關(guān)于計算機網(wǎng)絡(luò)安全技術(shù)分析

唐蘭娟

（中國石油呼和浩特石化公司項目經(jīng)理部，內(nèi)蒙古 呼和浩特 010070）

隨著計算機技術(shù)的發(fā)展，在計算機上處理業(yè)務(wù)已由基于單機的數(shù)學運算、文件處理，基于簡單連結(jié)的內(nèi)部網(wǎng)絡(luò)的內(nèi)部業(yè)務(wù)處理、辦公自動化等發(fā)展到基于企業(yè)復雜的內(nèi)部網(wǎng)、企業(yè)外部網(wǎng)、全球互聯(lián)網(wǎng)的企業(yè)級計算機處理系統(tǒng)和世界范圍內(nèi)的信息共享和業(yè)務(wù)處理。在信息處理能力提高的同時，系統(tǒng)的連結(jié)能力也在不斷的提高。但在連結(jié)信息能力、流通能力提高的同時，基于網(wǎng)絡(luò)連接的安全問題也日益突出。本文主要從以下幾個方面進行探討：

1 計算機網(wǎng)絡(luò)安全的現(xiàn)狀

據(jù)美國金融時報報道，世界上平均每20分鐘就發(fā)生一次入侵國際互聯(lián)網(wǎng)絡(luò)的計算機安全事件，1/3的防火墻被突破。美國聯(lián)邦調(diào)查局計算機犯罪組負責人吉姆·塞特爾稱：給我精選10名“黑客”，組成小組，90天內(nèi)，我將使美國趴下。一位計算機專家毫不夸張地說：如果給我一臺普通計算機、一條電話線和一個調(diào)制解調(diào)器，就可以令某個地區(qū)的網(wǎng)絡(luò)運行失常。從1997年底至今，我國的政府部門、證券公司、銀行等機構(gòu)的計算機網(wǎng)絡(luò)相繼遭到多次攻擊。公安機關(guān)受理各類信息網(wǎng)絡(luò)違法犯罪案件逐年劇增，尤其以電子郵件、特洛伊木馬、文件共享等為傳播途徑的混合型病毒愈演愈烈。面對形勢日益嚴峻的現(xiàn)狀，很多單位都缺乏必要的技術(shù)設(shè)施和相關(guān)處理經(jīng)驗，很多時候都顯得有些力不從心。也正是由于受技術(shù)條件的限制，很多人對網(wǎng)絡(luò)安全的意識僅停留在如何防范病毒階段，對網(wǎng)絡(luò)安全缺乏整體意識。

2 網(wǎng)絡(luò)安全脆弱性原因

Internet所用底層TCP/IP網(wǎng)絡(luò)協(xié)議本身易受到攻擊，該協(xié)議本身的安全問題極大地影響到上層應用的安全。

Internet上廣為傳插的易用黑客和解密工具使很多網(wǎng)絡(luò)用戶輕易地獲得了攻擊網(wǎng)絡(luò)的方法和手段。

快速的軟件升級周期，會造成問題軟件的出現(xiàn)，經(jīng)常會出現(xiàn)操作系統(tǒng)和應用程序存在新的攻擊漏洞。

現(xiàn)行法規(guī)政策和管理方面存在不足。目前我國針對計算機及網(wǎng)絡(luò)信息保護的條款不細致，網(wǎng)上保密的法規(guī)制度可操作性不強，執(zhí)行不力。同時，不少單位沒有從管理制度、人員和技術(shù)上建立相應的安全防范機制。

3 網(wǎng)絡(luò)安全的主要技術(shù)

3.1 應用防火墻技術(shù),實現(xiàn)網(wǎng)絡(luò)安全集中管理

防火墻技術(shù)。網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強網(wǎng)站之間訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源，保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。目前的防火墻產(chǎn)品主要有堡壘主機、包過濾路由器、應用層網(wǎng)關(guān)(代理服務(wù)器)以及電路層網(wǎng)關(guān)、屏蔽主機防火墻、雙宿主機等類型。

防火墻的應用配置。在傳統(tǒng)邊界防火墻應用配置中，最主要體現(xiàn)在DMZ(非軍事區(qū))、VPN(虛擬專用網(wǎng))、DNS(域名服務(wù)器)和入侵檢測配置等幾個方面。下面具體介紹。

DMZ(非軍事區(qū))應用配置:DMZ是作為內(nèi)外網(wǎng)都可以訪問的公共計算機系統(tǒng)和資源的連接點，在其中放置的都是一些可供內(nèi)、外部用戶寬松訪問的服務(wù)器，或提供通信基礎(chǔ)服務(wù)的服務(wù)器及設(shè)備。DMZ區(qū)通常放置在帶包過濾功能的邊界路由器與防火墻之間。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

VPN(虛擬企業(yè)專網(wǎng))是目前最新的網(wǎng)絡(luò)技術(shù)之一，它的主要優(yōu)點通過公網(wǎng)，利用隧道技術(shù)進行虛擬連接，相比專線連接來說可以大幅降低企業(yè)通信成本(降低幅度在70%左右)，加上隨上VPN技術(shù)的發(fā)展，VPN通信的安全問題已基本得到解決，所以目前它是一種企業(yè)首選通信方式，得到了廣大用戶的認可和選擇。

3.2 應用防病毒技術(shù)，建立全面的網(wǎng)絡(luò)防病毒體系

在所有計算機安全威脅中，計算機病毒是最為嚴重的，它不僅發(fā)生的頻率高、損失大，而且潛伏性強、覆蓋面廣。目前防病毒措施如下：

制定系統(tǒng)的防病毒策略。為了正確選擇、配置和維護病毒防護解決方案，您的系統(tǒng)必須明確地規(guī)定保護的級別和所需采取的對策。

部署多層防御戰(zhàn)略。其中包括網(wǎng)關(guān)防病毒、服務(wù)器及群件防病毒、個人桌面計算機防病毒以及所有防病毒產(chǎn)品的統(tǒng)一管理等。

定期更新防病毒定義文件和引擎。一般情況下，更新是自動進行的，但更重要的是應定期檢查日志文件以確保正確地執(zhí)行了更新。

定期備份文件。建議您制訂一個標準程序來定期檢查從備份中恢復的數(shù)據(jù)。

預訂可發(fā)布新病毒威脅警告的電子郵件警報服務(wù)。有許多不同的機構(gòu)提供這種服務(wù)，但是最關(guān)鍵的應該是您的防病毒服務(wù)供應商。

為全體職員提供全面的防病毒培訓。這種方法可以最大程度地降低系統(tǒng)內(nèi)大多數(shù)病毒的發(fā)作。

3.3 應用入侵檢測技術(shù)保護主機資源,防止內(nèi)外網(wǎng)攻擊

入侵檢測的第一步是信息收集，內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。而且，需要在計算機網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點（不同網(wǎng)段和不同主機）收集信息，這除了盡可能擴大檢測范圍的因素外，還有一個重要的因素就是從一個源來的信息有可能看不出疑點，但從幾個源來的信息的不一致性卻是可疑行為或入侵的最好標識。

入侵檢測的第二步是信號分析,一般通過三種技術(shù)手段進行分析：模式匹配，統(tǒng)計分析和完整性分析。其中前兩種方法用于實時的入侵檢測，而完整性分析則用于事后分析。

3.4 應用安全漏洞掃描技術(shù)主動探測網(wǎng)絡(luò)安全漏洞

漏洞掃描主要通過以下兩種方法來檢查目標主機是否存在漏洞：在端口掃描后得知目標主機開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對目標主機系統(tǒng)進行攻擊性的安全漏洞掃描，如測試弱勢口令等。若模擬攻擊成功，則表明目標主機系統(tǒng)存在安全漏洞。目前主要采用的漏洞掃描技術(shù)方法有漏洞庫的匹配方法和插件（功能模塊技術(shù)）技術(shù)。

3.5 應用網(wǎng)站實時監(jiān)控與恢復系統(tǒng)，實現(xiàn)網(wǎng)絡(luò)安全可靠的運行

實時監(jiān)控。實時監(jiān)控、阻斷響應系統(tǒng)和闖入警告系統(tǒng)兩個實時動態(tài)的防黑客組合，既可防外，也可防內(nèi)。一般說來，入侵檢測的兩大信息源是網(wǎng)絡(luò)傳輸數(shù)據(jù)和系統(tǒng)審計數(shù)據(jù)。實時監(jiān)控、阻斷響應系統(tǒng)的信息源是網(wǎng)絡(luò)傳輸數(shù)據(jù)，通過監(jiān)視和分析網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包來發(fā)現(xiàn)入侵；闖入警告系統(tǒng)的信息源是系統(tǒng)審計數(shù)據(jù)，通過分析系統(tǒng)審計日志中大量的跟蹤用戶活動的細節(jié)記錄來發(fā)現(xiàn)入侵，分別在網(wǎng)絡(luò)級和系統(tǒng)級共同探測黑客的攻擊并及時做出反應和阻斷，可以通過email，給系統(tǒng)管理員傳呼文件記錄，斷掉進程，封鎖賬戶等方式來防止黑客進行更深一步的破壞，兩者是不可或缺的。系統(tǒng)級的闖入警告系統(tǒng)可以檢查出網(wǎng)絡(luò)級的實時監(jiān)控、阻斷響應系統(tǒng)查不出的攻擊，反之亦然。

多重引導系統(tǒng)的備份與恢復。為減小系統(tǒng)重裝的復雜程度，節(jié)省安裝時間，建議在使用之前對整個硬盤（包括所有分區(qū)）進行備份，為其制作一個映像文件，放在另一硬盤或光盤上;當系統(tǒng)出現(xiàn)故障時，再用這個映像文件進行恢復。這種方法對多重引導硬盤這樣的復雜系統(tǒng)尤其適用。

總之，網(wǎng)絡(luò)安全是一個系統(tǒng)的工程，不能僅僅依靠防火墻等單個的系統(tǒng)，而需要仔細考慮系統(tǒng)的安全需求，并將各種安全技術(shù)，如密碼技術(shù)等結(jié)合在一起，才能生成一個高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。

[1]余建斌.《黑客的攻擊手段及用戶對策》（北京人民郵電出版社.1998）

[2]蔡立軍：《計算機網(wǎng)絡(luò)安全技術(shù)》（中國水利水電出版社.2002）