計(jì)算機(jī)網(wǎng)絡(luò)安全問題與策略研究

王暢 王玲

摘 要： 隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)中的安全問題也日趨嚴(yán)重。計(jì)算機(jī)網(wǎng)絡(luò)安全不僅包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件，而且包括在網(wǎng)絡(luò)上傳輸信息的安全性，很多人會(huì)認(rèn)為網(wǎng)絡(luò)安全是純技術(shù)方面的問題，其實(shí)則不然，它還包括管理方面的問題，這兩個(gè)方面相互統(tǒng)一、相互聯(lián)系，相輔相成，缺一不可。

關(guān)鍵詞： 計(jì)算機(jī)網(wǎng)絡(luò)安全 攻擊 通信策略

一、引言

21世紀(jì)的一些重要特征是數(shù)字化、網(wǎng)絡(luò)化和信息化，可以說，21世紀(jì)是一個(gè)以網(wǎng)絡(luò)為核心的信息時(shí)代。隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)中的安全問題也日趨嚴(yán)重。當(dāng)網(wǎng)絡(luò)中的用戶來自社會(huì)的各個(gè)階層和角落時(shí)，大量存儲(chǔ)在網(wǎng)絡(luò)上或傳輸在網(wǎng)絡(luò)上的數(shù)據(jù)就需要被保護(hù)。本文作者將對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全問題進(jìn)行初步的討論。

二、計(jì)算機(jī)網(wǎng)絡(luò)安全的含義

計(jì)算機(jī)網(wǎng)絡(luò)安全的具體含義可以說并不是統(tǒng)一的、一成不變的。對(duì)于使用者來講，使用者不同，對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)和要求也就不同。比如說，從一般使用者的角度來講，可能僅僅希望個(gè)人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時(shí)受到保護(hù)，避免被竊聽、篡改和偽造；而對(duì)于網(wǎng)絡(luò)提供商來講，除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)情況對(duì)網(wǎng)絡(luò)硬件和軟件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時(shí)如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。

那么，到底計(jì)算機(jī)網(wǎng)絡(luò)安全包括哪些部分呢？其實(shí)，網(wǎng)絡(luò)安全不僅包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件，而且包括在網(wǎng)絡(luò)上傳輸信息的安全性，從而使得網(wǎng)絡(luò)不會(huì)因?yàn)榕既坏幕蛘邜阂獾墓粼獾狡茐?。很多人?huì)認(rèn)為網(wǎng)絡(luò)安全是純技術(shù)方面的問題，其實(shí)則不然，它還包括管理方面的問題，這兩個(gè)方面相互統(tǒng)一、相互聯(lián)系，相輔相成，缺一不可。

三、計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全性威脅

計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)最初的目的是為了實(shí)現(xiàn)資源共享、分散控制和分組交換，這就要求互聯(lián)網(wǎng)具有大跨度、分布式、無邊界的特征。正是由于這種開放性，使得黑客偷偷潛入各級(jí)網(wǎng)絡(luò)，并對(duì)網(wǎng)絡(luò)產(chǎn)生破壞性的行為。此外，計(jì)算機(jī)網(wǎng)絡(luò)的傳輸協(xié)議及操作系統(tǒng)本身也存在設(shè)計(jì)上的缺陷和漏洞，從而有潛在的被破壞的危險(xiǎn)性。因此，網(wǎng)絡(luò)安全問題面臨著嚴(yán)峻的挑戰(zhàn)。

目前，計(jì)算機(jī)網(wǎng)絡(luò)上的通信面臨四種威脅：截獲、中斷、篡改和偽造。這四種威脅又可劃分為主動(dòng)攻擊和被動(dòng)攻擊兩大類。截獲信息的攻擊稱為被動(dòng)攻擊，更改信息或拒絕用戶使用資源的攻擊稱為主動(dòng)攻擊。

在主動(dòng)攻擊中，是指攻擊者對(duì)某個(gè)連接中的PDU進(jìn)行各種處理，比如說更改、刪除這些PDU，等等。所有的主動(dòng)攻擊都是各種方法的某種組合。主動(dòng)攻擊一般可分為更改報(bào)文流、拒絕報(bào)文服務(wù)和偽造連接初始化三種類型，當(dāng)然除此之外，還有一種特殊的主動(dòng)攻擊，那就是惡意程序的攻擊。惡意程序的種類繁多，對(duì)網(wǎng)絡(luò)安全的威脅較大，主要包括計(jì)算機(jī)病毒、計(jì)算機(jī)蠕蟲、特洛伊木馬和邏輯炸彈。

在被動(dòng)攻擊中，攻擊者只是分析某一個(gè)PDU，并不干擾信息流。攻擊者可以了解正在通信的協(xié)議地址和身份，研究PDU的長度和性質(zhì)。即便是這些數(shù)據(jù)對(duì)于攻擊者來講并不是能理解的，他仍然可以觀察、了解PDU的信息部分。

四、計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容

1.保密性。計(jì)算機(jī)網(wǎng)絡(luò)安全最為重要的內(nèi)容就是給用戶提供安全可靠的保密通信。雖然計(jì)算機(jī)網(wǎng)絡(luò)安全不是局限于保密性，但如果連給用戶提供安全可靠的保密通信都做不到，那說明計(jì)算機(jī)網(wǎng)絡(luò)絕對(duì)是不安全的。

2.安全協(xié)議。目前在安全協(xié)議的設(shè)計(jì)方面，主要是設(shè)計(jì)安全的通信協(xié)議。但設(shè)計(jì)安全的通信協(xié)議不是件容易的事，一般采用形式化方法、經(jīng)驗(yàn)分析協(xié)議的方法和找漏洞的分析方法來保證通信的安全。

3.接入控制。要求對(duì)接入網(wǎng)絡(luò)的權(quán)限進(jìn)行控制，并設(shè)定相關(guān)的權(quán)限。計(jì)算機(jī)網(wǎng)絡(luò)是個(gè)非常龐大、復(fù)雜的系統(tǒng)，在接入控制系統(tǒng)的設(shè)計(jì)中，要用到加密技術(shù)。

五、計(jì)算機(jī)網(wǎng)絡(luò)安全的策略分析

剛才我們已經(jīng)說過，計(jì)算機(jī)網(wǎng)絡(luò)的威脅可分為主動(dòng)攻擊和被動(dòng)攻擊，其實(shí)為了應(yīng)對(duì)不斷更新變化的網(wǎng)絡(luò)威脅手段，網(wǎng)絡(luò)安全技術(shù)也包括被動(dòng)防護(hù)和主動(dòng)檢測(cè)兩個(gè)方面。主要的網(wǎng)絡(luò)安全技術(shù)包括：加密保護(hù)、防火墻技術(shù)、VPN技術(shù)、入侵檢測(cè)與防御、漏洞掃描。其中防病毒、防火墻和VPN屬早期的被動(dòng)防護(hù)技術(shù)，入侵檢測(cè)、入侵防御和漏洞掃描屬主動(dòng)檢測(cè)技術(shù)。這些技術(shù)領(lǐng)域的研究成果已經(jīng)成為眾多信息安全產(chǎn)品的基礎(chǔ)。

1.加密保護(hù)

為了防止在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)被攻擊者惡意截取或篡改，我們可以對(duì)數(shù)據(jù)進(jìn)行加密。如果沒有密鑰，即使是數(shù)據(jù)被別人竊取也無法得到正確的數(shù)據(jù)，這在一定程度上保證了數(shù)據(jù)的安全。我們可以采用對(duì)稱加密和非對(duì)稱加密的方法來解決。對(duì)稱加密體制就是指加密密鑰和解密密鑰相同的機(jī)制，常用的算法為數(shù)據(jù)加密標(biāo)準(zhǔn)DES算法。而非對(duì)稱加密是指加密和解密使用不同的密鑰，每個(gè)用戶保存一個(gè)公開的密鑰和秘密密鑰。公開密鑰用于加密密鑰而秘密密鑰則需要用戶自己保密，用于解密密鑰。

2.防火墻技術(shù)

防火墻是一種保障計(jì)算機(jī)網(wǎng)絡(luò)安全的重要手段，它的主要目標(biāo)就是通過控制網(wǎng)絡(luò)的權(quán)限，并迫使所有的連接都經(jīng)過這樣的檢查，防止一個(gè)需要保護(hù)的網(wǎng)絡(luò)遭外界因素的干擾和破壞。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)視了內(nèi)部網(wǎng)絡(luò)和Internet之間地任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)地安全。防火墻可以是獨(dú)立的系統(tǒng)，也可以在一個(gè)進(jìn)行網(wǎng)絡(luò)互連的路由器上實(shí)現(xiàn)防火墻。常用的防火墻技術(shù)有包過濾技術(shù)、狀態(tài)檢測(cè)技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)。包過濾技術(shù)是在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過，依據(jù)系統(tǒng)事先設(shè)定好的過濾邏輯，檢查數(shù)據(jù)據(jù)流中的每個(gè)數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址，以及包所使用的端口確定是否允許該類數(shù)據(jù)包通過；狀態(tài)檢測(cè)技術(shù)采用的是一種基于連接的狀態(tài)檢測(cè)機(jī)制，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對(duì)表中的各個(gè)連接狀態(tài)因素加以識(shí)別，與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比，它具有更好的靈活性和安全性；應(yīng)用網(wǎng)關(guān)技術(shù)在應(yīng)用層實(shí)現(xiàn)，它使用一個(gè)運(yùn)行特殊的“通信數(shù)據(jù)安全檢查”軟件的工作站來連接被保護(hù)網(wǎng)絡(luò)和其他網(wǎng)絡(luò)，其目的在于隱蔽被保護(hù)網(wǎng)絡(luò)的具體細(xì)節(jié)，保護(hù)其中的主機(jī)及其數(shù)據(jù)。

3.VPN技術(shù)

VPN即虛擬專用網(wǎng)絡(luò)，它是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)連接而成的邏輯上的虛擬子網(wǎng)。它可以幫助異地用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商與內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。為了保障信息的安全，VPN技術(shù)采用了鑒別、訪問控制、保密性和完整性等措施，以防止信息的泄露、篡改和復(fù)制。

4.入侵檢測(cè)與防御技術(shù)

入侵檢測(cè)技術(shù)可以看做是防火墻的有效補(bǔ)充，用來檢測(cè)任何想要損害網(wǎng)絡(luò)安全的攻擊行為。入侵檢測(cè)技術(shù)能夠幫助系統(tǒng)對(duì)付已知和未知網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

入侵防御系統(tǒng)則是一種主動(dòng)的、積極的入侵防范和阻止系統(tǒng)，簡稱成IPS。它的防御功能類似于防火墻，IPS是置于網(wǎng)絡(luò)的進(jìn)出口處，一旦檢測(cè)到攻擊時(shí)，就自動(dòng)采取措施將其阻斷。但是它不能代替防火墻，當(dāng)然，防火墻也不能代替IPS，它們?cè)诓煌倪^濾方面發(fā)揮著各自最大的功能。

5.漏洞掃描技術(shù)

漏洞掃描技術(shù)屬于主動(dòng)防范技術(shù)，它可以通過將端口掃描的信息與系統(tǒng)提供的漏洞進(jìn)行比對(duì)、匹配，以及模擬黑客攻擊的方法來保證主機(jī)系統(tǒng)的安全。

除了上述幾種策略以外，還有一些其他的技術(shù)可以有效地保證網(wǎng)絡(luò)安全。這里我就不一一說明了。

六、結(jié)語

計(jì)算機(jī)網(wǎng)絡(luò)安全是一個(gè)復(fù)雜的問題，是一個(gè)涉及范圍廣泛的問題。本文從多方面分析了計(jì)算機(jī)網(wǎng)絡(luò)安全問題和策略，目的在于為用戶提供信息的保密，使網(wǎng)絡(luò)中的服務(wù)、數(shù)據(jù)，以及系統(tǒng)減小或免受侵?jǐn)_和破壞。社會(huì)，是不斷變化發(fā)展的社會(huì)，我相信計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用安全問題也一樣會(huì)隨著各種新技術(shù)和算法的出現(xiàn)而不斷更新和復(fù)雜化，而解決這一問題的相關(guān)策略也將會(huì)原來越多，越來越先進(jìn)。

參考文獻(xiàn)：

［1］葛秀慧.計(jì)算機(jī)網(wǎng)絡(luò)安全管理（第2版）.清華大學(xué)出版社，2008.5.

［2］謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)（第四版）.電子工業(yè)出版社，2006.6.

［3］王群.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù).清華大學(xué)出版社，2008，7.