計(jì)算機(jī)網(wǎng)絡(luò)安全的啟示與思考

劉丹

摘要：計(jì)算機(jī)網(wǎng)絡(luò)的安全問題一直備受關(guān)注和重視，在復(fù)雜的信息化條件下尤為重要，網(wǎng)絡(luò)安全不可忽視。該文通過對當(dāng)前網(wǎng)絡(luò)安全情況的分析，探討網(wǎng)絡(luò)安全防范措施，提高網(wǎng)絡(luò)安全，是需要我們認(rèn)真思考的問題。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；防范措施

中圖分類號：TP271文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2012)20-4806-02

Inspiration and Thinking of the Computer Network Security

LIU Dan

(Chongqing College of Electronic Engineering, Chongqing 401331, China)

Abstract: Computer network security can not be ignored under the complex information technology surroundings, which has been much concerned and taken seriously. This paper analyzed the current network security situation and explored the measures to prevent computer network security threats. Improving network security should be seriously thought.

Key words: computer network; network security; precautionary measure

據(jù)國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急協(xié)調(diào)中心網(wǎng)絡(luò)安全報(bào)告，基礎(chǔ)設(shè)施和重要信息系統(tǒng)整體上運(yùn)行基本正常，未出現(xiàn)造成影響嚴(yán)重的網(wǎng)絡(luò)安全事故，但是網(wǎng)絡(luò)攻擊的次數(shù)、頻率和復(fù)雜度均比往年大幅度增加，遭入侵和受控計(jì)算機(jī)數(shù)量巨大，潛在威脅繼續(xù)增加，信息數(shù)據(jù)安全問題日益突出，計(jì)算機(jī)網(wǎng)絡(luò)的安全形勢依舊十分嚴(yán)峻。主要表現(xiàn)在，一是政府網(wǎng)頁被篡改事件大幅度增加。據(jù)統(tǒng)計(jì)顯示，我國大陸地區(qū)被篡改網(wǎng)站總數(shù)比往年同期增長41%，占被篡改網(wǎng)站總數(shù)的比例達(dá)7%，而gov.cn域名僅占cn域名總數(shù)的2.3%。二是感染木馬和僵尸網(wǎng)絡(luò)的主機(jī)數(shù)量巨大。國家互聯(lián)網(wǎng)應(yīng)急協(xié)調(diào)中心抽樣檢測，境內(nèi)外控制者利用木馬控制端對主機(jī)進(jìn)行的控制事件中，木馬控制端IP網(wǎng)絡(luò)地址總數(shù)、被控制端IP地址總數(shù)均高舉不下。中國大陸地區(qū)有2百多萬個(gè)IP地址的主機(jī)被植入僵尸程序，有2270個(gè)境外控制服務(wù)器對大陸地區(qū)的主機(jī)進(jìn)行了僵尸網(wǎng)絡(luò)控制。三是惡意代碼的肆虐傳播是造成木馬和僵尸網(wǎng)絡(luò)產(chǎn)生和擴(kuò)大的一大途徑。國家互聯(lián)網(wǎng)應(yīng)急中心通過技術(shù)平臺共捕獲惡意代碼約90萬個(gè)，比上年同期增長62.5%，其中有新的惡意代碼樣本，有通過國內(nèi)外合作渠道接收到的惡意代碼。這些惡意代碼中，以惡意代碼下載器、灰鴿子家族系列，以及與網(wǎng)絡(luò)游戲有關(guān)的惡意程序居多，對終端用戶的威脅也最為突出。

1理性分析，網(wǎng)絡(luò)安全道路依然漫長

1）應(yīng)用軟件漏洞是各種安全威脅的主要根源。在軟件系統(tǒng)漏洞的防護(hù)上，人們往往重視操作系統(tǒng)漏洞的查找和補(bǔ)丁升級。實(shí)際上，近年來，應(yīng)用軟件安全漏洞的威脅越來越大，已經(jīng)超過了操作系統(tǒng)漏洞。從目前所掌握的安全漏洞情況分析來看，有部分漏洞直接威脅到互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的運(yùn)行安全，更多的漏洞則嚴(yán)重威脅到廣大互聯(lián)網(wǎng)用戶的信息系統(tǒng)。如，Realplay播放器軟件漏洞、聯(lián)眾世界軟件漏洞等。同時(shí)，針對漏洞出現(xiàn)的攻擊程序、代碼也呈目的性強(qiáng)、時(shí)效性高的趨勢。

2）電子郵件成為達(dá)成精確控制的常用手段。對于電子郵件的安全威脅，人們通常只注意到盡量不打開陌生人發(fā)送過來的電子郵件，特別是不打開郵件中的附件，這的確是一種好的安全防范習(xí)慣。但據(jù)了解，目前互聯(lián)網(wǎng)上流行的電子郵件系統(tǒng)，其郵件用戶設(shè)置的復(fù)雜密碼無一例外地可以被專業(yè)人員破解，而用戶密碼一旦被他人獲得，即使是由熟悉人員所發(fā)送過來的郵件中，也可能在原有的郵件中被他人注入了木馬和病毒程序。利用電子郵件對待定目標(biāo)主機(jī)實(shí)施遠(yuǎn)程控制是當(dāng)前最常見、最精確的滲透控制手段之一。

3）擺渡型攻擊技術(shù)逐漸成熟并廣泛應(yīng)用于針對內(nèi)部網(wǎng)絡(luò)的攻擊。擺渡型攻擊以移動(dòng)存儲(chǔ)設(shè)備、光盤、電子文檔等為主要途徑，借助木馬、蠕蟲、病毒等惡意代碼，在與互聯(lián)網(wǎng)物理隔離的內(nèi)網(wǎng)中交換數(shù)據(jù)、傳播病毒，進(jìn)行破壞和癱瘓目標(biāo)網(wǎng)絡(luò)。根據(jù)最新的網(wǎng)絡(luò)攻擊理論和實(shí)踐，所有的網(wǎng)絡(luò)都會(huì)與外部進(jìn)行數(shù)據(jù)交換，已不存在絕對封閉的內(nèi)部網(wǎng)絡(luò)。不論什么網(wǎng)絡(luò)，總要進(jìn)行系統(tǒng)和應(yīng)用軟件的更新，或進(jìn)行防病毒系統(tǒng)補(bǔ)丁的更新，此時(shí)就相當(dāng)于建立了對外連接的通道。就算是全封閉的物理隔離網(wǎng)絡(luò)，由于不能及時(shí)修補(bǔ)各種安全漏洞，一旦解決了進(jìn)入問題，實(shí)施攻擊將更容易達(dá)成目的。因此，物理隔離固然重要，但未必能確保網(wǎng)絡(luò)的絕對安全。實(shí)際上，采用物理隔離的內(nèi)部網(wǎng)絡(luò)中所出現(xiàn)的計(jì)算機(jī)病毒程序，基本上都是由移動(dòng)存儲(chǔ)介質(zhì)從外界帶入的。以往那種認(rèn)為網(wǎng)絡(luò)只要物理隔離就可高枕無憂的想法是不正確的。需強(qiáng)調(diào)的是，即使是利用光盤進(jìn)行內(nèi)外網(wǎng)數(shù)據(jù)交換，病毒和木馬后門程序照樣可以通過OFFICE電子文檔、圖片文件等進(jìn)行傳播。

4）分布式拒絕服務(wù)攻擊成為大規(guī)模網(wǎng)絡(luò)癱瘓攻擊的主要手段。所謂分布式拒絕服務(wù)攻擊就是在特定時(shí)刻由控制者向事先控制的、分布在不同地域的眾多網(wǎng)絡(luò)主機(jī)發(fā)出攻擊指令，受控主機(jī)收到攻擊指令后，會(huì)同時(shí)向指定的目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)或服務(wù)器發(fā)送類似于正常用戶訪問的數(shù)據(jù)包，使得目標(biāo)網(wǎng)絡(luò)主機(jī)來不及響應(yīng)處理，或致使目標(biāo)網(wǎng)絡(luò)信道擁塞，進(jìn)而造成目標(biāo)網(wǎng)絡(luò)或主機(jī)無法（拒絕）提供正常服務(wù)。如發(fā)生在2007年4、5月間的俄羅斯對愛沙尼亞的大規(guī)模分布式拒絕服務(wù)攻擊，導(dǎo)致了愛沙尼亞由先期的政府、媒體網(wǎng)絡(luò)迅速蔓延到通信、銀行等各公共服務(wù)網(wǎng)絡(luò)，大量網(wǎng)站被迫關(guān)閉，就連其總統(tǒng)府網(wǎng)站也未能幸免。

2啟示思考，我國網(wǎng)絡(luò)安全防護(hù)任重道遠(yuǎn)

對于復(fù)雜的因特網(wǎng)來說，事實(shí)上，有“網(wǎng)”必有“洞”，有“洞”就能鉆，我們必須居安思危，嚴(yán)密防范。

1）要強(qiáng)化安全憂患意識，堅(jiān)持動(dòng)態(tài)防御和體系保障理念。信息安全保障是一個(gè)復(fù)雜的系統(tǒng)工程，要從安全策略、隔離控制、密碼保護(hù)、授權(quán)認(rèn)證、實(shí)體安全、檢測預(yù)警、響應(yīng)恢復(fù)和安全管理等多個(gè)方面實(shí)行整體性防御。要破除密碼全能觀念，不能以為安裝了核心密碼設(shè)備的網(wǎng)絡(luò)就一定可以高枕無憂了。實(shí)際上，密碼只能解決數(shù)據(jù)交互過程中的保密問題，不能解決網(wǎng)絡(luò)安全所以問題；密碼僅對局外人員有效，用戶之間的信息交換只是在數(shù)據(jù)傳遞和存儲(chǔ)過程中的加密，而末端應(yīng)用時(shí)是經(jīng)過解密過的數(shù)據(jù)；病毒、木馬后門等攻擊程序通常是合法數(shù)據(jù)包裹在一起的。網(wǎng)絡(luò)安全必須從采集、加工、傳遞、存儲(chǔ)、應(yīng)用的全過程，按照同一密級要求實(shí)行全程管理。

信息安全保障還是一種持續(xù)的動(dòng)態(tài)發(fā)展過程，通常要通過策略、防護(hù)、檢測、響應(yīng)和恢復(fù)構(gòu)成一個(gè)完整的、動(dòng)態(tài)螺旋式的循環(huán)上升鏈，進(jìn)而不斷改進(jìn)和完善。安全防范應(yīng)貫穿于信息系統(tǒng)整個(gè)生命周期，只要信息系統(tǒng)存在，安全隱患也就永遠(yuǎn)存在，安全防范就不能停止。

2）要注重系統(tǒng)頂層設(shè)計(jì)，重視應(yīng)用軟件的安全性測試。網(wǎng)絡(luò)構(gòu)建通常伴隨著重要的網(wǎng)絡(luò)應(yīng)用，要通過頂層設(shè)計(jì)統(tǒng)籌考慮網(wǎng)絡(luò)應(yīng)用與網(wǎng)絡(luò)防護(hù)的關(guān)系。在處理應(yīng)用系統(tǒng)與安全防護(hù)系統(tǒng)可能存在的沖突時(shí)，要優(yōu)先考慮安全問題，要在確保安全性的前提下實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的功能；在加強(qiáng)自研軟件安全性測試的同時(shí)，要加強(qiáng)對外協(xié)和外購軟件的安全測試，努力防止業(yè)務(wù)系統(tǒng)集成過程中出現(xiàn)安全漏洞。

3）要正視安全的相對性，積極應(yīng)付各種可能復(fù)雜情況。網(wǎng)絡(luò)安全永遠(yuǎn)是相對的，要有入侵容忍的思想，不應(yīng)過分強(qiáng)調(diào)嚴(yán)防死守，因?yàn)榉雷o(hù)手段永遠(yuǎn)比進(jìn)攻手段落后半拍；從費(fèi)效比和網(wǎng)絡(luò)應(yīng)用角度看，過度的防護(hù)也不可取。因此，要有防線一旦被攻破的思想準(zhǔn)備，要通過響應(yīng)、恢復(fù)、補(bǔ)救方案和措施，將損失降低到最小程度。

4）要采取主動(dòng)防御戰(zhàn)略，注意加強(qiáng)攻擊溯源技術(shù)研究。保障網(wǎng)絡(luò)系統(tǒng)安全，不僅要查找自身的薄弱點(diǎn)，及時(shí)修補(bǔ)漏洞；同時(shí)，還應(yīng)具備攻擊源速度定位能力。只有找到了攻擊的源頭，才能更有效地采取應(yīng)對措施，更好地把握網(wǎng)絡(luò)防御的主動(dòng)權(quán)。近幾次發(fā)生在因特網(wǎng)上的大規(guī)模網(wǎng)絡(luò)攻擊事件，都呈現(xiàn)出網(wǎng)絡(luò)攻擊手段多樣、手法隱蔽、源頭難以追溯等特點(diǎn)，即使是內(nèi)部網(wǎng)絡(luò)中發(fā)生的病毒傳播現(xiàn)象，也很少有單位能夠鎖定到確切的傳播源，這些事件和現(xiàn)象突出反映了主動(dòng)防御對保障網(wǎng)絡(luò)安全的重要性和緊迫性。加強(qiáng)對網(wǎng)絡(luò)攻擊溯源技術(shù)和手段的研究，迅速定位攻擊源頭，及時(shí)獲得并分析病毒、木馬等攻擊代碼程序樣本，研究反制措施，已成為網(wǎng)絡(luò)安全防護(hù)體系中不可或缺的重要組成部分。

5）要樹立人才第一觀念，高度重視核心骨干人才培養(yǎng)。網(wǎng)絡(luò)攻防拼的是技術(shù)、靠的是人才，要的是機(jī)制。事實(shí)上，網(wǎng)絡(luò)防御對抗時(shí)技術(shù)的較量、人才的博弈，沒有骨干人才就沒有良好的安全保障。安全防護(hù)不適安全產(chǎn)品的簡單堆砌，要運(yùn)用綜合集成思想，將各種檢測、防護(hù)、響應(yīng)手段圍繞安全策略的具體需求有序地組織，相互之間要形成協(xié)調(diào)、聯(lián)動(dòng)的關(guān)系；要針對應(yīng)用中發(fā)現(xiàn)的問題，根據(jù)實(shí)際需求或應(yīng)用變化的情況，不斷地加以改進(jìn)和完善；網(wǎng)絡(luò)安全絕不是單純一次性地購出來、建出來的，而是通過人配出來、改出來、管出來的，這就決定了人才是網(wǎng)絡(luò)安全的核心要素。

參考文獻(xiàn):

[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].北京:電子工業(yè)出版社,2003.

[2] Andraw S,Tanenbaum.計(jì)算機(jī)網(wǎng)絡(luò)[M].3版.熊桂喜,王小虎,譯.北京:清華大學(xué)出版社,1998.

[3]劉占全.網(wǎng)絡(luò)管理與防火墻技術(shù)[M].北京:人民郵電出版社,2005.

[4]肖軍模.網(wǎng)絡(luò)信安全與對抗[M].北京:解放軍出版社,1999.

[5]胡昌振.面向21世紀(jì)網(wǎng)絡(luò)安全與防護(hù)[M].北京:北京希望電子出版社,1999.

[6]高永強(qiáng).網(wǎng)絡(luò)安全技術(shù)與應(yīng)用大典[M].北京:人民郵電出版社,2003.