論計(jì)算機(jī)網(wǎng)絡(luò)中的信息安全

■徐 強(qiáng) 李道明

計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的普及，給人們的生活生產(chǎn)帶來(lái)了極大的便利，如何保護(hù)信息在開(kāi)放的網(wǎng)絡(luò)環(huán)境中的安全，保證信息不被篡改，是正常使用計(jì)算機(jī)網(wǎng)絡(luò)的基本保障，從網(wǎng)絡(luò)信息安全的主要內(nèi)容、防護(hù)的技術(shù)手段、方法等幾個(gè)方面對(duì)網(wǎng)絡(luò)安全作了初步探討。

隨著計(jì)算機(jī)網(wǎng)絡(luò)在各行各業(yè)及個(gè)人應(yīng)用的普及，網(wǎng)絡(luò)給人們的生活生產(chǎn)帶來(lái)了極大的便利，網(wǎng)絡(luò)信息每年以幾何級(jí)數(shù)向上增長(zhǎng)，如何保護(hù)信息在開(kāi)放的網(wǎng)絡(luò)環(huán)境中的安全，保證信息不被篡改，泄露是正常使用計(jì)算機(jī)網(wǎng)絡(luò)的基本保障，計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行主要是通過(guò)網(wǎng)絡(luò)和信息技術(shù)來(lái)支撐的，因此計(jì)算機(jī)網(wǎng)絡(luò)安全運(yùn)行的核心內(nèi)容就是網(wǎng)絡(luò)上的信息安全問(wèn)題。

一、網(wǎng)絡(luò)信息安全的主要內(nèi)容

1.保密性：保證信息不泄露給未經(jīng)授權(quán)的用戶(hù)或供其利用。

2.完整性：防止信息被未經(jīng)授權(quán)的人的篡改，保證真實(shí)的信息從真實(shí)的信息源無(wú)失真地傳到真實(shí)的信宿。

3.可用性：保證信息及信息系統(tǒng)確實(shí)為授權(quán)使用者所使用，防止由于計(jì)算機(jī)病毒或其他人為因素造成網(wǎng)絡(luò)和系統(tǒng)無(wú)法正常運(yùn)行而拒絕服務(wù)或?yàn)閿呈炙谩?/p>

4.可控性：對(duì)信息內(nèi)容及信息系統(tǒng)實(shí)施安全監(jiān)控管理，防止非法修改。

5.抗抵賴(lài)性：保證信息行為人不能否認(rèn)自己的行為。

如何保證網(wǎng)絡(luò)信息的安全，為正常使用網(wǎng)絡(luò)提供最基本的保障，本文試圖從網(wǎng)絡(luò)防護(hù)的技術(shù)手段、網(wǎng)絡(luò)防護(hù)方法兩個(gè)主要方面做一簡(jiǎn)單探討。

二、網(wǎng)絡(luò)安全的技術(shù)防護(hù)方面

主要分為主動(dòng)防護(hù)與被動(dòng)防護(hù)，主動(dòng)防護(hù)主要技術(shù)手段包括：防火墻、病毒掃描、PKI技術(shù)和服務(wù)、網(wǎng)頁(yè)防篡改等，被動(dòng)防護(hù)主要技術(shù)手段主要包括：安全掃描、日志審計(jì)、入侵檢測(cè)等

（一）主動(dòng)防護(hù)技術(shù)

1.防火墻

網(wǎng)絡(luò)的最大特點(diǎn)是開(kāi)放性、無(wú)邊界性、自由性。要想實(shí)現(xiàn)網(wǎng)絡(luò)的安全，一個(gè)最基本的方法就是將被開(kāi)放的網(wǎng)絡(luò)從開(kāi)放的、無(wú)邊界的網(wǎng)絡(luò)環(huán)境中獨(dú)立出來(lái)，使之成為可管理的、可控制的、安全的內(nèi)部網(wǎng)絡(luò)。實(shí)現(xiàn)這一目標(biāo)的最基本的分隔手段就是防火墻，作為網(wǎng)絡(luò)安全的第一道門(mén)戶(hù)，可以實(shí)現(xiàn)內(nèi)部網(wǎng)（信任網(wǎng)）與外部不可信賴(lài)網(wǎng)絡(luò)之間或內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全區(qū)域的隔離與訪(fǎng)問(wèn)控制，保證網(wǎng)絡(luò)系統(tǒng)與網(wǎng)絡(luò)服務(wù)的可用性。防火墻是一種網(wǎng)絡(luò)安全保障手段，是網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪(fǎng)問(wèn)控制尺度。它主要的目標(biāo)是控制入、出的一個(gè)網(wǎng)絡(luò)權(quán)限，并強(qiáng)迫所有的網(wǎng)絡(luò)連接都經(jīng)過(guò)這樣的檢查。其整個(gè)發(fā)展經(jīng)歷了：基于路由器的防火墻、用戶(hù)化防火墻工具包、建立在通用操作系統(tǒng)上的防火墻和具有安全操作系統(tǒng)的防火墻4個(gè)階段。主要分為：包過(guò)濾防火墻、應(yīng)用網(wǎng)關(guān)防火墻、代理服務(wù)器防火墻、狀態(tài)檢測(cè)防火墻、自適應(yīng)代理技術(shù)。

由于防火墻主要用于限制保護(hù)的網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間或與其他網(wǎng)絡(luò)之間進(jìn)行相互的信息存取、傳遞操作，它處于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，因此網(wǎng)絡(luò)應(yīng)用受到結(jié)構(gòu)性限制，內(nèi)部安全隱患仍然存在，效率低，而故障率較高。這些問(wèn)題導(dǎo)致了：（1）不能防范外部刻意的人為攻擊；（2）不能防范內(nèi)部用戶(hù)的攻擊；（3）不能防止內(nèi)部用戶(hù)因誤操作而造成的口令失密受到攻擊；很難防止病毒或受病毒感染的文件的傳輸。

2.病毒掃描

病毒是指一段可執(zhí)行的程序代碼，通過(guò)對(duì)其他程序進(jìn)行修改來(lái)感染這些程序，使其含有該病毒的一個(gè)復(fù)制，并且可以在特定的條件下進(jìn)行破環(huán)。在其整個(gè)生命周期中包括潛伏、繁殖、觸發(fā)和、執(zhí)行4個(gè)階段。對(duì)于病毒防護(hù)而言，最徹底的方法是不允許其進(jìn)入系統(tǒng)，但是這很難，因此大多數(shù)情況下，采用“檢測(cè)-標(biāo)識(shí)-清除”的策略來(lái)應(yīng)付。在病毒防護(hù)史上，大致經(jīng)歷了以下幾個(gè)階段。（1）簡(jiǎn)單掃描程序；（2）啟發(fā)式掃描程序；（3）行為陷阱；（4）全方位保護(hù)。反病毒技術(shù)的最新發(fā)展方向是類(lèi)屬解密和數(shù)字免疫系統(tǒng)。

由于反病毒技術(shù)滯后與病毒的產(chǎn)生與發(fā)展，現(xiàn)有的反病毒技術(shù)只能夠?qū)σ延胁《尽⒁延胁《镜牟糠肿兎N有良好的防護(hù)作用，而對(duì)于新型病毒還沒(méi)有有效的解決方式，需要升級(jí)特征庫(kù)。另外，它只是對(duì)病毒、黑客程序、間諜軟件這些惡間代碼有防護(hù)作用。

3.PKI

PKI技術(shù)主要借助“數(shù)字簽名”技術(shù)實(shí)現(xiàn)，數(shù)字簽名是維護(hù)網(wǎng)絡(luò)信息安全的一種重要方法和手段，在身份認(rèn)證、數(shù)據(jù)完整性、抗抵賴(lài)性方面都有重要應(yīng)用，特別是在大型網(wǎng)絡(luò)安全通信中密鑰分配、認(rèn)證和電子商務(wù)、電子政務(wù)系統(tǒng)中有重要的作用。而且它通過(guò)密碼技術(shù)對(duì)電子文檔進(jìn)行電子形式的簽名，是實(shí)現(xiàn)認(rèn)證的重要工具。數(shù)字簽名是只有發(fā)送方才能夠進(jìn)行的簽名，是任何其它人無(wú)法偽造的一段數(shù)字串，這段特殊的數(shù)字串同時(shí)也是對(duì)相應(yīng)的文件和信息真實(shí)性的一個(gè)證明。數(shù)字簽名的特點(diǎn)是它代表了文件的特征。如果文件發(fā)生變化，數(shù)字簽名的值也會(huì)發(fā)生變化，不同的文件會(huì)得到不同的數(shù)字簽名。

（二）被動(dòng)防護(hù)技術(shù)

1.入侵檢測(cè)

入侵檢測(cè)是指監(jiān)視或在可能的情況下，阻止入侵者試圖控制自己的系統(tǒng)或網(wǎng)絡(luò)資源的那種努力。它是用于檢測(cè)任何損害或企圖損害系統(tǒng)的機(jī)密性、完整性、或可用性的行為的一種網(wǎng)絡(luò)安全技術(shù)。它通過(guò)監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)，采用異常檢測(cè)或誤用檢測(cè)的方式，發(fā)現(xiàn)非授權(quán)的或惡意的系統(tǒng)及網(wǎng)絡(luò)行為，為防范入侵行為提供有效的手段。

入侵檢測(cè)系統(tǒng)要解決的最基本的兩 個(gè)問(wèn)題是：如何充分并可靠地提取描述行為特征的數(shù)據(jù)，以及如何根據(jù)數(shù)據(jù)特征，高效并準(zhǔn)確地判斷行為的性質(zhì)。主要采用異常入侵檢測(cè)技術(shù)和誤用入侵檢測(cè)技術(shù)兩種方法。異常入侵檢測(cè)技術(shù)是指通過(guò)觀(guān)測(cè)到的一組測(cè)量值的偏離度來(lái)預(yù)測(cè)用戶(hù)行為的變化。誤用入侵檢測(cè)技術(shù)主要指假設(shè)具有能夠精確地按某種方式編碼的攻擊，并可以通過(guò)捕獲攻擊和重新整理來(lái)確認(rèn)入侵活動(dòng)是基于同一弱點(diǎn)進(jìn)行攻擊的入侵方法的變種。

對(duì)于入侵檢測(cè)而言，入侵特征的收集十分重要，因此它對(duì)于已經(jīng)存在的入侵手段能夠起到良好的作用，而對(duì)于新的入侵手段則有很大局限性。

2.安全掃描

安全掃描是指對(duì)計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)端口進(jìn)行安全性檢查，它通常要借助于相關(guān)軟件。它是一個(gè)幫助管理員尋找到網(wǎng)絡(luò)安全隱患的工具，并不能直接解決安全問(wèn)題，而且對(duì)未被業(yè)界發(fā)現(xiàn)的隱患也無(wú)法找到。

3.日志審計(jì)系統(tǒng)

日志審計(jì)系統(tǒng)是通過(guò)一些特定的、預(yù)先定義的規(guī)則來(lái)發(fā)現(xiàn)日志中潛在的問(wèn)題，它可以用來(lái)事后亡羊補(bǔ)牢，也可以用來(lái)對(duì)網(wǎng)絡(luò)安全攻擊進(jìn)行取證。顯然它是一種被動(dòng)式、事后的防護(hù)或事中跟蹤的手段，很難在事前發(fā)揮作用。

三、網(wǎng)絡(luò)安全維護(hù)的主要方法

不論是主動(dòng)防護(hù)技術(shù)還是被動(dòng)防護(hù)技術(shù)，在實(shí)際網(wǎng)絡(luò)安全防護(hù)的應(yīng)用中都不是孤立存在的，網(wǎng)絡(luò)安全防護(hù)應(yīng)綜合交叉采用多種技術(shù)手段和方法才能盡最大可能的保障網(wǎng)絡(luò)安全。主要應(yīng)包括：

1.保證接入的安全，一些攻擊往往來(lái)自外網(wǎng)，外網(wǎng)接入內(nèi)網(wǎng)時(shí)必須保證對(duì)內(nèi)網(wǎng)構(gòu)成安全威脅的因素盡可能地補(bǔ)攔截，只允許授權(quán)用戶(hù)才可以訪(fǎng)問(wèn)內(nèi)網(wǎng)。

2.保證干路暢通和劃分子網(wǎng)，根據(jù)用戶(hù)對(duì)安全需求的不同，將同一安全級(jí)別的用戶(hù)劃入同一子網(wǎng)。

3.在網(wǎng)絡(luò)邊界設(shè)置防火墻、存取控制、端口隔離等多種技術(shù)手段進(jìn)行安全控制。

4.保證軟件系統(tǒng)的安全，由于操作系統(tǒng)是軟件系統(tǒng)的基礎(chǔ)，所以保護(hù)好操作系統(tǒng)是保證網(wǎng)絡(luò)安全的基礎(chǔ)，設(shè)置好訪(fǎng)問(wèn)策略，綜合運(yùn)用多種版本的防病毒軟件對(duì)系統(tǒng)進(jìn)行交叉殺毒。5.制定網(wǎng)絡(luò)安全管理辦法，健全管理機(jī)制。

顯然，保障網(wǎng)絡(luò)安全性與網(wǎng)絡(luò)服務(wù)效率永遠(yuǎn)是一對(duì)矛盾體，在計(jì)算機(jī)應(yīng)用普及的時(shí)代，要想網(wǎng)絡(luò)安全可靠，勢(shì)必會(huì)增加許多措施來(lái)安全設(shè)備，從而會(huì)或多或少的影響使用效率和方便性。

參加文獻(xiàn)：

[1]張友生主編.全國(guó)計(jì)算機(jī)技術(shù)與軟件專(zhuān)業(yè)技術(shù)資格（水平）考試指南[M].電子工業(yè)出版社,2004.

[2]陳宇.計(jì)算機(jī)網(wǎng)絡(luò)管理員——網(wǎng)絡(luò)管理師[M].清華大學(xué)出版社,2004.