探討計算機網絡安全問題

王曉峰

針對計算機網絡系統存在的安全性問題，本文從網絡安全的重要性、理論基礎、具備功能以及解決措施等方面提出一些見解，并且進行了詳細闡述，以使廣大用戶在計算機網絡方面增強安全防范意識。

1、引言

"千里之提，潰于蟻穴"。配置再完善的防火墻、功能 再強大的入侵檢測系統、結構再復雜的系統密碼也擋不住內部人員從網管背后的一瞥。"微軟被黑案"的事例證明，當前企業網絡最大的安全漏洞來自內部管理的不嚴密。因此網絡安全，重在管理。那么如何管理呢？隨著計算機網絡技術的發展，網絡的安全性和可靠性已成為不同使用層次的用戶共同關心的問題。人們都希望自己的網絡系統能夠更加可靠地運行，不受外來入侵者干擾和破壞。所以解決好網絡的安全性和可靠性問題，是保證網絡正常運行的前提和保障。

2、 網絡安全的重要性

信息科技的迅速發展，Internet已成為全球重要的信息傳播工具。據不完全統計，Internet現在遍及186個國家，容納近60萬個網絡，提供了包括600個大型聯網圖書館，400個聯網的學術文獻庫，2000種網上雜志，900種網上新聞報紙，50多萬個Web網站在內的多種服務，總共近100萬個信息源為世界各地的網民提供大量信息資源交流和共享的空間。 作為一種戰略資源，信息的應用也從原來的軍事、科技、文化和商業滲透到當今社會的各個領域，在社會生產、生活中的作用日益顯著。傳播、共享和自增殖是信息的固有屬性，與此同時，又要求信息的傳播是可控的，共享是授權的，增殖是確認的。因此在任何情況下，信息的安全和可靠必須是保證的。Internet是一種開放和標準的面向所有用戶的技術，其資源通過網絡共享。資源共享和信息安全是一對矛盾. 自Internet問世以來，資源共享和信息安全一直作為一對矛盾體而存在著，計算機網絡資源共享的進一步加強隨之而來的信息安全問題也日益突出，各種計算機病毒和網上黑客（Hackers）對Internet的攻擊越來越激烈，許多網站遭受破壞的事例不勝枚舉。Internet對于任何一個具有網絡連接和ISP帳號的人都是開放的，事實上它本身被設計成了一個開放的網絡。因此它本身并沒有多少內置的能力使信息安全，從一個安全的角度看，Internet 是天生不安全的。然而，商界和個人現在都想在Internet上應用一些安全的原則，在Internet發明人當初沒有意識到的方式下有效的使用它。對于Internet 用戶一個新的挑戰是如何在允許經授權的人在使用它的同時保護敏感信息。在信息化飛速發展的今天，計算機網絡得到了廣泛應用，但隨著網絡之間的信息傳輸量的急劇增長，一些機構和部門在得益于網絡加快業務運作的同時，其上網的數據也遭到了不同程度的攻擊和破壞。攻擊者可以竊聽網絡上的信息，竊取用戶的口令、數據庫的信息;還可以篡改數據庫內容，偽造用戶身份，否認自己的簽名。更有甚者，攻擊者可以刪除數據庫內容，摧毀網絡節點，釋放計算機病毒等等。這致使數據的安全性和自身的利益受到了嚴重的威脅。

3、網絡安全的理論基礎

國際標準化組織（ISO）曾建議計算機安全的定義為：“計算機系統要保護其硬件、數據不被偶然或故意地泄露、更改和破壞?！睘榱藥椭嬎銠C用戶區分和解決計算機網絡安全問題，美國國防部公布了“桔皮書”（orange book，正式名稱為“可信計算機系統標準評估準則” ），對多用戶計算機系統安全級別的劃分進行了規定。

桔皮書將計算機安全由低到高分為四類七級：D1、C1、C2、B1、B2、B3、A1。其中D1級是不具備最低安全限度的等級，C1和C2級是具備最低安全限度的等級，B1和B2級是具有中等安全保護能力的等級，B3和A1屬于最高安全等級。

D1級：計算機安全的最低一級，不要求用戶進行用戶登錄和密碼保護，任何人都可以使用，整個系統是不可信任的，硬件軟件都易被侵襲。

C1級：自主安全保護級，要求硬件有一定的安全級（如計算機帶鎖），用戶必須通過登錄認證方可使用系統，并建立了訪問許可權限機制。

C2級：受控存取保護級，比C1級增加了幾個特性：引進了受控訪問環境，進一步限制了用戶執行某些系統指令;授權分級使系統管理員給用戶分組，授予他們訪問某些程序和分級目錄的權限;采用系統審計，跟蹤記錄所有安全事件及系統管理員工作。

B1級：標記安全保護級，對網絡上每個對象都予實施保護;支持多級安全，對網絡、應用程序工作站實施不同的安全策略;對象必須在訪問控制之下，不允許擁有者自己改變所屬資源的權限。

B2級：結構化保護級，對網絡和計算機系統中所有對象都加以定義，給一個標簽;為工作站、終端等設備分配不同的安全級別;按最小特權原則取消權力無限大的特權用戶。

B3級：安全域級，要求用戶工作站或終端必須通過信任的途徑連接到網絡系統內部的主機上;采用硬件來保護系統的數據存儲區;根據最小特權原則，增加了系統安全員，將系統管理員、系統操作員和系統安全員的職責分離，將人為因素對計算機安全的威脅減至最小。

A1級：驗證設計級，是計算機安全級中最高一級，本級包括了以上各級別的所有措施，并附加了一個安全系統的受監視設計;合格的個體必須經過分析并通過這一設計;所有構成系統的部件的來源都必須有安全保證;還規定了將安全計算機系統運送到現場安裝所必須遵守的程序。

在網絡的具體設計過程中，應根據網絡總體規劃中提出的各項技術規范、設備類型、性能要求以及經費等，綜合考慮來確定一個比較合理、性能較高的網絡安全級別，從而實現網絡的安全性和可靠性。

4 、網絡安全應具備的功能

為了能更好地適應信息技術的發展，計算機網絡應用系統必須具備以下功能：

（1）訪問控制：通過對特定網段、服務建立的訪問控制體系，將絕大多數攻擊阻止在到達攻擊目標之前。

（2）檢查安全漏洞：通過對安全漏洞的周期檢查，即使攻擊可到達攻擊目標，也可使絕大多數攻擊無效。

（3）攻擊監控：通過對特定網段、服務建立的攻擊監控體系，可實時檢測出絕大多數攻擊，并采取響應的行動（如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源等）。

（4）加密通訊：主動地加密通訊，可使攻擊者不能了解、修改敏感信息。

（5）認證：良好的認證體系可防止攻擊者假冒合法用戶。

備份和恢復：良好的備份和恢復機制，可在攻擊造成損失時，盡快地恢復數據和系統服務。

多層防御：攻擊者在突破第一道防線后，延緩或阻斷其到達攻擊目標。

設立安全監控中心：為信息系統提供安全體系管理、監控、保護及緊急情況服務。

5 、網絡系統安全綜合解決措施

要想實現網絡安全功能，應對網絡系統進行全方位防范，從而制定出比較合理的網絡安全體系結構。下面就網絡系統的安全問題，提出一些防范措施。

5.1物理安全

物理安全可以分為兩個方面：一是人為對網絡的損害;二是網絡對使用者的危害。最常見的是施工人員由于對地下電纜不了解，從而造成電纜的破壞，這種情況可通過立標志牌加以防范;未采用結構化布線的網絡經常會出現使用者對電纜的損壞，這就需要盡量采用結構化布線來安裝網絡;人為或自然災害的影響，需在規劃設計時加以考慮。

網絡對使用者的危害主要是電纜的電擊、高頻信號的幅射等，這需要對網絡的絕緣、接地和屏蔽工作做好。

5.2訪問控制安全

訪問控制識別并驗證用戶，將用戶限制在已授權的活動和資源范圍之內。網絡的訪問控制安全可以從以下幾個方面考慮。

口令。網絡安全系統的最外層防線就是網絡用戶的登錄，在注冊過程中，系統會檢查用戶的登錄名和口令的合法性，只有合法的用戶才可以進入系統。

網絡資源屬主、屬性和訪問權限。網絡資源主要包括共享文件、共享打印機、網絡通信設備等網絡用戶都有可以使用的資源。資源屬主體現了不同用戶對資源的從屬關系，如建立者、修改者和同組成員等。資源屬性表示了資源本身的存取特性，如可被誰讀、寫或執行等。訪問權限主要體現在用戶對網絡資源的可用程度上。利用指定網絡資源的屬主、屬性和訪問權限可以有效地在應用級控制網絡系統的安全性。

網絡安全監視。網絡監視通稱為“網管”，它的作用主要是對整個網絡的運行進行動態地監視并及時處理各種事件。通過網絡監視可以簡單明了地找出并解決網絡上的安全問題，如定位網絡故障點、捉住IP盜用者、控制網絡訪問范圍等。

審計和跟蹤。網絡的審計和跟蹤包括對網絡資源的使用、網絡故障、系統記帳等方面的記錄和分析。一般由兩部分組成：一是記錄事件，即將各類事件統統記錄到文件中;二是對記錄進行分析和統計，從而找出問題所在。

5.3數據傳輸安全

傳輸安全要求保護網絡上被傳輸的信息，以防止被動地和主動地侵犯。對數據傳輸安全可以采取如下措施：

加密與數字簽名。任何良好的安全系統必須包括加密！這已成為既定的事實。網絡上的加密可以分為三層：第一層為數據鏈路層加密，即將數據在線路傳輸前后分別對其進行加密和解密，這樣可以減少在傳輸線路上被竊取的危險;第二層是傳輸層的加密，使數據在網絡傳輸期間保持加密狀態;第三層是應用層上的加密，讓網絡應用程序對數據進行加密和解密。當然可以對這三層進行綜合加密，以增強信息的安全性和可靠性。

數字簽名是數據的接收者用來證實數據的發送者確實無誤的一種方法，它主要通過加密算法和證實協議而實現。

防火墻。防火墻（Firewall）是Internet上廣泛應用的一種安全措施，它可以設置在不同網絡或網絡安全域之間的一系列部件的組合。它能通過監測、限制、更改跨越防火墻的數據流，盡可能地檢測網絡內外信息、結構和運行狀況，以此來實現網絡的安全保護。

User Name/Password認證。該種認證方式是最常用的一種認證方式，用于操作系統登錄、telnet（遠程登錄）、rlogin（遠程登錄）等，但此種認證方式過程不加密，即password容易被監聽和解密。

使用摘要算法的認證。Radius（遠程撥號認證協議）、OSPF（開放路由協議）、SNMP Security Protocol等均使用共享的Security Key（密鑰），加上摘要算法（MD5）進行認證，但摘要算法是一個不可逆的過程，因此，在認證過程中，由摘要信息不能計算出共享的security key，所以敏感信息不能在網絡上傳輸。市場上主要采用的摘要算法主要有MD5和SHA-1。

基于PKI的認證。使用PKI（公開密鑰體系）進行認證和加密。該種方法安全程度較高，綜合采用了摘要算法、不對稱加密、對稱加密、數字簽名等技術，很好地將安全性和高效性結合起來。這種認證方法目前應用在電子郵件、應用服務器訪問、客戶認證、防火墻認證等領域。該種認證方法安全程度很高，但是涉及到比較繁重的證書管理任務。

虛擬專用網絡（VPN）技術。VPN技術主要提供在公網上的安全的雙向通訊，采用透明的加密方案以保證數據的完整性和保密性。

VPN技術的工作原理：VPN系統可使分布在不同地方的專用網絡在不可信任的公共網絡上實現安全通信，它采用復雜的算法來加密傳輸的信息，使得敏感的數據不會被竊聽。其處理過程大體是這樣：

① 要保護的主機發送明文信息到連接公共網絡的VPN設備;

② VPN設備根據網管設置的規則，確定是否需要對數據進行加密或讓數據直接通過。

③ 對需要加密的數據，VPN設備對整個數據包進行加密和附上數字簽名。

④ VPN設備加上新的數據報頭，其中包括目的地VPN設備需要的安全信息和一些初始化參數。

⑤ VPN設備對加密后的數據、鑒別包以及源IP地址、目標VPN設備的IP地址進行重新封裝，重新封裝后的數據包通過虛擬通道在公網上傳輸。

⑥ 當數據包到達目標VPN設備時，數據包被解封裝，數字簽名被核對無誤后，數據包被解密。

綜上所述，對于計算機網絡傳輸的安全問題，我們必須要做到以下幾點。第一，應嚴格限制上網用戶所訪問的系統信息和資源，這一功能可通過在訪問服務器上設置NetScreen防火墻來實現。第二，應加強對上網用戶的身份認證，使用RADIUS等專用身份驗證服務器。一方面，可以實現對上網用戶帳號的統一管理;另一方面，在身份驗證過程中采用加密的手段，避免用戶口令泄露的可能性。第三，在數據傳輸過程中采用加密技術，防止數據被非法竊取。一種方法是使用PGP for Business Security對數據加密。另一種方法是采用NetScreen防火墻所提供的VPN技術。VPN在提供網間數據加密的同時，也提供了針對單機用戶的加密客戶端軟件，即采用軟件加密的技術來保證數據傳輸的安全性。

計算機網絡安全管理是計算機網絡安全的重要環節，也是計算機網絡安全體系結構的基礎性組成部分。通過恰當的管理活動，規范組織的各項業務活動，使網絡有序地進行，是獲取安全的重要條件。

（作者單位：忻州市教育局）