朱則剛

?

探求網絡密碼破解安全隱患

朱則剛

To Search after the Network Code & Break the Spell of Security Hidden Danger

Zhu Zegang

隨著Internet的飛速發(fā)展與全球性信息高速公路的建設，信息和計算機網絡系統(tǒng)現(xiàn)在己成為社會發(fā)展的重要保證。網絡安全技術指致力于解決諸如如何有效進行介入控制，以及何如保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g手段，主要包括物理安全分析技術，網絡結構安全分析技術，系統(tǒng)安全分析技術，管理安全分析技術，及其它的安全服務和安全機制策略。在網絡技術高速發(fā)展的今天，對網絡安全技術的研究意義重大，它關系到小至個人的利益，大至國家的安全。信息與網絡給人類社會科學與技術的發(fā)展帶來了巨大的推動與沖擊，同時也引發(fā)了許多異想不到的問題，Internet的安全就是其中之一，在網絡上如何保證合法用戶對資源的合法訪問以及如何防止網絡黑客攻擊，成為網絡安全的主要內容，因此受到了全社會的廣泛關注。

1、網絡信息安全關系到國家的安全和個人利益

人類社會已經進入信息時代，或稱網絡化時代，因特網、計算機網和各種通信網的飛速發(fā)展，使得網絡已經成為人們新的社會生活空間。網絡的出現(xiàn)不僅改變了生產方式和生活方式，還導致了傳統(tǒng)意義上軍事安全界線的消失，戰(zhàn)爭形態(tài)的變化，戰(zhàn)場空間的拓展。網絡，繼空、地、海、天、電之后，成為“第六維”空間戰(zhàn)場。

在信息時代里，網絡化的信息系統(tǒng)已經成為國家經濟建設和國防力量的重要標志和支柱，國家和軍隊的大部分信息活動都是在網絡中進行的，通過互聯(lián)網和局域網來處理各項業(yè)務，脫離網絡的電腦單機幾乎已經不復存在。從某種意義上講，網絡系統(tǒng)，成為軍隊建設由機械化向信息化轉型的核心和關鍵。網絡的崛起和廣泛應用，使得信息網絡安全問題變得日益突出，成為國家和軍隊安全所需關注的重要領域。對網絡的高度依賴，使網絡正在成為各個國家和軍隊之間爭奪的重要戰(zhàn)場空間，對計算機網絡和通信網絡進行信息攻擊和物理攻擊，已經成為一種重要的作戰(zhàn)手段。

計算機自產生之初發(fā)展迅速，隨著各種網絡技術的發(fā)展和應用的普及，網絡信息化浪潮席卷全球，如今人們的生活、辦公、娛樂再也離不開網絡，網絡在很大程度上改變著人們的生活習慣。相比于國外在網絡安全上做的很多工作，我國的網絡信息安全管理還存在很多問題，信息泄露、安全隱患的存在給相關機構造成巨大的經濟損失，一些重要信息的泄露還可能產生無法挽回的損失，所以網絡信息安全管理成為我們必須直面和解決的問題。

由于一切重要信息的產生、傳遞和存儲幾乎無例外地都采用了數(shù)字形式，一個完整的信息系統(tǒng)更可能成為電子間諜、破壞者和盜竊者入侵的對象。以竊取、篡改和破壞數(shù)據(jù)與軟件的方式，對網絡和計算機系統(tǒng)進行攻擊，具有很大的破壞性。一個國家和軍隊的物理基礎設施越是依賴信息系統(tǒng)，信息網絡安全問題也就愈突出。軍隊對民用技術與系統(tǒng)日益強烈的依賴，軍用與民用網絡的互聯(lián)、互通和互操作性的增強，以及越來越大量的軍事信息寄駐于民用基礎設施中等，使軍事和民用網絡都面臨著嚴重的信息攻擊威脅和物理攻擊威脅。計算機網、因特網和各種通信網發(fā)展的速度越快，社會與軍隊信息化程度越高，通信、計算機和信息網的安全就愈顯得重要，網絡信息安全問題就變得日益突出和迫切。

瓶頸突破之后，寬帶上網進入高速發(fā)展時期，速度快就是寬帶最大的優(yōu)勢，可以預見，寬帶接入必將成為人們上網的主導方式。近幾年來，寬帶上網在我國發(fā)展極為迅猛，ADsL、光纖+LAN、光纖到戶（FTTH）依次逐漸成為高速上網的主導方式，人們在享受寬帶互聯(lián)網所帶來的方便快捷和娛樂新體驗的同時，信息安全問題也逐漸成為人們關注的重點。目前，計算機病毒泛濫成災，網絡攻擊造成重大損失的事件經常發(fā)生，信息安全問題出現(xiàn)了新的態(tài)勢，黑客們越來越熱衷于竊取人們的寬帶上網帳號等重要的個人信息，時常會造成個人財物的重大損失。

以因特網為代表和主體的信息網絡將成為人類21世紀生產、生活的基本方式，世界各國都以戰(zhàn)略眼光注視著它的發(fā)展，并積極謀取網上的優(yōu)勢和主動權。但是因特網的信息安全問題也較突出。病毒感染事件增加，病毒種類增多；網上竊密活動猖獗；網上經濟詐騙增長；網上賭博盛行，色情泛濫，通過瀏覽器，電子郵件等方式大量擴散；帶有政治性的網上攻擊增加。人們對于私人信息安全的擔憂嚴重阻礙電子商務、網上交易等互聯(lián)網新式服務的發(fā)展，寬帶接入方式的普及使得個人信息更加無私密性可言，人們經常處于個人信息安全的恐慌之中。

隨著互聯(lián)網技術的不斷發(fā)展和廣泛應用，計算機網絡在現(xiàn)代生活中的作用越來越重要，如今，個人、企業(yè)以及政府部門，國家軍事部門，不管是天文的還是地理的都依靠網絡傳遞信息，這已成為主流，人們也越來越依賴網絡。網絡的開放性與共享性容易使它受到外界的攻擊與破壞，網絡信息的各種入侵行為和犯罪活動接踵而至，信息的安全保密性受到嚴重影響。因此，網絡安全問題已成為世界各國政府、企業(yè)及廣大網絡用戶最關心的問題之一。

21世紀全世界的計算機都將通過Internet聯(lián)到一起，信息安全的內涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領域變成了無處不在。當人類步入21世紀這一信息社會、網絡社會的時候，我國將建立起一套完整的網絡安全體系，特別是從政策上和法律上建立起有中國自己特色的網絡安全體系。

網絡受到攻擊的原因有許多，但大致可分為以下種類：電子系統(tǒng)管理員的安全意識不夠強，暴露出明顯的安全漏洞。如系統(tǒng)管理員口令設置不對，系統(tǒng)設置了許多權限控制不嚴的“信任主機”等；軟件系統(tǒng)存在錯誤或漏洞；TCP/IP本身的運行機制不完善，雖然目前網絡不斷受到攻擊，但是信息安全技術水平也在不斷提高。一個國家的信息安全體系實際上包括國家的法規(guī)和政策，以及技術與市場的發(fā)展平臺。對網絡安全技術的研究就是為了盡最大的努力為個人、國家創(chuàng)造一個良好的網絡環(huán)境，讓網絡安全技術更好的為廣大用戶服務。我國在構建信息防衛(wèi)系統(tǒng)時，應著力發(fā)展自己獨特的安全產品，我國要想真正解決網絡安全問題，最終的辦法就是通過發(fā)展民族的安全產業(yè)，帶動我國網絡安全技術的整體提高。信息安全是國家發(fā)展所面臨的一個重要問題，對此我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術上，產業(yè)上，政策上來發(fā)展它，政府不僅應該看見信息安全的發(fā)展是我國高科技產業(yè)的一部分，而且應該看到，發(fā)展安全產業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分，甚至應該看到它對我國未來電子化，信息化的發(fā)展將起到非常重要的作用。

2、網絡信息安全隱患分析

信息安全包括信息系統(tǒng)的安全和系統(tǒng)中信息的安全。隨著科技的快速發(fā)展，計算機技術的日新月異推動了時代信息化的腳步。數(shù)字化、信息化產品和技術逐漸滲透到人們生活的方方面面，為人類社會的進步做出了巨大的貢獻。電腦、手機、互聯(lián)網等等一系列科學技術改變了人們的日常生活。但與此同時，隨著信息技術的提高和快速發(fā)展，其弊端也顯現(xiàn)出來。

由于信息系統(tǒng)自身的脆弱性和來自內外部的各種威脅及攻擊，使得信息安全問題變得十分突出。越來越多的網絡安全問題威脅著廣大計算機用戶的正常生活，諸如病毒、黑客的侵襲、網絡數(shù)據(jù)的竊取等等惡性行為給網絡信息安全帶來極大的威脅，雖然一些防范網絡安全的技術和軟件已廣泛運用到計算機網絡中，但層出不窮的網絡信息安全問題仍值得重視。

網絡信息安全問題的由來。計算機系統(tǒng)由計算機軟件系統(tǒng)和硬件系統(tǒng)構成，是計算機正常運行的關鍵。任何計算機都存在著由于操作失誤，硬件、軟件、網絡本身出現(xiàn)故障，而導致系統(tǒng)數(shù)據(jù)丟失甚至癱瘓的風險。系統(tǒng)故障會造成網絡漏洞，為不法分子提供可趁之機，侵入系統(tǒng)內部竊取數(shù)據(jù)或重要信息。另外，系統(tǒng)故障也使得計算機失去了安全保護的屏障，使病毒等惡性程序更容易侵入計算機，為計算機系統(tǒng)安全帶來威脅。隨著現(xiàn)代網絡通信技術的發(fā)展和應用，過去各自獨立運行的單機或單個系統(tǒng)通過網絡相互連接起來，實現(xiàn)了跨系統(tǒng)、跨區(qū)域的資源共享和信息交換。然而，隨著計算機網絡的廣泛應用和網絡空間的逐步開放，為自身系統(tǒng)的安全運行埋下了隱患，使網絡極易受黑客、惡意軟件和計算機病毒的攻擊。事實上，自互聯(lián)網問世以來，一場網絡安全防范與入侵攻擊之間的戰(zhàn)爭就已拉開帷幕。

信息和網絡安全問題所造成的后果嚴重：一是網絡不安全，國家信息就不安全。國家信息系統(tǒng)往往成為敵對國家和不法分子攻擊和竊取國家信息情報的重要途徑；二是網絡不安全，經濟信息就不安全。信息技術與信息產業(yè)已成為當今世界經濟與社會發(fā)展的主要驅動力。但網絡是把“雙刃劍”，世界各國的經濟每年都因信息安全問題遭受巨大損失。目前美國、德國、英國、法國每年由于網絡安全問題而遭受的經濟損失達數(shù)百億美元。其中2005年，英國有500萬人僅被網絡詐騙就造成經濟損失達5億美元；三是，網絡不安全，軍事信息就不安全。

信息系統(tǒng)自身固有的脆弱性，主要有：數(shù)據(jù)的可訪問性---資源的共享性和分散性，增加了網絡受攻擊的可能性；電磁輻射泄漏---網絡與計算機存在的電磁信息泄漏提供了失密、泄密和竊密的可能性；計算機系統(tǒng)的硬件組成及其操作系統(tǒng)的脆弱性，為系統(tǒng)的濫用提供了方便；在操作運行環(huán)境中的硬件故障和人為失誤，會造成概率類脆弱性；算法上的脆弱性---主要是系統(tǒng)設計和實現(xiàn)上的一些顯而易見的安全缺陷所造成的漏洞等。

對信息安全的主要威脅有：非人為因素造成的威脅，主要指種種自然災害等；人為因素造成的威脅，主要指偶發(fā)性威脅、故意性威脅，包括網絡攻擊、蓄意入侵、計算機病毒等。

雖然人為因素和非人為因素都對系統(tǒng)安全構成威脅，但精心設計的人為攻擊威脅最大。人為攻擊可分為被動攻擊和主動攻擊。被動攻擊不改變系統(tǒng)中的任何信息，也不改變系統(tǒng)的操作和狀態(tài)，但它威脅信息的保密性。主動攻擊則威脅信息的完整性、真實性和可用性。

現(xiàn)今互聯(lián)網環(huán)境正在發(fā)生著一系列的變化，安全問題也出現(xiàn)了相應的變化。主要反映在以下方面：網絡犯罪成為集團化、產業(yè)化的趨勢。從灰鴿子病毒案例可以看出，木馬從制作到最終盜取用戶信息甚至財物，漸漸成為了一條產業(yè)鏈；無線網絡、移動手機成為新的攻擊區(qū)域，新的攻擊重點。隨著無線網絡的大力推廣，3G網絡使用人群的增多，使用的用戶群體也在不斷的增加；垃圾郵件依然比較嚴重。雖然經過這么多年的垃圾郵件整治，垃圾郵件現(xiàn)象得到明顯的改善，例如在美國有相應的立法來處理垃圾郵件。但是在利益的驅動下，垃圾郵件仍然影響著每個人郵箱的使用；漏洞攻擊的爆發(fā)時間變短。從這幾年的攻擊來年，不難發(fā)現(xiàn)漏洞攻擊的時間越來越短，系統(tǒng)漏洞、網絡漏洞、軟件漏洞被攻擊者發(fā)現(xiàn)并利用的時間間隔在不斷的縮短。很多攻擊者都通過這些漏洞來攻擊網絡；攻擊方的技術水平要求越來越低。

DoS攻擊更加頻繁。對于DoS攻擊更加隱蔽，難以追蹤到攻擊者。大多數(shù)攻擊者采用分布式的攻擊方式，以及跳板攻擊方法。這種攻擊更具有威脅性，攻擊更加難以防治。

針對瀏覽器插件的攻擊。插件的性能不是由瀏覽器來決定的，瀏覽器的漏洞升級并不能解決插件可能存在的漏洞；網站攻擊，特別是網頁被掛馬。大多數(shù)用戶在打開一個熟習的網站，比如自己信任的網站，但是這個網站被告掛馬，這在不經意之間木馬將會安裝在自己的電腦內。這是現(xiàn)在網站攻擊的主要模式。

內部用戶的攻擊?，F(xiàn)今企事業(yè)單位的內部網與外部網聯(lián)系的越來越緊密，來自內部用戶的威脅也不斷地表現(xiàn)出來。來自內部攻擊的比例在不斷上升，變成內部網絡的一個防災重點。

網絡是一個共享的空間，每個人都可以自由的訪問網絡，獲取網絡上的公共資源，網絡資源的開放性降低了信息安全系數(shù)，隨著終端設備數(shù)量的增加，信息交互變得頻繁和密切，一臺電腦的安全事故可以在短時間內擴散給其他用戶，這種安全事故的來源是多方面的。黑客或間諜通過網絡技術私自擴大自己的信息訪問限權，在沒有授權的情況下訪問受限信息，非法使用受限的網絡軟件，并對網絡數(shù)據(jù)進行修改。網絡信息必須按照預先設置好的運行次序傳輸，網絡黑客或間諜通過技術手段改變運行次序，導致信息錯誤甚至出現(xiàn)流向錯誤。黑客通過修改重要信息，達到有利于他的非法目的。典型的網絡攻擊方式如下：病毒的侵襲計算機病毒是喜歡搞惡作劇的人或黑客們編寫的一種短程序，通常不超過100個字節(jié)。計算機病毒一經進人計算機系統(tǒng)，就會在適當?shù)沫h(huán)境下自動運行，破壞和癱瘓計算機的存儲和記憶系統(tǒng)，并自我復制和傳播，使計算機系統(tǒng)或網絡陷于癱瘓而無法正常工作。目前幾乎每天都有新的計算機病毒產生，加上計算機病毒機理的不斷演變和變種的出現(xiàn)，從而使計算機網絡的信息安全保障問題日益復雜。黑客的非法闖入是指黑客利用企業(yè)網絡的安全漏洞，不經允許非法訪問企業(yè)內部網絡或數(shù)據(jù)資源從事刪除復制甚至毀壞數(shù)據(jù)的活動?！昂诳汀蹦壳耙殉蔀榫ㄓ嬎銠C網絡而從事情報竊取、制造事端、散布病毒、毀壞數(shù)據(jù)者的代名詞。

利用網絡與計算機系統(tǒng)的脆弱性，開發(fā)信息入侵和信息攻擊技術，發(fā)展網絡空間和電腦主體情報獲取能力已成為世界各國情報界和國際情報活動擴展新領域、補充新手段的主攻方向。據(jù)不完全統(tǒng)計，全世界已經有120多個國家擁有這樣的能力。另據(jù)美國審計局調查表明，美國每年政府機構有47％的網絡受到攻擊，美軍方則聲稱，國防部和軍隊網絡受攻擊的危險正在以每年120％的速度增長，我國的網絡系統(tǒng)也多次受到攻擊?？梢灶A見，隨著網絡技術的進一步發(fā)展，以及網絡社會化程度的提高，信息網絡安全面臨的挑戰(zhàn)將會更大，各種攻擊破壞手段將會更多、更為復雜。信息網絡安全保密技術，在系統(tǒng)的設計中之所以成為不可忽視的重要組成部分，越來越引起人們的重視，是因為網絡化信息系統(tǒng)的地域廣泛性和通信協(xié)議的開放性，決定了它的易損性，使它成為信息戰(zhàn)中最重要的打擊對象和最好的情報來源。

3、信息網絡安全技術的研究和產品開發(fā)走出有中國特色的發(fā)展之路

信息屬于眾多資源的一類，對于人們而言意義重大，其特點為：共享性、增值性、可處理性、常見性.信息安全指的是，采取特殊的手段，以保證信息的完整，降低各種潛在的危害.對于信息安全的具體含義，國家組織曾給出非常準確的解釋，即信息的完整、可靠、可用。隨著互聯(lián)網和網絡應用飛快地不斷發(fā)展，網絡應用日趨普及和復雜，信息安全問題成為互聯(lián)網和網絡應用發(fā)展中面臨的重要問題。手機、掌上電腦等無線終端的處理能力和功能通用性提高，使其逐漸具備小型計算機的功能，越來越多的網絡攻擊開始向這類產品傾斜，并將進一步發(fā)展.同時網絡攻擊行為也日趨復雜并且各種方法也相互融合，使得保證網絡的安全困難重重.與以前相比，攻擊行為更具有組織性，而進行攻擊的目的也出現(xiàn)較大變化，原來進行攻擊主要是為了表現(xiàn)個人的能力，而現(xiàn)在則更多地是為了獲得收益.另外，在互聯(lián)網上，各種惡意網站、木馬病毒、惡意軟件層出不窮，發(fā)展較快；總之，安全問題已經擺在了非常重要的位置上，網絡安全必須加以防范，否則會嚴重地影響到網絡的應用。

自從網絡技術運用的20多年以來，全世界網絡得到了持續(xù)快速的發(fā)展，中國的網絡安全技術在近幾年也得到快速的發(fā)展，這一方面得益于從中央到地方政府的廣泛重視，另一方面因為網絡安全問題日益突出，網絡安全企業(yè)不斷跟進最新安全技術，不斷推出滿足用戶需求、具有時代特色的安全產品，進一步促進了網絡安全技術的發(fā)展。

從技術層面來看，目前網絡安全產品在發(fā)展過程中面臨的主要問題是：以往人們主要關心系統(tǒng)與網絡基礎層面的防護問題，而現(xiàn)在人們更加關注應用層面的安全防護問題，安全防護已經從底層或簡單數(shù)據(jù)層面上升到了應用層面，這種應用防護問題已經深入到業(yè)務行為的相關性和信息內容的語義范疇，越來越多的安全技術已經與應用相結合。據(jù)中國互聯(lián)網信息中心報道：中國網民人數(shù)達4.57億，寬帶普及率接近100％，互聯(lián)網普及率達28.9％，超過世界平均水平，使用手機上網的網民達到2.33億人.與此同時，網絡安全形勢不容樂觀，以僵尸網絡、間諜軟件、身份竊取等為代表的各類惡意代碼逐漸成為最大威脅，拒絕服務攻擊、網絡仿冒、垃圾郵件等安全事件仍然猖獗。網絡安全事件在保持整體數(shù)量顯著上升的同時，也呈現(xiàn)出技術復雜化、動機趨利化、政治化的特點。

在信息時代，網絡安全逐漸成為一個潛在的巨大問題。網絡安全主要研究的是計算機病毒的防治和系統(tǒng)的安全。在計算機網絡日益擴展和普及的今天，計算機安全的要求更高，涉及面更廣。不但要求防治病毒，還要提高系統(tǒng)抵抗外來非法黑客入侵的能力，還要提高對遠程數(shù)據(jù)傳輸?shù)谋Ｃ苄浴＞唧w而言，網絡安全主要是保護個人隱私；控制對有權限限制的網絡資源的訪問；保證商業(yè)秘密在網絡上傳輸?shù)谋Ｃ苄?、?shù)據(jù)的完整性和真實性；控制不健康的內容或危害社會穩(wěn)定的言論；避免國家機密泄漏等，由此可見網絡安全的重要性。由于網絡已經深入到人們生活和工作的各個方面，所以，對網絡安全的要求也提升到了更高層次。

隨著互聯(lián)網的飛速發(fā)展，網絡安全成為一個潛在的巨大問題，也是涉及面很廣泛的問題，其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中，它主要關心的是確保無關人員不能讀取，更不能修改傳送給其它接收者的信息。此時，它關心的對像是那些無權使用，但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和回放的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。大多數(shù)安全性問題的出現(xiàn)都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的?？梢钥闯霰ＷC網絡安全不僅僅是使它沒有編程錯誤。它包括要防范那些聰明的，通常也是狡猾的、專業(yè)的，并且在時間和金錢上是很充足、富有的人。同時必須清楚地認識到，能夠制止偶然實施破壞行為的敵人的方法對那些慣于作案的老手來說收效甚微。網絡安全性可以被粗略地分為四個相互交織的部分：保密、鑒別、反拒認以及完整性控制。保密是保護信息不被未授權者訪問，這是人們提到的網絡安全性時最常想到的內容。鑒別主要指在揭示敏感信息或進行事務處理之前先確認對方的身份。反拒認主要與簽名有關；保密和完整性通過使用注冊過的郵件和檔鎖來實現(xiàn)。

我國信息網絡安全研究歷經了通信保密、數(shù)據(jù)保護兩個階段，正在進入網絡信息安全研究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網關、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。但因信息網絡安全領域是一個綜合、交叉的學科領域它綜合了利用數(shù)學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網絡安全的方案，目前應從安全體系結構、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個方面開展研究，各部分相互協(xié)同形成有機整體。

21世紀人類步入信息社會后，信息這一社會發(fā)展的重要戰(zhàn)略資源需要網絡安全技術的有力保障，才能形成社會發(fā)展的推動力。在我國信息網絡安全技術的研究和產品開發(fā)仍處于起步階段，仍有大量的工作需要我們去研發(fā)和探索，以走出有中國特色的產學研聯(lián)合發(fā)展之路，趕上或超過發(fā)達國家的水平，以此保證我國信息網絡的安全，推動我國國民經濟的高速發(fā)展。

4、網絡信息安全技術的解決方案

網絡安全性與每一層都有關系：在物理層可通過把傳輸線封裝在包含壓氬氣的封裝管中來挫敗偷聽。任何鉆管的嘗試都會導致漏氣、減壓，并能觸發(fā)警報裝置。一些軍用系統(tǒng)就采用了他，在數(shù)據(jù)鏈路層，點點線上的分組在離開一臺機器時被編上密碼，到達另一臺時再解碼。在網絡層可安裝防火墻來限制分組的進出。在傳輸層整個連接都能被加密（過程到過程）。在應用層可想辦法采用一種通用的方法有效地解決身份認證或反拒認問題。網絡信息安全技術通常從防止信息竊密和防止信息破壞2方面來考慮。防止信息竊密的技術通常采用通信反偵察、防電磁泄露、防火墻技術、密鑰管理、通信保密、文件保密、報文鑒別、數(shù)字簽名、存儲加密等。針對于眾多的網絡安全問題，在技術上都提出了如下相應的解決方案：

（1）網絡防火墻技術

所謂防火墻指的是一個有軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。防火墻就是用來阻擋外部不安全因素影響的內部網絡屏障，其目的就是防止外部網絡用戶未經授權的訪問。它是一種計算機硬件和軟件的結合，使Internet與Internet之間建立起一個安全網關，從而保護內部網免受非法用戶的侵入，防火墻是設置在兩個或多個網絡之間的安全阻隔，用于保證本地網絡資源的安全，通常是包含軟件部分和硬件部分的一個系統(tǒng)或多個系統(tǒng)的組合。防火墻技術是通過允許、拒絕或重新定向經過防火墻的數(shù)據(jù)流，防止不希望的、未經授權的通信進出被保護的內部網絡，并對進、出內部網絡的服務和訪問進行審計和控制，本身具有較強的抗攻擊能力，并且只有授權的管理員方可對防火墻進行管理，通過邊界控制來強化內部網絡的全。

（2）VPN技術

VPN（虛擬專用網絡）是指利用公共網絡建立私有專用網絡。虛擬專用網絡功能是：在公用網絡上建立專用網絡，進行加密通訊。在企業(yè)網絡中有廣泛應用。VPN網關通過對數(shù)據(jù)包的加密和數(shù)據(jù)包目標地址的轉換實現(xiàn)遠程訪問。VPN有多種分類方式，主要是按協(xié)議進行分類。VPN可通過服務器、硬件、軟件等多種方式實現(xiàn)。VPN具有成本低，并且易于使用的特點。數(shù)據(jù)通過安全的“加密隧道”在公共網絡中傳播，連接在Internet上的位于不同地方的兩個或多個企業(yè)內部網之間建立一條專有的通信線路。VPN利用公共網絡基礎設施為企業(yè)各部門提供安全的網絡互聯(lián)服務，能夠使運行在VPN之上的商業(yè)應用享有幾乎和專用網絡同樣的安全性、可靠性、優(yōu)先級別和可管理性。

（3）IDS（入侵檢測系統(tǒng)）技術

作為一種積極主動的安全防護工具，提供了對內部攻擊、外部攻擊和誤操作的實時防護，在計算機網絡和系統(tǒng)受到危害之前進行報警、攔截和響應。目前基本上分為以下兩種：主機入侵檢測系統(tǒng)；網絡入侵檢測系統(tǒng)。主機入侵檢測系統(tǒng)分析對象為主機審計日志，所以需要在主機上安裝軟件，針對不同的系統(tǒng)、不同的版本需安裝不同的主機引擎，安裝配置較為復雜，同時對系統(tǒng)的運行和穩(wěn)定性造成影響，目前在國內應用較少。網絡入侵監(jiān)測分析對象為網絡數(shù)據(jù)流，只需安裝在網絡的監(jiān)聽端口上，對網絡的運行無任何影響，目前國內使用較為廣泛。IDS常用的檢測方法有特征檢測、異常檢測、狀態(tài)檢測、協(xié)議分析等，而這些檢測方式都存在缺陷。入侵檢測誤報和漏報的解決最終依靠分析技術的改進。

（4）IPS（入侵防御系統(tǒng)）技術

入侵防御系統(tǒng)（IPS）是電腦網絡安全設施，是對防病毒軟件和防火墻的補充。入侵預防系統(tǒng)是一部能夠監(jiān)視網絡或網絡設備的網絡資料傳輸行為的計算機網絡安全設備，能夠即時的中斷、調整或隔離一些不正?；蚴蔷哂袀π缘木W絡資料傳輸行為。入侵防御系統(tǒng)提供主動、實時的防護，其設計旨在對網絡流量中的惡意數(shù)據(jù)包進行檢測，對攻擊性的流量進行自動攔截，使它們無法造成損失。入侵防御系統(tǒng)如果檢測到攻擊企圖，就會自動地將攻擊包丟掉或采取措施阻斷攻擊源，而不把攻擊流量放進內部網絡。

（5）網絡隔離技術

是指兩個或兩個以上的計算機或網絡在斷開連接的基礎上，實現(xiàn)信息交換和資源共享，也就是說，通過網絡隔離技術既可以使兩個網絡實現(xiàn)物理上的隔離，又能在安全的網絡環(huán)境下進行數(shù)據(jù)交換。面對新型網絡攻擊手段的出現(xiàn)和高安全度網絡對安全的特殊需求，全新安全防護防范理念的網絡安全技術“網絡隔離技術”應運而生。網絡隔離技術的目標是確保隔離有害的攻擊，在可信網絡之外和保證可信網絡內部信息不外泄的前提下，完成網間數(shù)據(jù)的安全交換。網絡隔離技術是在原有安全技術的基礎上發(fā)展起來的，它彌補了原有安全技術的不足，突出了自己的優(yōu)勢。

（6）加密技術

是電子商務采取的主要安全保密措施，是最常用的安全保密手段，利用技術手段把重要的數(shù)據(jù)變?yōu)閬y碼（加密）傳送，到達目的地后再用相同或不同的手段還原（解密）。加密技術的應用是多方面的，但最為廣泛的還是在電子商務和VPN上的應用，深受廣大用戶的喜愛。加密技術是有效解決網絡文件竊取、篡改等攻擊的有效手段。對于網絡應用大多數(shù)層次都有相應的加密方法。SSLITLS是因特網中訪問Web服務器最重要的安全協(xié)議。IPSec是IETF制定的IP層加密協(xié)議，為其提供了加密和認證過程的密鑰管理功能。應用層就更多加密的方式，最典型的有電子簽名、公私鑰加密方式等。

（7）訪問控制技術

防止對任何資源進行未授權的訪問，從而使計算機系統(tǒng)在合法的范圍內使用。意指，用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問，或限制對某些控制功能的使用的一種技術，如UniNAC網絡準入控制系統(tǒng)的原理就是基于此技術之上。訪問控制通常用于系統(tǒng)管理員控制用戶對服務器、目錄、文件等網絡資源的訪問。訪問控制的主要功能包括：保證合法用戶訪問受權保護的網絡資源，防止非法的主體進入受保護的網絡資源，或防止合法用戶對受保護的網絡資源進行非授權的訪問。訪問控制首先需要對用戶身份的合法性進行驗證，同時利用控制策略進行選用和管理工作。當用戶身份和訪問權限驗證之后，還需要對越權操作進行監(jiān)控。訪問控制需要完成兩個任務：識別和確認訪問系統(tǒng)的用戶、決定該用戶可以對某一系統(tǒng)資源進行何種類型的訪問。

（8）安全審計技術

即通過對系統(tǒng)事件的記錄和檢查，能夠有效地防范和發(fā)現(xiàn)內部違規(guī)行為。通俗地說，網絡安全審計就是在一個特定的企事業(yè)單位的網絡環(huán)境下，為了保障網絡和數(shù)據(jù)不受來自外網和內網用戶的入侵和破壞，而運用各種技術手段實時收集和監(jiān)控網絡環(huán)境中每一個組成部分的系統(tǒng)狀態(tài)、安全事件，以便集中報警、分析、處理的一種技術手段。安全審計包括識別、記錄、存儲、分析與安全相關行為的信息，審計記錄用于檢查與安全相關的活動和負責人。安全審計是指將系統(tǒng)的各種安全機制和措施與預定的安全目標和策略進行一致性比較，確定各項控制機制是否存在和得到執(zhí)行，對漏洞的防范是否有效，評價系統(tǒng)安全機制的可依賴程度。例如，對網絡設備的安全審計需要從中收集日志，以便對網絡流量和運行狀態(tài)進行實時監(jiān)控和事后查詢；對服務器的安全審計，審計服務器的安全漏洞，監(jiān)控對服務器的任何合法和非法操作，以便發(fā)現(xiàn)問題后查找原因等等。

5、計算機網絡信息安全及對策

人類已進入信息社會，以INTERNET網為基礎的網絡技術發(fā)展，給人們的工作與生活帶來巨大的變化，尤其在現(xiàn)代金融領域信息交流十分方便、快捷，如：網上銀行、網上證券及電子商務的支付結算系統(tǒng)等已逐步普及。然而，伴隨著便利的網上商業(yè)活動，其信息的安全已受到人們的重視和關心。如何保證商業(yè)活動的安全，如何保證企業(yè)和個人的商業(yè)秘密，已成為大家的共識。信息安全不僅是老百姓關心的事，而且已成為世界各國政府安全層面的頭等大事。事實證明：信息系統(tǒng)是當今最活躍的生嚴力之一，它可以創(chuàng)造精神財富和物質財富.然而，沒有安全保障的信息系統(tǒng)是十分危險的。我國的網站90％不安全都存在不同程度的安全問題，我國與先進國家相比，基礎信息產業(yè)相對落后，信息安全防護能力較薄弱，許多應用系統(tǒng)處于不設防狀態(tài)，沒有安全設備，使得計算機犯罪呈上升趨勢。

互聯(lián)網是一個開放的網絡，TCP/IP是通用的協(xié)議各種硬件和軟件平臺的計算機系統(tǒng)可以通過各種媒體接入進來，如果不加限制，世界各地均可以訪問。于是各種安全威脅可以不受地理限制、不受平臺約束，迅速通過互聯(lián)網影響到世界的每一個角落?；ヂ?lián)網的自身的安全缺陷是導致互聯(lián)網脆弱性的根本原因互聯(lián)網的脆弱性體現(xiàn)在設計、實現(xiàn)、維護的各個環(huán)節(jié)。設計階段，由于最初的互聯(lián)網只是用于少數(shù)可信的用戶群體，因此設計時沒有充分考慮安全威脅，互聯(lián)網和所連接的計算機系統(tǒng)在實現(xiàn)階段也留下了大量的安全漏洞。一般認為，軟件中的錯誤數(shù)量和軟件的規(guī)模成正比，由于網絡和相關軟件越來越復雜，其中所包含的安全漏洞也越來越多?；ヂ?lián)網和軟件系統(tǒng)維護階段的安全漏洞也是安全攻擊的重要目標。盡管系統(tǒng)提供了某些安全機制，但是由于管理員或者用戶的技術水平限制、維護管理工作量大等因素，這些安全機制并沒有發(fā)揮有效作用。比如，系統(tǒng)的缺省安裝和弱口令是大量攻擊成功的原因之一。

計算機網絡安全策略是關于網絡安全問題的總的原則、對安全使用的要求及怎樣保障網絡的安全運行。在制定安全策略時，首先需要確定的原則為：準許訪問除明確拒絕以外的全部服務還是拒絕訪問明確準許以外的所有服務。前者由于用戶可能使用不安全的服務而危及網絡安全，只有在網絡的實驗階段才可采用，后者一般被選擇作為總的原則，總的原則確定后還應考慮的問題有：將系統(tǒng)資源分類，確定需保護的資源及其保護的級別。規(guī)定可以訪問資源的實體和能夠執(zhí)行的動作；根據(jù)網絡使用單位的實際需要確定內部網的服務類型，規(guī)定內部用戶和外部用戶能夠使用的服務種類；規(guī)定審計功能，記錄用戶的活動及資源使用情況。

隨著計算機技術的發(fā)展，信息網絡已經成為社會發(fā)展的重要保證，有很多敏感信息，甚至是國家機密難免會吸引來自世界各地的各種人為攻擊。在當前復雜的應用環(huán)境下信息網絡面臨的安全形勢非常嚴峻。網絡信息安全的含義從用戶（個人、企業(yè)等）的角度來說，個人隱私或商業(yè)利益的信息在網絡上傳輸時受到機密性、完整性和真實性的保護，避免其他人或對手利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私，這是網絡信息安全的基本定義。

網絡信息的安全問題成為我們共同擔憂的問題。為維護網絡安全，僅靠法規(guī)、條例是遠遠不夠，不僅要從思想上重視，嚴格按照條例和規(guī)則辦事，要從軟硬件的設施和技術防范上著手，才能防患于未然。網絡信息面臨嚴重威脅，只要我們采取有效措施，就能保證網絡信息安全。采用不同的網絡信息安全技術直接影響到網絡的使用性和網絡的速度。例如網絡中采用防火墻技術會影響網絡的使用性，使用數(shù)據(jù)加密技術會顯著地影響網絡的運行效率。不同的網絡環(huán)境影響數(shù)據(jù)加密技術的選擇。

要確保信息的完整性、可用性和保密性，當前最為緊要的是各級都要確立信息網絡安全戰(zhàn)略意識。必須從保證信息安全，就是保證國家主權安全，掌握和打贏信息化戰(zhàn)爭主動權的高度，來認識信息網絡安全的重要性。應當著重強調：在進行國家信息化建設時，要大力開發(fā)各種信息安全技術，普及和運用強有力的安全技術手段。技術的不斷創(chuàng)新和進步，才是信息安全的關鍵，才是實現(xiàn)信息安全最重要、最有力的武器。要堅決克服那種先把網絡建起來，解決了“有”的問題之后，再去考慮信息安全保密問題的錯誤認識。注意從系統(tǒng)的整體性出發(fā)，統(tǒng)籌考慮，同步進行，協(xié)調發(fā)展。須知一個沒有信息安全技術屏護的網絡，一個完全開放透明和裸露的網絡，有不如無。沒有安全優(yōu)勢，就沒有網絡優(yōu)勢，沒有網絡優(yōu)勢，就沒有信息優(yōu)勢，沒有信息優(yōu)勢，建設信息化就將成為一句空話。

6、結束語

隨著科學技術的飛速發(fā)展，人們生活在信息時代。計算機技術和網絡技術深入到社會的各領域。Intemet的廣泛應用，把“地球村”的居民緊密地連在一起；電子商務的興起，對網絡安全提出了迫切的要求。人們在得益于信息革命所帶來的新的巨大機遇的同時，也不得不面對信息安全問題的嚴峻考驗。網絡安全審計作為一個新興的概念和發(fā)展方向，表現(xiàn)出強大的生命力，圍繞著該概念產生了許多新產品和解決方案，如桌面安全、員工上網行為監(jiān)控、內容過濾等，能在這些產品中獨領風騷，就能跟上這一輪網絡安全的發(fā)展潮流。