網(wǎng)絡(luò)安全淺析

周瑞 河南理工大學(xué)

網(wǎng)絡(luò)安全淺析

周瑞 河南理工大學(xué)

隨著信息時(shí)代的到來(lái)，網(wǎng)絡(luò)在人們的生活中扮演的角色越來(lái)越重要。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來(lái)越廣泛，在帶來(lái)了前所未有的海量信息的同時(shí)，網(wǎng)絡(luò)的開(kāi)放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性，網(wǎng)絡(luò)信息的安全性變得日益重要起來(lái)，已被信息社會(huì)的各個(gè)領(lǐng)域所重視。

網(wǎng)絡(luò)安全 安全現(xiàn)狀 體系結(jié)構(gòu)模型

1 引言

國(guó)際標(biāo)準(zhǔn)化組織（ISO）將“計(jì)算機(jī)安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。隨著信息時(shí)代的加速到來(lái)，人們對(duì)因特網(wǎng)的依賴也越來(lái)越強(qiáng)，網(wǎng)絡(luò)已成為人們生活中不可缺少的一部分。眾所周知，網(wǎng)絡(luò)的價(jià)值所在就是它的信息共享能力，這個(gè)能力要求網(wǎng)絡(luò)必須是開(kāi)放的，而開(kāi)放的網(wǎng)絡(luò)必然存在眾多潛在的安全隱患，應(yīng)對(duì)網(wǎng)絡(luò)可能面對(duì)的威脅和攻擊是一個(gè)持久戰(zhàn)，我們要保持網(wǎng)絡(luò)的開(kāi)放性和安全性兩方面互相促進(jìn)、協(xié)調(diào)發(fā)展。

1.1 綜述

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全狹義上講就是網(wǎng)絡(luò)上的信息安全。廣義來(lái)說(shuō)，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全是一門(mén)涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。

1.2 網(wǎng)絡(luò)安全的主要特性

網(wǎng)絡(luò)安全應(yīng)具有以下四個(gè)方面的特征：

（1）保密性——保證只有授權(quán)用戶可以訪問(wèn)數(shù)據(jù)，而限制其他用戶對(duì)數(shù)據(jù)的訪問(wèn)。

數(shù)據(jù)的保密性分為網(wǎng)絡(luò)傳輸?shù)谋Ｃ苄院蛿?shù)據(jù)存儲(chǔ)保密性兩個(gè)方面。

網(wǎng)絡(luò)傳輸保密性通過(guò)對(duì)傳輸數(shù)據(jù)進(jìn)行加密處理來(lái)實(shí)現(xiàn)；數(shù)據(jù)存取保密性主要通過(guò)訪問(wèn)控制來(lái)實(shí)現(xiàn)。

（2）完整性——數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性，即信息在存儲(chǔ)或傳輸過(guò)程中保持不被修改、不被破壞和丟失的特性。一般通過(guò)訪問(wèn)控制、數(shù)據(jù)備份和冗余設(shè)置來(lái)實(shí)現(xiàn)數(shù)據(jù)的完整性。

（3）可用性——可被授權(quán)實(shí)體訪問(wèn)并按需求使用的特性，即當(dāng)需要時(shí)能否存取和訪問(wèn)所需的信息。網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對(duì)可用性的攻擊。

（4）可控性——人們對(duì)信息的傳播途徑、范圍及其內(nèi)容所具有的控制能力。

1.3 影響網(wǎng)絡(luò)安全的主要因素

計(jì)算機(jī)網(wǎng)絡(luò)所面臨的威脅是多方面的，既包括對(duì)網(wǎng)絡(luò)中信息的威脅，也包括對(duì)網(wǎng)絡(luò)中設(shè)備的威脅，但歸結(jié)起來(lái)，主要有三點(diǎn)：

（1）人為的無(wú)意失誤。如操作員安全配置不當(dāng)造成系統(tǒng)存在安全漏洞，用戶安全意識(shí)不強(qiáng)，口令選擇不慎，將自己的賬號(hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)給網(wǎng)絡(luò)安全帶來(lái)威脅。

（2）人為的惡意攻擊。這也是目前計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅，比如敵手的攻擊和計(jì)算機(jī)犯罪都屬于這種情況，此類攻擊又可以分為兩種：一種是主動(dòng)攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動(dòng)攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息。這兩種攻擊均可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏。

（3）網(wǎng)絡(luò)軟件的漏洞和“后門(mén)”。任何一款軟件都或多或少存在漏洞，這些缺陷和漏洞恰恰就是黑客進(jìn)行攻擊的首選目標(biāo)。絕大部分網(wǎng)絡(luò)入侵事件都是因?yàn)榘踩胧┎煌晟?，沒(méi)有及時(shí)補(bǔ)上系統(tǒng)漏洞造成的。

2 網(wǎng)絡(luò)安全現(xiàn)狀

網(wǎng)絡(luò)信息安全在國(guó)內(nèi)還是一個(gè)比較年輕的產(chǎn)業(yè)，還處于剛剛起步的階段，但不可否認(rèn)的是對(duì)網(wǎng)絡(luò)信息安全的要求和重視程度將會(huì)越來(lái)越高。

對(duì)許多網(wǎng)絡(luò)用戶而言，知道面臨著一定的威脅。但這種威脅來(lái)自哪里、究竟有什么后果，并不十分清楚。一般來(lái)說(shuō)，對(duì)普通的網(wǎng)絡(luò)用戶，面臨的應(yīng)用難題主要有以下幾個(gè)方面。

2.1 病毒問(wèn)題

計(jì)算機(jī)病毒是一段能夠進(jìn)行自我復(fù)制的程序。病毒運(yùn)行后可能損壞文件，使系統(tǒng)癱瘓，造成各種難以預(yù)料的后果。在網(wǎng)絡(luò)環(huán)境下，病毒具有不可估量的威脅和破壞力。

計(jì)算機(jī)病毒攻擊的手段出現(xiàn)得很早，其種類繁多，影響范圍廣。不過(guò)以前的病毒多是毀壞計(jì)算機(jī)內(nèi)部的數(shù)據(jù)，使系統(tǒng)癱瘓。現(xiàn)在某些病毒已經(jīng)與黑客程序結(jié)合起來(lái)，被黑客利用來(lái)竊取用戶的敏感信息，危害更大。

計(jì)算機(jī)病毒已經(jīng)成為危害網(wǎng)絡(luò)安全的最大威脅。

2.2 非法訪問(wèn)和破壞

非法訪問(wèn)故名思議就是在未得到管理員授權(quán)的情況下，訪問(wèn)、使用或破壞某些資源。目前對(duì)非法入侵者有一個(gè)統(tǒng)一的名稱——“黑客”。他們依靠自己掌握的技術(shù)，非法獲得系統(tǒng)的控制權(quán)限，從而達(dá)到竊取用戶秘密信息和破壞數(shù)據(jù)的目的。

現(xiàn)在還缺乏針對(duì)網(wǎng)絡(luò)犯罪卓有成效的反擊和跟蹤手段，使得黑客攻擊的隱蔽性號(hào)，“殺傷力”強(qiáng)，是網(wǎng)絡(luò)安全的主要威脅。

2.3 管理漏洞

網(wǎng)絡(luò)通信系統(tǒng)的嚴(yán)格管理是企業(yè)、機(jī)構(gòu)及用戶免受攻擊的重要措施。事實(shí)上，很多企業(yè)、機(jī)構(gòu)及用戶的網(wǎng)站或系統(tǒng)都疏于這方面的管理。目前，美國(guó)75%-85%的網(wǎng)站都抵擋不住黑客的攻擊，約有75%的企業(yè)網(wǎng)上信息失竊。此外，管理的缺陷還可能出現(xiàn)系統(tǒng)內(nèi)部人員泄露機(jī)密或外部人員通過(guò)非法手段截獲而導(dǎo)致機(jī)密信息的泄露，從而是一些不法分子有可乘之機(jī)。

3 網(wǎng)絡(luò)的安全解決方案

3.1 網(wǎng)絡(luò)的安全威脅

無(wú)意的威脅——人為操作錯(cuò)誤、設(shè)備故障、自然災(zāi)害等不以人的意志為轉(zhuǎn)移的事件。

有意的威脅——竊聽(tīng)、計(jì)算機(jī)犯罪等人為的破壞。

3.2 安全網(wǎng)絡(luò)的實(shí)現(xiàn)

分析我們的網(wǎng)絡(luò)對(duì)安全性有極高的要求，網(wǎng)絡(luò)中的關(guān)鍵應(yīng)用和關(guān)鍵數(shù)據(jù)越來(lái)越多，如何保障關(guān)鍵業(yè)務(wù)數(shù)據(jù)的安全性成為網(wǎng)絡(luò)運(yùn)維中非常關(guān)鍵的工作。

3.2.1 物理安全

網(wǎng)絡(luò)的物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。在校園網(wǎng)工程建設(shè)中，由于網(wǎng)絡(luò)系統(tǒng)屬于弱電工程，耐壓值很低。因此，在網(wǎng)絡(luò)工程的設(shè)計(jì)和施工中，必須優(yōu)先考慮保護(hù)人和網(wǎng)絡(luò)設(shè)備不受電、火災(zāi)和雷擊的侵害；考慮布線系統(tǒng)與照明電線、動(dòng)力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離；考慮布線系統(tǒng)和絕緣線、裸體線以及接地與焊接的安全；必須建設(shè)防雷系統(tǒng)，防雷系統(tǒng)不僅考慮建筑物防雷，還必須考慮計(jì)算機(jī)及其他弱電耐壓設(shè)備的防雷?？傮w來(lái)說(shuō)物理安全的風(fēng)險(xiǎn)主要有，地震、水災(zāi)、火災(zāi)等環(huán)境事故；電源故障；人為操作失誤或錯(cuò)誤；設(shè)備被盜、被毀；電磁干擾；線路截獲；高可用性的硬件；雙機(jī)多冗余的設(shè)計(jì)；機(jī)房環(huán)境及報(bào)警系統(tǒng)、安全意識(shí)等，因此要注意這些安全隱患，同時(shí)還要盡量避免網(wǎng)絡(luò)的物理安全風(fēng)險(xiǎn)。

3.2.2 網(wǎng)絡(luò)結(jié)構(gòu)

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)也直接影響到網(wǎng)絡(luò)系統(tǒng)的安全性。假如在外部和內(nèi)部網(wǎng)絡(luò)進(jìn)行通信時(shí)，內(nèi)部網(wǎng)絡(luò)的機(jī)器安全就會(huì)受到威脅，同時(shí)也影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。透過(guò)網(wǎng)絡(luò)傳播，還會(huì)影響到連上Internet/Intranet的其他的網(wǎng)絡(luò)；影響所及，還可能涉及法律、金融等安全敏感領(lǐng)域。因此，我們?cè)谠O(shè)計(jì)時(shí)有必要將公開(kāi)服務(wù)器（WEB、DNS、EMAIL等）和外網(wǎng)及內(nèi)部其它業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行必要的隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時(shí)還要對(duì)外網(wǎng)的服務(wù)請(qǐng)求加以過(guò)濾，只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)主機(jī)，其它的請(qǐng)求服務(wù)在到達(dá)主機(jī)之前就應(yīng)該遭到拒絕。

3.2.3 系統(tǒng)的安全

所謂系統(tǒng)的安全是指整個(gè)網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺(tái)是否可靠且值得信任。恐怕沒(méi)有絕對(duì)安全的操作系統(tǒng)可以選擇，無(wú)論是Microsoft的Windows NT或者其它任何商用UNIX操作系統(tǒng)，其開(kāi)發(fā)廠商必然有其Back-Door。因此，我們可以得出如下結(jié)論：沒(méi)有完全安全的操作系統(tǒng)。不同的用戶應(yīng)從不同的方面對(duì)其網(wǎng)絡(luò)作詳盡的分析，選擇安全性盡可能高的操作系統(tǒng)。因此不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺(tái)，并對(duì)操作系統(tǒng)進(jìn)行安全配置。而且，必須加強(qiáng)登錄過(guò)程的認(rèn)證（特別是在到達(dá)服務(wù)器主機(jī)之前的認(rèn)證），確保用戶的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。

3.2.4 應(yīng)用系統(tǒng)

應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用有關(guān)，它涉及面廣。應(yīng)用系統(tǒng)的安全是動(dòng)態(tài)的、不斷變化的。應(yīng)用的安全性也涉及到信息的安全性，它包括很多方面。

——應(yīng)用系統(tǒng)的安全是動(dòng)態(tài)的、不斷變化的。

應(yīng)用的安全涉及方面很多，以Internet上應(yīng)用最為廣泛的E-mail系統(tǒng)來(lái)說(shuō)，其解決方案有sendmail、Netscape Messaging Server、SoftwareComPost.Office、Lotus Notes、Exchange Server、SUN CIMS等不下二十多種。其安全手段涉及LDAP、DES、RSA等各種方式。應(yīng)用系統(tǒng)是不斷發(fā)展且應(yīng)用類型是不斷增加的。在應(yīng)用系統(tǒng)的安全性上，主要考慮盡可能建立安全的系統(tǒng)平臺(tái)，而且通過(guò)專業(yè)的安全工具不斷發(fā)現(xiàn)漏洞，修補(bǔ)漏洞，提高系統(tǒng)的安全性。

3.2.5 管理風(fēng)險(xiǎn)

管理是網(wǎng)絡(luò)中安全最最重要的部分。責(zé)權(quán)不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí)（如內(nèi)部人員的違規(guī)操作等），無(wú)法進(jìn)行實(shí)時(shí)的檢測(cè)、監(jiān)控、報(bào)告與預(yù)警。同時(shí)，當(dāng)事故發(fā)生后，也無(wú)法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對(duì)網(wǎng)絡(luò)的可控性與可審查性。這就要求我們必須對(duì)站點(diǎn)的訪問(wèn)活動(dòng)進(jìn)行多層次的記錄，及時(shí)發(fā)現(xiàn)非法入侵行為。

建立全新網(wǎng)絡(luò)安全機(jī)制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案，因此，最可行的做法是制定健全的管理制度和嚴(yán)格管理相結(jié)合。保障網(wǎng)絡(luò)的安全運(yùn)行，使其成為一個(gè)具有良好的安全性、可擴(kuò)充性和易管理性的信息網(wǎng)絡(luò)便成為了首要任務(wù)。一旦上述的安全隱患成為事實(shí)，所造成的對(duì)整個(gè)網(wǎng)絡(luò)的損失都是難以估計(jì)的。因此，網(wǎng)絡(luò)的安全建設(shè)是校園網(wǎng)建設(shè)過(guò)程中重要的一環(huán)。

3.3 網(wǎng)安措施

計(jì)算機(jī)網(wǎng)絡(luò)安全措施主要包括保護(hù)網(wǎng)絡(luò)安全、保護(hù)應(yīng)用服務(wù)安全和保護(hù)系統(tǒng)安全三個(gè)方面，各個(gè)方面都要結(jié)合考慮安全防護(hù)的物理安全、防火墻、信息安全、Web安全、媒體安全等等。

[1]計(jì)算機(jī)網(wǎng)絡(luò)安全-沈鑫剡-人民郵電出版社

[2]計(jì)算機(jī)網(wǎng)絡(luò)安全探討-中國(guó)市場(chǎng)-2011年

[3]圖書(shū)館網(wǎng)絡(luò)安全防護(hù)-農(nóng)業(yè)圖書(shū)情報(bào)學(xué)刊-2011年

[4]電子商務(wù)網(wǎng)絡(luò)安全支付問(wèn)題淺析-電子商務(wù)-2011年

[5]網(wǎng)絡(luò)安全與入侵檢測(cè)-計(jì)算機(jī)安全–2007年

[6]入侵檢測(cè)與校園網(wǎng)絡(luò)安全研究–2011年

[7]2013年網(wǎng)絡(luò)與信息安全趨勢(shì)預(yù)測(cè)

[8]信息網(wǎng)絡(luò)安全等級(jí)保護(hù)

[9]網(wǎng)絡(luò)安全問(wèn)題與對(duì)策10網(wǎng)絡(luò)與信息系統(tǒng)安全自查總結(jié)報(bào)告2013年