的行蹤都能做到一覽無余。如果不能有效地遏制這種犯罪趨勢，無疑將會給美國公眾的日常人生活帶來極大的負面影響。

2.3 人為的惡意失誤

人為的惡意攻擊：這是計算機網絡所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網絡造成極大的危害，并導致機密數據的泄漏。

2.4 網絡軟件的漏洞和“后門”

無論多么優秀的網絡軟件，都可能存在這樣那樣的缺陷和漏洞，而那些水平較高的黑客就將這些漏洞和缺陷作為網絡攻擊的首選目標。在曾經出現過的黑客攻擊事件中，大部分都是因為軟件安全措施不完善所招致的苦果。

一般，軟件的“后門”都是軟件公司的設計和編程人員為了為方便設計而設置的，很少為外人所知。不過，一旦“后門”公開或被發現，其后果將不堪設想。

后門是一種登錄系統的方法，它不僅繞過系統已有的安全設置，而且還能挫敗系統上各種增強的安全設置。

3 網絡安全的技術和措施

3.1 物理安全策略

物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊；驗證用戶的身份和使用權限、防止用戶越權操作；確保計算機系統有一個良好的電磁兼容工作環境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發生。

抑制和防止電磁泄漏（即TEMPEST技術）是物理安全策略的一個主要問題。目前主要防護措施有兩類：一類是對傳導發射的防護，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合。另一類是對輻射的防護，這類防護措施又可分為以下兩種：一是采用各種電磁屏蔽措施，如對設備的金屬屏蔽和各種接插件的屏蔽，同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離；二是干擾的防護措施，即在計算機系統工作的同時，利用干擾裝置產生一種與計算機系統輻射相關的偽噪聲向空間輻射來掩蓋計算機系統的工作頻率和信息特征。

3.2 訪問控制策略

訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和非常訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用，但訪問控制可以說是保證網絡安全最重要的核心策略之一。

3.3 信息加密策略

信息加密的目的是保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據。網絡加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全；端-端加密的目的是對源端用戶到目的端用戶的數據提供保護；節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。用戶可根據網絡情況酌情選擇上述加密方式。

3.4 網絡安全管理策略

所謂網絡安全管理策略是指一個網絡中關于安全問題采取的原則，對安全使用的要求，以及如何保護網絡的安全運行。

網絡安全策略中可以明確指明每個資源的系統級管理員，但在網絡的使用中，難免會遇到用戶需要特殊權限的時候。一種處理辦法是盡量只分配給用戶夠完成任務所需的最小權限。另外在網絡安全策略中要包含對特殊權限進行監測統計的部分，如果對授與用戶的特殊權限不可統計，就難以保證整個網絡不被破壞。

在網絡安全策略中關于用戶的權利與責任中，需要指明用戶必須明確了解他們所用的計算機網絡的使用規則。其中包括是否允許用戶將帳號轉借給他人，用戶應當將他們自己的口令保密到什么程度。用戶應在多長時間內更改他們的口令，對其選擇有什么限制。是希望用戶自身提供備份還是由網絡服務提供者提供。在關于用戶的權利與責任中還會涉及到電子郵件的保密性，有關討論組的限制。安全策略中另一重要的部分是當安全策略被破壞時所采取的策略。對于發生在本網絡內部的安全問題，要從主干網向地區網逐級過濾、隔離。地區網要與主干網形成配合，防止破壞漫延。對于來自整個網絡以外的安全干擾，除了必要的隔離與保護外，還要與對方所在網絡進行聯系，以進一步確定消除掉安全隱患。每一個網絡安全問題都要有文檔記錄，包括對它的處理過程，并將其送至全網各有關部門，以便預防和留作今后進一步完善網絡安全策略的資料。

【作者簡介】

白迪琛（1982年—），女，遼寧沈陽人，同濟大學軟件學院碩士研究生。