計算機網絡安全及防范措施的思考

朱智

摘要：計算機網絡普遍存在安全問題。國際互聯網存在信息管理失控，網絡犯罪防不勝防。我國網絡安全形勢嚴峻。我們需要一個正確的安全策略，需要有效并且經濟的網絡安全技術防范措施，包括局域網安全技術防范措施和廣域網安全技術防范措施。

關鍵詞：計算機；惡意攻擊；安全策略

1.網絡安全環境的現狀

據統計，現在全球平均每20秒鐘就發生一次網上入侵事件，一旦黑客找到系統的薄弱環節，所有用戶均會遭殃。從國內情況來看，目前我國95％的與因特網相聯的網絡管理中心都遭到過境內外黑客的攻擊或侵入。當前由于這樣或那樣的原因，對網絡的攻擊很難完全遏制。或許，任何硬件和軟件都不可能真正成為“金剛身”，網絡安全是網絡時代永恒的任務。

2.影響網絡安全的原因

2.1 網絡資源的共享性

計算機應用的主要表現便是網絡資源共享。當e-mail(電子郵件)、FTP(文件下載)和telnet(遠程登錄)的命令都規定為標準化時，學習和使用網絡對于非工程技術人員變的非常容易。很多時候，在將自己的重要資料共享給局域網中的其他用戶訪問時，我們往往有很大的隨意性，這種做法帶來了安全隱患。美國情報部門認為，現在很多極有價值的情報都可以在互聯網上找到，網絡搜尋幾乎能夠取代費盡人力物力且風險極大的傳統間諜手段。美國軍方研究中國軍情的權威文件——《中國軍事與安全態勢發展報告》中，有相當一部分信息取自中國軍迷們發布的網絡信息。為了滿足互聯網情報資源開發的需要，2005年11月，美國中央情報局組建了“開源情報中心”，專門負責搜集全球各個網站、論壇、博客里的軍事信息。通過網上信息，結合已掌握的情況，美軍不僅能夠了解他國基本軍事動態，還能夠獲取武器裝備數據、軍事人員信息等核心機密。

2.2 網絡的開放性

開放性是因特網最根本的特性，整個因特網就是建立在自由開放的基礎之上的。互聯網的開放性不僅僅是技術層面上的，它還有更深的底蘊。開放性意味著任何人都能夠得到發表在網絡上的任何事物，意味著任何個人、任何組織包括國家和政府，都不能完全控制互聯網。這實質上意味著個體權利和能力的擴張及其對傳統的金字塔模式的社會政治經濟結構和體制的消解。任何一個國家都是一個封閉程度不一的實體，它壟斷著信息，孤立的個人在強大的壟斷組織面前是弱小無依的，根本沒有力量同國家對抗。而開放網絡的出現在很大程度上削弱了國家對信息的控制，為個體對國家和社會的基于實力平等的挑戰提供了可能。

2.3 網絡操縱系統的漏洞

一個較為通俗的網絡漏洞的描述性定義是：存在于計算機網絡系統中的、可能對系統中的組成和數據造成損害的一切因素。網絡漏洞是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。具體舉例來說，比如在IntelPentium芯片中存在的邏輯錯誤，在Sendmail早期版本中的編程錯誤，在NFS協議中認證方式上的弱點，在Unix系統管理員設置匿名Ftp服務時配置不當的問題都可能被攻擊者使用，威脅到系統的安全。因而這些都可以認為是系統中存在的安全漏洞。

2.4 惡意攻擊

目前，網絡惡意攻擊呈現出以下新特點：一是過去電腦用戶只有在登錄色情、賭博等不良網站時或使用盜版軟件時才容易遭到惡意攻擊，但現在不少旅游、購物和游戲等網站也成為黑客用來發動惡意攻擊的平臺。二是過去的惡意攻擊沒有組織性，大多由不諳世事的年輕人所為，但現在的網絡攻擊不僅組織性高，而且專業性強，由不同的軟件開發小組操控。三是過去網絡黑客往往通過傳遞郵件的方式發動惡意攻擊，這種方式比較容易識別，但目前黑客是趁用戶下載某些軟件之際悄悄發動攻擊，令用戶難以識別。四是黑客利用第三方的廣告將惡意軟件侵入用戶系統，比如黑客會利用某個廣告提醒用戶，其系統已感染病毒，當用戶根據廣告提示去鏈接某個據說能殺病毒的網站時，這時“潛伏”在這個網站的惡意軟件便會侵入用戶系統。五是黑客會設計用戶信任的銀行等網站的標識，當用戶放松警惕登錄這一網站時，便會遭到惡意軟件的攻擊。

3.網絡安全的防范措施

常用的計算機網絡安全技術有五種：防火墻(Fire Wall)技術，數據加密技術，系統容災技術，漏洞掃描技術和物理安全技術。

3.1 防火墻技術。是指網絡之間通過預定義的安全策略，對內外網通信強制實施訪問控制的安全應用措施。它對兩個或多個網絡之間傳輸的數據包按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監視網絡運行狀態。目前，市場上防火墻產品很多，一些廠商還把防火墻技術并入其硬件產品中，即在其硬件產品中采取功能更加先進的安全防范機制。可以預見防火墻技術作為一種簡單實用的網絡信息安全技術將得到進一步發展。然而，防火墻也并非人們想象的那樣不可滲透。在過去的統計中曾遭受過黑客入侵的網絡用戶有三分之一是有防火墻保護的，也就是說要保證網絡信息的安全還必須有其他一系列措施，例如對數據進行加密處理。

3.2 數據加密技術。就是對信息進行重新編碼，從而隱藏信息內容，使非法用戶無法獲取信息的一種技術手段。數據加密技術是為提高信息系統及數據的安全性和保密性，防止秘密數據被外部破析所采用的主要手段之一。數據加密技術按作用不同可分為數據存儲、數據傳輸、數據完整性的鑒別以及密匙管理技術4種。數據存儲加密技術是以防止在存儲環節上的數據失密為目的，可分為密文存儲和存取控制兩種;數據傳輸加密技術的目的是對傳輸中的數據加密，常用的有線路加密和端口加密兩種方法;數據完整性鑒別技術的目的是對介入信息的傳送、存取、處理人的身份和相關數據內容進行驗證，達到保密的要求，系統通過對比驗證對象輸入的特征值是否符合預先設定的參數，實現對數據的安全保護。數據加密在許多場合集中表現為密匙的應用，密匙管理技術事實上是為了數據使用方便。密匙的管理技術包括密匙的產生、分配保存、更換與銷毀等各環節上的保密措施。

3.3 系統容災技術。一個完整的網絡安全體系，只有防范和檢測措施是不夠的，還必須具有災難容忍和系統恢復能力。因為任何一種網絡安全設施都不可能做到萬無一失，一旦發生漏防漏檢事件，其后果將是災難性的。此外，天災人禍、不可抗力等所導致的事故也會對信息系統造成毀滅性的破壞。這就要求即使發生系統災難，也能快速地恢復系統和數據，才能完整地保護網絡信息系統的安全。現階段主要有基于數據備份和基于系統容錯的系統容災技術。數據備份是數據保護的最后屏障，不允許有任何閃失。但離線介質不能保證安全。數據容災通過IP容災技術來保證數據的安全。數據容災使用兩個存儲器，在兩者之間建立復制關系，一個放在本地，另一個放在異地。本地存儲器供本地備份系統使用，異地容災備份存儲器實時復制本地備份存儲器的關鍵數據。二者通過IP相連，構成完整的數據容災系統，也能提供數據庫容災功能。

3.4 漏洞掃描技術。漏洞掃描主要通過以下兩種方法來檢查目標主機是否存在漏洞：在端口掃描后得知目標主機開啟的端口以及端口上的網絡服務，將這些相關信息與網絡漏洞掃描系統提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對目標主機系統進行攻擊性的安全漏洞掃描，如測試弱勢口令等。若模擬攻擊成功，則表明目標主機系統存在安全漏洞。一是漏洞庫的匹配方法，基于網絡系統漏洞庫的漏洞掃描的關鍵部分就是它所使用的漏洞庫。通過采用基于規則的匹配技術，即根據安全專家對網絡系統安全漏洞、黑客攻擊案例的分析和系統管理員對網絡系統安全配置的實際經驗，可以形成一套標準的網絡系統漏洞庫，然后再在此基礎之上構成相應的匹配規則，由掃描程序自動的進行漏洞掃描的工作。這樣，漏洞庫信息的完整性和有效性決定了漏洞掃描系統的性能，漏洞庫的修訂和更新的性能也會影響漏洞掃描系統運行的時間。二是插件（功能模塊技術）技術，插件是由腳本語言編寫的子程序，掃描程序可以通過調用它來執行漏洞掃描，檢測出系統中存在的一個或多個漏洞。添加新的插件就可以使漏洞掃描軟件增加新的功能，掃描出更多的漏洞。插件編寫規范化后，甚至用戶自己都可以用perl、c或自行設計的腳本語言編寫的插件來擴充漏洞掃描軟件的功能。這種技術使漏洞掃描軟件的升級維護變得相對簡單，而專用腳本語言的使用也簡化了編寫新插件的編程工作，使漏洞掃描軟件具有強的擴展性。

3.5 物理安全。物理安全主要是指通過物理隔離實現網絡安全。所謂“物理隔離”是指內部網不直接或間接地連接公共網。物理安全的目的是保護路由器、工作站、網絡服務器等硬件實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊。只有使內部網和公共網物理隔離，才能真正保證內部信息網絡不受來自互聯網的黑客攻擊。此外，物理隔離也為內部網劃定了明確的安全邊界，使得網絡的可控性增強，便于內部管理。在實行物理隔離之前，我們對網絡的信息安全有許多措施，如在網絡中增加防火墻、防病毒系統，對網絡進行入侵檢測、漏洞掃描等。由于這些技術的極端復雜性與有限性，這些在線分析技術無法提供某些機構（如軍事、政府、金融等）提出的高度數據安全要求。而且，此類基于軟件的保護是一種邏輯機制，對于邏輯實體而言極易被操縱。后面的邏輯實體指黑客、內部用戶等。正因為如此，我們的涉密網不能把機密數據的安全完全寄托在用概率來作判斷的防護上，必須有一道絕對安全的大門，保證涉密網的信息不被泄露和破壞，這就是物理隔離所起的作用。

參考文獻

[1] 韓筱卿、王建鋒等《計算機病毒分析與防范大全》，電子工業出版社。2006年3月

[2] 程勝利《計算機病毒及其防治技術》，清華大學出版社。2005年9月

[3] 彭國軍等《計算機病毒分析與對抗》，武漢大學出版社。2004年4月