網絡安全淺析

周瑞 河南理工大學

網絡安全淺析

周瑞 河南理工大學

隨著信息時代的到來，網絡在人們的生活中扮演的角色越來越重要。隨著計算機網絡技術的飛速發展，尤其是互聯網的應用變得越來越廣泛，在帶來了前所未有的海量信息的同時，網絡的開放性和自由性也產生了私有信息和數據被破壞或侵犯的可能性，網絡信息的安全性變得日益重要起來，已被信息社會的各個領域所重視。

網絡安全 安全現狀 體系結構模型

1 引言

國際標準化組織（ISO）將“計算機安全”定義為：“為數據處理系統建立和采取的技術和管理的安全保護，保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄漏”。隨著信息時代的加速到來，人們對因特網的依賴也越來越強，網絡已成為人們生活中不可缺少的一部分。眾所周知，網絡的價值所在就是它的信息共享能力，這個能力要求網絡必須是開放的，而開放的網絡必然存在眾多潛在的安全隱患，應對網絡可能面對的威脅和攻擊是一個持久戰，我們要保持網絡的開放性和安全性兩方面互相促進、協調發展。

1.1 綜述

網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。網絡安全狹義上講就是網絡上的信息安全。廣義來說，凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。

1.2 網絡安全的主要特性

網絡安全應具有以下四個方面的特征：

（1）保密性——保證只有授權用戶可以訪問數據，而限制其他用戶對數據的訪問。

數據的保密性分為網絡傳輸的保密性和數據存儲保密性兩個方面。

網絡傳輸保密性通過對傳輸數據進行加密處理來實現；數據存取保密性主要通過訪問控制來實現。

（2）完整性——數據未經授權不能進行改變的特性，即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。一般通過訪問控制、數據備份和冗余設置來實現數據的完整性。

（3）可用性——可被授權實體訪問并按需求使用的特性，即當需要時能否存取和訪問所需的信息。網絡環境下拒絕服務、破壞網絡和有關系統的正常運行等都屬于對可用性的攻擊。

（4）可控性——人們對信息的傳播途徑、范圍及其內容所具有的控制能力。

1.3 影響網絡安全的主要因素

計算機網絡所面臨的威脅是多方面的，既包括對網絡中信息的威脅，也包括對網絡中設備的威脅，但歸結起來，主要有三點：

（1）人為的無意失誤。如操作員安全配置不當造成系統存在安全漏洞，用戶安全意識不強，口令選擇不慎，將自己的賬號隨意轉借他人或與別人共享等都會給網絡安全帶來威脅。

（2）人為的惡意攻擊。這也是目前計算機網絡所面臨的最大威脅，比如敵手的攻擊和計算機犯罪都屬于這種情況，此類攻擊又可以分為兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網絡造成極大的危害，并導致機密數據的泄漏。

（3）網絡軟件的漏洞和“后門”。任何一款軟件都或多或少存在漏洞，這些缺陷和漏洞恰恰就是黑客進行攻擊的首選目標。絕大部分網絡入侵事件都是因為安全措施不完善，沒有及時補上系統漏洞造成的。

2 網絡安全現狀

網絡信息安全在國內還是一個比較年輕的產業，還處于剛剛起步的階段，但不可否認的是對網絡信息安全的要求和重視程度將會越來越高。

對許多網絡用戶而言，知道面臨著一定的威脅。但這種威脅來自哪里、究竟有什么后果，并不十分清楚。一般來說，對普通的網絡用戶，面臨的應用難題主要有以下幾個方面。

2.1 病毒問題

計算機病毒是一段能夠進行自我復制的程序。病毒運行后可能損壞文件，使系統癱瘓，造成各種難以預料的后果。在網絡環境下，病毒具有不可估量的威脅和破壞力。

計算機病毒攻擊的手段出現得很早，其種類繁多，影響范圍廣。不過以前的病毒多是毀壞計算機內部的數據，使系統癱瘓。現在某些病毒已經與黑客程序結合起來，被黑客利用來竊取用戶的敏感信息，危害更大。

計算機病毒已經成為危害網絡安全的最大威脅。

2.2 非法訪問和破壞

非法訪問故名思議就是在未得到管理員授權的情況下，訪問、使用或破壞某些資源。目前對非法入侵者有一個統一的名稱——“黑客”。他們依靠自己掌握的技術，非法獲得系統的控制權限，從而達到竊取用戶秘密信息和破壞數據的目的。

現在還缺乏針對網絡犯罪卓有成效的反擊和跟蹤手段，使得黑客攻擊的隱蔽性號，“殺傷力”強，是網絡安全的主要威脅。

2.3 管理漏洞

網絡通信系統的嚴格管理是企業、機構及用戶免受攻擊的重要措施。事實上，很多企業、機構及用戶的網站或系統都疏于這方面的管理。目前，美國75%-85%的網站都抵擋不住黑客的攻擊，約有75%的企業網上信息失竊。此外，管理的缺陷還可能出現系統內部人員泄露機密或外部人員通過非法手段截獲而導致機密信息的泄露，從而是一些不法分子有可乘之機。

3 網絡的安全解決方案

3.1 網絡的安全威脅

無意的威脅——人為操作錯誤、設備故障、自然災害等不以人的意志為轉移的事件。

有意的威脅——竊聽、計算機犯罪等人為的破壞。

3.2 安全網絡的實現

分析我們的網絡對安全性有極高的要求，網絡中的關鍵應用和關鍵數據越來越多，如何保障關鍵業務數據的安全性成為網絡運維中非常關鍵的工作。

3.2.1 物理安全

網絡的物理安全是整個網絡系統安全的前提。在校園網工程建設中，由于網絡系統屬于弱電工程，耐壓值很低。因此，在網絡工程的設計和施工中，必須優先考慮保護人和網絡設備不受電、火災和雷擊的侵害；考慮布線系統與照明電線、動力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離；考慮布線系統和絕緣線、裸體線以及接地與焊接的安全；必須建設防雷系統，防雷系統不僅考慮建筑物防雷，還必須考慮計算機及其他弱電耐壓設備的防雷。總體來說物理安全的風險主要有，地震、水災、火災等環境事故；電源故障；人為操作失誤或錯誤；設備被盜、被毀；電磁干擾；線路截獲；高可用性的硬件；雙機多冗余的設計；機房環境及報警系統、安全意識等，因此要注意這些安全隱患，同時還要盡量避免網絡的物理安全風險。

3.2.2 網絡結構

網絡拓撲結構設計也直接影響到網絡系統的安全性。假如在外部和內部網絡進行通信時，內部網絡的機器安全就會受到威脅，同時也影響在同一網絡上的許多其他系統。透過網絡傳播，還會影響到連上Internet/Intranet的其他的網絡；影響所及，還可能涉及法律、金融等安全敏感領域。因此，我們在設計時有必要將公開服務器（WEB、DNS、EMAIL等）和外網及內部其它業務網絡進行必要的隔離，避免網絡結構信息外泄；同時還要對外網的服務請求加以過濾，只允許正常通信的數據包到達相應主機，其它的請求服務在到達主機之前就應該遭到拒絕。

3.2.3 系統的安全

所謂系統的安全是指整個網絡操作系統和網絡硬件平臺是否可靠且值得信任。恐怕沒有絕對安全的操作系統可以選擇，無論是Microsoft的Windows NT或者其它任何商用UNIX操作系統，其開發廠商必然有其Back-Door。因此，我們可以得出如下結論：沒有完全安全的操作系統。不同的用戶應從不同的方面對其網絡作詳盡的分析，選擇安全性盡可能高的操作系統。因此不但要選用盡可能可靠的操作系統和硬件平臺，并對操作系統進行安全配置。而且，必須加強登錄過程的認證（特別是在到達服務器主機之前的認證），確保用戶的合法性；其次應該嚴格限制登錄者的操作權限，將其完成的操作限制在最小的范圍內。

3.2.4 應用系統

應用系統的安全跟具體的應用有關，它涉及面廣。應用系統的安全是動態的、不斷變化的。應用的安全性也涉及到信息的安全性，它包括很多方面。

——應用系統的安全是動態的、不斷變化的。

應用的安全涉及方面很多，以Internet上應用最為廣泛的E-mail系統來說，其解決方案有sendmail、Netscape Messaging Server、SoftwareComPost.Office、Lotus Notes、Exchange Server、SUN CIMS等不下二十多種。其安全手段涉及LDAP、DES、RSA等各種方式。應用系統是不斷發展且應用類型是不斷增加的。在應用系統的安全性上，主要考慮盡可能建立安全的系統平臺，而且通過專業的安全工具不斷發現漏洞，修補漏洞，提高系統的安全性。

3.2.5 管理風險

管理是網絡中安全最最重要的部分。責權不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。當網絡出現攻擊行為或網絡受到其它一些安全威脅時（如內部人員的違規操作等），無法進行實時的檢測、監控、報告與預警。同時，當事故發生后，也無法提供黑客攻擊行為的追蹤線索及破案依據，即缺乏對網絡的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄，及時發現非法入侵行為。

建立全新網絡安全機制，必須深刻理解網絡并能提供直接的解決方案，因此，最可行的做法是制定健全的管理制度和嚴格管理相結合。保障網絡的安全運行，使其成為一個具有良好的安全性、可擴充性和易管理性的信息網絡便成為了首要任務。一旦上述的安全隱患成為事實，所造成的對整個網絡的損失都是難以估計的。因此，網絡的安全建設是校園網建設過程中重要的一環。

3.3 網安措施

計算機網絡安全措施主要包括保護網絡安全、保護應用服務安全和保護系統安全三個方面，各個方面都要結合考慮安全防護的物理安全、防火墻、信息安全、Web安全、媒體安全等等。

[1]計算機網絡安全-沈鑫剡-人民郵電出版社

[2]計算機網絡安全探討-中國市場-2011年

[3]圖書館網絡安全防護-農業圖書情報學刊-2011年

[4]電子商務網絡安全支付問題淺析-電子商務-2011年

[5]網絡安全與入侵檢測-計算機安全–2007年

[6]入侵檢測與校園網絡安全研究–2011年

[7]2013年網絡與信息安全趨勢預測

[8]信息網絡安全等級保護

[9]網絡安全問題與對策10網絡與信息系統安全自查總結報告2013年