計算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀分析與防范對策研究

楊貴如

( 陽泉師范高等專科學(xué)校 山西陽泉 045200)

隨著信息時代的加速到來，人們對因特網(wǎng)的依賴也越來越強(qiáng)，網(wǎng)絡(luò)已成為人們生活中不可缺少的一部分。Internet 本身就是一個面向所有人群的高開放性系統(tǒng)，但普通網(wǎng)絡(luò)用戶在網(wǎng)絡(luò)信息保密和系統(tǒng)安全方面做得并不完備，加上計算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，因特網(wǎng)上的攻擊與破壞事件不勝枚舉。筆者闡述了網(wǎng)絡(luò)安全的內(nèi)涵、特征，分析了網(wǎng)絡(luò)安全的現(xiàn)狀及常見的網(wǎng)絡(luò)安全威脅，對如何提高網(wǎng)絡(luò)安全提出了防范對策。

1 網(wǎng)絡(luò)安全概述

1.1 內(nèi)涵

網(wǎng)絡(luò)安全是指通過采用各種技術(shù)和管理措施，指保護(hù)系統(tǒng)硬件、軟件及數(shù)據(jù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，使網(wǎng)絡(luò)系統(tǒng)連續(xù)可靠正常地運(yùn)行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性［1］。網(wǎng)絡(luò)安全的具體含義會隨著“角度”的變化而變化，在不同應(yīng)用環(huán)境下可能會有不同的解釋。

1.2 主要特征［2］

1.2.1 保密性 保證只有授權(quán)用戶可以訪問數(shù)據(jù)，而限制其他用戶對數(shù)據(jù)的訪問。數(shù)據(jù)的保密性分為網(wǎng)絡(luò)傳輸?shù)谋Ｃ苄院蛿?shù)據(jù)存儲保密性兩個方面。網(wǎng)絡(luò)傳輸保密性通過對傳輸數(shù)據(jù)進(jìn)行加密處理來實(shí)現(xiàn);數(shù)據(jù)存取保密性主要通過訪問控制來實(shí)現(xiàn)。

1.2.2 完整性 數(shù)據(jù)未經(jīng)授權(quán)不能改變，即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。

1.2.3 可用性 可被授權(quán)實(shí)體訪問并按需求使用，即當(dāng)需要時能否存取和訪問所需的信息。

1.2.4 不可否認(rèn)性(不可抵賴性) 在信息交互過程中確信參與者的真實(shí)同一性，所有參與者都不能否認(rèn)和抵賴曾經(jīng)完成的操作和承諾。

1.2.5 可控性 人們對信息的傳播途徑、范圍及其內(nèi)容所具有的控制能力。

2 網(wǎng)絡(luò)安全現(xiàn)狀分析

網(wǎng)絡(luò)信息安全在國內(nèi)還是一個比較年輕的產(chǎn)業(yè)，還處于剛剛起步的階段。對許多網(wǎng)絡(luò)用戶而言，知道面臨著一定的威脅，但這種威脅來自哪里、究竟有什么后果，并不十分清楚。對網(wǎng)絡(luò)安全構(gòu)成威脅的因素主要分為無意的和有意的兩類，其中無意的威脅是指人為操作錯誤、設(shè)備故障、自然災(zāi)害等不以人的意志為轉(zhuǎn)移的事件，而有意的威脅則為竊聽、計算機(jī)犯罪等人為的破壞，這些因素主要來源于:

2.1 人為失誤［3］

一些無意的行為，如:丟失口令、非法操作、資源訪問控制不合理、管理員安全配置不當(dāng)以及疏忽大意允許不應(yīng)進(jìn)入網(wǎng)絡(luò)的人上網(wǎng)等，都會對網(wǎng)絡(luò)系統(tǒng)造成極大的破壞。

2.2 計算機(jī)病毒

計算機(jī)病毒已經(jīng)成為危害網(wǎng)絡(luò)安全的首要威脅因素，具有繁殖性、傳染性、潛伏性、隱蔽性、可觸發(fā)性等特點(diǎn)。在網(wǎng)絡(luò)環(huán)境下，會造成計算機(jī)資源的損失和破壞，不但會造成資源和財富的巨大浪費(fèi)，而且有可能造成社會性的災(zāi)難。以前的病毒多是毀壞計算機(jī)內(nèi)部的數(shù)據(jù)，使系統(tǒng)癱瘓;現(xiàn)在常常與黑客程序結(jié)合起來，被黑客利用來竊取用戶的敏感信息，危害更大。

2.3 非法訪問和破壞

非法訪問故名思議就是在未得到管理員授權(quán)的情況下，訪問、使用或破壞某些資源。目前對非法入侵者有一個統(tǒng)一的名稱—— “黑客”。他們依靠已掌握的技術(shù)，非法獲得系統(tǒng)的控制權(quán)限，從而達(dá)到竊取用戶秘密信息和破壞數(shù)據(jù)的目的。現(xiàn)在還缺乏針對網(wǎng)絡(luò)犯罪卓有成效的反擊和跟蹤手段，使得黑客攻擊的隱蔽性好，“殺傷力”強(qiáng)，成為網(wǎng)絡(luò)安全的主要威脅。

2.4 管理漏洞

嚴(yán)格管理網(wǎng)絡(luò)通信系統(tǒng)是企業(yè)、機(jī)構(gòu)及用戶免受攻擊的重要措施。事實(shí)上，很多企業(yè)、機(jī)構(gòu)及用戶的網(wǎng)站或系統(tǒng)都疏于這方面的管理。目前，美國75 ～85%的網(wǎng)站都抵擋不住黑客的攻擊，約有75%的企業(yè)網(wǎng)上信息失竊。此外，管理的缺陷還可能出現(xiàn)系統(tǒng)內(nèi)部人員泄露機(jī)密或外部人員通過非法手段截獲而導(dǎo)致機(jī)密信息的泄露，從而是一些不法分子有可乘之機(jī)。

2.5 網(wǎng)絡(luò)的缺陷及漏洞

Internet的共享性和開放性，使網(wǎng)上信息安全存在先天不足。因?yàn)槠滟囈陨娴腡CP/IP 協(xié)議，缺乏相應(yīng)的安全機(jī)制，而且因特網(wǎng)最初設(shè)計時也沒有考慮安全問題，因此它在安全可靠、服務(wù)質(zhì)量、帶寬和方便性等方面存在著不適應(yīng)性。

2.6 隱私及機(jī)密資料的存儲和傳輸［3］

機(jī)密資料存儲在網(wǎng)絡(luò)系統(tǒng)內(nèi)，當(dāng)系統(tǒng)受到攻擊時，如不采取措施，很容易被搜集而造成泄密。同樣，機(jī)密資料在傳輸過程中，由于要經(jīng)過多個節(jié)點(diǎn)，且難以查證，在任何中介網(wǎng)站均可能被讀取。

3 網(wǎng)絡(luò)安全技術(shù)的綜合運(yùn)用

要保障網(wǎng)絡(luò)安全，就要綜合運(yùn)用各種先進(jìn)的網(wǎng)絡(luò)安全技術(shù)。目前采用的網(wǎng)絡(luò)安全技術(shù)主要有:

3.1 虛擬網(wǎng)技術(shù)

主要基于局域網(wǎng)交換技術(shù)(ATM 和以太網(wǎng)交換)，可使得信息只到達(dá)應(yīng)該到達(dá)的地點(diǎn)，防止了大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵，并通過訪問控制，使在虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點(diǎn)不能直接訪問虛擬網(wǎng)內(nèi)節(jié)點(diǎn)。

3.2 防火墻技術(shù)

用于加強(qiáng)網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的訪問控制，防止外部網(wǎng)絡(luò)用戶以非法入侵，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境。

3.3 病毒防護(hù)技術(shù)

主要是阻止病毒的傳播，檢查和清除病毒，病毒數(shù)據(jù)庫的升級，安裝Java 及ActiveX 控制掃描軟件，禁止未經(jīng)許可的控件下載和安裝等。

3.4 入侵檢測技術(shù)

可提供實(shí)時的入侵檢測及采取相應(yīng)的防護(hù)手段，能夠?qū)Ω秮碜詢?nèi)部網(wǎng)絡(luò)的攻擊，并能夠縮短hacker 入侵的時間。

3.5 安全掃描技術(shù)

安全掃描技術(shù)與防火墻、安全監(jiān)控系統(tǒng)互相配合能夠提供很高安全性的網(wǎng)絡(luò)。安全掃描器不能實(shí)時監(jiān)視，但能測試和評價系統(tǒng)的安全性，及時發(fā)現(xiàn)安全漏洞。

3.6 認(rèn)證和數(shù)字簽名技術(shù)

主要解決網(wǎng)絡(luò)通訊過程中通訊雙方的身份認(rèn)可，數(shù)字簽名還可用于通信過程中的不可抵賴要求的實(shí)現(xiàn)［5］。

3.7VPN 技術(shù)

提供在Internet 上安全的雙向通訊，以及透明的加密方案以保證數(shù)據(jù)的完整性和保密性。 (8)應(yīng)用系統(tǒng)的安全技術(shù):這個部分最為復(fù)雜，主要有域名服務(wù)、Web Server 應(yīng)用安全、電子郵件系統(tǒng)安全和操作系統(tǒng)安全。

4 網(wǎng)絡(luò)安全體系結(jié)構(gòu)模型構(gòu)建

網(wǎng)絡(luò)安全不僅是某一臺計算機(jī)的問題，也不僅是服務(wù)器或路由器的問題，而是整體網(wǎng)絡(luò)系統(tǒng)的問題。要保障網(wǎng)絡(luò)安全，必須綜觀全局，結(jié)合整個網(wǎng)絡(luò)系統(tǒng)來制定合適的網(wǎng)絡(luò)安全策略，制定嚴(yán)格的網(wǎng)絡(luò)安全制度規(guī)范體系。網(wǎng)絡(luò)安全防護(hù)體系必須是一個動態(tài)的防護(hù)體系，需要不斷監(jiān)測與更新，只有這樣才能保障網(wǎng)絡(luò)安全。整個網(wǎng)絡(luò)安全體系結(jié)構(gòu)應(yīng)包含物理安全、網(wǎng)絡(luò)安全和信息安全三個層面。

4.1 物理安全［4］

物理安全是指在物理介質(zhì)層次上對存儲和傳輸?shù)木W(wǎng)絡(luò)信息進(jìn)行安全保護(hù)，是網(wǎng)絡(luò)信息安全的基本保障。建立物理安全體系結(jié)構(gòu)應(yīng)從三個方面考慮:一是自然災(zāi)害(地震、火災(zāi)、洪水)、物理損壞(硬盤損壞、設(shè)備使用到期、外力損壞)和設(shè)備故障(停電斷電、電磁干擾);二是電磁輻射、乘機(jī)而入、痕跡泄漏等;三是操作失誤(格式硬盤、線路拆除)、意外疏漏等。

4.1.1 環(huán)境安全 通過制定計算機(jī)機(jī)房設(shè)計規(guī)范、人員管理制度、運(yùn)行維護(hù)和管理制度、計算機(jī)處理的控制和管理制度、各種資料管理制度、機(jī)房保衛(wèi)管理制度、專機(jī)專用和嚴(yán)格分工等管理制度等一系列規(guī)章制度來保障網(wǎng)絡(luò)體系各硬件的使用環(huán)境穩(wěn)定有保障。

4.1.2 設(shè)備安全 嚴(yán)格管控硬件系統(tǒng)的運(yùn)行環(huán)境條件，包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面，都要設(shè)置具體的要求和標(biāo)準(zhǔn)［6］，同時要做到防盜、防毀、防止線路截獲。計算機(jī)房場地選擇時，要注意其外部環(huán)境安全性、可靠性、場地抗電磁干擾性，避開強(qiáng)振動源和強(qiáng)噪聲源，并避免設(shè)在建筑物高層和用水設(shè)備的下層或隔壁，還要注意出入口的管理［6］。

4.1.3 媒體安全 媒體本身安全才能保障其所含數(shù)據(jù)的安全性。媒體數(shù)據(jù)安全包含兩層意思，一是數(shù)據(jù)本身的安全，主要是指采用現(xiàn)代密碼算法對數(shù)據(jù)進(jìn)行主動保護(hù)，如數(shù)據(jù)保密、數(shù)據(jù)完整性、雙向強(qiáng)身份認(rèn)證等。二是數(shù)據(jù)防護(hù)的安全，主要是采用現(xiàn)代信息存儲手段對數(shù)據(jù)進(jìn)行主動防護(hù)。

4.2 網(wǎng)絡(luò)安全

4.2.1 系統(tǒng)安全 主要是指網(wǎng)絡(luò)系統(tǒng)的主機(jī)、伺服器及其系統(tǒng)中的數(shù)據(jù)應(yīng)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷［5］。應(yīng)定期升級硬件系統(tǒng)和軟件系統(tǒng)的反病毒能力，進(jìn)行系統(tǒng)安全性檢測和入侵檢測，并實(shí)時監(jiān)測非法訪問和入侵，并對入侵?jǐn)?shù)據(jù)進(jìn)行審計和分析，防止惡意攻擊和破壞。

4.2.2 網(wǎng)絡(luò)運(yùn)行安全 網(wǎng)絡(luò)運(yùn)行安全是指通過采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性［2］。

可通過磁盤陣列、數(shù)據(jù)備份、異地容災(zāi)等手段，定期備份數(shù)據(jù)，保證數(shù)據(jù)的安全，以便在發(fā)生意外時能夠及時恢復(fù)，保證系統(tǒng)的不間斷運(yùn)行。數(shù)據(jù)安全是一種主動的包含措施，數(shù)據(jù)本身的安全必須基于可靠的加密算法與安全體系。

4.2.3 局域網(wǎng)、子網(wǎng)安全 局域網(wǎng)的安全主要是通過防火墻技術(shù)來實(shí)現(xiàn)的。所謂防火墻是指一組程序，運(yùn)行在網(wǎng)絡(luò)的服務(wù)器或?qū)ｉT的網(wǎng)關(guān)中，以保護(hù)此網(wǎng)絡(luò)的資源不被來自其它網(wǎng)絡(luò)的非授權(quán)用戶侵犯。典型的防火墻建立在一個服務(wù)器/主機(jī)機(jī)器上，亦稱“堡壘”，是一個多邊協(xié)議路由器。它的主要作用除了防止未經(jīng)授權(quán)的來自或?qū)nternet的訪問外，還包括為安全管理提供詳細(xì)的系統(tǒng)活動的記錄。

4.3 信息安全

4.3.1 信息的傳輸安全 這是指信息的動態(tài)安全，信息傳輸是從一端將命令或狀態(tài)信息經(jīng)信道傳送到另一端，并被對方所接收，包括傳送和接收。要防止截獲信息、竊聽信息、篡改信息和偽造信息，保障信息數(shù)據(jù)安全傳輸，主要通過以下技術(shù)實(shí)現(xiàn)［6］:①信息加密技術(shù)。通過各種各樣的加密算法來進(jìn)行具體的信息數(shù)據(jù)加密，保護(hù)信息數(shù)據(jù)的安全通信。②信息確認(rèn)技術(shù)。為有效防止信息被非法偽造、篡改和假冒，可限定信息的共享范圍，使發(fā)信者無法抵賴自己發(fā)出的消息;合法的接收者可以驗(yàn)證他收到的消息是否真實(shí);除合法發(fā)信者外，別人無法偽造消息。③訪問控制技術(shù)。該技術(shù)只允許用戶對基本信息庫的訪問，禁止用戶隨意的或者是帶有目的性的刪除、修改或拷貝信息文件。

4.3.2 信息的存儲安全 這是指信息的靜態(tài)安全。數(shù)據(jù)是最核心的資產(chǎn)，存儲系統(tǒng)作為數(shù)據(jù)的保存空間，是數(shù)據(jù)保護(hù)的最后一道防線。安全存儲要解決的問題主要有兩個，一是如何保證文件數(shù)據(jù)完整可靠不泄密;二是如何保證只有合法的用戶，才能夠訪問相關(guān)的文件。要解決這兩個問題，需要使用數(shù)據(jù)加密和認(rèn)證授權(quán)管理技術(shù)，這也是安全存儲的核心技術(shù)。在安全存儲中，利用技術(shù)手段把文件變?yōu)閬y碼(加密)存儲，在使用文件的時候，用相同或不同的手段還原(解密)。這樣，存儲和使用，文件就在密文和明文狀態(tài)兩種方式切換。既保證了安全，又能夠方便的使用。加密包括兩個元素:算法和密鑰對數(shù)據(jù)加密的技術(shù)分為兩類，即對稱加密(私人密鑰加密)和非對稱加密(公開密鑰加密)［7］。對稱加密以數(shù)據(jù)加密標(biāo)準(zhǔn)(sata encryption etandard，DES)算法為典型代表，非對稱加密通常以RSA (rivest shamir ad1eman)算法為代表?，F(xiàn)代的成熟加密解密算法，都具有可靠的加密強(qiáng)度，除非能夠持有正確的密鑰，否則很難強(qiáng)行破解。采用加密和身份認(rèn)證技術(shù)，存儲就有了可靠的保障。

4.3.3 防止信息泄密 信息的泄露會在傳輸和存儲隨時發(fā)生。數(shù)據(jù)泄漏主要包括:①運(yùn)用網(wǎng)絡(luò)攻擊，以高科技、醫(yī)藥研發(fā)、文化創(chuàng)意、咨詢等知識密集型企業(yè)和金融、證券、電子商務(wù)等領(lǐng)域的企業(yè)最為常見。②社交網(wǎng)站的興起。微博、BBS、社區(qū)等社交網(wǎng)站的興起為公共服務(wù)開展創(chuàng)造了更便捷的平臺，但與此同時，這些應(yīng)用也帶來了新型的攻擊。③網(wǎng)絡(luò)內(nèi)部用戶的非法竊取。通過即時通訊、FTP 上傳、移動存儲、打印、電子郵件等手段泄漏信息。

面對種種潛在的信息泄漏“危機(jī)”，建立一個完善的信息防火墻是必不可少的。①選擇專業(yè)數(shù)據(jù)防泄露工具，可對不同保護(hù)級別的數(shù)據(jù)予以相應(yīng)的保護(hù)。此外，網(wǎng)絡(luò)安全管理者還應(yīng)對存儲在服務(wù)器、數(shù)據(jù)庫、終端磁盤、便攜設(shè)備和其他數(shù)據(jù)庫的數(shù)據(jù)進(jìn)行加密防護(hù)。②封堵各種泄漏途徑。網(wǎng)絡(luò)系統(tǒng)復(fù)雜多樣，數(shù)據(jù)存儲系統(tǒng)也需要分門別類的維護(hù)，比如，從職能上進(jìn)行劃分，亦可從部署位置上可以分為內(nèi)網(wǎng)系統(tǒng)和外網(wǎng)系統(tǒng)等等。因此，不同網(wǎng)絡(luò)區(qū)域有著不同的數(shù)據(jù)防護(hù)需求。③控制計算機(jī)的外設(shè)端口和網(wǎng)絡(luò)，對各類移動存儲設(shè)備進(jìn)行加密處理。眾多加密產(chǎn)品的問世，可以使網(wǎng)絡(luò)安全管理者以較低的成本實(shí)現(xiàn)電子郵件、磁盤等系統(tǒng)的加密。采取加密技術(shù)來實(shí)現(xiàn)對內(nèi)部關(guān)鍵數(shù)據(jù)和文件的監(jiān)控和保護(hù)，這可以在完全不改變原有工作流程和文件使用習(xí)慣的前提下，有效的防止被動和主動泄密。④培養(yǎng)用戶的忠誠度，創(chuàng)造良好的工作環(huán)境氛圍，增強(qiáng)用戶的歸屬感，提高信息防泄漏的意識等，可以從內(nèi)部著手進(jìn)一步減低重要信息外漏的風(fēng)險。

［1］胡煜斌. 探析當(dāng)前計算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀與防范［J］. 長江工程職業(yè)技術(shù)學(xué)院學(xué)報，2011，28 (4) : 70.

［2］龔伏廷. 計算機(jī)網(wǎng)絡(luò)安全技術(shù)探析［J］. 電腦知識與技術(shù)，2010，6 (15) : 3922.

［3］夏恒元. 網(wǎng)絡(luò)安全與防護(hù)的相關(guān)研究［J］. 科技資訊，2007，5 (31) : 237.

［4］趙真. 淺析計算機(jī)網(wǎng)絡(luò)的安全問題及防護(hù)策略［J］. 上海工程技術(shù)大學(xué)教育研究，2010，24 (3) : 237.

［5］謝麗芬. 江西電力職業(yè)技術(shù)學(xué)院電子校務(wù)系統(tǒng)設(shè)計與實(shí)現(xiàn)［D］. 西安: 電子科技大學(xué)，2010. 36.

［6］?？∏伲瑢O瑞. 淺析信息數(shù)據(jù)的安全與加密技術(shù)［J］. 硅谷，2011，10 (6) : 16.

［7］朱建忠. 計算機(jī)網(wǎng)絡(luò)安全與防范研究［J］. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009，7 (12) : 37.