淺談計算機網(wǎng)絡(luò)通信安全

楊 軍， 畢 萍

（1.中國聯(lián)合網(wǎng)絡(luò)通信有限公司西安分公司 信息化支撐中心，陜西 西安 710051；2.西安郵電學(xué)院 通信與信息工程學(xué)院，陜西 西安 710121）

20世紀90年代后，計算機網(wǎng)絡(luò)迅速發(fā)展，通過網(wǎng)絡(luò)我們可以方便的與人交流，及時了解時事新聞，獲取各種最新的知識和信息共享資源，可以說，地球以經(jīng)成為了一個地球村。然而，與此相關(guān)的網(wǎng)絡(luò)安全問題也隨之凸現(xiàn)出來，逐漸成為人們網(wǎng)絡(luò)應(yīng)用所面臨的主要問題，據(jù)美國FBI統(tǒng)計，美國每年網(wǎng)絡(luò)安全問題所造成的經(jīng)濟損失高達75億美元，而全球平均每20秒鐘就發(fā)生一起Internet計算機侵入事件。

1 計算機通信網(wǎng)絡(luò)安全的特點和形成原因

計算機通信網(wǎng)絡(luò)是一種被廣泛應(yīng)用的信息傳輸系統(tǒng)，它是計算機與通信技術(shù)相結(jié)合的產(chǎn)物，它的安全性至關(guān)重要。目前網(wǎng)絡(luò)安全已不再是軍方和政府要害部門的一種特殊需求。所有的網(wǎng)絡(luò)應(yīng)用環(huán)境都有網(wǎng)絡(luò)安全的需求，如表1所示。

1.1 近年的網(wǎng)絡(luò)安全事件

2005年至2007年，T.J.Maxx和Marshalls的 4 500萬個信用卡和借記卡號碼遭竊。實施這起攻擊的黑客阿爾伯特·岡薩雷斯（Albert Gonzalez）在2008年被繩之以法，2010年被判處20年有期徒刑。在2005年和2008年間，岡薩雷斯總計盜取了超過1.7億個信用卡和借記卡帳號，令其成為史上最成功的“信用卡大盜”。2009年中，谷歌、雅虎等數(shù)十家硅谷企業(yè)遭到史無前例的黑客攻擊，目前尚不清楚這些美國公司究竟有哪些數(shù)據(jù)失竊，但谷歌承認其部分知識產(chǎn)權(quán)信息遭竊。據(jù)悉，黑客利用微軟老版Internet Explorer瀏覽器的漏洞進入了谷歌公司內(nèi)網(wǎng)。2011年3月，一家世界知名網(wǎng)絡(luò)安全服務(wù)供應(yīng)商RSASecurity的高度機密內(nèi)部數(shù)據(jù)庫在黑客攻擊下暴露無遺，他們是被釣魚攻擊的，釣魚文件里面有一個惡意的郵件，不知情的員工點擊了郵件，然后公司就受到了攻擊。這起事件之所以引人注目，是因為RSA的技術(shù)原本是用來保護其他數(shù)千套系統(tǒng)安全的，連這家公司都遭到攻擊，黑客侵入這些系統(tǒng)的輕松程度由此可見一斑。2010年9月，首個網(wǎng)絡(luò)超級武器，名為Stuxnet的計算機病毒已經(jīng)感染了全球超過45 000個網(wǎng)絡(luò)，伊朗遭到的攻擊最為嚴重。Stuxnet并非間諜網(wǎng)路的開端，是商業(yè)行為催生了網(wǎng)絡(luò)犯罪，隨著新型移動平臺的激增，圖謀不軌的人將有更多的手段來實施攻擊和盜取資料。2011年底，人人網(wǎng)、天涯、開心網(wǎng)、百合網(wǎng)等網(wǎng)站遭“泄露門”，被稱是這些網(wǎng)站的用戶數(shù)據(jù)資料被放到網(wǎng)上公開下載。可見網(wǎng)絡(luò)安全事件隨時隨地發(fā)生在我們生活的方方面面，必須引起企業(yè)和用戶的足夠重視。

表1 典型的網(wǎng)絡(luò)安全需求Tab.1 A typical network security requirements

由諸多事例可以看出網(wǎng)絡(luò)攻擊的特點：

1）威脅社會安全 有些計算機網(wǎng)絡(luò)攻擊者將軍事部門和政府部門的計算機作為主要的攻擊目標，從而對社會和國家的安全造成巨大的威脅。

2）攻擊損失很大 由于攻擊以及侵害的對象是網(wǎng)絡(luò)上的計算機，每一次的成功攻擊，都會給廣大的計算機用戶以及企業(yè)等帶來很大災(zāi)難，嚴重的甚至?xí)硐到y(tǒng)癱瘓、數(shù)據(jù)丟失甚至被竊。

3）攻擊手段多樣并且隱蔽 計算機攻擊者可以通過截取別人的口令和賬號進入別人的計算機，還可以通過監(jiān)視網(wǎng)絡(luò)的數(shù)據(jù)獲取別人的保密信息，這些過程可以在很短的時間內(nèi)完成，攻擊隱蔽性很強。

1.2 安全問題形成的原因

安全問題形成的原因有如下4方面[2]：

1）自然因素

計算機在使用的過程中，不可避免會受到自然環(huán)境（如溫度、濕度），人為因素（振動、沖擊、污染）的影響。當(dāng)計算機對外界環(huán)境的抵御能力較弱時，就可能會發(fā)生硬件損壞，數(shù)據(jù)丟失，誤碼率增加，使得信息的安全性、完整性和可用性受到威脅。最常見的就是靜電威脅。因為各種原因產(chǎn)生的靜電，是發(fā)生最頻繁并且最難消除的危害之一。例如2011年7月28日溫州動車追尾事故這一重大的故障會給經(jīng)濟帶來巨大的損失，造成的政治影響更是不容忽視。

2）網(wǎng)絡(luò)安全意識的缺乏

網(wǎng)絡(luò)構(gòu)架正變得越來越復(fù)雜，這對網(wǎng)絡(luò)管理人員的素質(zhì)提出了更高的要求。所以，網(wǎng)絡(luò)管理人員的素質(zhì)對于整個網(wǎng)絡(luò)的安全起著至關(guān)重要的作用。雖然，目前有許多管理軟件可以輔助管理，但是如果網(wǎng)絡(luò)管理人員的安全意識淡薄，操作不當(dāng)，安全設(shè)置不規(guī)范，密碼設(shè)置簡單等等，都會對網(wǎng)絡(luò)安全構(gòu)成威脅。

3）操作系統(tǒng)的漏洞

操作系統(tǒng)是一個復(fù)雜的軟件包，即使研究人員考慮的比較周密，但是仍然會存在很多漏洞。目前操作系統(tǒng)最大的漏洞是I/O處理，I/O命令通常是儲存于用戶的內(nèi)存空間內(nèi)，任何用戶在I/O操作開始之后都可以改變命令的源地址或目的地址。由于操作系統(tǒng)在開始已經(jīng)進行過以此存取檢查，因而，在每次每塊數(shù)據(jù)傳輸時并不再檢查，僅只改變傳輸?shù)刂贰＿@種漏洞被黑客利用，影響了系統(tǒng)的安全。另外，TCP/IP協(xié)議的漏洞也是導(dǎo)致網(wǎng)絡(luò)不安全的原因。

4）安全管理的漏洞

由于沒有正確認識網(wǎng)絡(luò)入侵所造成的后果，舍不得投入必要的人力、物力、財力來加強網(wǎng)絡(luò)的安全性，因而沒有采取正確的安全策略和安全機制，致使安全問題頻頻發(fā)生。

2 網(wǎng)絡(luò)安全威脅和防御策略

2.1 安全威脅

安全威脅可以被分為故意的（如黑客滲透）和偶然的（如信息被發(fā)往錯誤的地址）兩類。故意的威脅又可以進一步分成被動的和主動的兩類。被動威脅包括只對信息進行監(jiān)聽而不對其進行修改，主動威脅包括對信息進行故意的修改。總的來說被動攻擊比主動攻擊更容易以更少的花費付諸工程實現(xiàn)。但目前還沒有統(tǒng)一的方法來對各種威脅加以區(qū)別和進行分類，也難以搞清各種威脅之間的相互聯(lián)系。不同威脅的存在隨環(huán)境的變化而變化。然而，為了解釋網(wǎng)絡(luò)安全服務(wù)的作用，人們總結(jié)了現(xiàn)代計算機網(wǎng)絡(luò)以及通信過程中常遇到的一些威脅[1]，如表2所示。

在安全威脅中，主要的可實現(xiàn)的威脅包括滲入威脅和植入威脅。滲入威脅有：假冒、旁路控制、授權(quán)侵犯。植入威脅有：特洛伊木馬、陷門。當(dāng)然，在具體實施攻擊時，攻擊者往往將幾種攻擊結(jié)合起來使用，例如Internet蠕蟲就是將旁路控制與假冒攻擊結(jié)合起來的一種威脅。

2.2 防御策略

網(wǎng)絡(luò)攻擊是利用系統(tǒng)等各方面的安全漏洞進行非法操作的行為，因此從網(wǎng)絡(luò)的各個層次進行技術(shù)防范是設(shè)計網(wǎng)絡(luò)安全防御系統(tǒng)的必要條件。目前采取的安全防御措施與設(shè)備主要有以下6種：加密系統(tǒng)、入侵檢測、漏洞掃描、身份認證、防火墻和殺毒軟件等[3-7]。

1）密碼技術(shù)

密碼技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一，它可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，也是對付惡意軟件的有效方法。一般的數(shù)據(jù)加密可以在通信的三個層次來實現(xiàn)：鏈路加密、節(jié)點加密和端到端加密。鏈路加密能為網(wǎng)上傳輸?shù)臄?shù)據(jù)提供安全保障。鏈路加密的所有消息在被傳輸之前進行加密，在每一個節(jié)點對接收到的消息進行解密，然后先使用下一個鏈路的密鑰對消息進行加密，再進行傳輸。在到達目的地之前，一條消息可能要經(jīng)過許多鏈路的傳輸。節(jié)點加密能給網(wǎng)絡(luò)數(shù)據(jù)提供較高的安全性，它在操作方式上與鏈路加密是類似的，但與鏈路加密不同的是，節(jié)點加密不允許消息在網(wǎng)絡(luò)節(jié)點以明文形式存在，它先把收到的消息進行解密，然后采用另一個不同的密鑰進行加密，這一過程在節(jié)點上的一個安全模塊中進行。端到端加密允許數(shù)據(jù)在從源點到終點的傳輸過程中始終以密文形式存在。采用端到端加密，消息在被傳輸時到達終點之前不進行解密，因為消息在整個傳輸過程中均受到保護，所以即便節(jié)點損壞也不會使消息泄露。

表2 典型的網(wǎng)絡(luò)安全威脅Tab.2 A typical network security threats

2）防火墻技術(shù)

防火墻是網(wǎng)絡(luò)安全領(lǐng)域首要的、基礎(chǔ)的設(shè)備，利用防火墻可以有效地劃分網(wǎng)絡(luò)不同安全級別區(qū)域間的邊界，并在邊界上對不同區(qū)域間的訪問實施訪問控制、身份鑒別和審計等安全功能。根據(jù)實現(xiàn)方式的不同，防火墻的基本類型有包過濾型、應(yīng)用網(wǎng)關(guān)防火墻、代理服務(wù)型和狀態(tài)檢測型。

3）入侵檢測

入侵檢測系統(tǒng)是一種主動保護網(wǎng)絡(luò)資源的網(wǎng)絡(luò)安全系統(tǒng)，它從計算機網(wǎng)絡(luò)中的關(guān)鍵點收集信息，并進行分析，查看網(wǎng)絡(luò)中是否有違反安全策略的行為和受到攻擊的跡象。入侵檢測是防火墻的合理補充，能幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測的基本任務(wù)包括以下幾個方面：監(jiān)視、分析用戶及系統(tǒng)活動；系統(tǒng)構(gòu)造和弱點的審計；識別反映已知進攻的活動模式并向相關(guān)認識報警；異常行為模式的統(tǒng)計分析；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。入侵檢測系統(tǒng)一般通過4種技術(shù)手段進行分析：模式匹配、統(tǒng)計分析、協(xié)議分析和完整性分析。其中前3種方法主要用于實時的入侵檢測，而完整性分析則用于事后分析。

4）漏洞掃描

在網(wǎng)絡(luò)安全事件中，很大一部分都是由于網(wǎng)絡(luò)系統(tǒng)存在系統(tǒng)漏洞造成的，網(wǎng)絡(luò)安全掃描系統(tǒng)就是針對系統(tǒng)漏洞而設(shè)計的。它能自動地對計算機系統(tǒng)或者網(wǎng)絡(luò)設(shè)備的安全漏洞進行檢測，并且為檢測到的漏洞提供修補措施，從而預(yù)防被攻擊的危險。漏洞掃描主要通過以下兩種方法來檢查目標主機是否存在漏洞：一是在端口掃描后得知目標主機開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在；二是通過模擬黑客攻擊手法，對目標主機系統(tǒng)進行攻擊性的安全漏洞掃描，若模擬攻擊成功，則表明目標主機系統(tǒng)存在安全漏洞。

5）身份認證

在網(wǎng)絡(luò)系統(tǒng)中，黑客可以輕易偽裝成他人進行網(wǎng)絡(luò)欺騙，非法訪問保密信息，使用網(wǎng)絡(luò)資源。因此，網(wǎng)絡(luò)環(huán)境的身份認證成為了保證系統(tǒng)信息和資源被合法使用的關(guān)鍵。網(wǎng)絡(luò)的分布性使得用戶的身份認證方法不能再依賴傳統(tǒng)的現(xiàn)場認證，因此需要提供網(wǎng)絡(luò)環(huán)境下身份認證能力，確保網(wǎng)絡(luò)資源、系統(tǒng)資源和重要數(shù)據(jù)被合法訪問。身份認證的常用術(shù)有動態(tài)密碼技術(shù)、PKI技術(shù)等。

6）殺毒軟件

殺毒軟件如今是計算機用戶必備的軟件，是用于消除病毒、特洛伊木馬和惡意軟件的一類軟件。殺毒軟件通常集成監(jiān)控識別、病毒掃描和清除和自動升級等功能，有的殺毒軟件還帶有數(shù)據(jù)恢復(fù)等功能，是計算機防御系統(tǒng)的重要組成部分。殺毒軟件通過在系統(tǒng)添加驅(qū)動程序的方式，進駐系統(tǒng)，并且隨操作系統(tǒng)啟動。殺毒軟件的任務(wù)是實時監(jiān)控和掃描磁盤，以便及時的發(fā)現(xiàn)威脅并清除。

5 結(jié)束語

計算機技術(shù)的發(fā)展致使網(wǎng)絡(luò)安全技術(shù)的不斷更新，掌握必要的網(wǎng)絡(luò)安全知識，增強網(wǎng)絡(luò)安全的防范意識是非常有必要的。我們必須時刻注意安全問題，使用盡量多而可靠的安全工具進行維護，讓我們的網(wǎng)絡(luò)更安全可靠，正常有序的運行，這也是行業(yè)未來電子化、信息化發(fā)展的要求。

[1]馮登國.計算機通信網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社，2001.

[2]楊宇.計算機網(wǎng)絡(luò)安全存在的問題和解決對策分析[J].電腦知識與技術(shù)，2010，6（33）:9213-9214.

YANG Yu.Analysis on computer network security problems and solutions[J].Computer Knowledge and Technology，2010，6（33）:9213-9214.

[3]杜剛.淺談計算機網(wǎng)絡(luò)安全 [J].鐵道建筑技術(shù)，2010（11）:116-119.

DUGang.Oncomputernetworksecurity[J].RailwayConstruction Technology，2010（11）:116-119.

[4]祝曉光.網(wǎng)絡(luò)安全設(shè)備與技術(shù)[M].北京:清華大學(xué)出版社，2004.

[5]胡秀慧，姜晨.淺析計算機網(wǎng)絡(luò)安全與防范[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2010（11）:56-58.

HU Xiu-hui，JIANG Chen.Analyze calculatornetwork securityand guard[J].Network SecurityTechnology&Application，2010（11）:56-58.

[6]郭婧.淺談網(wǎng)絡(luò)信息安全及其防護 [J].電腦知識與技術(shù).2010，6（33）:9459-9460.

GUO Jing.On the network security and protection[J].ComputerKnowledgeandTechnology，2010，6（33）:9459-9460.

[7]付忠勇.網(wǎng)絡(luò)安全管理與維護[M].北京:清華大學(xué)出版社，2009:1-335.