王先義

摘 要 網(wǎng)絡(luò)信息的飛速發(fā)展給人類社會(huì)帶來巨大的推動(dòng)與沖擊，同時(shí)也產(chǎn)生了網(wǎng)絡(luò)系統(tǒng)安全問題。計(jì)算機(jī)網(wǎng)絡(luò)的安全問題越來越受到人們的重視，由于計(jì)算機(jī)網(wǎng)絡(luò)組成形式多樣性、終端分布廣和網(wǎng)絡(luò)的開放性、互聯(lián)性等特征，致使網(wǎng)絡(luò)信息容易受到黑客的竊取、計(jì)算機(jī)系統(tǒng)容易受惡意軟件攻擊，因此，計(jì)算機(jī)網(wǎng)絡(luò)信息資源的安全成為一個(gè)重要的話題。

關(guān)鍵詞 計(jì)算機(jī) 網(wǎng)絡(luò)安全性 防火墻

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A

隨著信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)及網(wǎng)絡(luò)信息安全技術(shù)已經(jīng)影響到社會(huì)的政治、經(jīng)濟(jì)、文化和軍事等各個(gè)領(lǐng)域。以網(wǎng)絡(luò)方式獲取和傳播信息已成為現(xiàn)代信息社會(huì)的重要特征之一。但隨之而來的是，計(jì)算機(jī)網(wǎng)絡(luò)安全也受到全所未有的威脅，計(jì)算機(jī)病毒無處不在，黑客的猖獗，都防不勝防。因此，網(wǎng)絡(luò)安全必須有足夠強(qiáng)的安全保護(hù)措施，確保網(wǎng)絡(luò)信息的安全，完整和可用。

1 計(jì)算機(jī)網(wǎng)絡(luò)安全定義

計(jì)算機(jī)網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的因素或者惡意的攻擊而遭到破壞、更改、泄漏，確保系統(tǒng)能連續(xù)、可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。

2 常見的計(jì)算機(jī)網(wǎng)絡(luò)攻擊方法

（1） 郵件炸彈。電子郵件是互聯(lián)網(wǎng)上運(yùn)用得十分廣泛的一種通訊方式。攻擊者可以使用一些郵件炸彈軟件或CGI程序向目的郵箱發(fā)送大量垃圾郵件，從而使目的郵箱被撐爆而無法使用。當(dāng)垃圾郵件的發(fā)送流量特別大時(shí)，還有可能造成郵件系統(tǒng)對(duì)于正常的工作反映緩慢，甚至癱瘓。

（2）特洛伊木馬。特洛伊木馬程序可以直接侵入用戶的電腦并進(jìn)行破壞，它常被偽裝成工具程序或者游戲等誘使用戶打開帶有特洛伊木馬程序的郵件附件或從網(wǎng)上直接下載，一旦用戶打開了這些郵件的附件或者執(zhí)行了這些程序之后，它會(huì)在計(jì)算機(jī)系統(tǒng)中隱藏一個(gè)可以在windows啟動(dòng)時(shí)悄悄執(zhí)行的程序。當(dāng)您連接到因特網(wǎng)上時(shí)，這個(gè)程序就會(huì)通知攻擊者，來報(bào)告您的IP地址以及預(yù)先設(shè)定的端口。攻擊者在收到這些信息后，再利用這個(gè)潛伏在其中的程序，就可以任意地修改你的計(jì)算機(jī)的參數(shù)設(shè)定、復(fù)制文件、窺視你整個(gè)硬盤中的內(nèi)容等，從而達(dá)到控制你的計(jì)算機(jī)的目的。

（3）WWW的欺騙技術(shù)。在網(wǎng)上用戶可以利用IE等瀏覽器進(jìn)行各種各樣的WEB站點(diǎn)的訪問，然而一般的用戶恐怕不會(huì)想到有這些問題存在：正在訪問的網(wǎng)頁已經(jīng)被黑客篡改過。例如黑客將用戶要瀏覽的網(wǎng)頁的URL改寫為指向黑客自己的服務(wù)器，當(dāng)用戶瀏覽目標(biāo)網(wǎng)頁的時(shí)候，實(shí)際上是向黑客服務(wù)器發(fā)出請(qǐng)求，那么黑客就可以達(dá)到欺騙的目的。

（4） 安全漏洞攻擊。許多系統(tǒng)都有這樣那樣的安全漏洞（Bugs）。其中一些是操作系統(tǒng)或應(yīng)用軟件本身具有的，如緩沖區(qū)溢出攻擊。由于很多系統(tǒng)在不檢查程序與緩沖之間變化的情況，就任意接受任意長度的數(shù)據(jù)輸入，把溢出的數(shù)據(jù)放在堆棧里，系統(tǒng)還照常執(zhí)行命令。這樣攻擊者只要發(fā)送超出緩沖區(qū)所能處理的長度的指令，系統(tǒng)便進(jìn)入不穩(wěn)定狀態(tài)。

（5）過載攻擊。過載攻擊是攻擊者通過服務(wù)器長時(shí)間發(fā)出大量無用的請(qǐng)求，使被攻擊的服務(wù)器一直處于繁忙的狀態(tài)，從而無法滿足其他用戶的請(qǐng)求。過載攻擊中被攻擊者用得最多的一種方法是進(jìn)程攻擊，它是通過大量地人為地增大CPU的工作量，耗費(fèi)CPU的工作時(shí)間，使其它的用戶一直處于等待狀態(tài)。

（6）網(wǎng)絡(luò)監(jiān)聽。網(wǎng)絡(luò)監(jiān)聽是主機(jī)的一種工作模式，在這種模式下，主機(jī)可以接收到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔?，而不管這些信息的發(fā)送方和接收方是誰。因?yàn)橄到y(tǒng)在進(jìn)行密碼校驗(yàn)時(shí)，用戶輸入的密碼需要從用戶端傳送到服務(wù)器端，而攻擊者就能在兩端之間進(jìn)行數(shù)據(jù)監(jiān)聽。此時(shí)若兩臺(tái)主機(jī)進(jìn)行通信的信息沒有加密，只要使用某些網(wǎng)絡(luò)監(jiān)聽工具（如NetXRay for Windows95/98/NT、Sniffit for Linux、Solaries等）就可輕而易舉地截取包括口令和帳號(hào)在內(nèi)的信息資料。雖然網(wǎng)絡(luò)監(jiān)聽獲得的用戶帳號(hào)和口令具有一定的局限性，但監(jiān)聽者往往能夠獲得其所在網(wǎng)段的所有用戶帳號(hào)及口令。

3 計(jì)算機(jī)網(wǎng)絡(luò)安全的防范措施

（1）網(wǎng)絡(luò)加密技術(shù)。密碼技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一。一個(gè)加密網(wǎng)絡(luò)不但可以防止授權(quán)用戶的搭線竊聽和入網(wǎng)，保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，而且也是對(duì)付惡意軟件的有效方法之一。目前對(duì)網(wǎng)絡(luò)加密主要有3種方式：鏈路加密、節(jié)點(diǎn)加密和端點(diǎn)加密。鏈路加密的目的是保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路信息安全；節(jié)點(diǎn)加密的目的是對(duì)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供加密保護(hù)；端點(diǎn)加密的目的是對(duì)源端用戶到目的端用戶的數(shù)據(jù)提供加密保護(hù)。

網(wǎng)絡(luò)信息的加密過程是由形形色色的加密算法具體實(shí)施的，以很小的代價(jià)就能提供很牢靠的安全保護(hù)。據(jù)不完全統(tǒng)計(jì)，到目前為止，已經(jīng)公開發(fā)表的各種算法有將近300種。依照國際上的慣例，對(duì)加密算法有常見的以下兩種分類標(biāo)準(zhǔn)：①私鑰加密算法與DES。②公鑰加密算法與RSA。

（2）防火墻技術(shù)。在網(wǎng)絡(luò)中，防火墻是指兩個(gè)網(wǎng)絡(luò)之間實(shí)現(xiàn)控制策略的系統(tǒng)，用來保護(hù)內(nèi)部的網(wǎng)絡(luò)不易受帶來自Internet的侵害。因此，防火墻是一種安全策略的體現(xiàn)。目前的防火墻技術(shù)一般都可以起到以下一些安全作用：集中的網(wǎng)絡(luò)安全、安全報(bào)警、從新部署網(wǎng)絡(luò)地址轉(zhuǎn)換、監(jiān)視Internet的使用和向外發(fā)布信息。典型的防火墻系統(tǒng)通常由一個(gè)或多個(gè)構(gòu)件組成，相應(yīng)地，實(shí)現(xiàn)防火墻的技術(shù)包括4大類：包過濾型防火墻、應(yīng)用級(jí)網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)和代理服務(wù)器防火墻。這些技術(shù)各有所長，具體使用哪一種或是否混合使用，要根據(jù)具體情況而定。

（3）防病毒技術(shù)。網(wǎng)絡(luò)中的系統(tǒng)可能會(huì)受到多種病毒威脅，對(duì)于此可以采用多層的病毒防衛(wèi)體系。即在每臺(tái)計(jì)算機(jī)，每臺(tái)服務(wù)器以及網(wǎng)關(guān)上安裝相關(guān)的防病毒軟件。由于病毒在網(wǎng)絡(luò)中存儲(chǔ)、傳播、感染的方式各異且途徑多種多樣，故相應(yīng)地在構(gòu)建網(wǎng)絡(luò)防病毒系統(tǒng)時(shí)，應(yīng)用全方位的企業(yè)防毒產(chǎn)品，實(shí)施層層設(shè)防、集中控制、以防為主、防殺結(jié)合的策略。

（4）數(shù)據(jù)庫的備份與恢復(fù)。數(shù)據(jù)庫的備份與恢復(fù)是數(shù)據(jù)庫管理員維護(hù)數(shù)據(jù)安全性和完整性的重要操作。備份是恢復(fù)數(shù)據(jù)庫最容易和最能防止意外的保證方法?；謴?fù)是在意外發(fā)生后利用備份來恢復(fù)數(shù)據(jù)的操作。有三種主要備份策略：只備份數(shù)據(jù)庫、備份數(shù)據(jù)庫和事務(wù)日志、增量備份。

（5）入侵檢測(cè)技術(shù)。防范網(wǎng)絡(luò)入侵最常用的方法就是防火墻，防火墻具有簡單的特點(diǎn)，并且透明度高，可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下達(dá)到一定的安全要求。但是，防火墻只是一種被動(dòng)防御性的網(wǎng)路安全工具，僅僅使用防火墻是不夠的。于是產(chǎn)生了入侵檢測(cè)技術(shù)。入侵被檢測(cè)出來的過程包括監(jiān)測(cè)在計(jì)算機(jī)系統(tǒng)或者網(wǎng)路中發(fā)生的事件，再分析處理這些事件。入侵檢測(cè)系統(tǒng)（IDS）就是使這種監(jiān)控和分析過程自動(dòng)化的獨(dú)立系統(tǒng)，既可以是一種安全軟件，也可以是硬件。IDS能夠檢測(cè)未授權(quán)對(duì)象針對(duì)系統(tǒng)的入侵企圖或行為，同時(shí)監(jiān)控授權(quán)對(duì)象對(duì)系統(tǒng)資源的非法操作。IDS對(duì)入侵的檢測(cè)通常包括以下幾個(gè)部分：對(duì)系統(tǒng)的不同環(huán)節(jié)收集信息；分析該信息，試圖尋找入侵活動(dòng)的特征；自動(dòng)對(duì)檢測(cè)到的行為做出響應(yīng)；記錄并報(bào)告檢測(cè)過程結(jié)果。入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。入侵檢測(cè)系統(tǒng)能很好地彌補(bǔ)防火墻的不足，從某種意義上說是防火墻的補(bǔ)充。

（6）智能卡技術(shù)。數(shù)據(jù)加密技術(shù)緊密相關(guān)的另一項(xiàng)技術(shù)則是智能卡技術(shù)。所謂智能卡是密鑰的一種媒體，一般就像信用卡一樣，由授權(quán)用戶所持有并由該用戶賦予它一個(gè)口令或密碼字。該密碼與內(nèi)部網(wǎng)絡(luò)服務(wù)器處注冊(cè)的密碼一致。當(dāng)口令與身份特征共同使用時(shí)，智能卡的保密性能還是相當(dāng)有效的。

總之，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)已深入到社會(huì)各個(gè)領(lǐng)域，人類社會(huì)各種活動(dòng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的依賴程度已經(jīng)越來越大。增強(qiáng)社會(huì)安全意識(shí)教育，普及計(jì)算機(jī)網(wǎng)絡(luò)安全教育，提高計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)水平，改善其安全現(xiàn)狀，成為當(dāng)務(wù)之急。

參考文獻(xiàn)

[1] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)（第4版）[M].北京：電子工業(yè)出版社.

[2] 張仕斌.網(wǎng)絡(luò)安全技術(shù)[M].清華大學(xué)出版社.

[3] 朱理森，張守連.計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)[M].北京：專利文獻(xiàn)出版社.