余芝軒

(黃岡職業(yè)技術(shù)學(xué)院，湖北 黃岡 438002)

?

網(wǎng)絡(luò)安全問題與解決方案

余芝軒

(黃岡職業(yè)技術(shù)學(xué)院，湖北 黃岡 438002)

摘要：計(jì)算機(jī)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)安全成為人們研究的重點(diǎn)，探討了網(wǎng)絡(luò)安全的現(xiàn)狀及問題由來以及幾種主要網(wǎng)絡(luò)安全技術(shù)。

關(guān)鍵詞：網(wǎng)絡(luò);安全；問題;

1網(wǎng)絡(luò)安全存在的問題

網(wǎng)絡(luò)安全問題顯得越來越重要了。國際標(biāo)準(zhǔn)化組織(ISO)將“計(jì)算機(jī)安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”，上述計(jì)算機(jī)安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護(hù)，而網(wǎng)絡(luò)安全性的含義是信息安全的引申，即網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息保密性、完整性和可用性的保護(hù)。

1.1數(shù)據(jù)庫管理系統(tǒng)

數(shù)據(jù)庫管理系統(tǒng)是基于分級管理的理念而建立，本身就存在缺陷。因此，由于數(shù)據(jù)庫的不安全因素的存在就會將用戶上網(wǎng)瀏覽的痕跡泄漏，用戶在網(wǎng)上存儲和瀏覽的信息，通過這些用戶的賬號，密碼都會被泄漏，這樣就會大大威脅到用戶的財(cái)產(chǎn)隱私安全。

1.2網(wǎng)絡(luò)中存在的不安全

用戶可以通過網(wǎng)絡(luò)自由發(fā)布和獲取各類信息，因此，網(wǎng)絡(luò)的威脅也來自方方面面。這些威脅包括傳輸線的攻擊及網(wǎng)絡(luò)協(xié)議的攻擊以及對計(jì)算機(jī)軟件或硬件的攻擊。在這些威脅中最主要的是在計(jì)算機(jī)協(xié)議中存在的不安全性因素，計(jì)算機(jī)協(xié)議主要包括：FTP、IP/TCP協(xié)議、NFS等協(xié)議，這些協(xié)議中如果存在漏洞網(wǎng)絡(luò)入侵者就能夠根據(jù)這些漏洞搜索用戶名，可以猜測到機(jī)器密碼口令，攻擊計(jì)算機(jī)防火墻。

1.3計(jì)算機(jī)操作系統(tǒng)

計(jì)算機(jī)的整個支撐軟件是它的操作系統(tǒng)，電腦中的所有程序運(yùn)行都靠支撐軟件為其提供環(huán)境。一旦網(wǎng)絡(luò)入侵者控制了操作系統(tǒng)，那么用戶口令就會被泄露，用戶在各個程序中殘留的信息就會被入侵者截取。另外，如果計(jì)算機(jī)的系統(tǒng)掌管了內(nèi)存，CPU的程序存在漏洞，在這種情況下通過這些漏洞入侵者就可以使得服務(wù)器或計(jì)算機(jī)癱瘓。如果在安裝程序的過程中出現(xiàn)漏洞，那么用戶加載、上傳的文件就會被網(wǎng)絡(luò)入侵者通過間諜程序監(jiān)視。這是因?yàn)檫@些不安全的程序，才讓入侵者有機(jī)可趁，所以用戶應(yīng)該盡量避免使用這些不了解的軟件。除此之外，系統(tǒng)還能夠?qū)κ刈o(hù)進(jìn)程進(jìn)行遠(yuǎn)程調(diào)用，這些都是網(wǎng)絡(luò)入侵者可以利用的薄弱環(huán)節(jié)。

2網(wǎng)絡(luò)安全技術(shù)保障措施

2.1防火墻技術(shù)

防火墻系統(tǒng)是一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)手段，它是一個用來阻止網(wǎng)絡(luò)中的黑客或未經(jīng)授權(quán)訪問某個機(jī)構(gòu)的屏障，它處于被保護(hù)網(wǎng)絡(luò)和其它網(wǎng)絡(luò)的邊界，通過建立起相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)，阻擋外部網(wǎng)絡(luò)的入侵。

2.1.1包過濾防火墻：包過濾防火墻設(shè)置在網(wǎng)絡(luò)層，可以在路由器上實(shí)現(xiàn)包過濾。首先需建立一定數(shù)量的信息過濾表，信息過濾表是以其收到的數(shù)據(jù)包頭而建成的。信息包頭含有數(shù)據(jù)包源IP地址、目的IP地址、傳輸協(xié)議類型(TCP、UDP、ICMP等)、協(xié)議源端口號、協(xié)議目的端口號、連接請求方向、ICMP報(bào)文類型等。當(dāng)一個數(shù)據(jù)包滿足過濾表中的規(guī)則時，則允許數(shù)據(jù)包通過，否則禁止通過。這種防火墻可用于禁止外部不合法用戶對內(nèi)部網(wǎng)絡(luò)的訪問，也可以用來禁止訪問某些服務(wù)類型，如一些辦公網(wǎng)系統(tǒng)、計(jì)費(fèi)帳務(wù)系統(tǒng)等就是采用這類防火墻。

2.1.2代理防火墻：代理防火墻又稱應(yīng)用級網(wǎng)關(guān)防火墻，它一般由代理服務(wù)器和過濾路由器組成，也是目前電信企業(yè)普遍采用的一種防火墻。它將過濾路由器和軟件代理技術(shù)結(jié)合在一起。過濾路由器負(fù)責(zé)網(wǎng)絡(luò)互聯(lián)，并對數(shù)據(jù)進(jìn)行嚴(yán)格選擇，然后將篩選過的數(shù)據(jù)傳送給代理服務(wù)器。代理服務(wù)器起到外部網(wǎng)絡(luò)申請?jiān)L問內(nèi)部網(wǎng)絡(luò)的中間轉(zhuǎn)接作用，其功能類似于一個數(shù)據(jù)轉(zhuǎn)發(fā)器，它主要控制哪些用戶能訪問哪些服務(wù)類型。當(dāng)外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請某種網(wǎng)絡(luò)服務(wù)時，代理服務(wù)器接受申請，然后根據(jù)服務(wù)器類型、服務(wù)內(nèi)容、被服務(wù)的對象、服務(wù)者申請的時間、申請的域名范圍等來決定是否接受該項(xiàng)服務(wù)，如果接受，它就向內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)發(fā)這項(xiàng)請求。

2.2數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)和密碼保護(hù)措施是電信企業(yè)采用較多的一種網(wǎng)絡(luò)安全保障措施，由于互聯(lián)網(wǎng)應(yīng)用的蓬勃發(fā)展、網(wǎng)上購物、電子政務(wù)等的日益普及，通信行業(yè)競爭的日益激烈，保證網(wǎng)上信息的安全性和用戶業(yè)務(wù)使用的安全性就成為影響電信企業(yè)生存發(fā)展和提供優(yōu)質(zhì)服務(wù)必須重點(diǎn)關(guān)注的問題。

信息加密的目的是為了保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)和信息不被竊取、修改和偽造。信息加密主要有網(wǎng)絡(luò)鏈路加密方法、網(wǎng)絡(luò)端點(diǎn)加密方法、網(wǎng)絡(luò)節(jié)點(diǎn)加密方法三種。電信企業(yè)局端網(wǎng)絡(luò)設(shè)備均有多重加密措施，一是傳輸?shù)臄?shù)據(jù)均通過加密，加密的方式主要有常規(guī)密碼算法和公匙密碼算法，在常規(guī)密碼中，收信方和發(fā)信方使用相同的密匙，即加密密匙和解密密匙是相同的或等價的。常規(guī)密碼的優(yōu)點(diǎn)是有很強(qiáng)的保密強(qiáng)度，且經(jīng)受住時間的檢驗(yàn)和攻擊。在公匙密碼中，收信方和發(fā)信方使用的密匙互不相同，而且?guī)缀醪豢赡軓募用苊艹淄茖?dǎo)出解密密匙，公匙密碼的優(yōu)點(diǎn)是可以適應(yīng)網(wǎng)絡(luò)的開放性要求，可方便的實(shí)現(xiàn)數(shù)字簽名和驗(yàn)證。在電信業(yè)的網(wǎng)絡(luò)管理系統(tǒng)中，一般實(shí)行利用令牌加三級密碼保護(hù)的方式，令牌完成硬件認(rèn)證，沒有該部件無法進(jìn)入認(rèn)證程序，三級密碼保護(hù)對網(wǎng)管系統(tǒng)的操作進(jìn)行權(quán)限控制，保證網(wǎng)絡(luò)的安全，使得采用詞典攻擊或非法攻擊基本不可能。

2.3網(wǎng)絡(luò)安全掃描技術(shù)

網(wǎng)絡(luò)安全掃描技術(shù)是系統(tǒng)管理員為了及時了解系統(tǒng)中存在的安全漏洞，采用一定的軟件技術(shù)，定期對系統(tǒng)中的關(guān)鍵設(shè)備按照事先編制的程序進(jìn)行循環(huán)檢測的安全技術(shù)。電信企業(yè)已經(jīng)建立了一套完善的網(wǎng)絡(luò)安全掃描體系，電信數(shù)據(jù)網(wǎng)管中心會定期對管核范圍內(nèi)的核心路由器、交換機(jī)、BRAS等設(shè)備和本地網(wǎng)的網(wǎng)絡(luò)管理控制終端通過遠(yuǎn)程網(wǎng)管進(jìn)行掃描，發(fā)現(xiàn)系統(tǒng)存在的軟件缺陷、操作系統(tǒng)漏洞、不健全的管理口令、機(jī)房核心設(shè)備不必要打開的端口等，以互聯(lián)網(wǎng)安全信息通報(bào)的形式下發(fā)各地市，并提出整改技術(shù)措施，保證數(shù)據(jù)通信網(wǎng)絡(luò)安全。

2.4訪問控制技術(shù)

各種網(wǎng)絡(luò)安全措施必須相互配合才能真正起到保護(hù)作用，但訪問控制可以說是保證網(wǎng)絡(luò)安全的核心措施之一。主要包括入網(wǎng)訪問控制、網(wǎng)絡(luò)的權(quán)限控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測和鎖定控制等。

入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。他控制哪些用戶能夠登陸到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時間和準(zhǔn)許他們在哪臺工作站入網(wǎng)。用戶的入網(wǎng)訪問控制可分為三個步驟：用戶名的識別與驗(yàn)證、用戶口令的識別與驗(yàn)證、用戶帳號的缺省限制檢查。三道關(guān)卡中任何一道未過，該用戶便不能進(jìn)入該網(wǎng)絡(luò)。對網(wǎng)絡(luò)用戶的用戶名和口令驗(yàn)證是防止非法訪問的第一道防線。用戶注冊時首先輸入用戶名和口令，服務(wù)器將驗(yàn)證所輸入的用戶名是否合法，如果驗(yàn)證合法，才繼續(xù)驗(yàn)證用戶輸入的口令，否則用戶將被拒絕之網(wǎng)絡(luò)之外。

2.5VPN(虛擬專用網(wǎng))技術(shù)措施

在電信企業(yè)提供的各種網(wǎng)絡(luò)服務(wù)中，象銀行、證券業(yè)等涉及重要商業(yè)機(jī)密、經(jīng)濟(jì)安全和公安網(wǎng)絡(luò)涉及國家安全等網(wǎng)絡(luò)服務(wù)，就不能采用常規(guī)的聯(lián)網(wǎng)提供網(wǎng)絡(luò)服務(wù)，必須采取特別的網(wǎng)絡(luò)安全保護(hù)措施。物理隔離和組建專網(wǎng)是最直接的解決辦法，但它們實(shí)施困難、成本高，不便于資源共享，而具有高品質(zhì)、高QOS保證的企業(yè)虛擬專用網(wǎng)VPN技術(shù)就為這類電信企業(yè)大客戶的通信需求提出了最好的解決手段。

2.6VLAN技術(shù)措施

虛擬局域網(wǎng)技術(shù)主要是基于局域網(wǎng)技術(shù)發(fā)展起來的。由于以太網(wǎng)本質(zhì)上是基于廣播技術(shù)的，組建一個個的局域網(wǎng)就要采用大量的路由器，且網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，時延大。采用交換技術(shù)和VLAN技術(shù)后，就將傳統(tǒng)的基于廣播的局域網(wǎng)發(fā)展為了面向連接的技術(shù)，實(shí)現(xiàn)點(diǎn)到點(diǎn)的通信。采用VLAN技術(shù)后信息只到達(dá)應(yīng)該到達(dá)的地點(diǎn)，防止了大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵手段，通過虛擬網(wǎng)設(shè)置的訪問控制，使在虛擬網(wǎng)外的網(wǎng)絡(luò)結(jié)點(diǎn)不能直接訪問網(wǎng)內(nèi)的結(jié)點(diǎn)。

參考文獻(xiàn)：

[1]張?jiān)伱?計(jì)算機(jī)通信網(wǎng)絡(luò)安全概述.中國科技信息，2006.

[2]鄭宇.農(nóng)村信息服務(wù)網(wǎng)絡(luò)結(jié)點(diǎn)建設(shè)探討.

作者簡介：余芝軒(1967.3-)，女，湖北英山人，黃岡職業(yè)技術(shù)學(xué)院副教授，碩士，研究方向:高職教育，計(jì)算機(jī)。

中圖分類號：G420

文獻(xiàn)標(biāo)志碼：A

文章編號：1671-1602(2016)14-0023-02