網(wǎng)絡(luò)信息安全面臨的問(wèn)題及對(duì)策

董 潔

（赤峰學(xué)院 計(jì)算機(jī)科學(xué)與技術(shù)系，內(nèi)蒙古 赤峰 024000）

網(wǎng)絡(luò)信息安全面臨的問(wèn)題及對(duì)策

董 潔

（赤峰學(xué)院 計(jì)算機(jī)科學(xué)與技術(shù)系，內(nèi)蒙古 赤峰 024000）

隨著個(gè)人計(jì)算機(jī)和互聯(lián)網(wǎng)的普及，越來(lái)越多的公司依賴于使用互聯(lián)網(wǎng)經(jīng)營(yíng)其業(yè)務(wù)，行政機(jī)構(gòu)和政府借助計(jì)算機(jī)儲(chǔ)存重要的信息和數(shù)據(jù)，個(gè)人利用計(jì)算機(jī)與各式各樣的終端設(shè)備享受互聯(lián)網(wǎng)的快捷和便利.但是，大量的敏感信息，大到維系公共安全的重要行政信息和軍事信息，小到個(gè)人的隱私信息，不可避免的在互聯(lián)網(wǎng)上傳遞和存儲(chǔ)，大量的資金通過(guò)網(wǎng)上進(jìn)行轉(zhuǎn)賬，通過(guò)網(wǎng)上銀行進(jìn)行支付.對(duì)于懷有惡意的計(jì)算機(jī)罪犯來(lái)說(shuō)，這些都是他們所垂涎的目標(biāo).如果對(duì)其沒(méi)有適當(dāng)?shù)谋Ｗo(hù)以滿足其安全性的要求，那么個(gè)人、公司或各種組織會(huì)面臨巨大的經(jīng)濟(jì)風(fēng)險(xiǎn)和信任風(fēng)險(xiǎn).為此，本文通過(guò)分析網(wǎng)絡(luò)中的安全隱患問(wèn)題，提出了一些防范措施.

計(jì)算機(jī)網(wǎng)絡(luò)；安全技術(shù)；防火墻；入侵檢測(cè)；加密

1 計(jì)算機(jī)網(wǎng)絡(luò)安全概念

從本質(zhì)上來(lái)講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞、更改、泄漏，確保系統(tǒng)能連續(xù)、可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷.網(wǎng)絡(luò)安全既有技術(shù)方面的問(wèn)題，也有管理方面的問(wèn)題，兩方面相互補(bǔ)充，缺一不可.

2 計(jì)算機(jī)網(wǎng)絡(luò)的安全隱患

2.1 技術(shù)上的弱點(diǎn).計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)處于快速發(fā)展之中，不可避免的會(huì)存在各類問(wèn)題.以下是一些典型的技術(shù)弱點(diǎn)導(dǎo)致的安全威脅：

2.1.1 TCP/IP網(wǎng)絡(luò)——TCP/IP協(xié)議時(shí)一個(gè)開(kāi)放的標(biāo)準(zhǔn)，主要用于互聯(lián)網(wǎng)通信.盡管有數(shù)量眾多的專家參與協(xié)議的制定，但是面向開(kāi)放的網(wǎng)絡(luò)導(dǎo)致其不能保證信息傳輸?shù)耐暾院臀词跈?quán)的存取等進(jìn)攻手段作出適當(dāng)?shù)姆雷o(hù).

2.1.2 操作系統(tǒng)漏洞——主流的操作系統(tǒng)如UNIX，Windows，Linux等，由于各種原因?qū)е麓嬖诼┒?，必須由系統(tǒng)管理員經(jīng)過(guò)安全配置，密切跟蹤安全報(bào)告以及及時(shí)對(duì)操作系統(tǒng)進(jìn)行更新和補(bǔ)丁更新操作才能保證其安全性.

2.2 網(wǎng)絡(luò)結(jié)構(gòu)的不安全性.因特網(wǎng)是一種網(wǎng)間網(wǎng)技術(shù).它是由無(wú)數(shù)個(gè)局域網(wǎng)所連成的一個(gè)巨大網(wǎng)絡(luò).當(dāng)人們用一臺(tái)主機(jī)和另一局域網(wǎng)的主機(jī)進(jìn)行通信時(shí)，通常情況下它們之間互相傳送的數(shù)據(jù)流要經(jīng)過(guò)很多機(jī)器重重轉(zhuǎn)發(fā)，如果攻擊者利用一臺(tái)處于用戶的數(shù)據(jù)流傳輸路徑上的主機(jī)，他就可以劫持用戶的數(shù)據(jù)包.

2.3 易被竊聽(tīng).由于因特網(wǎng)上大多數(shù)數(shù)據(jù)流都沒(méi)有加密，因此人們利用網(wǎng)上免費(fèi)提供的工具就很容易對(duì)網(wǎng)上的電子郵件、口令和傳輸?shù)奈募M(jìn)行竊聽(tīng).

2.4 缺乏安全意識(shí).雖然網(wǎng)絡(luò)中設(shè)置了許多安全保護(hù)屏障，但人們普遍缺乏安全意識(shí)，從而使這些保護(hù)措施形同虛設(shè).

2.4.1 系統(tǒng)賬戶存在易被猜測(cè)的用戶名和密碼、管理員技術(shù)不足以適應(yīng)崗位或由于疏忽，惰性的原因，未對(duì)默認(rèn)的高權(quán)限系統(tǒng)賬戶進(jìn)行處理.

2.4.2 設(shè)備未得到良好配置——如路由器，交換機(jī)或服務(wù)器使用帶有漏洞的默認(rèn)配置方式，或路由器的路由表未得到良好維護(hù)，服務(wù)器的訪問(wèn)控制列表存在漏洞等.

3 網(wǎng)絡(luò)安全防范的內(nèi)容

一個(gè)安全的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)該具有可靠性、可用性、完整性、保密性和真實(shí)性等特點(diǎn).計(jì)算機(jī)網(wǎng)絡(luò)不僅要保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全，還要保護(hù)數(shù)據(jù)安全等.因此針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問(wèn)題，實(shí)施網(wǎng)絡(luò)安全保護(hù)方案以確保計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性是每一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)都要認(rèn)真對(duì)待的一個(gè)重要問(wèn)題.網(wǎng)絡(luò)安全防范的重點(diǎn)主要有兩個(gè)方面：一是計(jì)算機(jī)病毒，二是黑客犯罪.

3.1 計(jì)算機(jī)病毒.所謂計(jì)算機(jī)病毒實(shí)際是一段可以復(fù)制的特殊程序,主要對(duì)計(jì)算機(jī)進(jìn)行破壞,病毒所造成的破壞非常巨大,可以使計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)癱瘓、數(shù)據(jù)和文件丟失.在網(wǎng)絡(luò)上傳播病毒可以通過(guò)公共匿名FTP文件傳送，也可以通過(guò)郵件和郵件的附加文件傳播.

3.2 黑客.黑客（Hacker）經(jīng)常會(huì)侵入網(wǎng)絡(luò)中的計(jì)算機(jī)系統(tǒng)，或竊取機(jī)密數(shù)據(jù)和盜用特權(quán)，或破壞重要數(shù)據(jù)，或使系統(tǒng)功能得不到充分發(fā)揮直至癱瘓.黑客的攻擊手段在不斷地更新,幾乎每天都有不同系統(tǒng)安全問(wèn)題出現(xiàn).然而安全工具的更新速度太慢.因此,黑客總是可以使用先進(jìn)的、安全工具不知道的手段進(jìn)行攻擊.

4 網(wǎng)絡(luò)安全的防范措施

4.1 及時(shí)修補(bǔ)“漏洞”

網(wǎng)絡(luò)軟件不可能無(wú)缺陷、無(wú)漏洞,這些漏洞和缺陷正是黑客攻擊的首選目標(biāo).

4.2 利用網(wǎng)絡(luò)安全技術(shù)

4.2.1 身份認(rèn)證技術(shù).身份驗(yàn)證指的是一個(gè)用戶或系統(tǒng)的實(shí)際身份是否與其所聲明的身份相符.在整個(gè)安全體系中，身份驗(yàn)證是一個(gè)最關(guān)鍵的部分，這一部分也通常稱作身份鑒別和身份認(rèn)證（identify& authentication）.以下介紹是一些身份驗(yàn)證的方法，在良好配置和實(shí)施的情況下都能有效的維持系統(tǒng)的安全.

4.2.1.1 用戶名和密碼：使用用戶名和密碼進(jìn)行身份驗(yàn)證是最古老也是最有效的身份驗(yàn)證手段.用戶名和密碼只有聯(lián)合作用時(shí)才能順利的完成身份認(rèn)證的過(guò)程.其中缺少哪一個(gè)都是不能夠完成身份認(rèn)證人物的.因此，一般來(lái)說(shuō)，具有較高安全要求的系統(tǒng)中，最好能夠?qū)⒂脩裘兔艽a分別秘密保存.

4.2.1.2 一次性密碼：一次性密碼指一條僅在短時(shí)間內(nèi)使用的密碼.密碼僅在制定的時(shí)間短內(nèi)有效，一旦超出該時(shí)間段，密碼立即失效.針對(duì)以密碼為目標(biāo)的攻擊手段，一次性密碼能夠有效的提升系統(tǒng)的安全性并廣泛應(yīng)用于Kerberos認(rèn)證系統(tǒng)中.一次性密碼能夠有效的防止各類重放的攻擊，但是不能免于會(huì)話劫持或中間人攻擊這些類型的攻擊手段.

4.2.1.3 安全令牌：安全令牌指的是一種專用于身份認(rèn)證的設(shè)備.一般由某位系統(tǒng)管理員發(fā)放給特定的用戶.目前通常使用的安全令牌是一個(gè)信用卡卡片大小的物理設(shè)備，可以隨身攜帶.而實(shí)際使用中，安全令牌通常與其他手段聯(lián)合使用以達(dá)到更高的安全要求.

4.2.1.4 生物檢測(cè)和識(shí)別：借助身份待驗(yàn)證人的生物學(xué)特征進(jìn)行身份驗(yàn)證的方式成為生物檢測(cè).一般來(lái)說(shuō)，生物學(xué)特征——如指紋，掌紋，視網(wǎng)膜，虹膜等，非常難于模仿和偽造.因此，基于生物學(xué)特征的身份驗(yàn)證手段通常被認(rèn)為是相當(dāng)安全的.另一方面，這些生物學(xué)特征是身份驗(yàn)證者天生具備的，因此無(wú)需記憶或需要記錄媒體幫助記憶，在某種程度上也減少了一定的安全風(fēng)險(xiǎn).

4.2.1.5 CHAP:挑戰(zhàn)握手協(xié)議（challenge-handshake authentication protocol）是一個(gè)用來(lái)驗(yàn)證用戶或網(wǎng)絡(luò)提供者的協(xié)議，一般用于點(diǎn)對(duì)點(diǎn)協(xié)議服務(wù)器對(duì)遠(yuǎn)程用戶的身份驗(yàn)證.負(fù)責(zé)提供驗(yàn)證的服務(wù)機(jī)構(gòu)，可以是互聯(lián)網(wǎng)服務(wù)供應(yīng)商，又或是其他驗(yàn)證機(jī)構(gòu).CHAP支持單向和雙向的身份認(rèn)證.

4.2.1.6 Kerberos協(xié)議是一種計(jì)算機(jī)網(wǎng)絡(luò)授權(quán)協(xié)議，用來(lái)在非安全網(wǎng)絡(luò)中，對(duì)個(gè)人通信以安全的手段進(jìn)行身份認(rèn)證.

4.2.1.7 數(shù)字證書：數(shù)字證書主要用于對(duì)互聯(lián)網(wǎng)上個(gè)人或組織的身份認(rèn)證.可以廣泛地應(yīng)用在如E-mail，電子商務(wù)，電子交易等領(lǐng)域，數(shù)字證書可以提供有效的保密性和不可抵賴性的保障，這使得原本互不認(rèn)識(shí)的雙方通過(guò)數(shù)字證書實(shí)現(xiàn)保密通信成為可能.

4.2.2 防火墻技術(shù).防火墻是一種被廣泛采用的重要的安全技術(shù),它在內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān),通過(guò)監(jiān)測(cè)、限制、更改數(shù)據(jù)源,盡可能地對(duì)外部網(wǎng)絡(luò)屏蔽有關(guān)被保護(hù)網(wǎng)絡(luò)的信息,從而達(dá)到抵御來(lái)自外部網(wǎng)絡(luò)的攻擊、防止不法分子入侵、保護(hù)內(nèi)部網(wǎng)絡(luò)資源的目的.可見(jiàn),防火墻技術(shù)最適合于在企業(yè)專網(wǎng)中使用,特別是在企業(yè)專網(wǎng)與公共網(wǎng)絡(luò)互聯(lián)時(shí)使用.

防火墻可以防范有害的數(shù)據(jù)包或者未經(jīng)授權(quán)的訪問(wèn).其中，未經(jīng)授權(quán)的訪問(wèn)包括外部網(wǎng)絡(luò)未經(jīng)授權(quán)訪問(wèn)內(nèi)部局域網(wǎng)或站點(diǎn)，也包括內(nèi)部主機(jī)或工作站未經(jīng)授權(quán)訪問(wèn)Internet.如果增加病毒掃描功能，也能夠防止病毒木馬等惡意軟件.

反病毒軟件有時(shí)也被稱為病毒防火墻.操作系統(tǒng)應(yīng)用反病毒軟件保護(hù)系統(tǒng)不受病毒，木馬和蠕蟲(chóng)的侵害.通常的反病毒軟件利用存儲(chǔ)在軟件中的病毒特征庫(kù)對(duì)文件進(jìn)行掃描來(lái)發(fā)現(xiàn)和查找病毒.在發(fā)現(xiàn)病毒以后，也能夠采用相應(yīng)的措施刪除病毒或修復(fù)被病毒損壞的文件.對(duì)用戶來(lái)說(shuō)，連接到互聯(lián)網(wǎng)的計(jì)算機(jī)特別應(yīng)該安裝有效的反病毒軟件以防止病毒和木馬的入侵.而及時(shí)跟新病毒特征庫(kù)也是使用反病毒軟件的良好習(xí)慣.而更新式的反病毒軟件則有主動(dòng)防御，啟發(fā)式查殺病毒和自動(dòng)學(xué)習(xí)的功能，力求精準(zhǔn)有效的查殺病毒.如果用戶條件允許，應(yīng)該對(duì)特別需要安全保護(hù)的主機(jī)部署基于主機(jī)的入侵檢測(cè)系統(tǒng)（IDS）.

4.2.3 入侵檢測(cè)技術(shù).入侵檢測(cè)技術(shù)是一種主動(dòng)保護(hù)自己免受黑客攻擊的網(wǎng)絡(luò)安全技術(shù),它具有監(jiān)視分析用戶和系統(tǒng)的行為、審計(jì)系統(tǒng)配置和漏洞、評(píng)估敏感系統(tǒng)和數(shù)據(jù)的完整性、識(shí)別攻擊行為、對(duì)異常行為進(jìn)行統(tǒng)計(jì)、自動(dòng)收集和系統(tǒng)相關(guān)的補(bǔ)丁、進(jìn)行審計(jì)跟蹤識(shí)別違反安全法規(guī)的行為等功能,使系統(tǒng)管理員可以有效地監(jiān)視、審計(jì)、評(píng)估自己的系統(tǒng).入侵檢測(cè)技術(shù)被認(rèn)為是防火墻之后的第二道安全閘門.

4.2.4 漏洞掃描技術(shù).漏洞掃描是自動(dòng)檢測(cè)遠(yuǎn)端或本地主機(jī)安全脆弱點(diǎn)的技術(shù).它查詢TCP/IP端口并紀(jì)錄目標(biāo)的響應(yīng),收集關(guān)于某些特定項(xiàng)目的有用信息.這項(xiàng)技術(shù)具體是由安全掃描程序?qū)崿F(xiàn)的.安全掃描程序能夠?qū)σ粋€(gè)系統(tǒng)的代碼進(jìn)行反復(fù)獲取、編譯和運(yùn)行,并對(duì)上述檢測(cè)所獲得的大量數(shù)據(jù)進(jìn)行分析,從而可以快速地在較大范圍內(nèi)發(fā)現(xiàn)系統(tǒng)的脆弱點(diǎn).

4.2.5 加密技術(shù).采用密碼加密技術(shù)對(duì)信息加密,是最常用的安全保護(hù)措施.該技術(shù)的特征是利用現(xiàn)代的數(shù)據(jù)加密技術(shù)來(lái)保護(hù)網(wǎng)絡(luò)系統(tǒng)中包括用戶數(shù)據(jù)在內(nèi)的所有數(shù)據(jù)流.只有指定的用戶或網(wǎng)絡(luò)設(shè)備才能夠解譯加密數(shù)據(jù),從而在不對(duì)網(wǎng)絡(luò)環(huán)境作特殊要求的前提下從根本上解決網(wǎng)絡(luò)安全的兩大要求(網(wǎng)絡(luò)服務(wù)的可用性和信息的完整性).這類技術(shù)一般不需要特殊的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)支持,因而實(shí)施代價(jià)主要體現(xiàn)在軟件的開(kāi)發(fā)和系統(tǒng)運(yùn)行維護(hù)等方面.

4.2.6 網(wǎng)絡(luò)防毒技術(shù).防火墻的功能只是限制網(wǎng)絡(luò)的訪問(wèn),檢測(cè)和清除病毒還要靠病毒防治軟件.目前的病毒防治軟件基本上采用的檢測(cè)原理大致有特征碼法、校驗(yàn)和法、行為碼法三種方法,以提高病毒的檢測(cè)和清除率.目前的網(wǎng)絡(luò)病毒軟件一般都加入防火墻功能,是集反毒、反黑、救護(hù)于一身的產(chǎn)品,對(duì)于網(wǎng)絡(luò)型病毒的防治是很有效的.對(duì)于重要企業(yè)網(wǎng)絡(luò),則應(yīng)該考慮安裝專業(yè)性更強(qiáng)、可靠性更高、安全機(jī)制更嚴(yán)密的網(wǎng)絡(luò)防病毒系統(tǒng).近幾年有些安全產(chǎn)品廠商也開(kāi)發(fā)出比較好的防毒硬件產(chǎn)品—“防毒墻”,對(duì)于網(wǎng)絡(luò)病毒具有很好的防范作用.結(jié)合企業(yè)網(wǎng)絡(luò)的特點(diǎn),在網(wǎng)絡(luò)安全的病毒防護(hù)方面應(yīng)該采用“多級(jí)防范,集中管理,以防為主,防治結(jié)合”的動(dòng)態(tài)防毒策略.

4.2.7 網(wǎng)絡(luò)掃描工具.網(wǎng)絡(luò)掃描工具主要是指通過(guò)對(duì)網(wǎng)絡(luò)和連接到網(wǎng)絡(luò)的主機(jī)進(jìn)行搜索并期望獲得有用的信息的工具.網(wǎng)絡(luò)掃描工具可以用于在部署和實(shí)施網(wǎng)絡(luò)時(shí)進(jìn)行工作，以排查網(wǎng)絡(luò)系統(tǒng)中可能存在的漏洞或不足.如果安全管理人員知道攻擊者所使用的方法，如rootkit或特洛伊木馬使用的協(xié)議和端口號(hào)，可以根據(jù)這些信息對(duì)網(wǎng)絡(luò)主機(jī)進(jìn)行掃描一發(fā)現(xiàn)攻擊者的蛛絲馬跡.當(dāng)然，如果需要測(cè)試一個(gè)網(wǎng)絡(luò)的安全性，可以采用模擬攻擊的方式進(jìn)行，而網(wǎng)絡(luò)掃描工具也是進(jìn)行模擬攻擊的一個(gè)重要組成部分.

4.3 提高安全意識(shí)

4.3.1 不要隨意打開(kāi)來(lái)歷不明的電子郵件及文件，不要隨便運(yùn)行不太了解的人給你的程序；

4.3.2 盡量避免從Internet下載不知名的軟件、游戲程序；網(wǎng)上下載的程序或者文件在運(yùn)行或打開(kāi)前要對(duì)其進(jìn)行病毒掃描；

4.3.3 密碼設(shè)置盡可能使用字母數(shù)字混排，單純的英文或者數(shù)字很容易窮舉；

4.3.4 及時(shí)下載安裝系統(tǒng)補(bǔ)丁程序；

4.3.5 應(yīng)該定期升級(jí)所安裝的殺毒軟件；

4.3.6 不要隨意瀏覽黑客網(wǎng)站(包括正規(guī)的黑客網(wǎng)站)；

4.3.7 及時(shí)做好數(shù)據(jù)備份工作,確保網(wǎng)絡(luò)信息的安全；

4.3.8 每個(gè)星期都應(yīng)該對(duì)電腦進(jìn)行一次全面地殺毒、掃描工作,以便發(fā)現(xiàn)并消除隱藏在系統(tǒng)中的病毒；

4.3.9 應(yīng)該注意盡量不要所有的地方都使用同一個(gè)密碼,這樣一旦被黑客猜測(cè)出來(lái),一切個(gè)人資料都被泄露；

4.3.10 當(dāng)不慎染上病毒時(shí),應(yīng)該立即將殺毒軟件升級(jí)到最新版本,然后對(duì)整個(gè)硬盤進(jìn)行掃描操作,清除一切可以查殺的病毒.

5 結(jié)束語(yǔ)

計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題是非常復(fù)雜的系統(tǒng)工程,由于網(wǎng)絡(luò)是一把雙刃劍,既要滿足開(kāi)放性的應(yīng)用要求,又要保證應(yīng)用中的安全,我們只能不斷地去研究和探索,來(lái)維護(hù)動(dòng)態(tài)的安全.

〔1〕王鳳英，程震.網(wǎng)絡(luò)與信息安全[M].中國(guó)鐵道出版社,2006.

〔2〕賀思德，申浩如.計(jì)算機(jī)網(wǎng)絡(luò)安全與應(yīng)用[M].科學(xué)出版社,2007.

〔3〕張友純.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].華中科技大學(xué)出版社,2006.

〔4〕陳建偉,張輝.計(jì)算機(jī)網(wǎng)絡(luò)與信息安全[M].中國(guó)林業(yè)出版社,2006.

〔5〕戴紅，王海泉，黃堅(jiān).計(jì)算機(jī)網(wǎng)絡(luò)安全[M].電子工業(yè)出版社,2004.

TP393

A

1673-260X（2011）03-0041-03