計算機網(wǎng)絡(luò)的安全威脅及防御技術(shù)

喬加強

摘要 在應(yīng)用計算機網(wǎng)絡(luò)的同時，必須重視計算機網(wǎng)絡(luò)的安全問題。本文圍繞著計算機網(wǎng)絡(luò)的安全問題展開論述，論述了計算機網(wǎng)絡(luò)安全的基本要求，指出了計算機網(wǎng)絡(luò)面臨的安全威脅，并介紹了四種防御技術(shù)，也指出了幾種防御技術(shù)的不足之處。

【關(guān)鍵詞】網(wǎng)絡(luò)安全 安全威脅 防御技術(shù)

計算機網(wǎng)絡(luò)技術(shù)發(fā)展迅速，計算機網(wǎng)絡(luò)在社會的眾多領(lǐng)域都扮演著日益重要的角色。然而，計算機網(wǎng)絡(luò)也面臨著多種安全威脅。在應(yīng)用計算機網(wǎng)絡(luò)時，須要重視安全問題。

1 網(wǎng)絡(luò)安全的基本要求

安全的網(wǎng)絡(luò)環(huán)境有以下基本要求：

（1）機密性及保密性：機密性是指網(wǎng)絡(luò)信息不能被非授權(quán)訪問;保密性是指網(wǎng)絡(luò)信息不會泄露給非授權(quán)用戶。

（2）完整性：完整性是指網(wǎng)絡(luò)信息不能被非授權(quán)改寫，即網(wǎng)絡(luò)信息在存儲或傳輸時不會發(fā)生被偶然或蓄意地修改、刪除、偽造、插入等破壞。

（3）可用性：可用性是指網(wǎng)絡(luò)信息資源隨時可以提供服務(wù)，即授權(quán)用戶可以根據(jù)需要隨時訪問網(wǎng)絡(luò)信息資源。

（4）可靠性：可靠性是指網(wǎng)絡(luò)信息系統(tǒng)能夠在規(guī)定的時間里和規(guī)定的條件下完成規(guī)定功能的特性。可靠性又包括硬件可靠性、軟件可靠性、環(huán)境可靠性及人員可靠性等。

（5）不可否認性：不可否認性是指在網(wǎng)絡(luò)系統(tǒng)的信息交互過程中，參與者的真實與同一是肯定的，即所有參與者都無法否認或抵賴曾做過的操作和承諾。

（6）可控性：可控性是指對網(wǎng)絡(luò)信息的內(nèi)容和傳播都具有控制能力的特性。

2 網(wǎng)絡(luò)安全的威脅

安全威脅的源頭有很多，系統(tǒng)漏洞、線纜連接、身份鑒別等許多方面都帶有安全隱患。安全威脅可以分為故意的和偶然的兩類，故意的如系統(tǒng)入侵，偶然的如自然災(zāi)害。自然災(zāi)害和意外事故會對計算機網(wǎng)絡(luò)設(shè)備造成破壞，并會使計算機網(wǎng)絡(luò)中信息的安全性、完整性及可用性受到威脅。說到故意威脅，故意威脅主要來自于兩大類攻擊，分別是主動攻擊和被動攻擊。被動攻擊不對網(wǎng)絡(luò)信息進行修改和破壞，只對信息進行監(jiān)聽，而主動攻擊會對信息進行篡改和破壞。

若從攻擊對象的角度對網(wǎng)絡(luò)攻擊行為進行分類，可以分為對通信本身的攻擊和利用網(wǎng)絡(luò)對計算機系統(tǒng)的攻擊。攻擊者對網(wǎng)絡(luò)通信的攻擊有四種基本的攻擊形式：

（1）截獲：攻擊者通過網(wǎng)絡(luò)竊聽他人通信的內(nèi)容;

（2）中斷：攻擊者惡意中斷他人的網(wǎng)絡(luò)通信：

（3）篡改：攻擊者惡意篡改通過網(wǎng)絡(luò)傳送的信息;

（4）偽造：攻擊者偽造虛假信息并通過網(wǎng)絡(luò)傳送。

攻擊者通過網(wǎng)絡(luò)可進行的對計算機系統(tǒng)的攻擊則有更多的形式，例如拒絕服務(wù)攻擊和惡意程序攻擊等等。

僅僅惡意代碼攻擊就有很多種形式，舉幾個例子：

（1）計算機病毒：計算機病毒是可自我復(fù)制的、可傳染的破壞計算機功能及數(shù)據(jù)的代碼：

（2）網(wǎng)絡(luò)蠕蟲：網(wǎng)絡(luò)蠕蟲是通過網(wǎng)絡(luò)傳播的可以掃描和攻擊網(wǎng)絡(luò)上存在系統(tǒng)漏洞的結(jié)點主機的惡意程序或代碼;

（3）特洛伊木馬：特洛伊木馬是具有隱蔽性的由遠端控制的執(zhí)行非授權(quán)功能的惡意程序。

3 防御技術(shù)

3.1 操作系統(tǒng)的安全配置

操作系統(tǒng)的安全是計算機網(wǎng)絡(luò)安全的關(guān)鍵。盡管目前的幾大操作系統(tǒng)的安全級別都是比較高的，但是仍然存在著漏洞。全面地考慮操作系統(tǒng)中有隙可乘的薄弱環(huán)節(jié)并對操作系統(tǒng)進行安全配置，可以成功防御很多的安全威脅。

3.2 數(shù)字加密技術(shù)

在計算機網(wǎng)絡(luò)通信中，先采用密碼技術(shù)對將要發(fā)送的信息進行數(shù)據(jù)加密，再將加密后的信息傳輸出去，接受者在接到密文后，用解密密鑰將密文解密即可獲取原本的信息。通過使用密碼技術(shù)，使得信息在傳輸過程中即便被竊取或截獲，截取者也無法獲取信息的內(nèi)容。數(shù)字加密技術(shù)保證了計算機網(wǎng)絡(luò)信息的機密性、報文完整性與不可否認性，并使通信者可鑒別對方的身份。具體的加密技術(shù)有DES對稱加密技術(shù)、RSA公鑰加密技術(shù)、PGP加密技術(shù)、數(shù)字信封、數(shù)字簽名等。

3.3 防火墻技術(shù)

防火墻是一個由硬件設(shè)備和軟件組合而成的介于內(nèi)部網(wǎng)與外部網(wǎng)或?qū)Ｓ镁W(wǎng)與公用網(wǎng)之間的保護屏障，防火墻技術(shù)是一種訪問控制技術(shù)，它把控著內(nèi)外網(wǎng)絡(luò)數(shù)據(jù)的流入流出，防火墻就像是一個門衛(wèi)，它允許“同意”的數(shù)據(jù)通過，禁止“不同意”的數(shù)據(jù)通過，因而它為計算機或內(nèi)部網(wǎng)減少了潛在入侵的發(fā)生。防火墻主要由四個部分組成：服務(wù)訪問規(guī)則、驗證工具、包過濾、應(yīng)用網(wǎng)關(guān)。有三種常見的防火墻類型，分別是分組過濾防火墻、應(yīng)用代理防火墻及狀態(tài)檢測防火墻。防火墻是計算機網(wǎng)絡(luò)系統(tǒng)防御的第一道防線。

3.4 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)（IDS）是網(wǎng)絡(luò)系統(tǒng)防御的第二道防線，位于防火墻之后。當外部攻擊或違反安全策略的行為成功通過防火墻進入到系統(tǒng)，入侵檢測系統(tǒng)將檢測到該行為并發(fā)出報警或執(zhí)行阻斷操作。入侵檢測系統(tǒng)是一種硬件或軟件系統(tǒng)，它是實時監(jiān)控系統(tǒng)的，它能夠?qū)Ψ鞘跈?quán)使用系統(tǒng)資源的行為及時地做出判斷并記錄，繼而向網(wǎng)絡(luò)管理員報警。IDS的具體功能有：

（1）識別黑客常用的入侵與攻擊手段;

（2）監(jiān)控網(wǎng)絡(luò)異常通信;

（3）鑒別對系統(tǒng)漏洞及后門的利用;

（4）完善網(wǎng)絡(luò)安全管理。

4 防御技術(shù)的挑戰(zhàn)

操作系統(tǒng)若存在著一些未知的漏洞，且入侵者先于網(wǎng)絡(luò)管理者發(fā)現(xiàn)這些漏洞并借以利用，可能會使整個操作系統(tǒng)都處于危險狀態(tài)。數(shù)據(jù)加密技術(shù)也有其挑戰(zhàn)，隨著各種加密技術(shù)的應(yīng)用，對應(yīng)的密碼破解機制一直緊隨其后，因而必須不斷地更新密碼技術(shù)。目前，防火墻技術(shù)也是有局限性的。防火墻仍然難以防范一些利用系統(tǒng)漏洞或者網(wǎng)絡(luò)協(xié)議漏洞發(fā)起的攻擊。另外，防火墻對惡意代碼的防御能力也是有限的，它不能有效地防止病毒、木馬等的攻擊。不同的防火墻技術(shù)自身也存在不足之處，例如分組過濾防火墻并不能防止IP地址欺騙，應(yīng)用代理防火墻可能自身存在軟件漏洞。難以避免的，入侵檢測系統(tǒng)常常發(fā)生對入侵及異常的漏報或誤報，只有更佳地完善入侵檢測技術(shù)，IDS才能更準確、更全面地發(fā)揮其防御作用。

參考文獻

[1]馬麗梅，王方偉等，計算機網(wǎng)絡(luò)安全與實驗教程（第二版）[M].北京：清華大學(xué)出版社，2016.

[2]謝希仁，謝鈞.計算機網(wǎng)絡(luò)教程（第四版）[M].北京：人民郵電出版社，2014.