賀晨光

(中國人民解放軍91913部隊,遼寧 大連 116000)

自有計算機網(wǎng)絡(luò)以來,網(wǎng)絡(luò)安全問題就成為網(wǎng)絡(luò)使用者必須面對的問題,而因特網(wǎng)的廣泛普及更給網(wǎng)絡(luò)帶來了較多的安全隱患。網(wǎng)絡(luò)被“黑”的報道時常見諸于報端,因為網(wǎng)絡(luò)安全問題所造成的經(jīng)濟損失更是觸目驚心。據(jù)美國FBI的調(diào)查,美國每年因為網(wǎng)絡(luò)安全造成的經(jīng)濟損失超過170億美元。網(wǎng)絡(luò)安全遵循“木桶理論”，即網(wǎng)絡(luò)中只要存在一個薄弱環(huán)節(jié)，就會使整個網(wǎng)絡(luò)面臨威脅。了解網(wǎng)絡(luò)中存在的不安全因素,掌握網(wǎng)絡(luò)安全的防范措施，提高企業(yè)員工的安全防范意識已成為當(dāng)務(wù)之急。

1 網(wǎng)絡(luò)的不安全因素

1.1 操作系統(tǒng)安全

操作系統(tǒng)作為計算機系統(tǒng)的基礎(chǔ)軟件,是用來管理計算機軟、硬件資源的，它直接利用計算機硬件并為用戶提供使用和編程接口。各種應(yīng)用軟件均建立在操作系統(tǒng)提供的系統(tǒng)軟件平臺上，上層的應(yīng)用軟件必須依賴于操作系統(tǒng)提供的系統(tǒng)軟件基礎(chǔ)，才能獲得運行的高可靠性和信息的完整性、保密性。同理，在網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)系統(tǒng)的安全性依賴于網(wǎng)絡(luò)中各主機系統(tǒng)的安全性，而主機系統(tǒng)的安全性正是由其網(wǎng)絡(luò)操作系統(tǒng)的安全性所決定的。如果操作系統(tǒng)存在缺陷和漏洞，就極易成為黑客攻擊的目標(biāo)。因此，操作系統(tǒng)安全是計算機網(wǎng)絡(luò)安全的基礎(chǔ)。

1.2 病毒的威脅

信息技術(shù)的飛速發(fā)展極大地推動了計算機和網(wǎng)絡(luò)的普及，但同時也促進(jìn)了計算機病毒的發(fā)展，因特網(wǎng)更是病毒孳生和傳播的溫床。從早期的“小球病毒”到駭人聽聞的CIH和“美麗殺手”，再到典型的“沖擊波”“振蕩波”，病毒一直是計算機系統(tǒng)最直接的安全威脅。

1.3 網(wǎng)絡(luò)外部的攻擊

攻擊者入侵國家機構(gòu)、軍事機構(gòu)和企業(yè)的網(wǎng)站，有的是為了獲取國家機密，達(dá)到一定的政治目的;有的是為了竊取網(wǎng)絡(luò)上的重要信息、用戶口令、數(shù)據(jù)庫資料，擊敗競爭對手;有的是為了顯示自己高超的網(wǎng)絡(luò)水平;有的是故意制造惡作劇、進(jìn)行網(wǎng)上恐怖活動。雖然目的不一，但均對網(wǎng)絡(luò)的信息安全系統(tǒng)構(gòu)成威脅。更有甚者，攻擊者可以摧毀網(wǎng)絡(luò)節(jié)點，釋放計算機病毒，造成整個網(wǎng)絡(luò)系統(tǒng)的癱瘓。

近幾年，出現(xiàn)的拒絕服務(wù)（DOS）和分布式拒絕服務(wù)（DDOS）攻擊，讓企業(yè)網(wǎng)管人員比較頭疼。這種攻擊，來自于不同地域，會使防范難度大大增加。

1.4 網(wǎng)絡(luò)內(nèi)部的攻擊和破壞

其實，作為企業(yè)來說，網(wǎng)絡(luò)上最大的威脅來自起企業(yè)內(nèi)部。那些對企業(yè)心懷不滿的員工、被解雇的職員、受信任的客戶、咨詢顧問等所有能進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的人都有可能對系統(tǒng)造成威脅。此外，安全意識淡薄的人的各種行為如不注意口令的保密、使用來歷不明的存儲介質(zhì)、將自己的賬號隨意轉(zhuǎn)借他人或與別人共享、各種誤操作等，都可以對網(wǎng)絡(luò)造成極大的破壞。統(tǒng)計資料表明，此類問題在網(wǎng)絡(luò)安全中的比例高達(dá)70%。

2 網(wǎng)絡(luò)安全的防范措施

2.1 提高安全意識，加大安全管理力度

對網(wǎng)絡(luò)系統(tǒng)的安全來說，最重要的是網(wǎng)絡(luò)系統(tǒng)體系的“安全管理”。應(yīng)遵“七分管理，三分技術(shù)”的安全原則。因此，要保證網(wǎng)絡(luò)安全，首先必須重視網(wǎng)絡(luò)安全管理，要把網(wǎng)絡(luò)安全管理的各項措施落到實處。第一，配備專業(yè)的安全管理人員。安全管理要有專人負(fù)責(zé)，同時還要有技術(shù)人員去落實。第二，控制對網(wǎng)絡(luò)的訪問和使用?？刂朴脩魧W(wǎng)絡(luò)的訪問和使用的目的是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。第三，增強防病毒意識。查、殺病毒是確保網(wǎng)絡(luò)系統(tǒng)安全的必不可少的重要手段。第四，及時做好數(shù)據(jù)備份。做好數(shù)據(jù)備份工作，確保網(wǎng)絡(luò)信息的安全。

2.1 及時修補“漏洞”

網(wǎng)絡(luò)軟件不可能無缺陷、無漏洞，這些漏洞和缺陷正是黑客攻擊的首選目標(biāo)。系統(tǒng)、各種服務(wù)及應(yīng)用軟件的漏洞會越來越多地被發(fā)現(xiàn)、修補，發(fā)現(xiàn)漏洞、修補漏洞是一個反復(fù)不斷的過程。因此，系統(tǒng)及網(wǎng)絡(luò)管理員要及時與生產(chǎn)廠家聯(lián)系，安裝各種安全補丁，對系統(tǒng)進(jìn)行不斷地升級。我國對信息安全技術(shù)的研究開發(fā)起步較晚，目前還要走引進(jìn)、消化、吸收的道路，加快產(chǎn)品本地化步伐，最終用國內(nèi)產(chǎn)品替代國外產(chǎn)品。

2.3 利用網(wǎng)絡(luò)安全技術(shù)

防火墻技術(shù)。防火墻是一種被廣泛采用的重要的安全技術(shù)，它在內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)之間建立起一個安全網(wǎng)關(guān)，通過監(jiān)測、限制、更改數(shù)據(jù)流，盡可能地對外部網(wǎng)絡(luò)屏蔽有關(guān)被保護(hù)網(wǎng)絡(luò)的信息，從而達(dá)到抵御來自外部網(wǎng)絡(luò)的攻擊、防止不法分子入侵、保護(hù)內(nèi)部網(wǎng)絡(luò)資源的目的?？梢?，防火墻技術(shù)最適合于在企業(yè)專網(wǎng)中使用，特別是在企業(yè)專網(wǎng)與公共網(wǎng)絡(luò)互聯(lián)時使用。

入侵檢測技術(shù)。入侵檢測技術(shù)是一種主動保護(hù)自己免受黑客攻擊的網(wǎng)絡(luò)安全技術(shù)，它具有監(jiān)視分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、評估敏感系統(tǒng)和數(shù)據(jù)的完整性、識別攻擊行為、對異常行為進(jìn)行統(tǒng)計、自動收集和系統(tǒng)相關(guān)的補丁、進(jìn)行審計跟蹤識別違反安全法規(guī)的行為等功能，使系統(tǒng)管理員可以有效地監(jiān)視、審計、評估自己的系統(tǒng)。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門，它在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對內(nèi)外部攻擊和誤操作的實時保護(hù)。

漏洞掃描技術(shù)。漏洞掃描是自動檢測遠(yuǎn)端或本地主機安全脆弱點的技術(shù)。它查詢TCP/IP端口并紀(jì)錄目標(biāo)的響應(yīng)，收集關(guān)于某些特定項目的有用信息。這項技術(shù)具體是由安全掃描程序?qū)崿F(xiàn)的。安全掃描程序能夠?qū)σ粋€系統(tǒng)的代碼進(jìn)行反復(fù)獲取、編譯和運行，并對上述檢測所獲得的大量數(shù)據(jù)進(jìn)行分析，從而可以快速地在較大范圍內(nèi)發(fā)現(xiàn)系統(tǒng)的脆弱點。

加密技術(shù)。采用密碼加密技術(shù)對信息加密，是最常用的安全保護(hù)措施。該技術(shù)的特征是利用現(xiàn)代的數(shù)據(jù)加密技術(shù)來保護(hù)網(wǎng)絡(luò)系統(tǒng)中包括用戶數(shù)據(jù)在內(nèi)的所有數(shù)據(jù)流。只有指定的用戶或網(wǎng)絡(luò)設(shè)備才能夠解譯加密數(shù)據(jù)，從而在不對網(wǎng)絡(luò)環(huán)境作特殊要求的前提下從根本上解決網(wǎng)絡(luò)安全的兩大要求(網(wǎng)絡(luò)服務(wù)的可用性和信息的完整性)。這類技術(shù)一般不需要特殊的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)支持，因而實施代價主要體現(xiàn)在軟件的開發(fā)和系統(tǒng)運行維護(hù)等方面。

網(wǎng)絡(luò)防毒技術(shù)。防火墻的功能只是限制網(wǎng)絡(luò)的訪問，檢測和清除病毒還要靠病毒防治軟件。目前的病毒防治軟件基本上采用的檢測原理大致有特征碼法、校驗和法、行為碼法3種方法，以提高病毒的檢測和清除率。目前的網(wǎng)絡(luò)病毒軟件一般都加入防火墻功能，是集反毒、反黑、救護(hù)于一身的產(chǎn)品，對于網(wǎng)絡(luò)型病毒的防治是很有效的。對于重要企業(yè)網(wǎng)絡(luò)，則應(yīng)該考慮安裝專業(yè)性更強、可靠性更高、安全機制更嚴(yán)密的網(wǎng)絡(luò)防病毒系統(tǒng)。近幾年有些安全產(chǎn)品廠商也開發(fā)出比較好的防毒硬件產(chǎn)品-“防毒墻”，對于網(wǎng)絡(luò)病毒具有很好的防范作用。結(jié)合企業(yè)網(wǎng)絡(luò)的特點，在網(wǎng)絡(luò)安全的病毒防護(hù)方面應(yīng)該采用“多級防范，集中管理，以防為主，防治結(jié)合”的動態(tài)防毒策略。

3 總結(jié)

目前，企業(yè)網(wǎng)絡(luò)安全解決辦法主要依靠防火墻技術(shù)、入侵檢測技術(shù)和網(wǎng)絡(luò)防病毒技術(shù)。在實際的互聯(lián)網(wǎng)安全設(shè)計中，往往采取上述三種技術(shù)（即防火墻、入侵檢測、網(wǎng)絡(luò)防病毒）并結(jié)合數(shù)據(jù)加密技術(shù)的方法。

但是，網(wǎng)絡(luò)安全不僅僅是技術(shù)問題，更多的是社會問題。應(yīng)該加強網(wǎng)絡(luò)安全方面的宣傳和教育。加強網(wǎng)絡(luò)使用者的安全防范意識，由被動接受到主動防范才能使網(wǎng)絡(luò)安全隱患降到最低。同時還要加強信息安全的執(zhí)法力度，只有具備法律的威懾力量，才能使網(wǎng)絡(luò)入侵者三思而后行。

只要使用網(wǎng)絡(luò)就會存在網(wǎng)絡(luò)安全問題，兩者相伴而生，我們每個人都注意自己的行為方式，注重計算機網(wǎng)絡(luò)安全法規(guī)，就能充分享受和獲取網(wǎng)絡(luò)帶給我們的便利和效益。

[1]姚顧波.黑客終結(jié):網(wǎng)絡(luò)安全解決完全方案.電子工業(yè)出版社，2003.1.

[2]胡英.防火墻技術(shù)的演變.http://www.ccw.com.cn/public/tech.htm 2003.1.12.

[3]陳鵬，呂衛(wèi)鋒.基于網(wǎng)絡(luò)的入侵檢測方法研究.計算機工程與應(yīng)用，2001.3.7.

[4]周明全，呂林濤.網(wǎng)絡(luò)信息安全技術(shù).西安電子科技大學(xué)出版社.2003.11.

[5]Maiwald.E（著）；李慶榮(譯).網(wǎng)絡(luò)安全.清華大學(xué)出版社.2003.11.