網(wǎng)絡(luò)安全現(xiàn)狀分析及應(yīng)對措施

呂 江

摘要:隨著計算機技術(shù)的飛速發(fā)展,信息網(wǎng)絡(luò)已經(jīng)成為社會發(fā)展的重要保證。信息網(wǎng)絡(luò)中存儲、傳輸和處理的信息有許多是重要的政府宏觀調(diào)控決策、商業(yè)經(jīng)濟信息、銀行資金轉(zhuǎn)賬、股票證券、能源資源數(shù)據(jù)、科研數(shù)據(jù)等重要信息,這些信息難免會吸引來自世界各地的各種人為攻擊(例如信息泄露、信息竊取、數(shù)據(jù)篡改、數(shù)據(jù)刪添、計算機病毒等)。同時,網(wǎng)絡(luò)實體還要經(jīng)受自然災(zāi)害。網(wǎng)絡(luò)安全已經(jīng)成為嚴重的社會問題之一。

關(guān)鍵詞:網(wǎng)絡(luò)安全;對策;黑客;防火墻

1 國內(nèi)網(wǎng)絡(luò)安全現(xiàn)狀分析

隨著網(wǎng)絡(luò)尤其是因特網(wǎng)在我國的迅速普及,針對我國境內(nèi)信息系統(tǒng)的攻擊正在呈現(xiàn)快速增長的勢頭,利用網(wǎng)絡(luò)傳播有害信息的手段日益翻新,據(jù)了解,從1997年底到現(xiàn)在,我國的政府部門、證券公司、銀行、ISP、ICP 等機構(gòu)的計算機網(wǎng)絡(luò)相繼遭到多次攻擊.僅2001年四月份我國有記錄在案的被來自境外黑客攻擊的案例就多達443次。我國公安機關(guān)2002年共受理各類信息網(wǎng)絡(luò)違法犯罪案件6633起,比2001年增長45.9%,其中利用計算機實施的違法犯罪案件5301起,占案件總數(shù)的80%。

我國互聯(lián)網(wǎng)安全的狀況可以分為幾部分:信息和網(wǎng)絡(luò)的安全防護能力差;基礎(chǔ)信息產(chǎn)業(yè)嚴重以來國外;信息安全管理機構(gòu)權(quán)威性不夠;網(wǎng)絡(luò)安全人才短缺;全社會的信息安全意識淡薄。

2 網(wǎng)絡(luò)面臨的安全威脅

網(wǎng)絡(luò)的安全威脅主要來自以下幾個方面:

實體摧毀。實體摧毀是計算機網(wǎng)絡(luò)安全面對的“硬殺傷”威脅。主要有電磁攻擊、兵力破壞和火力打擊3種。

無意失誤。如操作員安全配置不當(dāng)造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的賬號隨意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅。

黑客攻擊。沒有預(yù)先經(jīng)過同意,就使用網(wǎng)絡(luò)或計算機資源被看作非授權(quán)訪問。它主要有以下幾種形式:假冒、身份攻擊、非法用戶進入網(wǎng)絡(luò)系統(tǒng)進行違法操作、合法用戶以未授權(quán)方式進行操作等。某些新的信息技術(shù)在大大方便使用者的同時,也為“黑客”的入侵留下了大大小小的系統(tǒng)安全漏洞,令系統(tǒng)內(nèi)部或外部人員可以輕易地對系統(tǒng)進行惡意入侵。比如,黑客可以使用一種稱為“IP spoofing”的技術(shù),假冒用戶IP地址,從而進入內(nèi)部IP 網(wǎng)絡(luò),對網(wǎng)頁及內(nèi)部數(shù)據(jù)庫進行破壞性修改或進行反復(fù)的大量的查詢操作,使服務(wù)器不堪重負直至癱瘓。

病毒破壞。大量的來自于互聯(lián)網(wǎng)上的病毒。通過網(wǎng)絡(luò)傳播計算機病毒,其破壞性非常高, 而且用戶很難防范。如眾所周知的CIH、“愛蟲”,以及“沖擊波”、“震蕩波”等病毒都具有極大的破壞性。這些病毒在互聯(lián)網(wǎng)上以幾何級數(shù)進行自我繁殖,在短時間內(nèi)導(dǎo)致大量的計算機系統(tǒng)癱瘓,損失慘重。現(xiàn)在,互聯(lián)網(wǎng)上病毒的種類五花八門, 不計其數(shù),其對計算機系統(tǒng)的危害更是令所有的互聯(lián)網(wǎng)用戶以及網(wǎng)絡(luò)安全專家面臨巨大的挑戰(zhàn)。

TCP/IP 協(xié)議上的某些不安全因素。目前廣泛使用的TCP/IP協(xié)議存在安全漏洞。如IP層協(xié)議就有許多安全缺陷。IP地址可以軟件設(shè)置,這就造成了地址假冒和地址欺騙兩類安全隱患;IP協(xié)議支持源路由方式,即源點可以指定信息包傳送到目的節(jié)點的中間路由,這就提供了源路由攻擊的條件。再如應(yīng)用層協(xié)議Telnet,FTP,SMTP等協(xié)議缺乏認證和保密措施,這就為否認、拒絕等欺騙行為開了方便之門。

網(wǎng)絡(luò)軟件的漏洞和“后門”。網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標(biāo)。另外,軟件的“后門”都是軟件公司的設(shè)計編程人員為了自便而設(shè)置的,一般不為外人所知,但一旦“后門”被打開,其造成的后果將不堪設(shè)想。

網(wǎng)絡(luò)濫用。在一些企業(yè)的內(nèi)部網(wǎng)上,對不恰當(dāng)?shù)腤EB站點進行訪問、收發(fā)垃圾郵件、利用網(wǎng)絡(luò)與其他員工或網(wǎng)絡(luò)用戶進行非正當(dāng)通訊等情況普遍存在,導(dǎo)致大量網(wǎng)絡(luò)資源的無謂消耗,使網(wǎng)絡(luò)的使用效率和安全性能大大降低,甚至影響正常的網(wǎng)絡(luò)通訊。

3 網(wǎng)絡(luò)安全問題的對策

網(wǎng)絡(luò)安全所采用的關(guān)鍵技術(shù)和措施有:

保密工作。對工作人員結(jié)合機房、硬件、軟件、數(shù)據(jù)和網(wǎng)絡(luò)等各個方面安全問題,進行安全教育,提高工作人員的保密觀念和責(zé)任心;加強業(yè)務(wù)、技術(shù)的培訓(xùn),提高操作技能;教育工作人員嚴格遵守操作規(guī)程和各項保密規(guī)定,防止人為事故的發(fā)生。

保護傳輸線路安全。對于傳輸線路,應(yīng)有露天保護措施或埋于地下,并要求遠離各種輻射源,以減少各種輻射引起的數(shù)據(jù)錯誤;電纜鋪設(shè)應(yīng)當(dāng)使用金屬導(dǎo)管,以減少各種輻射引起的電磁泄露和對發(fā)送線路的干擾。對連接要定期檢查,以檢測是否有搭線竊聽、外連或破壞行為。

目前主要防護措施有兩類:一類是對外圍輻射的防護,主要采取對電源線和信號線加裝性能良好的濾波器,減小傳輸阻抗和導(dǎo)線間的交叉耦合;給網(wǎng)絡(luò)加裝電磁屏蔽網(wǎng),防止敵方電磁武器的攻擊。另一類是對自身輻射的防護,這類防護措施又可分為兩種:一是采用各種電磁屏蔽措施,如對設(shè)備的金屬屏蔽和各種接插件的屏蔽,同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離;二是干擾的防護措施,即在計算機系統(tǒng)工作的同時,利用干擾裝置產(chǎn)生一種與計算機系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來掩蓋計算機系統(tǒng)的工作頻率和信息特征。

防御黑客攻擊。黑客攻擊是黑客自己開發(fā)或利用已有的工具尋找計算機系統(tǒng)和網(wǎng)絡(luò)的缺陷和漏洞,并對這些缺陷實施攻擊。在計算機網(wǎng)絡(luò)飛速發(fā)展的同時,黑客技術(shù)也日益高超,目前黑客能運用的攻擊軟件已有1000多種。從網(wǎng)絡(luò)防御的角度講,計算機黑客是一個揮之不去的夢魘。借助黑客工具軟件,黑客可以有針對性地頻頻對敵方網(wǎng)絡(luò)發(fā)動襲擊令其癱瘓,多名黑客甚至可以借助同樣的軟件在不同的地點“集中火力”對一個或者多個網(wǎng)絡(luò)發(fā)起攻擊。而且,黑客們還可以把這些軟件神不知鬼不覺地通過互聯(lián)網(wǎng)按到別人的電腦上,然后在電腦主人根本不知道的情況下“借刀殺人”,以別人的電腦為平臺對敵方網(wǎng)站發(fā)起攻擊!美軍認為,在未來計算機網(wǎng)絡(luò)進攻戰(zhàn)中,“黑客戰(zhàn)”將是其基本戰(zhàn)法之一。

理論上開放系統(tǒng)都會有漏洞的,正是這些漏洞被一些擁有很高技術(shù)水平和超強耐性的黑客所利用。黑客們最常用的手段是獲得超級用戶口令,他們總是先分析目標(biāo)系統(tǒng)正在運__行哪些應(yīng)用程序,目前可以獲得哪些權(quán)限,有哪些漏洞可加以利用,并最終利用這些漏洞獲取超級用戶權(quán)限,再達到他們的目的。因此,對黑客攻擊的防御,主要從訪問控制技術(shù)、防火墻技術(shù)和信息加密技術(shù)入手。

訪問控制。訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略,他的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問。他也是維護網(wǎng)絡(luò)系統(tǒng)安全、保護網(wǎng)絡(luò)資源的重要手段?？梢哉f是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制技術(shù)主要包括7種:入網(wǎng)訪問控制;網(wǎng)絡(luò)的權(quán)限控制;目錄級安全控制;屬性安全控制;網(wǎng)絡(luò)服務(wù)器安全控制;網(wǎng)絡(luò)監(jiān)測和鎖定控制;網(wǎng)絡(luò)端口和節(jié)點的安全控制。

根據(jù)網(wǎng)絡(luò)安全的等級,網(wǎng)絡(luò)空間的環(huán)境不同,可靈活地設(shè)置訪問控制的種類和數(shù)量。

防火墻技術(shù)。防火墻是近期發(fā)展起來的一種保護計算機網(wǎng)絡(luò)安全的技術(shù)性措施,他是一個用以阻止網(wǎng)絡(luò)中的黑客訪問某個機構(gòu)網(wǎng)絡(luò)的屏障,也可稱之為控制進/出兩個方向通信的門檻。一個防火墻系統(tǒng)通常由屏蔽路由器和代理服務(wù)器組成。屏蔽路由器是一個多端口的IP路由器,他通過對每一個到來的IP包依據(jù)一組規(guī)則進行檢查來判斷是否對之進行轉(zhuǎn)發(fā)。代理服務(wù)器是防火墻系統(tǒng)中的一個服務(wù)器進程,他能夠代替網(wǎng)絡(luò)用戶完成特定的TCP/IP功能。一個代理服務(wù)器本質(zhì)上是一個應(yīng)用層的網(wǎng)關(guān),一個為特定網(wǎng)絡(luò)應(yīng)用而連接兩個網(wǎng)絡(luò)的網(wǎng)關(guān)。目前的防火墻主要有包過濾防火墻、代理防火墻和雙穴主機防火墻3種類型,并在計算機網(wǎng)絡(luò)得到了廣泛的應(yīng)用。防火墻的確是一種重要的新型安全措施。但是,防火墻也不能解決進入防火墻的數(shù)據(jù)帶來的所有安全問題。如果用戶抓來一個程序在本地運行,那個程序很可能就包含一段惡意的代碼,或泄露敏感信息,或?qū)χM行破壞。防火墻的另一個缺點是很少有防火墻制造商推出簡便易用的“監(jiān)獄看守”型的防火墻,大多數(shù)的產(chǎn)品還停留在需要網(wǎng)絡(luò)管理員手工建立的水平上。

信息加密技術(shù)。信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息,保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點加密和節(jié)點加密3種。

①鏈路加密的目的是保護網(wǎng)絡(luò)節(jié)點之間的鏈路信息安全;

②端-端加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供保護;

③節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。

用戶可根據(jù)網(wǎng)絡(luò)情況酌情選擇上述加密方式。信息加密過程是由形形色色的加密算法來具體實施,他以很小的代價提供很大的安全保護。在多數(shù)情況下,信息加密是保證信息機密性的惟一方法。據(jù)不完全統(tǒng)計,到目前為止,已經(jīng)公開發(fā)表的各種加密算法多達數(shù)百種。如果按照收發(fā)雙方密鑰是否相同來分類,可以將這些加密算法分為常規(guī)密碼算法和公鑰密碼算法。

在常規(guī)密碼中,收信方和發(fā)信方使用相同的密鑰,即加密密鑰和解密密鑰是相同或等價的。在公鑰密碼中,收信方和發(fā)信方使用的密鑰互不相同,而且?guī)缀醪豢赡軓募用苊荑€推導(dǎo)出解密密鑰。當(dāng)然在實際應(yīng)用中人們通常將常規(guī)密碼和公鑰密碼結(jié)合在一起使用,比如:利用DES或者IDEA來加密信息,而采用RSA來傳遞會話密鑰。密碼技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一。一個加密網(wǎng)絡(luò),不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng),而且也是對付惡意軟件的有效方法之一。

防御計算機病毒。如果說,黑客們?nèi)肭钟嬎銠C網(wǎng)絡(luò)事件是從計算機網(wǎng)絡(luò)中向外竊取信息情報的話。那么計算機病毒則是人們向內(nèi)攻擊計算機網(wǎng)絡(luò)的方法了。目前計算機病毒已經(jīng)攪得世界不得安寧,并且他將繼續(xù)逞兇在未來的信息戰(zhàn)場之上,成為各國軍隊不得不認真對付的一種高技術(shù)武器。

由于計算機病毒的傳染性、潛伏性和巨大的破壞性。計算機病毒作為信息戰(zhàn)的武器,其攻防對抗的焦點和關(guān)鍵技術(shù)是病毒的制作技術(shù)、注入技術(shù)、激活技術(shù)和隔離技術(shù),其中實施病毒戰(zhàn)難度最大的是注入、激活和隔離技術(shù)。防御計算機病毒,首先要進行計算機病毒的種類、性能、干擾機理的研究,加強計算機病毒注入、激活、耦合技術(shù)的研究和計算機病毒的防御技術(shù)的研究。但是要從根本上解決問題,就必須要用我國自己的安全設(shè)備加強信息與網(wǎng)絡(luò)的安全性,大力發(fā)展基于自主技術(shù)的信息安全產(chǎn)業(yè)。這樣才能從根本上擺脫引進國外的關(guān)鍵信息系統(tǒng)難以安全利用、有效監(jiān)控的被動局面。

4 結(jié)束語

網(wǎng)絡(luò)安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。它主要是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,網(wǎng)絡(luò)服務(wù)不中斷。