一 引言

自本世紀(jì)初，隨著互聯(lián)網(wǎng)的快速普及和各種網(wǎng)絡(luò)應(yīng)用的不斷出現(xiàn)，網(wǎng)絡(luò)安全已成為國家安全的重要內(nèi)容，各種網(wǎng)絡(luò)安全事件不斷發(fā)生，網(wǎng)絡(luò)安全威脅從單一的病毒威脅逐漸發(fā)展為惡意軟件，勒索軟件，間諜軟件等新的趨勢(shì)，自然災(zāi)害、人員的誤操作等危害不斷加大，不僅會(huì)造成系統(tǒng)信息丟失甚至完全癱瘓，而且會(huì)給企業(yè)造成無法估量的損失。因此，企業(yè)必須有一套完整的安全管理措施，以確保整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)正常、高效、安全地運(yùn)行。本文就影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素和相應(yīng)的防范方法兩個(gè)方面做了論述。

二 網(wǎng)絡(luò)安全概念

網(wǎng)絡(luò)安全從本質(zhì)上講是網(wǎng)絡(luò)上的信息安全，就是指網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)，不受到偶然的或者惡意的破壞、泄露、更改，系統(tǒng)連續(xù)正常的工作，網(wǎng)絡(luò)服務(wù)不中斷。其主要目標(biāo)是保護(hù)以計(jì)算機(jī)為代表的各種信息資源免受損壞、替換、盜竊和丟失。

三 影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素

3.1 人為因素

①線路竊聽：指利用通信介質(zhì)的電磁泄露、搭線竊聽等手段非法獲取網(wǎng)絡(luò)信息；②破壞數(shù)據(jù)的完整性：指人為刪除、修改某些重要數(shù)據(jù)。③干擾系統(tǒng)正常運(yùn)行：指故意改變系統(tǒng)的正常運(yùn)行方式。如，減慢系統(tǒng)響應(yīng)時(shí)間，使系統(tǒng)無法得到正常響應(yīng)等；④病毒傳播：指通過網(wǎng)絡(luò)傳播病毒。計(jì)算機(jī)病毒的危害往往令人措手不及，也是企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)問題的主要原因；⑤非授權(quán)訪問：指未經(jīng)允許對(duì)網(wǎng)絡(luò)設(shè)備及信息資源使用或越權(quán)使用，或利用非法手段獲得合法用戶的使用權(quán)限，達(dá)到占用合法用戶資源的目的；⑥誤操作：網(wǎng)絡(luò)使用者或系統(tǒng)管理員不小心誤刪系統(tǒng)文件、數(shù)據(jù)文件、系統(tǒng)目錄等。

3.2 軟件漏洞

軟件漏洞包括以下幾個(gè)方面：數(shù)據(jù)庫、操作系統(tǒng)及應(yīng)用軟件、TCP/IP協(xié)議、網(wǎng)絡(luò)軟件和服務(wù)、密碼設(shè)置等的安全漏洞。這些漏洞一旦遭受電腦病毒攻擊，就會(huì)帶來災(zāi)難性的后果。

3.3 特洛伊木馬

提供了用戶所不希望的功能，而且這些額外的功能往往是有害的。通常這些程序包含在一段正常的程序中，借以隱藏自己。因?yàn)樵谔芈逡聊抉R程序中包含了一些用戶不知道的代碼，使得正常程序提供了未授權(quán)的功能，可以獲取根用戶口令、讀寫未授權(quán)文件、獲取目標(biāo)機(jī)器的所有控制權(quán)等。

四 網(wǎng)絡(luò)安全防范技術(shù)

4.1 認(rèn)證

網(wǎng)絡(luò)認(rèn)證技術(shù)是網(wǎng)絡(luò)安全技術(shù)的重要組成部分之一。認(rèn)證指的是證實(shí)被認(rèn)證對(duì)象是否屬實(shí)和是否有效的一個(gè)過程。其基本思想是通過驗(yàn)證收認(rèn)證對(duì)象的屬性來達(dá)到確認(rèn)被認(rèn)證對(duì)象是否真實(shí)有效的目的。被認(rèn)證對(duì)象的屬性可以是口令、數(shù)字簽名或者象指紋、聲音、視網(wǎng)膜這樣的生理特征。認(rèn)證常常被用于通信雙方相互確認(rèn)身份，以保證通信的安全。

4.2 數(shù)據(jù)加密

密碼技術(shù)通過加密算法將明文加密為密文進(jìn)行通信，密文即使被黑客截取也很難破譯，然后通過對(duì)應(yīng)解碼技術(shù)解碼密文還原明文。目前已經(jīng)有幾個(gè)國際通用的加密技術(shù)，在要求高安全性的網(wǎng)絡(luò)應(yīng)用中得到了普遍采用，例如電子商務(wù)、郵件傳輸?shù)确矫?。密碼算法可以看成是公式：C=F(M，Key)，C代表密文，即加密后得到的字符序列，M代表明文，即待加密的字符序列，Key表示密鑰，是秘密選定的一個(gè)字符序列。

4.3 防火墻技術(shù)

防火墻的主要作用是有選擇地允許外部用戶訪問防火墻后面的信息，防火墻一般安裝在信息系統(tǒng)或內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間。內(nèi)部用戶可以通過防火墻訪問外部網(wǎng)絡(luò)。除了能實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制外，一個(gè)配置合理、管理良好的防火墻還可以防止網(wǎng)絡(luò)入侵。防火墻的安全控制主要是基于IP地址的，難以為用戶在防火墻內(nèi)外提供一致的安全策略，而且防火墻只實(shí)現(xiàn)了粗粒度的訪問控制，也不能與企業(yè)內(nèi)部使用的其他安全機(jī)制集成使用；另外，防火墻難于管理和配置，由多個(gè)系統(tǒng)組成的防火墻，管理上難免有所疏忽。

4.4 掃描技術(shù)

①端口掃描技術(shù)：一種自動(dòng)探測本地或遠(yuǎn)程系統(tǒng)端口開放情況及策略的掃描技術(shù)，通過端口掃描可以獲取目標(biāo)系統(tǒng)的開放端口、運(yùn)行服務(wù)等信息。

②主機(jī)掃描技術(shù)：通過發(fā)送不同類型的ICMP或者TCP、UDP請(qǐng)求，從多方面檢測目標(biāo)主機(jī)是否存活的掃描技術(shù)。

③操作系統(tǒng)探測技術(shù)：用于探測目標(biāo)系統(tǒng)所采用的操作系統(tǒng)，它的方法主要有三類：利用系統(tǒng)旗標(biāo)信息、TCP/IP堆棧指紋、根據(jù)開放的端口。

4.5 安全監(jiān)測系統(tǒng)

如果一個(gè)主機(jī)的IP與MAC地址與注冊(cè)表中的記錄不相符合，系統(tǒng)認(rèn)為被探測主機(jī)屬非法接入，將會(huì)產(chǎn)生報(bào)警信號(hào)，并對(duì)該主機(jī)實(shí)施通信干擾。在開始進(jìn)行探測時(shí)，首先確定需要進(jìn)行探測的IP地址段，以該IP地址為目的地址發(fā)送一個(gè)探測報(bào)文。通過檢查是否接收到了回應(yīng)報(bào)文來判斷所探測的IP是否處于在線狀態(tài)。如果收到回應(yīng)報(bào)文，說明存在一個(gè)使用該IP的主機(jī)處于在線狀態(tài)，交回應(yīng)報(bào)文中的IP及MAC地址提出并與數(shù)據(jù)庫中合法主機(jī)的數(shù)據(jù)進(jìn)行對(duì)比，如果這些數(shù)據(jù)不匹配，則認(rèn)為該主機(jī)屬于非法接入。這樣就保證了網(wǎng)絡(luò)在線主機(jī)身份的合法并具有唯一性。

4.6 IP盜用問題的解決

4.6.1 綁定IP

根據(jù)接入互聯(lián)網(wǎng)的IP地址管理是通過IP地址分配和路由器的配置來實(shí)現(xiàn)的原理，可以通過設(shè)置路由器的靜態(tài)ARP表，解決IP地址和MAC地址的綁定，保證合法IP地址的惟一性。這是因?yàn)樵谝粋€(gè)網(wǎng)段內(nèi)的網(wǎng)絡(luò)尋址不是依靠IP而是物理地址。IP只是在網(wǎng)際之間尋址使用的。因此在網(wǎng)段的路由器上有IP和MAC的動(dòng)態(tài)對(duì)應(yīng)表，這是由ARP協(xié)議生成并維護(hù)的。配置路由器時(shí)，可以指定靜態(tài)的ARP表，路由器會(huì)根據(jù)靜態(tài)的ARP表檢查數(shù)據(jù)包，如果不能對(duì)應(yīng)，則不進(jìn)行處理。

4.6.2 利用端口定位阻斷IP地址盜用

交換機(jī)是局域網(wǎng)的主要網(wǎng)絡(luò)設(shè)備，它工作在數(shù)據(jù)鏈路層上，基于MAC地址來轉(zhuǎn)發(fā)和過濾數(shù)據(jù)包。因此，每個(gè)交換機(jī)均維護(hù)著一個(gè)與端口對(duì)應(yīng)的MAC地址表。任何與交換機(jī)直接相連或處于同一廣播域的主機(jī)的MAC地址均會(huì)被保存到交換機(jī)的MAC地址表中?？梢愿鶕?jù)該地址表定位IP盜用的非法操作。

4.6.3 防火墻與代理服務(wù)器

使用防火墻與代理服務(wù)器相結(jié)合，也能較好地解決IP地址盜用問題。防火墻用來隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，用戶訪問外部網(wǎng)絡(luò)通過代理服務(wù)器進(jìn)行。

4.7 網(wǎng)絡(luò)監(jiān)聽

該原理就是主機(jī)的網(wǎng)卡只接收發(fā)到該主機(jī)的數(shù)據(jù)包，并通過協(xié)議棧，將數(shù)據(jù)包攜帶的有效數(shù)據(jù)提供給應(yīng)用程序，其他的數(shù)據(jù)包網(wǎng)卡直接丟棄，不上傳給主機(jī)的協(xié)議棧。保證網(wǎng)絡(luò)安全性。

4.8 內(nèi)容檢測系統(tǒng)

檢測技術(shù)是一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部入侵、外部入侵和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截相應(yīng)入侵。許多電子信息可能附有有害內(nèi)容(如病毒等)，這些惡意程序可以通過FTP文件、SMTP電子郵件附件下載和Java Appiet等方式在網(wǎng)絡(luò)上傳播。內(nèi)容檢測工具可以在這些內(nèi)容造成危害之前檢測出有害內(nèi)容，還可以修復(fù)已經(jīng)遭到破壞的文件。內(nèi)容檢測除了可以在末端用戶工作站進(jìn)行外，還經(jīng)常作為防火墻的一部分。

4.9 VPN技術(shù)

私有網(wǎng)絡(luò)之間的通信內(nèi)容經(jīng)過兩臺(tái)計(jì)算機(jī)或設(shè)備打包通過公用網(wǎng)絡(luò)的專用通道進(jìn)行傳輸，然后在對(duì)端解包，還原成私有網(wǎng)絡(luò)的通信內(nèi)容轉(zhuǎn)發(fā)到私有網(wǎng)絡(luò)中。這樣對(duì)于兩個(gè)私有網(wǎng)絡(luò)來說公用網(wǎng)絡(luò)就像普通的通信電纜，而接在公用網(wǎng)絡(luò)上的兩臺(tái)計(jì)算機(jī)或設(shè)備則相當(dāng)于兩個(gè)特殊的線路接頭。由于VPN連接的特點(diǎn)，私有網(wǎng)絡(luò)的通信內(nèi)容會(huì)在公用網(wǎng)絡(luò)上傳輸，出于安全和效率的考慮通信內(nèi)容需要加密或壓縮。而通信過程的打包和解包工作則必須通過一個(gè)雙方協(xié)商好的協(xié)議進(jìn)行，這樣在兩個(gè)私有網(wǎng)絡(luò)之間建立VPN通道是需要一個(gè)專門的過程，依賴于一系列不同的協(xié)議。

總之，網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的工程，不能僅僅依靠防火墻等單個(gè)的系統(tǒng)，而需要仔細(xì)考慮系統(tǒng)的安全需求，并將各種安全技術(shù)，如密碼技術(shù)等結(jié)合在一起，才能生成一個(gè)高效，通用、安全的網(wǎng)絡(luò)系統(tǒng)。