互聯(lián)網(wǎng)是對(duì)全世界都開(kāi)放的網(wǎng)絡(luò),任何單位或個(gè)人都可以在網(wǎng)上方便地傳輸和獲取各種信息,互聯(lián)網(wǎng)這種具有開(kāi)放性、共享性、國(guó)際性的特點(diǎn)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全提出了挑戰(zhàn)。
互聯(lián)網(wǎng)的不安全性主要有以下幾項(xiàng):網(wǎng)絡(luò)的技術(shù)是全開(kāi)放的,使得網(wǎng)絡(luò)所面臨的攻擊來(lái)自多方面,包括是來(lái)自物理傳輸線路的攻擊,以及來(lái)自對(duì)網(wǎng)絡(luò)通信協(xié)議的攻擊和對(duì)計(jì)算機(jī)軟件、硬件的漏洞實(shí)施攻擊。網(wǎng)絡(luò)的國(guó)際性意味著對(duì)網(wǎng)絡(luò)的攻擊不僅是來(lái)自于本地網(wǎng)絡(luò)的用戶,還可以是互聯(lián)網(wǎng)上其他國(guó)家的黑客,所以,網(wǎng)絡(luò)安全面臨著國(guó)際化的挑戰(zhàn)。大多數(shù)的網(wǎng)絡(luò)對(duì)用戶的使用沒(méi)有技術(shù)上的約束,用戶可以自由地上網(wǎng)、發(fā)布和獲取各類(lèi)信息。
網(wǎng)絡(luò)的開(kāi)放性同時(shí)也帶來(lái)了許多安全問(wèn)題,其中,數(shù)據(jù)丟失正是其中最嚴(yán)重的問(wèn)題。造成計(jì)算機(jī)中存儲(chǔ)數(shù)據(jù)丟失的原因主要有:病毒侵蝕、人為竊取、計(jì)算機(jī)電磁輻射、計(jì)算機(jī)存儲(chǔ)器硬件損壞等等。到目前為止,已發(fā)現(xiàn)的計(jì)算機(jī)病毒近萬(wàn)種,惡性病毒可使整個(gè)計(jì)算機(jī)軟件系統(tǒng)崩潰、數(shù)據(jù)全毀,這樣的病毒也有上百種。計(jì)算機(jī)病毒是附在計(jì)算機(jī)軟件中隱蔽的小程序,它和計(jì)算機(jī)其他工作程序一樣,但它的功能會(huì)破壞正常的程序和數(shù)據(jù)文件。要想防止病毒侵襲,主要的方法是加強(qiáng)行政管理,杜絕啟動(dòng)外來(lái)的軟件并定期對(duì)系統(tǒng)進(jìn)行檢測(cè),也可在計(jì)算機(jī)中插入防病毒卡或使用清病毒軟件清除已發(fā)現(xiàn)的病毒。
其中,人為竊取是指盜用者以合法身份,進(jìn)入計(jì)算機(jī)系統(tǒng),私自提取計(jì)算機(jī)中的數(shù)據(jù)或進(jìn)行修改轉(zhuǎn)移、復(fù)制等等。那么,我們應(yīng)如何防止這種行為的發(fā)生呢?方法之一是增設(shè)軟件系統(tǒng)安全機(jī)制,使盜竊者不能以合法身份進(jìn)入系統(tǒng),如增加合法用戶的標(biāo)志識(shí)別、增加口令,給用戶規(guī)定不同的權(quán)限,使其不能自由訪問(wèn)不該訪問(wèn)的數(shù)據(jù)區(qū)等;二是對(duì)數(shù)據(jù)進(jìn)行加密處理,即使盜竊者進(jìn)入系統(tǒng),沒(méi)有密鑰,也無(wú)法讀懂?dāng)?shù)據(jù)。密鑰可以是軟代碼,也可以是硬代碼,需隨時(shí)更換。加密的數(shù)據(jù)對(duì)數(shù)據(jù)傳輸和計(jì)算機(jī)輻射都有安全保障;三是在計(jì)算機(jī)內(nèi)設(shè)置操作日志,對(duì)重要數(shù)據(jù)的讀、寫(xiě)、修改進(jìn)行自動(dòng)記錄,這個(gè)日志是一個(gè)黑匣子,只能極少數(shù)有特權(quán)的人才能打開(kāi),可用來(lái)偵破盜竊者。
由于計(jì)算機(jī)硬件本身就是向空間輻射的強(qiáng)大的脈沖源,和一個(gè)小電臺(tái)差不多,頻率在幾十千周到上百兆周,盜竊者可以接收計(jì)算機(jī)輻射出來(lái)的電磁波進(jìn)行復(fù)原,獲取計(jì)算機(jī)中的數(shù)據(jù)。為此,計(jì)算機(jī)制造廠家增加了防輻射的措施,從芯片、電磁器件到線路板、電源、轉(zhuǎn)盤(pán)、硬盤(pán)、顯示器及連接線,都全面屏蔽起來(lái),以防電磁波輻射。更進(jìn)一步可將機(jī)房或整個(gè)辦公大樓都屏蔽起來(lái),如果沒(méi)有條件建屏蔽機(jī)房,可使用干擾器發(fā)出干擾信號(hào),使接收者無(wú)法正常接收有用信號(hào)。計(jì)算機(jī)存儲(chǔ)器硬件損壞,使計(jì)算機(jī)存儲(chǔ)數(shù)據(jù)讀不出來(lái)也是常見(jiàn)的事。防止這類(lèi)事故的發(fā)生有幾種辦法:一是將有用數(shù)據(jù)定期復(fù)制出來(lái)保存,一旦機(jī)器有故障,可在修復(fù)后把有用數(shù)據(jù)復(fù)制回去;二是在計(jì)算機(jī)中做熱備份,使用雙硬盤(pán),同時(shí)將數(shù)據(jù)存在兩個(gè)硬盤(pán)上;在安全性要求高的特殊場(chǎng)合還可以使用雙主機(jī),萬(wàn)一一臺(tái)主機(jī)出問(wèn)題,另外一臺(tái)主機(jī)照樣運(yùn)行?,F(xiàn)在的技術(shù)對(duì)雙機(jī)雙硬盤(pán)都有帶電插拔保障,即在計(jì)算機(jī)正常運(yùn)行時(shí),可以插拔任何有問(wèn)題部件,進(jìn)行更換和修理,保證計(jì)算機(jī)連續(xù)運(yùn)行。計(jì)算機(jī)安全的另外一項(xiàng)技術(shù)就是加固技術(shù),經(jīng)過(guò)加固技術(shù)生產(chǎn)的計(jì)算機(jī)防震、防水、防化學(xué)腐蝕,可以使計(jì)算機(jī)在野外全天候運(yùn)行。
每一種安全機(jī)制都有一定的應(yīng)用范圍和應(yīng)用環(huán)境,防火墻可以有效地隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu),它是一種實(shí)用的安全工具,它可以限制外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的連接。防火墻是無(wú)法解決內(nèi)部網(wǎng)絡(luò)之間的訪問(wèn)的。因此,防火墻很難發(fā)覺(jué)內(nèi)部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)之間的入侵行為和內(nèi)外勾結(jié)的入侵行為,所以無(wú)從防范。安全工具的使用受到人為因素的影響,系統(tǒng)管理者和普通用戶決定著使用安全工具的期望效果,不安全因素往往產(chǎn)生于錯(cuò)誤的設(shè)置。例如,NT在進(jìn)行合理的設(shè)置后可以達(dá)到c2級(jí)的安全性,但很少有人能夠?qū)T本身的安全策略進(jìn)行合理的設(shè)置。這方面雖然可以通過(guò)靜態(tài)掃描工具來(lái)檢測(cè)系統(tǒng)是否逆行了合理的設(shè)置,但是這些掃描工具基本上也只是一種缺省的系統(tǒng)安全策略,當(dāng)有具體的應(yīng)用環(huán)境和專(zhuān)門(mén)的應(yīng)用需求的時(shí)候,便很難判斷設(shè)置的正確與否。系統(tǒng)的后門(mén)是傳統(tǒng)安全工具難于考慮到的地方,傳統(tǒng)安全工具很難考慮到有關(guān)系統(tǒng)的后門(mén)問(wèn)題,這種形式的入侵大都可以大搖大擺地通過(guò)防火墻而不被察覺(jué)。例如,眾所周知的ASP源碼問(wèn)題,這個(gè)問(wèn)題在IIs服務(wù)器4.0以前一直存在,它是IIs服務(wù)的設(shè)計(jì)者留下的一個(gè)后門(mén),任意一個(gè)人都可以從Internet上輕松地調(diào)出ASP程序的源碼,收集系統(tǒng)信息,做好準(zhǔn)備工作后攻擊系統(tǒng)。防火墻是無(wú)法發(fā)覺(jué)這種方式的入侵行為的,因?yàn)閷?duì)它來(lái)說(shuō),正常的Web訪問(wèn)過(guò)程跟這種方式的入侵行為的相似度很高,僅僅有一個(gè)不同是正常訪問(wèn)的請(qǐng)求鏈接沒(méi)有入侵訪問(wèn)時(shí)的那個(gè)后綴。
網(wǎng)絡(luò)安全工具是由人設(shè)計(jì)的,因此必然存在安全漏洞。只要有程序就可能存在BUG,程序員在對(duì)BUG進(jìn)行消除時(shí),很可能會(huì)產(chǎn)生新的BUG,黑客往往鉆這個(gè)空子對(duì)其加以利用。黑客的這種攻擊,電腦通常不會(huì)產(chǎn)生日志,因此無(wú)據(jù)可查,目前的安全工具還無(wú)法解決這一問(wèn)題。