網絡安全技術研究

□徐有汐

Internet日益普及使得網絡成為信息的海洋，給人們學習、工作、生活帶來了極大的方便。但是各種病毒的入侵，軟件自身的安全漏洞，黑客不擇手段的侵入，也給網絡的安全使用帶來了隱患，網絡信息的安全性變得日益重要。

從根本意義上講，絕對安全的計算機是根本不存在的，絕對安全的網絡也是不可能的。只要使用，就或多或少存在著安全問題，只是程度不同而已。常見的安全威脅主要來自以下幾個方面：

一、非授權訪問。非授權訪問是指對網絡設備及資源的非正常使用，或擅自擴大權限，越權訪問信息。其目的主要是取得使用系統的存儲權限、寫權限以及訪問存儲內容的權限，或者惡意破壞這個系統，使其毀壞而喪失服務能力。

二、木馬程序。木馬程序是指潛伏在電腦中，可受外部用戶控制以竊取本機信息或者控制權的程序。多數有惡意企圖，例如占用系統資源，降低電腦效能，危害本機信息安全（盜取QQ 帳號、游戲帳號甚至銀行帳號），將本機作為工具來攻擊其他設備等。

三、計算機病毒。計算機病毒指編制者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。如常見的蠕蟲病毒，就是以計算機為載體，利用操作系統和應用程序的漏洞主動進行攻擊，是一種通過網絡傳輸的惡性病毒。

計算機網絡安全的防范措施可以從技術和管理兩個方面來考慮解決。

一、從技術上解決信息網絡安全問題。首先，數據備份。所謂數據備份就是將硬盤上有用的文件、數據都拷貝到另外的地方如移動硬盤等，這樣即使連接在網絡上的計算機被攻擊破壞，因為已經有備份，所以不用擔心，再將需要的文件和數據拷貝回去就可以了。做好數據的備份是解決數據安全問題的最直接、最有效措施之一。數據備份方法有全盤備份、增量備份、差分備份。

其次，物理隔離網閘。物理隔離網閘采用了網絡隔離技術，是使用帶有多種控制功能的固態開關讀寫介質連接兩個獨立主機系統的信息安全設備。由于兩個獨立主機系統之間，不存在通信的物理連接，不存在依據協議的信息包轉發，只有數據文件的無協議“擺渡”，且對固態存儲介質只有“讀”和“寫”兩個命令。所以，它從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使“黑客”無法入侵、無法攻擊、無法破壞，實現了真正的安全。

第三，防火墻技術。防火墻就是一個由軟件和硬件設備組合而成在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。它是一種計算機硬件和軟件的結合，使Internet 與Intranet 之間建立起一個安全網關（Security Gateway），從而保護內部網免受非法用戶的侵入。內部網計算機流入流出的所有網絡通信均要經過防火墻。防火墻對流經它的網絡通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火墻還可以關閉不使用的端口，而且還能禁止特定的端口流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。另外，防火墻只能阻截來自外部網絡的侵擾，而對于內部網絡的安全還需要通過對內部網絡的有效控制和管理來實現。

第四，加密技術。加密技術是實現網絡安全的重要手段之一，正確的使用可以確保信息的安全。數據加密的基本過程就是對原來為明文的文件或數據按某種特定算法進行處理，使其成為不可讀的一段代碼，通常稱為“密文”，只能在輸入相應的密鑰之后才能顯示出本來的內容，通過這樣的途徑來達到保護數據不被非法竊取、閱讀的目的。該過程的逆過程為解密，即將編碼信息轉化為其原來數據的過程。

二、從管理上解決信息網絡安全的問題。在強調技術解決信息網絡安全的同時，還必須花大力氣加強對使用網絡的人員進行管理，注意管理方式和實現方法，因為諸多的不安全因素恰恰反映在組織管理或人員工作時錄入、使用等方面，是計算機網絡安全必須考慮的基本問題。

妥善的系統管理將網絡的不安全性降至現有條件下的最低。目前，在Unix 上發現的大多問題，都歸因于一些編程漏洞及管理不善，如果每個網絡及系統管理員都能注意到以下幾點，即可在現有條件下，將網絡安全風險降至最低。

一是口令管理。目前發現的大多數漏洞都是由于口令管理不善，“黑客”得以趁虛而入。因此口令的有效管理是非常基本的，也是非常重要的。

二是用戶賬號管理。在為用戶建立賬號時，應注意保證每個用戶的UID 是唯一的，應避免使用公用賬號。對于過期的賬號要及時封閉，對于長期不用的賬號要定期檢查，必要時封閉。因為這樣的賬號通常是“黑客”襲擊的目標，他們可以在上面大做手腳而很長時間內不被發現。

三是Inetd/Xinetd的妥善管理。Inetd 是超級服務器，它使得一臺機器上可以同時運行幾十個服務器，以這些服務器的名義同時偵聽服務的端口（port）。當有服務請求到來時，它會啟動相應的服務器，通過其配置文件/ect/inetd.conf進行合理配置。

四是謹慎使用r 命令。r 命令可以使用戶在不需提供密碼情況下執行遠程操作。在方便使用的同時，也帶來潛在的安全問題。因此，建議用戶在懷疑自己的系統被闖入時，馬上查看.rhosts 文件，檢查其最后一次修改日期及內容，注意文件中絕對不能出現"++"，否則網絡上任何一個用戶不需知道你的密碼就能任意進入你的賬戶。

五是X 管理。X的使用無疑使計算機網絡錦上添花。它除了提供好的圖形用戶界面，還可以讓用戶通過網絡調用本機遠程節點的X 程序。同時，也正是由于它廣泛應用，物美價廉的X 終端（X terminal）才備受歡迎。

六是加強信息服務器的安全措施。如果對外開放的信息服務器本身是不安全的，就相當于在系統的防護罩上開了一個漏洞，那么其他的安全工作做得再多，也會付諸東流。因此，系統管理員和信息服務器的管理人員必須細心注意服務器本身的安全設置，并隨時更新版本。目前，幾乎所有的信息服務器均提供了安全設置途徑。