劉云婧

（上海大屯能源股份有限公司選煤廠，江蘇 徐州 221611）

計算機(jī)網(wǎng)絡(luò)安全與防范策略淺析

劉云婧

（上海大屯能源股份有限公司選煤廠，江蘇 徐州 221611）

文章對目前計算機(jī)網(wǎng)絡(luò)存在的安全隱患進(jìn)行了分析，并探討了隱患的防范策略。

計算機(jī)；網(wǎng)絡(luò)安全；隱患；策略

互聯(lián)網(wǎng)絡(luò)正以驚人的速度改變著人民的生活方式和工作效率。從商業(yè)機(jī)構(gòu)到個人都將越來越多地通過互聯(lián)網(wǎng)處理銀行實務(wù)、購物、炒股和辦公等，從而給社會、企業(yè)乃至個人帶來了前所未有的便利，所有這一切都得益于互聯(lián)網(wǎng)的開放性和匿名特征。然而，正是這些特征也決定了互聯(lián)網(wǎng)不可避免地存在著信息安全隱患。因此如何更有效地保護(hù)重要信息數(shù)據(jù),提高計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為所有計算機(jī)網(wǎng)絡(luò)應(yīng)用必須考慮和解決的一個重要問題。

（一）計算機(jī)網(wǎng)絡(luò)安全的概念及特征

1.計算機(jī)網(wǎng)絡(luò)安全概念

ISO將計算機(jī)安全定義為：為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏。

2.計算機(jī)網(wǎng)絡(luò)安全的特征

網(wǎng)絡(luò)安全根據(jù)其本質(zhì)的界定，具有以下基本特征：（1）保密性。是指信息不泄露給非授權(quán)的個人、實體和過程，或供其使用的特性。在網(wǎng)絡(luò)系統(tǒng)的每一個層次都存在著不同的機(jī)密性，因此也需要有相應(yīng)的網(wǎng)絡(luò)安全防范措施。（2）完整性。是指網(wǎng)絡(luò)中的信息在存儲或傳輸?shù)倪^程中保持不被修改、不被破壞、不延遲、不亂序和不丟失，且不能被未經(jīng)授權(quán)的用戶進(jìn)行修改的特性。（3）可用性。可被授權(quán)實體訪問并按需求使用的特性。（4）可控性。對信息的傳播及內(nèi)容具有控制能力。

（二）危害網(wǎng)絡(luò)安全的因素

由于計算機(jī)信息系統(tǒng)已經(jīng)成為信息社會另一種形式的“金庫”和“保密室”，從而成為一些人窺視的目標(biāo)。影響計算機(jī)網(wǎng)絡(luò)安全的因素很多，并隨著時間的變化而變化。歸結(jié)起來，網(wǎng)絡(luò)安全的威脅主要來自以下幾個方面。

1.人為和自然因素

人為和自然因素主要包括以下兩個方面：（1）人為因素的威脅主要是來自于黑客，黑客利用系統(tǒng)中的安全漏洞非法進(jìn)入他人計算機(jī)系統(tǒng)，還有一些專業(yè)的商業(yè)間諜，利用間諜軟件竊取系統(tǒng)或用戶信息。（2）自然因素的威脅包括網(wǎng)絡(luò)中的軟、硬件故障、水災(zāi)及火災(zāi)等。自然因素具有很高的突發(fā)性，一般很難防止這些因素的出現(xiàn)，最好的方法是經(jīng)常進(jìn)行數(shù)據(jù)的備份和冗余設(shè)置。

2.計算機(jī)犯罪

計算機(jī)犯罪，通常是指利用竊取口令等手段非法侵入計算機(jī)信息系統(tǒng)，傳播有害信息，惡意破壞計算機(jī)系統(tǒng)，實施貪污、盜竊、詐騙和金融犯罪等活動。在一個開放的網(wǎng)絡(luò)環(huán)境中，大量信息在網(wǎng)上流動，這為不法分子提供了攻擊目標(biāo)。他們利用不同的攻擊手段，獲得訪問或修改在網(wǎng)中流動的敏感信息，闖入用戶或政府部門的計算機(jī)系統(tǒng)，進(jìn)行窺視、竊取、篡改數(shù)據(jù)。不受時間、地點、條件限制的網(wǎng)絡(luò)詐騙，其“低成本和高收益”又在一定程度上刺激了犯罪的增長，使得針對計算機(jī)信息系統(tǒng)的犯罪活動日益增多。

3.計算機(jī)病毒

當(dāng)今網(wǎng)絡(luò)安全的頭號大敵是計算機(jī)病毒，它是編制者在計算機(jī)程序中插入的破壞計算機(jī)功能或數(shù)據(jù)，并且能夠自我復(fù)制的一組計算機(jī)指令或程序代碼。計算機(jī)病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性等特點。病毒通常附在其他程序上，在這些程序運(yùn)行時進(jìn)入到系統(tǒng)中進(jìn)行擴(kuò)散。計算機(jī)感染病毒后，輕則使系統(tǒng)工作效率下降，重則造成系統(tǒng)死機(jī)或毀壞，使部分文件或全部數(shù)據(jù)丟失，甚至造成計算機(jī)主板等部件的損壞。

4.網(wǎng)絡(luò)軟件的漏洞和“后門”

網(wǎng)絡(luò)軟件存在一些缺陷和漏洞，然而，這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)。另外，軟件的“后門”都是軟件公司的設(shè)計編程人員為了自便而設(shè)置的，一般不為外人所知，一旦“后門”洞開，其造成的后果將不堪設(shè)想。

5.信息戰(zhàn)的威脅

信息戰(zhàn)，即為了國家的軍事戰(zhàn)略而采取行動，取得信息優(yōu)勢，干擾敵方的信息和信息系統(tǒng)，同時保衛(wèi)自己的信息和信息系統(tǒng)。信息技術(shù)從根本上改變了進(jìn)行戰(zhàn)爭的方法，其攻擊的首要目標(biāo)主要是連接國家政治、軍事、經(jīng)濟(jì)和整個社會的計算機(jī)網(wǎng)絡(luò)系統(tǒng)，信息武器已經(jīng)成為繼原子武器、生物武器、化學(xué)武器之后的第四類戰(zhàn)爭武器?？梢哉f未來國與國之間的對抗首先是信息技術(shù)的較量，網(wǎng)絡(luò)信息安全成為國家安全的首要前提。

6.計算機(jī)網(wǎng)絡(luò)本身存在的安全缺陷

網(wǎng)絡(luò)本身存在的安全缺陷主要包含以下幾個方面。

（1）TCP/IP協(xié)議為了獲取高的運(yùn)行效率，并沒有充分考慮安全因素，而且該協(xié)議是公開的，了解的人越多，受破壞的可能性就越大。

（2）網(wǎng)絡(luò)上數(shù)據(jù)的傳送方式大多數(shù)是網(wǎng)絡(luò)路由方式，且被傳輸?shù)男畔⒋蠖鄶?shù)沒有加密，很容易被竅聽和盜取。

（3）大多數(shù)站點在設(shè)置防火墻訪問權(quán)限時，都將其權(quán)限設(shè)置得較大，這很有可能被內(nèi)部人員濫用，甚至破壞。

（4）網(wǎng)絡(luò)中的訪問控制很復(fù)雜，且很容易導(dǎo)致配置錯誤，這就給他人提供了可乘之機(jī)。

（三）計算機(jī)網(wǎng)絡(luò)安全防范策略

計算機(jī)網(wǎng)絡(luò)安全從技術(shù)上來說,主要由防火墻、防病毒、入侵檢測等多個安全組件組成,一個單獨的組件無法確保網(wǎng)絡(luò)信息的安全性。目前廣泛運(yùn)用和比較成熟的網(wǎng)絡(luò)安全技術(shù)主要有防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、防御病毒技術(shù)、訪問與控制、物理安全策略等。

1.防火墻技術(shù)

防火墻，也可稱之為控制進(jìn)／出兩個方向通信的門檻，是網(wǎng)絡(luò)安全的屏障，配置防火墻是實現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的安全措施之一。狹義上防火墻是指安裝了防火墻軟件的主機(jī)或路由器系統(tǒng)；廣義上防火墻還包括整個網(wǎng)絡(luò)的安全策略和安全行為?？傊阑饓κ且环N網(wǎng)絡(luò)安全保障手段，是網(wǎng)絡(luò)通信時執(zhí)行的一種訪問控制尺度，其主要目標(biāo)是通過控制入、出一個網(wǎng)絡(luò)的權(quán)限，并迫使所有的連接都經(jīng)過這樣的檢查，防止一個需要保護(hù)的網(wǎng)絡(luò)遭受外界因素的干擾和破壞。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)視了內(nèi)部網(wǎng)絡(luò)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全；在物理實現(xiàn)上，防火墻是位于網(wǎng)絡(luò)特殊位置的一組硬件設(shè)備——路由器、計算機(jī)或其他特制的硬件設(shè)備。防火墻可以是一個獨立的系統(tǒng)，也可以在一個進(jìn)行網(wǎng)絡(luò)互聯(lián)的路由器上實現(xiàn)防火墻。

2.數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是指對數(shù)據(jù)及信息進(jìn)行重新編碼，從而隱藏信息內(nèi)容，使非法用戶無法獲取信息的真實內(nèi)容，只有收發(fā)雙方才能解碼并還原信息的一種技術(shù)手段。其原理是利用密鑰函數(shù)對原來可讀信息進(jìn)行翻譯，輸出不易讀的信息，從而使未被授權(quán)的人看不懂它。在需要讀取時使用密碼進(jìn)行解密即可。

數(shù)據(jù)加密技術(shù)主要有兩種類型：私匙加密和公匙加密 。

（1）私匙加密

私匙加密又稱對稱密匙加密，用來加密信息和解密信息使用的是同一個密匙。私匙加密為信息提供了進(jìn)一步的緊密性，它不提供認(rèn)證，因為使用該密匙的任何人都可以創(chuàng)建加密一條有效的消息。這種加密方法的優(yōu)點是速度快，容易在硬件和軟件中實現(xiàn)。

（2）公匙加密

公匙加密比私匙加密出現(xiàn)得晚,私匙加密使用同一個密匙加密和解密，而公匙加密使用兩個密匙，一個用于加密信息，另一個用于解密信息。公匙加密系統(tǒng)的缺點是它們通常是計算密集的，因而比私匙加密系統(tǒng)的速度慢得多，不過若將兩者結(jié)合起來，就可以得到一個更復(fù)雜的系統(tǒng)。

3.防御病毒技術(shù)

在病毒防范中普遍使用防病毒軟件，從功能上可以分為網(wǎng)絡(luò)防病毒軟件和單機(jī)防病毒軟件兩大類。單機(jī)防病毒軟件一般安裝在單臺PC機(jī)上，即對本地和本地工作站連接的遠(yuǎn)程資源采用分析掃描的方式檢測、清除病毒。網(wǎng)絡(luò)防病毒軟件則主要注重網(wǎng)絡(luò)防病毒，一旦病毒入侵網(wǎng)絡(luò)或者從網(wǎng)絡(luò)向其他資源傳染，網(wǎng)絡(luò)防病毒軟件會立刻檢測到并加以刪除。病毒的侵入必將對系統(tǒng)資源構(gòu)成威脅，因此用戶要做到“先防后除”。同時應(yīng)該養(yǎng)成定期查殺病毒的習(xí)慣，并及時更新windows操作系統(tǒng)的安裝補(bǔ)丁，做到不登錄不明網(wǎng)站等等。

4.訪問控制

訪問控制是授權(quán)控制不同用戶對信息資源的訪問權(quán)限，即誰能夠訪問系統(tǒng),能訪問系統(tǒng)的何種資源以及如何使用這些資源。它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問。訪問控制能夠阻止未經(jīng)允許的用戶獲取數(shù)據(jù)，是維護(hù)系統(tǒng)運(yùn)行安全、保護(hù)系統(tǒng)資源的一項重要技術(shù)，也是對付黑客的關(guān)鍵手段。

5.物理安全策略

物理安全策略的目的是保護(hù)路由器、交換機(jī)、工作站、各種網(wǎng)絡(luò)服務(wù)器等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線竊聽攻擊；驗證用戶的身份和使用權(quán)限，防止用戶越權(quán)操作；確保網(wǎng)絡(luò)設(shè)備有一個良好的電磁兼容工作環(huán)境；建立完備的機(jī)房安全管理制度，妥善保管備份磁帶和文檔資料；防止非法人員進(jìn)入機(jī)房進(jìn)行偷竊和破壞活動。

為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全，還要防止系統(tǒng)信息在空間的擴(kuò)散。為保證網(wǎng)絡(luò)的正常運(yùn)行，在物理安全方面通常采取如下措施：①產(chǎn)品保障方面：主要指產(chǎn)品采購、運(yùn)輸、安裝等方面的安全措施。②運(yùn)行安全方面：網(wǎng)絡(luò)中的設(shè)備，特別是安全類產(chǎn)品在使用過程中，必須能夠從生產(chǎn)廠家或供貨單位得到迅速的技術(shù)支持。對一些關(guān)鍵設(shè)備和系統(tǒng)，應(yīng)設(shè)置備份系統(tǒng)。③防電磁輻射方面：所有重要涉密的設(shè)備都需安裝防電磁輻射產(chǎn)品，如輻射干擾機(jī)。④保安方面：主要是防盜、防火等，還包括網(wǎng)絡(luò)系統(tǒng)所有網(wǎng)絡(luò)設(shè)備、計算機(jī)、安全設(shè)備的安全防護(hù)。

（四）結(jié)束語

網(wǎng)絡(luò)安全是一項動態(tài)工程，新的Internet黑客站點、病毒與安全技術(shù)每日劇增。因此網(wǎng)絡(luò)安全程度會隨著時間的變化而變化。在信息技術(shù)日新月異的今天，要永遠(yuǎn)保持在知識曲線的最高點，需要隨著時間和網(wǎng)絡(luò)環(huán)境的變化或技術(shù)的發(fā)展而不斷調(diào)整自身的安全策略。網(wǎng)絡(luò)安全問題不僅僅是技術(shù)問題，同時也是一個安全管理問題。因此只有嚴(yán)格的保密政策、明晰的安全策略才能完好、實時地保證信息的完整性和確證性，為網(wǎng)絡(luò)提供強(qiáng)大的安全服務(wù)。

[1] 謝希仁.計算機(jī)網(wǎng)絡(luò)(第四版)[M].北京:電子工業(yè)出版社,2003.

[2] 雷震亞.網(wǎng)絡(luò)工程師教程(第二版)[M].北京:清華大學(xué)出版社,2006.

[3] 葛秀慧.計算機(jī)網(wǎng)絡(luò)安全管理[M].北京:清華大學(xué)出版社,2008.

TP393.08

A

1008-1151(2011)05-0043-02

2011-01-28

劉云婧（1984－），女，江蘇徐州人，上海大屯能源股份有限公司選煤廠助理工程師。