[摘 要]隨著的迅速發(fā)展,網(wǎng)絡(luò)安全性已成為迫切需要解決的問題。隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展越來越深入,計(jì)算機(jī)系統(tǒng)的安全性就日益突出和復(fù)雜。首先從網(wǎng)絡(luò)安全內(nèi)涵開始,對(duì)其面臨的威脅及主要影響因素進(jìn)行分析,重點(diǎn)介紹幾種普遍的安全技術(shù)及其防護(hù)技術(shù)的發(fā)展趨勢(shì)。

[關(guān)鍵詞]網(wǎng)絡(luò)安全威脅防護(hù)技術(shù)趨勢(shì)

中圖分類號(hào):TP3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1671-7597(2009)1210104-02

一、計(jì)算機(jī)網(wǎng)絡(luò)安全概述

(一)網(wǎng)絡(luò)安全的定義

國(guó)際標(biāo)準(zhǔn)化組織(ISO)將計(jì)算機(jī)安全定義為“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù),保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露?！蔽覈?guó)自己提出的定義是:“計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護(hù),不因偶然的或惡意的原因而遭到破壞、更改、泄露,系統(tǒng)能連續(xù)正常運(yùn)行?！币虼?所謂網(wǎng)絡(luò)安全就是指基于網(wǎng)絡(luò)的互聯(lián)互通和運(yùn)作而涉及的物理線路和連接的安全,網(wǎng)絡(luò)系統(tǒng)的安全,操作系統(tǒng)的安全,應(yīng)用服務(wù)的安全和人員管理的安全等幾個(gè)方面。總的說來,計(jì)算機(jī)網(wǎng)絡(luò)的安全性,是由數(shù)據(jù)的安全性、通信的安全性和管理人員的安全意識(shí)三部分組成。①

(二)影響計(jì)算機(jī)網(wǎng)絡(luò)安全的主要因素

計(jì)算機(jī)網(wǎng)絡(luò)安全受到的安全威脅是來自各個(gè)方面的,一般來說,影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素主要有以下幾個(gè)方面:

1.計(jì)算機(jī)網(wǎng)絡(luò)使信息的收集方便而且快速,信息的價(jià)值劇增,吸引了許多網(wǎng)上黑客前來攻擊。

2.現(xiàn)有的計(jì)算機(jī)系統(tǒng)皆有安全漏洞,使網(wǎng)絡(luò)入侵成為可能。一般操作系統(tǒng)的體系結(jié)構(gòu)其本身是不安全的,這也是計(jì)算機(jī)系統(tǒng)不安全的根本原因之一,操作系統(tǒng)的程序是可以動(dòng)態(tài)連接的,包括FO的驅(qū)動(dòng)程序與系統(tǒng)服務(wù),都可以用打“補(bǔ)丁”的方式進(jìn)行動(dòng)態(tài)連接,為黑客的侵入和病毒的產(chǎn)生提供了一個(gè)好環(huán)境。

3.網(wǎng)絡(luò)系統(tǒng)中數(shù)據(jù)的安全問題。網(wǎng)絡(luò)中的信息數(shù)據(jù)是存放在計(jì)算機(jī)數(shù)據(jù)庫中的,通常也指存放在服務(wù)器中的信息集,供不同的用戶來共享,數(shù)據(jù)庫存在不安全性和危險(xiǎn)性,因?yàn)樵跀?shù)據(jù)庫系統(tǒng)中存放著大量重要的信息資源,在用戶共享資源時(shí)可能會(huì)出現(xiàn)以下現(xiàn)象:授權(quán)用戶超出了他們的訪問權(quán)限進(jìn)行更改活動(dòng),非法用戶繞過安全內(nèi)核,竊取信息資源等。

4.遠(yuǎn)程訪問控制使得每個(gè)主機(jī)甚至可以被國(guó)外的黑客攻擊。網(wǎng)絡(luò)黑客是計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展的產(chǎn)物,黑客攻擊,早在10多年前的主機(jī)終端時(shí)代就已出現(xiàn),隨著Internet的發(fā)展,現(xiàn)代黑客則從以系統(tǒng)為主的攻擊轉(zhuǎn)變到以網(wǎng)絡(luò)為主的攻擊,利用網(wǎng)絡(luò)竊取重要的情報(bào),毀壞數(shù)據(jù)和信息。

5.目前的計(jì)算機(jī)病毒不但可以破壞計(jì)算機(jī)硬件,而且可以破壞網(wǎng)絡(luò)安全系統(tǒng)并通過網(wǎng)絡(luò)破壞更多的計(jì)算機(jī)。

二、計(jì)算機(jī)網(wǎng)絡(luò)所面臨的威脅及攻擊

(一)管理的欠缺

網(wǎng)絡(luò)系統(tǒng)的嚴(yán)格管理是企業(yè)、機(jī)構(gòu)及用戶免受攻擊的重要措施。事實(shí)上,很多企業(yè)、機(jī)構(gòu)及用戶的網(wǎng)站或系統(tǒng)都疏于這方面的管理。據(jù)IT界企業(yè)團(tuán)體ITAA的調(diào)查顯示,美國(guó)90%的IT企業(yè)對(duì)黑客攻擊準(zhǔn)備不足。目前,美國(guó)75～85%的網(wǎng)站都抵擋不住黑客的攻擊,約有75%的企業(yè)網(wǎng)上信息失竊,其中25%的企業(yè)損失在25萬美元以上。此外,管理的缺陷還可能出現(xiàn)系統(tǒng)內(nèi)部人員泄露機(jī)密或外部人員通過非法手段截獲而導(dǎo)致機(jī)密信息的泄漏,從而為一些不法分子制造了可乘之機(jī)。②

(二)網(wǎng)絡(luò)的缺陷及軟件的漏洞

因特網(wǎng)的共享性和開放性使網(wǎng)上信息安全存在先天不足,因?yàn)槠滟囈陨娴腡CP/IP協(xié)議,缺乏相應(yīng)的安全機(jī)制,而且因特網(wǎng)最初的設(shè)計(jì)考慮是該網(wǎng)不會(huì)因局部故障而影響信息的傳輸,基本沒有考慮安全問題,因此它在安全可靠、服務(wù)質(zhì)量、帶寬和方便性等方面存在著不適應(yīng)性。此外,隨著軟件系統(tǒng)規(guī)模的不斷增大,系統(tǒng)中的安全漏洞或“后門”也不可避免地存在,比如我們常用的操作系統(tǒng),無論是Windows還是UNIX都存在或多或少的安全漏洞,眾多的各類服務(wù)器、瀏覽器、一些桌面軟件等等都被發(fā)現(xiàn)過存在安全隱患。

(三)計(jì)算機(jī)病毒

病毒是計(jì)算機(jī)中最讓人頭痛,也是最普遍的安全威脅,幾乎每一個(gè)用過電腦的人都受到過病毒或多或少的威脅。大到系統(tǒng)崩潰,數(shù)據(jù)丟失,小到影響系統(tǒng)性能,甚至有的病毒只是開個(gè)玩笑。

(四)黑客的攻擊

黑客是影響網(wǎng)絡(luò)安全的最主要因素之一?！昂诳汀笔怯⑽摹癏acker”的譯音,原意是用來形容獨(dú)立思考,然而卻奉公守法的計(jì)算機(jī)迷,熱衷于設(shè)計(jì)和編制計(jì)算機(jī)程序的程序設(shè)計(jì)者和編程人員。然而,隨著社會(huì)發(fā)展和技術(shù)的進(jìn)步“Hacker”的定義有了新的演繹,出現(xiàn)了一類專門利用計(jì)算機(jī)犯罪的人,即那些憑借自己所掌握的計(jì)算機(jī)技術(shù),專門破壞計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng),竊取政治、軍事、商業(yè)秘密,或者轉(zhuǎn)移資金賬戶,竊取金錢,以及不露聲色地捉弄他人,秘密進(jìn)行計(jì)算機(jī)犯罪的人。

三、計(jì)算機(jī)網(wǎng)絡(luò)的安全技術(shù)

通過對(duì)網(wǎng)絡(luò)系統(tǒng)各個(gè)層次的分析可以給數(shù)據(jù)鏈路層網(wǎng)絡(luò)層系統(tǒng)層數(shù)據(jù)庫層和應(yīng)用層提供全面的保護(hù)。

(一)加密技術(shù)

加密技術(shù)是網(wǎng)絡(luò)安全的核心,現(xiàn)代密碼技術(shù)發(fā)展至今二十余年,其技術(shù)已由傳統(tǒng)的只注重保密性轉(zhuǎn)移到保密性、真實(shí)性、完整性和可控性的完美結(jié)合。加密技術(shù)是解決網(wǎng)絡(luò)上信息傳輸安全的主要方法,其核心是加密算法的設(shè)計(jì)。③

1.非對(duì)稱密鑰加密

在非對(duì)稱機(jī)密體系中,密鑰被分解為一對(duì)(即公開密鑰和私有密鑰),而且加密密鑰與解密密鑰不同,是一種利用公開加密密鑰加密,利用不公開解密密鑰解密的密碼體制。

2.對(duì)稱加密技術(shù)

在對(duì)稱加密技術(shù)中,對(duì)信息的加密和解密都使用相同的鑰匙,這種加密方法可簡(jiǎn)化加密處理過程。信息交換雙方都不必彼此研究交換專用的加密算法。若在交換階段私有密鑰未曾泄漏,那么機(jī)密性和報(bào)文完整性就可以得以保證。

(二)網(wǎng)絡(luò)防病毒技術(shù)

由于網(wǎng)絡(luò)計(jì)算機(jī)病毒是網(wǎng)絡(luò)系統(tǒng)最大的攻擊者,具有強(qiáng)大的傳染性和破壞力,網(wǎng)絡(luò)防病毒技術(shù)已成為計(jì)算機(jī)網(wǎng)絡(luò)安全的又一重要課題。防病毒技術(shù)可分為三種:病毒預(yù)防技術(shù),病毒檢測(cè)技術(shù)和病毒消除技術(shù)。④

1.病毒預(yù)防技術(shù)

計(jì)算機(jī)病毒的預(yù)防技術(shù)是指通過一定的技術(shù)手段防止計(jì)算機(jī)病毒對(duì)系統(tǒng)的破壞。計(jì)算機(jī)病毒的預(yù)防應(yīng)包括對(duì)已知病毒的預(yù)防和對(duì)未知病毒的預(yù)防。預(yù)防病毒技術(shù)包括:磁盤引導(dǎo)區(qū)保護(hù)、加密可執(zhí)行程序、讀寫控制技術(shù)、系統(tǒng)監(jiān)控技術(shù)等。

2.病毒檢測(cè)技術(shù)

計(jì)算機(jī)病毒的檢測(cè)技術(shù)是指通過一定的技術(shù)判定出計(jì)算機(jī)病毒的一種技術(shù)。計(jì)算機(jī)病毒的檢測(cè)技術(shù)有兩種:一種是判斷計(jì)算機(jī)病毒特征的監(jiān)測(cè)技術(shù)。病毒特征包括病毒關(guān)鍵字、特征程序段內(nèi)容、傳染方式、文件長(zhǎng)度的變化等。另一種是文件自身檢測(cè)技術(shù),這是一種不針對(duì)具體病毒程序的特征進(jìn)行判斷,而只是通過對(duì)文件自身特征的檢驗(yàn)技術(shù)。

3.病毒消除技術(shù)

計(jì)算機(jī)病毒的消除技術(shù)是計(jì)算機(jī)病毒檢測(cè)技術(shù)發(fā)展的必然結(jié)果,是計(jì)算機(jī)病毒傳染程序的一種逆過程。但由于殺毒軟件的更新是在病毒出現(xiàn)后才能研制,有很大的被動(dòng)性和滯后性,而且由于計(jì)算機(jī)軟件所要求的精確性,致使某些變種病毒無法消除,因而應(yīng)經(jīng)常升級(jí)殺毒軟件。

4.入侵檢測(cè)技術(shù)和網(wǎng)絡(luò)監(jiān)控技術(shù)

入侵檢測(cè)(IDSIntrusion Detection System)是近年來發(fā)展起來的一種防范技術(shù),綜合采用了統(tǒng)計(jì)技術(shù)、規(guī)則方法、網(wǎng)絡(luò)通信技術(shù)、人工智能、密碼學(xué)、推理等技術(shù)和方法,其作用是監(jiān)控網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)是否出現(xiàn)被入侵或?yàn)E用的征兆。根據(jù)采用的分析技術(shù)可分為簽名分析法和統(tǒng)計(jì)分析法。

(三)防火墻技術(shù)

網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。

1.防火墻技術(shù)的定義

在網(wǎng)絡(luò)中,防火墻是內(nèi)部網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng),通過它使得內(nèi)部網(wǎng)絡(luò)與Internet或者其他外部網(wǎng)絡(luò)之間相互隔離,并通過限制網(wǎng)絡(luò)互訪來保護(hù)內(nèi)部網(wǎng)絡(luò),但這些對(duì)數(shù)據(jù)的處理操作并不會(huì)妨礙人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問。

2.防火墻的關(guān)鍵技術(shù)

根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為4種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換型,代理型和監(jiān)測(cè)型。⑤

(1)包過濾型。包過濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。

(2)網(wǎng)絡(luò)地址轉(zhuǎn)換型。網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)網(wǎng)訪問因特網(wǎng)。

(3)代理型。代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí),首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù),然后由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。

(4)監(jiān)測(cè)型。監(jiān)測(cè)型防火墻是新一代的產(chǎn)品,這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。監(jiān)測(cè)型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)、實(shí)時(shí)的監(jiān)測(cè),在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測(cè)型防火墻能夠有效地判斷出各層中的非法侵入。

四、網(wǎng)絡(luò)安全防護(hù)的發(fā)展趨勢(shì)

(一)加強(qiáng)病毒監(jiān)控

隨著病毒技術(shù)的發(fā)展,病毒的宿主也越來越多,在宿主增多的同時(shí),傳播途徑也越來越廣,目前較受關(guān)注的一項(xiàng)病毒注入技術(shù)是利用電磁波注入病毒。這種技術(shù)的基本設(shè)想是把計(jì)算機(jī)病毒調(diào)制在電磁信號(hào)并向計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)所在方向輻射,電磁信號(hào)通過網(wǎng)絡(luò)中某些適當(dāng)?shù)墓?jié)點(diǎn)進(jìn)入網(wǎng)絡(luò),然后計(jì)算機(jī)病毒就在網(wǎng)絡(luò)中傳播,產(chǎn)生破壞作用。所以加強(qiáng)病毒監(jiān)控成為網(wǎng)絡(luò)安全防護(hù)的一項(xiàng)重要內(nèi)容。

(二)建立安全可靠的虛擬專用網(wǎng)

虛擬專用網(wǎng)(VPN)系統(tǒng)采用復(fù)雜的算法來加密傳輸?shù)男畔?使分布在不同地方的專用網(wǎng)絡(luò)在不可信任的公共網(wǎng)絡(luò)上安全地通信。其工作流程大致如下:1.要保護(hù)的主機(jī)發(fā)送不加密信息到連接公共網(wǎng)絡(luò)的虛擬專網(wǎng)設(shè)備;2.虛擬專網(wǎng)設(shè)備根據(jù)網(wǎng)絡(luò)管理員設(shè)置的規(guī)則,確認(rèn)是否需要對(duì)數(shù)據(jù)進(jìn)行加密或讓數(shù)據(jù)直接通過;3.對(duì)需要加密的數(shù)據(jù),虛擬專網(wǎng)設(shè)備對(duì)整個(gè)數(shù)據(jù)包(包括要傳送的數(shù)據(jù)、發(fā)送端和接收端的IP地址)進(jìn)行加密和附上數(shù)字簽名;4.虛擬專網(wǎng)設(shè)備加上新的數(shù)據(jù)包頭,其中包括目的地虛擬專網(wǎng)設(shè)備需要的安全信息和一些初始化參數(shù);5.虛擬專網(wǎng)設(shè)備對(duì)加密后數(shù)據(jù)、鑒別包以及源IP地址、目標(biāo)虛擬專網(wǎng)設(shè)IP地址進(jìn)行重新封裝,重新封裝后數(shù)據(jù)包通過虛擬通道在公網(wǎng)上傳輸;6.當(dāng)數(shù)據(jù)包到達(dá)目標(biāo)虛擬專網(wǎng)設(shè)備時(shí),數(shù)字簽名被核對(duì)無誤后數(shù)據(jù)包被解密。

(三)強(qiáng)化管理

網(wǎng)絡(luò)安全不只是一個(gè)單純的技術(shù)問題,而且也是一個(gè)十分重要的管理問題。采取各種措施對(duì)計(jì)算機(jī)網(wǎng)絡(luò)實(shí)施有效管理是計(jì)算機(jī)網(wǎng)絡(luò)防護(hù)的主要內(nèi)容之一。一般,計(jì)算機(jī)網(wǎng)絡(luò)管理包括安全審計(jì)、行政管理、人事管理等幾個(gè)方面的內(nèi)容。安全審計(jì)是對(duì)計(jì)算機(jī)系統(tǒng)的安全事件進(jìn)行收集、記錄、分析、判斷,并采取相應(yīng)的安全措施進(jìn)行處理的過程。

注釋:

①李靜,計(jì)算機(jī)網(wǎng)絡(luò)安全與防范措施,湖南省政法管理部學(xué)院學(xué)報(bào),2002,18(1):8.

②張寶劍,計(jì)算機(jī)安全與防護(hù)技術(shù)[M].機(jī)械工業(yè),2003,1.

③王德秀,網(wǎng)絡(luò)安全技術(shù)及應(yīng)用,有線電視技術(shù),2003,1.

④梅筱琴、蒲韻、廖凱生,計(jì)算機(jī)病毒防治與網(wǎng)絡(luò)安全手冊(cè),海洋出版社,2004:9～2.

⑤余偉建、王凌,黑客攻擊手段分析與防范,人民郵電出版社,2003:10～13.

參考文獻(xiàn):

[1]李靜,計(jì)算機(jī)網(wǎng)絡(luò)安全與防范措施,湖南省政法管理部學(xué)院學(xué)報(bào),2002,18(1):8.

[2]王春、林海波,網(wǎng)絡(luò)安全與防火墻技術(shù),北京:清華大學(xué)出版社,2000:10～30.

[3]秦超、李素科、滿成圓,網(wǎng)絡(luò)與系統(tǒng)安全實(shí)用指南,北京航空航天大學(xué)出版社,2002.

[4]劉東華等著,網(wǎng)絡(luò)與通信安全技術(shù),人民郵電出版社,2002.

作者簡(jiǎn)介:

張尚理,男,碩士研究生,高級(jí)工程師,研究方向:網(wǎng)絡(luò)安全。