網(wǎng)絡(luò)安全及防范技術(shù)分析

梁少剛

（寶雞職業(yè)技術(shù)學(xué)院，陜西寶雞721000）

1 網(wǎng)絡(luò)安全概述

計算機網(wǎng)絡(luò)安全是一個系統(tǒng)性概念，不僅包括計算機上信息存儲的安全性，還要考慮信息傳輸過程的安全性。 具體說來就是計算機網(wǎng)絡(luò)中各網(wǎng)絡(luò)設(shè)備的安全，以及從應(yīng)用層角度分析的操作系統(tǒng)安全和應(yīng)用程序安全，如圖1 所示。

圖1 網(wǎng)絡(luò)系統(tǒng)安全

計算機網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施，保證在網(wǎng)絡(luò)環(huán)境里信息數(shù)據(jù)的機密性、完整性及可使用性受到保護。 網(wǎng)絡(luò)安全的主要目標(biāo)是要確保經(jīng)網(wǎng)絡(luò)傳送的信息在到達目的站時沒有任何增加、改變、丟失和非法讀取。 網(wǎng)絡(luò)安全涉及計算機科學(xué)、通信技術(shù)、應(yīng)用數(shù)學(xué)等多個領(lǐng)域，既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。技術(shù)方面主要側(cè)重于防范外部非法用戶的攻擊，管理方面?zhèn)戎赜趦?nèi)部人為因素的協(xié)調(diào)。

2 影響計算機網(wǎng)絡(luò)安全的主要因素

2.1 操作系統(tǒng)的脆弱性

無論哪一種操作系統(tǒng)， 其體系結(jié)構(gòu)本身就是不安全的一種因素。由于操作系統(tǒng)的程序是可以動態(tài)連接的，而這種動態(tài)連接也正是計算機病毒產(chǎn)生的溫床。另外，操作系統(tǒng)可以創(chuàng)建進程，即使在網(wǎng)絡(luò)的節(jié)點上同樣也可以進行遠(yuǎn)程進程的創(chuàng)建與激活。

2.2 計算機系統(tǒng)的脆弱性

計算機系統(tǒng)的脆弱性主要來自于操作系統(tǒng)的不安全性。在網(wǎng)絡(luò)環(huán)境下，還來源于通信協(xié)議的不安全性。

2.3 協(xié)議安全的脆弱性

當(dāng)前計算機系統(tǒng)都使用的TCP/IP 協(xié)議以及FTP、E-MAIL、NFS等都包含著許多影響網(wǎng)絡(luò)安全的因素，存在著許多漏洞。

2.4 數(shù)據(jù)庫管理系統(tǒng)安全的脆弱性

數(shù)據(jù)庫主要應(yīng)用于客戶/服務(wù)器(Cliend/Server)平臺，由于Cliend/Server 結(jié)構(gòu)允許服務(wù)器有多個客戶端，這就涉及到數(shù)據(jù)庫的安全性與可靠性問題，對數(shù)據(jù)庫構(gòu)成的威脅主要有篡改、損壞和竊取。

2.5 人為的因素

不管是什么樣的網(wǎng)絡(luò)系統(tǒng)都離不開人的管理。目前多數(shù)單位缺少安全管理員，缺少網(wǎng)絡(luò)安全管理的技術(shù)規(guī)范，缺少定期的安全測試與檢查，更缺少安全監(jiān)控。

3 網(wǎng)絡(luò)安全策略

網(wǎng)絡(luò)安全不但要保證網(wǎng)絡(luò)中各節(jié)點、通信鏈路的安全，還要保障網(wǎng)絡(luò)中傳輸?shù)男畔⒌陌踩?因此從影響網(wǎng)絡(luò)安全的這些因素出發(fā)，我們應(yīng)該主要做好以下幾個方面：

3.1 加強用戶安全意識

由于大多數(shù)用戶安全意識淡薄使得計算機網(wǎng)絡(luò)極易受到攻擊，這種高度依賴性和安全意識的淡薄性使網(wǎng)絡(luò)安全變得十分“脆弱”。解決信息網(wǎng)絡(luò)安全僅依靠技術(shù)是不夠的，應(yīng)該首先從思想上認(rèn)識到安全問題的嚴(yán)重性，結(jié)合管理、法制、政策及教育等手段提高網(wǎng)絡(luò)安全的水平，將信息網(wǎng)絡(luò)風(fēng)險降低至最小程度。

健全適當(dāng)?shù)姆煞ㄒ?guī)，加大對非法分子的嚴(yán)懲力度。 增強管理人員的素質(zhì)，加強設(shè)備的保護。對系統(tǒng)的主要設(shè)備，如服務(wù)器、交換機、路由器等，應(yīng)放在由專人主管的安全地方：要配置防火、防水、防盜、防雷電等設(shè)備。所有的系統(tǒng)都要及時備份并將備份保存在主機房以外的安全地方。 主服務(wù)器要加帶口令的屏幕保護及鍵盤鎖。

3.2 建立訪問控制手段

訪問控制識別與驗證用戶，并將用戶限制在已授權(quán)的活動和資源范圍內(nèi)。 主要包括：

（1）口令，是網(wǎng)絡(luò)安全系統(tǒng)的最外層防線，通過網(wǎng)絡(luò)用戶的登錄，合法者才能進入系統(tǒng)；

（2）網(wǎng)絡(luò)資源及其屬性權(quán)限控制，訪問權(quán)限主要體現(xiàn)了用戶對共享文件、打印機、網(wǎng)絡(luò)通信設(shè)備等網(wǎng)絡(luò)資源的可用程度；

（3）網(wǎng)管即網(wǎng)絡(luò)安全監(jiān)視，通過專用的軟件系統(tǒng)，對整個網(wǎng)絡(luò)的運行進行動態(tài)地監(jiān)視并及時處理各種事件；

（4）審計與跟蹤，對網(wǎng)絡(luò)資源的使用、網(wǎng)絡(luò)故障、系統(tǒng)日志等信息進行記錄與分析，從而找出問題所在。

3.3 合理應(yīng)用安全技術(shù)

計算機網(wǎng)絡(luò)安全技術(shù)就是如何從技術(shù)上來解決網(wǎng)絡(luò)的安全問題。網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)從廣義上講要有：主機安全技術(shù)、身份認(rèn)證技術(shù)、訪問控制技術(shù)、密碼技術(shù)、防火墻技術(shù)、安全審計技術(shù)、安全管理術(shù)。本文主要介紹以下幾種技術(shù)：

3.3.1 防火墻技術(shù)

防火墻技術(shù)經(jīng)過多年的發(fā)展目前已經(jīng)比較成熟，主要包括：包過濾(packet filter)，應(yīng)用級網(wǎng)關(guān)(application level gateways)等，相應(yīng)地分別工作在OSI 模型的網(wǎng)絡(luò)層和應(yīng)用層。 另外還有一種新型的防火墻，稱為狀態(tài)檢測防火墻(statefulinspection)。

未來防火墻技術(shù)的發(fā)展趨勢是朝高速、多功能化、更安全的方向發(fā)展。一方面，防火墻技術(shù)和產(chǎn)品已經(jīng)相對成熟，但還存在一定的技術(shù)局限性，仍不能完全滿足用戶的需求。 用戶需求激發(fā)技術(shù)創(chuàng)新，因此，防火墻技術(shù)將持續(xù)快速發(fā)展，在關(guān)鍵處理技術(shù)上實現(xiàn)創(chuàng)新。 對防火墻在各種網(wǎng)絡(luò)環(huán)境中的實際應(yīng)用、穩(wěn)定性與易用性，以及整體網(wǎng)絡(luò)安全解決方案進行研究，將一直會是防火墻技術(shù)的重要內(nèi)容。另一方面，防火墻必須在基于芯片加速的深度內(nèi)容過濾技術(shù)上實現(xiàn)真正的突破，并推出實用化的產(chǎn)品以解決當(dāng)前的網(wǎng)絡(luò)安全難題。隨著算法和芯片技術(shù)的發(fā)展，防火墻會更多地參與應(yīng)用層分析、芯片解決計算加速、軟件解決過濾精確等技術(shù)中， 用多種方案為用戶的應(yīng)用提供更安全的保障，而VPN、IDS/IPS、防病毒等功能可能以各類加速芯片的形式與防火墻協(xié)同工作，形成以芯片技術(shù)為主導(dǎo)的全系列硬件型安全網(wǎng)關(guān)。 各系列的劃分將針對用戶群的不同需求，并在價格、功能、性能上為各個群體的用戶貼身定制。

3.3.2 入侵檢測技術(shù)

入侵檢測(Intrusion Detection，ID)，顧名思義是對入侵行為的檢測。它通過收集和分析計算機網(wǎng)絡(luò)或計算機系統(tǒng)中若干關(guān)鍵點的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。

（1）分布式入侵檢測，其第1 層含義為針對分布式網(wǎng)絡(luò)攻擊的檢測方法，第2 層含義為使用分布式的方法來檢測分布式的攻擊，其中的關(guān)鍵技術(shù)為檢測信息的協(xié)同處理與入侵攻擊的全局信息的提取。

（2）智能化入侵檢測，即使用智能化的方法與手段來進行入侵檢測。 所謂的智能化方法，現(xiàn)階段常用的有神經(jīng)網(wǎng)絡(luò)、遺傳算法、模糊技術(shù)、免疫原理等方法，這些方法常用于入侵特征的辨識與泛化。

（3）全面的安全防御方案，即使用安全工程風(fēng)險管理的思想與方法來處理網(wǎng)絡(luò)安全問題，將網(wǎng)絡(luò)安全作為一個整體工程來處理，從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道、防火墻、病毒防護、入侵檢測多方位全面對所關(guān)注的網(wǎng)絡(luò)作全面的評估，然后提出可行的全面解決方案。

3.3.3 防病毒技術(shù)

從目前病毒的演化趨勢來看，網(wǎng)絡(luò)防病毒產(chǎn)品的發(fā)展趨勢主要體現(xiàn)在以下幾個方面。

（1）從入口攔截病毒。 配置網(wǎng)絡(luò)網(wǎng)關(guān)，過濾不良網(wǎng)站，限制內(nèi)部瀏覽。系統(tǒng)管理者也可以設(shè)定個人或部門下載文件的大小。此外，郵件管理技術(shù)能夠防止郵件經(jīng)由Internet 網(wǎng)關(guān)進入內(nèi)部網(wǎng)絡(luò)，并可以過濾由內(nèi)部寄出的內(nèi)容不當(dāng)?shù)泥]件，避免造成網(wǎng)絡(luò)帶寬的不當(dāng)占用。

（2）全面解決方案。 用戶網(wǎng)絡(luò)中的每一點，無論是服務(wù)器、郵件服務(wù)器，還是客戶端都應(yīng)該得到保護。這就意味著防火墻、入侵檢測等安全產(chǎn)品要與網(wǎng)絡(luò)防病毒產(chǎn)品進一步整合，這種整合需要解決不同安全產(chǎn)品之間的兼容性問題。

（3）客戶化定制。 客戶化定制模式是指網(wǎng)絡(luò)防病毒產(chǎn)品的最終定型，是根據(jù)企業(yè)網(wǎng)絡(luò)的特點而專門制訂的。 對于用戶來講，這種定制的網(wǎng)絡(luò)防病毒產(chǎn)品帶有專用性和針對性，既是一種個性化、跟蹤性產(chǎn)品，又是一種服務(wù)產(chǎn)品。

4 小結(jié)

網(wǎng)絡(luò)給我們帶來便利的同時也帶來了安全問題，因此我們要采取網(wǎng)絡(luò)管理控制和技術(shù)措施， 保證在網(wǎng)絡(luò)環(huán)境里信息數(shù)據(jù)的機密性、完整性及可使用性受到保護。 當(dāng)前保證網(wǎng)絡(luò)安全的主要方法和途徑有：采用防火墻技術(shù)、加密技術(shù)、身份認(rèn)證、數(shù)字簽名、內(nèi)容檢查、加強對因特網(wǎng)管理人員的管理等方法。

［1］羅明宇,盧錫城.計算機網(wǎng)絡(luò)安全技術(shù)[J].計算機科學(xué),2000,27(10):63-65.

［2］李四福.網(wǎng)絡(luò)安全與我國的安全策略[J].科技進步與對策,2000(9).

［3］袁津生,吳硯農(nóng).計算機網(wǎng)絡(luò)安全基礎(chǔ)[M].北京:人民郵電出版社,2002.

［4］金雷,謝立.網(wǎng)絡(luò)安全綜述[J].計算機工程與設(shè)計,2003,24(2).