計(jì)算機(jī)網(wǎng)絡(luò)的安全威脅及防御技術(shù)

喬加強(qiáng)

摘要 在應(yīng)用計(jì)算機(jī)網(wǎng)絡(luò)的同時(shí)，必須重視計(jì)算機(jī)網(wǎng)絡(luò)的安全問題。本文圍繞著計(jì)算機(jī)網(wǎng)絡(luò)的安全問題展開論述，論述了計(jì)算機(jī)網(wǎng)絡(luò)安全的基本要求，指出了計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全威脅，并介紹了四種防御技術(shù)，也指出了幾種防御技術(shù)的不足之處。

【關(guān)鍵詞】網(wǎng)絡(luò)安全 安全威脅 防御技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展迅速，計(jì)算機(jī)網(wǎng)絡(luò)在社會(huì)的眾多領(lǐng)域都扮演著日益重要的角色。然而，計(jì)算機(jī)網(wǎng)絡(luò)也面臨著多種安全威脅。在應(yīng)用計(jì)算機(jī)網(wǎng)絡(luò)時(shí)，須要重視安全問題。

1 網(wǎng)絡(luò)安全的基本要求

安全的網(wǎng)絡(luò)環(huán)境有以下基本要求：

（1）機(jī)密性及保密性：機(jī)密性是指網(wǎng)絡(luò)信息不能被非授權(quán)訪問;保密性是指網(wǎng)絡(luò)信息不會(huì)泄露給非授權(quán)用戶。

（2）完整性：完整性是指網(wǎng)絡(luò)信息不能被非授權(quán)改寫，即網(wǎng)絡(luò)信息在存儲(chǔ)或傳輸時(shí)不會(huì)發(fā)生被偶然或蓄意地修改、刪除、偽造、插入等破壞。

（3）可用性：可用性是指網(wǎng)絡(luò)信息資源隨時(shí)可以提供服務(wù)，即授權(quán)用戶可以根據(jù)需要隨時(shí)訪問網(wǎng)絡(luò)信息資源。

（4）可靠性：可靠性是指網(wǎng)絡(luò)信息系統(tǒng)能夠在規(guī)定的時(shí)間里和規(guī)定的條件下完成規(guī)定功能的特性。可靠性又包括硬件可靠性、軟件可靠性、環(huán)境可靠性及人員可靠性等。

（5）不可否認(rèn)性：不可否認(rèn)性是指在網(wǎng)絡(luò)系統(tǒng)的信息交互過程中，參與者的真實(shí)與同一是肯定的，即所有參與者都無法否認(rèn)或抵賴曾做過的操作和承諾。

（6）可控性：可控性是指對(duì)網(wǎng)絡(luò)信息的內(nèi)容和傳播都具有控制能力的特性。

2 網(wǎng)絡(luò)安全的威脅

安全威脅的源頭有很多，系統(tǒng)漏洞、線纜連接、身份鑒別等許多方面都帶有安全隱患。安全威脅可以分為故意的和偶然的兩類，故意的如系統(tǒng)入侵，偶然的如自然災(zāi)害。自然災(zāi)害和意外事故會(huì)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備造成破壞，并會(huì)使計(jì)算機(jī)網(wǎng)絡(luò)中信息的安全性、完整性及可用性受到威脅。說到故意威脅，故意威脅主要來自于兩大類攻擊，分別是主動(dòng)攻擊和被動(dòng)攻擊。被動(dòng)攻擊不對(duì)網(wǎng)絡(luò)信息進(jìn)行修改和破壞，只對(duì)信息進(jìn)行監(jiān)聽，而主動(dòng)攻擊會(huì)對(duì)信息進(jìn)行篡改和破壞。

若從攻擊對(duì)象的角度對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行分類，可以分為對(duì)通信本身的攻擊和利用網(wǎng)絡(luò)對(duì)計(jì)算機(jī)系統(tǒng)的攻擊。攻擊者對(duì)網(wǎng)絡(luò)通信的攻擊有四種基本的攻擊形式：

（1）截獲：攻擊者通過網(wǎng)絡(luò)竊聽他人通信的內(nèi)容;

（2）中斷：攻擊者惡意中斷他人的網(wǎng)絡(luò)通信：

（3）篡改：攻擊者惡意篡改通過網(wǎng)絡(luò)傳送的信息;

（4）偽造：攻擊者偽造虛假信息并通過網(wǎng)絡(luò)傳送。

攻擊者通過網(wǎng)絡(luò)可進(jìn)行的對(duì)計(jì)算機(jī)系統(tǒng)的攻擊則有更多的形式，例如拒絕服務(wù)攻擊和惡意程序攻擊等等。

僅僅惡意代碼攻擊就有很多種形式，舉幾個(gè)例子：

（1）計(jì)算機(jī)病毒：計(jì)算機(jī)病毒是可自我復(fù)制的、可傳染的破壞計(jì)算機(jī)功能及數(shù)據(jù)的代碼：

（2）網(wǎng)絡(luò)蠕蟲：網(wǎng)絡(luò)蠕蟲是通過網(wǎng)絡(luò)傳播的可以掃描和攻擊網(wǎng)絡(luò)上存在系統(tǒng)漏洞的結(jié)點(diǎn)主機(jī)的惡意程序或代碼;

（3）特洛伊木馬：特洛伊木馬是具有隱蔽性的由遠(yuǎn)端控制的執(zhí)行非授權(quán)功能的惡意程序。

3 防御技術(shù)

3.1 操作系統(tǒng)的安全配置

操作系統(tǒng)的安全是計(jì)算機(jī)網(wǎng)絡(luò)安全的關(guān)鍵。盡管目前的幾大操作系統(tǒng)的安全級(jí)別都是比較高的，但是仍然存在著漏洞。全面地考慮操作系統(tǒng)中有隙可乘的薄弱環(huán)節(jié)并對(duì)操作系統(tǒng)進(jìn)行安全配置，可以成功防御很多的安全威脅。

3.2 數(shù)字加密技術(shù)

在計(jì)算機(jī)網(wǎng)絡(luò)通信中，先采用密碼技術(shù)對(duì)將要發(fā)送的信息進(jìn)行數(shù)據(jù)加密，再將加密后的信息傳輸出去，接受者在接到密文后，用解密密鑰將密文解密即可獲取原本的信息。通過使用密碼技術(shù)，使得信息在傳輸過程中即便被竊取或截獲，截取者也無法獲取信息的內(nèi)容。數(shù)字加密技術(shù)保證了計(jì)算機(jī)網(wǎng)絡(luò)信息的機(jī)密性、報(bào)文完整性與不可否認(rèn)性，并使通信者可鑒別對(duì)方的身份。具體的加密技術(shù)有DES對(duì)稱加密技術(shù)、RSA公鑰加密技術(shù)、PGP加密技術(shù)、數(shù)字信封、數(shù)字簽名等。

3.3 防火墻技術(shù)

防火墻是一個(gè)由硬件設(shè)備和軟件組合而成的介于內(nèi)部網(wǎng)與外部網(wǎng)或?qū)Ｓ镁W(wǎng)與公用網(wǎng)之間的保護(hù)屏障，防火墻技術(shù)是一種訪問控制技術(shù)，它把控著內(nèi)外網(wǎng)絡(luò)數(shù)據(jù)的流入流出，防火墻就像是一個(gè)門衛(wèi)，它允許“同意”的數(shù)據(jù)通過，禁止“不同意”的數(shù)據(jù)通過，因而它為計(jì)算機(jī)或內(nèi)部網(wǎng)減少了潛在入侵的發(fā)生。防火墻主要由四個(gè)部分組成：服務(wù)訪問規(guī)則、驗(yàn)證工具、包過濾、應(yīng)用網(wǎng)關(guān)。有三種常見的防火墻類型，分別是分組過濾防火墻、應(yīng)用代理防火墻及狀態(tài)檢測(cè)防火墻。防火墻是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)防御的第一道防線。

3.4 入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)（IDS）是網(wǎng)絡(luò)系統(tǒng)防御的第二道防線，位于防火墻之后。當(dāng)外部攻擊或違反安全策略的行為成功通過防火墻進(jìn)入到系統(tǒng)，入侵檢測(cè)系統(tǒng)將檢測(cè)到該行為并發(fā)出報(bào)警或執(zhí)行阻斷操作。入侵檢測(cè)系統(tǒng)是一種硬件或軟件系統(tǒng)，它是實(shí)時(shí)監(jiān)控系統(tǒng)的，它能夠?qū)Ψ鞘跈?quán)使用系統(tǒng)資源的行為及時(shí)地做出判斷并記錄，繼而向網(wǎng)絡(luò)管理員報(bào)警。IDS的具體功能有：

（1）識(shí)別黑客常用的入侵與攻擊手段;

（2）監(jiān)控網(wǎng)絡(luò)異常通信;

（3）鑒別對(duì)系統(tǒng)漏洞及后門的利用;

（4）完善網(wǎng)絡(luò)安全管理。

4 防御技術(shù)的挑戰(zhàn)

操作系統(tǒng)若存在著一些未知的漏洞，且入侵者先于網(wǎng)絡(luò)管理者發(fā)現(xiàn)這些漏洞并借以利用，可能會(huì)使整個(gè)操作系統(tǒng)都處于危險(xiǎn)狀態(tài)。數(shù)據(jù)加密技術(shù)也有其挑戰(zhàn)，隨著各種加密技術(shù)的應(yīng)用，對(duì)應(yīng)的密碼破解機(jī)制一直緊隨其后，因而必須不斷地更新密碼技術(shù)。目前，防火墻技術(shù)也是有局限性的。防火墻仍然難以防范一些利用系統(tǒng)漏洞或者網(wǎng)絡(luò)協(xié)議漏洞發(fā)起的攻擊。另外，防火墻對(duì)惡意代碼的防御能力也是有限的，它不能有效地防止病毒、木馬等的攻擊。不同的防火墻技術(shù)自身也存在不足之處，例如分組過濾防火墻并不能防止IP地址欺騙，應(yīng)用代理防火墻可能自身存在軟件漏洞。難以避免的，入侵檢測(cè)系統(tǒng)常常發(fā)生對(duì)入侵及異常的漏報(bào)或誤報(bào)，只有更佳地完善入侵檢測(cè)技術(shù)，IDS才能更準(zhǔn)確、更全面地發(fā)揮其防御作用。

參考文獻(xiàn)

[1]馬麗梅，王方偉等，計(jì)算機(jī)網(wǎng)絡(luò)安全與實(shí)驗(yàn)教程（第二版）[M].北京：清華大學(xué)出版社，2016.

[2]謝希仁，謝鈞.計(jì)算機(jī)網(wǎng)絡(luò)教程（第四版）[M].北京：人民郵電出版社，2014.