網絡與通信工程中的安全問題與防御措施

王一九

摘 要：隨著網絡通信的發展，網絡與通信工程中的安全問題也越來越受重視。簡單地說，安全目的和目標包括機密性（ Confidentiality）、完整性（Integrity）和可用性（Availability）。簡單地稱為安全的CIA三元組。該文首先介紹機密性、完整性、可用性的概念、安全問題及影響等。然后，闡述網絡與通信工程中的安全問題及解決方案。最后，對常見的應用程序攻擊進行說明，并給出防御措施。

關鍵詞：機密性；完整性；可用性；加密；散列

中圖分類號：TP393 文獻標志碼：A

1 對安全三元組的認識

1.1 機密性

機密性是限制未授權的主體對信息的訪問、使用和披露。一旦機密性遭到破壞，意味著信息被泄露。而信息的機密性涉及數據在存儲、處理和傳輸過程中，都要對數據進行合理保護，包括對數據進行加密、限制未授權主體處理、透明傳輸等。

1.2 完整性

完整性是保證數據的正確性，不能被未授權的主體修改，同時保證信息在網絡通信傳輸過程中不能被惡意篡改或偽造。

1.3 可用性

可用性是保證授權主體對客體的可使用、可訪問。如果發生可用性的風險，那么就導致網絡服務中斷、掛起、拒絕服務等。

2 網絡與通信工程中的安全問題

下面首先針對網絡與通信工程中的安全問題與解決方案進行詳細說明。

2.1 機密性問題與解決方案

為了保證機密性就要根據需求，對信息進行加密。加密過程可以采取對稱加密算法或非對稱加密算法。

在對稱加密算法中，通信的成員之間使用相同的密鑰進行加密、解密。對稱加密算法包括DES、3DES、AES、Twofish、IDEA、Skipjack等；在非對稱加密算法中，存在公鑰和私鑰。當對信息進行加密時，發送方使用接收方的公鑰進行加密。接收方收到被加密的信息后，使用自己的私鑰進行解密。非對稱加密算法包括RSA、El Gamal、ECC。其中，RSA算法是第一個能同時用于加密和數字簽名的算法，也易于理解和操作。對稱加密算法和非對稱加密算法都有優缺點和應用場景。

對稱加密算法的主要優點是運算速度快，因此，在大量信息加密的情況下，對稱加密算法的運算速度優勢明顯。然而，對稱加密算法存在以下缺點：1）密鑰的分發問題。如果進行密鑰分發，必須保證分發的網絡通信是安全的，否則，密鑰分發過程必須通過離線分發。2）無法實現不可否認性問題。由于通信的各方都用相同的密鑰進行加密，因此，無法實現加密過程中的不可否認性。3）不可擴展性問題。對于大的用戶組來說，共享密鑰非常困難，且密鑰成幾何數量級增長。如果n個人通過對稱密鑰算法進行通信，那么密鑰為n（n-1）/2個；4）密鑰必須經常更新。當用戶組有成員離開時，所有涉及該成員的密鑰必須丟棄，必須使用新的密鑰進行通信。所有使用涉及的密鑰進行加密的信息，也必須使用新的密鑰重新進行加密。

針對對稱加密算法的不足之處，非對稱加密算法提供了解決方案：1）密鑰分發。由于非對稱密鑰中通信各方的私鑰自己保存，只需要共享各方的公鑰，因此，不存在密鑰的分發問題。2）不可否認性。為了實現不可否認性，發送方可以使用自己的私鑰進行加密信息，接收方在收到加密信息時，可以使用發送方的公鑰進行解密信息。如果解密成功，那么就可以確認信息是發送方發送的，從而實現不可否認性。3）可擴展性。在非對稱密鑰中，通信雙方都有一對公鑰和私鑰。如果n個人通過非對稱密鑰算法進行通信，那么密鑰為2n個。4）密鑰的更新。在非對稱密鑰中，當有成員離開時，可以進行密鑰撤銷，從而將該成員從非對稱系統中刪除。

然而，非對稱密鑰的不足之處在于運算速度慢。因此，不適合大量信息的加密操作。因此，在網絡與通信工程中，通常采用對稱加密算法與非對稱加密算法相結合的方式進行。

2.2 完整性問題與解決方案

為保證信息的完整性，離不開散列函數和消息摘要。散列函數是將收到的消息，根據消息內容，通過運算生成消息摘要。發送者將消息摘要與消息一起發送給接收者，接收者再根據同樣的散列函數對消息進行運算，運算的結果與發送者發來的消息摘要進行比對。如果兩者一致，那么表示消息在傳輸過程中未被篡改；否則，表示消息在傳輸過程中被篡改。可以看出，散列函數和消息摘要可以保證網絡通信中信息的完整性。

常見的散列函數包括MD2、MD4、MD5、SHA1和SHA2。目前MD2、MD4、MD5、

SHA1已經被證明是不安全的散列函數。SHA2是被公認為比較安全的散列函數。

2.3 可用性問題與解決方案

可用性的威脅來源包括環境問題、人為的誤操作、設備故障、軟件錯誤等。

針對以上問題，需要采取有效措施進行防護。1）對于環境問題，必須在機房或服務器選址的時候進行重點考慮。2）進行安全教育，加強技術的培訓，提高操作技能，防止人為事故的發生。3）對設備及信息采取冗余備份的方式，對各種服務器通過主備方式進行備份，當主服務器發生故障時，備服務器能夠快速接替主服務器繼續工作；將信息通過磁帶備份，保證在信息丟失的情況下能及時進行信息還原。

3 應用程序攻擊

常見的應用程序攻擊包括緩沖區溢出、檢驗時間到使用時間、后門、權限提升和Rootkit。這些攻擊都會導致網絡和通信過程中出現嚴重的安全問題。因此，必須采取有效措施進行防御和阻斷。

3.1 緩沖區溢出

緩沖區溢出常見于對用戶的輸入未進行必要的檢查。當用戶的輸入量超過了分配的內存單元時，即發生緩沖區溢出。緩沖區溢出會造成服務掛起，導致服務不可用。防御措施：開發人員必須對用戶輸入進行檢查，包括輸入的長度、輸入的數據類型等。

3.2 檢驗時間到使用時間

當程序檢查訪問許可的時間早于請求資源的時間，就會發生檢驗時間到使用時間風險。象用戶在登錄某個網站時，對用戶進行身份驗證。用戶身份驗證通過，并在網站內查看或修改數據。如果用戶一直不退出網站，即使在接下來的某個時間，對該用戶的修改權限進行撤銷，用戶也仍然可以繼續執行修改操作。這就導致了檢驗時間到使用時間的風險。

防御措施：對用戶的訪問分配超期時間，這樣當超期時間到時，用戶就需要重新進行身份及訪問權限的驗證。

3.3 后門

后門的初衷是便于開發人員在開發過程中對缺陷進行調試，在代碼中增加的繞過所有安全

檢查的訪問手段。然而，如果在產品進入市場后，仍存在后門，那么可能造成嚴重的安全問題。象某個懷有惡意的開發人員可能在代碼中留有邏輯炸彈等。

防御措施：在產品的測試階段，必須對代碼進行徹底檢查，避免存在后門。

3.4 權限提升和Rootkit

權限提升和Rootkit是系統與網絡攻擊常用的攻擊方式之一。黑客可能通過字典攻擊或社會工程學等手段，獲得某個系統的某個普通用戶的訪問權限。當用普通用戶的訪問權限進入系統后，黑客再通過權限提升和Rootkit提升到管理員權限。這樣，可以獲得更大的權限，其對系統造成的損失也就更大。防御措施：系統管理員必須關注系統相關的操作系統發布的補丁，并對操作系統存在的漏洞及時打最新的補丁。同時，通過系統日志嚴格監控特權賬戶的活動情況。

4 結語

總而言之，網絡與通信工程中的信息和系統的安全性必須受到重視，才能保證信息的機密性、完整性、可用性。當信息在網絡中進行通信傳輸時，必須采取措施加以防御和緩解。這樣才能滿足用戶對信息和系統的使用要求。

參考文獻

[1]左曉靜，譚會君.常用數據加密算法分析及比較[J].漯河職業技術學院學報，2017（2）：27-29.

[2]苗永清.網絡安全威脅與對策分析[J].通訊世界，2017（8）：97.