計算機(jī)網(wǎng)絡(luò)安全及防護(hù)策略

【摘要】計算機(jī)網(wǎng)絡(luò)信息安全在國民生活中受到越來越多的關(guān)注，原因在于：許多重要的信息存儲在網(wǎng)絡(luò)上，一旦這些信息泄露出去將造成無法估量的損失？之所以網(wǎng)絡(luò)信息會泄露出去，一方面有許多入侵者千方百計想“看”到一些關(guān)心的數(shù)據(jù)或者信息；另一方面網(wǎng)絡(luò)自身存在安全隱患才使得入侵者得逞？針對這些問題，該文歸納并提出了一些網(wǎng)絡(luò)信息安全防護(hù)的方法和策略？

【關(guān)鍵詞】計算機(jī)網(wǎng)絡(luò)信息安全黑客網(wǎng)絡(luò)入侵

1引言

近年來，伴隨著互聯(lián)網(wǎng)技術(shù)在全球迅猛發(fā)展，為人們提供了極大的方便，然而，信息化在給人們帶來種種物質(zhì)和文化享受的同時，我們也正受到日益嚴(yán)重的來自網(wǎng)絡(luò)的安全威脅，諸如網(wǎng)絡(luò)的數(shù)據(jù)竊賊、黑客的侵襲、病毒發(fā)布者，甚至系統(tǒng)內(nèi)部的泄密者。盡管我們正在廣泛地使用各種復(fù)雜的軟件技術(shù)，如防火墻、代理服務(wù)器、侵襲探測器、通道控制機(jī)制，但是，無論在發(fā)達(dá)國家，還是在發(fā)展中國家（包括我國），黑客活動越來越猖狂，他們無孔不入，對社會造成了嚴(yán)重的危害。與此同時，更讓人不安的是，互聯(lián)網(wǎng)上黑客網(wǎng)站還在不斷增加，學(xué)習(xí)黑客技術(shù)、獲得黑客攻擊工具變得輕而易舉。這樣，使原本就十分脆弱的互聯(lián)網(wǎng)越發(fā)顯得不安全。針對各種來自網(wǎng)上的安全威脅，怎樣才能確保網(wǎng)絡(luò)信息的安全性，尤其是網(wǎng)絡(luò)上重要的數(shù)據(jù)的安全性。

2計算機(jī)網(wǎng)絡(luò)安全的主要影響因素

（1）TCP/IP協(xié)議未考慮安全性。目前Internet上存在的許多安全問題，其主要原因之一就在于TCP/IP協(xié)議簇的基本體系結(jié)構(gòu)，TCP/IP從一開始設(shè)計的時候就沒有考慮到安全設(shè)計，這一特點(diǎn)給“黑客”們攻擊網(wǎng)絡(luò)以可乘之機(jī)，造成在網(wǎng)上傳送的信息很容易被攔截、偷窺和篡改。

（2）操作系統(tǒng)本身存在安全性。目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全的漏洞，尤其是目前占有廣大市場的微軟Windows操作系統(tǒng)，安全漏洞一個接著一個，黑客、病毒、木馬往往就是利用這些操作系統(tǒng)本身所存在的安全漏洞侵入和破壞系統(tǒng)、盜取用戶信息。

（3）信息網(wǎng)絡(luò)安全技術(shù)的發(fā)展滯后于信息網(wǎng)絡(luò)技術(shù)。網(wǎng)絡(luò)技術(shù)的發(fā)展可以說是日新月異，新技術(shù)、新產(chǎn)品層出不窮，可在產(chǎn)品本身的安全性方面進(jìn)展卻不大。在我國，許多大的應(yīng)用系統(tǒng)也是建立在國外大型的操作系統(tǒng)的基礎(chǔ)之上。如果我們的網(wǎng)絡(luò)安全產(chǎn)品也從國外引進(jìn)，會使我們的計算機(jī)信息系統(tǒng)安全暴露在外，后果令人擔(dān)憂。

（4）來自內(nèi)部網(wǎng)用戶的安全威脅。來自內(nèi)部用戶的安全威脅遠(yuǎn)大于外部用戶的安全威脅，即使網(wǎng)絡(luò)安裝了防火墻，但對內(nèi)部網(wǎng)用戶來說一點(diǎn)也不起作用。

（5）缺乏有效的手段監(jiān)視、評估網(wǎng)絡(luò)系統(tǒng)的安全性。網(wǎng)絡(luò)安全評估分析就是對網(wǎng)絡(luò)進(jìn)行檢查，查找其中是否有可被黑客利用的漏洞，對系統(tǒng)安全狀況進(jìn)行評估、分析，并對發(fā)現(xiàn)的問題提出建議從而提高網(wǎng)絡(luò)系統(tǒng)安全性能的過程。評估分析技術(shù)是一種非常有效的安全技術(shù)。

（6）使用者缺乏安全意識，在一個安全設(shè)計充分的網(wǎng)絡(luò)中，人為因素造成的安全漏洞無疑使整個網(wǎng)絡(luò)安全性的最大隱患。網(wǎng)絡(luò)管理員或網(wǎng)絡(luò)用戶都擁有相應(yīng)的權(quán)限，利用這些權(quán)限破壞網(wǎng)絡(luò)安全的隱患也是存在的。操作口令的泄漏，臨時文件未及時刪除而被竊取，內(nèi)部人員有意無意的泄漏，給黑客帶來了可乘之機(jī)等，都可能使網(wǎng)絡(luò)安全機(jī)制大打折扣。

（7）缺乏安全策略。由于訪問控制配置的復(fù)雜性，容易導(dǎo)致配置錯誤，尤其是在防火墻配置上無意識的擴(kuò)大了訪問權(quán)限，這些都會被有些人所利用，對網(wǎng)絡(luò)進(jìn)行惡意攻擊或破壞。

（8）管理制度不健全。網(wǎng)絡(luò)管理維護(hù)任其自然。

3計算機(jī)網(wǎng)絡(luò)安全的防范措施

（1）加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理人員以及使用人員的安全意識。

很多計算機(jī)系統(tǒng)常用口令來控制對系統(tǒng)資源的訪問，這是防病毒進(jìn)程中，最容易和最經(jīng)濟(jì)的方法之一。網(wǎng)絡(luò)管理員和終端操作員根據(jù)自己的職責(zé)權(quán)限，選擇不同的口令，對應(yīng)用程序數(shù)據(jù)進(jìn)行合法操作，防止用戶越權(quán)訪問數(shù)據(jù)和使用網(wǎng)絡(luò)資源。在網(wǎng)絡(luò)上，軟件的安裝和管理方式是十分關(guān)鍵的，它不僅關(guān)系到網(wǎng)絡(luò)維護(hù)管理的效率和質(zhì)量，而且設(shè)計到網(wǎng)絡(luò)的安全性。檔計算機(jī)病毒對網(wǎng)上資源的應(yīng)用程序進(jìn)行攻擊時，這樣的病毒存在于信息共享的網(wǎng)絡(luò)介質(zhì)上，因此就要在網(wǎng)關(guān)上設(shè)防，在網(wǎng)絡(luò)前端進(jìn)行殺毒。

（2）防火墻技術(shù)。

它是目前網(wǎng)絡(luò)間訪問控制、防止外部人員非法進(jìn)入內(nèi)部網(wǎng)絡(luò)，保護(hù)內(nèi)網(wǎng)資源最廣泛使用的一種技術(shù)。防火墻部署在不同網(wǎng)絡(luò)安全級別的網(wǎng)絡(luò)之間，防火墻通過檢測數(shù)據(jù)包中的源地址、目標(biāo)地址、源端口、目標(biāo)端口等信息來匹配預(yù)先設(shè)定的訪問控制規(guī)則，當(dāng)匹配成功。數(shù)據(jù)包被允許通過，否則就被丟棄。防火墻大致可分為三種：包過濾防火墻，根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、源端口、目標(biāo)端口進(jìn)行匹配。應(yīng)用代理防護(hù)墻，客戶端所有訪問都通過SOCKS封裝發(fā)送到代理服務(wù)器，代理服務(wù)器解包匹配，根據(jù)匹配結(jié)果，判斷是否代替客戶端向服務(wù)器發(fā)起請示，轉(zhuǎn)發(fā)服務(wù)器返回數(shù)據(jù)包，還是丟棄客戶端數(shù)據(jù)包。狀態(tài)檢測防火墻，是在包過濾防火墻基礎(chǔ)上發(fā)展起來的，它比包過濾防火墻增加了狀態(tài)檢測表的檢測。目前市場上常見的防護(hù)墻多為次種類型。防火墻雖然能夠有效的阻止外部人員的非法訪問，但無法防止內(nèi)部網(wǎng)絡(luò)用戶帶來的威脅，也不能完全防止傳送已感染的程序和文件。

（3）加密技術(shù)。

數(shù)據(jù)加密就是對原有的明文或數(shù)據(jù)按照某種算法，置換成一種不可讀的密文，然后在進(jìn)行信息的存儲和傳輸。密文獲得者用相應(yīng)的密鑰才能讀出原文，實(shí)現(xiàn)數(shù)據(jù)的保密性。加密技術(shù)的關(guān)鍵在于加密的算法和密鑰的管理。加密算法通常分為對稱加密算法和非對稱加密算法。對稱加密算法就是加密和解密使用同一密鑰，DES加密標(biāo)準(zhǔn)就是典型的對稱加密算法。對稱加密算法加密、解密速度快，加密強(qiáng)度高，算法公開。非對稱加密算法加密和解密使用不同的密鑰，用加密密鑰加密的數(shù)據(jù)只有相應(yīng)的解密密鑰才能打開。非對稱加密算法加密數(shù)據(jù)安全可靠性高，密鑰不易被破解，RSA算法就是典型的一種。密鑰在管理過程中要注意防止密鑰泄漏。密鑰使用要注意時效和次數(shù)，最好不要重復(fù)使用同一密鑰，僅將一個對話密鑰用于一條信息或一次對話中，降低泄密的可能性。

（4）防病毒技術(shù)。

網(wǎng)絡(luò)病毒技術(shù)主要包括病毒預(yù)防技術(shù)、病毒檢測技術(shù)和病毒消除技術(shù)。其中，病毒預(yù)防技術(shù)通過自身常駐系統(tǒng)內(nèi)存，有限獲得系統(tǒng)控制權(quán)，監(jiān)視、判斷病毒是否存在，防止病毒的擴(kuò)散和破壞。病毒檢測技術(shù)通過偵測計算機(jī)病毒特征和文件自身特征兩種方式，判斷系統(tǒng)是否感染病毒。病毒消除技術(shù)是極端及病毒感染程序的逆過程，根據(jù)對病毒的分析，開發(fā)病毒消除程序、軟件，殺滅病毒。

（5）網(wǎng)絡(luò)主機(jī)的操作系統(tǒng)安全和物理安全措施。

防火墻作為網(wǎng)絡(luò)的第一道防線并不能完全保護(hù)內(nèi)部網(wǎng)絡(luò)，必須結(jié)合其他措施才能提高系統(tǒng)的安全水平。在防護(hù)墻之后是基于網(wǎng)絡(luò)主機(jī)的操作系統(tǒng)安全和物理安全措施。按照級別從低到高，分別是主機(jī)系統(tǒng)的物理安全、操作系統(tǒng)的內(nèi)核安全、系統(tǒng)服務(wù)安全、應(yīng)用服務(wù)安全和文件系統(tǒng)安全；同時注意安全檢查和漏洞修補(bǔ)以及系統(tǒng)備份安全作為輔助安全措施。這些構(gòu)成整個網(wǎng)絡(luò)系統(tǒng)的第二道防線，主要防范部分突破防火墻以及從內(nèi)部發(fā)起的攻擊。系統(tǒng)備份是網(wǎng)絡(luò)系統(tǒng)的最后防線，用來系統(tǒng)遭受攻擊之后進(jìn)行系統(tǒng)的恢復(fù)。在防火墻和主機(jī)安全措施之后，四全局性的由系統(tǒng)安全審計、入侵檢測和應(yīng)急處理機(jī)構(gòu)的整體安全檢查和反應(yīng)措施。它從網(wǎng)絡(luò)系統(tǒng)中的防火墻、網(wǎng)絡(luò)主機(jī)甚至直接湊夠網(wǎng)絡(luò)鏈路層上提供網(wǎng)絡(luò)狀態(tài)信息，作為輸入提供給入侵檢測子系統(tǒng)。入侵檢測子系統(tǒng)根據(jù)一定得規(guī)則判斷是否有入侵事件發(fā)生，如果有入侵發(fā)生，則啟動應(yīng)急處理措施，并產(chǎn)生警告信息。而且，系統(tǒng)的安全審計還可以作為以后對攻擊行為和后果進(jìn)行處理、對系統(tǒng)安全策略進(jìn)行改進(jìn)的信息來源。

4結(jié)束語

21世紀(jì)全世界的計算機(jī)都通過Internet聯(lián)到一起，人類對信息資源共享的依賴性也越來越強(qiáng)，來自計算機(jī)網(wǎng)絡(luò)的威脅也日益嚴(yán)重，網(wǎng)絡(luò)安全的內(nèi)涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領(lǐng)域變成了無處不在。人類在分享網(wǎng)絡(luò)帶來的方便、高效的同時，也要進(jìn)一步著手建立有效的安全防護(hù)體系。網(wǎng)絡(luò)安全是國家發(fā)展所面臨的一個重要問題。對于這個問題，我們必須從系統(tǒng)的規(guī)劃上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它，以此保障計算機(jī)網(wǎng)絡(luò)的安全運(yùn)轉(zhuǎn)。

參考文獻(xiàn)

[1]戴紅，王海泉，黃堅(jiān).計算機(jī)網(wǎng)絡(luò)安全.北京：電子工業(yè)出版社，2004

[2]范素菊.淺談計算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù).商場現(xiàn)代化，2010（14）