淺析計算機網絡安全的風險及防范技術

湯祖軍

（江蘇國瑞信安科技有限公司，江蘇南京 210009）

0 引言

計算機的廣泛應用把人類帶入了一個全新的時代，計算機網絡的普及化已經成為了信息時代的主要推動力。網絡的開放性導致網絡所面臨的破壞和攻擊來自多方面，例如：對物理傳輸線路的攻擊，對電磁泄漏的攻擊，對網絡通信協議實施的攻擊，對系統軟件漏洞實施的攻擊等。在諸多不安全因素存在的背景下，安全技術作為一個獨特的領域越來越受到全球網絡建設者的關注。

21世紀以來，網絡安全的重點放在了保護信息，確保信息在存儲、處理、傳輸過程中信息系統不被破壞，確保對合法用戶的服務，限制非授權用戶的服務以及必要的防御攻擊措施上。因此確保信息的保密性、完整性、可用性、可控性就成了關鍵因素。為了解決這些安全問題，各種安全機制、安全策略和安全工具被廣泛開發和應用。

1 網絡安全

早期網絡協議對安全問題的忽視，以及在平時運用和管理上的不重視，導致網絡安全存在巨大風險，安全事故頻頻發生。網絡安全是指對網絡系統的硬件、軟件和系統中的數據進行保護，不因偶然或者惡意的因素而遭到破壞、更改、泄露，系統連續可靠正常地運行。目前影響網絡安全的因素主要包括病毒軟件、蠕蟲病毒、木馬軟件和間諜軟件等。

病毒軟件：可執行代碼，它們可以破壞計算機系統，通常偽裝成合法附件，通過電子郵件發送，有的還通過即時信息網絡發送。

蠕蟲病毒：與病毒軟件類似，但比病毒更為普遍，蠕蟲經常利用受感染系統的文件傳輸功能自動進行傳播，從而導致網絡流量大幅增加。

木馬程序：可以捕捉密碼和其它個人信息，使未授權遠程用戶能夠訪問安裝了特洛伊木馬的系統。

間諜軟件：惡意病毒代碼，它們可以監控系統性能，并將用戶數據發送給間諜軟件開發者。

網絡信息安全分為網絡安全和信息安全2個層面。網絡安全包括系統安全，即硬件平臺、操作系統、應用軟件。運行服務安全，即保證服務的連續性、高效率。信息安全則主要是指數據安全，包括數據加密、備份、程序等。目前，操作系統和應用軟件中通常都會存在一些BUG，別有心計的員工或客戶都可能利用這些漏洞向網絡發起進攻，導致某個程序或網絡喪失功能。有甚者會盜竊機密數據，直接威脅網絡和數據的安全，即便是安全防范設備也會存在這樣的問題。幾乎每天都有新的BUG被發現和公布，程序員在修改已知BUG的同時還可能產生新的BUG。系統BUG經常被黑客利用，而且這種攻擊通常不會產生日志，也無據可查。現有的軟件和工具對BUG的攻擊幾乎無法主動防范。

2 網絡安全的風險因素

計算機網絡的安全威脅主要來自于以下幾個方面：

2.1 軟件漏洞

每一版本的操作系統或網絡軟件的出現都不可能完美無缺。大多數IT安全事件（如補丁程序或網絡攻擊等）都與軟件漏洞有關，黑客利用編程中的細微錯誤或者上下文依賴關系，讓它做任何他們想讓它做的事情。緩沖區溢出是一種常見的軟件漏洞，也是一種牽扯到復雜因素的錯誤。開發人員經常預先分配一定量的臨時內存空間，稱為一個緩沖區，用以保存特殊信息。如果代碼沒有仔細地把要存放的數據大小同應該保存它的空間大小進行對照檢查，那么靠近該分配空間的內存就有被覆蓋的風險。熟練的黑客輸入仔細組織過的數據就能導致程序崩潰、數據丟失。

2.2 黑客的威脅和攻擊

由于用戶越來越多地依賴計算機網絡提供各種服務，完成日常業務，計算機網絡上的黑客攻擊事件越演越烈，造成的破壞越來越大。由于攻擊技術的進步，攻擊者可以較容易地利用分布式攻擊工具，有效地發動拒絕服務攻擊，掃描潛在的受害者，危害存在安全隱患的系統。

黑客攻擊的技術根源是軟件和系統的安全漏洞。正是一些別有用心的人利用了這些漏洞，才造成了網絡安全問題。因為操作系統、應用軟件等安全漏洞每年都會被發現，網絡管理員必須不斷用最新的軟件補丁修復這些漏洞。然而黑客經常能夠搶在廠商修補這些漏洞之前發現這些漏洞并發起攻擊，非法侵入重要信息系統，竊聽、獲取、攻擊侵人網的敏感性信息，修改和破壞信息網絡的正常使用狀態，造成數據丟失或系統癱瘓，給社會造成巨大的經濟損失。

2.3 計算機病毒

它是一種在人為或非人為的情況下產生、在用戶不知情或未批準下，能自我復制或運行的計算機程序。計算機病毒往往會影響受感染計算機的正常運作。病毒一般會自動利用電子郵件傳播，利用對象為某個漏洞，將病毒自動復制并群發給存儲的通訊錄名單成員。

計算機感染上病毒后，輕則使系統工作效率下降，重則造成系統死機或毀壞，使部分文件或全部數據丟失，甚至造成計算機主板等部件的損壞。

2.4 垃圾郵件和間諜軟件

一些有心人會從網上多個BBS論壇、新聞組等收集網民的計算機地址，再售予廣告商，從而把自己的電子郵件強行“推入”別人的電子郵箱，強迫他人接受賺錢信息、商業或個人網站廣告、電子雜志、連環信息等。垃圾郵件可以分為良性和惡性。良性垃圾郵件是如宣傳廣告等對收件人影響不大的信息郵件。惡性垃圾郵件是指具有破壞性的電子郵件，例如具有攻擊性的廣告情色網站、釣魚網站。

間諜軟件是一種能夠在用戶不知情或未經用戶準許的情況下收集用戶個人數據的軟件。間諜軟件采用一系列技術來紀錄用戶的個人信息，例如鍵盤錄制用戶訪問Internet的行為，以及掃描用戶計算機上的文件。間諜軟件的功能繁多，它可以監視用戶行為，或是發布廣告，修改系統設置，威脅用戶隱私和計算機安全，并盡可能小地影響系統性能，以免被發現。

2.5 配置不當

安全產品防護策略配置不當造成安全隱患。例如，防火墻設備的訪問控制策略配置不正確，那么它根本起不到安全防護作用；再如有些特定的網絡應用程序，當它啟動運行時，就同步會打開一系列的安全缺口，許多與該軟件捆綁在一起的應用軟件也會被同時啟用，這樣就會在不知情的情況下給不法分子留下“后門”或漏洞。除非用戶禁止該程序或對其進行正確配置，否則安全隱患無法避免。

2.6 安全意識不強

人為的無意失誤是造成網絡不安全的重要原因之一。網絡管理員在這方面不但肩負重任，還面臨越來越大的壓力。稍有考慮不周，安全配置不當，就會造成安全漏洞。另外，用戶安全意識不強，不按照安全規定操作，如口令選擇不慎，將自己的賬戶隨意轉借他人或與別人共享，都會給網絡安全帶來威脅。

3 網絡安全防范技術

計算機網絡安全從技術上來說，主要由防病毒、VPN網關、防火墻、入侵檢測等多個安全產品組件組成，一個單獨的組件無法確保網絡信息的安全性。目前廣泛運用和比較成熟的網絡安全技術主要有：防火墻技術、數據加密技術、入侵檢測技術、防病毒技術、漏洞掃描技術等。以下就針對此幾項技術分別進行簡要分析：

3.1 防火墻技術

防火墻技術是指網絡之間通過預定義的安全策略，對內外網通信強制實施訪問控制的安全應用措施。它對2個或多個網絡之間傳輸的數據包按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監視網絡運行狀態。根據環境不同，主要接入部署方式分3類：（1）核心數據區安全防護；（2）網絡邊界安全防護；（3）網絡出口安全防護。防火墻部署位置如圖1所示。

圖1 防火墻部署位置

防火墻對流經它的網絡通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行；可以關閉不使用的端口；可以禁止特定端口的流出通信，封鎖特洛伊木馬；可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

防火墻技術可以起到如下防護作用：

網絡安全的屏障：防火墻在1個內部網絡和外部網絡間建立1個檢查點。這種實現要求所有的流量都要通過這個檢查點。一旦這些檢查點清楚地建立，防火墻設備就可以監視、過濾和檢查所有進來和出去的流量。通過強制所有進出流量都通過這些檢查點，網絡管理員可以集中在較少的地方來實現安全目的。

監控審計：防火墻可以對內、外部網絡存取和訪問進行監控審計。如果所有的訪問都經過防火墻，那么防火墻就能記錄下這些訪問并進行日志記錄，同時也能提供網絡使用情況的統計數據。當發生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。

防止內部信息的外泄：通過利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而限制局部重點或敏感網絡安全問題對全局網絡造成的影響。企業秘密是大家普遍關心的問題，1個內部網絡中不引人注意的細節可能包含了有關安全的線索。這會引起外部攻擊者的興趣，甚至因此而暴漏內部網絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內部細節的如Finger、DNS等服務。

數據包過濾：包過濾是防火墻所要實現的最基本功能。現在的防火墻已經由最初的地址、端口判定控制，發展到判斷通信報文協議頭的各部分，以及通信協議的應用層命令、內容、用戶認證、用戶規則甚至狀態檢測等。網絡上的數據都以包為單位進行傳輸，每一個數據包中都會包含一些特定的信息，如數據的源地址、目標地址、源端口號和目標端口號等。

地址轉換：通過此項功能可以很好地屏蔽內部網絡的IP地址，對內部網絡用戶起到保護作用。NAT又分“SNAT”和“DNAT”。SNAT就是改變轉發數據包的源地址，對內部網絡地址進行轉換。對外部網絡屏蔽，使得外部用戶對內部主機的攻擊更加困難，同時可以節省有限的公網IP資源，僅通過少數1個或幾個公網IP地址共享上網。而DNAT就是改變轉發數據包的目的地址，外部網絡主機向內部網絡主機發出通信連接時，防火墻首先把目的地址轉換為自己的地址，然后再轉發外部網絡的通信連接，這樣實際上外部網絡主機與內部網絡主機的通信變成了防火墻與內部網絡主機的通信。

3.2 入侵檢測技術

入侵檢測系統（Intrusion Detection System簡稱IDS）是對計算機和網絡資源的惡意使用行為進行識別和相應處理的系統。惡意使用行為包括系統外部的入侵和內部用戶的非授權行為。IDS是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術手段。

部署的方法有很多種，如基于專家系統入侵的檢測方法、基于神經網絡的入侵檢測方法等。入侵檢測攻防示意圖如圖2所示。入侵檢測通過執行如下任務來實現：

圖2 入侵檢測攻防示意圖

（1）監視、分析用戶及系統活動；

（2）審計系統構造和弱點；

（3）識別反映已知進攻的活動模式并向相關人士報警；

（4）統計分析異常行為模式；

（5）評估重要系統和數據文件的完整性；

（6）審計跟蹤管理操作系統，并識別用戶違反安全策略的行為。

入侵檢測技術的主要功能：監視分析用戶及系統活動；查找非法用戶和合法用戶的越權操作；檢測系統配置的正確性和安全漏洞，并提示管理員修補漏洞；識別反映已知進攻的活動模式并向相關人士報警；對異常行為模式的統計分析；能夠實時地對檢測到的入侵行為進行反應；評估重要系統和數據文件的完整性；發現新的攻擊模式。

入侵檢測系統所采用的技術可分為誤用檢測模型與異常檢測模型2種。

誤用檢測模型（Misuse detection）：檢測與已知的不可接受行為之間的匹配程度。如果可以定義所有的不可接受行為，那么每種能夠與之匹配的行為都會引起報警。收集非正常操作的行為特征，監理相關的特征庫。當監測的用戶或系統行為與庫中的記錄相匹配時，系統就認為這種行為是入侵。

異常檢測模型（Anomaly detection）：檢測與可接受行為之間的偏差。如果可以定義每項可接受的行為，那么每項不可接受的行為就應該是入侵。首先總結正常操作應該具有的特征（用戶輪廓），當用戶活動與正常行為有重大偏離時，即被認為是入侵。

3.3 數據加密技術

數據加密就是將數據通過一定的加密技術轉換成為表面上雜亂無章，只有合法的使用者才能恢復原來面目的技術。而對于非法竊取使用者來說，轉換后的數據是一些毫無意義的數據。我們把原始數據稱為明文，將經過加密的數據稱為密文，把從明文變成密文的過程叫做加密，而把密文還原成明文的過程叫做解密。加密過程和解密過程都需要有密鑰和相對應的算法，一般密鑰是一串數字，加解密算法是作用于明文或密文以及相對應密鑰的一個數學函數。數據加密與解密技術的工作流程圖如圖3所示。

圖3 數據加密與解密技術的工作流程圖

密碼算法是作用于加密和解密的數學函數，一般情況下有2個相關的函數：一個用于加密，另一個用于解密。這些算法的安全性都基于密鑰的安全性，而不是基于算法細節的安全性。這就意味著算法可以公開，可以被分析，也可以大量生產使用算法的產品，即使竊聽者知道算法也沒有關系。只要他不知道你使用的具體密鑰，就不可能閱讀你的數據。基于密鑰的算法通常有2類：對稱密碼算法和非對稱密碼算法。

圖4 對稱密碼算法

對稱密碼算法：又叫傳統密碼算法，是指加密和解密使用相同的密鑰。即使不同，也可以由一個經過計算推導出另一個來，反過來也成立。但在大多數對稱算法中，加密解密密鑰是相同的。這些算法也叫單密鑰算法或秘密密鑰算法。它要求發送者和接收者在安全通信之前，確定一個密鑰。當需給對方發送信息時，用自己的加密密鑰進行加密得到密文，而在接受方收到數據后，用對方所給的密鑰進行解密得到明文。對稱密碼算法如圖4所示。非對稱密碼算法：也被稱之為公開密碼體制。是由公開密鑰和私有密鑰2部分組成的密鑰對，分別用于對數據的加密工作和解密工作。即如果使用私有密鑰對數據進行加密，那么只有用相對應的公開密鑰才能夠解密；反之，使用公開密鑰對數據進行加密，那么只有用相對應的私有密鑰才能夠進行解密，如圖5所示。公開密鑰無須保密，可以公開，因為由公開密鑰是無法推算出私有密鑰，所以公開的密鑰并不會損害私有密鑰的安全性。但私有密鑰就必須進行保密。

3.4 防病毒技術

圖5 非對稱密碼算法

防病毒技術就是通過一定的技術手段防止計算機病毒對系統傳染和破壞的技術。但是Internet技術的發展，以及E-mail和一批網絡工具的出現，在改變人類信息傳播方式的同時也使計算機病毒的種類迅速增加，擴散速度也大大加快。計算機病毒的傳播方式迅速突破地域限制，由以往的單機之間的介質傳染轉換為網絡系統間的傳播。現在，計算機病毒已經可以通過移動磁盤、光盤、局域網、WWW瀏覽、E-Mail、FTP下載等多種方式傳播。

只有通過將病毒檢測產品部署在網絡的入口或整個網絡中，才能真正將病毒抵御于網絡之外，保證數據的真正安全。常見的病毒檢測產品有防毒墻、網絡防病毒軟件等。

防毒墻：通過防毒墻對數據包進行狀態檢測過濾，不但能夠根據數據包的源地址、目標地址、協議類型、源端口、目標端口以及網絡接口等數據包進行控制，而且能夠記錄通過防毒墻的連接狀態，直接對分組里的數據進行處理。防毒墻具有完備的狀態檢測表追蹤連接會話狀態，并且結合前后分組里的關系進行綜合判斷決定是否允許該數據包通過，它可通過連接狀態進行更迅速更安全的過濾。

同時防毒墻能攔截攻擊操作系統和應用軟件安全漏洞的新型蠕蟲，而傳統的防火墻集成的防病毒功能是無法檢測和清除該類蠕蟲的。在新病毒的傳播事件中，病毒檢測產品能夠有效防止網絡攻擊，不會消耗資源用于攔截病毒。

防病毒軟件：防病毒軟件則主要注重網絡防病毒，一旦病毒入侵網絡或者從網絡向其它資源傳染，網絡防病毒軟件會立刻檢測到并加以刪除，可有效地保障內部網絡不受病毒侵擾。產品由以下幾部分組成：

>系統中心

>管理員控制臺

>殺毒軟件服務器端

>殺毒軟件客戶端

系統中心可以很容易地在整個網絡內實現遠程管理、智能升級、自動分發、遠程報警等多種功能，有效管理、嚴密保護、杜絕病毒的入侵。

管理員控制臺：管理員可以在網絡中的任意一臺計算機上對整個網絡進行集中控制管理，清楚地掌握整個網絡環境中各個節點的病毒監測狀態。這既方便了管理員，又最大程度地減少了整個網絡中的安全漏洞，有效保障了整個網絡的系統安全。控制臺部署結構如圖6所示。

圖6 分布式部署結構

3.5 漏洞掃描技術

每年都有數以千計的網絡安全漏洞被發現和公布，加上攻擊者手段的不斷變化，網絡安全狀況也在隨著安全漏洞的增加變得日益嚴峻。尋根溯源，絕大多數用戶缺乏一套完整、有效的漏洞管理工作流程來落實定期評估與漏洞修補工作。只有比攻擊者更早掌握自己網絡安全漏洞并且做好預防工作，才能夠有效地避免攻擊所造成的損失。

漏洞掃描就是通過針對常見黑客攻擊手法的檢查策略，定期對網絡系統進行掃描分析，及時發現問題、給出相關安全措施和建議并進行相應的修補和配置。示意圖如圖7所示。

這項技術的具體實現就是安全掃描程序，幫助在很短的時間內查出現存的安全脆弱點。

智能識別：能夠對掃描結果數據進行在線分析，能夠根據端口、漏洞、BANNER信息、IP地址等關鍵字對主機信息進行查詢并能將查詢結果保存。

高效快捷：支持高級數據分析，能夠進行歷史數據查詢、匯總查看、對比分析等，方便進行多個掃描任務或多個IP風險對比，能夠在多個歷史任務中，很快地檢索到需要關注的資產IP點。

腳本依賴：掃描模塊會自動根據其邏輯依賴關系執行而不是無目的地盲目執行，從而提高了掃描準確性。

信息輸出：漏洞分析報告應提供在線瀏覽報告和離線打印報告。離線報表提供針對不同角色的默認模板，允許用戶定制報告的內容、報告的格式等。

斷點恢復：在掃描程序運行到一半的時候如果系統意外掉電等，可以通過查看掃描狀態進行重新掃描或者繼續掃描。如果選擇繼續掃描的話，前面掃描到的結果會保留下來和后面的結果一起合并生成結果文件。

圖7 漏洞掃描技術示意圖

4 結語

計算機網絡的安全問題越來越受到大家的關注，文章簡要分析了計算機網絡存在的幾點常見的安全隱患，并探討了計算機網絡的幾種安全防范技術。總得來說，網絡安全不僅是技術問題，同時也是一個安全管理問題。我們必須綜合考慮各種安全因素，制定合理的建設目標、設計方案、管理制度和相關的配套法規文獻等。

計算機網絡安全是個綜合性和復雜性的問題。面對網絡安全行業的飛速發展以及整個社會越來越快的信息化進程，各種新技術將會不斷出現和應用。

網絡安全孕育著無限的機遇和挑戰，作為一個熱門的研究領域，其擁有重要的戰略意義，相信未來網絡安全技術將會取得更加長足的發展。

［1］孫健敏.計算機網絡技術與應用［M］.西安：西安電子科技大學出版社，2010.

［2］蔡立軍.計算機網絡安全技術［M］.北京:中國水利水電出版社，2005.

［3］陳斌.計算機網絡安全于防御［J］.信息技術與網絡服務，2006（4）.

［4］閻慧.防火墻原理與技術［M］.北京：機械工業出版社，2004.

［5］梅杰，許榕生.Internet防火墻技術新發展［J］.微電腦世界，1996（6）.

［6］王宏偉.網絡安全威脅與對策［J］.應用技術，2006（5）.