文丨張海波 張軍儒 劉 江

隨著計(jì)算機(jī)的發(fā)展和普及，越來(lái)越多的人意識(shí)到網(wǎng)絡(luò)對(duì)于生產(chǎn)和生活的重要性，網(wǎng)絡(luò)把分散在各處的眾多的計(jì)算機(jī)聯(lián)系在一起，組成一個(gè)局域網(wǎng)，在這個(gè)局域網(wǎng)中，計(jì)算機(jī)之間可以共享程序、文檔、圖片等各種資源；還可以通過(guò)網(wǎng)絡(luò)使多臺(tái)計(jì)算機(jī)共享同一硬件，與此同時(shí)我們也可以通過(guò)網(wǎng)絡(luò)使用計(jì)算機(jī)發(fā)送和接收傳真，方便快捷而且經(jīng)濟(jì)實(shí)惠。

計(jì)算機(jī)安全的定義

國(guó)際標(biāo)準(zhǔn)化組織（ISO）將“計(jì)算機(jī)安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而 遭到破壞、更改和泄漏”。上述計(jì)算機(jī)安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可以理解為我們常說(shuō)的信息安全，是對(duì)于信息的保密性、 完整性和可用性的保護(hù)，而網(wǎng)絡(luò)安全性的含義則是對(duì)于信息安全的一種引申，即網(wǎng)絡(luò)安全是對(duì)網(wǎng)絡(luò)信息保密性、完整性和可用性的保護(hù)。

計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀

計(jì)算機(jī)網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬、軟件及系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然或惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)所具有的復(fù)雜性和多樣性，使得計(jì)算機(jī)的網(wǎng)絡(luò)安全成為一個(gè)需要持續(xù)關(guān)注和提高的領(lǐng)域?，F(xiàn)如今黑客的攻擊方法已然超過(guò)了計(jì)算機(jī)病毒的種類(lèi)，而且許多攻擊對(duì)于計(jì)算機(jī)來(lái)說(shuō)都是致命的。在Internet網(wǎng)絡(luò)上，因其本身沒(méi)有時(shí)空和地域的限制，所以每當(dāng)有一種新的攻擊手段產(chǎn)生，就能在一周內(nèi)傳遍全世界，它們利用網(wǎng)絡(luò)和系統(tǒng)漏洞進(jìn)行攻擊從而造成計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)癱瘓。像蠕蟲(chóng)、后門(mén)、Rootkits、DOS和Sniffer是大家耳熟能詳?shù)膸追N黑客攻擊手段。這些攻擊手段都體現(xiàn)了它們驚人的威力，而且時(shí)至今日有愈演愈烈之勢(shì)。與以前出現(xiàn)的攻擊方法相比，這幾類(lèi)攻擊手段的新變種，更加的智能化，攻擊目標(biāo)直指互聯(lián)網(wǎng)基礎(chǔ)協(xié)議和操作系統(tǒng)層次。從Web程序的控制程序到內(nèi)核級(jí)Rootlets，黑客的攻擊手法不斷的升級(jí)翻新，對(duì)用戶的信息安全防范能力不斷的發(fā)起挑戰(zhàn)。

影響計(jì)算機(jī)網(wǎng)絡(luò)安全的主要因素

1.關(guān)于網(wǎng)絡(luò)系統(tǒng)本身

目前使用較為廣泛的操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，如UNIX,MS NT 和Windows。然而黑客往往就是利用這些操作系統(tǒng)本身所存在的安全漏洞侵入系統(tǒng)。其內(nèi)容具體包括以下幾個(gè)方面：（1）穩(wěn)定性和可擴(kuò)充性方面，由于設(shè)計(jì)系統(tǒng)的不規(guī)范、不合理以及缺乏對(duì)于安全的考慮，因而使其受到影響；（2）網(wǎng)絡(luò)硬件配置的不協(xié)調(diào)，首先是文件服務(wù)器。它是網(wǎng)絡(luò)的中樞，其運(yùn)行的穩(wěn)定性、功能的完善性直接影響到網(wǎng)絡(luò)系統(tǒng)的質(zhì)量。網(wǎng)絡(luò)應(yīng)用的需求沒(méi)有引起操作者足夠的重視，設(shè)計(jì)和選型考慮不夠周密，使網(wǎng)絡(luò)功能發(fā)揮受阻，從而影響網(wǎng)絡(luò)的可靠性、擴(kuò)充性和升級(jí)換代。其次是網(wǎng)卡所用工作站選配不當(dāng)，導(dǎo)致網(wǎng)絡(luò)的不穩(wěn)定；缺乏相關(guān)的安全策略。許多站點(diǎn)在防火墻配置上無(wú)意識(shí)地?cái)U(kuò)大了訪問(wèn)權(quán)限，但是卻忽視了這些權(quán)限有可能被其他人員濫用。

2.關(guān)于來(lái)自?xún)?nèi)部的網(wǎng)絡(luò)用戶

其實(shí)相對(duì)于網(wǎng)絡(luò)安全的問(wèn)題來(lái)說(shuō)，其內(nèi)部用戶的安全威脅遠(yuǎn)大于外部網(wǎng)用戶的安全威脅，由于使用者缺乏基本的安全意識(shí)，導(dǎo)致許多應(yīng)用服務(wù)系統(tǒng)在訪問(wèn)控制及安全通信方面考慮欠佳，一旦系統(tǒng)設(shè)置錯(cuò)誤，極容易造成損失。管理制度的不健全，網(wǎng)絡(luò)管理、維護(hù)不在一個(gè)設(shè)計(jì)充分且安全的網(wǎng)絡(luò)中，以及人為因素造成的安全漏洞無(wú)疑是整個(gè)網(wǎng)絡(luò)安全的最大隱患。即使網(wǎng)絡(luò)管理員或網(wǎng)絡(luò)用戶都擁有相應(yīng)的權(quán)限 ,利用這些權(quán)限破壞網(wǎng)絡(luò)安全的隱患也是存在的。例如操作口令的泄漏 ,磁盤(pán)上的機(jī)密文件被人利用，臨時(shí)文件未及時(shí)刪除而被竊取，其內(nèi)部人員有意無(wú)意的泄漏給黑客帶來(lái)可乘之機(jī)等，都可能使網(wǎng)絡(luò)安全機(jī)制形同虛設(shè)。

3.關(guān)于有效的手段監(jiān)視、硬件設(shè)備的正確使用

黑客入侵防范體系的基礎(chǔ)——完整準(zhǔn)確的安全評(píng)估。它對(duì)現(xiàn)有或即將構(gòu)建的整個(gè)網(wǎng)絡(luò)的安全防護(hù)性可以作出科學(xué)、準(zhǔn)確的分析評(píng)估，而且可以保障將要實(shí)施的安全策略技術(shù)上的可實(shí)現(xiàn)性、經(jīng)濟(jì)上的可行性以及組織上的可執(zhí)行性。網(wǎng)絡(luò)安全評(píng)估分析就是對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行檢查，查找其中是否有可被黑客利用的漏洞，對(duì)系統(tǒng)安全現(xiàn)狀進(jìn)行相對(duì)的評(píng)估、分析，對(duì)發(fā)現(xiàn)的問(wèn)題提出建議，從而提高網(wǎng)絡(luò)系統(tǒng)安全性能的一個(gè)過(guò)程。因此評(píng)估分析技術(shù)是一種相對(duì)行之有效的安全技術(shù)。

4.關(guān)于黑客的攻擊

隨著黑客的攻擊手段不斷更新，幾乎每天都會(huì)有不同的系統(tǒng)安全問(wèn)題出現(xiàn)。然而與之相反的是，安全工具的更新速度太慢，而且絕大多數(shù)情況下需要人為的參與進(jìn)來(lái)才能發(fā)現(xiàn)以前未知的安全問(wèn)題，使得它們對(duì)于新出現(xiàn)的安全問(wèn)題總是反應(yīng)不及。當(dāng)安全工具剛發(fā)現(xiàn)并努力更正某方面的安全漏洞時(shí)，其他方面的安全問(wèn)題又出現(xiàn)了。無(wú)法做到未雨綢繆，這是網(wǎng)絡(luò)安全的致命弱點(diǎn)。

確保計(jì)算機(jī)網(wǎng)絡(luò)安全的防范措施

到底如何才能使我們的網(wǎng)絡(luò)百分之百的安全呢？答案是：不可能。之所以不可能是因?yàn)槠駷橹惯€沒(méi)有一種技術(shù)可以完全消除網(wǎng)絡(luò)安全漏洞。網(wǎng)絡(luò)的安全實(shí)際上只是實(shí)際的執(zhí)行和理想中的安全策略之間的一個(gè)平衡。從廣泛的網(wǎng)絡(luò)安全意義范圍來(lái)看，網(wǎng)絡(luò)安全不僅僅是技術(shù)問(wèn)題，更是一個(gè)管理問(wèn)題，它包含管理機(jī)構(gòu)、法律、技術(shù)、經(jīng)濟(jì)等方面。我們可以從提高網(wǎng)絡(luò)安全技術(shù)和提升操作人員的素質(zhì)入手，從以下幾個(gè)方面進(jìn)一步落實(shí)網(wǎng)絡(luò)安全的可行性管理：

1.管理制度和法律法規(guī)建設(shè)。依據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《互聯(lián)網(wǎng)站從事登載新聞業(yè)務(wù)管理暫行規(guī)定》和《中國(guó)互聯(lián)網(wǎng)絡(luò)域名注冊(cè)暫行管理辦法》建立健全各種安全機(jī)制、各種網(wǎng)絡(luò)安全制度，加強(qiáng)網(wǎng)絡(luò)安全教育和人員的培訓(xùn)。

2.嚴(yán)防網(wǎng)絡(luò)病毒的傳播。在當(dāng)前網(wǎng)絡(luò)環(huán)境下，病毒傳播擴(kuò)散快，僅用單機(jī)防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒，因此必須研發(fā)適合于局域網(wǎng)的全方位防病毒產(chǎn)品。學(xué)校、政府機(jī)關(guān)、企事業(yè)單位等網(wǎng)絡(luò)一般是內(nèi)部局域網(wǎng)，亟需一個(gè)針對(duì)各種桌面操作系統(tǒng)的防病毒軟件和基于服務(wù)器操作系統(tǒng)平臺(tái)的防病毒軟件。如果在網(wǎng)絡(luò)內(nèi)部使用電子郵件進(jìn)行信息交換，還需要一套基于郵件服務(wù)器平臺(tái)的郵件防病毒軟件，來(lái)識(shí)別隱藏在電子郵件和附件中的病毒。如果計(jì)算機(jī)要與互聯(lián)網(wǎng)相連，就需要網(wǎng)關(guān)的防病毒軟件，從而加強(qiáng)上網(wǎng)計(jì)算機(jī)的安全。所以最好使用全方位的防病毒產(chǎn)品，針對(duì)互聯(lián)網(wǎng)絡(luò)中所有可能的病毒攻擊點(diǎn)設(shè)置對(duì)應(yīng)的防病毒軟件，及時(shí)為每臺(tái)客戶端計(jì)算機(jī)打好補(bǔ)丁，加強(qiáng)日常監(jiān)測(cè)，使網(wǎng)絡(luò)免受病毒的侵襲?，F(xiàn)在網(wǎng)絡(luò)版殺毒軟件比較多，如卡巴斯基、瑞星、諾頓、360等。

3.配置相對(duì)的硬件防火墻。我們可以利用硬件防火墻，在網(wǎng)絡(luò)傳輸時(shí)執(zhí)行一種訪問(wèn)控制尺度，允許防火墻同意訪問(wèn)的人與數(shù)據(jù)進(jìn)入自己的內(nèi)部網(wǎng)絡(luò)，同時(shí)將不允許的用戶與數(shù)據(jù)拒之門(mén)外，最大限度地防止黑客隨意更改、移動(dòng)甚至刪除網(wǎng)絡(luò)上的重要信息。硬件防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機(jī)制，根據(jù)不同網(wǎng)絡(luò)的安裝需求，做好防火墻內(nèi)服務(wù)器及客戶端的各種規(guī)則配置，更加有效的利用好防火墻。

4.采用入侵檢測(cè)系統(tǒng)。入侵檢測(cè)技術(shù)是為保證系統(tǒng)的安全而設(shè)計(jì)的一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)，是一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)。在入侵檢測(cè)系統(tǒng)中利用審計(jì)記錄，識(shí)別出任何不希望有的活動(dòng)，從而達(dá)到限制這些活動(dòng)，保護(hù)系統(tǒng)安全的目的。在學(xué)校、政府機(jī)關(guān)、企事業(yè)網(wǎng)絡(luò)中采用入侵檢測(cè)技術(shù)，最好采用混合入侵檢測(cè)的方法。在網(wǎng)絡(luò)中同時(shí)采用基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，構(gòu)架出一套完整立體的主動(dòng)防御體系，同防火強(qiáng)進(jìn)行聯(lián)動(dòng)設(shè)置。

5.Web，Email，BBS的安全監(jiān)測(cè)系統(tǒng)。在網(wǎng)絡(luò)的www、Email等服務(wù)器中使用網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)，實(shí)時(shí)跟蹤、監(jiān)視網(wǎng)絡(luò)， 截獲互聯(lián)網(wǎng)上傳輸?shù)膬?nèi)容，并將其還原成完整的www、Email、FTP、Telnet等應(yīng)用內(nèi)容 ，建立保存相應(yīng)記錄的數(shù)據(jù)庫(kù)。及時(shí)發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容，及時(shí)向上級(jí)安全網(wǎng)管中心報(bào)告，并采取措施整改。

6.IP盜用問(wèn)題的解決方案。在路由器上捆綁IP和MAC地址。當(dāng)某個(gè)IP通過(guò)路由器訪問(wèn)互聯(lián)網(wǎng)時(shí)，路由器要檢查發(fā)出這個(gè)IP廣播包的工作站的 MAC是否與路由器上的MAC地址表相符，如果相符就放行，否則不允許通過(guò)路由器，同時(shí)給發(fā)出這個(gè)IP廣播包的工作站返回一個(gè)警告信息。

7.數(shù)據(jù)備份。數(shù)據(jù)備份解決網(wǎng)絡(luò)安全重要的一關(guān)，數(shù)據(jù)由于硬件故障、人為因素或破壞性病毒等原因造成數(shù)據(jù)丟失，數(shù)據(jù)備份則把損失減少到最少或者可以接受的范圍之內(nèi)，為計(jì)算機(jī)網(wǎng)絡(luò)安全守好最重要的一關(guān)。

結(jié)束語(yǔ)

網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的工程，不能僅僅依靠殺毒軟件、防火墻、漏洞檢測(cè)等硬件設(shè)備的防護(hù)，必須要意識(shí)到計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個(gè)人機(jī)系統(tǒng)，雖然安全保護(hù)的對(duì)象是計(jì)算機(jī) ,但是安全保護(hù)的主體卻是人，因此重視對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的硬件產(chǎn)品開(kāi)發(fā)及軟件研制，建立一個(gè)好的計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)，同時(shí)注重樹(shù)立人的計(jì)算機(jī)安全意識(shí)，防微杜漸，將有可能出現(xiàn)的損失降低到最低點(diǎn)，才能生成一個(gè)高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。