武文斌，楊智榕

（1.電子科技大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院，四川 成都 610054；2.河北省體育學(xué)院，河北 石家莊 050041）

以計(jì)算機(jī)網(wǎng)絡(luò)為載體的信息時(shí)代，在延展人類經(jīng)濟(jì)生活觸角、共享社會(huì)和科學(xué)資訊上具有革命性意義，它在信息存儲(chǔ)、處理和傳輸上無(wú)可比擬的優(yōu)越性，奠定了網(wǎng)絡(luò)高速發(fā)展和普及的基礎(chǔ)，而由此產(chǎn)生的多種副作用也漸露倪端，特別是針對(duì)網(wǎng)絡(luò)本身的種種攻擊和威脅如計(jì)算機(jī)病毒、黑客等，嚴(yán)重干擾和破壞了互聯(lián)網(wǎng)信息交互架構(gòu)，甚至影響到國(guó)家機(jī)器的安全運(yùn)轉(zhuǎn)，故網(wǎng)絡(luò)安全防范問題，是當(dāng)下亟待解決的一個(gè)焦點(diǎn)。

本文針對(duì)信息時(shí)代的計(jì)算機(jī)網(wǎng)絡(luò)安全面臨的新問題與威脅做了具體分類與剖析，從DDos等幾個(gè)安全問題方面分析了現(xiàn)有網(wǎng)絡(luò)安全技術(shù)的不足，并在技術(shù)方面、管理方面以及國(guó)家方面提出了解決安全問題的改進(jìn)建議，指出了計(jì)算機(jī)安全技術(shù)對(duì)社會(huì)發(fā)展的重要性。

一、計(jì)算機(jī)安全問題的概述

1.網(wǎng)絡(luò)安全現(xiàn)狀。網(wǎng)絡(luò)技術(shù)的發(fā)展同時(shí)也提升了病毒、后門程序等各種破壞工具的隱蔽性和威脅能力，讓安全防護(hù)系統(tǒng)防不勝防。某互聯(lián)網(wǎng)調(diào)查機(jī)構(gòu)發(fā)布的個(gè)人網(wǎng)絡(luò)安全年度報(bào)告稱，2012年中國(guó)有近5億網(wǎng)民遭遇過“網(wǎng)絡(luò)犯罪”，約占國(guó)內(nèi)網(wǎng)民總數(shù)的85%，受到的威脅和攻擊主要包括“網(wǎng)購(gòu)支付騙局”“個(gè)人隱私泄露”“賬號(hào)被盜取”等，直接經(jīng)濟(jì)損失達(dá)194億元。尤其是“隱私泄露”和“網(wǎng)購(gòu)支付騙局”所造成的社會(huì)性危害，已經(jīng)大大加深了網(wǎng)民對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全態(tài)勢(shì)的擔(dān)憂[1]。

調(diào)查還顯示，木馬是目前網(wǎng)絡(luò)安全的主要威脅，它侵入到用戶PC端或移動(dòng)終端，為獲取經(jīng)濟(jì)利益而采取盜號(hào)、廣告惡意推廣、消耗用戶資源、獲取隱私、欺詐等手段。除此之外，某些網(wǎng)絡(luò)服務(wù)商的產(chǎn)品也存在著安全漏洞，如郵箱和殺毒軟件，在提供便利和安全保障的同時(shí)，本身也具備獲取用戶個(gè)人信息的能力。

2.網(wǎng)絡(luò)安全攻擊的原理和層面。安全威脅是違背安全策略的潛在行為，安全攻擊是違背了安全策略的既成行為?！缎畔⒈Ｕ霞夹g(shù)框架（IATF）》3.0版中將攻擊分為：被動(dòng)攻擊、主動(dòng)攻擊、物理訪問攻擊、內(nèi)部人員攻擊、軟硬件配裝攻擊。其中，被動(dòng)攻擊指截獲或者竊聽傳輸?shù)奈募?，特點(diǎn)是危害較小，不易發(fā)現(xiàn)；主動(dòng)攻擊指篡改、假冒、重放傳輸?shù)臄?shù)據(jù)，特點(diǎn)是危害大，但是易于發(fā)現(xiàn)[2]8。下面主要討論這兩類攻擊所引起的網(wǎng)絡(luò)傳輸威脅。

TCP／IP網(wǎng)絡(luò)結(jié)構(gòu)的五層分別是：應(yīng)用層、傳輸層、網(wǎng)絡(luò)層、鏈路層、物理層。

應(yīng)用層協(xié)議有DHCP、DNS、HTTP等，可能會(huì)產(chǎn)生DNS污染（使用VPN），DHCP欺騙攻擊（防火墻），HTTP洪泛攻擊（防火墻）。

傳輸層協(xié)議有TCP、UDP等，可能會(huì)有SYN Flooding（建立 SYN cookie）、序列號(hào)預(yù)測(cè)（防火墻）、UDP劫持等攻擊出現(xiàn)（加入認(rèn)證機(jī)制）。

網(wǎng)絡(luò)層協(xié)議有IP、ARP、ICMP等，可能會(huì)遇到DDoS（防火墻）、IP地址假冒（隨機(jī)包標(biāo)記，IP回溯）等攻擊出現(xiàn)。

鏈路層協(xié)議有802.11、PPP、L2TP等協(xié)議，可能會(huì)出現(xiàn)MAC洪泛攻擊（關(guān)閉超出限制的端口）、隨機(jī)幀重壓攻擊（建立互信主機(jī)組，只讓友好設(shè)備互相交流）、ARP欺騙（DHCP綁定）等攻擊出現(xiàn)。

物理層攻擊通常不通過互聯(lián)網(wǎng)實(shí)現(xiàn)，不予討論。

3.影響網(wǎng)絡(luò)安全的因素。目前計(jì)算機(jī)網(wǎng)絡(luò)受到的威脅主要是信息的破壞、泄露和篡改及網(wǎng)絡(luò)設(shè)備的損壞、失效和異常，這些威脅種類比較繁雜，造成的危害也不盡相同，但其目的正如本文所述，是一致的。根據(jù)其存在的不同特點(diǎn)，大致分為計(jì)算機(jī)病毒、計(jì)算機(jī)木馬和后門程序。另外，計(jì)算機(jī)客戶端自身存在的缺陷以及網(wǎng)民安全防范意識(shí)不強(qiáng)也是一個(gè)主要誘因。

計(jì)算機(jī)病毒本身也是一種程序，它有顯著的傳播性、突發(fā)性、破壞性和潛伏性，其運(yùn)作過程是：嵌入計(jì)算機(jī)程序里，根據(jù)病毒編程者設(shè)定的條件，適時(shí)調(diào)入計(jì)算機(jī)內(nèi)存，并對(duì)計(jì)算機(jī)原程序進(jìn)行惡意修改，使正常的程序代碼遭到破壞，從而使計(jì)算機(jī)無(wú)法正常使用，并導(dǎo)致安全系統(tǒng)癱瘓。比較常見的有惡性蠕蟲病毒，它危害極大，可造成數(shù)據(jù)資源的嚴(yán)重破壞且難以恢復(fù)。

計(jì)算機(jī)木馬和后門程序與計(jì)算機(jī)病毒類似，也是利用計(jì)算機(jī)語(yǔ)言編制的工具軟件，不同之處是它本身不會(huì)對(duì)數(shù)據(jù)造成實(shí)質(zhì)性破壞，而是被黑客用來遠(yuǎn)程操控所侵入的計(jì)算機(jī)。其運(yùn)作過程是：將木馬程序或后門程序的服務(wù)器端通過某種方式預(yù)先植入要控制的計(jì)算機(jī)，而木馬程序的控制器端則掌控在黑客手里，這樣，一個(gè)“后門”就產(chǎn)生了，黑客通過它，可以自如進(jìn)出遠(yuǎn)程計(jì)算機(jī)系統(tǒng)，而且不會(huì)被計(jì)算機(jī)使用者所察覺。

除計(jì)算機(jī)病毒、木馬和后門程序外，計(jì)算機(jī)操作系統(tǒng)的安全漏洞也會(huì)導(dǎo)致個(gè)人信息的泄露，如IE瀏覽器緩存文件夾中的文本文件Cookie，記錄了網(wǎng)民上網(wǎng)的瀏覽記錄，曾登陸并訪問過的網(wǎng)站、網(wǎng)頁(yè)、登陸密碼等信息都被儲(chǔ)存在個(gè)人的電腦里。它的存在，本意是為了方便用戶使用，讓網(wǎng)站可以辨別網(wǎng)民身份，讓網(wǎng)民免去重復(fù)登錄同一個(gè)網(wǎng)站的繁瑣，以便雙方達(dá)到更好的交互，但它的風(fēng)險(xiǎn)就在于：如果Cookie被他人竊取，那用戶的隱私也就泄露無(wú)疑，而竊取個(gè)人的Cookie對(duì)黑客或道德規(guī)范低下的網(wǎng)絡(luò)商業(yè)機(jī)構(gòu)來說易如反掌，即使個(gè)人計(jì)算機(jī)中的Cookie被用戶刪掉，一種叫做“網(wǎng)絡(luò)臭蟲”的程序代碼，也可以在網(wǎng)站一端生成，不法分子完全可以不訪問個(gè)人計(jì)算機(jī)，就收集到用戶在該網(wǎng)站的停留時(shí)間、購(gòu)物商品、訪問歷史等個(gè)人信息，經(jīng)過整理分析和篩選后便能以多種途徑獲利。所以，“電腦安全專家不會(huì)在網(wǎng)絡(luò)上進(jìn)行過多的隱私操作，因?yàn)樗麄冎?，防不勝防?！盵3]

另外，眾多計(jì)算機(jī)用戶缺乏網(wǎng)絡(luò)安全意識(shí)，認(rèn)為它是網(wǎng)絡(luò)管理員或網(wǎng)絡(luò)產(chǎn)品服務(wù)商的責(zé)任；或防范技術(shù)欠缺，迷信某種特定的網(wǎng)絡(luò)安全軟件，甚至不會(huì)自行設(shè)置網(wǎng)絡(luò)防火墻的等級(jí)，諸如此類的行為，都造成了一定的安全隱患。

二、應(yīng)對(duì)計(jì)算機(jī)安全隱患的對(duì)策

計(jì)算機(jī)的安全，首先需要確保網(wǎng)絡(luò)的純凈和暢通，目前國(guó)際上經(jīng)常采用的技術(shù)性防范措施有安裝殺毒軟件、構(gòu)建防火墻、加強(qiáng)入侵實(shí)時(shí)監(jiān)測(cè)、使用漏洞掃描工具以及信息加密技術(shù)。

殺毒軟件是應(yīng)用最廣泛的一種安全工具，可涵蓋個(gè)人計(jì)算機(jī)、局域網(wǎng)、互聯(lián)網(wǎng)節(jié)點(diǎn)等區(qū)間，對(duì)各類型數(shù)據(jù)來源進(jìn)行掃描、分析、辨別、排除或剿殺，以達(dá)到阻止病毒入侵的目的，基于不同的應(yīng)用層面和設(shè)備，它的開發(fā)也具有針對(duì)性，如有安裝在個(gè)人計(jì)算機(jī)操作系統(tǒng)里的單機(jī)殺毒軟件，也有應(yīng)用于局域網(wǎng)和服務(wù)器的網(wǎng)關(guān)殺毒軟件，或者針對(duì)電子郵件、QQ等影響力較大的應(yīng)用程序的單一安全防護(hù)軟件。對(duì)某些危害巨大流傳較廣的病毒，有些殺毒廠商也會(huì)開發(fā)相對(duì)應(yīng)的特定殺毒軟件。

防火墻相當(dāng)于一個(gè)數(shù)據(jù)監(jiān)控系統(tǒng)，也是計(jì)算機(jī)安全防護(hù)的重要屏障，所有進(jìn)入計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)包都必須首先經(jīng)過防火墻處理，防火墻會(huì)根據(jù)管理員預(yù)先設(shè)定的條件選擇放行或拒絕，一些病毒特征明顯的數(shù)據(jù)包會(huì)被拒于計(jì)算機(jī)系統(tǒng)之外，從而保障了計(jì)算機(jī)的安全，它的缺點(diǎn)是難以截?cái)嘟?jīng)過偽裝或升級(jí)的病毒數(shù)據(jù)包。

入侵實(shí)時(shí)監(jiān)測(cè)技術(shù)是針對(duì)網(wǎng)絡(luò)攻擊的特點(diǎn)而實(shí)時(shí)進(jìn)行檢測(cè)記錄的一種技術(shù)，作用類似于入侵警報(bào)器，當(dāng)發(fā)現(xiàn)計(jì)算機(jī)存在異?，F(xiàn)象時(shí)，管理員可隨時(shí)進(jìn)行操作來防范，為保證最大限度的安全，在一些重要的政府部門或單位，網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)和主計(jì)算機(jī)監(jiān)測(cè)系統(tǒng)通常是并存的。

因?yàn)榇笮途W(wǎng)絡(luò)系統(tǒng)的復(fù)雜性及變化性，可能導(dǎo)致原有的安全技術(shù)措施失效，所以除采用殺毒軟件、防火墻和實(shí)時(shí)進(jìn)行監(jiān)控外，經(jīng)常運(yùn)行漏洞掃描工具檢查計(jì)算機(jī)存在的安全隱患也是必不可少的一項(xiàng)安全措施，理論上它與黑客入侵工具類型相同，只是應(yīng)用方式及目的截然相反。管理人員在掃描出系統(tǒng)漏洞后，可以通過優(yōu)化系統(tǒng)或打補(bǔ)丁的方式彌補(bǔ)。

最后一種技術(shù)性防護(hù)措施就是對(duì)重要信息進(jìn)行加密，通過計(jì)算機(jī)的某種算法，對(duì)信息數(shù)據(jù)進(jìn)行處理，使之變成無(wú)法讀取的代碼，需要提取信息時(shí)，則通過輸入密碼解密，其作用類似于給系統(tǒng)加上一把鎖，它在一定程度上增加了信息泄露的難度，但隨著解密軟件的相應(yīng)升級(jí)，其防護(hù)性能會(huì)變得脆弱，其結(jié)果就是形成了加密技術(shù)與解密技術(shù)交錯(cuò)上升的的博弈狀態(tài)。

有矛便有盾，安全技術(shù)手段在不斷進(jìn)步，病毒及木馬也會(huì)隨之升級(jí)，所以完全依賴技術(shù)性防范手段是不足取的，對(duì)個(gè)人計(jì)算機(jī)用戶來說，要提高安全意識(shí)，除安裝必要的殺毒軟件防火墻外，還要利用移動(dòng)硬盤、U盤等載體對(duì)重要數(shù)據(jù)做好備份，并保證實(shí)時(shí)更新殺毒軟件，定期查殺病毒木馬。對(duì)政府機(jī)關(guān)或公共事業(yè)單位的計(jì)算機(jī)網(wǎng)絡(luò)，保證數(shù)據(jù)庫(kù)的安全更為重要，所以需要建立一個(gè)相對(duì)安全的網(wǎng)絡(luò)系統(tǒng)，制定科學(xué)的規(guī)章制度，完善計(jì)算機(jī)管理體系，從數(shù)據(jù)的采集、傳輸、處理和存儲(chǔ)上進(jìn)行全方位多層次的安全處理，防止重要數(shù)據(jù)的丟失、篡改和泄露，如可以設(shè)定各級(jí)人員的管理和操作權(quán)限，每級(jí)人員均有自己的操作口令，且未經(jīng)授權(quán)，絕對(duì)不可把口令外傳，系統(tǒng)安全管理人員除做好軟件的升級(jí)和系統(tǒng)的安全掃描外，還要隨時(shí)關(guān)注各級(jí)部門的操作日志，如有異常，應(yīng)及時(shí)上報(bào)，迅速處理。隨著黑客攻擊手段的翻新和病毒變種的多樣化，安全管理人員還要與網(wǎng)絡(luò)安全服務(wù)商經(jīng)常性互動(dòng)，以了解各種病毒和木馬程序的最新狀態(tài)，真正做到防患于未然。在計(jì)算機(jī)安全保密工作上，三亞市人民檢察院的作法值得借鑒，該院對(duì)聯(lián)網(wǎng)的計(jì)算機(jī)進(jìn)行規(guī)范化管理，依照制定的《計(jì)算機(jī)安全保密管理規(guī)定》，將責(zé)任固定到具體的操作人員，統(tǒng)一審批處理制度，強(qiáng)化干警的保密意識(shí)和計(jì)算機(jī)安全操作水平，“同時(shí)推行涉密計(jì)算機(jī)定期檢查、不定期抽查制度，發(fā)現(xiàn)問題進(jìn)行通報(bào)，并及時(shí)制定整改，有效提高干警的保密意識(shí)和保密能力?！盵4]

三、發(fā)展計(jì)算機(jī)安全技術(shù)的意義

計(jì)算機(jī)網(wǎng)絡(luò)的普及，使之成為國(guó)家、政府、企事業(yè)單位和個(gè)人之間的信息交流重要手段，其安全要求自然是重中之重，所以，發(fā)展計(jì)算機(jī)安全技術(shù)，就是對(duì)人民權(quán)力和財(cái)產(chǎn)的保護(hù)，是對(duì)國(guó)家信息資產(chǎn)的守衛(wèi)。不僅如此，計(jì)算機(jī)網(wǎng)絡(luò)安全也是全球性任務(wù)，互聯(lián)網(wǎng)無(wú)國(guó)界，計(jì)算機(jī)犯罪也超越了國(guó)家的概念。

顯然，在網(wǎng)絡(luò)安全上，高科技的防護(hù)技術(shù)是首要的保障，而技術(shù)并非總是完美的，一個(gè)安全軟件的設(shè)計(jì)可能存在著不合理之處，或有漏洞可被人利用，所以，無(wú)止境的技術(shù)空間就要求研發(fā)人員積極改進(jìn)和不斷提高。

其次，完善的管理制度是保障網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)的基礎(chǔ)，好的技術(shù)需要嚴(yán)格的管理方式，否則技術(shù)會(huì)形同虛設(shè)。這種管理制度的實(shí)際執(zhí)行力越大，網(wǎng)絡(luò)和信息安全的防線就越牢固，它可以有效避免因管理疏忽而造成的網(wǎng)絡(luò)安全事故。

總之，隨著計(jì)算機(jī)技術(shù)的不斷進(jìn)步和應(yīng)用范圍的拓展，網(wǎng)絡(luò)安全的重要性也不言而喻，一方面，網(wǎng)絡(luò)已經(jīng)進(jìn)入尋常百姓家，成為生活中不可或缺的一部分，另一方面，網(wǎng)絡(luò)安全系統(tǒng)的漏洞和黑客的攻擊，也對(duì)人們的經(jīng)濟(jì)生活造成了很多困擾和損失，因此，構(gòu)建一個(gè)安全、高效的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是整個(gè)社會(huì)的責(zé)任。需要各專業(yè)多部門從技術(shù)、設(shè)備、管理和制度上協(xié)調(diào)互通，通過了解網(wǎng)絡(luò)安全存在的問題，整合一套綜合的計(jì)算機(jī)網(wǎng)絡(luò)信息安全系統(tǒng)，并加強(qiáng)與其他國(guó)家的技術(shù)合作，以應(yīng)對(duì)日益猖獗的國(guó)際化的計(jì)算機(jī)犯罪。

[1]2012年個(gè)人網(wǎng)絡(luò)安全年度報(bào)告 [EB／OL].http：／／guanjia.qq.com／act／brand／report／report.html，國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心，2012年.

[2]周世杰.計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)[M].北京：高等教育出版社，2011.

[3]互聯(lián)網(wǎng)個(gè)人信息安全漏洞百出，防不勝防[EB／OL].http：／／tech.hexun.com／2013－03－23／152414754.html，新快報(bào)，2013－03－23.

[4]李業(yè)濱.三亞檢察院多項(xiàng)措施規(guī)范計(jì)算機(jī)安全管理[EB／OL].http：／／roll.sohu.com／20121116／n3577 92855.shtml，法制時(shí)報(bào)，2012－11－16.