淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)環(huán)境下的安全問題

摘要：隨著科學(xué)技術(shù)的發(fā)展、計(jì)算機(jī)網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)安全問題已經(jīng)引起廣大計(jì)算機(jī)用戶的高度關(guān)注。本文從計(jì)算機(jī)網(wǎng)絡(luò)安全的定義、功能入手，主要闡述計(jì)算機(jī)網(wǎng)絡(luò)攻擊的類型與特點(diǎn)、以及安全防范技術(shù)。

關(guān)鍵詞：網(wǎng)絡(luò)安全；防火墻；防范技術(shù)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)15-20000-00

A Brief Study of the Network Security in the Computer Network Environment

GUO Chang-shan1，SHEN Li2，MA Xian-fu2

(1.Rizhao Vocational Technical College，Rizhao，China;2.Shandong Foreign Languanges Vocational College，Rizhao 276826，China)

Abstract:With the development of science and technology and popularization of computer network， the network security has caused the high attention of computer users. Started from the definition and function of network security， this paper mainly presents the type and characteristic of network attack and security and protection technology.

Key words: network security;firewall;security and protection technology

互聯(lián)網(wǎng)絡(luò)(Internet)起源于1969年的ARPANet，最初用于軍事目的，1993年開始用于商業(yè)應(yīng)用，進(jìn)入快速發(fā)展階段。

到目前為止，互連網(wǎng)已經(jīng)覆蓋了175個(gè)國家和地區(qū)的數(shù)千萬臺(tái)計(jì)算機(jī)，用戶數(shù)量超過一億。隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及，計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用向深度和廣度不斷發(fā)展。企業(yè)上網(wǎng)，政府上網(wǎng)，網(wǎng)上學(xué)校，網(wǎng)上購物……，一個(gè)網(wǎng)絡(luò)化社會(huì)的雛形已經(jīng)展現(xiàn)在我們面前。在網(wǎng)絡(luò)給人們帶來巨大的便利的同時(shí)，也帶來了一些不容忽視的問題，網(wǎng)絡(luò)信息的安全保密問題就是其中之一。

1 計(jì)算機(jī)網(wǎng)絡(luò)安全的定義

計(jì)算機(jī)網(wǎng)絡(luò)安全的具體含義會(huì)隨著使用者的變化而變化，使用者不同，對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)和要求也就不同。對(duì)于普通使用者來說，可能僅僅希望個(gè)人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時(shí)受到保護(hù)，避免被竊聽、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的災(zāi)害、軍事打擊等對(duì)網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時(shí)如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。

從本質(zhì)上來講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的，也有管理方面的問題，兩方面相互補(bǔ)充，缺一不可。

2計(jì)算機(jī)網(wǎng)絡(luò)安全的功能

(1)身份識(shí)別:身份識(shí)別是安全系統(tǒng)應(yīng)具備的最基本功能。這是驗(yàn)證通信雙方身份的有效手段，用戶向其系統(tǒng)請(qǐng)求服務(wù)時(shí)，要出示自己的身份證明，例如輸入U(xiǎn)ser ID和Password。而系統(tǒng)應(yīng)具備查驗(yàn)用戶的身份證明的能力，對(duì)于用戶的輸入，能夠明確判別該輸入是否來自合法用戶。

(2)存取權(quán)限控制:其基本任務(wù)是防止非法用戶進(jìn)入系統(tǒng)及防止合法用戶對(duì)系統(tǒng)資源的非法使用。在開放系統(tǒng)中，網(wǎng)上資源的使用應(yīng)制訂一些規(guī)定:一是定義哪些用戶可以訪問哪些資源，二是定義可以訪問的用戶各自具備的讀，寫，操作等權(quán)限。

(3)數(shù)字簽名:即通過一定的機(jī)制如RSA公鑰加密算法等，使信息接收方能夠做出“該信息是來自某一數(shù)據(jù)源且只可能來自該數(shù)據(jù)源”的判斷。

(4)保護(hù)數(shù)據(jù)完整性:既通過一定的機(jī)制如加入消息摘要等，以發(fā)現(xiàn)信息是否被非法修改，避免用戶或主機(jī)被偽信息欺騙。

(5)審計(jì)追蹤:既通過記錄日志，對(duì)一些有關(guān)信息統(tǒng)計(jì)等手段，使系統(tǒng)在出現(xiàn)安全問題時(shí)能夠追查原因。

(6)密鑰管理:信息加密是保障信息安全的重要途徑，以密文方式在相對(duì)安全的信道上傳遞信息，可以讓用戶比較放心地使用網(wǎng)絡(luò)，如果密鑰泄露或居心不良者通過積累大量密文而增加密文的破譯機(jī)會(huì)，都會(huì)對(duì)通信安全造成威脅。因此，對(duì)密鑰的產(chǎn)生，存儲(chǔ)，傳遞和定期更換進(jìn)行有效地控制而引入密鑰管理機(jī)制，對(duì)增加網(wǎng)絡(luò)的安全性和抗攻擊性也是非常重要的。

3 計(jì)算機(jī)網(wǎng)絡(luò)攻擊的類型與特點(diǎn)

3.1 計(jì)算機(jī)網(wǎng)絡(luò)攻擊的類型

(1)特洛伊木馬

特洛伊木馬程序技術(shù)是黑客常用的攻擊手段。特洛伊木馬是夾帶在執(zhí)行正常功能的程序中的一段額外操作代碼。它通過在你的電腦系統(tǒng)隱藏一個(gè)會(huì)在Windows啟動(dòng)時(shí)運(yùn)行的程序，采用服務(wù)器／客戶機(jī)的運(yùn)行方式，從而達(dá)到在上網(wǎng)時(shí)控制你電腦的目的。

(2)郵件炸彈

郵件炸彈是最古老的匿名攻擊之一，通過設(shè)置一臺(tái)機(jī)器不斷的大量的向同一地址發(fā)送電子郵件，攻擊者能夠耗盡接受者網(wǎng)絡(luò)的帶寬，占據(jù)郵箱的空間，使用戶的存儲(chǔ)空間消耗殆盡，從而阻止用戶對(duì)正常郵件的接收，防礙計(jì)算機(jī)的正常工作。此種攻擊經(jīng)常出現(xiàn)在網(wǎng)絡(luò)黑客通過計(jì)算機(jī)網(wǎng)絡(luò)對(duì)某一目標(biāo)的報(bào)復(fù)活動(dòng)中。

(3)過載攻擊

過載攻擊是攻擊者通過服務(wù)器長時(shí)間發(fā)出大量無用的請(qǐng)求，使被攻擊的服務(wù)器一直處于繁忙的狀態(tài)，從而無法滿足其他用戶的請(qǐng)求。過載攻擊中被攻擊者用得最多的一種方法是進(jìn)程攻擊，它是通過大量地進(jìn)行人為地增大CPU的工作量，耗費(fèi)CPU的工作時(shí)間，使其它的用戶一直處于等待狀態(tài)。

(4)淹沒攻擊

正常情況下，TCP連接建立要經(jīng)歷3次握手的過程，即客戶機(jī)向主機(jī)發(fā)送SYN請(qǐng)求信號(hào)；目標(biāo)主機(jī)收到請(qǐng)求信號(hào)后向客戶機(jī)發(fā)送SYN/ACK消息；客戶機(jī)收到SYN/ACK消息后再向主機(jī)發(fā)送RST信號(hào)并斷開連接。TCP的這三次握手過程為人們提供了攻擊網(wǎng)絡(luò)的機(jī)會(huì)。攻擊者可以使用一個(gè)不存在或當(dāng)時(shí)沒有被使用的主機(jī)的IP地址，向被攻擊主機(jī)發(fā)出SYN請(qǐng)求信號(hào)，當(dāng)被攻擊主機(jī)收到SYN請(qǐng)求信號(hào)后，它向這臺(tái)不存在IP地址的偽裝主機(jī)發(fā)出SYN/消息。由于此時(shí)主機(jī)的IP不存在或當(dāng)時(shí)沒有被使用所以無法向主機(jī)發(fā)送RST，因此，造成被攻擊的主機(jī)一直處于等待狀態(tài)，直至超時(shí)。如果攻擊者不斷地向被攻擊的主機(jī)發(fā)送SYN請(qǐng)求，被攻擊主機(jī)就會(huì)一直處于等待狀態(tài)，從而無法響應(yīng)其他用戶的請(qǐng)求。

3.2 計(jì)算機(jī)網(wǎng)絡(luò)攻擊的特點(diǎn)：

(1)損失巨大。由于攻擊和入侵的對(duì)象是網(wǎng)絡(luò)上的計(jì)算機(jī)，所以一旦他們?nèi)〉贸晒Γ蜁?huì)使網(wǎng)絡(luò)中成千上萬臺(tái)計(jì)算機(jī)處于癱瘓狀態(tài)，從而給計(jì)算機(jī)用戶造成巨大的損失。如美國每年因計(jì)算機(jī)犯罪而造成的經(jīng)濟(jì)損失就達(dá)幾百億美元。平均一起計(jì)算機(jī)犯罪案件所造成的經(jīng)濟(jì)損失是一般案件的幾十到幾百倍。

(2)威脅和國家安全。一些計(jì)算機(jī)網(wǎng)絡(luò)攻擊者出于各種目的經(jīng)常把政府要害部門和軍事部門的計(jì)算機(jī)作為攻擊目標(biāo)，從而對(duì)社會(huì)和國家安全造成威脅。

(3)手段多樣，手法隱蔽。計(jì)算機(jī)攻擊的手段可以說五花八門。網(wǎng)絡(luò)攻擊者既可以通過監(jiān)視網(wǎng)上數(shù)據(jù)來獲取別人的保密信息；也可以通過截取別人的帳號(hào)和口令堂而皇之地進(jìn)入別人的計(jì)算機(jī)系統(tǒng)；還可以通過一些特殊的方法繞過人們精心設(shè)計(jì)好的防火墻等等。這些過程都可以在很短的時(shí)間內(nèi)通過任何一臺(tái)聯(lián)網(wǎng)的計(jì)算機(jī)完成。因而犯罪不留痕跡，隱蔽性很強(qiáng)。

(4)以軟件攻擊為主。幾乎所有的網(wǎng)絡(luò)入侵都是通過對(duì)軟件的截取和攻擊從而破壞整個(gè)計(jì)算機(jī)系統(tǒng)的。它完全不同于人們?cè)谏钪兴姷降膶?duì)某些機(jī)器設(shè)備進(jìn)行物理上的摧毀。因此，這一方面導(dǎo)致了計(jì)算機(jī)犯罪的隱蔽性，另一方面又要求人們對(duì)計(jì)算機(jī)的各種軟件（包括計(jì)算機(jī)通信過程中的信息流）進(jìn)行嚴(yán)格的保護(hù)。

4 計(jì)算機(jī)網(wǎng)絡(luò)安全常用防范技術(shù)

通常保障網(wǎng)絡(luò)信息安全的方法有兩大類:以\"防火墻\"技術(shù)為代表的被動(dòng)防衛(wèi)型和建立在數(shù)據(jù)加密，用戶授權(quán)確認(rèn)機(jī)制上的開放型網(wǎng)絡(luò)安全保障技術(shù)。

(1)防火墻技術(shù): 網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。

(2)數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù):與防火墻相比，數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)比較靈活，更加適用于開放網(wǎng)絡(luò)。用戶授權(quán)訪問控制主要用于對(duì)靜態(tài)信息的保護(hù)，需要系統(tǒng)級(jí)別的支持，一般在操作系統(tǒng)中實(shí)現(xiàn)。數(shù)據(jù)加密主要用于對(duì)動(dòng)態(tài)信息的保護(hù)。有了信息加密的手段，我們就可以對(duì)動(dòng)態(tài)信息采取保護(hù)措施了。為了防止信息內(nèi)容泄露，我們可以將被傳送的信息加密，使信息以密文的形式在網(wǎng)絡(luò)上傳輸。這樣，攻擊者即使截獲了信息，也只是密文，而無法知道信息的內(nèi)容。為了檢測出攻擊者篡改了消息內(nèi)容，可以采用認(rèn)證的方法，即或是對(duì)整個(gè)信息加密，或是由一些消息認(rèn)證函數(shù)(MAC函數(shù))生成消息認(rèn)證碼(Message Authentication Code)，再對(duì)消息認(rèn)證碼加密，隨信息一同發(fā)送。攻擊者對(duì)信息的修改將導(dǎo)致信息與消息認(rèn)證碼的不一致，從而達(dá)到檢測消息完整性的目的。為了檢測出攻擊者偽造信息，可以在信息中加入加密的消息認(rèn)證碼和時(shí)間戳，這樣，若是攻擊者發(fā)送自己生成的信息，將無法生成對(duì)應(yīng)的消息認(rèn)證碼，若是攻擊者重放以前的合法信息，接收方可以通過檢驗(yàn)時(shí)間戳的方式加以識(shí)別。

信息安全是國家發(fā)展所面臨的一個(gè)重要問題。對(duì)于這個(gè)問題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它。政府不僅應(yīng)該看見信息安全的發(fā)展是我國高產(chǎn)業(yè)的一部分，而且應(yīng)該看到，發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個(gè)重要組成部分，甚至應(yīng)該看到它對(duì)我國未來化、信息化的發(fā)展將起到非常重要的作用。

因此網(wǎng)絡(luò)安全技術(shù)在21世紀(jì)將成為信息網(wǎng)絡(luò)發(fā)展的關(guān)鍵技術(shù)，21世紀(jì)人類步入信息社會(huì)后，信息這一社會(huì)發(fā)展的重要戰(zhàn)略資源需要網(wǎng)絡(luò)安全技術(shù)的有力保障，才能形成社會(huì)發(fā)展的推動(dòng)力。在我國信息網(wǎng)絡(luò)安全技術(shù)的研究和產(chǎn)品開發(fā)仍處于起步階段，仍有大量的工作需要我們?nèi)パ芯俊㈤_發(fā)和探索，以走出有中國特色的產(chǎn)學(xué)研聯(lián)合發(fā)展之路，趕上或超過發(fā)達(dá)國家的水平，以此保證我國信息網(wǎng)絡(luò)的安全，推動(dòng)我國國民經(jīng)濟(jì)的高速發(fā)展。

參考文獻(xiàn)：

[1]朱理森，張守連.計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)[M].北京:專利文獻(xiàn)出版社，2001.

[2]劉占全.網(wǎng)絡(luò)管理與防火墻[M].北京:人民郵電出版社，1999.

[3]胡道元.計(jì)算機(jī)局域網(wǎng)[M].北京:清華大學(xué)出版社，2001.

收稿日期：2008-02-09

作者簡介：郭常山（1977-），男(漢族)，山東日照人，日照職業(yè)技術(shù)學(xué)院教師，講師；沈莉（1981-），女(漢族)，山東日照人，山東外國語職業(yè)學(xué)院教師，助教；馬先福（1981-），男(漢族)，山東日照人，山東外國語職業(yè)學(xué)院教師，助教。