互聯(lián)網(wǎng)安全問題的產(chǎn)生及其防范

摘要： 在互聯(lián)網(wǎng)不斷發(fā)展的過程中，其安全問題日益凸顯在人們面前，由于信息系統(tǒng)的不完善性，建立起信息系統(tǒng)安全技術十分有必要。本文主要闡述計算機信息網(wǎng)絡招到攻擊和入侵的特點以及其安全防范措施。

關鍵詞： 計算機 信息網(wǎng)絡 安全防范

隨著互聯(lián)網(wǎng)的發(fā)展，信息安全的理論和實踐不斷深化，從政府的通信保密，到信息安全保障，安全的概念已經(jīng)不局限于信息的保護，人們需要的是對整個信息安全的保護和防御，包括對信息的保護、檢測、反應和恢復能力（PDRR）等，以利于安全信息化的社會發(fā)展。

1.互聯(lián)網(wǎng)安全的范疇

互聯(lián)網(wǎng)安全的具體范疇隨著用戶的不同而不同，不同的用戶對網(wǎng)絡安全的認識和要求也就不同。對于一般的個人用戶來說，就只是要求個人的機密信息和隱私在網(wǎng)絡上傳輸時得到保護，防止被竊取；企業(yè)用戶要保密的信息量就要大一些；政府部門要求就更高了。對于網(wǎng)絡運營商除了保證網(wǎng)絡信息安全外，還要考慮如何應付突發(fā)的自然災害、軍事打擊等對網(wǎng)絡硬件的破壞，以及在網(wǎng)絡出現(xiàn)異常時如何恢復網(wǎng)絡通信，保持網(wǎng)絡通信的連續(xù)性。

網(wǎng)絡信息系統(tǒng)安全的主要內(nèi)容有：①保密性：防止系統(tǒng)內(nèi)信息的非法泄漏；②完整性：防止系統(tǒng)內(nèi)軟件（程序）與數(shù)據(jù)被非法刪改和破壞；③有效性：要求信息和系統(tǒng)資源可以持續(xù)有效，而且授權用戶可以隨時隨地用他自己的方式存取運用。

一個安全的互聯(lián)網(wǎng)信息系統(tǒng)保護它的信息和計算資源不被未授權者訪問、篡改和拒絕服務攻擊。從本質(zhì)上來講，網(wǎng)絡安全包括組成網(wǎng)絡系統(tǒng)的硬件、軟件及其在網(wǎng)絡上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞。網(wǎng)絡安全既有技術方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。人為的網(wǎng)絡入侵和攻擊行為使得網(wǎng)絡安全面臨新的挑戰(zhàn)。

2.信息系統(tǒng)的脆弱性和招受攻擊的特點

由于人類對客觀規(guī)律的認識及其設計能力的局限性，在現(xiàn)階段提供人們應用的網(wǎng)絡信息系統(tǒng)，客觀上還存在許多不完善的地方，還有各種各樣的脆弱性的表現(xiàn)。例如：全球廣泛使用的Windows操作系統(tǒng)就存在很多安全漏洞（技術上稱之為bug）。

關于信息系統(tǒng)脆弱性的報道，在風險公告和計算機應急響應小組（CERT）的公告中大量出現(xiàn)，不僅是原來沒有設置信息安全防線的設備不可能提供安全保障，即使是后來開發(fā)應用的所謂安全計算機操作系統(tǒng)、數(shù)據(jù)庫、信息網(wǎng)絡、防火墻等，在不同環(huán)節(jié)上，人們?nèi)匀豢梢哉业讲簧俚膯栴}，而這些問題的出現(xiàn)，并不是技術工作者有意的破壞，而是系統(tǒng)脆弱性的客觀存在，其中主要表現(xiàn)為如下幾個方面：①軟件的bug；②系統(tǒng)配置不當；③脆弱性口令；④信息泄漏；⑤設計缺陷。

3.網(wǎng)絡入侵的防范策略和措施

（1）采用IDS。所謂IDS就是一個能夠?qū)W(wǎng)絡或計算機系統(tǒng)的活動進行實時監(jiān)測的系統(tǒng)，它能夠發(fā)現(xiàn)并報告網(wǎng)絡或系統(tǒng)中存在的可疑跡象，為網(wǎng)絡安全管理提供有價值的信息。從入侵檢測的技術來劃分，IDS可以劃分為兩類：基于知識的入侵檢測和基于行為的入侵檢測。入侵檢測是信息安全的新興技術。現(xiàn)在，大多數(shù)的IDS產(chǎn)品綜合采用三個基本方法來檢測網(wǎng)絡入侵：審計追蹤、網(wǎng)包分析及實時活動監(jiān)控。①審計追蹤：IDS利用審計追蹤來分析用戶、操作系統(tǒng)、路由器或者數(shù)據(jù)庫，判斷有無入侵活動。審計追蹤分析是基于主機的入侵檢測方法，它能有效地識別因單一系統(tǒng)被濫用而導致的攻擊。基于主機的IDS記錄了系統(tǒng)所有的活動，所以系統(tǒng)管理人員一看就可以斷定發(fā)生了什么事件。②網(wǎng)包分析。是基于網(wǎng)絡的入侵檢測方法，它可以實時監(jiān)控網(wǎng)絡活動，包括捕獲及檢測網(wǎng)包的頭及內(nèi)容，將網(wǎng)包與數(shù)據(jù)庫中記錄的以往的攻擊模式加以比較，如果檢測到惡意攻擊，立即啟動回擊系統(tǒng)。網(wǎng)包嗅探器可以被部署在防火墻的外面，用來檢測基于Internet的攻擊。③活動監(jiān)控。這種帶有智能代理的IDS的好處是：把發(fā)生在網(wǎng)絡不同地方的相關可疑活動集中；使用新的攻擊簽名的代理可迅速升級；即使網(wǎng)絡的連接已加密或者破壞使用者撥號上網(wǎng)，也能夠檢測入侵。

（2）控制互相連接。當今世界，企業(yè)與他們合作伙伴間的緊密、復雜的連接，加劇了入侵的威脅。連接的一端被攻擊，整個網(wǎng)絡都會受到牽連。解決這一問題的方法是：在所有向外的障礙點上都放置監(jiān)控及檢測工具。更有效的做法是：減少訪問連接的種類并制定統(tǒng)一的訪問策略。策略的重點是：在滿足服務要求的前提下，在網(wǎng)絡架構(gòu)中只設置幾個障礙點處，把專門收集信息的ID模塊安放在這幾個障礙點處，然后在一個中央管理站收集所有障礙點的信息。這樣，系統(tǒng)只需在這些點之間移動，黑客開展攻擊行動就會非常困難。

（3）關注內(nèi)部安全。企業(yè)網(wǎng)絡的最大損失還是來自于內(nèi)部攻擊。企業(yè)員工的技術水平越高，破壞內(nèi)部安全的可能性就越大。很多企業(yè)憑借路由器的規(guī)則及口令來限制對敏感信息的訪問。但是，通過路由器的規(guī)則而實現(xiàn)的靜態(tài)安全管理對入侵檢測是無用的，口令也是不安全的。只要內(nèi)部用戶監(jiān)控的通信，或是在不加保護的工作站安裝專門破譯口令的特洛伊木馬后門程序，就可以輕易得到口令。企業(yè)需要的是更有效的認證機制，例如電子證書、智能卡以及加強對可疑活動的監(jiān)控措施。

結(jié)束語

文章研究了網(wǎng)絡存在的網(wǎng)絡入侵等安全問題，重點分析、評價了基于審計分析和監(jiān)測預警技術的入侵檢測技術與系統(tǒng)的功能和特點，討論了防范網(wǎng)絡入侵的安全技術與策略。

參考文獻：

［1］陳愛民.計算機的安全與保密［Ｍ］.北京：電子工業(yè)出版社，2002.

［2］殷偉.計算機安全與病毒防治［M］.合肥：安徽科學技術出版社，2004.

［3］朱理森.計算機網(wǎng)絡應用技術［Ｍ］.北京：專利文獻出版社，2001.

［4］劉占全.網(wǎng)絡管理與防火墻［M］.北京：人民郵電出版社，1999.