宋杭選

摘 要 計算機網絡是指將地理位置不同的具有獨立功能的多臺計算機及其外部設備通過通信線路連接起來，在網絡操作系統(tǒng)、網絡管理軟件及網絡通信協(xié)議的管理和協(xié)調下，實現(xiàn)資源共享和信息傳輸?shù)挠嬎銠C系統(tǒng)。從一般意義來看，網絡信息安全是指沒有危險和不出事故。對于計算機網絡而言，其網絡信息安全問題是指網絡系統(tǒng)的硬件、軟件及其信息系統(tǒng)中的數(shù)據受到保護，不遭到偶然的或者惡意的原因破壞、更改、泄露，網絡服務不中斷。

【關鍵詞】計算機 網絡 安全

1 網絡信息安全存在的問題

計算機網絡的安全隱患多數(shù)是利用網絡系統(tǒng)本身存在的安全弱點，而在網絡的使用、管理過程中的不當行為可能會進一步加劇安全問題的嚴重性。影響網絡安全的問題有很多，歸納起來主要包括3個方面：技術問題、管理問題和人為問題。

1.1 技術問題

從技術問題來看，主要包括硬件系統(tǒng)的安全缺陷、軟件系統(tǒng)的安全漏洞和系統(tǒng)安全配置不當造成的其他安全漏洞3種情況。

（1）硬件系統(tǒng)的安全缺陷。由于理論或技術的局限性，必然會導致計算機及其硬件設備存在這樣或那樣的不足，進而在使用時可能產生各種各樣的安全問題。

（2）軟件系統(tǒng)的安全漏洞。在軟件設計時期，人們?yōu)榱四軌蚍奖悴粩喔倪M和完善所涉及的系統(tǒng)軟件和應用軟件，開設了“后門”以便更新和修改軟件的內容，這種后門一旦被攻擊者掌握將成為影響系統(tǒng)安全的漏洞。同時，在軟件開發(fā)過程中，由于結構設計的缺陷或編寫過程的不規(guī)范也會導致安全漏洞的產生。

（3）系統(tǒng)安全配置不當造成的其他安全漏洞。通常在系統(tǒng)中都有一個默認配置，而默認配置的安全性通常較低。此外，在網絡配置時出現(xiàn)錯誤，存在匿名FTP、Telnet的開放、密碼文件缺乏適當?shù)陌踩Ｗo、命令的不合理使用等問題都會導致或多或少的安全漏洞。黑客就有可能利用這些漏洞攻擊網絡，影響網絡的安全性。

1.2 管理問題

管理問題主要是指網絡管理方面的漏洞。通常來說，很多機構在設計內部網絡時，主要關注來自外部的威脅，對來自內部的攻擊考慮較少，導致內部網絡缺乏審計跟蹤機制，網絡管理員沒有足夠重視系統(tǒng)的日志和其他信息。另外，管理人員的素質較差、管理措施的完善程度不夠以及用戶的安全意識淡薄等都會導致網絡安全問題。

1.3 人為問題

安全問題最終根源都是人的問題。前面提到的技術問題和管理問題均可以歸結到人的問題。根據人的行為可以將網絡安全問題分為人為的無意失誤和人為的惡意攻擊。

1.3.1 人為的無意失誤

此類問題主要是由系統(tǒng)本身故障、操作失誤或軟件出錯導致的。例如管理員安全配置不當造成的安全漏洞、網絡用戶安全意識不強帶來的安全威脅等。

1.3.2 人為的惡意攻擊

此類問題是指利用系統(tǒng)中的漏洞而進行的攻擊行為或直接破壞物理設備和設施的攻擊行為。例如病毒可以突破網絡的安全防御人侵到網絡主機上，可能造成網絡系統(tǒng)的癱瘓等安全問題。

1.4 易欺騙性問題

TCP或UDP服務相信主機的地址。如果使用“IP Source Routing”，那么攻擊者的主機就可以冒充一個被信任的主機或客戶。使用“IP Source Routing”，采用如下操作可把攻擊者的系統(tǒng)假扮成某一一特定服務器的可信任的客戶：

（1）攻擊者要使用那個被信任的客戶的IP地址取代自己的地址。

（2）攻擊者構造一條要攻擊的服務器和其主機間的直接路徑，把被信任的客戶作為通向服務器的路徑的最后節(jié)點。

（3）攻擊者用這條路徑向服務器發(fā)出客戶申請。

（4）服務器接受客戶申請，就好像是從可信任客戶直接發(fā)出的一樣，然后給可信任客戶返回響應。

（5）可信任客戶使用這條路徑將包向前傳送給攻擊者的主機。

許多UNIX主機接收到這種包后將繼續(xù)把它們向指定的地方傳送。許多路由器也是這樣，但有些路由器可以配置以阻塞這種包。

一個更簡單的方法是等客戶系統(tǒng)關機后來模仿該系統(tǒng)。許多組織中UNIX主機作為局域網服務器使用，職員用個人計算機和TCP/IP網絡軟件來連接和使用它們。個人計算機一般使用NFS來對服務器的目錄和文件進行訪問（NFS僅僅使用IP地址來驗證客戶）。一個攻擊者幾小時就可以設置好一臺與別人使用相同名字和IP地址的個人計算機，然后與UNIX主機建立連接，就好像它是“真的”客戶。這是非常容易實行的攻擊手段，但應該是內部人員所為。

2 網絡信息安全問題的策略

在設計一個網絡安全系統(tǒng)時，首要任務是確認該單位的需要和目標，并制定安全策略。安全策略需要反映出該單位同公用網絡連接的理由，并分別規(guī)定對內部用戶和公眾用戶提供的服務。在建立安全策略時，這是關鍵性的，但往往又是容易被忽視的一步。準許訪問除明確拒絕以外的全部服務程序，對大部分服務程序都很少干預。危及安全的服務程序可能被使用并已引發(fā)問題，直到管理人員明確加以禁止為止，安全問題頗為突出。此時，用戶需要將該新服務程序通知管理人員，對該程序進行鑒定后決定是否允許被使用。

在作出基本的決策之后，決定哪些服務程序向內部用戶提供，哪些服務程序向外部網絡用戶提供使用。安全策略設計還需要有監(jiān)視安全的方式和實施策略的方式。

在設計安全策略和選擇網絡安全系統(tǒng)時，還需要考慮成本與方便二者的平衡。這取決于所期望的安全程度和所選用的安全系統(tǒng)，可能需要額外的硬件，如路由器和專用主機，也可能需要特殊的軟件，還可能需要安全專家進行系統(tǒng)編程和維護工作。其他需要考慮的問題是安全系統(tǒng)對生產率和服務利用率的影響。有的網絡安全系統(tǒng)工具會降低網絡速度；有的會限制或拒絕網絡上一些有用的服務程序，如郵件和文件傳輸；有的則需要新軟件分配給內部網絡中每一臺主機，給用戶帶來了諸多的不便。因此，網絡安全系統(tǒng)應該被設計成一個透明的安全系統(tǒng)，這樣才能為網絡提供安全保護而不會對網絡性能有重大的影響，也不會迫使用戶放棄一些服務程序或迫使用戶去學習某些新的服務程序。

在網絡安全系統(tǒng)設計時，需要考慮的另一個重要問題是，對安全程度和復雜程度二者的平衡。網絡安全系統(tǒng)的復雜程度，由于下述問題而增加：增添和管理較多的網絡，追加額外的硬件，增加篩選規(guī)則的數(shù)量。復雜的系統(tǒng)不容易進行正確的配置，從而可能導致發(fā)生安全問題。

總之，在制定網絡安全策略時應當考慮如下問題：

（1）對于內部用戶和外部用戶分別提供哪些服務程序；

（2）初始投資額和后續(xù)投資額（新的硬件、軟件及工作人員）；

（3）方便程度和服務效率；

（4）復雜程度和安全等級的平衡；

（5）網絡性能。

參考文獻

[1]莊友軍.計算機網網絡安全管理[J].電腦知識與技術，2010.

[2]薛新慈.任艷斐.計算機網絡管理與安全技術探析[J].通信技術，2010.

[3]陳匯遠.計算機信息系統(tǒng)安全技術的研究及其應用[D].鐵道部科學研究院，2004.

作者單位

黑龍江省電力科學研究院 黑龍江省哈爾濱 150030