摘要：近年來，網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和 Internet在全世界范圍的普及，使得網(wǎng)絡(luò)安全問題變得越來越重要。在對(duì)網(wǎng)絡(luò)信息系統(tǒng)的安全性問題進(jìn)行詳細(xì)分析的基礎(chǔ)上，針對(duì)信息系統(tǒng)安全目標(biāo)，提出了網(wǎng)絡(luò)安全問題的解決方案。

關(guān)鍵詞：信息安全；網(wǎng)絡(luò)攻擊；防火墻

中圖分類號(hào)：TP311文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044(2008)06-10000-00

Informational Security Technology of Network

LI Xing-jun

Abstract: With the rapid development of net technology and the worldwide spread of Internet， the problem of net safety becomes increasingly important. The essay analyzes the safety problem of net information system and suggests possible solutions.

Key words: information safety; assault on net; firewall

1．網(wǎng)絡(luò)信息安全的特征及分類

1.1網(wǎng)絡(luò)信息安全的特征

網(wǎng)絡(luò)信息系統(tǒng)是一個(gè)服務(wù)開放、信息共享的系統(tǒng)，因而網(wǎng)絡(luò)信息安全具有如下特征：(1) 安全的不確定性和動(dòng)態(tài)性網(wǎng)絡(luò)要受到來自內(nèi)、外網(wǎng)不同身份、不同應(yīng)用需求的用戶訪問使用，其網(wǎng)絡(luò)安全受到多方面因素的制約和影響。(2) 綜合性網(wǎng)絡(luò)信息安全并非是個(gè)單純的技術(shù)層面的問題，它還涉及到內(nèi)部管理、外部環(huán)境、用戶水平等各個(gè)方面，必然把每個(gè)環(huán)節(jié)緊密聯(lián)系起來，統(tǒng)籌考慮。(3) 不易管理性網(wǎng)絡(luò)信息安全相對(duì)于“用戶至上”而言是相互矛盾的。因此，網(wǎng)絡(luò)信息安全與用戶之間需要一個(gè)平衡，通過不同技術(shù)的控制手段和管理相互結(jié)合來實(shí)現(xiàn)最佳效果。

1.2網(wǎng)絡(luò)層的信息安全管理

網(wǎng)絡(luò)信息安全管理是為了實(shí)現(xiàn)信息的保密性、完整性、可用性、可控性和信息行為的不可否認(rèn)性而對(duì)信息進(jìn)行的檢測(cè)、抑制、恢復(fù)以及安全管理工作。安全管理功能的實(shí)現(xiàn)， 在系統(tǒng)的不同層次上，方式和程度都有所不同。

網(wǎng)絡(luò)層的信息安全管理包括作為安全管理基礎(chǔ)的系統(tǒng)。安全管理和在此基礎(chǔ)之上的網(wǎng)絡(luò)信息安全管理。一是系統(tǒng)安全管理。包括硬件系統(tǒng)和軟件系統(tǒng)兩方面。硬件系統(tǒng)本身的安全也稱為物理安全， 由于電子對(duì)抗技術(shù)的廣泛應(yīng)用， 防電磁輻射、電子干擾和固化軟件的安全成為硬件系統(tǒng)安全管理的重要方面[1]。對(duì)于安全等級(jí)要求比較高的系統(tǒng)， 安全功能由硬件實(shí)現(xiàn)不但是必須的， 而且是非常有效的， ROM技術(shù)和專用芯片技術(shù)將成為網(wǎng)絡(luò)信息安全的核心技術(shù)之一。由于應(yīng)用軟件的不可見性、易修改性和自身存在的缺陷， 軟件系統(tǒng)特別容易受到攻擊， 其安全管理成為網(wǎng)絡(luò)信息安全管理的重點(diǎn)。防黑客技術(shù)、防病毒技術(shù)、軟件恢復(fù)技術(shù)以及安全操作系統(tǒng)的實(shí)現(xiàn)和應(yīng)用是軟件系統(tǒng)安全管理的重點(diǎn); 二是網(wǎng)絡(luò)安全管理。網(wǎng)絡(luò)安全管理是針對(duì)網(wǎng)絡(luò)協(xié)議、結(jié)構(gòu)及其所導(dǎo)致的安全問題而采取的安全措施。它包括網(wǎng)絡(luò)安全報(bào)警、入侵恢復(fù)、數(shù)據(jù)保護(hù)、密鑰管理、內(nèi)部認(rèn)證等方面的管理。該層管理的關(guān)鍵在于路由器等的出入口設(shè)備， 其核心技術(shù)在于發(fā)展安全的嵌入式操作系統(tǒng)。

1.3 應(yīng)用層的信息安全管理。

主要有信息層安全管理和社會(huì)層安全管理兩種。信息層安全管理指的是防冒充、防泄漏、防抵賴、防篡改等與網(wǎng)絡(luò)無關(guān)的信息安全管理， 其中加密技術(shù)是其管理核心。特洛依木馬和無缺陷攻擊是影響網(wǎng)絡(luò)安全的兩大難題， 而數(shù)字簽名和加密技術(shù)是防范以上兩問題的有效手段[2]。社會(huì)層安全管理是指信息安全的最高層， 也是信息安全的目的。社會(huì)信息安全管理包括對(duì)政治、文化、金融、商務(wù)及國(guó)防等各個(gè)社會(huì)形態(tài)的安全管理， 其中法律的和行政的管理是重要方面。

2 網(wǎng)絡(luò)信息安全的現(xiàn)狀

2.1 計(jì)算機(jī)犯罪案件逐年遞增

計(jì)算機(jī)犯罪對(duì)全球造成了前所未有的新威脅，犯罪學(xué)家預(yù)言未來信息化社會(huì)犯罪的形式將主要是計(jì)算機(jī)網(wǎng)絡(luò)犯罪。計(jì)算機(jī)犯罪的犯罪主體大多是掌握了計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的專業(yè)人士，甚至一些原為計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)專家的職業(yè)人員也鋌而走險(xiǎn)，其犯罪所采用的手段則更趨專業(yè)化。他們洞悉網(wǎng)絡(luò)的缺陷與漏洞，運(yùn)用豐富的電腦及網(wǎng)絡(luò)技術(shù)，借助四通八達(dá)的網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)及各種電子數(shù)據(jù)、資料等信息發(fā)動(dòng)進(jìn)攻，進(jìn)行破壞。

2.2 計(jì)算機(jī)病毒危害突出

計(jì)算機(jī)病毒是一種人為編制的程序，能在計(jì)算機(jī)系統(tǒng)運(yùn)行的過程中自身精確地拷貝或有修改地拷貝到其他程序體內(nèi)，給計(jì)算機(jī)系統(tǒng)帶來某種故障或使其完全癱瘓，它具有傳染性、隱蔽性、激發(fā)性、復(fù)制性、破壞性等特點(diǎn)。隨著互聯(lián)網(wǎng)的發(fā)展，計(jì)算機(jī)病毒的種類急劇增加，擴(kuò)散速度大大加快，受感染的范圍也越來越廣。據(jù)粗略統(tǒng)計(jì)，全世界已發(fā)現(xiàn)的計(jì)算機(jī)病毒的種類有上萬種，并且正以平均每月300-500 的速度瘋狂增長(zhǎng)。計(jì)算機(jī)病毒不僅通過軟盤、硬盤傳播，還可經(jīng)電子郵件、下載文件、文件服務(wù)器、瀏覽網(wǎng)頁(yè)等方式傳播。近年來先后爆發(fā)的CIH 病毒、愛蟲病毒、求職信病毒、尼姆達(dá)病毒等對(duì)網(wǎng)絡(luò)造成的危害極大，許多網(wǎng)絡(luò)系統(tǒng)遭病毒感染，服務(wù)器癱瘓，使網(wǎng)絡(luò)信息服務(wù)無法開展，甚至于丟失了許多數(shù)據(jù)，造成了極大的損失。

2.3 黑客攻擊手段多樣

網(wǎng)絡(luò)空間是一個(gè)無疆界的、開放的領(lǐng)域，無論在什么時(shí)間，跨部門、跨地區(qū)、跨國(guó)界的網(wǎng)上攻擊都可能發(fā)生。目前世界上有20 多萬個(gè)黑客網(wǎng)站，其攻擊方法達(dá)幾千種之多，每當(dāng)一種新的攻擊手段產(chǎn)生，便能在一周內(nèi)傳遍世界，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成各種破壞。在國(guó)內(nèi)經(jīng)濟(jì)、金融領(lǐng)域，黑客通過竊取網(wǎng)絡(luò)系統(tǒng)的口令和密碼，非法進(jìn)入網(wǎng)絡(luò)金融系統(tǒng)，篡改數(shù)據(jù)、盜用資金，嚴(yán)重破壞了正常的金融秩序。在國(guó)家安全領(lǐng)域內(nèi)，黑客利用計(jì)算機(jī)控制國(guó)家機(jī)密的軍事指揮系統(tǒng)成為可能。

3 計(jì)算機(jī)網(wǎng)絡(luò)存在的安全問題

導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)信息安全受到威脅的根本原因在于網(wǎng)絡(luò)存在安全問題，歸納為以下幾點(diǎn)：

3.1 固有的安全漏洞

現(xiàn)在，新的操作系統(tǒng)或應(yīng)用軟件剛一上市，漏洞就已被找出。沒有任何一個(gè)系統(tǒng)可以排除漏洞的存在，想要修補(bǔ)所有的漏洞簡(jiǎn)直比登天還難。從CERT（CarnegieMellon 大學(xué)計(jì)算機(jī)緊急事件響應(yīng)隊(duì)）那里，可以找到相當(dāng)全面的程序錯(cuò)誤列表[3]。另一個(gè)消息的來源就是諸如BugNet 或NTBug traq 一類的新聞組。

(1) 緩沖區(qū)溢出。這是攻擊中最容易被利用的系統(tǒng)漏洞。很多系統(tǒng)在不檢查程序與緩沖區(qū)間的變化的情況下，就接收任何長(zhǎng)度的數(shù)據(jù)輸入，把溢出部分放在堆棧內(nèi)，系統(tǒng)還照常執(zhí)行命令。這樣破壞者便有機(jī)可乘。他只要發(fā)送超出緩沖區(qū)所能處理的長(zhǎng)度的指令，系統(tǒng)便進(jìn)入不穩(wěn)定狀態(tài)。假如破壞者特別配置一串他準(zhǔn)備用作攻擊的字符，他甚至可以訪問系統(tǒng)根目錄。

(2) 拒絕服務(wù)。拒絕服務(wù) (Denial of Service ，DoS) 攻擊的原理是攪亂TCP/IP連接的次序。典型的DoS攻擊會(huì)耗盡或是損壞一個(gè)或多個(gè)系統(tǒng)的資源（CPU 周期、內(nèi)存和磁盤空間），直至系統(tǒng)無法處理合法的程序。這類攻擊的例子是Synflood攻擊。發(fā)動(dòng)Synflood攻擊的破壞者發(fā)送大量的不合法請(qǐng)求要求連接，目的是使系統(tǒng)不勝負(fù)荷。其結(jié)果是系統(tǒng)拒絕所有合法的請(qǐng)求，直至等待回答的請(qǐng)求超時(shí)。

3.2 合法工具的濫用

大部分系統(tǒng)都配備了用以改進(jìn)系統(tǒng)管理及服務(wù)質(zhì)量的工具軟件，但遺憾的是，這些工具同時(shí)也會(huì)被破壞者利用去收集非法信息及加強(qiáng)攻擊力度：例如：NBTSTAT命令是用來給系統(tǒng)管理員提供遠(yuǎn)程節(jié)點(diǎn)的信息的。但是破壞者也用這一命令收集對(duì)系統(tǒng)有威脅性的信息，例如區(qū)域控制軟件的身份信息、NetBIOS的名字、IIS名甚至是用戶名。這些信息足以被黑客用來破譯口令。

3.3 不正確的系統(tǒng)維護(hù)措施

系統(tǒng)固有的漏洞及一大堆隨處可見的破壞工具大大方便了黑客的攻擊，但無效的安全管理也是造成安全隱患的一個(gè)重要因素。當(dāng)發(fā)現(xiàn)新的漏洞時(shí)，管理人員應(yīng)仔細(xì)分析危險(xiǎn)程度，并馬上采取補(bǔ)救措施。有時(shí)候，雖然我們已經(jīng)對(duì)系統(tǒng)進(jìn)行了維護(hù)，對(duì)軟件進(jìn)行了更新或升級(jí)，但由于路由器及防火墻的過濾規(guī)則過于復(fù)雜，系統(tǒng)又可能會(huì)出現(xiàn)新的漏洞。所以，及時(shí)、有效地改變管理可以大大降低系統(tǒng)所承受的風(fēng)險(xiǎn)。

4 網(wǎng)絡(luò)信息系統(tǒng)的安全防御

4.1 防火墻技術(shù)

根據(jù)CNCERT/ CC 調(diào)查顯示，在各類網(wǎng)絡(luò)安全技術(shù)使用中，防火墻的使用率最高達(dá)到76.5%。防火墻的使用比例較高主要是因?yàn)樗鼉r(jià)格比較便宜，易安裝，并可在線升級(jí)等特點(diǎn)。防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。它通過監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。

4.2 認(rèn)證技術(shù)

認(rèn)證是防止主動(dòng)攻擊的重要技術(shù)，它對(duì)開放環(huán)境中的各種消息系統(tǒng)的安全有重要作用，認(rèn)證的主要目的有兩個(gè):①驗(yàn)證信息的發(fā)送者是真正的： ②驗(yàn)證信息的完整性，保證信息在傳送過程中未被竄改、重放或延遲等。目前有關(guān)認(rèn)證的主要技術(shù)有:消息認(rèn)證，身份認(rèn)證和數(shù)字簽名。消息認(rèn)證和身份認(rèn)證解決了通信雙方利害一致條件下防止第三者偽裝和破壞的問題。數(shù)字簽名能夠防止他人冒名進(jìn)行信息發(fā)送和接收，以及防止本人事后否認(rèn)已進(jìn)行過的發(fā)送和接收活動(dòng)，數(shù)字簽名使用的是公鑰密碼技術(shù)RSA 非對(duì)稱加密法，安全性很高。

4.3 信息加密技術(shù)

加密是實(shí)現(xiàn)信息存儲(chǔ)和傳輸保密性的一種重要手段。信息加密的方法有對(duì)稱密鑰加密和非對(duì)稱密鑰加密，兩種方法各有所長(zhǎng)，可以結(jié)合使用，互補(bǔ)長(zhǎng)短。對(duì)稱密鑰加密，加密解密速度快、算法易實(shí)現(xiàn)、安全性好，缺點(diǎn)是密鑰長(zhǎng)度短、密碼空間小、“窮舉”方式進(jìn)攻的代價(jià)小。非對(duì)稱密鑰加密，容易實(shí)現(xiàn)密鑰管理，便于數(shù)字簽名，缺點(diǎn)是算法較復(fù)雜，加密解密花費(fèi)時(shí)間長(zhǎng)。加密技術(shù)中的另一重要的問題是密鑰管理，主要考慮密鑰設(shè)置協(xié)議、密鑰分配、密鑰保護(hù)、密鑰產(chǎn)生及進(jìn)入等方面的問題。

5 結(jié)語(yǔ)

總之，計(jì)算機(jī)網(wǎng)絡(luò)信息的發(fā)展極大的促進(jìn)了經(jīng)濟(jì)和社會(huì)的發(fā)展，然而在網(wǎng)絡(luò)中總有一些不安全的因素存在， 對(duì)于已經(jīng)網(wǎng)絡(luò)化的社會(huì)和企業(yè)而言， 正常的網(wǎng)絡(luò)運(yùn)行和信息服務(wù)是極為重要的， 因此深入做好計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理工作的研究必將推動(dòng)網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。

參考文獻(xiàn)：

[1]曾明.網(wǎng)絡(luò)技術(shù)[M] .北京: 電子工業(yè)出版社.

[2]王銘.網(wǎng)絡(luò)與安全[M] .北京: 電子工業(yè)出版社.

[3]熊萬安，龔耀寰. 網(wǎng)絡(luò)時(shí)代的信息安全[J]. 電子科技大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)，2000，(03) .

收稿日期：2008-01-12

作者簡(jiǎn)介：李興軍（1974-），男，湖北荊門人，孝感學(xué)院計(jì)算機(jī)科學(xué)系實(shí)驗(yàn)師，武漢大學(xué)計(jì)算機(jī)工程碩士，主要研究方向：計(jì)算機(jī)網(wǎng)絡(luò)及信息安全。