計(jì)算機(jī)網(wǎng)絡(luò)信息安全隱患及防范策略研究

摘要：伴隨計(jì)算機(jī)網(wǎng)絡(luò)在我國(guó)不斷普及，針對(duì)、利用計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行犯罪的案件逐年上升，給國(guó)家、企業(yè)和個(gè)人造成了重人的經(jīng)濟(jì)損失和危害。因此，本文通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全隱患進(jìn)行深入分析的基礎(chǔ)上，提出了計(jì)算機(jī)網(wǎng)絡(luò)安全防范的基本策略，以保障計(jì)算機(jī)網(wǎng)絡(luò)安全及合法用戶(hù)的權(quán)益。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；安全隱患；防范

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1007-9599 (2012) 07-0000-02

計(jì)算機(jī)網(wǎng)絡(luò)在我國(guó)已經(jīng)迅速普及，網(wǎng)絡(luò)己經(jīng)滲透到國(guó)民經(jīng)濟(jì)的各個(gè)領(lǐng)域，滲透到我們工作生活的方方面面。在短短的幾年中，發(fā)生了多起針對(duì)、利用計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行犯罪的案件，給國(guó)家、企業(yè)和個(gè)人造成了重人的經(jīng)濟(jì)損失和危害。特別是具有行業(yè)特性的犯罪，例如金融部門(mén)等，更是令人觸目驚心。因此，探討計(jì)算機(jī)網(wǎng)絡(luò)安全隱患與防范策略顯得十分必要。

一、計(jì)算機(jī)網(wǎng)絡(luò)安全隱患分析

（一）惡意攻擊

惡意攻擊分為主動(dòng)攻擊和被動(dòng)攻擊，它是一種人為的、蓄意的破壞行為，是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅之一。其中，主動(dòng)攻擊是以破壞對(duì)方的網(wǎng)絡(luò)和信息為主要目的，通常采用修改、刪除、偽造、欺騙、病毒、邏輯炸彈等手段，一旦獲得成功可破壞對(duì)方網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行，甚至導(dǎo)致整個(gè)系統(tǒng)的癱瘓。而被動(dòng)攻擊以獲取對(duì)方信息為目標(biāo)，通常在對(duì)方不知情的情況下竊取對(duì)方的機(jī)密信息，例如商貿(mào)秘密、工程計(jì)劃、投標(biāo)標(biāo)底、個(gè)人資料等，但是不破壞系統(tǒng)的正常運(yùn)行。不論是主動(dòng)攻擊，還是被動(dòng)攻擊都可能對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致一些機(jī)密數(shù)據(jù)的泄漏，從而造成不可彌補(bǔ)的損失。因此，必須采取一些必要的防范措施。

（二）軟件漏洞和后門(mén)

軟件漏洞分為兩種：一種是蓄意制造的漏洞，是系統(tǒng)設(shè)計(jì)者為日后控制系統(tǒng)或竊取信息而故意設(shè)計(jì)的漏洞；另一種是無(wú)意制造的漏洞，是系統(tǒng)設(shè)計(jì)者由于疏忽或其它技術(shù)原因而留下的漏洞。因?yàn)檫@些漏洞的存在從而給網(wǎng)路帶來(lái)了一定的安全隱患。例如：為了給系統(tǒng)開(kāi)發(fā)人員提供的便捷的入口，從而不設(shè)置操作系統(tǒng)的入口密碼，給開(kāi)發(fā)人員的通道也成了“黑客”們的通道；操作系統(tǒng)運(yùn)行時(shí)，一些系統(tǒng)進(jìn)程總在等待一些條件的出現(xiàn)，一旦有滿(mǎn)足要求的條件出現(xiàn)，程序便繼續(xù)運(yùn)行下去，這都是“黑客”可以利用的。另外，程序員為了方便自己而設(shè)置的一些軟件后門(mén)，雖然一般不為外人所知，但一旦泄漏出去或被他人發(fā)現(xiàn)，極有可能帶來(lái)危害更是極大和損失。

二、計(jì)算機(jī)網(wǎng)絡(luò)安全防范策略

（一）防火墻技術(shù)

根據(jù)CNCERT/CC調(diào)查顯示，在各類(lèi)網(wǎng)絡(luò)安全技術(shù)使用中，防火墻的使用率最高達(dá)到76.5%。防火墻的使用比例較高主要是因?yàn)樗鼉r(jià)格比較便宜，易安裝，并可在線升級(jí)等特點(diǎn)。防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。它通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。因而防火墻的主要作用是定義了唯一的一個(gè)瓶頸，通過(guò)它就可以把未授權(quán)用戶(hù)排除到受保護(hù)的網(wǎng)絡(luò)外，禁止脆弱的服務(wù)進(jìn)入或離開(kāi)網(wǎng)絡(luò)，防止各種IP盜用和路由攻擊，同時(shí)還可以提供必要的服務(wù)。

（二）RSA算法

在公鑰密碼系統(tǒng)中，最常用的就是RSA算法了，RSA算法是第一個(gè)既能用于數(shù)據(jù)加密也能用于數(shù)字簽名的算法，易于理解和操作，也很流行。算法的名字以發(fā)明者的名字命名：Ron Rivest， Adi Shamir 和Leonard Adleman。但RSA的安全性一直未能得到理論上的證明。它經(jīng)歷了各種攻擊，至今未被完全攻破。

RSA算法簡(jiǎn)單的說(shuō)來(lái)是這樣的：先找出兩個(gè)非常大的質(zhì)數(shù)P和Q，算出N=（P*Q），找到一個(gè)小于N的E，使E和（P-1）*（Q-1）互質(zhì)。算出數(shù)D，使D*E=1 MOD （P-1）*（Q-1）。公用密鑰為（E，N），私鑰為（D，N），用戶(hù)可以銷(xiāo)毀P和Q。這種算法的保密性非常好。但是由于RSA涉及到高次冪運(yùn)算，所以用它實(shí)現(xiàn)速度比較慢。

（三）數(shù)字化身份的確定――數(shù)字證書(shū)

下面，讓我們?cè)賮?lái)看一下JAVA安全中確定身份的主要技術(shù)――數(shù)字證書(shū)。

數(shù)字證書(shū)就是標(biāo)志網(wǎng)絡(luò)用戶(hù)身份信息的一系列數(shù)據(jù)，用來(lái)在網(wǎng)絡(luò)通訊中識(shí)別通訊各方的身份，即要在Internet上解決\"我是誰(shuí)\"的問(wèn)題，就如同現(xiàn)實(shí)中我們每一個(gè)人都要擁有一張證明個(gè)人身份的身份證或駕駛執(zhí)照一樣，以表明我們的身份或某種資格。

數(shù)字證書(shū)是由權(quán)威公正的第三方機(jī)構(gòu)即CA中心簽發(fā)的，以數(shù)字證書(shū)為核心的加密技術(shù)可以對(duì)網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證，確保網(wǎng)上傳遞信息的機(jī)密性、完整性，以及交易實(shí)體身份的真實(shí)性，簽名信息的不可否認(rèn)性，從而保障網(wǎng)絡(luò)應(yīng)用的安全性。

數(shù)字證書(shū)采用公鑰密碼體制，即利用一對(duì)互相匹配的密鑰進(jìn)行加密、解密。每個(gè)用戶(hù)擁有一把僅為本人所掌握的私有密鑰（私鑰），用它進(jìn)行解密和簽名；同時(shí)擁有一把公共密鑰（公鑰）并可以對(duì)外公開(kāi)，用于加密和驗(yàn)證簽名。當(dāng)發(fā)送一份保密文件時(shí)，發(fā)送方使用接收方的公鑰對(duì)數(shù)據(jù)加密，而接收方則使用自己的私鑰解密，這樣，信息就可以安全無(wú)誤地到達(dá)目的地了，即使被第三方截獲，由于沒(méi)有相應(yīng)的私鑰，也無(wú)法進(jìn)行解密。通過(guò)數(shù)字的手段保證加密過(guò)程是一個(gè)不可逆過(guò)程，即只有用私有密鑰才能解密。在公開(kāi)密鑰密碼體制中，常用的一種就是上面已經(jīng)探討過(guò)的RSA體制。

數(shù)字證書(shū)可用于：發(fā)送安全電子郵件、訪問(wèn)安全站點(diǎn)、網(wǎng)上證券、網(wǎng)上招標(biāo)采購(gòu)、網(wǎng)上簽約、網(wǎng)上辦公、網(wǎng)上繳費(fèi)、網(wǎng)上稅務(wù)等網(wǎng)上安全電子事務(wù)處理和安全電子交易活動(dòng)。

數(shù)字證書(shū)的格式一般采用X.509國(guó)際標(biāo)準(zhǔn)。目前，數(shù)字證書(shū)主要分為安全電子郵件證書(shū)、個(gè)人和企業(yè)身份證書(shū)、服務(wù)器證書(shū)以及代碼簽名證書(shū)等幾種類(lèi)型證書(shū)。

（四）入侵檢測(cè)技術(shù)的應(yīng)用

入侵檢測(cè)系統(tǒng)(Intrusion Detection System 簡(jiǎn)稱(chēng)IDS)是從多種計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息，再通過(guò)這此信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)。IDS被認(rèn)為是防火墻之后的第二道安全閘門(mén)，它能使在入侵攻擊對(duì)系統(tǒng)發(fā)生危害前，檢測(cè)到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊；在入侵攻擊過(guò)程中，能減少入侵攻擊所造成的損失；在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識(shí)，添加入策略集中，增強(qiáng)系統(tǒng)的防范能力，避免系統(tǒng)再次受到同類(lèi)型的入侵。入侵檢測(cè)的作用包括威懾、檢測(cè)、響應(yīng)、損失情況評(píng)估、攻擊預(yù)測(cè)和起訴支持。入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。

（五）提高網(wǎng)絡(luò)工作人員的素質(zhì)，強(qiáng)化網(wǎng)絡(luò)安全責(zé)任

提高網(wǎng)絡(luò)工作人員的管理素質(zhì)也是一項(xiàng)重要的任務(wù)。對(duì)工作人員要結(jié)合硬件、軟件、數(shù)據(jù)等網(wǎng)絡(luò)系統(tǒng)各方面進(jìn)行安全教育，提高工作人員的責(zé)任心，并加強(qiáng)業(yè)務(wù)技術(shù)培訓(xùn)，提高操作技能，重視網(wǎng)絡(luò)系統(tǒng)的安全管理，防止人為事故的發(fā)生。在我國(guó)，網(wǎng)絡(luò)研究起步較晚，網(wǎng)絡(luò)安全技術(shù)還有待提高和發(fā)展。另外，為了確保網(wǎng)絡(luò)的安全運(yùn)行，我們還要建立嚴(yán)密的管理制度，制定完善的管理措施，提高人們對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)，完善法律、法規(guī)，對(duì)計(jì)算機(jī)犯罪進(jìn)行法律制裁。

（六）訪問(wèn)與控制

授權(quán)控制不同用戶(hù)對(duì)信息資源的訪問(wèn)權(quán)限，即哪些用戶(hù)可訪問(wèn)哪些資源以及可訪問(wèn)的用戶(hù)各自具有的權(quán)限。對(duì)網(wǎng)絡(luò)的訪問(wèn)與控制進(jìn)行技術(shù)處理是維護(hù)系統(tǒng)運(yùn)行安全、保護(hù)系統(tǒng)資源的一項(xiàng)重要技術(shù)，也是對(duì)付黑客的關(guān)鍵手段。

（七）重視備份與恢復(fù)

備份系統(tǒng)應(yīng)該是全方位的、多層次的。首先，要使用硬件設(shè)備來(lái)防止硬件故障；如果由于軟件故障或人為誤操作造成了數(shù)據(jù)的邏輯損壞，則使用軟件方式和手工方式相結(jié)合的方法恢復(fù)系統(tǒng)。這種結(jié)合方式構(gòu)成了對(duì)系統(tǒng)的多級(jí)防護(hù)，不僅能夠有效地防止物理?yè)p壞，還能夠徹底防止邏輯損壞。良好的備份和恢復(fù)機(jī)制，可以在攻擊造成損失時(shí)，幫助系統(tǒng)盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。

三、結(jié)束語(yǔ)

信息化和網(wǎng)絡(luò)化是當(dāng)今世界經(jīng)濟(jì)與社會(huì)發(fā)展的大趨勢(shì)，也是推進(jìn)我國(guó)國(guó)民經(jīng)濟(jì)發(fā)展和社會(huì)現(xiàn)代化的關(guān)鍵環(huán)節(jié)。而計(jì)算機(jī)網(wǎng)絡(luò)安全也是一個(gè)綜合性的復(fù)雜問(wèn)題，它不可能單靠某項(xiàng)技術(shù)或某項(xiàng)制度解決，所以應(yīng)該綜合各項(xiàng)網(wǎng)絡(luò)安全技術(shù)、法律、管理等多項(xiàng)措施，齊頭并進(jìn)，才能得到圓滿(mǎn)的解決。

參考文獻(xiàn)：

[1]殷偉.計(jì)算機(jī)安全與病毒防治[M].合肥:安徽科學(xué)技術(shù)出版社，2004

[2]陳愛(ài)民.計(jì)算機(jī)的安全與保密[M].北京:電子工業(yè)出版社，2002

[3]徐超漢.計(jì)算機(jī)網(wǎng)絡(luò)安全與數(shù)據(jù)完整性技術(shù)[M].北京:電子工業(yè)出版社，2005

[作者簡(jiǎn)介]

王雪莉（1966-）女，湖北武漢，漢族，國(guó)防信息學(xué)院信息作戰(zhàn)系軍隊(duì)信息化建設(shè)教研室，副教授，信息安全