[摘要]Internet的迅速成長正在把世界連接成一個整體,“世界”這個概念也正在縮小。但是在信息技術(shù)高度發(fā)達的今天,計算機網(wǎng)絡(luò)安全已成為各國關(guān)注的焦點。計算機病毒不斷地產(chǎn)生和傳播,計算機遭非法入侵,機密文件的丟失,由此造成的網(wǎng)絡(luò)系統(tǒng)的癱瘓等給各個國家和眾多公司帶來巨大的經(jīng)濟損失,甚至威脅到國家和地區(qū)的安全。

[關(guān)鍵詞]安全因素 威脅 網(wǎng)絡(luò)安全 對策

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)0920084-01

一、威脅網(wǎng)絡(luò)安全的因素

計算機網(wǎng)絡(luò)安全受到的威脅包括:“黑客”的攻擊、計算機病毒和拒絕服務(wù)攻擊。黑客在網(wǎng)絡(luò)上經(jīng)常采用的攻擊手段,是利用UNIX操作系統(tǒng)提供的TelnetDaemon、FTPdaemon等缺省賬戶進行攻擊。Daemon軟件實質(zhì)上是一些系統(tǒng)進程。另外,利用UNIX操作系統(tǒng)提供的命令“Finger”與“Ruser”收集的信息不斷的提高自己的攻擊能力。利用Sendmail采用Debug、Wizard、Pipe等進行攻擊;利用FTP采用無口令訪問進行攻擊;通過WindowsNT的135端口進行攻擊。

網(wǎng)絡(luò)安全存在的威脅主要表現(xiàn)在以下幾個方面:1.發(fā)送假冒電子郵件。指冒充正規(guī)網(wǎng)站騙取賬戶密碼是欺詐郵件常用的手法。2.非授權(quán)訪問。這主要是指對網(wǎng)絡(luò)設(shè)備以及信息資源進行非正常使用或超越權(quán)限使用。3.破壞數(shù)據(jù)庫的完整性。4.干擾系統(tǒng)的正常運行,改變系統(tǒng)正常運行的方向,以及延時系統(tǒng)的響應(yīng)時間。5.病毒破壞。比如硬盤被垃圾數(shù)據(jù)覆蓋。6.通信線路被竊聽等。

二、造成這些威脅的原因

(一)OS的脆弱性。目前,無論是哪一種OS,其體系結(jié)構(gòu)本身是一不安全的因素。導致OS不安全的原因包括:1.OS的程序可以動態(tài)連接,包括I/O驅(qū)動程序和系統(tǒng)服務(wù)都可以用打補丁的方法升級和動態(tài)連接。而這種方法“黑客”人員也可以使用,因此,這種動態(tài)連接是滋生病毒的溫床。2. 在于OS可以創(chuàng)建進程,進程可以不斷的再創(chuàng)建進程,再加上OS支持在網(wǎng)絡(luò)上傳輸?shù)奈募?能加載程序。二者結(jié)合起來就構(gòu)成可以在遠程服務(wù)器上安裝“間諜”軟件的條件,這導致系統(tǒng)進程與作業(yè)監(jiān)視程序根本監(jiān)測不到“間諜”的存在。

(二)計算機系統(tǒng)的脆弱性。計算機系統(tǒng)的脆弱性主要來自O(shè)S系統(tǒng)的不安全性,在網(wǎng)絡(luò)環(huán)境下,還來源于通信協(xié)議的不安全性,因為OS始終存在漏洞及協(xié)議和應(yīng)用本身存在問題,比如協(xié)議設(shè)計時對突發(fā)事件考慮不周。

(三)協(xié)議安全的脆弱性。在網(wǎng)絡(luò)當中使用的最常見的協(xié)議TCP/IP以及FTP、Email、NFS等都包含許多影響網(wǎng)絡(luò)安全的因素,存在大量漏洞。黑客常用Sock、TCP預測或使用遠程訪問進行直接掃描等方法對防火墻進行攻擊。

(四)數(shù)據(jù)庫管理系統(tǒng)安全的脆弱性。DBMS的安全必須與OS系統(tǒng)安全配合,因為DBMS是在OS系統(tǒng)框架下運行,比如調(diào)用數(shù)據(jù)庫里的某個文件DBMS必須請求OS調(diào)度使用數(shù)據(jù)庫的進程。

(五)人為因素。不管是什么樣的網(wǎng)絡(luò)系統(tǒng)都離不開人的管理,但大多又缺乏高素質(zhì)的網(wǎng)絡(luò)管理人員,更缺少安全監(jiān)控。還有用戶注冊、口令等處于缺省狀態(tài)。

三、針對網(wǎng)絡(luò)安全威脅的對策

要想提供對整個網(wǎng)絡(luò)系統(tǒng)實施全程防御,使其不遭受病毒和攻擊,幾乎不可能。因為某些OS系統(tǒng)程序需要打補丁、鏈接進行升級這就是OS系統(tǒng)的脆弱性所在。另一個,要跟因特網(wǎng)連接就必定會遭到一些非法惡意的文件的攻擊。能不能想出更好的防范措施是保證網(wǎng)絡(luò)安全、有序運行的可靠的保證

(一)從硬件層面來看。以往人們采用防火墻來保護自己的網(wǎng)絡(luò)系統(tǒng),可以說這也是一個好的防御對策。防火墻是位于Web站點和Internet之間的一路由器或一主機﹙堡壘主機﹚甚至是由軟件和硬件的結(jié)合。所有穿過防火墻的通信流必須得到安全策略的授權(quán)和確認。但是防火墻存在最大的缺陷是自身不能保證其準許放行的數(shù)據(jù)是否安全,不能防止內(nèi)部攻擊和數(shù)據(jù)驅(qū)動的攻擊,如病毒。防火墻掃描分析多半是針對IP地址和端口號或者協(xié)議內(nèi)容的,而非數(shù)據(jù)細節(jié)。

從網(wǎng)關(guān)的作用來說,網(wǎng)關(guān)位于應(yīng)用層面,要使使網(wǎng)絡(luò)免遭攻擊、侵害,網(wǎng)關(guān)就應(yīng)該更智能化,這就要求這種網(wǎng)關(guān)具備可以自動識別帶有危害信息的站點。涉及到尋找站點,就離不開一些獨特的算法。高度集成的Internet應(yīng)用安全網(wǎng)關(guān)能讓網(wǎng)絡(luò)變得安全、透明、可控。這種高度集成的網(wǎng)關(guān)能將URL過濾、網(wǎng)絡(luò)應(yīng)用控制阻止、或管理控制惡意和不重要的應(yīng)用程序集合起來。并通過統(tǒng)一的設(shè)備監(jiān)控、策略配置、統(tǒng)一的報表和升級服務(wù)。

(二)從軟件層考慮。加大數(shù)據(jù)庫規(guī)則(常駐路由器)的篩選力度也是一個有效的途徑,問題是該如何去加大篩選力度呢?那就牽涉到一個篩選準則問題,其實,這個準則可以自己所需而定,相對獨立于網(wǎng)絡(luò)協(xié)議之外。路由器篩選的重要理由是防止IP欺詐。但是,傳統(tǒng)的信息包篩選工具存在著天生的缺點:實施和維護相當復雜,甚至有時不足以產(chǎn)生有效的篩選決定。

鑒于對信息包篩選的缺點,可以在可靠網(wǎng)和不可靠網(wǎng)之間設(shè)置網(wǎng)關(guān)主機起中繼器的作用,這種網(wǎng)關(guān)主機也稱堡壘主機,對進入和發(fā)出內(nèi)部網(wǎng)的信息進行記錄和分析。使用堡壘主機可以隱藏內(nèi)部網(wǎng)絡(luò)的拓撲結(jié)構(gòu)。一般堡壘主機本身可以設(shè)置于兩個具有基本信息包篩選能力的路由器之間,以增強其安全性。像這種情況,可以將路由器和網(wǎng)關(guān)合理的配置在網(wǎng)際邊緣和防火墻一同構(gòu)成網(wǎng)絡(luò)系統(tǒng)三道硬件防御工事。

同時,也可以利用一些網(wǎng)絡(luò)安全的技術(shù)如:包括訪問控制技術(shù)、識別和鑒別技術(shù)、口令守則、密碼技術(shù)、完整性控制技術(shù)、審計和恢復技術(shù)、防火墻系統(tǒng)、計算機病毒防護、操作系統(tǒng)安全、數(shù)據(jù)庫系統(tǒng)安全等,公鑰、廣域網(wǎng)容錯、相繼推出了防火墻、入侵檢測(IDS)、防病毒軟件、CA系統(tǒng)、加密算法等。除此,需加大安全技術(shù)的開發(fā)力度和對網(wǎng)絡(luò)安全的評估。

對于一個網(wǎng)絡(luò)系統(tǒng)的安全除了看它所采用的防范措施外,還需要看內(nèi)部管理措施。這就要求系統(tǒng)后臺管理人員定時地對服務(wù)器等系統(tǒng)的恢復和網(wǎng)絡(luò)中數(shù)據(jù)備份,落實網(wǎng)絡(luò)系統(tǒng)中的每一個安全隱患和操作細節(jié)。

四、結(jié)束語

針對威脅計算機網(wǎng)絡(luò)安全的因素,考察網(wǎng)絡(luò)入侵的原理、類型,在此基礎(chǔ)上適當論述了硬件及軟件防御對策。最后,指出了要維護網(wǎng)絡(luò)安全、高效、有序的運行,就必須要求網(wǎng)絡(luò)管理員加強內(nèi)外防范和管理措施。以計算機網(wǎng)絡(luò)為核心、以實現(xiàn)資源共享和協(xié)同工作為目標的各種信息系統(tǒng),已成為當今社會運行和技術(shù)基礎(chǔ)。尤其是電子商務(wù)環(huán)境下的信息系統(tǒng)的建設(shè)和發(fā)展日趨復雜,系統(tǒng)安全任務(wù)更加艱巨,如何保障系統(tǒng)安全已成為不可回避的時代課題,更是電子商務(wù)發(fā)展和應(yīng)用面臨的嚴峻挑戰(zhàn)。

參考文獻:

[1]謝希仁編著,《計算機網(wǎng)絡(luò)》,第5版,電子工業(yè)出版社.

[2]袁津生、吳硯農(nóng)編著,《計算機網(wǎng)絡(luò)安全基礎(chǔ)》(修訂本),人民郵電出版社.

[3]許偉、廖明武等編著,《網(wǎng)絡(luò)安全基礎(chǔ)教程》,清華大學出版社.

作者簡介:

劉劍武,男,本科,北京交通大學網(wǎng)絡(luò)學院,計算機科學與技術(shù)專業(yè)。