計算機網(wǎng)絡(luò)防護(hù)安全與策略分析

張銘鐸

（湛江師范學(xué)院，廣東 湛江 524048；重慶大學(xué)，重慶 400030）

計算機網(wǎng)絡(luò)防護(hù)安全與策略分析

張銘鐸

（湛江師范學(xué)院，廣東 湛江 524048；重慶大學(xué)，重慶 400030）

計算機應(yīng)用伴隨著Internet技術(shù)的發(fā)展變得越來越廣泛，人們在享受網(wǎng)絡(luò)開放性與自由性的同時，網(wǎng)絡(luò)安全在社會各個領(lǐng)域中的作用日益重要.本文從計算機網(wǎng)絡(luò)安全管理角度闡述存在的安全隱患，并對安全策略進(jìn)行深入探討，確保人們能夠更加有效管理計算機網(wǎng)絡(luò)系統(tǒng).

網(wǎng)絡(luò)安全；安全防護(hù)；計算機網(wǎng)絡(luò)

計算機應(yīng)用技術(shù)伴隨著計算機網(wǎng)絡(luò)技術(shù)的進(jìn)步而逐漸發(fā)展起來，計算機網(wǎng)絡(luò)在社會生活中的作用日益顯著，計算機網(wǎng)絡(luò)對人類社會起到了極其重要的作用，人們的日常辦公、人與人的溝通與交流更多的依賴計算機網(wǎng)絡(luò)，在汲取更多有用資訊的同時，產(chǎn)生的數(shù)據(jù)與信息遭到竊取的可能性也會增大，在這個所謂“虛擬社會”中，其安全防護(hù)也就變得越來越重要，信息社會時代的到來對網(wǎng)絡(luò)安全就是一個極大的挑戰(zhàn).

1 計算機網(wǎng)絡(luò)安全的定義

計算機網(wǎng)絡(luò)安全指信息與數(shù)據(jù)不受外部非法用戶使用.首先確保數(shù)據(jù)存儲設(shè)備的硬件完整性，這在安全防護(hù)中非常重要.其次，計算機網(wǎng)絡(luò)中的信息具有完整性、保密性以及可用性等特點.完整性指信息不被惡意破壞、修改等操作.保密性指信息不被泄露.可用性指防止拒絕訪問和授權(quán)操作.從另一個角度來講，用戶在計算機網(wǎng)絡(luò)安全中有用信息的“含金量”也作為一個重要的考量依據(jù).

2 計算機網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀

隨著百度、谷歌等國內(nèi)知名網(wǎng)站遭受黑客攻擊，再次對網(wǎng)絡(luò)安全環(huán)境敲響了警鐘.對涉及國家機密信息的攻擊事件也屢見不鮮.在美國因網(wǎng)絡(luò)安全造成的經(jīng)濟損失高達(dá)幾十億美金，近年來這一數(shù)字仍有上升的趨勢.世界平均每天都發(fā)生著計算機安全事件.接近半數(shù)的防火墻曾遭遇過攻擊或崩潰過.中國金融、政府、軍隊等部門也曾不同程度遭遇過網(wǎng)絡(luò)安全問題.近年來，通過電子郵件、木馬病毒、文件共享后門等途徑傳播的病毒也越來越頻繁，由此公安機關(guān)受理的各類信息犯罪也呈逐年上升的趨勢.我國的網(wǎng)絡(luò)建設(shè)的軟硬件更多是從國外引進(jìn)，電子商務(wù)也處于發(fā)展的初級階段，由于某些大的網(wǎng)絡(luò)建設(shè)方缺乏有效的風(fēng)險管控機制以及技術(shù)水平的限制，致使我們對安全防護(hù)僅僅停留在較膚淺的水平，例如病毒防范.對安全防護(hù)缺乏更深層次的認(rèn)識.

3 計算機網(wǎng)絡(luò)存在的安全問題

計算機網(wǎng)絡(luò)安全威脅主要來自以下幾個方面：

3.1 自然災(zāi)害

計算機本身的硬件配置很容易受環(huán)境以及自然災(zāi)害（震動、溫度、濕度、輻射污染）的影響.有不少計算機機房在三方一避（防水、防火、防電磁、避雷）上缺少有效的措施，致使在抵御自然災(zāi)害和遭遇意外事故的能力大大降低.因此在網(wǎng)絡(luò)運行中常發(fā)生設(shè)備損毀、數(shù)據(jù)丟失等現(xiàn)象.當(dāng)電磁輻射增強時會導(dǎo)致網(wǎng)絡(luò)信噪比下降，信息的誤碼率也會增加，從而破壞信息的完整性、可用性.

3.2 黑客攻擊

計算機網(wǎng)絡(luò)的黑客攻擊伴隨著谷歌、百度事件而變得愈演愈烈.在近年來隨著黑客工具的不斷的推陳出新使不懂計算機的形形色色的人也能成為“黑客”，而對于專業(yè)的黑客而言，大部分人采用非法入侵來達(dá)到信息的監(jiān)聽、竊取、破壞等目的，網(wǎng)絡(luò)正常的信號運行不正常，嚴(yán)重會致使整個網(wǎng)絡(luò)系統(tǒng)癱瘓，給國家造成經(jīng)濟損失和政治負(fù)面影響.黑客攻擊從側(cè)面反映了他們善于捕捉漏洞制造入侵機會，當(dāng)然網(wǎng)絡(luò)本身的不完善和自身的缺陷也會成為攻擊的“靶子”.

3.3 計算機病毒

20世紀(jì)末計算機病毒的蔓延曾引起世界性恐慌，其破壞造成的損失難以估量.病毒將自身附著在各種應(yīng)用程序上，當(dāng)觸發(fā)這些應(yīng)用程序時，就會擴散到計算機系統(tǒng)中.當(dāng)計算機中毒后就會產(chǎn)生系統(tǒng)運行慢、占用CPU使用率等現(xiàn)象，嚴(yán)重時會破壞計算機主板、硬盤等硬件系統(tǒng).

3.4 間諜軟件和垃圾郵件

某些人經(jīng)常利用公開性的郵件系統(tǒng)將自己的郵件內(nèi)容強行發(fā)送給別人的電子郵箱，使人們接受了所謂的垃圾郵件，目前很多電子郵箱提供商提供了垃圾郵件的智能截取，一定程度上緩解了垃圾郵件的蔓延傳播.而間諜軟件主要利用計算機網(wǎng)絡(luò)竊取用戶信息，廣義的觀點認(rèn)為間諜軟件實際上是被惡意非法安裝并隱藏起來，被監(jiān)控者很難發(fā)現(xiàn)它的存在，而被監(jiān)控者的操作以及相關(guān)信息便會被泄露出來并造成不同程度的用戶隱私和安全影響.

4 計算機網(wǎng)絡(luò)安全防護(hù)策略

目前主流的安全防護(hù)策略主要有數(shù)據(jù)加密技術(shù)、防火墻技術(shù)、防病毒技術(shù)以及入侵檢測技術(shù)等幾種，在國內(nèi)這幾種防護(hù)策略在應(yīng)用和部署上都比較成熟.

4.1 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)指將網(wǎng)絡(luò)傳輸中的信息進(jìn)行二次加密，其目的主要是保證數(shù)據(jù)在傳輸過程中不被“破譯”，相對來講安全等級也就相應(yīng)的提高了.具體來講是將數(shù)據(jù)符號按照某種規(guī)則進(jìn)行變換.加密技術(shù)分為對稱密鑰算法和非對稱加密算法兩類.對稱加密中，密鑰數(shù)據(jù)是最重要的，一旦丟失其加密的信息也就失去了防護(hù)功能，密文也將泄露.由于密鑰本身的安全性就是一個問題，致使進(jìn)行多方通信時，這種加密技術(shù)就會變得相當(dāng)?shù)膹?fù)雜.其特點是對稱密鑰運算量小、安全性高、速度快等優(yōu)點而被廣泛應(yīng)用.DES加密算法就是“對稱密鑰算法”的典型.與之相對應(yīng)的非對稱加密算法中，公鑰是公開的，人們可以將公鑰加密的信息發(fā)給私鑰所有者.私鑰是保密的，將公鑰加密的信息進(jìn)行解密.典型代表是RSA（非對稱加密技術(shù)）.它將明文轉(zhuǎn)換成一個值得到核實簽名.接收者利用公鑰對簽名進(jìn)行解密運算，當(dāng)結(jié)果計算為明文時，則簽名有效.簽名的形式多種多樣，主要應(yīng)用于銀行和電子商貿(mào)中.

4.2 防火墻技術(shù)

防火墻技術(shù)是網(wǎng)絡(luò)環(huán)境中最基本的防護(hù)措施之一.簡單來講，防火墻就是將內(nèi)部網(wǎng)與外部網(wǎng)絡(luò)環(huán)境隔離開來，形成一個內(nèi)部網(wǎng)絡(luò)屏障阻斷外來的不安全因素.其目的是阻止外部網(wǎng)絡(luò)的非法用戶的非授權(quán)訪問.現(xiàn)在防火墻技術(shù)主要包括包過濾、應(yīng)用網(wǎng)關(guān)、子網(wǎng)屏障等，管理內(nèi)部網(wǎng)絡(luò)用戶訪問外網(wǎng)和限制外部網(wǎng)絡(luò)用戶對內(nèi)部網(wǎng)絡(luò)的訪問權(quán)限.當(dāng)一個局域網(wǎng)連接入Internet之后，計算機系統(tǒng)的安全因素除了防病毒外，更主要從防止非法入侵角度來考量計算機系統(tǒng)是否在安全范圍內(nèi)，而防火墻技術(shù)在這一環(huán)節(jié)中起了至關(guān)重要的作用.防火墻通過添加配置方案，將口令和身份驗證等信息配置級別大大提升，將不安全服務(wù)過濾掉，以保證內(nèi)部網(wǎng)絡(luò)環(huán)境的安全，并實時監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流的狀態(tài)，每日進(jìn)行數(shù)據(jù)日志的操作記錄，并統(tǒng)計網(wǎng)絡(luò)的使用情況，自動檢索并報警，將內(nèi)部網(wǎng)絡(luò)重要的信息和隱私進(jìn)行隔離.

4.3 入侵檢測技術(shù)

入侵檢測(Intrusion Detection System)廣義上的定義為“對計算機或網(wǎng)絡(luò)資源的惡意企圖和動作進(jìn)行識別，并對識別結(jié)果做出相應(yīng)反應(yīng)的過程”.IDS是完成上述指令的一個獨立系統(tǒng).IDS能夠?qū)ξ词跈?quán)對象（程序或人）針對系統(tǒng)入侵的行為或企圖進(jìn)行識別檢測，同時監(jiān)控非法操作的“執(zhí)行者”，入侵檢測功能主要包括：（1）搜集系統(tǒng)中不同環(huán)節(jié)的信息.（2）將該信息進(jìn)行分析識別，尋找該入侵活動的特征.（3）對檢測到的行為做出自動響應(yīng).（4）報告檢測結(jié)果.IDS通過多種渠道對計算機系統(tǒng)和網(wǎng)絡(luò)環(huán)境上的信息進(jìn)行搜集整理，據(jù)此檢測系統(tǒng)或網(wǎng)絡(luò)環(huán)境中是否有違反安全策略規(guī)則和被攻擊的現(xiàn)象，一旦發(fā)現(xiàn)攻擊便會自動發(fā)出報警信號并采取有效措施，同時將被攻擊的過程記錄下來，為系統(tǒng)或網(wǎng)絡(luò)環(huán)境的恢復(fù)和追蹤攻擊的源頭提供基本的數(shù)據(jù)依據(jù).網(wǎng)絡(luò)入侵檢測大致可分為基于主機型、基于網(wǎng)絡(luò)型、基于主機和網(wǎng)絡(luò)型等三大類.網(wǎng)絡(luò)系統(tǒng)在受到危害前執(zhí)行攔截和響應(yīng)入侵.入侵檢測會做出如下響應(yīng)：（1）控制臺報警.（2）記錄攻擊日志.（3）即時將網(wǎng)絡(luò)連接阻斷.（4）入侵檢測實時對網(wǎng)絡(luò)數(shù)據(jù)量不加任何延時地監(jiān)控，它本身采用的是透明的工作模式.（5）網(wǎng)絡(luò)中的TCP和IP協(xié)議也會被入侵檢測監(jiān)視和過濾，我們將入侵檢測進(jìn)行添加配置后，可以按照源IP或目的IP地址、源端口或目的端口、協(xié)議（TCP/ICMP）等進(jìn)行過濾.入侵檢測還能監(jiān)控諸如遠(yuǎn)程登陸、文件傳輸?shù)染W(wǎng)絡(luò)服務(wù)，并且它會隨著這些服務(wù)的發(fā)展而不斷擴展.（6）用戶自定義支持的網(wǎng)絡(luò)安全事件也會被納入入侵檢測的監(jiān)視范圍.（7）入侵檢測自動生成安全日志以便對系統(tǒng)安全審計，由于采用的是開放式數(shù)據(jù)庫，其支持的安全分析決策系統(tǒng)對網(wǎng)絡(luò)環(huán)境安全奠定了堅實的基礎(chǔ).

4.5 防病毒技術(shù)

計算機軟件技術(shù)的發(fā)展也促進(jìn)了病毒技術(shù)的不斷演變，計算機病毒的“變異”使其具有復(fù)雜的特性，伴隨的破壞力對計算機系統(tǒng)的安全構(gòu)成了極大威脅.在計算機病毒防護(hù)中，大多采用防病毒軟件.防病毒軟件按照功能分為單機版防病毒軟件和網(wǎng)絡(luò)版防病毒軟件兩種.單機版防病毒軟件主要應(yīng)用于本地工作站和該工作站連接的遠(yuǎn)程資源構(gòu)成的局域網(wǎng)，一般采用掃描的方式來檢測并清除病毒.網(wǎng)絡(luò)版防病毒軟件注重網(wǎng)絡(luò)上病毒的防護(hù)，當(dāng)病毒入侵網(wǎng)絡(luò)資源時，它會做出檢測響應(yīng)并加以刪除、隔離等操作.目前很多網(wǎng)絡(luò)安全產(chǎn)品琳瑯滿目，但仍會被黑客非法入侵，其根本原因是網(wǎng)絡(luò)環(huán)境自身的缺陷.所以安全防護(hù)必須盡最大力量做好，從而保證網(wǎng)絡(luò)信息的安全.

5 結(jié)束語

網(wǎng)絡(luò)實現(xiàn)了信息交流、資源共享等目標(biāo)，大大提高了人們生活的效率，而安全防護(hù)問題便成為了計算機網(wǎng)絡(luò)中的重中之重.因此對網(wǎng)絡(luò)防護(hù)策略的深入研究對造福人類社會具有重要的意義.

[1〕陳斌.計算機網(wǎng)絡(luò)安全于防御.信息技術(shù)與網(wǎng)絡(luò)服務(wù)，2006（04）.

〔2〕王宏偉.網(wǎng)絡(luò)安全威脅與對策.應(yīng)用技術(shù)，2006（05）.

〔3〕夏丹丹，李剛，程夢夢，于亮.入侵檢測系統(tǒng)綜述.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2007（01）.

〔4〕姚華，肖琳.網(wǎng)絡(luò)安全基礎(chǔ)教程[M].北京理工大學(xué)出版社，2007.

〔5〕梁亞聲，汪永益.計算機網(wǎng)絡(luò)安全基礎(chǔ)教程[M].北京：機械工業(yè)出版社，2005.

〔6〕劉占全.網(wǎng)絡(luò)管理與防火墻[M].北京：人民郵電出版社，1999.

TP393.08

A

1673-260X（2010）06-0034-02