水利部黃河水利委員會(huì)信息中心 宋宇捷

通信網(wǎng)絡(luò)安全與維護(hù)

水利部黃河水利委員會(huì)信息中心 宋宇捷

一、通信網(wǎng)絡(luò)安全的定義及其重要性

通信網(wǎng)絡(luò)安全是指信息安全和控制安全這兩部分。從國際標(biāo)準(zhǔn)化組織的角度來看，信息安全是指信息的完整性、可用性、保密性和可靠性?？刂瓢踩侵干矸菡J(rèn)證、不可否認(rèn)性、授權(quán)和訪問控制。通信網(wǎng)絡(luò)作為信息傳遞的一種主要載體，在推進(jìn)信息化建設(shè)的過程中與多種社會(huì)經(jīng)濟(jì)生活有著十分緊密的聯(lián)系。這種聯(lián)系一方面帶來了巨大的社會(huì)價(jià)值和經(jīng)濟(jì)價(jià)值；另一方面也意味著巨大的潛在危險(xiǎn)，即一旦通信網(wǎng)絡(luò)出現(xiàn)安全事故時(shí)，就有可能使成千上萬人之間的通信出現(xiàn)障礙，帶來社會(huì)價(jià)值和經(jīng)濟(jì)價(jià)值無法估計(jì)的損失。

二、通信網(wǎng)絡(luò)安全分析

針對計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)固有的開放性等特點(diǎn)，一定要加強(qiáng)和提高網(wǎng)絡(luò)管理人員的安全意識(shí)和技術(shù)水平。

1.密碼安全分析。如果明密界限不清，密件明發(fā)，且長期重復(fù)使用一種密鑰，將導(dǎo)致密碼交易被破譯，如在下發(fā)口令及密碼后沒有及時(shí)地收回，致使在口令和密碼到期后仍能通過原密碼進(jìn)入網(wǎng)絡(luò)系統(tǒng)，將造成系統(tǒng)被侵入。

2.系統(tǒng)遠(yuǎn)程登錄功能漏洞。為了方便管理，部分軟硬件系統(tǒng)在設(shè)計(jì)時(shí)留有遠(yuǎn)程終端的登錄控制通道，同時(shí)在軟件設(shè)計(jì)時(shí)不可避免地存在著許多不完善或是未發(fā)現(xiàn)的漏洞（bug），加上商用軟件源程序完全或部分公開，使得在使用通信網(wǎng)絡(luò)的過程中，如果沒有必要的安全等級鑒別和防護(hù)措施，攻擊者可以利用上述軟硬件漏洞直接侵入網(wǎng)絡(luò)系統(tǒng)，破壞或竊取通信信息。

3.電磁輻射產(chǎn)生的問題。如果傳輸信道沒有采取相應(yīng)的電磁屏蔽措施，那么在信息傳輸過程中將會(huì)向外產(chǎn)生電磁輻射，從而使得某些不法分子可以利用專門設(shè)備接收并竊取機(jī)密信息。

三、通信網(wǎng)絡(luò)安全維護(hù)措施及技術(shù)

隨著通信網(wǎng)絡(luò)功能的越來越強(qiáng)大，保護(hù)通信網(wǎng)絡(luò)中的硬件、軟件及其數(shù)據(jù)不受偶然或惡意的破壞、更改和泄露；保障系統(tǒng)連續(xù)可靠地運(yùn)行；保證網(wǎng)絡(luò)服務(wù)不中斷，成為通信網(wǎng)絡(luò)安全工作的主要內(nèi)容。為了實(shí)現(xiàn)對非法入侵的監(jiān)測、防偽、審查和追蹤，從通信線路的建立到進(jìn)行信息的傳輸，我們可以運(yùn)用以下幾種防衛(wèi)措施。

1.身份鑒別措施。身份鑒別可以通過用戶口令和密碼等鑒別方式達(dá)到網(wǎng)絡(luò)系統(tǒng)權(quán)限分級的功能，權(quán)限受限用戶在連接過程中就會(huì)被終止，從而達(dá)到網(wǎng)絡(luò)分級的效果。網(wǎng)絡(luò)授權(quán)通過向終端發(fā)放訪問許可證書來防止非授權(quán)用戶訪問網(wǎng)絡(luò)和網(wǎng)絡(luò)資源。數(shù)據(jù)保護(hù)則可以利用數(shù)據(jù)加密后的數(shù)據(jù)包發(fā)送與訪問的指向性，即使被截獲也會(huì)由于在不同協(xié)議層中加入了不同的加密機(jī)制，從而使密碼變得幾乎不可破解。

2.收發(fā)確認(rèn)措施。收發(fā)確認(rèn)是用發(fā)送確認(rèn)信息的方式，表示對發(fā)送數(shù)據(jù)和接收數(shù)據(jù)的確認(rèn)，以避免不承認(rèn)發(fā)送過的數(shù)據(jù)和不承認(rèn)接受過數(shù)據(jù)等而引起的爭執(zhí)。

3.保證數(shù)據(jù)的完整性措施。保證數(shù)據(jù)的完整性，一般是通過數(shù)據(jù)檢查核對的方式完成的，數(shù)據(jù)檢查核對方式通常有2種：一種是邊發(fā)送接收邊核對檢查，一種是接收完或后進(jìn)行核對檢查。業(yè)務(wù)流分析可阻止垃圾信息大量出現(xiàn)而造成的擁塞，同時(shí)也使得惡意網(wǎng)絡(luò)終端無法從網(wǎng)絡(luò)業(yè)務(wù)流的分析中獲得相關(guān)用戶的信息。

4.通信網(wǎng)絡(luò)安全維護(hù)措施。為了實(shí)現(xiàn)上述種種的安全措施，必須采用多種安全技術(shù)來構(gòu)筑防御系統(tǒng)，常用的主要有以下幾種技術(shù)。

（1）防火墻技術(shù)。在網(wǎng)絡(luò)的對外接口采用防火墻技術(shù)，在網(wǎng)絡(luò)層上進(jìn)行訪問控制。通過鑒別、限制、更改跨越防火墻的數(shù)據(jù)流，來實(shí)現(xiàn)對網(wǎng)絡(luò)的安全保護(hù)，最大限度地阻止網(wǎng)絡(luò)中黑客訪問網(wǎng)絡(luò)并防止黑客隨意更改、移動(dòng)甚至刪除網(wǎng)絡(luò)上的重要信息。因而防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機(jī)制。

（2）入侵檢測技術(shù)。防火墻可保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的攻擊，但它對內(nèi)部網(wǎng)絡(luò)的一些非法活動(dòng)的監(jiān)控還不夠完善，入侵檢測系統(tǒng)是對防火墻技術(shù)的重要補(bǔ)充，它積極主動(dòng)地提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵，提高系統(tǒng)的安全性。

（3）網(wǎng)絡(luò)加密技術(shù)。網(wǎng)絡(luò)加密技術(shù)的作用就是防止公用或私有的信息在網(wǎng)絡(luò)上被攔截和竊取，它是網(wǎng)絡(luò)安全的核心。采用網(wǎng)絡(luò)加密技術(shù)，對公網(wǎng)中傳輸?shù)腎P包進(jìn)行加密和封裝實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄院屯暾裕山鉀Q在公網(wǎng)上數(shù)據(jù)傳輸?shù)陌踩珕栴}，也可解決遠(yuǎn)程用戶訪問內(nèi)網(wǎng)的安全問題。

（4）身份認(rèn)證技術(shù)。提供基于身份的認(rèn)證，在各種認(rèn)證機(jī)制中都可選擇使用。通過身份認(rèn)證技術(shù)可以保障信息的機(jī)密性、完整性、不可否認(rèn)性和可控性等特性。

（5）虛擬專用網(wǎng)技術(shù)。通過一個(gè)公用網(wǎng)（一般是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，它是一條穿過混亂的公用網(wǎng)絡(luò)的安全和穩(wěn)定的隧道。通過安全的數(shù)據(jù)通道將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、公司業(yè)務(wù)伙伴等跟公司的內(nèi)網(wǎng)連接起來，構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機(jī)并不會(huì)覺察到公共網(wǎng)絡(luò)的存在，仿佛所有的機(jī)器都處于同一個(gè)網(wǎng)絡(luò)之中。

（6）漏洞掃描技術(shù)。面對網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況，僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞、做出風(fēng)險(xiǎn)評估，顯然是不夠的，我們必須通過網(wǎng)絡(luò)安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大限度地彌補(bǔ)最新的安全漏洞并消除安全隱患。

目前，解決網(wǎng)絡(luò)安全問題的大部分技術(shù)是先進(jìn)和可靠的，但是隨著社會(huì)的發(fā)展，人們對網(wǎng)絡(luò)功能的要求也在不斷提高，這就意味著通信網(wǎng)絡(luò)的安全維護(hù)是一個(gè)長遠(yuǎn)和持久的工作。為此，我們必須適應(yīng)社會(huì)發(fā)展的需求，不斷地提高技術(shù)水平，以保證網(wǎng)絡(luò)安全維護(hù)工作的順利進(jìn)行。