顧學(xué)回 邵 鵬

摘要:計算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,科研人員越來越多地依賴計算機(jī)網(wǎng)絡(luò),但網(wǎng)絡(luò)的開放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性,給科研院所工作帶來了極大的威脅。本文就網(wǎng)絡(luò)安全防護(hù)的重要性,探討科研院所在網(wǎng)絡(luò)安全問題中存在的問題,以及其網(wǎng)絡(luò)環(huán)境容易受到的安全威脅,提出網(wǎng)絡(luò)安全防護(hù)的基本方法和技術(shù)手段。

關(guān)鍵詞:網(wǎng)絡(luò)安全;安全防護(hù);計算機(jī)網(wǎng)絡(luò)

1概述

隨著計算機(jī)網(wǎng)絡(luò)的不斷普及應(yīng)用,信息技術(shù)正在以驚人的速度滲透到科學(xué)研究的各個領(lǐng)域,目前科研院所在計算機(jī)領(lǐng)域的主要應(yīng)用包括:科技文獻(xiàn)的檢索、科研信息查詢及信息交流、傳遞等。其中包括部分保密性的科研項目。

科研人員越來越多的依賴于計算機(jī)網(wǎng)絡(luò)環(huán)境開展科研工作,但是,在這種開放式的網(wǎng)絡(luò)背后,卻有著巨大的網(wǎng)絡(luò)危機(jī)。各種攻擊入侵手段相繼出現(xiàn),網(wǎng)絡(luò)攻擊,會使網(wǎng)絡(luò)上成千上萬的計算機(jī)處于癱瘓狀態(tài);網(wǎng)絡(luò)入侵一旦成功,則能竊取用戶機(jī)器中各種信息,均會給科研工作造成巨大的損失,所以網(wǎng)絡(luò)安全防護(hù)對于科研院所用戶而言尤為重要。

2科研院所網(wǎng)絡(luò)系統(tǒng)的安全威脅

科研院所的網(wǎng)絡(luò)環(huán)境多為教育網(wǎng)環(huán)境,同一般的公網(wǎng)環(huán)境不同,由于科研工作需要,一般擁有較多類型的網(wǎng)絡(luò)環(huán)境,它們所面臨的網(wǎng)絡(luò)安全威脅主要體現(xiàn)在以下幾個方面:

2.1網(wǎng)絡(luò)入侵

指具有熟練編寫和調(diào)試計算機(jī)程序的人并使用這些技巧來獲得非法或未授權(quán)的網(wǎng)絡(luò)或文件訪問,入侵進(jìn)入他方內(nèi)部網(wǎng)的行為。網(wǎng)絡(luò)入侵的目的主要是取得使用系統(tǒng)的存儲權(quán)限、寫權(quán)限以及訪問其他存儲內(nèi)客的權(quán)限,或者是作為進(jìn)一步進(jìn)入其他系統(tǒng)的跳板,或者惡意破壞這個系統(tǒng),使其毀壞而喪失服務(wù)能力。

2.2后門程序

從最早計算機(jī)被入侵開始.黑客們就已經(jīng)發(fā)展了“后門”這門技術(shù),利用這門技術(shù),他們可以再次進(jìn)入系統(tǒng)。后門的功能主要有:使管理員無法阻止種植者再次進(jìn)入系統(tǒng);使種植者在系統(tǒng)中不易被發(fā)現(xiàn),使種植者進(jìn)入系統(tǒng)花費(fèi)最少時間。

2.3計算機(jī)病毒

計算機(jī)病毒指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者破壞數(shù)據(jù),影響計算機(jī)使用并且能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼。伴隨著計算機(jī)技術(shù)的推廣普及,計算機(jī)病毒也在不斷地發(fā)展演變,其危害越來越大。目前計算機(jī)病毒的特點(diǎn)是流行廣泛、種類繁多、潛伏期長、破壞力大。對計算機(jī)信息系統(tǒng)的安全構(gòu)成了長期與現(xiàn)實的威脅。

2.4軟件系統(tǒng)自身漏洞

一般操作系統(tǒng)的體系結(jié)構(gòu)其本身是不安全的,這也是計算機(jī)系統(tǒng)不安全的根本原因之一。操作系統(tǒng)的程序是可以動態(tài)連接的,包括I/O的驅(qū)動程序與系統(tǒng)服務(wù),都可以用打“補(bǔ)丁”的方式進(jìn)行動態(tài)連接。 許多UNIX或Windows操作系統(tǒng)的版本的升級、開發(fā)都是采用打“補(bǔ)丁”的方式進(jìn)行的。這種方法既然廠商可以使用,那么“黑客”也可以使用,同時這種動態(tài)連接也為計算機(jī)病毒的產(chǎn)生提供了一個好環(huán)境。各類軟件系統(tǒng)也存在的一些缺陷或漏洞,有些是疏忽造成的,有些則是軟件公司為了自便而設(shè)置的,這些漏洞或“后門”一般不為人所知,但這給病毒、黑客入侵提供了可能。

2.5系統(tǒng)管理漏洞

各類計算機(jī)及軟件系統(tǒng)在使用時,由于各種人為因素往往容易造成漏洞,給入侵者以可乘之機(jī)。比如,人們在日常使用計算機(jī)時對安全防護(hù)的疏忽,特別是對口令的不重視,很容易產(chǎn)生弱口令,很多人用諸如自己的生日、姓名、單位名稱等作為口令,為黑客破解密碼提供了機(jī)會。在內(nèi)網(wǎng)中,黑客的口令破解程序更易奏效。

3網(wǎng)絡(luò)安全的主要防護(hù)措施

計算機(jī)網(wǎng)絡(luò)安全從技術(shù)上來說,主要由防病毒、防火墻、安全衛(wèi)士、入侵檢測等多個安全組件組成,而一個單獨(dú)的組件無法確保網(wǎng)絡(luò)信息的安全性。目前廣泛運(yùn)用和比較成熟的網(wǎng)絡(luò)安全技術(shù)主要有:防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、入侵檢測技術(shù)、防病毒技術(shù)等。

3.1防火墻技術(shù)

“防火墻”(Firewal1)安全保障技術(shù)是由軟件,硬件構(gòu)成的系統(tǒng),用來在兩個網(wǎng)絡(luò)之間實施接入控制策略。我們將防火墻內(nèi)的網(wǎng)絡(luò)稱“可信賴的網(wǎng)絡(luò)”。 從網(wǎng)絡(luò)發(fā)往計算機(jī)的所有數(shù)據(jù)都要經(jīng)過防火墻的判斷處理后,才能決定是否把這些數(shù)據(jù)交給計算機(jī),如果發(fā)現(xiàn)有害數(shù)據(jù),防火墻就會攔截下來,實現(xiàn)對計算機(jī)的保護(hù)功能防火墻阻止某種類型的信息從外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)的同時,也允許另一種類型的信息從內(nèi)部網(wǎng)絡(luò)進(jìn)入到外部網(wǎng)絡(luò),也就是說防火墻能夠(允許、阻止)出入網(wǎng)絡(luò)的信息流,它能夠有效的監(jiān)控可信賴的內(nèi)部網(wǎng)絡(luò)和不可信賴的外部網(wǎng)絡(luò)之間的任何活動,從而保證了內(nèi)部可信賴網(wǎng)絡(luò)的安全性。

3.2訪問控制技術(shù)

訪問控制是計算機(jī)信息系統(tǒng)安全的關(guān)鍵技術(shù),對網(wǎng)絡(luò)用戶的用戶名和口令進(jìn)行驗證是防止非法訪問的第一道防線。用戶的口令是用戶登陸計算機(jī)的關(guān)鍵所在。為保證口令的安全性,用戶口令不能顯示在顯示屏上,使用設(shè)定更為復(fù)雜的口令,它確定了每個用戶的權(quán)力限制條件。

3.3數(shù)據(jù)加密技術(shù)

從密碼體制方面而言,加密技術(shù)可分為對稱密鑰密碼體制和非對稱密鑰密碼體制,對稱密鑰密碼技術(shù)要求加密、解密雙方擁有相同的密鑰,由于加密和解密使用同樣的密鑰,所以加密方和解密方需要進(jìn)行會話密鑰的密鑰交換。非對稱密鑰密碼技術(shù)的應(yīng)用比較廣泛,可以進(jìn)行數(shù)據(jù)加密、身份鑒別、訪問控制、數(shù)字簽名、數(shù)據(jù)完整性驗證、版權(quán)保護(hù)等。

3.4防病毒技術(shù)

隨著計算機(jī)技術(shù)的不斷發(fā)展,計算機(jī)病毒變得越來越復(fù)雜和高級,對計算機(jī)信息系統(tǒng)構(gòu)成極大的威脅。在病毒防范中普遍使用的防病毒軟件,從功能上可以分為網(wǎng)絡(luò)防病毒軟件和單機(jī)防病毒軟件兩大類。單機(jī)防病毒軟件一般安裝在單臺計算機(jī)上,即對本地和本地工作站連接的遠(yuǎn)程資源采用分析掃描的方式檢測、清除病毒。網(wǎng)絡(luò)防病毒軟件則主要注重網(wǎng)絡(luò)防病毒,一旦病毒入侵網(wǎng)絡(luò)或者從網(wǎng)絡(luò)向其它資源傳染,網(wǎng)絡(luò)防病毒軟件會立刻檢測到并加以刪除。

3.5入侵檢測技術(shù)

入侵檢測系統(tǒng)被認(rèn)為是防火墻之后的第二道安全閘門,它能使在入侵攻擊對系統(tǒng)發(fā)生危害前,檢測到入侵攻擊,并利用報警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊;在入侵攻擊過程中,能減少入侵攻擊所造成的損失;在被入侵攻擊后,收集入侵攻擊的相關(guān)信息,作為防范系統(tǒng)的知識,添加策略集中,增強(qiáng)系統(tǒng)的防范能力,避免系統(tǒng)再次受到同類型的入侵。入侵檢測的作用包括威懾、檢測、響應(yīng)、損失情況評估、攻擊預(yù)測和起訴支持。

入侵檢測技術(shù)是為保證計算機(jī)系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù),是一種用于檢測計算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。

3.6物理保護(hù)

電纜、終端、路由器和其他系統(tǒng)硬件容易受到物理危害(例如通過搭線到網(wǎng)絡(luò)電纜上)。為防止這些問題,應(yīng)當(dāng)規(guī)劃網(wǎng)絡(luò)的物理安裝,網(wǎng)絡(luò)服務(wù)器、路由器、網(wǎng)絡(luò)介質(zhì)應(yīng)當(dāng)放在安全、可靠的地方,并限制用戶的訪問次數(shù)。除此之外,為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全.除在網(wǎng)絡(luò)規(guī)劃和場地、環(huán)境等要求之外。還要防止系統(tǒng)信息在空間的擴(kuò)散。

4總結(jié)

科研院所網(wǎng)絡(luò)的安全問題,不僅是設(shè)備、技術(shù)的問題.更是管理的問題。對于計算機(jī)系統(tǒng)的使用者來說,一定要提高安全意識,加強(qiáng)安全防護(hù)的技術(shù)手段,注重對網(wǎng)絡(luò)安全知識的了解和學(xué)習(xí)。要通過組建完整的安全保密管理組織機(jī)構(gòu),制定嚴(yán)格的安全制度,指定安全管理人員,隨時對整個計算機(jī)系統(tǒng)進(jìn)行嚴(yán)格的監(jiān)控和管理。在日常的維護(hù)中及時發(fā)現(xiàn)問題、解決問題、總結(jié)問題。以保障計算機(jī)信息系統(tǒng)的安全,滿足科研工作的需要。

參考文獻(xiàn)

[1]李海泉.計算機(jī)系統(tǒng)的安全技術(shù)[M].北京.人民郵電出版社,2002

[2]于章.計算機(jī)及網(wǎng)絡(luò)安全與防治基礎(chǔ)[M].北京.航空航天出版社.1999

[3]王宏偉.網(wǎng)絡(luò)安全威脅與對策田.科技創(chuàng)業(yè)月刊,2006,19(5):179-180

[4]馮素梅.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用[J].網(wǎng)絡(luò)防火墻技術(shù)分析與選擇,2008,(4):21-22.