網絡信息安全面臨的問題及對策

董 潔

（赤峰學院 計算機科學與技術系，內蒙古 赤峰 024000）

網絡信息安全面臨的問題及對策

董 潔

（赤峰學院 計算機科學與技術系，內蒙古 赤峰 024000）

隨著個人計算機和互聯網的普及，越來越多的公司依賴于使用互聯網經營其業務，行政機構和政府借助計算機儲存重要的信息和數據，個人利用計算機與各式各樣的終端設備享受互聯網的快捷和便利.但是，大量的敏感信息，大到維系公共安全的重要行政信息和軍事信息，小到個人的隱私信息，不可避免的在互聯網上傳遞和存儲，大量的資金通過網上進行轉賬，通過網上銀行進行支付.對于懷有惡意的計算機罪犯來說，這些都是他們所垂涎的目標.如果對其沒有適當的保護以滿足其安全性的要求，那么個人、公司或各種組織會面臨巨大的經濟風險和信任風險.為此，本文通過分析網絡中的安全隱患問題，提出了一些防范措施.

計算機網絡；安全技術；防火墻；入侵檢測；加密

1 計算機網絡安全概念

從本質上來講，網絡安全包括組成網絡系統的硬件、軟件及其在網絡上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞、更改、泄漏，確保系統能連續、可靠、正常地運行，網絡服務不中斷.網絡安全既有技術方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可.

2 計算機網絡的安全隱患

2.1 技術上的弱點.計算機和網絡技術處于快速發展之中，不可避免的會存在各類問題.以下是一些典型的技術弱點導致的安全威脅：

2.1.1 TCP/IP網絡——TCP/IP協議時一個開放的標準，主要用于互聯網通信.盡管有數量眾多的專家參與協議的制定，但是面向開放的網絡導致其不能保證信息傳輸的完整性和未授權的存取等進攻手段作出適當的防護.

2.1.2 操作系統漏洞——主流的操作系統如UNIX，Windows，Linux等，由于各種原因導致存在漏洞，必須由系統管理員經過安全配置，密切跟蹤安全報告以及及時對操作系統進行更新和補丁更新操作才能保證其安全性.

2.2 網絡結構的不安全性.因特網是一種網間網技術.它是由無數個局域網所連成的一個巨大網絡.當人們用一臺主機和另一局域網的主機進行通信時，通常情況下它們之間互相傳送的數據流要經過很多機器重重轉發，如果攻擊者利用一臺處于用戶的數據流傳輸路徑上的主機，他就可以劫持用戶的數據包.

2.3 易被竊聽.由于因特網上大多數數據流都沒有加密，因此人們利用網上免費提供的工具就很容易對網上的電子郵件、口令和傳輸的文件進行竊聽.

2.4 缺乏安全意識.雖然網絡中設置了許多安全保護屏障，但人們普遍缺乏安全意識，從而使這些保護措施形同虛設.

2.4.1 系統賬戶存在易被猜測的用戶名和密碼、管理員技術不足以適應崗位或由于疏忽，惰性的原因，未對默認的高權限系統賬戶進行處理.

2.4.2 設備未得到良好配置——如路由器，交換機或服務器使用帶有漏洞的默認配置方式，或路由器的路由表未得到良好維護，服務器的訪問控制列表存在漏洞等.

3 網絡安全防范的內容

一個安全的計算機網絡應該具有可靠性、可用性、完整性、保密性和真實性等特點.計算機網絡不僅要保護計算機網絡設備安全和計算機網絡系統安全，還要保護數據安全等.因此針對計算機網絡本身可能存在的安全問題，實施網絡安全保護方案以確保計算機網絡自身的安全性是每一個計算機網絡都要認真對待的一個重要問題.網絡安全防范的重點主要有兩個方面：一是計算機病毒，二是黑客犯罪.

3.1 計算機病毒.所謂計算機病毒實際是一段可以復制的特殊程序,主要對計算機進行破壞,病毒所造成的破壞非常巨大,可以使計算機和計算機網絡系統癱瘓、數據和文件丟失.在網絡上傳播病毒可以通過公共匿名FTP文件傳送，也可以通過郵件和郵件的附加文件傳播.

3.2 黑客.黑客（Hacker）經常會侵入網絡中的計算機系統，或竊取機密數據和盜用特權，或破壞重要數據，或使系統功能得不到充分發揮直至癱瘓.黑客的攻擊手段在不斷地更新,幾乎每天都有不同系統安全問題出現.然而安全工具的更新速度太慢.因此,黑客總是可以使用先進的、安全工具不知道的手段進行攻擊.

4 網絡安全的防范措施

4.1 及時修補“漏洞”

網絡軟件不可能無缺陷、無漏洞,這些漏洞和缺陷正是黑客攻擊的首選目標.

4.2 利用網絡安全技術

4.2.1 身份認證技術.身份驗證指的是一個用戶或系統的實際身份是否與其所聲明的身份相符.在整個安全體系中，身份驗證是一個最關鍵的部分，這一部分也通常稱作身份鑒別和身份認證（identify& authentication）.以下介紹是一些身份驗證的方法，在良好配置和實施的情況下都能有效的維持系統的安全.

4.2.1.1 用戶名和密碼：使用用戶名和密碼進行身份驗證是最古老也是最有效的身份驗證手段.用戶名和密碼只有聯合作用時才能順利的完成身份認證的過程.其中缺少哪一個都是不能夠完成身份認證人物的.因此，一般來說，具有較高安全要求的系統中，最好能夠將用戶名和密碼分別秘密保存.

4.2.1.2 一次性密碼：一次性密碼指一條僅在短時間內使用的密碼.密碼僅在制定的時間短內有效，一旦超出該時間段，密碼立即失效.針對以密碼為目標的攻擊手段，一次性密碼能夠有效的提升系統的安全性并廣泛應用于Kerberos認證系統中.一次性密碼能夠有效的防止各類重放的攻擊，但是不能免于會話劫持或中間人攻擊這些類型的攻擊手段.

4.2.1.3 安全令牌：安全令牌指的是一種專用于身份認證的設備.一般由某位系統管理員發放給特定的用戶.目前通常使用的安全令牌是一個信用卡卡片大小的物理設備，可以隨身攜帶.而實際使用中，安全令牌通常與其他手段聯合使用以達到更高的安全要求.

4.2.1.4 生物檢測和識別：借助身份待驗證人的生物學特征進行身份驗證的方式成為生物檢測.一般來說，生物學特征——如指紋，掌紋，視網膜，虹膜等，非常難于模仿和偽造.因此，基于生物學特征的身份驗證手段通常被認為是相當安全的.另一方面，這些生物學特征是身份驗證者天生具備的，因此無需記憶或需要記錄媒體幫助記憶，在某種程度上也減少了一定的安全風險.

4.2.1.5 CHAP:挑戰握手協議（challenge-handshake authentication protocol）是一個用來驗證用戶或網絡提供者的協議，一般用于點對點協議服務器對遠程用戶的身份驗證.負責提供驗證的服務機構，可以是互聯網服務供應商，又或是其他驗證機構.CHAP支持單向和雙向的身份認證.

4.2.1.6 Kerberos協議是一種計算機網絡授權協議，用來在非安全網絡中，對個人通信以安全的手段進行身份認證.

4.2.1.7 數字證書：數字證書主要用于對互聯網上個人或組織的身份認證.可以廣泛地應用在如E-mail，電子商務，電子交易等領域，數字證書可以提供有效的保密性和不可抵賴性的保障，這使得原本互不認識的雙方通過數字證書實現保密通信成為可能.

4.2.2 防火墻技術.防火墻是一種被廣泛采用的重要的安全技術,它在內部網絡與因特網之間建立起一個安全網關,通過監測、限制、更改數據源,盡可能地對外部網絡屏蔽有關被保護網絡的信息,從而達到抵御來自外部網絡的攻擊、防止不法分子入侵、保護內部網絡資源的目的.可見,防火墻技術最適合于在企業專網中使用,特別是在企業專網與公共網絡互聯時使用.

防火墻可以防范有害的數據包或者未經授權的訪問.其中，未經授權的訪問包括外部網絡未經授權訪問內部局域網或站點，也包括內部主機或工作站未經授權訪問Internet.如果增加病毒掃描功能，也能夠防止病毒木馬等惡意軟件.

反病毒軟件有時也被稱為病毒防火墻.操作系統應用反病毒軟件保護系統不受病毒，木馬和蠕蟲的侵害.通常的反病毒軟件利用存儲在軟件中的病毒特征庫對文件進行掃描來發現和查找病毒.在發現病毒以后，也能夠采用相應的措施刪除病毒或修復被病毒損壞的文件.對用戶來說，連接到互聯網的計算機特別應該安裝有效的反病毒軟件以防止病毒和木馬的入侵.而及時跟新病毒特征庫也是使用反病毒軟件的良好習慣.而更新式的反病毒軟件則有主動防御，啟發式查殺病毒和自動學習的功能，力求精準有效的查殺病毒.如果用戶條件允許，應該對特別需要安全保護的主機部署基于主機的入侵檢測系統（IDS）.

4.2.3 入侵檢測技術.入侵檢測技術是一種主動保護自己免受黑客攻擊的網絡安全技術,它具有監視分析用戶和系統的行為、審計系統配置和漏洞、評估敏感系統和數據的完整性、識別攻擊行為、對異常行為進行統計、自動收集和系統相關的補丁、進行審計跟蹤識別違反安全法規的行為等功能,使系統管理員可以有效地監視、審計、評估自己的系統.入侵檢測技術被認為是防火墻之后的第二道安全閘門.

4.2.4 漏洞掃描技術.漏洞掃描是自動檢測遠端或本地主機安全脆弱點的技術.它查詢TCP/IP端口并紀錄目標的響應,收集關于某些特定項目的有用信息.這項技術具體是由安全掃描程序實現的.安全掃描程序能夠對一個系統的代碼進行反復獲取、編譯和運行,并對上述檢測所獲得的大量數據進行分析,從而可以快速地在較大范圍內發現系統的脆弱點.

4.2.5 加密技術.采用密碼加密技術對信息加密,是最常用的安全保護措施.該技術的特征是利用現代的數據加密技術來保護網絡系統中包括用戶數據在內的所有數據流.只有指定的用戶或網絡設備才能夠解譯加密數據,從而在不對網絡環境作特殊要求的前提下從根本上解決網絡安全的兩大要求(網絡服務的可用性和信息的完整性).這類技術一般不需要特殊的網絡拓撲結構支持,因而實施代價主要體現在軟件的開發和系統運行維護等方面.

4.2.6 網絡防毒技術.防火墻的功能只是限制網絡的訪問,檢測和清除病毒還要靠病毒防治軟件.目前的病毒防治軟件基本上采用的檢測原理大致有特征碼法、校驗和法、行為碼法三種方法,以提高病毒的檢測和清除率.目前的網絡病毒軟件一般都加入防火墻功能,是集反毒、反黑、救護于一身的產品,對于網絡型病毒的防治是很有效的.對于重要企業網絡,則應該考慮安裝專業性更強、可靠性更高、安全機制更嚴密的網絡防病毒系統.近幾年有些安全產品廠商也開發出比較好的防毒硬件產品—“防毒墻”,對于網絡病毒具有很好的防范作用.結合企業網絡的特點,在網絡安全的病毒防護方面應該采用“多級防范,集中管理,以防為主,防治結合”的動態防毒策略.

4.2.7 網絡掃描工具.網絡掃描工具主要是指通過對網絡和連接到網絡的主機進行搜索并期望獲得有用的信息的工具.網絡掃描工具可以用于在部署和實施網絡時進行工作，以排查網絡系統中可能存在的漏洞或不足.如果安全管理人員知道攻擊者所使用的方法，如rootkit或特洛伊木馬使用的協議和端口號，可以根據這些信息對網絡主機進行掃描一發現攻擊者的蛛絲馬跡.當然，如果需要測試一個網絡的安全性，可以采用模擬攻擊的方式進行，而網絡掃描工具也是進行模擬攻擊的一個重要組成部分.

4.3 提高安全意識

4.3.1 不要隨意打開來歷不明的電子郵件及文件，不要隨便運行不太了解的人給你的程序；

4.3.2 盡量避免從Internet下載不知名的軟件、游戲程序；網上下載的程序或者文件在運行或打開前要對其進行病毒掃描；

4.3.3 密碼設置盡可能使用字母數字混排，單純的英文或者數字很容易窮舉；

4.3.4 及時下載安裝系統補丁程序；

4.3.5 應該定期升級所安裝的殺毒軟件；

4.3.6 不要隨意瀏覽黑客網站(包括正規的黑客網站)；

4.3.7 及時做好數據備份工作,確保網絡信息的安全；

4.3.8 每個星期都應該對電腦進行一次全面地殺毒、掃描工作,以便發現并消除隱藏在系統中的病毒；

4.3.9 應該注意盡量不要所有的地方都使用同一個密碼,這樣一旦被黑客猜測出來,一切個人資料都被泄露；

4.3.10 當不慎染上病毒時,應該立即將殺毒軟件升級到最新版本,然后對整個硬盤進行掃描操作,清除一切可以查殺的病毒.

5 結束語

計算機網絡安全問題是非常復雜的系統工程,由于網絡是一把雙刃劍,既要滿足開放性的應用要求,又要保證應用中的安全,我們只能不斷地去研究和探索,來維護動態的安全.

〔1〕王鳳英，程震.網絡與信息安全[M].中國鐵道出版社,2006.

〔2〕賀思德，申浩如.計算機網絡安全與應用[M].科學出版社,2007.

〔3〕張友純.計算機網絡安全[M].華中科技大學出版社,2006.

〔4〕陳建偉,張輝.計算機網絡與信息安全[M].中國林業出版社,2006.

〔5〕戴紅，王海泉，黃堅.計算機網絡安全[M].電子工業出版社,2004.

TP393

A

1673-260X（2011）03-0041-03