計(jì)算機(jī)網(wǎng)絡(luò)安全面臨的問題及防護(hù)策略初探

朱 攀

（貴州電子科技職業(yè)學(xué)院（貴州省電子工業(yè)學(xué)校），貴陽(yáng) 550025）

為了提高計(jì)算機(jī)網(wǎng)絡(luò)的安全度，減少安全事故的發(fā)生，給人們一個(gè)安全、干凈的上網(wǎng)環(huán)境，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全采取一定的措施是很有必要的。

1 計(jì)算機(jī)網(wǎng)絡(luò)安全問題分析

1.1 物理安全方面

物理安全是計(jì)算機(jī)網(wǎng)絡(luò)相關(guān)的硬件設(shè)備安全，易受外界因素，如自然老化、自然災(zāi)害、電磁干擾、運(yùn)行環(huán)境等，首先會(huì)對(duì)硬件本身造成破壞，導(dǎo)致網(wǎng)絡(luò)系統(tǒng)失去可以依附的硬件條件，導(dǎo)致信息的正常交換及存儲(chǔ)發(fā)生中斷；其次會(huì)給網(wǎng)絡(luò)系統(tǒng)帶來(lái)漏洞，給黑客提供可乘之機(jī)，從而影響到網(wǎng)絡(luò)信息的保密性和安全性。對(duì)于自然災(zāi)害這類無(wú)法抗拒的因素，可以構(gòu)筑相應(yīng)的應(yīng)急處理措施；針對(duì)運(yùn)行環(huán)境、設(shè)備老化等因素，可以通過加強(qiáng)檢查力度，保持環(huán)境要求等方式來(lái)進(jìn)行相應(yīng)的規(guī)避。

1.2 系統(tǒng)軟件方面

（1）操作系統(tǒng)。作系統(tǒng)的安全是網(wǎng)絡(luò)安全的基礎(chǔ)，因自身操作需要和特點(diǎn)的關(guān)系，操作系統(tǒng)支持建立進(jìn)程、支持遠(yuǎn)程進(jìn)行進(jìn)程的創(chuàng)建和激活、支持被創(chuàng)建的進(jìn)程繼承創(chuàng)建的權(quán)限，這些功能本身就是一種缺陷，給攻擊者提供了遠(yuǎn)程安裝相應(yīng)的竊取軟件的條件。但是這種功能又是不能關(guān)閉的，因此只能依靠增加防護(hù)墻、加強(qiáng)監(jiān)督力度、定期進(jìn)行漏洞修復(fù)等方式來(lái)進(jìn)行一定的防范。

（2）數(shù)據(jù)庫(kù)系統(tǒng)。數(shù)據(jù)庫(kù)系統(tǒng)最大的功能特點(diǎn)就是數(shù)據(jù)共享，數(shù)據(jù)庫(kù)雖然對(duì)海量的數(shù)據(jù)進(jìn)行了存儲(chǔ)和管理，卻極少關(guān)注數(shù)據(jù)的邏輯安全，造成了攻擊者能夠通過與數(shù)據(jù)庫(kù)相連接的操作系統(tǒng)中的漏洞來(lái)對(duì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行竊取和破壞。

（3）網(wǎng)絡(luò)協(xié)議。網(wǎng)絡(luò)協(xié)議是網(wǎng)絡(luò)系統(tǒng)能夠進(jìn)行正常運(yùn)行的基本環(huán)節(jié)，由于因特網(wǎng)在設(shè)計(jì)之初是建立在可行的網(wǎng)絡(luò)環(huán)境的假設(shè)之下的，因此對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)的整體安全性考慮較為欠缺。雖然實(shí)現(xiàn)了資源共享和數(shù)據(jù)呼喚，卻很少有存在認(rèn)證和加密機(jī)制的網(wǎng)絡(luò)協(xié)議，再加上網(wǎng)絡(luò)協(xié)議天生的開放性和共享性，就給網(wǎng)絡(luò)安全造成了先天性缺陷。

1.3 應(yīng)用軟件方面

功能越復(fù)雜的應(yīng)用軟件，其設(shè)計(jì)和開發(fā)就越復(fù)雜，那么軟件的運(yùn)行狀態(tài)就越難被控制，在軟件運(yùn)行的過程中可能發(fā)生的情況也就愈發(fā)難以預(yù)料，再加上在設(shè)計(jì)過程中程序員為了方便測(cè)試和修改軟件而留下的后門在正式發(fā)行的時(shí)候沒有刪除，軟件在運(yùn)行階段就會(huì)存在很多的漏洞，給了攻擊者可乘之機(jī)，給網(wǎng)絡(luò)安全帶來(lái)了巨大的威脅。

1.4 病毒木馬方面

計(jì)算機(jī)木馬病毒具有強(qiáng)大的破壞性，會(huì)對(duì)計(jì)算機(jī)以及相關(guān)設(shè)備的正常運(yùn)作造成巨大的影響，其技術(shù)也在不斷地發(fā)生著變化，免殺技術(shù)的出現(xiàn)使得原型病毒代碼能夠不斷地產(chǎn)生出新的病毒，這給殺毒軟件帶來(lái)了非常大的挑戰(zhàn)，而有些木馬病毒還具有一定的潛伏性，短時(shí)間內(nèi)不會(huì)發(fā)作，或者殺毒軟件根本無(wú)法將其完全清除干凈。這就在計(jì)算機(jī)中埋下了安全隱患，攻擊者可以通過這些潛伏或者殘留下來(lái)的病毒對(duì)中毒的計(jì)算機(jī)進(jìn)行遠(yuǎn)程的操控和入侵，嚴(yán)重威脅到了計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。

1.5 網(wǎng)絡(luò)攻擊方面

網(wǎng)絡(luò)攻擊主要有兩種，主動(dòng)攻擊是通過故意假造的信息數(shù)據(jù)對(duì)終端進(jìn)行入侵和攻擊，并且有選擇性的對(duì)計(jì)算機(jī)中的數(shù)據(jù)進(jìn)行篡改或者竊取，計(jì)算機(jī)也會(huì)在這種攻擊下癱瘓；被動(dòng)攻擊是在計(jì)算機(jī)不知情的情況下通過網(wǎng)絡(luò)進(jìn)行信息的盜取或者數(shù)據(jù)的篡改、破譯，這種方式不影響計(jì)算機(jī)的正常工作，更難被發(fā)現(xiàn)。

1.6 安全管理方面

安全管理是保證網(wǎng)絡(luò)安全的重要環(huán)節(jié)，安全意識(shí)淡薄、安全制度不完善、沒有緊急預(yù)案、對(duì)內(nèi)部人員疏于防范等等都會(huì)造成網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。這不僅僅需要強(qiáng)大的軟件以及先進(jìn)的硬件設(shè)施的配合，最主要的還是相關(guān)工作人員的專業(yè)水平和工作素養(yǎng)，完全依賴設(shè)備和技術(shù)是無(wú)法做好網(wǎng)絡(luò)安全管理工作的。

2 計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)策略

（1）網(wǎng)絡(luò)隔離技術(shù)。網(wǎng)絡(luò)隔離技術(shù)主要是指把兩個(gè)或兩個(gè)以上可路由的網(wǎng)絡(luò)通過不可路由的協(xié)議進(jìn)行數(shù)據(jù)交換而達(dá)到隔離目的，這種技術(shù)可以分為邏輯網(wǎng)絡(luò)隔離技術(shù)和物理網(wǎng)絡(luò)隔離技術(shù)。，其中物理網(wǎng)絡(luò)隔離技術(shù)是最核心、最基礎(chǔ)、最安全的網(wǎng)絡(luò)隔離技術(shù)，它通過物理方式將網(wǎng)絡(luò)進(jìn)行隔離后，通過“數(shù)據(jù)擺渡”的方式來(lái)完成數(shù)據(jù)賈環(huán)，有效的隔離了外部網(wǎng)絡(luò)可能存在的各種安全威脅，并且兼容性很好，支持多種網(wǎng)絡(luò)應(yīng)用，并定義相關(guān)約束和規(guī)則來(lái)控制網(wǎng)絡(luò)之間的數(shù)據(jù)交換狀態(tài)，實(shí)現(xiàn)各種網(wǎng)絡(luò)之間數(shù)據(jù)的安全交互，安全強(qiáng)度最高。

（2）防火墻技術(shù)。防火墻主要是在內(nèi)網(wǎng)與外網(wǎng)之間建立訪問控制，來(lái)保證內(nèi)網(wǎng)的網(wǎng)絡(luò)安全的，這是目前最為普及并且有效的一種技術(shù)。防火墻一般設(shè)置在安全域之間，通過相關(guān)的策略對(duì)于外網(wǎng)中的一些訪問行為進(jìn)行有效的限制，從而阻擋來(lái)自外網(wǎng)的網(wǎng)絡(luò)威脅和攻擊，保護(hù)內(nèi)網(wǎng)的資料安全?，F(xiàn)在比較常用的是下一代防火墻，這種防火墻技術(shù)具有更高的智能性，在性能、安全、操作、管理等方面都有著較為優(yōu)異的性能，能夠有效對(duì)外部威脅進(jìn)行自動(dòng)化辨認(rèn)和處理，是目前必不可少的網(wǎng)絡(luò)安全技術(shù)。

（3）入侵防御系統(tǒng)技術(shù)。入侵防御系統(tǒng)通常采用串行部署之間嵌入到網(wǎng)絡(luò)流量中，在網(wǎng)絡(luò)的邊界提供相應(yīng)的防護(hù)服務(wù)的。這種技術(shù)是通過端口接受外網(wǎng)的數(shù)據(jù)流量，再根據(jù)特定的規(guī)則進(jìn)行數(shù)據(jù)流講的檢測(cè)，符合規(guī)定的才能進(jìn)入內(nèi)網(wǎng)中。入侵防御系統(tǒng)技術(shù)具有較強(qiáng)的實(shí)時(shí)性，能夠主動(dòng)進(jìn)行流量的深度感知，有利于網(wǎng)絡(luò)安全以及網(wǎng)絡(luò)資源的合理配置。

（4）防病毒技術(shù)。防病毒系統(tǒng)主要有預(yù)防、檢測(cè)、清除三種。這三種技術(shù)是自成一體，缺一不可的。通過三種技術(shù)的配合可以對(duì)網(wǎng)絡(luò)系統(tǒng)運(yùn)行過程進(jìn)行全程的監(jiān)控和檢測(cè)，對(duì)于對(duì)計(jì)算機(jī)安全存在威脅的病毒進(jìn)行相應(yīng)的處理，一般是通過一些具有殺毒功能的軟硬件配合來(lái)完成工作的。

3 結(jié)束語(yǔ)

此外，還有網(wǎng)絡(luò)冗余技術(shù)、容災(zāi)備份技術(shù)、網(wǎng)絡(luò)安全管理等都是不可或缺的網(wǎng)絡(luò)安全技術(shù)，只有做到軟件保護(hù)、硬件保護(hù)、通信保護(hù)和人為保護(hù)四位一體，才能真正解決網(wǎng)絡(luò)安全中存在的問題。