黃石泉

摘要：本文介紹了網(wǎng)絡(luò)安全的主要危險(xiǎn)，闡述了一些基本的防范技術(shù)以及安全策略，供大家參考。

關(guān)鍵詞：計(jì)算機(jī)；網(wǎng)絡(luò)安全；防范技術(shù)；安全策略

1 前言

計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展，特別是Intemet在全球的普及．計(jì)算機(jī)網(wǎng)絡(luò)的安全問題已引起人們的極大重視。由于計(jì)算機(jī)網(wǎng)絡(luò)的自身特點(diǎn)——聯(lián)結(jié)形式多樣性、終端分布不均勻以及網(wǎng)絡(luò)的開放性、互聯(lián)性，致使網(wǎng)絡(luò)易受到非法入侵，而計(jì)算機(jī)網(wǎng)絡(luò)的安全直接影響到政治、經(jīng)濟(jì)、軍事、科學(xué)以及日常生活等各個(gè)領(lǐng)域。網(wǎng)絡(luò)的安全措施應(yīng)能全方位地針對(duì)各種不同的威脅，確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。

2 網(wǎng)絡(luò)信息安全的主要威脅

網(wǎng)絡(luò)安全所面臨的威脅來(lái)自很多方面，并且隨著時(shí)間的變化而變化。這些威脅可以宏觀地分為人為威脅和自然威脅。

2．1 自然威脅

自然威脅可能來(lái)自于各種自然災(zāi)害、惡劣的場(chǎng)地環(huán)境、電磁輻射和電磁干擾、網(wǎng)絡(luò)設(shè)備的自然老化等。這些無(wú)目的的事件，有時(shí)會(huì)直接威脅網(wǎng)絡(luò)的安全，影響信息的存儲(chǔ)媒體。

2．2 人為威脅——一黑客攻擊與計(jì)算機(jī)病毒

人為威脅就是說對(duì)網(wǎng)絡(luò)的人為攻擊。這些攻擊手段都是通過尋找系統(tǒng)的弱點(diǎn)，以便達(dá)到破壞、欺騙、竊取數(shù)據(jù)等目的，造成經(jīng)濟(jì)上和政治上不可估量的損失。

網(wǎng)絡(luò)安全的人為威脅主要來(lái)自用戶和惡意軟件即計(jì)算機(jī)病毒的非法侵入，計(jì)算機(jī)病毒是利用程序干擾或破壞系統(tǒng)正常工作的一種手段，它的產(chǎn)生和蔓延給信息系統(tǒng)的可靠性和安全性帶來(lái)嚴(yán)重的威脅和巨大的損失。

3 網(wǎng)絡(luò)安全的幾項(xiàng)關(guān)鍵防范技術(shù)

3．1 防火墻技術(shù)

防火墻(firewal1)是指一個(gè)由軟件內(nèi)部或和硬件設(shè)備組合而成，用在專用網(wǎng)(如企業(yè)網(wǎng)、校園網(wǎng))和Internet之間設(shè)置的安全系統(tǒng)。它的作用是限制外界用戶內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限，是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障。根據(jù)防火墻的結(jié)構(gòu)，它可以干預(yù)不同網(wǎng)絡(luò)的任何消息傳送。

防火墻可以決定一個(gè)數(shù)據(jù)組或一種連接是否通過，這種結(jié)構(gòu)能夠保護(hù)網(wǎng)絡(luò)的安全性。

3．1．1 防火墻的優(yōu)點(diǎn)。① 防火墻充當(dāng)一個(gè)安全策略的檢查站；②防火墻能記錄互聯(lián)網(wǎng)上的活動(dòng)；③防火墻能保護(hù)暴露的用戶點(diǎn)；④ 防火墻加強(qiáng)了安全策略。

3．1．2 防火墻的組成。防火墻主要有安全操作系統(tǒng)、過濾器、域名服務(wù)、網(wǎng)關(guān)和E—mail處理5部分組成，防火墻各組成部分的功能如下：①過濾器執(zhí)行由防火墻管理機(jī)構(gòu)制定的一組規(guī)則，對(duì)各數(shù)據(jù)進(jìn)行檢驗(yàn)。這些規(guī)則按IP地址、端口號(hào)碼和各類應(yīng)用等參數(shù)確定。②域名服務(wù)使內(nèi)域中主機(jī)的內(nèi)部地址不會(huì)暴露給Internet中的用戶，使內(nèi)域網(wǎng)的域名與Internet相隔離。③網(wǎng)關(guān)的功能往往由代理服務(wù)器提供，它可以在TCP／IP應(yīng)用級(jí)上控制信息流和認(rèn)證用戶。由于代理服務(wù)器在應(yīng)用級(jí)上運(yùn)行，因此，每一種應(yīng)用有一個(gè)分離的代理服務(wù)器。網(wǎng)內(nèi)外代理服務(wù)器要彼此相互認(rèn)證，以防止非法用戶進(jìn)出專用網(wǎng)。Socks服務(wù)器也通過防火墻提供網(wǎng)關(guān)支持，它可以修正客戶機(jī)的軟件，而不改動(dòng)用戶的程序。④安全的e—mail保護(hù)不同網(wǎng)絡(luò)用戶之間的通信，安全的web保護(hù)兩個(gè)web用戶之間的數(shù)據(jù)傳遞與交換。

3．2 數(shù)據(jù)加密技術(shù)

與防火墻配合使用的數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性。防止秘密數(shù)據(jù)被外部破壞所采用的主要技術(shù)手段之一，它的思想核心就是既然網(wǎng)絡(luò)本身并不安全可靠，那么所有重要信息就全部通過加密處理。按作用不同。數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存貯、數(shù)據(jù)完整性的鑒別密鑰管理技術(shù)4種。加密技術(shù)是一種效率高而又靈活的安全手段，值得在企業(yè)網(wǎng)絡(luò)中加以推廣。近幾年來(lái)我國(guó)對(duì)加密算法的研究主要集中在密碼強(qiáng)度分析和實(shí)用化研究上。

3．3 智能卡技術(shù)

與數(shù)據(jù)加密技術(shù)緊密相關(guān)的另一項(xiàng)技術(shù)則是智能卡技術(shù)。所謂智能卡就是密匙的一種媒體，一般就像信用卡一樣，由授權(quán)用戶所持有并由該用戶賦予它一個(gè)口令或密碼字，該密碼與網(wǎng)絡(luò)服務(wù)器上注冊(cè)的密碼一致，當(dāng)口令與身份特征共同使用時(shí)，智能卡的保密性能還是相當(dāng)有效的。

4計(jì)算機(jī)網(wǎng)絡(luò)的安全策略

4．1 物理安全策略

物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；驗(yàn)證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活動(dòng)的發(fā)生。抑制和防止電磁泄漏，是物理安全策略的一個(gè)主要問題。目前主要防護(hù)措施有兩類：一類是對(duì)傳導(dǎo)發(fā)射的防護(hù)，主要采取對(duì)電源線和信號(hào)線加裝性良好的濾波器，減小傳輸阻抗和導(dǎo)線間的交叉耦合。另一類是對(duì)輻射的防護(hù)，這類防護(hù)措施又可分為以下兩種：一是采用各種電磁屏蔽措施，如對(duì)設(shè)備的金屬屏蔽和各種接插件的屏蔽；二是干擾的防護(hù)措施，即在計(jì)算機(jī)系統(tǒng)工作的同時(shí)，利用干擾裝置產(chǎn)生一種與計(jì)算機(jī)系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來(lái)掩蓋計(jì)算機(jī)系統(tǒng)的工作頻率信息特征。

4．2 訪問控制策略

入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們?cè)谀呐_(tái)工作站入網(wǎng)。用戶的入網(wǎng)訪問控制可分為三個(gè)步驟：用戶名的識(shí)別與驗(yàn)證，用戶口令的識(shí)別與驗(yàn)證。用戶賬號(hào)的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未過，該用戶便不能進(jìn)入該網(wǎng)絡(luò)。對(duì)網(wǎng)絡(luò)用戶的用戶名和口令進(jìn)行驗(yàn)證是防止非法訪問的首道防線和入網(wǎng)的關(guān)鍵所在。為保證口令的安全性?？诹畋仨毥?jīng)加密，加密的方法最常見的有：基于單向函數(shù)的口令加密，基于測(cè)試模式的加令加密，基于公鑰加密方案的口令加密，基于平方剩余的口令加密，基于多項(xiàng)式共享的口令加密，基于數(shù)字簽名方案的口令加密等。經(jīng)過上述方法加密的口令，即使是系統(tǒng)管理員也難以得到它。用戶還可采用一次性用戶口令。也可用便攜式驗(yàn)證器(如智能卡)來(lái)驗(yàn)證用戶的身份。網(wǎng)絡(luò)管理員應(yīng)該可以控制和限制普通用戶的賬號(hào)使用，訪問網(wǎng)絡(luò)的時(shí)間、方式。用戶名或用戶賬號(hào)是所有計(jì)算機(jī)系統(tǒng)中最基本的安全形式。用戶賬號(hào)應(yīng)只有系統(tǒng)管理員才能建立。用戶可以修改自己的口令。但系統(tǒng)管理員應(yīng)控制口令的最小長(zhǎng)度、強(qiáng)制修改口令的時(shí)間間隔、口令的唯一性、口令過期失效后允許入網(wǎng)的寬限次數(shù)。用戶名和口令驗(yàn)證有效之后。再進(jìn)一步執(zhí)行用戶賬號(hào)的缺省限制檢查。網(wǎng)絡(luò)應(yīng)該能控制用戶登錄入網(wǎng)的站點(diǎn)。限制用戶入網(wǎng)的時(shí)間和工作站數(shù)量。當(dāng)用戶對(duì)交費(fèi)網(wǎng)絡(luò)的訪問“資費(fèi)”用盡時(shí)，網(wǎng)絡(luò)應(yīng)對(duì)甩戶賬號(hào)加以限制。使其無(wú)法訪問網(wǎng)絡(luò)資源。網(wǎng)絡(luò)應(yīng)對(duì)所有用戶的訪問進(jìn)行審計(jì)。

4．3 目錄級(jí)安全控制

網(wǎng)絡(luò)應(yīng)允許控制用戶對(duì)目錄、文件、設(shè)備的訪問。用戶在目錄一級(jí)指定的權(quán)限制對(duì)所有文件和子目錄有效。用戶還可進(jìn)一步指定對(duì)目錄下的子目錄和文件的權(quán)限。對(duì)目錄和文件的訪問權(quán)限一般有八種：系統(tǒng)管理員權(quán)限、讀權(quán)限、寫權(quán)限、創(chuàng)建權(quán)限、刪除權(quán)限、修改權(quán)限、文件查找權(quán)限、存取控制權(quán)限。用戶對(duì)文件或目標(biāo)的有效權(quán)限取決于以下幾個(gè)因素：用戶的受托者指派、用戶所在組的受托者指派、繼承權(quán)限屏蔽取消的用戶權(quán)限。一個(gè)網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)當(dāng)為用戶指定適當(dāng)?shù)脑L問權(quán)限以控制用戶對(duì)服務(wù)器的訪問。八種訪問權(quán)限的有效組合能有效地控制用戶對(duì)服務(wù)器資源的訪問，從而加強(qiáng)了網(wǎng)絡(luò)和服務(wù)器的安全性。

5 結(jié)束語(yǔ)

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問題。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問題，其中也會(huì)涉及到是否構(gòu)成犯罪行為的問題。在其最簡(jiǎn)單的形式中，它主要關(guān)心的是確保無(wú)關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時(shí)，它關(guān)心的對(duì)象是那些無(wú)權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。

網(wǎng)絡(luò)安全的目的在于為用戶提供信息的保密，認(rèn)證和完整性保護(hù)機(jī)制，使網(wǎng)絡(luò)中的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞。比如防火墻，認(rèn)證，加密技術(shù)等都是當(dāng)今常用的方法。