摘要：伴隨計(jì)算機(jī)網(wǎng)絡(luò)在我國不斷普及，針對、利用計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行犯罪的案件逐年上升，給國家、企業(yè)和個人造成了重人的經(jīng)濟(jì)損失和危害。因此，本文通過對計(jì)算機(jī)網(wǎng)絡(luò)安全隱患進(jìn)行深入分析的基礎(chǔ)上，提出了計(jì)算機(jī)網(wǎng)絡(luò)安全防范的基本策略，以保障計(jì)算機(jī)網(wǎng)絡(luò)安全及合法用戶的權(quán)益。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；安全隱患；防范

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A文章編號：1007-9599 (2012) 07-0000-02

計(jì)算機(jī)網(wǎng)絡(luò)在我國已經(jīng)迅速普及，網(wǎng)絡(luò)己經(jīng)滲透到國民經(jīng)濟(jì)的各個領(lǐng)域，滲透到我們工作生活的方方面面。在短短的幾年中，發(fā)生了多起針對、利用計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行犯罪的案件，給國家、企業(yè)和個人造成了重人的經(jīng)濟(jì)損失和危害。特別是具有行業(yè)特性的犯罪，例如金融部門等，更是令人觸目驚心。因此，探討計(jì)算機(jī)網(wǎng)絡(luò)安全隱患與防范策略顯得十分必要。

一、計(jì)算機(jī)網(wǎng)絡(luò)安全隱患分析

（一）惡意攻擊

惡意攻擊分為主動攻擊和被動攻擊，它是一種人為的、蓄意的破壞行為，是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅之一。其中，主動攻擊是以破壞對方的網(wǎng)絡(luò)和信息為主要目的，通常采用修改、刪除、偽造、欺騙、病毒、邏輯炸彈等手段，一旦獲得成功可破壞對方網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行，甚至導(dǎo)致整個系統(tǒng)的癱瘓。而被動攻擊以獲取對方信息為目標(biāo)，通常在對方不知情的情況下竊取對方的機(jī)密信息，例如商貿(mào)秘密、工程計(jì)劃、投標(biāo)標(biāo)底、個人資料等，但是不破壞系統(tǒng)的正常運(yùn)行。不論是主動攻擊，還是被動攻擊都可能對計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致一些機(jī)密數(shù)據(jù)的泄漏，從而造成不可彌補(bǔ)的損失。因此，必須采取一些必要的防范措施。

（二）軟件漏洞和后門

軟件漏洞分為兩種：一種是蓄意制造的漏洞，是系統(tǒng)設(shè)計(jì)者為日后控制系統(tǒng)或竊取信息而故意設(shè)計(jì)的漏洞；另一種是無意制造的漏洞，是系統(tǒng)設(shè)計(jì)者由于疏忽或其它技術(shù)原因而留下的漏洞。因?yàn)檫@些漏洞的存在從而給網(wǎng)路帶來了一定的安全隱患。例如：為了給系統(tǒng)開發(fā)人員提供的便捷的入口，從而不設(shè)置操作系統(tǒng)的入口密碼，給開發(fā)人員的通道也成了“黑客”們的通道；操作系統(tǒng)運(yùn)行時，一些系統(tǒng)進(jìn)程總在等待一些條件的出現(xiàn)，一旦有滿足要求的條件出現(xiàn)，程序便繼續(xù)運(yùn)行下去，這都是“黑客”可以利用的。另外，程序員為了方便自己而設(shè)置的一些軟件后門，雖然一般不為外人所知，但一旦泄漏出去或被他人發(fā)現(xiàn)，極有可能帶來危害更是極大和損失。

二、計(jì)算機(jī)網(wǎng)絡(luò)安全防范策略

（一）防火墻技術(shù)

根據(jù)CNCERT/CC調(diào)查顯示，在各類網(wǎng)絡(luò)安全技術(shù)使用中，防火墻的使用率最高達(dá)到76.5%。防火墻的使用比例較高主要是因?yàn)樗鼉r格比較便宜，易安裝，并可在線升級等特點(diǎn)。防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入。它通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。因而防火墻的主要作用是定義了唯一的一個瓶頸，通過它就可以把未授權(quán)用戶排除到受保護(hù)的網(wǎng)絡(luò)外，禁止脆弱的服務(wù)進(jìn)入或離開網(wǎng)絡(luò)，防止各種IP盜用和路由攻擊，同時還可以提供必要的服務(wù)。

（二）RSA算法

在公鑰密碼系統(tǒng)中，最常用的就是RSA算法了，RSA算法是第一個既能用于數(shù)據(jù)加密也能用于數(shù)字簽名的算法，易于理解和操作，也很流行。算法的名字以發(fā)明者的名字命名：Ron Rivest， Adi Shamir 和Leonard Adleman。但RSA的安全性一直未能得到理論上的證明。它經(jīng)歷了各種攻擊，至今未被完全攻破。

RSA算法簡單的說來是這樣的：先找出兩個非常大的質(zhì)數(shù)P和Q，算出N=（P*Q），找到一個小于N的E，使E和（P-1）*（Q-1）互質(zhì)。算出數(shù)D，使D*E=1 MOD （P-1）*（Q-1）。公用密鑰為（E，N），私鑰為（D，N），用戶可以銷毀P和Q。這種算法的保密性非常好。但是由于RSA涉及到高次冪運(yùn)算，所以用它實(shí)現(xiàn)速度比較慢。

（三）數(shù)字化身份的確定――數(shù)字證書

下面，讓我們再來看一下JAVA安全中確定身份的主要技術(shù)――數(shù)字證書。

數(shù)字證書就是標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù)，用來在網(wǎng)絡(luò)通訊中識別通訊各方的身份，即要在Internet上解決\"我是誰\"的問題，就如同現(xiàn)實(shí)中我們每一個人都要擁有一張證明個人身份的身份證或駕駛執(zhí)照一樣，以表明我們的身份或某種資格。

數(shù)字證書是由權(quán)威公正的第三方機(jī)構(gòu)即CA中心簽發(fā)的，以數(shù)字證書為核心的加密技術(shù)可以對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證，確保網(wǎng)上傳遞信息的機(jī)密性、完整性，以及交易實(shí)體身份的真實(shí)性，簽名信息的不可否認(rèn)性，從而保障網(wǎng)絡(luò)應(yīng)用的安全性。

數(shù)字證書采用公鑰密碼體制，即利用一對互相匹配的密鑰進(jìn)行加密、解密。每個用戶擁有一把僅為本人所掌握的私有密鑰（私鑰），用它進(jìn)行解密和簽名；同時擁有一把公共密鑰（公鑰）并可以對外公開，用于加密和驗(yàn)證簽名。當(dāng)發(fā)送一份保密文件時，發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密，而接收方則使用自己的私鑰解密，這樣，信息就可以安全無誤地到達(dá)目的地了，即使被第三方截獲，由于沒有相應(yīng)的私鑰，也無法進(jìn)行解密。通過數(shù)字的手段保證加密過程是一個不可逆過程，即只有用私有密鑰才能解密。在公開密鑰密碼體制中，常用的一種就是上面已經(jīng)探討過的RSA體制。

數(shù)字證書可用于：發(fā)送安全電子郵件、訪問安全站點(diǎn)、網(wǎng)上證券、網(wǎng)上招標(biāo)采購、網(wǎng)上簽約、網(wǎng)上辦公、網(wǎng)上繳費(fèi)、網(wǎng)上稅務(wù)等網(wǎng)上安全電子事務(wù)處理和安全電子交易活動。

數(shù)字證書的格式一般采用X.509國際標(biāo)準(zhǔn)。目前，數(shù)字證書主要分為安全電子郵件證書、個人和企業(yè)身份證書、服務(wù)器證書以及代碼簽名證書等幾種類型證書。

（四）入侵檢測技術(shù)的應(yīng)用

入侵檢測系統(tǒng)(Intrusion Detection System 簡稱IDS)是從多種計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息，再通過這此信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)。IDS被認(rèn)為是防火墻之后的第二道安全閘門，它能使在入侵攻擊對系統(tǒng)發(fā)生危害前，檢測到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊；在入侵攻擊過程中，能減少入侵攻擊所造成的損失；在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識，添加入策略集中，增強(qiáng)系統(tǒng)的防范能力，避免系統(tǒng)再次受到同類型的入侵。入侵檢測的作用包括威懾、檢測、響應(yīng)、損失情況評估、攻擊預(yù)測和起訴支持。入侵檢測技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。

（五）提高網(wǎng)絡(luò)工作人員的素質(zhì)，強(qiáng)化網(wǎng)絡(luò)安全責(zé)任

提高網(wǎng)絡(luò)工作人員的管理素質(zhì)也是一項(xiàng)重要的任務(wù)。對工作人員要結(jié)合硬件、軟件、數(shù)據(jù)等網(wǎng)絡(luò)系統(tǒng)各方面進(jìn)行安全教育，提高工作人員的責(zé)任心，并加強(qiáng)業(yè)務(wù)技術(shù)培訓(xùn)，提高操作技能，重視網(wǎng)絡(luò)系統(tǒng)的安全管理，防止人為事故的發(fā)生。在我國，網(wǎng)絡(luò)研究起步較晚，網(wǎng)絡(luò)安全技術(shù)還有待提高和發(fā)展。另外，為了確保網(wǎng)絡(luò)的安全運(yùn)行，我們還要建立嚴(yán)密的管理制度，制定完善的管理措施，提高人們對網(wǎng)絡(luò)安全的認(rèn)識，完善法律、法規(guī)，對計(jì)算機(jī)犯罪進(jìn)行法律制裁。

（六）訪問與控制

授權(quán)控制不同用戶對信息資源的訪問權(quán)限，即哪些用戶可訪問哪些資源以及可訪問的用戶各自具有的權(quán)限。對網(wǎng)絡(luò)的訪問與控制進(jìn)行技術(shù)處理是維護(hù)系統(tǒng)運(yùn)行安全、保護(hù)系統(tǒng)資源的一項(xiàng)重要技術(shù)，也是對付黑客的關(guān)鍵手段。

（七）重視備份與恢復(fù)

備份系統(tǒng)應(yīng)該是全方位的、多層次的。首先，要使用硬件設(shè)備來防止硬件故障；如果由于軟件故障或人為誤操作造成了數(shù)據(jù)的邏輯損壞，則使用軟件方式和手工方式相結(jié)合的方法恢復(fù)系統(tǒng)。這種結(jié)合方式構(gòu)成了對系統(tǒng)的多級防護(hù)，不僅能夠有效地防止物理損壞，還能夠徹底防止邏輯損壞。良好的備份和恢復(fù)機(jī)制，可以在攻擊造成損失時，幫助系統(tǒng)盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。

三、結(jié)束語

信息化和網(wǎng)絡(luò)化是當(dāng)今世界經(jīng)濟(jì)與社會發(fā)展的大趨勢，也是推進(jìn)我國國民經(jīng)濟(jì)發(fā)展和社會現(xiàn)代化的關(guān)鍵環(huán)節(jié)。而計(jì)算機(jī)網(wǎng)絡(luò)安全也是一個綜合性的復(fù)雜問題，它不可能單靠某項(xiàng)技術(shù)或某項(xiàng)制度解決，所以應(yīng)該綜合各項(xiàng)網(wǎng)絡(luò)安全技術(shù)、法律、管理等多項(xiàng)措施，齊頭并進(jìn)，才能得到圓滿的解決。

參考文獻(xiàn)：

[1]殷偉.計(jì)算機(jī)安全與病毒防治[M].合肥:安徽科學(xué)技術(shù)出版社，2004

[2]陳愛民.計(jì)算機(jī)的安全與保密[M].北京:電子工業(yè)出版社，2002

[3]徐超漢.計(jì)算機(jī)網(wǎng)絡(luò)安全與數(shù)據(jù)完整性技術(shù)[M].北京:電子工業(yè)出版社，2005

[作者簡介]

王雪莉（1966-）女，湖北武漢，漢族，國防信息學(xué)院信息作戰(zhàn)系軍隊(duì)信息化建設(shè)教研室，副教授，信息安全