朱智

摘要：計(jì)算機(jī)網(wǎng)絡(luò)普遍存在安全問題。國際互聯(lián)網(wǎng)存在信息管理失控，網(wǎng)絡(luò)犯罪防不勝防。我國網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻。我們需要一個(gè)正確的安全策略，需要有效并且經(jīng)濟(jì)的網(wǎng)絡(luò)安全技術(shù)防范措施，包括局域網(wǎng)安全技術(shù)防范措施和廣域網(wǎng)安全技術(shù)防范措施。

關(guān)鍵詞：計(jì)算機(jī)；惡意攻擊；安全策略

1.網(wǎng)絡(luò)安全環(huán)境的現(xiàn)狀

據(jù)統(tǒng)計(jì)，現(xiàn)在全球平均每20秒鐘就發(fā)生一次網(wǎng)上入侵事件，一旦黑客找到系統(tǒng)的薄弱環(huán)節(jié)，所有用戶均會(huì)遭殃。從國內(nèi)情況來看，目前我國95％的與因特網(wǎng)相聯(lián)的網(wǎng)絡(luò)管理中心都遭到過境內(nèi)外黑客的攻擊或侵入。當(dāng)前由于這樣或那樣的原因，對(duì)網(wǎng)絡(luò)的攻擊很難完全遏制。或許，任何硬件和軟件都不可能真正成為“金剛身”，網(wǎng)絡(luò)安全是網(wǎng)絡(luò)時(shí)代永恒的任務(wù)。

2.影響網(wǎng)絡(luò)安全的原因

2.1 網(wǎng)絡(luò)資源的共享性

計(jì)算機(jī)應(yīng)用的主要表現(xiàn)便是網(wǎng)絡(luò)資源共享。當(dāng)e-mail(電子郵件)、FTP(文件下載)和telnet(遠(yuǎn)程登錄)的命令都規(guī)定為標(biāo)準(zhǔn)化時(shí)，學(xué)習(xí)和使用網(wǎng)絡(luò)對(duì)于非工程技術(shù)人員變的非常容易。很多時(shí)候，在將自己的重要資料共享給局域網(wǎng)中的其他用戶訪問時(shí)，我們往往有很大的隨意性，這種做法帶來了安全隱患。美國情報(bào)部門認(rèn)為，現(xiàn)在很多極有價(jià)值的情報(bào)都可以在互聯(lián)網(wǎng)上找到，網(wǎng)絡(luò)搜尋幾乎能夠取代費(fèi)盡人力物力且風(fēng)險(xiǎn)極大的傳統(tǒng)間諜手段。美國軍方研究中國軍情的權(quán)威文件——《中國軍事與安全態(tài)勢(shì)發(fā)展報(bào)告》中，有相當(dāng)一部分信息取自中國軍迷們發(fā)布的網(wǎng)絡(luò)信息。為了滿足互聯(lián)網(wǎng)情報(bào)資源開發(fā)的需要，2005年11月，美國中央情報(bào)局組建了“開源情報(bào)中心”，專門負(fù)責(zé)搜集全球各個(gè)網(wǎng)站、論壇、博客里的軍事信息。通過網(wǎng)上信息，結(jié)合已掌握的情況，美軍不僅能夠了解他國基本軍事動(dòng)態(tài)，還能夠獲取武器裝備數(shù)據(jù)、軍事人員信息等核心機(jī)密。

2.2 網(wǎng)絡(luò)的開放性

開放性是因特網(wǎng)最根本的特性，整個(gè)因特網(wǎng)就是建立在自由開放的基礎(chǔ)之上的?；ヂ?lián)網(wǎng)的開放性不僅僅是技術(shù)層面上的，它還有更深的底蘊(yùn)。開放性意味著任何人都能夠得到發(fā)表在網(wǎng)絡(luò)上的任何事物，意味著任何個(gè)人、任何組織包括國家和政府，都不能完全控制互聯(lián)網(wǎng)。這實(shí)質(zhì)上意味著個(gè)體權(quán)利和能力的擴(kuò)張及其對(duì)傳統(tǒng)的金字塔模式的社會(huì)政治經(jīng)濟(jì)結(jié)構(gòu)和體制的消解。任何一個(gè)國家都是一個(gè)封閉程度不一的實(shí)體，它壟斷著信息，孤立的個(gè)人在強(qiáng)大的壟斷組織面前是弱小無依的，根本沒有力量同國家對(duì)抗。而開放網(wǎng)絡(luò)的出現(xiàn)在很大程度上削弱了國家對(duì)信息的控制，為個(gè)體對(duì)國家和社會(huì)的基于實(shí)力平等的挑戰(zhàn)提供了可能。

2.3 網(wǎng)絡(luò)操縱系統(tǒng)的漏洞

一個(gè)較為通俗的網(wǎng)絡(luò)漏洞的描述性定義是：存在于計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的、可能對(duì)系統(tǒng)中的組成和數(shù)據(jù)造成損害的一切因素。網(wǎng)絡(luò)漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。具體舉例來說，比如在IntelPentium芯片中存在的邏輯錯(cuò)誤，在Sendmail早期版本中的編程錯(cuò)誤，在NFS協(xié)議中認(rèn)證方式上的弱點(diǎn)，在Unix系統(tǒng)管理員設(shè)置匿名Ftp服務(wù)時(shí)配置不當(dāng)?shù)膯栴}都可能被攻擊者使用，威脅到系統(tǒng)的安全。因而這些都可以認(rèn)為是系統(tǒng)中存在的安全漏洞。

2.4 惡意攻擊

目前，網(wǎng)絡(luò)惡意攻擊呈現(xiàn)出以下新特點(diǎn)：一是過去電腦用戶只有在登錄色情、賭博等不良網(wǎng)站時(shí)或使用盜版軟件時(shí)才容易遭到惡意攻擊，但現(xiàn)在不少旅游、購物和游戲等網(wǎng)站也成為黑客用來發(fā)動(dòng)惡意攻擊的平臺(tái)。二是過去的惡意攻擊沒有組織性，大多由不諳世事的年輕人所為，但現(xiàn)在的網(wǎng)絡(luò)攻擊不僅組織性高，而且專業(yè)性強(qiáng)，由不同的軟件開發(fā)小組操控。三是過去網(wǎng)絡(luò)黑客往往通過傳遞郵件的方式發(fā)動(dòng)惡意攻擊，這種方式比較容易識(shí)別，但目前黑客是趁用戶下載某些軟件之際悄悄發(fā)動(dòng)攻擊，令用戶難以識(shí)別。四是黑客利用第三方的廣告將惡意軟件侵入用戶系統(tǒng)，比如黑客會(huì)利用某個(gè)廣告提醒用戶，其系統(tǒng)已感染病毒，當(dāng)用戶根據(jù)廣告提示去鏈接某個(gè)據(jù)說能殺病毒的網(wǎng)站時(shí)，這時(shí)“潛伏”在這個(gè)網(wǎng)站的惡意軟件便會(huì)侵入用戶系統(tǒng)。五是黑客會(huì)設(shè)計(jì)用戶信任的銀行等網(wǎng)站的標(biāo)識(shí)，當(dāng)用戶放松警惕登錄這一網(wǎng)站時(shí)，便會(huì)遭到惡意軟件的攻擊。

3.網(wǎng)絡(luò)安全的防范措施

常用的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)有五種：防火墻(Fire Wall)技術(shù)，數(shù)據(jù)加密技術(shù)，系統(tǒng)容災(zāi)技術(shù)，漏洞掃描技術(shù)和物理安全技術(shù)。

3.1 防火墻技術(shù)。是指網(wǎng)絡(luò)之間通過預(yù)定義的安全策略，對(duì)內(nèi)外網(wǎng)通信強(qiáng)制實(shí)施訪問控制的安全應(yīng)用措施。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包按照一定的安全策略來實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。目前，市場(chǎng)上防火墻產(chǎn)品很多，一些廠商還把防火墻技術(shù)并入其硬件產(chǎn)品中，即在其硬件產(chǎn)品中采取功能更加先進(jìn)的安全防范機(jī)制。可以預(yù)見防火墻技術(shù)作為一種簡(jiǎn)單實(shí)用的網(wǎng)絡(luò)信息安全技術(shù)將得到進(jìn)一步發(fā)展。然而，防火墻也并非人們想象的那樣不可滲透。在過去的統(tǒng)計(jì)中曾遭受過黑客入侵的網(wǎng)絡(luò)用戶有三分之一是有防火墻保護(hù)的，也就是說要保證網(wǎng)絡(luò)信息的安全還必須有其他一系列措施，例如對(duì)數(shù)據(jù)進(jìn)行加密處理。

3.2 數(shù)據(jù)加密技術(shù)。就是對(duì)信息進(jìn)行重新編碼，從而隱藏信息內(nèi)容，使非法用戶無法獲取信息的一種技術(shù)手段。數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所采用的主要手段之一。數(shù)據(jù)加密技術(shù)按作用不同可分為數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸、數(shù)據(jù)完整性的鑒別以及密匙管理技術(shù)4種。數(shù)據(jù)存儲(chǔ)加密技術(shù)是以防止在存儲(chǔ)環(huán)節(jié)上的數(shù)據(jù)失密為目的，可分為密文存儲(chǔ)和存取控制兩種;數(shù)據(jù)傳輸加密技術(shù)的目的是對(duì)傳輸中的數(shù)據(jù)加密，常用的有線路加密和端口加密兩種方法;數(shù)據(jù)完整性鑒別技術(shù)的目的是對(duì)介入信息的傳送、存取、處理人的身份和相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行驗(yàn)證，達(dá)到保密的要求，系統(tǒng)通過對(duì)比驗(yàn)證對(duì)象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù)，實(shí)現(xiàn)對(duì)數(shù)據(jù)的安全保護(hù)。數(shù)據(jù)加密在許多場(chǎng)合集中表現(xiàn)為密匙的應(yīng)用，密匙管理技術(shù)事實(shí)上是為了數(shù)據(jù)使用方便。密匙的管理技術(shù)包括密匙的產(chǎn)生、分配保存、更換與銷毀等各環(huán)節(jié)上的保密措施。

3.3 系統(tǒng)容災(zāi)技術(shù)。一個(gè)完整的網(wǎng)絡(luò)安全體系，只有防范和檢測(cè)措施是不夠的，還必須具有災(zāi)難容忍和系統(tǒng)恢復(fù)能力。因?yàn)槿魏我环N網(wǎng)絡(luò)安全設(shè)施都不可能做到萬無一失，一旦發(fā)生漏防漏檢事件，其后果將是災(zāi)難性的。此外，天災(zāi)人禍、不可抗力等所導(dǎo)致的事故也會(huì)對(duì)信息系統(tǒng)造成毀滅性的破壞。這就要求即使發(fā)生系統(tǒng)災(zāi)難，也能快速地恢復(fù)系統(tǒng)和數(shù)據(jù)，才能完整地保護(hù)網(wǎng)絡(luò)信息系統(tǒng)的安全。現(xiàn)階段主要有基于數(shù)據(jù)備份和基于系統(tǒng)容錯(cuò)的系統(tǒng)容災(zāi)技術(shù)。數(shù)據(jù)備份是數(shù)據(jù)保護(hù)的最后屏障，不允許有任何閃失。但離線介質(zhì)不能保證安全。數(shù)據(jù)容災(zāi)通過IP容災(zāi)技術(shù)來保證數(shù)據(jù)的安全。數(shù)據(jù)容災(zāi)使用兩個(gè)存儲(chǔ)器，在兩者之間建立復(fù)制關(guān)系，一個(gè)放在本地，另一個(gè)放在異地。本地存儲(chǔ)器供本地備份系統(tǒng)使用，異地容災(zāi)備份存儲(chǔ)器實(shí)時(shí)復(fù)制本地備份存儲(chǔ)器的關(guān)鍵數(shù)據(jù)。二者通過IP相連，構(gòu)成完整的數(shù)據(jù)容災(zāi)系統(tǒng)，也能提供數(shù)據(jù)庫容災(zāi)功能。

3.4 漏洞掃描技術(shù)。漏洞掃描主要通過以下兩種方法來檢查目標(biāo)主機(jī)是否存在漏洞：在端口掃描后得知目標(biāo)主機(jī)開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測(cè)試弱勢(shì)口令等。若模擬攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。一是漏洞庫的匹配方法，基于網(wǎng)絡(luò)系統(tǒng)漏洞庫的漏洞掃描的關(guān)鍵部分就是它所使用的漏洞庫。通過采用基于規(guī)則的匹配技術(shù)，即根據(jù)安全專家對(duì)網(wǎng)絡(luò)系統(tǒng)安全漏洞、黑客攻擊案例的分析和系統(tǒng)管理員對(duì)網(wǎng)絡(luò)系統(tǒng)安全配置的實(shí)際經(jīng)驗(yàn)，可以形成一套標(biāo)準(zhǔn)的網(wǎng)絡(luò)系統(tǒng)漏洞庫，然后再在此基礎(chǔ)之上構(gòu)成相應(yīng)的匹配規(guī)則，由掃描程序自動(dòng)的進(jìn)行漏洞掃描的工作。這樣，漏洞庫信息的完整性和有效性決定了漏洞掃描系統(tǒng)的性能，漏洞庫的修訂和更新的性能也會(huì)影響漏洞掃描系統(tǒng)運(yùn)行的時(shí)間。二是插件（功能模塊技術(shù)）技術(shù)，插件是由腳本語言編寫的子程序，掃描程序可以通過調(diào)用它來執(zhí)行漏洞掃描，檢測(cè)出系統(tǒng)中存在的一個(gè)或多個(gè)漏洞。添加新的插件就可以使漏洞掃描軟件增加新的功能，掃描出更多的漏洞。插件編寫規(guī)范化后，甚至用戶自己都可以用perl、c或自行設(shè)計(jì)的腳本語言編寫的插件來擴(kuò)充漏洞掃描軟件的功能。這種技術(shù)使漏洞掃描軟件的升級(jí)維護(hù)變得相對(duì)簡(jiǎn)單，而專用腳本語言的使用也簡(jiǎn)化了編寫新插件的編程工作，使漏洞掃描軟件具有強(qiáng)的擴(kuò)展性。

3.5 物理安全。物理安全主要是指通過物理隔離實(shí)現(xiàn)網(wǎng)絡(luò)安全。所謂“物理隔離”是指內(nèi)部網(wǎng)不直接或間接地連接公共網(wǎng)。物理安全的目的是保護(hù)路由器、工作站、網(wǎng)絡(luò)服務(wù)器等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線竊聽攻擊。只有使內(nèi)部網(wǎng)和公共網(wǎng)物理隔離，才能真正保證內(nèi)部信息網(wǎng)絡(luò)不受來自互聯(lián)網(wǎng)的黑客攻擊。此外，物理隔離也為內(nèi)部網(wǎng)劃定了明確的安全邊界，使得網(wǎng)絡(luò)的可控性增強(qiáng)，便于內(nèi)部管理。在實(shí)行物理隔離之前，我們對(duì)網(wǎng)絡(luò)的信息安全有許多措施，如在網(wǎng)絡(luò)中增加防火墻、防病毒系統(tǒng)，對(duì)網(wǎng)絡(luò)進(jìn)行入侵檢測(cè)、漏洞掃描等。由于這些技術(shù)的極端復(fù)雜性與有限性，這些在線分析技術(shù)無法提供某些機(jī)構(gòu)（如軍事、政府、金融等）提出的高度數(shù)據(jù)安全要求。而且，此類基于軟件的保護(hù)是一種邏輯機(jī)制，對(duì)于邏輯實(shí)體而言極易被操縱。后面的邏輯實(shí)體指黑客、內(nèi)部用戶等。正因?yàn)槿绱?，我們的涉密網(wǎng)不能把機(jī)密數(shù)據(jù)的安全完全寄托在用概率來作判斷的防護(hù)上，必須有一道絕對(duì)安全的大門，保證涉密網(wǎng)的信息不被泄露和破壞，這就是物理隔離所起的作用。

參考文獻(xiàn)

[1] 韓筱卿、王建鋒等《計(jì)算機(jī)病毒分析與防范大全》，電子工業(yè)出版社。2006年3月

[2] 程勝利《計(jì)算機(jī)病毒及其防治技術(shù)》，清華大學(xué)出版社。2005年9月

[3] 彭國軍等《計(jì)算機(jī)病毒分析與對(duì)抗》，武漢大學(xué)出版社。2004年4月