計算機(jī)網(wǎng)絡(luò)信息安全分析與管理探究

張 原

（國家食品藥品監(jiān)督管理總局信息中心， 北京，100053）

0 引言

近年來，計算機(jī)網(wǎng)絡(luò)已經(jīng)成為人們生活中不可或缺的應(yīng)用工具。然而，隨著網(wǎng)絡(luò)信息資源的日益發(fā)展和推廣，網(wǎng)絡(luò)資源開放與共享的需求也日益增加，隨之而來的信息安全問題也成為困擾人們的一大難題。病毒、黑客、網(wǎng)絡(luò)犯罪等等關(guān)于網(wǎng)絡(luò)安全的事故層出不窮，它往往導(dǎo)致系統(tǒng)癱瘓、經(jīng)濟(jì)損失、機(jī)密被竊、隱私暴露等后果，給人們的社會生活以及私人生活造成不可估量的損失與困擾。由此可見，在計算機(jī)網(wǎng)絡(luò)發(fā)展日新月異的今天，計算機(jī)網(wǎng)絡(luò)安全問題需要我們進(jìn)行長期地探索與研究。

1 威脅計算機(jī)網(wǎng)絡(luò)信息安全的因素

1.1 環(huán)境因素

很多環(huán)境因素可以對計算機(jī)網(wǎng)絡(luò)產(chǎn)生不利影響。主要分為兩個方面，自然環(huán)境因素與社會環(huán)境因素。計算機(jī)網(wǎng)絡(luò)傳輸途徑主要是通過有線鏈路和無線電波將不同地域的計算機(jī)或終端連接起來，而依靠這兩種信息傳送方式，就必然受到自然環(huán)境因素與社會環(huán)境因素的直接影響。自然環(huán)境因素包括：不適宜的溫濕度、塵埃、地震、臺風(fēng)、火災(zāi)、事故等等。比如，強(qiáng)電以及磁場會將正在傳輸中的數(shù)據(jù)信息破壞，強(qiáng)雷電會通過電纜傳導(dǎo)，損壞正在工作中的計算機(jī)網(wǎng)絡(luò)，導(dǎo)致主板破壞、網(wǎng)絡(luò)癱瘓等后果；社會環(huán)境因素是指：人為惡意窺伺、截取、干擾、破壞計算機(jī)網(wǎng)絡(luò)信息，并給網(wǎng)絡(luò)造成人為破壞并帶來重大損失的不良行為。這往往來源于不良的社會風(fēng)氣、網(wǎng)絡(luò)管理法不健全等人為因素導(dǎo)致。

1.2 資源共享因素

軟件共享、硬件共享、數(shù)據(jù)共享、終端與服務(wù)器之間共享、終端與終端之間共享等，這些共享總體構(gòu)成了計算機(jī)網(wǎng)絡(luò)的資源共享。這種資源共享在為廣大用戶提供極大便利的同時，也為非法用戶惡意竊取、破壞網(wǎng)絡(luò)信息創(chuàng)造了便利條件。資源共享造成的泄密和破壞主要原因有三：一種原因是非法用戶通過數(shù)據(jù)終端進(jìn)行的非法瀏覽以及非法修改；其次，當(dāng)硬件或者軟件發(fā)生故障進(jìn)行維修時造成的泄密；最后，因為絕大多數(shù)的共享資源具有間隔距離長的特點，在時間與空間上，就為惡意竊取信息的行為提供了便利條件和機(jī)會。

1.3 病毒因素

因為，計算機(jī)網(wǎng)絡(luò)具有能夠在多個終端與結(jié)點接收信息數(shù)據(jù)的特點，這就為網(wǎng)絡(luò)病毒的入侵感染造成了可乘之機(jī)。計算機(jī)一旦感染病毒，就會在網(wǎng)絡(luò)內(nèi)呈指數(shù)復(fù)制、增長并蔓延到各個終端與結(jié)點，從而造成網(wǎng)絡(luò)癱瘓、數(shù)據(jù)破壞或丟失。

1.4 數(shù)據(jù)通信因素

因為需要基于數(shù)據(jù)通信來交換信息，而這些信息的傳輸載體通常是是物理線路、無線電波、電子設(shè)備等，使得計算機(jī)網(wǎng)絡(luò)的通信傳輸信息很容易遭到竊取和破壞，如搭線竊聽、輻射等等。

1.5 操作系統(tǒng)因素

因為計算機(jī)系統(tǒng)的安全級別不同導(dǎo)致它的防護(hù)級別各有不同。比如TCSEC(Trusted Computer System Evaluation Criteria)標(biāo)準(zhǔn)所描述的D級，基本沒有安全防護(hù)措施，所以這種計算機(jī)系統(tǒng)只能作為一般的桌面系統(tǒng)來使用，而不能用于安全性能要求比較高的操作系統(tǒng)。另外，網(wǎng)絡(luò)系統(tǒng)也可能因為硬件或者軟件故障停止運行、操作失誤等原因被非法入侵。通常，操作系統(tǒng)中的安全問題主要由：端口設(shè)置、系統(tǒng)賬戶管理、系統(tǒng)配置、系統(tǒng)安全策略設(shè)置、系統(tǒng)訪問控制策略、系統(tǒng)服務(wù)開設(shè)、系統(tǒng)安全日志設(shè)置等方面構(gòu)成。

1.6 網(wǎng)絡(luò)管理因素

計算機(jī)網(wǎng)絡(luò)的日常管理與維護(hù)的好與壞，對計算機(jī)網(wǎng)絡(luò)系統(tǒng)能否健康運行有著最直接的影響。很多設(shè)備損壞、信息泄露等狀況的發(fā)生，都來源于對網(wǎng)絡(luò)系統(tǒng)的不當(dāng)管理與疏漏管理。

1.7 應(yīng)用軟件因素

由于設(shè)計缺陷，部分網(wǎng)絡(luò)應(yīng)用程序會發(fā)生網(wǎng)絡(luò)安全隱患。例如緩沖區(qū)溢出攻擊。當(dāng)應(yīng)用程序在接收參數(shù)緩沖區(qū)設(shè)置時，限制與檢查不夠周密，通過破壞程序的堆棧，使程序轉(zhuǎn)入預(yù)先植入的攻擊代碼，令其以一定權(quán)限運行在緩沖區(qū)內(nèi)因?qū)懗銎溟L度的內(nèi)容而溢出緩沖區(qū)的程序，得到攻擊主機(jī)控制權(quán)的目的，進(jìn)而攻擊系統(tǒng)。這種攻擊占所有系統(tǒng)攻擊總數(shù)的 80%以上。由于部分網(wǎng)絡(luò)用戶缺乏安全防范措施，使用不被信任的軟件，導(dǎo)致大量存在于網(wǎng)絡(luò)中的惡意代碼通過E-mail、瀏覽器或FTP 等方式進(jìn)行傳播，不僅消耗網(wǎng)絡(luò)資源，還在目標(biāo)機(jī)中設(shè)置后門等。

1.8 協(xié)議因素

TCP/IP協(xié)議族是目前被廣泛使用于全球的協(xié)議族，也是Intemet 中的關(guān)鍵協(xié)議。因為在設(shè)計的初始階段，沒有將安全方面的因素充分考慮進(jìn)去，導(dǎo)致現(xiàn)在IP網(wǎng)絡(luò)安全問題的先天缺陷。表現(xiàn)比較突出的有：Dos(Denial of Service)攻擊、DDOS(Distribute Denial of Service)攻 擊、SYN--FLOOD攻 擊、ICMP 攻擊、截取連接攻擊、源路由攻擊、IP地址盜用等。

2 解決計算機(jī)網(wǎng)絡(luò)信息安全問題的措施

2.1 檢測、修補(bǔ)安全漏洞

檢測工作主要包含網(wǎng)絡(luò)漏洞掃描、系統(tǒng)安全掃描、數(shù)據(jù)庫系統(tǒng)安全掃描三個方面。這種掃描檢測有助于網(wǎng)絡(luò)系統(tǒng)管理員對各種安全漏洞及時發(fā)現(xiàn)、修補(bǔ)并將修補(bǔ)結(jié)果進(jìn)行驗證。

（1）對網(wǎng)絡(luò)漏洞的掃描。通常，從網(wǎng)絡(luò)安全邊界點上，網(wǎng)絡(luò)漏洞掃描器會對網(wǎng)絡(luò)內(nèi)部系統(tǒng)實行“黑箱”評估，并且可以從入侵者的角度，利用軟件本身的攻擊手段對網(wǎng)絡(luò)系統(tǒng)可能存在的缺陷進(jìn)行分析并提出修補(bǔ)意見。

（2）對系統(tǒng)安全的掃描。以agent方式配置在關(guān)鍵服務(wù)主機(jī)上的系統(tǒng)安全掃描器，會對常見于系統(tǒng)內(nèi)部的配置錯誤與漏洞進(jìn)行檢查。比如：用戶設(shè)置、路徑設(shè)置、關(guān)鍵文件權(quán)限設(shè)置、密碼設(shè)置、網(wǎng)絡(luò)服務(wù)配置、 應(yīng)用程序的可信性等。甚至能夠找出非法入侵系統(tǒng)的跡象并提出修補(bǔ)建議。

（3）對數(shù)據(jù)庫系統(tǒng)安全的掃描。通過網(wǎng)絡(luò)或從系統(tǒng)內(nèi)部對目標(biāo)主機(jī)上的數(shù)據(jù)庫逐項檢查，利用軟件自身知識庫中的安全弱點，對全部安全漏洞和認(rèn)證、授權(quán)、完整性等方面問題進(jìn)行評估，比如：賬號權(quán)限、用戶設(shè)置、口令密碼期限與強(qiáng)度、配置情況、資源限制、登錄時長、防御能力、補(bǔ)丁與修正程序等，并且不僅能夠就目標(biāo)機(jī)的反應(yīng)確定存在問題與否，還可以自動生成數(shù)據(jù)庫服務(wù)器的安全策略。

2.2 防火墻的應(yīng)用

為了保護(hù)內(nèi)部網(wǎng)絡(luò)免受攻擊，設(shè)置防火墻是切實可行的辦法。其工作原理是在網(wǎng)絡(luò)內(nèi)外或網(wǎng)絡(luò)之間建立安全控制點 通過對數(shù)據(jù)流采取允許、拒絕或重新定向的指令，審計、控制進(jìn)出于網(wǎng)絡(luò)的服務(wù)與訪問。

2.3 病毒防范

主要分為對整個網(wǎng)絡(luò)以及單個計算機(jī)系統(tǒng)的防范。對大的網(wǎng)絡(luò)可采取集中防范統(tǒng)一管理的方式。正確識別并對網(wǎng)絡(luò)進(jìn)行全面的防殺毒處理，從而將病毒完全徹底清除，是網(wǎng)絡(luò)防病毒軟件必須具備的功能。防病毒軟件可以在預(yù)定時間自動下載更新最新升級文件，并分發(fā)到局域網(wǎng)中所有安裝該軟件的終端上，無需人工操作。

2.4 入侵檢測

入侵檢測旨在對惡意與可疑活動進(jìn)行發(fā)現(xiàn)，并及時作出反應(yīng)。一旦檢測出非法入侵，要及時采取修改防火墻、主機(jī)、路由器或者應(yīng)用系統(tǒng)等配置阻斷攻擊、追蹤定位攻擊源等有效措施。

2.5 控制訪問

認(rèn)證系統(tǒng)、訪問控制網(wǎng)關(guān)以及防火墻三方面共同完成網(wǎng)絡(luò)資源的訪問控制任務(wù)。將防火墻與訪問控制網(wǎng)關(guān)設(shè)置在網(wǎng)絡(luò)資源邊界；將認(rèn)證服務(wù)系統(tǒng)設(shè)置在網(wǎng)絡(luò)資源內(nèi)部，可以有效控制內(nèi)部網(wǎng)絡(luò)流量，根據(jù)需要進(jìn)行過濾或放行；可以對網(wǎng)絡(luò)資源使用者進(jìn)行真實身份認(rèn)證，以保證網(wǎng)絡(luò)活動的可追查性；可以利用ACL連接時段的功能對不同用戶允許使用資源的時間區(qū)間進(jìn)行定義。

2.6 明文加密

加密算法是加密技術(shù)的要點。由對稱加密、不對稱加密和不可逆加密三類算法構(gòu)成。是對數(shù)據(jù)保密的最常用方法。

（1）對稱加密算法是應(yīng)用較早、技術(shù)較成熟的加密算法。由數(shù)據(jù)發(fā)信人在對稱加密算法中運用特殊加密算法把明文和加密密鑰進(jìn)行處理，變成加密文件發(fā)送出去。加密文件到達(dá)收信方后，收信方使用相同密鑰及該算法的逆算法解密文件，便可使其恢復(fù)為可讀明文。

（2）不對稱加密算法的使用工具是公鑰和私鑰，這是兩把完全不同但又完全匹配的鑰匙。在對文件進(jìn)行加密解密的過程中，必須共同使用相匹配的公鑰和私鑰。使用公鑰加密明文，使用私鑰解密密文，發(fā)信方只知道收信方的公鑰，收信方掌握自己的私鑰。

（3）不用密鑰參與加密過程，由系統(tǒng)對明文直接經(jīng)過加密算法并處理成加密文件，是不可逆加密算法的特征。加密后的數(shù)據(jù)無法通過別的方式解密，如想解密，只有將明文重新輸入，再次采用同樣不可逆的加密算法，處理成相同的加密密文，并由系統(tǒng)進(jìn)行重新識別，才能完成解密過程。

2.7 存儲備份

對數(shù)據(jù)進(jìn)行存儲備份，是防止數(shù)據(jù)丟失最簡單易行的辦法。因為，雖然基于以上各種措施可以基本保證網(wǎng)絡(luò)的安全，但是，如果是系統(tǒng)遭遇硬件故障、人為破壞 自然災(zāi)害等，這些都是技術(shù)所不能預(yù)防的威脅。所以養(yǎng)成儲存?zhèn)浞輸?shù)據(jù)的習(xí)慣，可以未雨綢繆，將損失降低到最小程度。數(shù)據(jù)存儲備份要從存儲備份硬件、存儲備份軟件、存儲備份策略三個方面著手，從存儲備份的自動化程度 盡量減少人工操作方面進(jìn)行充分考慮來實現(xiàn)產(chǎn)品的選擇。

3 結(jié)束語

綜上所述，網(wǎng)絡(luò)安全問題已成為計算機(jī)網(wǎng)絡(luò)應(yīng)用中的核心問題，如果進(jìn)行科學(xué)的管理維護(hù)、行之有效的安全應(yīng)對策略、嚴(yán)格的保密措施、并且提高網(wǎng)絡(luò)管理素質(zhì)，多方面齊頭并進(jìn)，對計算機(jī)網(wǎng)絡(luò)提供足夠的安全服務(wù)是不難做到的，這也是計算機(jī)網(wǎng)絡(luò)得以全球普及化的重要的技術(shù)保障。

[1]陳健瑜.計算機(jī)網(wǎng)絡(luò)安全的分析與防范[J].佳木斯教育學(xué)院學(xué)報.2010(05)

[2]張堯.計算機(jī)網(wǎng)絡(luò)安全技術(shù)與分析[J].信息與電腦(理論版).2010(05)

[3]李瑤,劉德強(qiáng).網(wǎng)絡(luò)安全現(xiàn)狀與防范策略研究[J].現(xiàn)代商貿(mào)工業(yè).2010(09)

[4]賀新.計算機(jī)網(wǎng)絡(luò)安全技術(shù)的初探[J].科技創(chuàng)新導(dǎo)報.2010(06)

[5]周喆.計算機(jī)網(wǎng)絡(luò)安全的防范策略分析[J].電腦知識與技術(shù).2009(05)

[6]宋舉.計算機(jī)網(wǎng)絡(luò)安全防范措施的分析[J].今日科苑.2008(24)

[7]陳力.網(wǎng)絡(luò)信息安全與防護(hù)[J].電腦知識與技術(shù).2008(30)

[8]王輝.計算機(jī)網(wǎng)絡(luò)信息安全面臨的問題和對策[J].網(wǎng)絡(luò)與信息.2008(06)

[9]吳勝光.計算機(jī)網(wǎng)絡(luò)信息安全及防范技術(shù)[J].電腦編程技巧與維護(hù).2009(08)

[10]馬丹.淺談計算機(jī)網(wǎng)絡(luò)信息安全及其防護(hù)策略[J].科技創(chuàng)新導(dǎo)報.2012(05)