摘要：隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用，如何保障網(wǎng)絡(luò)的安全已是迫在眉睫的問題。本文主要介紹了計(jì)算機(jī)網(wǎng)絡(luò)潛在的安全隱患，以及計(jì)算機(jī)網(wǎng)絡(luò)安全的常用技術(shù)。

關(guān)鍵詞：網(wǎng)絡(luò)安全；安全隱患；安全技術(shù)；加密

隨著科學(xué)技術(shù)的迅速發(fā)展，信息產(chǎn)業(yè)已經(jīng)成為人類社會(huì)的支柱產(chǎn)業(yè)，由此帶動(dòng)了計(jì)算機(jī)網(wǎng)絡(luò)的迅猛發(fā)展和普遍應(yīng)用。而網(wǎng)絡(luò)的安全問題也就日趨成為廣大網(wǎng)絡(luò)用戶普遍關(guān)心的問題，如何在發(fā)展和推廣網(wǎng)絡(luò)應(yīng)用的同時(shí)進(jìn)一步提高網(wǎng)絡(luò)的安全性，真正做到“既要使網(wǎng)絡(luò)開放又要使網(wǎng)絡(luò)安全”這一問題已成為了網(wǎng)絡(luò)界積極研究的課題。

計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容包括：計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等。其特征是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問題，實(shí)施網(wǎng)絡(luò)安全增強(qiáng)方案，以保證計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性為目標(biāo)。

一、 計(jì)算機(jī)網(wǎng)絡(luò)的潛在安全隱患

1. 未進(jìn)行操作系統(tǒng)相關(guān)安全配置

不論采用什么操作系統(tǒng)，在缺省安裝的條件下都會(huì)存在一些安全問題，只有專門針對(duì)操作系統(tǒng)安全性進(jìn)行相關(guān)的和嚴(yán)格的安全配置，才能達(dá)到一定的安全程度。千萬不要以為操作系統(tǒng)缺省安裝后，再配上很強(qiáng)的密碼系統(tǒng)就算作安全了。網(wǎng)絡(luò)軟件的漏洞和“后門”是進(jìn)行網(wǎng)絡(luò)攻擊的首選目標(biāo)。

2. 未進(jìn)行CGI程序代碼審計(jì)

如果是通用的CGI問題，防范起來還稍微容易一些，但是對(duì)于網(wǎng)站或軟件供應(yīng)商專門開發(fā)的一些CGI程序，很多存在嚴(yán)重的CGI問題，對(duì)于電子商務(wù)站點(diǎn)來說，會(huì)出現(xiàn)惡意攻擊者冒用他人賬號(hào)進(jìn)行網(wǎng)上購物等嚴(yán)重后果。

3. 拒絕服務(wù)攻擊

隨著電子商務(wù)的興起，對(duì)網(wǎng)站的實(shí)時(shí)性要求越來越高，DoS或DDoS對(duì)網(wǎng)站的威脅越來越大。以網(wǎng)絡(luò)癱瘓為目標(biāo)的襲擊效果比任何傳統(tǒng)的恐怖主義和戰(zhàn)爭方式都來得更強(qiáng)烈，破壞性更大，造成危害的速度更快，范圍也更廣，而襲擊者本身的風(fēng)險(xiǎn)卻非常小，甚至可以在襲擊開始前就已經(jīng)消失得無影無蹤，使對(duì)方?jīng)]有實(shí)行報(bào)復(fù)打擊的可能。

4. 安全產(chǎn)品使用不當(dāng)

雖然不少網(wǎng)站采用了一些網(wǎng)絡(luò)安全設(shè)備，但由于安全產(chǎn)品本身的問題或使用問題，這些產(chǎn)品并沒有起到應(yīng)有的作用。很多安全廠商的產(chǎn)品對(duì)配置人員的技術(shù)背景要求很高，超出對(duì)普通網(wǎng)管人員的技術(shù)要求，就算是廠家在最初給用戶做了正確的安裝、配置，但一旦系統(tǒng)改動(dòng)，需要改動(dòng)相關(guān)安全產(chǎn)品的設(shè)置時(shí)，很容易產(chǎn)生許多安全問題。

5. 缺少嚴(yán)格的網(wǎng)絡(luò)安全管理制度

網(wǎng)絡(luò)安全最重要的還是要思想上高度重視，網(wǎng)站或局域網(wǎng)內(nèi)部的安全需要用完備的安全制度來保障。建立和實(shí)施嚴(yán)密的計(jì)算機(jī)網(wǎng)絡(luò)安全制度與策略是真正實(shí)現(xiàn)網(wǎng)絡(luò)安全的基礎(chǔ)。

二、 計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)

一個(gè)全方位的計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)包含網(wǎng)絡(luò)的物理安全、訪問控制安全、系統(tǒng)安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進(jìn)的主機(jī)安全技術(shù)、身份認(rèn)證技術(shù)、訪問控制技術(shù)、密碼技術(shù)、防火墻技術(shù)、安全審計(jì)技術(shù)、安全管理技術(shù)、系統(tǒng)漏洞檢測(cè)技術(shù)、黑客跟蹤技術(shù)，在攻擊者和受保護(hù)的資源間建立多道嚴(yán)密的安全防線，極大地增加了惡意攻擊的難度，并增加了審核信息的數(shù)量，利用這些審核信息可以跟蹤入侵者。現(xiàn)今主要的網(wǎng)絡(luò)安全技術(shù)有以下幾種：

1. 加密路由器技術(shù)

加密路由器是把通過路由器的內(nèi)容進(jìn)行加密和壓縮，然后讓它們通過不安全的網(wǎng)絡(luò)進(jìn)行傳輸，并在目的端進(jìn)行解壓和解密。

2. 安全內(nèi)核技術(shù)

人們開始在操作系統(tǒng)的層次上考慮安全性，嘗試把系統(tǒng)內(nèi)核中可能引起安全性問題的部分從內(nèi)核中剔除出去，從而使系統(tǒng)更安全。

3. 網(wǎng)絡(luò)地址轉(zhuǎn)換器

網(wǎng)絡(luò)地址轉(zhuǎn)換器也稱為地址共享器或地址映射器，初衷是為了解決IP 地址不足，現(xiàn)多用于網(wǎng)絡(luò)安全。內(nèi)部主機(jī)向外部主機(jī)連接時(shí)，使用同一個(gè)IP地址；相反，外部主機(jī)要向內(nèi)部主機(jī)連接時(shí)，必須通過網(wǎng)關(guān)映射到內(nèi)部主機(jī)上。它使外部網(wǎng)絡(luò)看不到內(nèi)部網(wǎng)絡(luò)， 從而隱藏內(nèi)部網(wǎng)絡(luò)，達(dá)到保密作用。

4. 數(shù)據(jù)加密技術(shù)

所謂加密是指將一個(gè)信息經(jīng)過加密鑰匙及加密函數(shù)轉(zhuǎn)換，變成無意義的密文，而接收方則將此密文經(jīng)過解密函數(shù)、解密鑰匙還原成明文。加密技術(shù)是網(wǎng)絡(luò)安全技術(shù)的基石。數(shù)據(jù)加密技術(shù)要求只有在指定的用戶或網(wǎng)絡(luò)下，才能解除密碼而獲得原來的數(shù)據(jù)，這就需要給數(shù)據(jù)發(fā)送方和接受方以一些特殊的信息用于加解密，這就是所謂的密鑰。其密鑰的值是從大量的隨機(jī)數(shù)中選取的。按加密算法分為專用密鑰和公開密鑰兩種。專用密鑰，又稱為對(duì)稱密鑰或單密鑰，加密時(shí)使用同一個(gè)密鑰，即同一個(gè)算法。如DES和MIT的Kerberos算法。單密鑰是最簡單方式，通信雙方必須交換彼此密鑰，當(dāng)需給對(duì)方發(fā)信息時(shí)，用自己的加密密鑰進(jìn)行加密，而在接收方收到數(shù)據(jù)后，用對(duì)方所給的密鑰進(jìn)行解密。這種方式在與多方通信時(shí)因?yàn)樾枰４婧芏嗝荑€而變得很復(fù)雜，而且密鑰本身的安全就是一個(gè)問題。公開密鑰，又稱非對(duì)稱密鑰，加密時(shí)使用不同的密鑰，即不同的算法，有一把公用的加密密鑰，有多把解密密鑰，如RSA算法。

在計(jì)算機(jī)網(wǎng)絡(luò)中，加密可分為“通信加密”(即傳輸過程中的數(shù)據(jù)加密)和“文件加密”(即存儲(chǔ)數(shù)據(jù)加密)。通信加密又有節(jié)點(diǎn)加密、鏈路加密和端－端加密3種。①節(jié)點(diǎn)加密，從時(shí)間坐標(biāo)來講，它在信息被傳入實(shí)際通信連接點(diǎn)之前進(jìn)行；從OSI 7層參考模型的坐標(biāo)(邏輯空間)來講，它在第一層、第二層之間進(jìn)行；從實(shí)施對(duì)象來講，是對(duì)相鄰兩節(jié)點(diǎn)之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密，不過它僅對(duì)報(bào)文加密，而不對(duì)報(bào)頭加密，以便于傳輸路由的選擇。②鏈路加密，它在數(shù)據(jù)鏈路層進(jìn)行，是對(duì)相鄰節(jié)點(diǎn)之間的鏈路上所傳輸?shù)臄?shù)據(jù)進(jìn)行加密，不僅對(duì)數(shù)據(jù)加密還對(duì)報(bào)頭加密。③端－端加密，它在第六層或第七層進(jìn)行，是為用戶之間傳送數(shù)據(jù)而提供的連續(xù)的保護(hù)。在始發(fā)節(jié)點(diǎn)上實(shí)施加密，在中介節(jié)點(diǎn)以密文形式傳輸，最后到達(dá)目的節(jié)點(diǎn)時(shí)才進(jìn)行解密，這對(duì)防止拷貝網(wǎng)絡(luò)軟件和軟件泄漏也很有效。

值得注意的是，能否切實(shí)有效地發(fā)揮加密機(jī)制的作用，關(guān)鍵的問題在于密鑰的管理，包括密鑰的生存、分發(fā)、安裝、保管、使用以及作廢全過程。

5. 數(shù)字簽名技術(shù)

公開密鑰的加密機(jī)制雖提供了良好的保密性，但難以鑒別發(fā)送者， 即任何得到公開密鑰的人都可以生成和發(fā)送報(bào)文。數(shù)字簽名機(jī)制提供了一種鑒別方法，以解決偽造、抵賴、冒充和篡改等問題。數(shù)字簽名一般采用不對(duì)稱加密技術(shù)(如RSA)，通過對(duì)整個(gè)明文進(jìn)行某種變換，得到一個(gè)值，作為核實(shí)簽名。接收者使用發(fā)送者的公開密鑰對(duì)簽名進(jìn)行解密運(yùn)算，如其結(jié)果為明文，則簽名有效，證明對(duì)方的身份是真實(shí)的。當(dāng)然，簽名也可以采用多種方式，例如，將簽名附在明文之后。數(shù)字簽名普遍用于銀行、電子貿(mào)易等。數(shù)字簽名不同于手寫簽字:數(shù)字簽名隨文本的變化而變化，手寫簽字反映某個(gè)人個(gè)性特征， 是不變的;數(shù)字簽名與文本信息是不可分割的，而手寫簽字是附加在文本之后的，與文本信息是分離的。

6. Kerberos系統(tǒng)

Kerberos系統(tǒng)是美國麻省理工學(xué)院為Athena工程而設(shè)計(jì)的，為分布式計(jì)算環(huán)境提供一種對(duì)用戶雙方進(jìn)行驗(yàn)證的認(rèn)證方法。它的安全機(jī)制在于首先對(duì)發(fā)出請(qǐng)求的用戶進(jìn)行身份驗(yàn)證，確認(rèn)其是不是合法的用戶；如是合法的用戶，再審核該用戶是否有權(quán)對(duì)他所請(qǐng)求的服務(wù)或主機(jī)進(jìn)行訪問。從加密算法上來講，其驗(yàn)證是建立在對(duì)稱加密的基礎(chǔ)上的。Kerberos系統(tǒng)在分布式計(jì)算環(huán)境中得到了廣泛的應(yīng)用(如在Notes 中)，這是因?yàn)樗哂腥缦碌奶攸c(diǎn):①安全性高，Kerberos系統(tǒng)對(duì)用戶的口令進(jìn)行加密后作為用戶的私鑰，從而避免了用戶的口令在網(wǎng)絡(luò)上顯示傳輸，使得竊聽者難以在網(wǎng)絡(luò)上取得相應(yīng)的口令信息。②透明性高，用戶在使用過程中，僅在登錄時(shí)要求輸入口令，與平常的操作完全一樣，Ker beros的存在對(duì)于合法用戶來說是透明的。③可擴(kuò)展性好，Kerberos為每一個(gè)服務(wù)提供認(rèn)證，確保應(yīng)用的安全。Kerberos系統(tǒng)和看電影的過程有些相似，不同的是只有事先在Ker beros系統(tǒng)中登錄的客戶才可以申請(qǐng)服務(wù)，并且Kerberos要求申請(qǐng)到入場(chǎng)券的客戶就是到TGS(入場(chǎng)券分配服務(wù)器)去要求得到最終服務(wù)的客戶。

7. 身份驗(yàn)證技術(shù)

身份識(shí)別是指定用戶向系統(tǒng)出示自己的身份證明過程。身份認(rèn)證是系統(tǒng)查核用戶的身份證明的過程。人們常把這兩項(xiàng)工作統(tǒng)稱為身份驗(yàn)證(或身份鑒別)，是判明和確認(rèn)通信雙方真實(shí)身份的兩個(gè)重要環(huán)節(jié)。

8. 網(wǎng)絡(luò)反病毒技術(shù)

由于在網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒具有不可估量的威脅性和破壞力， 因此計(jì)算機(jī)病毒的防范也是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)。網(wǎng)絡(luò)反病毒技術(shù)也得到了相應(yīng)的發(fā)展。網(wǎng)絡(luò)反病毒技術(shù)包括預(yù)防病毒、檢測(cè)病毒和消毒等3種技術(shù)。(1) 預(yù)防病毒技術(shù)，它通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進(jìn)而阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對(duì)系統(tǒng)進(jìn)行破壞。這類技術(shù)是:加密可執(zhí)行程序、引導(dǎo)區(qū)保護(hù)、系統(tǒng)監(jiān)控與讀寫控制(如防病毒卡)等。(2)檢測(cè)病毒技術(shù)，它是通過對(duì)計(jì)算機(jī)病毒的特征來進(jìn)行判斷的技術(shù)，如自身校驗(yàn)、關(guān)鍵字、文件長度的變化等。(3)消毒技術(shù)，它通過對(duì)計(jì)算機(jī)病毒的分析，開發(fā)出具有刪除病毒程序并恢復(fù)原文件的軟件。網(wǎng)絡(luò)反病毒技術(shù)的實(shí)施對(duì)象包括文件型病毒、引導(dǎo)型病毒和網(wǎng)絡(luò)病毒。網(wǎng)絡(luò)反病毒技術(shù)的具體實(shí)現(xiàn)方法包括對(duì)網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁地掃描和監(jiān)測(cè);在工作站上采用防病毒芯片和對(duì)網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。

隨著網(wǎng)上應(yīng)用不斷發(fā)展，網(wǎng)絡(luò)技術(shù)不斷應(yīng)用，網(wǎng)絡(luò)不安全因素將會(huì)不斷產(chǎn)生，但網(wǎng)絡(luò)安全技術(shù)也會(huì)迅速發(fā)展，新的安全技術(shù)將會(huì)層出不窮，最終Internet網(wǎng)上的安全問題將不會(huì)阻擋我們前進(jìn)的步伐！