摘要:闡明了加強計算機網(wǎng)絡(luò)安全的重要意義，分析了計算機網(wǎng)絡(luò)中的安全隱患，并對分析出的安全隱患提出了解決方法。

關(guān)鍵詞:計算機網(wǎng)絡(luò);網(wǎng)絡(luò)安全;安全性分析;安全策略;解決方法

中圖分類號:TP393 文獻標(biāo)識碼:A 文章編號:1009-3044(2009)15-3890-02

On the Computer Network Security Issues

SHI Yang

(Nanjing Communications Vocational Technology College，Nanjing 211188，China)

Abstract: Sets out to strengthen the security of computer networks， the importance of an analysis of computer network security， and security analysis of the proposed solution.

Key words: computer network; network security; safety analysis; security policy; resolvent

計算機網(wǎng)絡(luò)的迅速發(fā)展，使它成為現(xiàn)今人類活動中不可或缺的一個重要組成部分。計算機網(wǎng)絡(luò)具備分布廣域性、體系結(jié)構(gòu)開放性、資源共享性和信道共用性的特點，因此我們在享受網(wǎng)絡(luò)服務(wù)帶來的方便和便捷的同時，也必須面對由此引入的巨大安全保密風(fēng)險。廣泛應(yīng)用的TCP/IP 協(xié)議是在可信環(huán)境下為網(wǎng)絡(luò)互聯(lián)專門設(shè)計的，加上黑客的攻擊及病毒的干擾， 使得網(wǎng)絡(luò)存在很多不安全因素，如口令猜測與破譯、DDOS攻擊、TCP端口盜用、ARP地址欺騙、郵件炸彈、業(yè)務(wù)否決、對域名系統(tǒng)和基礎(chǔ)設(shè)施的破壞、利用WEB破壞數(shù)據(jù)庫、病毒攜帶等。因此，針對計算機網(wǎng)絡(luò)在實際運行過程中可能遇到的各種安全威脅， 必須采用防護、檢測、響應(yīng)、恢復(fù)等行之， 建立一個全方位并易于管理的安全體系，保障計算機有效的安全措施網(wǎng)絡(luò)運行的安全、穩(wěn)定、可靠。

1 計算機網(wǎng)絡(luò)安全體系的結(jié)構(gòu)

圖1為計算機網(wǎng)絡(luò)安全體系的結(jié)構(gòu)圖。

2 計算機網(wǎng)絡(luò)安全體系的分析

2.1 網(wǎng)絡(luò)層的安全性分析

網(wǎng)絡(luò)層安全是網(wǎng)絡(luò)中最重要的內(nèi)容，涉及3個方面。

1) IP協(xié)議本身的安全性，IP協(xié)議本身沒有加密使得非法盜竊信息成為可能。

2) 網(wǎng)管協(xié)議安全性，如SNMP協(xié)議的認(rèn)證機制非常簡單，并且使用未加保密的明碼傳輸。

3) 網(wǎng)絡(luò)交換傳輸設(shè)備的安全性，交換傳輸設(shè)備包括路由器、ATM和傳輸介質(zhì)。由于Intemet普遍采用路由器的無連接存儲轉(zhuǎn)發(fā)技術(shù)，并且路由協(xié)議是動態(tài)更新的OSPF和RIP協(xié)議，更新裝有這些協(xié)議的路由表，一旦某一個路由器或路由器相應(yīng)線路發(fā)生故障或出現(xiàn)問題，將迅速波及與該路由器聯(lián)系的網(wǎng)絡(luò)區(qū)域。例如:2006年12月27日由于臺灣地震影響，所有經(jīng)過太平洋的海底光纜都受到不同程度的損壞，以至于內(nèi)地訪問國外的網(wǎng)站會特別慢，甚至?xí)霈F(xiàn)打不開的情況。

2.2 系統(tǒng)的安全性分析

在系統(tǒng)安全性問題中，主要考慮兩個問題:

1) 病毒、木馬對于網(wǎng)絡(luò)的威脅。

病毒和木馬一直是計算機系統(tǒng)安全最直接的威脅， 網(wǎng)絡(luò)更是為病毒和木馬提供了迅速傳播的途徑，它們很容易地通過代理服務(wù)器以軟件下載、郵件接收等方式進入網(wǎng)絡(luò)，然后對網(wǎng)絡(luò)進行攻擊， 造成很大的損失。

2) 系統(tǒng)的漏洞及“后門”， 操作系統(tǒng)及網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷、無漏洞的。另外，編程人員為自便而在軟件中留有“后門”，一旦“漏洞”及“后門”為外人所知，就會成為整個網(wǎng)絡(luò)系統(tǒng)受攻擊的首選目標(biāo)和薄弱環(huán)節(jié)。大部分的黑客入侵網(wǎng)絡(luò)事件就是由系統(tǒng)的“漏洞”和“后門”所造成的。

2.3 應(yīng)用程序的安全性分析

需要考慮的問題是:是否只有合法的用戶才能夠?qū)μ囟ǖ臄?shù)據(jù)進行合法的操作。涉及兩個方面的問題:一是應(yīng)用程序?qū)?shù)據(jù)的合法權(quán)限，二是應(yīng)用程序?qū)τ脩舻暮戏?quán)限。例如在公司內(nèi)部，上級部門的應(yīng)用程序應(yīng)該能夠存取下級部門的數(shù)據(jù)，而下級部門的應(yīng)用程序一般應(yīng)該不允許存取上級部門的數(shù)據(jù)。同級部門的應(yīng)用程序的存取權(quán)限也應(yīng)有所限制，同一部門不同業(yè)務(wù)的應(yīng)用程序也應(yīng)該不允許訪問對方的數(shù)據(jù)。這樣可以避免數(shù)據(jù)的意外損壞，也是從安全方面的考慮。

2.4 數(shù)據(jù)的安全性分析

在系統(tǒng)信息安令領(lǐng)域，安全保護的根本對象應(yīng)當(dāng)是那些存儲在磁盤系統(tǒng)上的有效數(shù)據(jù)，設(shè)置防火墻、使用密碼、數(shù)據(jù)加密等做法都是有效的手段。有效數(shù)據(jù)存儲的任何設(shè)備、系統(tǒng)，數(shù)據(jù)流通的任何線路、連接都是網(wǎng)絡(luò)安全所要考慮到的，而對于數(shù)據(jù)的安全性所要考慮的問題是:機密數(shù)據(jù)是否還處于機密狀態(tài)。

3 計算機網(wǎng)絡(luò)安全體系的分析的解決方法

3.1 網(wǎng)絡(luò)層的安全性的解決方法

1) 網(wǎng)絡(luò)的物理安全性主要是指地震、水災(zāi)、火災(zāi)等環(huán)境事故;電源故障;人為操作失誤或錯誤;設(shè)備被盜、被毀;電磁干擾;線路截獲。以及高可用性的硬件、雙機多冗余的設(shè)計、機房環(huán)境及報警系統(tǒng)、安全意識等。它是整個網(wǎng)絡(luò)層的安全性的前提，制定健全的安全管理制度，做好異地冗余備份，并且加強網(wǎng)絡(luò)設(shè)備的更新與管理，加強路由協(xié)議的動態(tài)更新，建立多線的路由選擇，如地震后中國電信、中國網(wǎng)通、中國聯(lián)通等六大電信運營商已經(jīng)達成協(xié)議，共同建立一條連接中美的首個兆兆級海底光纜系統(tǒng)——跨太平洋直達光纜系統(tǒng)(簡稱TPE)，通過這些措施風(fēng)險是可以避免的。

2) 網(wǎng)絡(luò)層安全性的另一個核心問題在于網(wǎng)絡(luò)是否受到控制，即:是不是任何一個IP地址來源的用戶都能夠進人網(wǎng)絡(luò)。如果將整個網(wǎng)絡(luò)比作車站，對于網(wǎng)絡(luò)層的安全考慮就如同為車站設(shè)置檢票員一樣。檢票員會仔細察看每一位進站人的車票和行李，一旦發(fā)現(xiàn)無票或危險的來訪者，便會將其拒之站外。最主要的防護措施包括:防火墻、VPN ，其中，防火墻技術(shù)是網(wǎng)絡(luò)安全采用最早也是目前使用最為廣泛的技術(shù)，它將網(wǎng)絡(luò)威脅阻擋在網(wǎng)絡(luò)入口處，保證了內(nèi)網(wǎng)的安全。而以 VPN為代表的加密認(rèn)證技術(shù)則將非法用戶拒之門外，并將發(fā)送的數(shù)據(jù)加密，避免在途中被監(jiān)聽、修改或破壞。通過網(wǎng)絡(luò)通道對網(wǎng)絡(luò)系統(tǒng)進行訪問的時候，每一個用戶都會擁有一個獨立的IP地址。這一IP地址能夠大致表明用戶的來源所在地和來源系統(tǒng)。防火墻會通過對來源IP進行分析，便能夠初步判斷來自這一IP的數(shù)據(jù)是否安全，是否會對本網(wǎng)絡(luò)系統(tǒng)造成危害，VPN為代表的加密認(rèn)證技術(shù)通過解密判斷來自這一IP的用戶是否有權(quán)使用本網(wǎng)絡(luò)的數(shù)據(jù)。一旦發(fā)現(xiàn)某些數(shù)據(jù)來自于不可信任的IP地址，系統(tǒng)便會自動將這些數(shù)據(jù)阻擋在系統(tǒng)之外。并且能夠自動記錄那些曾經(jīng)造成過危害的IP地址，使得它們的數(shù)據(jù)將無法第二次造成危害。

3.2 系統(tǒng)安全性的解決方法

針對目前日益增多的計算機病毒和惡意代碼，應(yīng)采取的病毒防范策略如下:

1) 選擇經(jīng)公安部認(rèn)證的病毒防治產(chǎn)品，如瑞星、金山毒霸、Norton 、McAfee 、卡巴斯基等。

2) 保證病毒庫處與最新狀態(tài)并定期進行查殺病毒和木馬。

3) 制定嚴(yán)格的防病毒制度，不允許使用來歷不明、未經(jīng)殺毒的軟件不閱讀和下載的來歷不明的網(wǎng)上郵件或文件，嚴(yán)格控制，阻斷病毒的來源。

4) 對服務(wù)器及主機系統(tǒng)進行安全評估;要彌補這些漏洞，就需要使用專門的系統(tǒng)風(fēng)險評估工具幫助系統(tǒng)管理員找出哪些指令是不應(yīng)該安裝的，哪些指令是應(yīng)該縮小其用戶使用權(quán)限的。在完成了這些工作之后，操作系統(tǒng)自身的安全性問題將在一定程度上得到保障。

5) 正確配置系統(tǒng)，減少病毒侵害事件，確保系統(tǒng)恢復(fù)以減少損失。在具體實施時，由于計算機網(wǎng)絡(luò)用戶數(shù)量龐大，如所有用戶都購買網(wǎng)絡(luò)殺毒軟件則投資太大，可以優(yōu)先對服務(wù)器進行網(wǎng)絡(luò)防病毒保護，而對個人主機可用單機防病毒軟件進行防護。另外，需調(diào)動各級系統(tǒng)管理員和用戶的積極性，定期對操作系統(tǒng)進行打包、升級，及時發(fā)現(xiàn)感染病毒的主機，清除病毒。

在完成了這些工作之后，操作系統(tǒng)自身的安全性問題將在一定程度上得到保障。

3.3 應(yīng)用系統(tǒng)安全性解決方法

計算機網(wǎng)絡(luò)主要是通過各種應(yīng)用系統(tǒng)來體現(xiàn)的，因此應(yīng)用系統(tǒng)的安全可靠性就顯得非常重要。應(yīng)用系統(tǒng)的安全主要包括授權(quán)、認(rèn)證和加密傳輸。由于涉及的應(yīng)用系統(tǒng)非常多，總體上應(yīng)掌握以下一些原則:

1) 應(yīng)用系統(tǒng)之間或應(yīng)用系統(tǒng)各模塊之間的通信必須經(jīng)過授權(quán)或認(rèn)證，如對辦公自動化(OA) 等系統(tǒng)傳輸數(shù)據(jù)必須進行加密。

2) 限制用戶的權(quán)限，使用戶無法獲得系統(tǒng)管理員的口令，防止非法用戶對系統(tǒng)進行破壞。對新用戶開放滿足要求的權(quán)限即可，不必開放所有權(quán)限。

3) 利用防火墻或TCPWRAPPER等限制應(yīng)用服務(wù)可被訪問的客戶地址段，關(guān)閉不必要開放的端口，降低被攻擊的可能性。

4) 經(jīng)常留意用戶從哪里登錄主機系統(tǒng)，要檢查其合法性。

5) 加強計算機網(wǎng)絡(luò)信息中心各主機的安全管理，嚴(yán)禁用戶以各種途徑執(zhí)行系統(tǒng)級指令，以避免黑客通過SNIFFER等工具軟件偵聽密碼或其他信息。

6) 加強密碼管理，提醒或強制應(yīng)用系統(tǒng)中各人員定期修改密碼，禁止使用安性不高的密碼。

3.4 數(shù)據(jù)的安全性分析的解決方法

1) 在數(shù)據(jù)的保存過程中，機密的數(shù)據(jù)即使處于安全的空間，也要對其進行加密處理，以保證即使數(shù)據(jù)失竊，偷盜者(如網(wǎng)絡(luò)黑客)也讀不懂其中的內(nèi)容。這是一種比較被動的安全手段，但往往能夠收到最好的效果。

2) 在數(shù)據(jù)的傳輸過程中，機密的數(shù)據(jù)使用信息加密手段。目前市場上成熟的商業(yè)加密設(shè)備很多，如發(fā)給用戶的電子口令卡、使用USB接口的USBKEY 這些較為簡單實用，他不僅可以對指定的網(wǎng)絡(luò)傳輸機密數(shù)據(jù)進行數(shù)字簽名和身份認(rèn)證，而且具有系統(tǒng)電子密碼功能，可以作為操作系統(tǒng)登錄的物理電子密碼，從而將單因子認(rèn)證機制升級為雙因子認(rèn)證機制，更大程度上確保了監(jiān)控管理軟件。

3) 傳輸中所用的加密算法根據(jù)不同情況選用公開密鑰或私有密鑰算法。為保證傳輸信息不被篡改，還可采用MD5等算法。如計算機網(wǎng)絡(luò)內(nèi)部的一些基于WWW的應(yīng)用( 如OA系統(tǒng))，其加密協(xié)議可選用SSL SHTTP，或COOKIE機制及DES，MD5 算法。

4 結(jié)束語

上述的計算機網(wǎng)絡(luò)安全體系中的四方面是相輔相成的，通過以上對它們的分析及解決方法基本上可以建立一套相對完整的網(wǎng)絡(luò)安全系統(tǒng)。現(xiàn)有的安全技術(shù)包括數(shù)據(jù)加密技術(shù)、數(shù)字簽名技術(shù)、防火墻技術(shù)只是提供了一種靜態(tài)的防護措施 但這種措施又是必不可少的，它可以和入侵檢測系統(tǒng)結(jié)合起來取長補短。總之網(wǎng)絡(luò)安全是一個系統(tǒng)工程不能僅僅依靠防火墻等單個的系統(tǒng)而需要仔細考慮整個系統(tǒng)的安全需求，并將各種安全技術(shù)和管理手段結(jié)合在一起才能生成一個高效統(tǒng)一通用的網(wǎng)絡(luò)安全體系。

參考文獻:

[1] 王相林.組網(wǎng)技術(shù)與配置[M].北京:清華大學(xué)出版社，2007.

[2] 陳龍.安全防范系統(tǒng)工程[M].北京:清華大學(xué)出版社，1998.

[3] 秦超.網(wǎng)絡(luò)與系統(tǒng)安全實用指南[M].北京:北京航空航天大學(xué)出版社，2002.

[4] 李海泉.計算機網(wǎng)絡(luò)安全與加密技術(shù)[M].北京:科學(xué)出版社，2001.

[5] 趙小林.網(wǎng)絡(luò)通信技術(shù)教程[M].北京:國防工業(yè)出版社，2003.

[6] 魏大新.Cisco網(wǎng)絡(luò)技術(shù)教程 [M].北京:電子工業(yè)出版社，2004.

[7] 馮博琴.計算機網(wǎng)絡(luò)與通信[M].北京:經(jīng)濟科學(xué)出版社，2000.

[8] 德昱，胡錚.網(wǎng)絡(luò)與信息資源管理[M].北京:北京希望電子出版社，2005.