唐蘭娟

（中國石油呼和浩特石化公司項目經(jīng)理部，內蒙古 呼和浩特 010070）

隨著計算機技術的發(fā)展，在計算機上處理業(yè)務已由基于單機的數(shù)學運算、文件處理，基于簡單連結的內部網(wǎng)絡的內部業(yè)務處理、辦公自動化等發(fā)展到基于企業(yè)復雜的內部網(wǎng)、企業(yè)外部網(wǎng)、全球互聯(lián)網(wǎng)的企業(yè)級計算機處理系統(tǒng)和世界范圍內的信息共享和業(yè)務處理。在信息處理能力提高的同時，系統(tǒng)的連結能力也在不斷的提高。但在連結信息能力、流通能力提高的同時，基于網(wǎng)絡連接的安全問題也日益突出。本文主要從以下幾個方面進行探討：

1 計算機網(wǎng)絡安全的現(xiàn)狀

據(jù)美國金融時報報道，世界上平均每20分鐘就發(fā)生一次入侵國際互聯(lián)網(wǎng)絡的計算機安全事件，1/3的防火墻被突破。美國聯(lián)邦調查局計算機犯罪組負責人吉姆·塞特爾稱：給我精選10名“黑客”，組成小組，90天內，我將使美國趴下。一位計算機專家毫不夸張地說：如果給我一臺普通計算機、一條電話線和一個調制解調器，就可以令某個地區(qū)的網(wǎng)絡運行失常。從1997年底至今，我國的政府部門、證券公司、銀行等機構的計算機網(wǎng)絡相繼遭到多次攻擊。公安機關受理各類信息網(wǎng)絡違法犯罪案件逐年劇增，尤其以電子郵件、特洛伊木馬、文件共享等為傳播途徑的混合型病毒愈演愈烈。面對形勢日益嚴峻的現(xiàn)狀，很多單位都缺乏必要的技術設施和相關處理經(jīng)驗，很多時候都顯得有些力不從心。也正是由于受技術條件的限制，很多人對網(wǎng)絡安全的意識僅停留在如何防范病毒階段，對網(wǎng)絡安全缺乏整體意識。

2 網(wǎng)絡安全脆弱性原因

Internet所用底層TCP/IP網(wǎng)絡協(xié)議本身易受到攻擊，該協(xié)議本身的安全問題極大地影響到上層應用的安全。

Internet上廣為傳插的易用黑客和解密工具使很多網(wǎng)絡用戶輕易地獲得了攻擊網(wǎng)絡的方法和手段。

快速的軟件升級周期，會造成問題軟件的出現(xiàn)，經(jīng)常會出現(xiàn)操作系統(tǒng)和應用程序存在新的攻擊漏洞。

現(xiàn)行法規(guī)政策和管理方面存在不足。目前我國針對計算機及網(wǎng)絡信息保護的條款不細致，網(wǎng)上保密的法規(guī)制度可操作性不強，執(zhí)行不力。同時，不少單位沒有從管理制度、人員和技術上建立相應的安全防范機制。

3 網(wǎng)絡安全的主要技術

3.1 應用防火墻技術,實現(xiàn)網(wǎng)絡安全集中管理

防火墻技術。網(wǎng)絡防火墻技術是一種用來加強網(wǎng)站之間訪問控制,防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內部網(wǎng)絡,訪問內部網(wǎng)絡資源，保護內部網(wǎng)絡操作環(huán)境的特殊網(wǎng)絡互聯(lián)設備。目前的防火墻產(chǎn)品主要有堡壘主機、包過濾路由器、應用層網(wǎng)關(代理服務器)以及電路層網(wǎng)關、屏蔽主機防火墻、雙宿主機等類型。

防火墻的應用配置。在傳統(tǒng)邊界防火墻應用配置中，最主要體現(xiàn)在DMZ(非軍事區(qū))、VPN(虛擬專用網(wǎng))、DNS(域名服務器)和入侵檢測配置等幾個方面。下面具體介紹。

DMZ(非軍事區(qū))應用配置:DMZ是作為內外網(wǎng)都可以訪問的公共計算機系統(tǒng)和資源的連接點，在其中放置的都是一些可供內、外部用戶寬松訪問的服務器，或提供通信基礎服務的服務器及設備。DMZ區(qū)通常放置在帶包過濾功能的邊界路由器與防火墻之間。其典型網(wǎng)絡結構如圖1所示。

VPN(虛擬企業(yè)專網(wǎng))是目前最新的網(wǎng)絡技術之一，它的主要優(yōu)點通過公網(wǎng)，利用隧道技術進行虛擬連接，相比專線連接來說可以大幅降低企業(yè)通信成本(降低幅度在70%左右)，加上隨上VPN技術的發(fā)展，VPN通信的安全問題已基本得到解決，所以目前它是一種企業(yè)首選通信方式，得到了廣大用戶的認可和選擇。

3.2 應用防病毒技術，建立全面的網(wǎng)絡防病毒體系

在所有計算機安全威脅中，計算機病毒是最為嚴重的，它不僅發(fā)生的頻率高、損失大，而且潛伏性強、覆蓋面廣。目前防病毒措施如下：

制定系統(tǒng)的防病毒策略。為了正確選擇、配置和維護病毒防護解決方案，您的系統(tǒng)必須明確地規(guī)定保護的級別和所需采取的對策。

部署多層防御戰(zhàn)略。其中包括網(wǎng)關防病毒、服務器及群件防病毒、個人桌面計算機防病毒以及所有防病毒產(chǎn)品的統(tǒng)一管理等。

定期更新防病毒定義文件和引擎。一般情況下，更新是自動進行的，但更重要的是應定期檢查日志文件以確保正確地執(zhí)行了更新。

定期備份文件。建議您制訂一個標準程序來定期檢查從備份中恢復的數(shù)據(jù)。

預訂可發(fā)布新病毒威脅警告的電子郵件警報服務。有許多不同的機構提供這種服務，但是最關鍵的應該是您的防病毒服務供應商。

為全體職員提供全面的防病毒培訓。這種方法可以最大程度地降低系統(tǒng)內大多數(shù)病毒的發(fā)作。

3.3 應用入侵檢測技術保護主機資源,防止內外網(wǎng)攻擊

入侵檢測的第一步是信息收集，內容包括系統(tǒng)、網(wǎng)絡、數(shù)據(jù)及用戶活動的狀態(tài)和行為。而且，需要在計算機網(wǎng)絡系統(tǒng)中的若干不同關鍵點（不同網(wǎng)段和不同主機）收集信息，這除了盡可能擴大檢測范圍的因素外，還有一個重要的因素就是從一個源來的信息有可能看不出疑點，但從幾個源來的信息的不一致性卻是可疑行為或入侵的最好標識。

入侵檢測的第二步是信號分析,一般通過三種技術手段進行分析：模式匹配，統(tǒng)計分析和完整性分析。其中前兩種方法用于實時的入侵檢測，而完整性分析則用于事后分析。

3.4 應用安全漏洞掃描技術主動探測網(wǎng)絡安全漏洞

漏洞掃描主要通過以下兩種方法來檢查目標主機是否存在漏洞：在端口掃描后得知目標主機開啟的端口以及端口上的網(wǎng)絡服務，將這些相關信息與網(wǎng)絡漏洞掃描系統(tǒng)提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對目標主機系統(tǒng)進行攻擊性的安全漏洞掃描，如測試弱勢口令等。若模擬攻擊成功，則表明目標主機系統(tǒng)存在安全漏洞。目前主要采用的漏洞掃描技術方法有漏洞庫的匹配方法和插件（功能模塊技術）技術。

3.5 應用網(wǎng)站實時監(jiān)控與恢復系統(tǒng)，實現(xiàn)網(wǎng)絡安全可靠的運行

實時監(jiān)控。實時監(jiān)控、阻斷響應系統(tǒng)和闖入警告系統(tǒng)兩個實時動態(tài)的防黑客組合，既可防外，也可防內。一般說來，入侵檢測的兩大信息源是網(wǎng)絡傳輸數(shù)據(jù)和系統(tǒng)審計數(shù)據(jù)。實時監(jiān)控、阻斷響應系統(tǒng)的信息源是網(wǎng)絡傳輸數(shù)據(jù)，通過監(jiān)視和分析網(wǎng)絡上傳輸?shù)臄?shù)據(jù)包來發(fā)現(xiàn)入侵；闖入警告系統(tǒng)的信息源是系統(tǒng)審計數(shù)據(jù)，通過分析系統(tǒng)審計日志中大量的跟蹤用戶活動的細節(jié)記錄來發(fā)現(xiàn)入侵，分別在網(wǎng)絡級和系統(tǒng)級共同探測黑客的攻擊并及時做出反應和阻斷，可以通過email，給系統(tǒng)管理員傳呼文件記錄，斷掉進程，封鎖賬戶等方式來防止黑客進行更深一步的破壞，兩者是不可或缺的。系統(tǒng)級的闖入警告系統(tǒng)可以檢查出網(wǎng)絡級的實時監(jiān)控、阻斷響應系統(tǒng)查不出的攻擊，反之亦然。

多重引導系統(tǒng)的備份與恢復。為減小系統(tǒng)重裝的復雜程度，節(jié)省安裝時間，建議在使用之前對整個硬盤（包括所有分區(qū)）進行備份，為其制作一個映像文件，放在另一硬盤或光盤上;當系統(tǒng)出現(xiàn)故障時，再用這個映像文件進行恢復。這種方法對多重引導硬盤這樣的復雜系統(tǒng)尤其適用。

總之，網(wǎng)絡安全是一個系統(tǒng)的工程，不能僅僅依靠防火墻等單個的系統(tǒng)，而需要仔細考慮系統(tǒng)的安全需求，并將各種安全技術，如密碼技術等結合在一起，才能生成一個高效、通用、安全的網(wǎng)絡系統(tǒng)。

[1]余建斌.《黑客的攻擊手段及用戶對策》（北京人民郵電出版社.1998）

[2]蔡立軍：《計算機網(wǎng)絡安全技術》（中國水利水電出版社.2002）