計算機網絡系統安全威脅及對策

陳蔚

摘 要：計算機信息技術的不斷發展，使得高校和各類企事業單位都建立了自有的局域網絡平臺，并通過網絡接入設備與互聯網相互連接，或通過Internet的VPN通道連接方式，形成了自己單位系統內部使用的廣域網絡平臺，進行著對外信息發布、信息查詢和內部業務的應用，這就使得網絡系統隨時可能遭受各種網絡侵襲和物理環境因素的影響而陷于癱瘓，造成巨大的損失。本文主要介紹了計算機網絡信息系統所承受的安全威脅形式以及可以采取的應對策略。

關鍵詞：安全威脅；訪問控制

中圖分類號： TP393.08 文獻標識碼： A 文章編號： 1673-1069（2016）26-136-2

1 網絡信息系統的安全威脅

安全威脅就是對于計算機網絡信息系統的安全而出現的威脅。具體指一些實體或事件，諸如個人、事件或應用程序對于系統內部某一項或某類系統資源的安全性、完整性以及在授權使用范圍內的使用造成影響和危害。

對于網絡信息系統的安全威脅。可將其劃分為有意識行為和無意識行為。

有意識行為主要是對網絡信息系統的有意識的系統入侵。無意識的安全威脅是系統通過掃描（ping的方式）而不對其進行某些實際行動。有偶然行為，也有某些有意識的個人炫耀性行為；有意識的安全威脅則是帶有某些目的性的入侵，是對某些信息的修改（如對于學生成績的修改和對于企業信息的某些主要數據的修改）和專有的數據信息資源的盜取和外泄。

系統攻擊者（俗稱黑客、網軍）多數是采用多種獨特的方式，尋找將要攻擊系統的漏洞而入侵和攻擊，造成的影響和危害各不相同。

1.1 關閉某些服務

入侵者主要是對于某些網絡關鍵設備（網絡核心交換機、某匯聚層或接入交換機）的網絡配置程序進行修改，改變網絡路由，使之引向一個無效的網絡路由指引，而實現網絡中斷。也可以對某些網絡服務器系統進行入侵，關閉服務器的某些應用。

1.2 數據信息盜竊

入侵者有目的盜取企事業單位中所需要的關鍵信息數據、如學生個人信息、企業的經銷存數據和財務數據等。這種攻擊行為一般是通過網絡掃描、偽裝或使用某些合法方式對于網絡信息系統進行攻擊。如：使用掃描和破譯用戶密碼的計算機程序軟件和偽造密鑰。也可在入侵了網絡系統之后，偽裝成系統內部用戶而由系統內部破譯密碼合法登錄系統等方式對系統發起攻擊。

1.3 信息數據的破壞

入侵者既有對系統的關鍵設備設置、程序應用和存儲數據的篡改并合法保存，使之為其長時間服務和利用，也有正在通過網絡平臺進行數據復制傳輸。這種攻擊行為是以損壞系統的數據信息資源的完整性為目的的。

2 安全解決方案的關鍵措施

最大限度地發揮網絡數據通信的優勢，完整的安全解決方案必須包含以下保護措施： 系統物理保護；動態用戶身份驗證；訪問用戶控制；多重加密；實時網絡監控。

2.1 物理安全保護

物理風險主要涉及網絡系統平臺的設備選型和網絡系統訪問人員的身份驗證。可以使用的措施和策略相應比較多：系統設備選型和調整；網絡路由的時段性調整；敏感網絡設備或應用設備，配置在可以嚴格保護的安全環境中；銷毀過期文檔或對敏感文檔實行刻盤保護；動態身份驗證；用戶密碼的安全性保護策略和增加相應的身份驗證設備等。物理性的安全措施大多數都依賴于行政手段（如制度性建設等）的干預并結合新設備的購買和使用來實現。

2.2 訪問用戶身份驗證

身份驗證是所有網絡安全系統中不可或缺的一個重要組成部分。是區別系統合法用戶和網絡入侵者的唯一重要方法。使用統一身份管理系統，進行統一身份驗證、統一身份管理、統一授權、統一審核以及單點登錄方式，加強管理，守好第一道關卡；除去用戶身份驗證之外，身份驗證系統還可用于分配和確定請求訪問者使用網絡資源的范圍、數據使用授權，如人事數據庫、財務數據庫、物流系統服務器或數據庫等，或某些應用系統中的應用范圍限制等；

用戶身份驗證一般包含幾個要素：①用戶使用方式：智能卡、授權使用證書、use key等；②用戶保護方式：用戶密碼（靜態密碼、隨即驗證碼等）；③物理屬性保護：用戶指紋、虹膜或臉部特征掃描識別等物理方式對訪問用戶進行物理確認。身份驗證主要是通過訪問用戶詢問和回答、統一賬號管理、基于AD域集成認證和單點登錄、統一認證單點登錄，數字簽名服務管理等技術來實現。作為網絡系統管理員，可以根據網絡內部和網絡外部訪問用戶的不同需求制定不同的訪問安全策略。在網絡信息系統內部不同的資源控制區域，采取不同的網絡信息資源安保技術的組合來實現對網絡內外部訪問用戶的身份驗證。

2.3 用戶訪問控制

用戶訪問控制是指制約訪問用戶連接的特定網絡、PC、特定類別的數據流量的能力。管理用戶訪問系統的軟硬件技術和實現形式一般如下：

①基于AD域防御模式；②靜態密碼校驗方式；③狀態檢測技術的防火墻技術；④分布式拒絕服務攻擊模式；⑤單獨使用軟件程序系統的軟件防火墻技術模式；⑥內嵌式透明防火墻技術；⑦集中管理模式

例如在企業內部的局域網內部利用核心層、匯聚層和接入層的網絡交換設備所能提供接入的網絡區域、文件訪問控制列表、多層過濾技術，或是基于同一單位的不同區域的分支機構共同的廣域網絡的路由設備。這些網絡設備管理技術實質上都是基于MAC地址和IP地址、端口號列表的靜態過濾控制。而對于安全要求等級要求更高的系統使用用戶，可以采用狀態控制檢查技術的防火墻技術。

企事業單位的防火墻、網絡負載均衡設備一般置于企業內部網絡系統平臺與外部Internet接入之間的控制點上。而對于內部安全域的特定網絡段設置的邊界路由設備設置于安全區域網段與其自有網絡系統平臺之間的控制點上。這就是對于企事業單位自有網絡系統內部部署對于敏感區域的分布式防火墻部署時需要采用嵌入式防火墻的背景要求。筆者所管理的學院網絡系統平臺就針對教務系統平臺、無紙化考試平臺、精品課程管理平臺、校園一卡通平臺、OA系統平臺等對于安全等級的不同需求。設立了集中式透明防火墻技術。年平均抵御來自網絡系統內部的數十次掃描和試圖“合法”進入的不明入侵。

2.4 系統加密

即使嚴密的系統訪問控制和身份驗證系統的安全防護是否有效，在網絡信息系統平臺之上或者是與外部系統進行數據交換和數據傳輸，企事業單位自有網絡系統平臺及其運行的信息系統仍然面臨非法入侵、惡意掃描等風險和隱患。

事實上網絡接入設備的低成本和連接Internet的網絡結構的簡易性是最求經濟效益和苦于成本預算不足困擾的中小型企事業單位實現內部和與外部單位之間進行數據通信和數據交換的一個誘人選擇。同時，由于無線網絡的應用，使得由于無線網絡信號在網絡區域企業邊界之外的信號漂移所造成的在單位邊界之外的入侵用戶的惡意掃描和“合法”接入成為可能。故數據加密技術可用于針對惡意掃描和“合法”入侵的保護性防護。它通過使數據信息只能夠被具有解密數據所需密鑰的系統使用人員使用。筆者管理的國家海船船員適證考試平臺在部署每一場無紙化電子考試前數據導入、考試結束后的考生成績及考試數據、考生語音數據導出時都需要插入密鑰，才能啟動考試系統平臺，進行相關操作。這就對考試數據和考務計劃數據得到了保護。不同的考試部門在密鑰程序中以部門代碼區別，保證了不同的考試科目使用不同的考試密鑰。

2.5 安全管理措施

網絡安全管理系統應允許網絡系統管理員對網絡系統平臺、外部邊緣、數據存儲設備等進行實時與定時的監控和管理。使用的身份驗證系統應采用動態身份驗證和靜態驗證相結合的管理方法。網絡系統管理員應該在每日定時檢查和分析防火墻、網絡系統負載均衡設備、核心交換機、存儲設備、服務器集群管理平臺等關鍵設備的系統日志；定期更換特定訪問用戶的密鑰和密碼更新；定期對敏感數據的數據備份工作，以應對可能出現的惡意入侵和自然災難后的數據恢復工作。制定相應的應急措施和源程序庫； 安全管理工作要得到全面實施，必須是實現制度化和常態化。網絡系統管理員要樹立：“網絡系統安全防護永遠在路上”的心態。企事業單位的管理者，應采取嚴格的行政手段和法律手段作為網絡信息系統安全的保證。