呂 江

摘要:隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展,信息網(wǎng)絡(luò)已經(jīng)成為社會(huì)發(fā)展的重要保證。信息網(wǎng)絡(luò)中存儲(chǔ)、傳輸和處理的信息有許多是重要的政府宏觀調(diào)控決策、商業(yè)經(jīng)濟(jì)信息、銀行資金轉(zhuǎn)賬、股票證券、能源資源數(shù)據(jù)、科研數(shù)據(jù)等重要信息,這些信息難免會(huì)吸引來(lái)自世界各地的各種人為攻擊(例如信息泄露、信息竊取、數(shù)據(jù)篡改、數(shù)據(jù)刪添、計(jì)算機(jī)病毒等)。同時(shí),網(wǎng)絡(luò)實(shí)體還要經(jīng)受自然災(zāi)害。網(wǎng)絡(luò)安全已經(jīng)成為嚴(yán)重的社會(huì)問(wèn)題之一。

關(guān)鍵詞:網(wǎng)絡(luò)安全;對(duì)策;黑客;防火墻

1 國(guó)內(nèi)網(wǎng)絡(luò)安全現(xiàn)狀分析

隨著網(wǎng)絡(luò)尤其是因特網(wǎng)在我國(guó)的迅速普及,針對(duì)我國(guó)境內(nèi)信息系統(tǒng)的攻擊正在呈現(xiàn)快速增長(zhǎng)的勢(shì)頭,利用網(wǎng)絡(luò)傳播有害信息的手段日益翻新,據(jù)了解,從1997年底到現(xiàn)在,我國(guó)的政府部門、證券公司、銀行、ISP、ICP 等機(jī)構(gòu)的計(jì)算機(jī)網(wǎng)絡(luò)相繼遭到多次攻擊.僅2001年四月份我國(guó)有記錄在案的被來(lái)自境外黑客攻擊的案例就多達(dá)443次。我國(guó)公安機(jī)關(guān)2002年共受理各類信息網(wǎng)絡(luò)違法犯罪案件6633起,比2001年增長(zhǎng)45.9%,其中利用計(jì)算機(jī)實(shí)施的違法犯罪案件5301起,占案件總數(shù)的80%。

我國(guó)互聯(lián)網(wǎng)安全的狀況可以分為幾部分:信息和網(wǎng)絡(luò)的安全防護(hù)能力差;基礎(chǔ)信息產(chǎn)業(yè)嚴(yán)重以來(lái)國(guó)外;信息安全管理機(jī)構(gòu)權(quán)威性不夠;網(wǎng)絡(luò)安全人才短缺;全社會(huì)的信息安全意識(shí)淡薄。

2 網(wǎng)絡(luò)面臨的安全威脅

網(wǎng)絡(luò)的安全威脅主要來(lái)自以下幾個(gè)方面:

實(shí)體摧毀。實(shí)體摧毀是計(jì)算機(jī)網(wǎng)絡(luò)安全面對(duì)的“硬殺傷”威脅。主要有電磁攻擊、兵力破壞和火力打擊3種。

無(wú)意失誤。如操作員安全配置不當(dāng)造成的安全漏洞,用戶安全意識(shí)不強(qiáng),用戶口令選擇不慎,用戶將自己的賬號(hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅。

黑客攻擊。沒(méi)有預(yù)先經(jīng)過(guò)同意,就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作非授權(quán)訪問(wèn)。它主要有以下幾種形式:假冒、身份攻擊、非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作、合法用戶以未授權(quán)方式進(jìn)行操作等。某些新的信息技術(shù)在大大方便使用者的同時(shí),也為“黑客”的入侵留下了大大小小的系統(tǒng)安全漏洞,令系統(tǒng)內(nèi)部或外部人員可以輕易地對(duì)系統(tǒng)進(jìn)行惡意入侵。比如,黑客可以使用一種稱為“IP spoofing”的技術(shù),假冒用戶IP地址,從而進(jìn)入內(nèi)部IP 網(wǎng)絡(luò),對(duì)網(wǎng)頁(yè)及內(nèi)部數(shù)據(jù)庫(kù)進(jìn)行破壞性修改或進(jìn)行反復(fù)的大量的查詢操作,使服務(wù)器不堪重負(fù)直至癱瘓。

病毒破壞。大量的來(lái)自于互聯(lián)網(wǎng)上的病毒。通過(guò)網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒,其破壞性非常高, 而且用戶很難防范。如眾所周知的CIH、“愛蟲”,以及“沖擊波”、“震蕩波”等病毒都具有極大的破壞性。這些病毒在互聯(lián)網(wǎng)上以幾何級(jí)數(shù)進(jìn)行自我繁殖,在短時(shí)間內(nèi)導(dǎo)致大量的計(jì)算機(jī)系統(tǒng)癱瘓,損失慘重?，F(xiàn)在,互聯(lián)網(wǎng)上病毒的種類五花八門, 不計(jì)其數(shù),其對(duì)計(jì)算機(jī)系統(tǒng)的危害更是令所有的互聯(lián)網(wǎng)用戶以及網(wǎng)絡(luò)安全專家面臨巨大的挑戰(zhàn)。

TCP/IP 協(xié)議上的某些不安全因素。目前廣泛使用的TCP/IP協(xié)議存在安全漏洞。如IP層協(xié)議就有許多安全缺陷。IP地址可以軟件設(shè)置,這就造成了地址假冒和地址欺騙兩類安全隱患;IP協(xié)議支持源路由方式,即源點(diǎn)可以指定信息包傳送到目的節(jié)點(diǎn)的中間路由,這就提供了源路由攻擊的條件。再如應(yīng)用層協(xié)議Telnet,FTP,SMTP等協(xié)議缺乏認(rèn)證和保密措施,這就為否認(rèn)、拒絕等欺騙行為開了方便之門。

網(wǎng)絡(luò)軟件的漏洞和“后門”。網(wǎng)絡(luò)軟件不可能是百分之百的無(wú)缺陷和無(wú)漏洞的,然而,這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)。另外,軟件的“后門”都是軟件公司的設(shè)計(jì)編程人員為了自便而設(shè)置的,一般不為外人所知,但一旦“后門”被打開,其造成的后果將不堪設(shè)想。

網(wǎng)絡(luò)濫用。在一些企業(yè)的內(nèi)部網(wǎng)上,對(duì)不恰當(dāng)?shù)腤EB站點(diǎn)進(jìn)行訪問(wèn)、收發(fā)垃圾郵件、利用網(wǎng)絡(luò)與其他員工或網(wǎng)絡(luò)用戶進(jìn)行非正當(dāng)通訊等情況普遍存在,導(dǎo)致大量網(wǎng)絡(luò)資源的無(wú)謂消耗,使網(wǎng)絡(luò)的使用效率和安全性能大大降低,甚至影響正常的網(wǎng)絡(luò)通訊。

3 網(wǎng)絡(luò)安全問(wèn)題的對(duì)策

網(wǎng)絡(luò)安全所采用的關(guān)鍵技術(shù)和措施有:

保密工作。對(duì)工作人員結(jié)合機(jī)房、硬件、軟件、數(shù)據(jù)和網(wǎng)絡(luò)等各個(gè)方面安全問(wèn)題,進(jìn)行安全教育,提高工作人員的保密觀念和責(zé)任心;加強(qiáng)業(yè)務(wù)、技術(shù)的培訓(xùn),提高操作技能;教育工作人員嚴(yán)格遵守操作規(guī)程和各項(xiàng)保密規(guī)定,防止人為事故的發(fā)生。

保護(hù)傳輸線路安全。對(duì)于傳輸線路,應(yīng)有露天保護(hù)措施或埋于地下,并要求遠(yuǎn)離各種輻射源,以減少各種輻射引起的數(shù)據(jù)錯(cuò)誤;電纜鋪設(shè)應(yīng)當(dāng)使用金屬導(dǎo)管,以減少各種輻射引起的電磁泄露和對(duì)發(fā)送線路的干擾。對(duì)連接要定期檢查,以檢測(cè)是否有搭線竊聽、外連或破壞行為。

目前主要防護(hù)措施有兩類:一類是對(duì)外圍輻射的防護(hù),主要采取對(duì)電源線和信號(hào)線加裝性能良好的濾波器,減小傳輸阻抗和導(dǎo)線間的交叉耦合;給網(wǎng)絡(luò)加裝電磁屏蔽網(wǎng),防止敵方電磁武器的攻擊。另一類是對(duì)自身輻射的防護(hù),這類防護(hù)措施又可分為兩種:一是采用各種電磁屏蔽措施,如對(duì)設(shè)備的金屬屏蔽和各種接插件的屏蔽,同時(shí)對(duì)機(jī)房的下水管、暖氣管和金屬門窗進(jìn)行屏蔽和隔離;二是干擾的防護(hù)措施,即在計(jì)算機(jī)系統(tǒng)工作的同時(shí),利用干擾裝置產(chǎn)生一種與計(jì)算機(jī)系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來(lái)掩蓋計(jì)算機(jī)系統(tǒng)的工作頻率和信息特征。

防御黑客攻擊。黑客攻擊是黑客自己開發(fā)或利用已有的工具尋找計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的缺陷和漏洞,并對(duì)這些缺陷實(shí)施攻擊。在計(jì)算機(jī)網(wǎng)絡(luò)飛速發(fā)展的同時(shí),黑客技術(shù)也日益高超,目前黑客能運(yùn)用的攻擊軟件已有1000多種。從網(wǎng)絡(luò)防御的角度講,計(jì)算機(jī)黑客是一個(gè)揮之不去的夢(mèng)魘。借助黑客工具軟件,黑客可以有針對(duì)性地頻頻對(duì)敵方網(wǎng)絡(luò)發(fā)動(dòng)襲擊令其癱瘓,多名黑客甚至可以借助同樣的軟件在不同的地點(diǎn)“集中火力”對(duì)一個(gè)或者多個(gè)網(wǎng)絡(luò)發(fā)起攻擊。而且,黑客們還可以把這些軟件神不知鬼不覺地通過(guò)互聯(lián)網(wǎng)按到別人的電腦上,然后在電腦主人根本不知道的情況下“借刀殺人”,以別人的電腦為平臺(tái)對(duì)敵方網(wǎng)站發(fā)起攻擊!美軍認(rèn)為,在未來(lái)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)攻戰(zhàn)中,“黑客戰(zhàn)”將是其基本戰(zhàn)法之一。

理論上開放系統(tǒng)都會(huì)有漏洞的,正是這些漏洞被一些擁有很高技術(shù)水平和超強(qiáng)耐性的黑客所利用。黑客們最常用的手段是獲得超級(jí)用戶口令,他們總是先分析目標(biāo)系統(tǒng)正在運(yùn)__行哪些應(yīng)用程序,目前可以獲得哪些權(quán)限,有哪些漏洞可加以利用,并最終利用這些漏洞獲取超級(jí)用戶權(quán)限,再達(dá)到他們的目的。因此,對(duì)黑客攻擊的防御,主要從訪問(wèn)控制技術(shù)、防火墻技術(shù)和信息加密技術(shù)入手。

訪問(wèn)控制。訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略,他的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問(wèn)。他也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段?？梢哉f(shuō)是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問(wèn)控制技術(shù)主要包括7種:入網(wǎng)訪問(wèn)控制;網(wǎng)絡(luò)的權(quán)限控制;目錄級(jí)安全控制;屬性安全控制;網(wǎng)絡(luò)服務(wù)器安全控制;網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制;網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制。

根據(jù)網(wǎng)絡(luò)安全的等級(jí),網(wǎng)絡(luò)空間的環(huán)境不同,可靈活地設(shè)置訪問(wèn)控制的種類和數(shù)量。

防火墻技術(shù)。防火墻是近期發(fā)展起來(lái)的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施,他是一個(gè)用以阻止網(wǎng)絡(luò)中的黑客訪問(wèn)某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障,也可稱之為控制進(jìn)/出兩個(gè)方向通信的門檻。一個(gè)防火墻系統(tǒng)通常由屏蔽路由器和代理服務(wù)器組成。屏蔽路由器是一個(gè)多端口的IP路由器,他通過(guò)對(duì)每一個(gè)到來(lái)的IP包依據(jù)一組規(guī)則進(jìn)行檢查來(lái)判斷是否對(duì)之進(jìn)行轉(zhuǎn)發(fā)。代理服務(wù)器是防火墻系統(tǒng)中的一個(gè)服務(wù)器進(jìn)程,他能夠代替網(wǎng)絡(luò)用戶完成特定的TCP/IP功能。一個(gè)代理服務(wù)器本質(zhì)上是一個(gè)應(yīng)用層的網(wǎng)關(guān),一個(gè)為特定網(wǎng)絡(luò)應(yīng)用而連接兩個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。目前的防火墻主要有包過(guò)濾防火墻、代理防火墻和雙穴主機(jī)防火墻3種類型,并在計(jì)算機(jī)網(wǎng)絡(luò)得到了廣泛的應(yīng)用。防火墻的確是一種重要的新型安全措施。但是,防火墻也不能解決進(jìn)入防火墻的數(shù)據(jù)帶來(lái)的所有安全問(wèn)題。如果用戶抓來(lái)一個(gè)程序在本地運(yùn)行,那個(gè)程序很可能就包含一段惡意的代碼,或泄露敏感信息,或?qū)χM(jìn)行破壞。防火墻的另一個(gè)缺點(diǎn)是很少有防火墻制造商推出簡(jiǎn)便易用的“監(jiān)獄看守”型的防火墻,大多數(shù)的產(chǎn)品還停留在需要網(wǎng)絡(luò)管理員手工建立的水平上。

信息加密技術(shù)。信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息,保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密3種。

①鏈路加密的目的是保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路信息安全;

②端-端加密的目的是對(duì)源端用戶到目的端用戶的數(shù)據(jù)提供保護(hù);

③節(jié)點(diǎn)加密的目的是對(duì)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供保護(hù)。

用戶可根據(jù)網(wǎng)絡(luò)情況酌情選擇上述加密方式。信息加密過(guò)程是由形形色色的加密算法來(lái)具體實(shí)施,他以很小的代價(jià)提供很大的安全保護(hù)。在多數(shù)情況下,信息加密是保證信息機(jī)密性的惟一方法。據(jù)不完全統(tǒng)計(jì),到目前為止,已經(jīng)公開發(fā)表的各種加密算法多達(dá)數(shù)百種。如果按照收發(fā)雙方密鑰是否相同來(lái)分類,可以將這些加密算法分為常規(guī)密碼算法和公鑰密碼算法。

在常規(guī)密碼中,收信方和發(fā)信方使用相同的密鑰,即加密密鑰和解密密鑰是相同或等價(jià)的。在公鑰密碼中,收信方和發(fā)信方使用的密鑰互不相同,而且?guī)缀醪豢赡軓募用苊荑€推導(dǎo)出解密密鑰。當(dāng)然在實(shí)際應(yīng)用中人們通常將常規(guī)密碼和公鑰密碼結(jié)合在一起使用,比如:利用DES或者IDEA來(lái)加密信息,而采用RSA來(lái)傳遞會(huì)話密鑰。密碼技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一。一個(gè)加密網(wǎng)絡(luò),不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng),而且也是對(duì)付惡意軟件的有效方法之一。

防御計(jì)算機(jī)病毒。如果說(shuō),黑客們?nèi)肭钟?jì)算機(jī)網(wǎng)絡(luò)事件是從計(jì)算機(jī)網(wǎng)絡(luò)中向外竊取信息情報(bào)的話。那么計(jì)算機(jī)病毒則是人們向內(nèi)攻擊計(jì)算機(jī)網(wǎng)絡(luò)的方法了。目前計(jì)算機(jī)病毒已經(jīng)攪得世界不得安寧,并且他將繼續(xù)逞兇在未來(lái)的信息戰(zhàn)場(chǎng)之上,成為各國(guó)軍隊(duì)不得不認(rèn)真對(duì)付的一種高技術(shù)武器。

由于計(jì)算機(jī)病毒的傳染性、潛伏性和巨大的破壞性。計(jì)算機(jī)病毒作為信息戰(zhàn)的武器,其攻防對(duì)抗的焦點(diǎn)和關(guān)鍵技術(shù)是病毒的制作技術(shù)、注入技術(shù)、激活技術(shù)和隔離技術(shù),其中實(shí)施病毒戰(zhàn)難度最大的是注入、激活和隔離技術(shù)。防御計(jì)算機(jī)病毒,首先要進(jìn)行計(jì)算機(jī)病毒的種類、性能、干擾機(jī)理的研究,加強(qiáng)計(jì)算機(jī)病毒注入、激活、耦合技術(shù)的研究和計(jì)算機(jī)病毒的防御技術(shù)的研究。但是要從根本上解決問(wèn)題,就必須要用我國(guó)自己的安全設(shè)備加強(qiáng)信息與網(wǎng)絡(luò)的安全性,大力發(fā)展基于自主技術(shù)的信息安全產(chǎn)業(yè)。這樣才能從根本上擺脫引進(jìn)國(guó)外的關(guān)鍵信息系統(tǒng)難以安全利用、有效監(jiān)控的被動(dòng)局面。

4 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。它主要是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。