唐蘭娟

（中國石油呼和浩特石化公司項(xiàng)目經(jīng)理部，內(nèi)蒙古 呼和浩特 010070）

隨著計(jì)算機(jī)技術(shù)的發(fā)展，在計(jì)算機(jī)上處理業(yè)務(wù)已由基于單機(jī)的數(shù)學(xué)運(yùn)算、文件處理，基于簡單連結(jié)的內(nèi)部網(wǎng)絡(luò)的內(nèi)部業(yè)務(wù)處理、辦公自動(dòng)化等發(fā)展到基于企業(yè)復(fù)雜的內(nèi)部網(wǎng)、企業(yè)外部網(wǎng)、全球互聯(lián)網(wǎng)的企業(yè)級(jí)計(jì)算機(jī)處理系統(tǒng)和世界范圍內(nèi)的信息共享和業(yè)務(wù)處理。在信息處理能力提高的同時(shí)，系統(tǒng)的連結(jié)能力也在不斷的提高。但在連結(jié)信息能力、流通能力提高的同時(shí)，基于網(wǎng)絡(luò)連接的安全問題也日益突出。本文主要從以下幾個(gè)方面進(jìn)行探討：

1 計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀

據(jù)美國金融時(shí)報(bào)報(bào)道，世界上平均每20分鐘就發(fā)生一次入侵國際互聯(lián)網(wǎng)絡(luò)的計(jì)算機(jī)安全事件，1/3的防火墻被突破。美國聯(lián)邦調(diào)查局計(jì)算機(jī)犯罪組負(fù)責(zé)人吉姆·塞特爾稱：給我精選10名“黑客”，組成小組，90天內(nèi)，我將使美國趴下。一位計(jì)算機(jī)專家毫不夸張地說：如果給我一臺(tái)普通計(jì)算機(jī)、一條電話線和一個(gè)調(diào)制解調(diào)器，就可以令某個(gè)地區(qū)的網(wǎng)絡(luò)運(yùn)行失常。從1997年底至今，我國的政府部門、證券公司、銀行等機(jī)構(gòu)的計(jì)算機(jī)網(wǎng)絡(luò)相繼遭到多次攻擊。公安機(jī)關(guān)受理各類信息網(wǎng)絡(luò)違法犯罪案件逐年劇增，尤其以電子郵件、特洛伊木馬、文件共享等為傳播途徑的混合型病毒愈演愈烈。面對(duì)形勢(shì)日益嚴(yán)峻的現(xiàn)狀，很多單位都缺乏必要的技術(shù)設(shè)施和相關(guān)處理經(jīng)驗(yàn)，很多時(shí)候都顯得有些力不從心。也正是由于受技術(shù)條件的限制，很多人對(duì)網(wǎng)絡(luò)安全的意識(shí)僅停留在如何防范病毒階段，對(duì)網(wǎng)絡(luò)安全缺乏整體意識(shí)。

2 網(wǎng)絡(luò)安全脆弱性原因

Internet所用底層TCP/IP網(wǎng)絡(luò)協(xié)議本身易受到攻擊，該協(xié)議本身的安全問題極大地影響到上層應(yīng)用的安全。

Internet上廣為傳插的易用黑客和解密工具使很多網(wǎng)絡(luò)用戶輕易地獲得了攻擊網(wǎng)絡(luò)的方法和手段。

快速的軟件升級(jí)周期，會(huì)造成問題軟件的出現(xiàn)，經(jīng)常會(huì)出現(xiàn)操作系統(tǒng)和應(yīng)用程序存在新的攻擊漏洞。

現(xiàn)行法規(guī)政策和管理方面存在不足。目前我國針對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)信息保護(hù)的條款不細(xì)致，網(wǎng)上保密的法規(guī)制度可操作性不強(qiáng)，執(zhí)行不力。同時(shí)，不少單位沒有從管理制度、人員和技術(shù)上建立相應(yīng)的安全防范機(jī)制。

3 網(wǎng)絡(luò)安全的主要技術(shù)

3.1 應(yīng)用防火墻技術(shù),實(shí)現(xiàn)網(wǎng)絡(luò)安全集中管理

防火墻技術(shù)。網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)站之間訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。目前的防火墻產(chǎn)品主要有堡壘主機(jī)、包過濾路由器、應(yīng)用層網(wǎng)關(guān)(代理服務(wù)器)以及電路層網(wǎng)關(guān)、屏蔽主機(jī)防火墻、雙宿主機(jī)等類型。

防火墻的應(yīng)用配置。在傳統(tǒng)邊界防火墻應(yīng)用配置中，最主要體現(xiàn)在DMZ(非軍事區(qū))、VPN(虛擬專用網(wǎng))、DNS(域名服務(wù)器)和入侵檢測(cè)配置等幾個(gè)方面。下面具體介紹。

DMZ(非軍事區(qū))應(yīng)用配置:DMZ是作為內(nèi)外網(wǎng)都可以訪問的公共計(jì)算機(jī)系統(tǒng)和資源的連接點(diǎn)，在其中放置的都是一些可供內(nèi)、外部用戶寬松訪問的服務(wù)器，或提供通信基礎(chǔ)服務(wù)的服務(wù)器及設(shè)備。DMZ區(qū)通常放置在帶包過濾功能的邊界路由器與防火墻之間。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

VPN(虛擬企業(yè)專網(wǎng))是目前最新的網(wǎng)絡(luò)技術(shù)之一，它的主要優(yōu)點(diǎn)通過公網(wǎng)，利用隧道技術(shù)進(jìn)行虛擬連接，相比專線連接來說可以大幅降低企業(yè)通信成本(降低幅度在70%左右)，加上隨上VPN技術(shù)的發(fā)展，VPN通信的安全問題已基本得到解決，所以目前它是一種企業(yè)首選通信方式，得到了廣大用戶的認(rèn)可和選擇。

3.2 應(yīng)用防病毒技術(shù)，建立全面的網(wǎng)絡(luò)防病毒體系

在所有計(jì)算機(jī)安全威脅中，計(jì)算機(jī)病毒是最為嚴(yán)重的，它不僅發(fā)生的頻率高、損失大，而且潛伏性強(qiáng)、覆蓋面廣。目前防病毒措施如下：

制定系統(tǒng)的防病毒策略。為了正確選擇、配置和維護(hù)病毒防護(hù)解決方案，您的系統(tǒng)必須明確地規(guī)定保護(hù)的級(jí)別和所需采取的對(duì)策。

部署多層防御戰(zhàn)略。其中包括網(wǎng)關(guān)防病毒、服務(wù)器及群件防病毒、個(gè)人桌面計(jì)算機(jī)防病毒以及所有防病毒產(chǎn)品的統(tǒng)一管理等。

定期更新防病毒定義文件和引擎。一般情況下，更新是自動(dòng)進(jìn)行的，但更重要的是應(yīng)定期檢查日志文件以確保正確地執(zhí)行了更新。

定期備份文件。建議您制訂一個(gè)標(biāo)準(zhǔn)程序來定期檢查從備份中恢復(fù)的數(shù)據(jù)。

預(yù)訂可發(fā)布新病毒威脅警告的電子郵件警報(bào)服務(wù)。有許多不同的機(jī)構(gòu)提供這種服務(wù)，但是最關(guān)鍵的應(yīng)該是您的防病毒服務(wù)供應(yīng)商。

為全體職員提供全面的防病毒培訓(xùn)。這種方法可以最大程度地降低系統(tǒng)內(nèi)大多數(shù)病毒的發(fā)作。

3.3 應(yīng)用入侵檢測(cè)技術(shù)保護(hù)主機(jī)資源,防止內(nèi)外網(wǎng)攻擊

入侵檢測(cè)的第一步是信息收集，內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。而且，需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（不同網(wǎng)段和不同主機(jī)）收集信息，這除了盡可能擴(kuò)大檢測(cè)范圍的因素外，還有一個(gè)重要的因素就是從一個(gè)源來的信息有可能看不出疑點(diǎn)，但從幾個(gè)源來的信息的不一致性卻是可疑行為或入侵的最好標(biāo)識(shí)。

入侵檢測(cè)的第二步是信號(hào)分析,一般通過三種技術(shù)手段進(jìn)行分析：模式匹配，統(tǒng)計(jì)分析和完整性分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè)，而完整性分析則用于事后分析。

3.4 應(yīng)用安全漏洞掃描技術(shù)主動(dòng)探測(cè)網(wǎng)絡(luò)安全漏洞

漏洞掃描主要通過以下兩種方法來檢查目標(biāo)主機(jī)是否存在漏洞：在端口掃描后得知目標(biāo)主機(jī)開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測(cè)試弱勢(shì)口令等。若模擬攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。目前主要采用的漏洞掃描技術(shù)方法有漏洞庫的匹配方法和插件（功能模塊技術(shù)）技術(shù)。

3.5 應(yīng)用網(wǎng)站實(shí)時(shí)監(jiān)控與恢復(fù)系統(tǒng)，實(shí)現(xiàn)網(wǎng)絡(luò)安全可靠的運(yùn)行

實(shí)時(shí)監(jiān)控。實(shí)時(shí)監(jiān)控、阻斷響應(yīng)系統(tǒng)和闖入警告系統(tǒng)兩個(gè)實(shí)時(shí)動(dòng)態(tài)的防黑客組合，既可防外，也可防內(nèi)。一般說來，入侵檢測(cè)的兩大信息源是網(wǎng)絡(luò)傳輸數(shù)據(jù)和系統(tǒng)審計(jì)數(shù)據(jù)。實(shí)時(shí)監(jiān)控、阻斷響應(yīng)系統(tǒng)的信息源是網(wǎng)絡(luò)傳輸數(shù)據(jù)，通過監(jiān)視和分析網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包來發(fā)現(xiàn)入侵；闖入警告系統(tǒng)的信息源是系統(tǒng)審計(jì)數(shù)據(jù)，通過分析系統(tǒng)審計(jì)日志中大量的跟蹤用戶活動(dòng)的細(xì)節(jié)記錄來發(fā)現(xiàn)入侵，分別在網(wǎng)絡(luò)級(jí)和系統(tǒng)級(jí)共同探測(cè)黑客的攻擊并及時(shí)做出反應(yīng)和阻斷，可以通過email，給系統(tǒng)管理員傳呼文件記錄，斷掉進(jìn)程，封鎖賬戶等方式來防止黑客進(jìn)行更深一步的破壞，兩者是不可或缺的。系統(tǒng)級(jí)的闖入警告系統(tǒng)可以檢查出網(wǎng)絡(luò)級(jí)的實(shí)時(shí)監(jiān)控、阻斷響應(yīng)系統(tǒng)查不出的攻擊，反之亦然。

多重引導(dǎo)系統(tǒng)的備份與恢復(fù)。為減小系統(tǒng)重裝的復(fù)雜程度，節(jié)省安裝時(shí)間，建議在使用之前對(duì)整個(gè)硬盤（包括所有分區(qū)）進(jìn)行備份，為其制作一個(gè)映像文件，放在另一硬盤或光盤上;當(dāng)系統(tǒng)出現(xiàn)故障時(shí)，再用這個(gè)映像文件進(jìn)行恢復(fù)。這種方法對(duì)多重引導(dǎo)硬盤這樣的復(fù)雜系統(tǒng)尤其適用。

總之，網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的工程，不能僅僅依靠防火墻等單個(gè)的系統(tǒng)，而需要仔細(xì)考慮系統(tǒng)的安全需求，并將各種安全技術(shù)，如密碼技術(shù)等結(jié)合在一起，才能生成一個(gè)高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。

[1]余建斌.《黑客的攻擊手段及用戶對(duì)策》（北京人民郵電出版社.1998）

[2]蔡立軍：《計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)》（中國水利水電出版社.2002）