城域網(wǎng)絡(luò)的安全探討

[摘要] 隨著我國信息化的飛速發(fā)展，城域網(wǎng)和局域網(wǎng)在不斷普及和成熟，一系列適應(yīng)信息化需求的應(yīng)用平臺、軟件、網(wǎng)絡(luò)資源也在迅速地開發(fā)與應(yīng)用，但是，網(wǎng)絡(luò)及信息安全等問題也日益突出。已經(jīng)成為城域網(wǎng)管理者關(guān)心的重大問題，安全技術(shù)作為一個獨特的領(lǐng)域也越來越受到關(guān)注。本文在這將探討城域網(wǎng)絡(luò)存在的安全隱患及自身安全的防范技術(shù)。并提出了一些防御措施與建議。

[關(guān)鍵詞] 城域網(wǎng) 網(wǎng)絡(luò)安全 防火墻 防病毒

一、城域網(wǎng)絡(luò)

1.城域網(wǎng)絡(luò)

城域網(wǎng)是在一個城市范圍內(nèi)所建立的計算機通信網(wǎng)，是以計算機網(wǎng)絡(luò)技術(shù)為基礎(chǔ)的信息化集成應(yīng)用系統(tǒng)。它是以計算機網(wǎng)絡(luò)技術(shù)為基礎(chǔ)、以網(wǎng)絡(luò)資源與網(wǎng)絡(luò)軟件為核心、以構(gòu)建現(xiàn)代管理模式為目的、以提高管理效益為根本、為區(qū)域信息化提供全方位服務(wù)的網(wǎng)絡(luò)。

2.城域網(wǎng)絡(luò)的特點

可靠性:城域網(wǎng)的信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定的時間內(nèi)完成規(guī)定的功能的特性。可靠性是系統(tǒng)安全的最基于要求之一，是所有網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)和運行目標。網(wǎng)絡(luò)信息系統(tǒng)的可靠性測度主要有三種：抗毀性、生存性和有效性。可靠性主要表現(xiàn)在硬件可靠性、軟件可靠性、人員可靠性、環(huán)境可靠性等方面。

可用性:是網(wǎng)絡(luò)信息可被授權(quán)實體訪問并按需求使用的特性。即網(wǎng)絡(luò)信息服務(wù)在需要時，允許授權(quán)用戶或?qū)嶓w使用的特性，或者是網(wǎng)絡(luò)部分受損或需要降級使用時，仍能為授權(quán)用戶提供有效服務(wù)的特性。可用性是網(wǎng)絡(luò)信息系統(tǒng)面向用戶的安全性能。可用性還滿足身份識別與確認、訪問控制，防止或限制經(jīng)隱蔽通道的非法訪問。

二、目前城域網(wǎng)絡(luò)安全面臨的威脅

影響網(wǎng)絡(luò)安全的因素很多，有些因素可能是有意的，也可能是無意的；可能是人為的，也可能是非人為的。歸結(jié)起來，針對城域網(wǎng)絡(luò)安全的威脅主要有5個方面：

1.無意失誤帶來的威脅

由內(nèi)部人員的疏忽和誤用所造成的損失也占了相當(dāng)大的比例。 如操作員安全配置不當(dāng)造成的安全漏洞，操作員安全意識不強，用戶口令選擇不慎，操作員將自己的帳號隨意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅。

2.黑客攻擊的威脅

這是計算機網(wǎng)絡(luò)所面臨的最大威脅。此類攻擊又可以分為2種：一種是網(wǎng)絡(luò)攻擊，以各種方式有選擇地破壞對方信息的有效性和完整性；另一類是網(wǎng)絡(luò)偵察，他是在不影響網(wǎng)絡(luò)正常工作的情況下，進行截獲、竊取、破譯以獲得對方重要的機密信息。這2種攻擊均可對計算機網(wǎng)絡(luò)造成極大的危害。

3.網(wǎng)絡(luò)軟件的威脅

網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和無漏洞的，然而，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。

4.垃圾郵件的威脅

垃圾郵件可以分為良性和惡性的。良性垃圾郵件是各種宣傳廣告等對收件人影響不大的信息郵件。惡性垃圾郵件是指垃圾郵件炸彈或附帶有病毒的具有破壞性的電子郵件。垃圾郵件的發(fā)送者利用“最小的成本”可以獲得最大的利益，或者采取網(wǎng)絡(luò)釣魚的方式獲得入侵和控制電腦的目的，這是垃圾郵件大量產(chǎn)生的原因。教育市場巨大利潤以及淡薄的防護意識都使其成為了最嚴重的受害者之一。

5.不規(guī)范的程序代碼

隨著信息化的大力推進，城域信息網(wǎng)、資源網(wǎng)站、區(qū)域性的商戶網(wǎng)站等等大量建立起來。人們在建立網(wǎng)站的時候考慮最多的是內(nèi)容的豐富性和宣傳效應(yīng)，以及訪問量。大部分的城域網(wǎng)站在建立的同時都會將大量的資金和人力投入到防火墻和入侵監(jiān)測系統(tǒng)的建設(shè)，同時采用了比較安全的訪問策略。不過有一個地方的確被管理員忽視了，那就是網(wǎng)站代碼的安全，這也許是一個最容易被人遺忘的角落。

三、城域網(wǎng)的安全防范

1.城域網(wǎng)安全防范的要求

對用戶的要求，主要是涉及個人隱私或資源的信息要受到機密性，完整性和真實性的保護，避免其他人竊聽，冒充，修改和非法訪問等。對網(wǎng)站的要求，主要是對本地資源的信息訪問，讀寫等操作受到保護和控制，避免出現(xiàn)病毒，非法存取，拒絕服務(wù)和網(wǎng)絡(luò)資源被非法占用和非法控制等威脅，制止和防御網(wǎng)絡(luò)“黑客”的攻擊。對主管的要求，主要是對非法的，有害或涉及國家機密的信息進行過濾和防堵，避免這類信息從網(wǎng)絡(luò)上泄漏。

2.網(wǎng)絡(luò)安全防范的措施

(1)在城域網(wǎng)絡(luò)各節(jié)點處構(gòu)筑防御(如防火墻)，防止外網(wǎng)影響內(nèi)網(wǎng)。目前的防火墻主要有包過濾防火墻、代理防火墻和雙穴主機防火墻3種類型，并在計算機網(wǎng)絡(luò)得到了廣泛的應(yīng)用。

(2)建立一個統(tǒng)一，完善的安全防護體系，該體系不僅包括防火墻，網(wǎng)關(guān)，防病毒及殺毒軟件等產(chǎn)品，通過對網(wǎng)絡(luò)的管理和監(jiān)控，可以在第一時間發(fā)現(xiàn)問題，解決問題，防患于未然。

(3)需要建立安全管理機制。例如，口令管理;各種密鑰的生成，分發(fā)與管理;全網(wǎng)統(tǒng)一的管理員身份鑒別與授權(quán);建立全系統(tǒng)的安全評估體系;建立安全審計制度;建立系統(tǒng)及數(shù)據(jù)的備份制度;建立安全事件/安全報警反應(yīng)機制和處理預(yù)案;建立專門的安全問題小組和快速響應(yīng)體系的運作等。為了增強系統(tǒng)的防災(zāi)救災(zāi)能力，應(yīng)制定災(zāi)難性事故的應(yīng)急計劃，如緊急行動方案，資源(硬件，軟件，數(shù)據(jù)等)備份及操作計劃，系統(tǒng)恢復(fù)和檢測方法等。

3.網(wǎng)絡(luò)安全防御對策

(1)防火墻技術(shù)。防火墻是近期發(fā)展起來的一種保護計算機網(wǎng)絡(luò)安全的技術(shù)性措施，他是一個用以阻止網(wǎng)絡(luò)中的黑客訪問某個機構(gòu)網(wǎng)絡(luò)的屏障，也可稱之為控制進／出2個方向通信的門檻。一個防火墻系統(tǒng)通常由屏蔽路由器和代理服務(wù)器組成。屏蔽路由器是一個多端口的IP路由器，他通過對每一個到來的IP包依據(jù)一組規(guī)則進行檢查來判斷是否對之進行轉(zhuǎn)發(fā)。代理服務(wù)器是防火墻系統(tǒng)中的一個服務(wù)器進程，他能夠代替網(wǎng)絡(luò)用戶完成特定的TCP／IP功能。一個代理服務(wù)器本質(zhì)上是一個應(yīng)用層的網(wǎng)關(guān)，一個為特定網(wǎng)絡(luò)應(yīng)用而連接2個網(wǎng)絡(luò)的網(wǎng)關(guān)。目前的防火墻主要有包過濾防火墻、代理防火墻和雙穴主機防火墻3種類型，應(yīng)用著可根據(jù)自己的網(wǎng)絡(luò)選擇防火墻技術(shù)。

(2)信息加密技術(shù)。信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點加密和節(jié)點加密3種。①鏈路加密的目的是保護網(wǎng)絡(luò)節(jié)點之間的鏈路信息安全；②端點加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供保護；③節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。

用戶可根據(jù)網(wǎng)絡(luò)情況酌情選擇上述加密方式。信息加密過程是由形形色色的加密算法來具體實施，他以很小的代價提供很大的安全保護。在多數(shù)情況下，信息加密是保證信息機密性的惟一方法。一個加密網(wǎng)絡(luò)，不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，而且也是對付惡意軟件的有效方法之一。 密碼技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一。

(3)訪問控制技術(shù)。訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略，他的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問。他也是維護網(wǎng)絡(luò)系統(tǒng)安全、保護網(wǎng)絡(luò)資源的重要手段。可以說是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制技術(shù)主要包括7種：①入網(wǎng)訪問控制；②網(wǎng)絡(luò)的權(quán)限控制；③目錄級安全控制；④屬性安全控制；⑤網(wǎng)絡(luò)服務(wù)器安全控制；⑥網(wǎng)絡(luò)監(jiān)測和鎖定控制；⑦網(wǎng)絡(luò)端口和節(jié)點的安全控制。

根據(jù)網(wǎng)絡(luò)安全的等級，網(wǎng)絡(luò)空間的環(huán)境不同，可靈活地設(shè)置訪問控制的種類和數(shù)量。

我們一定要提高計算機網(wǎng)絡(luò)的防御能力，加強網(wǎng)絡(luò)的安全措施，否則教育城域網(wǎng)絡(luò)將是個無用、甚至?xí)＜皣野踩木W(wǎng)絡(luò)。無論是在局域網(wǎng)還是在廣域網(wǎng)中，都存在著自然和人為等諸多因素的脆弱性和潛在威脅。故此，網(wǎng)絡(luò)的防御措施應(yīng)是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。

(4)計算機病毒。由于計算機病毒的傳染性、潛伏性和巨大的破壞性。計算機病毒作為信息戰(zhàn)的武器，其攻防對抗的焦點和關(guān)鍵技術(shù)是病毒的制作技術(shù)、注入技術(shù)、激活技術(shù)和隔離技術(shù)，其中實施病毒戰(zhàn)難度最大的是注入、激活和隔離技術(shù)。防御計算機病毒，首先要進行計算機病毒的種類、性能、干擾機理的研究，加強計算機病毒注入、激活、耦合技術(shù)的研究和計算機病毒的防御82技術(shù)的研究。要從根本上解決問題，就必須要用我國自己的安全設(shè)備加強信息與網(wǎng)絡(luò)的安全性，大力發(fā)展基于自主技術(shù)的信息安全產(chǎn)業(yè)。這樣才能從根本上擺脫引進國外的關(guān)鍵信息系統(tǒng)難以安全利用、有效監(jiān)控的被動局面。

網(wǎng)絡(luò)安全是一個系統(tǒng)的工程，不能僅僅依靠防火墻等單個的系統(tǒng)，而需要仔細考慮系統(tǒng)的安全需求，并將各種安全技術(shù)，如密碼技術(shù)等結(jié)合在一起，才能生成一個高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。

四、結(jié)束語

隨著計算機技術(shù)和通信技術(shù)的發(fā)展，計算機網(wǎng)絡(luò)已成為重要的信息交換手段，并滲透到社會生活的各個領(lǐng)域。因此，認清網(wǎng)絡(luò)的脆弱性和潛在威脅，采取強有力的安全策略，對于保障網(wǎng)絡(luò)的安全性將變得十分重要。同時，計算機網(wǎng)絡(luò)技術(shù)目前正處于蓬勃發(fā)展的階段，新技術(shù)層出不窮，其中也不可避免的存在一些漏洞，因此，進行網(wǎng)絡(luò)防范要不斷追蹤新技術(shù)的應(yīng)用情況，及時升級、完善自身的防御措施。

參考文獻：

[1]劉全利:淺議網(wǎng)絡(luò)安全[J].重慶商學(xué)院學(xué)報，1999，(01)

[2]葉國建談佳芳:計算機網(wǎng)絡(luò)信息安全保密策略[J].公安大學(xué)學(xué)報(自然科學(xué)版)，2000，(02)

[3]李慶東張文娟:網(wǎng)絡(luò)安全問題研究[J].情報科學(xué)，2000，(08)