張 原
(國家食品藥品監(jiān)督管理總局信息中心, 北京,100053)
近年來,計算機(jī)網(wǎng)絡(luò)已經(jīng)成為人們生活中不可或缺的應(yīng)用工具。然而,隨著網(wǎng)絡(luò)信息資源的日益發(fā)展和推廣,網(wǎng)絡(luò)資源開放與共享的需求也日益增加,隨之而來的信息安全問題也成為困擾人們的一大難題。病毒、黑客、網(wǎng)絡(luò)犯罪等等關(guān)于網(wǎng)絡(luò)安全的事故層出不窮,它往往導(dǎo)致系統(tǒng)癱瘓、經(jīng)濟(jì)損失、機(jī)密被竊、隱私暴露等后果,給人們的社會生活以及私人生活造成不可估量的損失與困擾。由此可見,在計算機(jī)網(wǎng)絡(luò)發(fā)展日新月異的今天,計算機(jī)網(wǎng)絡(luò)安全問題需要我們進(jìn)行長期地探索與研究。
很多環(huán)境因素可以對計算機(jī)網(wǎng)絡(luò)產(chǎn)生不利影響。主要分為兩個方面,自然環(huán)境因素與社會環(huán)境因素。計算機(jī)網(wǎng)絡(luò)傳輸途徑主要是通過有線鏈路和無線電波將不同地域的計算機(jī)或終端連接起來,而依靠這兩種信息傳送方式,就必然受到自然環(huán)境因素與社會環(huán)境因素的直接影響。自然環(huán)境因素包括:不適宜的溫濕度、塵埃、地震、臺風(fēng)、火災(zāi)、事故等等。比如,強(qiáng)電以及磁場會將正在傳輸中的數(shù)據(jù)信息破壞,強(qiáng)雷電會通過電纜傳導(dǎo),損壞正在工作中的計算機(jī)網(wǎng)絡(luò),導(dǎo)致主板破壞、網(wǎng)絡(luò)癱瘓等后果;社會環(huán)境因素是指:人為惡意窺伺、截取、干擾、破壞計算機(jī)網(wǎng)絡(luò)信息,并給網(wǎng)絡(luò)造成人為破壞并帶來重大損失的不良行為。這往往來源于不良的社會風(fēng)氣、網(wǎng)絡(luò)管理法不健全等人為因素導(dǎo)致。
軟件共享、硬件共享、數(shù)據(jù)共享、終端與服務(wù)器之間共享、終端與終端之間共享等,這些共享總體構(gòu)成了計算機(jī)網(wǎng)絡(luò)的資源共享。這種資源共享在為廣大用戶提供極大便利的同時,也為非法用戶惡意竊取、破壞網(wǎng)絡(luò)信息創(chuàng)造了便利條件。資源共享造成的泄密和破壞主要原因有三:一種原因是非法用戶通過數(shù)據(jù)終端進(jìn)行的非法瀏覽以及非法修改;其次,當(dāng)硬件或者軟件發(fā)生故障進(jìn)行維修時造成的泄密;最后,因為絕大多數(shù)的共享資源具有間隔距離長的特點,在時間與空間上,就為惡意竊取信息的行為提供了便利條件和機(jī)會。
因為,計算機(jī)網(wǎng)絡(luò)具有能夠在多個終端與結(jié)點接收信息數(shù)據(jù)的特點,這就為網(wǎng)絡(luò)病毒的入侵感染造成了可乘之機(jī)。計算機(jī)一旦感染病毒,就會在網(wǎng)絡(luò)內(nèi)呈指數(shù)復(fù)制、增長并蔓延到各個終端與結(jié)點,從而造成網(wǎng)絡(luò)癱瘓、數(shù)據(jù)破壞或丟失。
因為需要基于數(shù)據(jù)通信來交換信息,而這些信息的傳輸載體通常是是物理線路、無線電波、電子設(shè)備等,使得計算機(jī)網(wǎng)絡(luò)的通信傳輸信息很容易遭到竊取和破壞,如搭線竊聽、輻射等等。
因為計算機(jī)系統(tǒng)的安全級別不同導(dǎo)致它的防護(hù)級別各有不同。比如TCSEC(Trusted Computer System Evaluation Criteria)標(biāo)準(zhǔn)所描述的D級,基本沒有安全防護(hù)措施,所以這種計算機(jī)系統(tǒng)只能作為一般的桌面系統(tǒng)來使用,而不能用于安全性能要求比較高的操作系統(tǒng)。另外,網(wǎng)絡(luò)系統(tǒng)也可能因為硬件或者軟件故障停止運行、操作失誤等原因被非法入侵。通常,操作系統(tǒng)中的安全問題主要由:端口設(shè)置、系統(tǒng)賬戶管理、系統(tǒng)配置、系統(tǒng)安全策略設(shè)置、系統(tǒng)訪問控制策略、系統(tǒng)服務(wù)開設(shè)、系統(tǒng)安全日志設(shè)置等方面構(gòu)成。
計算機(jī)網(wǎng)絡(luò)的日常管理與維護(hù)的好與壞,對計算機(jī)網(wǎng)絡(luò)系統(tǒng)能否健康運行有著最直接的影響。很多設(shè)備損壞、信息泄露等狀況的發(fā)生,都來源于對網(wǎng)絡(luò)系統(tǒng)的不當(dāng)管理與疏漏管理。
由于設(shè)計缺陷,部分網(wǎng)絡(luò)應(yīng)用程序會發(fā)生網(wǎng)絡(luò)安全隱患。例如緩沖區(qū)溢出攻擊。當(dāng)應(yīng)用程序在接收參數(shù)緩沖區(qū)設(shè)置時,限制與檢查不夠周密,通過破壞程序的堆棧,使程序轉(zhuǎn)入預(yù)先植入的攻擊代碼,令其以一定權(quán)限運行在緩沖區(qū)內(nèi)因?qū)懗銎溟L度的內(nèi)容而溢出緩沖區(qū)的程序,得到攻擊主機(jī)控制權(quán)的目的,進(jìn)而攻擊系統(tǒng)。這種攻擊占所有系統(tǒng)攻擊總數(shù)的 80%以上。由于部分網(wǎng)絡(luò)用戶缺乏安全防范措施,使用不被信任的軟件,導(dǎo)致大量存在于網(wǎng)絡(luò)中的惡意代碼通過E-mail、瀏覽器或FTP 等方式進(jìn)行傳播,不僅消耗網(wǎng)絡(luò)資源,還在目標(biāo)機(jī)中設(shè)置后門等。
TCP/IP協(xié)議族是目前被廣泛使用于全球的協(xié)議族,也是Intemet 中的關(guān)鍵協(xié)議。因為在設(shè)計的初始階段,沒有將安全方面的因素充分考慮進(jìn)去,導(dǎo)致現(xiàn)在IP網(wǎng)絡(luò)安全問題的先天缺陷。表現(xiàn)比較突出的有:Dos(Denial of Service)攻擊、DDOS(Distribute Denial of Service)攻 擊、SYN--FLOOD攻 擊、ICMP 攻擊、截取連接攻擊、源路由攻擊、IP地址盜用等。
檢測工作主要包含網(wǎng)絡(luò)漏洞掃描、系統(tǒng)安全掃描、數(shù)據(jù)庫系統(tǒng)安全掃描三個方面。這種掃描檢測有助于網(wǎng)絡(luò)系統(tǒng)管理員對各種安全漏洞及時發(fā)現(xiàn)、修補(bǔ)并將修補(bǔ)結(jié)果進(jìn)行驗證。
(1)對網(wǎng)絡(luò)漏洞的掃描。通常,從網(wǎng)絡(luò)安全邊界點上,網(wǎng)絡(luò)漏洞掃描器會對網(wǎng)絡(luò)內(nèi)部系統(tǒng)實行“黑箱”評估,并且可以從入侵者的角度,利用軟件本身的攻擊手段對網(wǎng)絡(luò)系統(tǒng)可能存在的缺陷進(jìn)行分析并提出修補(bǔ)意見。
(2)對系統(tǒng)安全的掃描。以agent方式配置在關(guān)鍵服務(wù)主機(jī)上的系統(tǒng)安全掃描器,會對常見于系統(tǒng)內(nèi)部的配置錯誤與漏洞進(jìn)行檢查。比如:用戶設(shè)置、路徑設(shè)置、關(guān)鍵文件權(quán)限設(shè)置、密碼設(shè)置、網(wǎng)絡(luò)服務(wù)配置、 應(yīng)用程序的可信性等。甚至能夠找出非法入侵系統(tǒng)的跡象并提出修補(bǔ)建議。
(3)對數(shù)據(jù)庫系統(tǒng)安全的掃描。通過網(wǎng)絡(luò)或從系統(tǒng)內(nèi)部對目標(biāo)主機(jī)上的數(shù)據(jù)庫逐項檢查,利用軟件自身知識庫中的安全弱點,對全部安全漏洞和認(rèn)證、授權(quán)、完整性等方面問題進(jìn)行評估,比如:賬號權(quán)限、用戶設(shè)置、口令密碼期限與強(qiáng)度、配置情況、資源限制、登錄時長、防御能力、補(bǔ)丁與修正程序等,并且不僅能夠就目標(biāo)機(jī)的反應(yīng)確定存在問題與否,還可以自動生成數(shù)據(jù)庫服務(wù)器的安全策略。
為了保護(hù)內(nèi)部網(wǎng)絡(luò)免受攻擊,設(shè)置防火墻是切實可行的辦法。其工作原理是在網(wǎng)絡(luò)內(nèi)外或網(wǎng)絡(luò)之間建立安全控制點 通過對數(shù)據(jù)流采取允許、拒絕或重新定向的指令,審計、控制進(jìn)出于網(wǎng)絡(luò)的服務(wù)與訪問。
主要分為對整個網(wǎng)絡(luò)以及單個計算機(jī)系統(tǒng)的防范。對大的網(wǎng)絡(luò)可采取集中防范統(tǒng)一管理的方式。正確識別并對網(wǎng)絡(luò)進(jìn)行全面的防殺毒處理,從而將病毒完全徹底清除,是網(wǎng)絡(luò)防病毒軟件必須具備的功能。防病毒軟件可以在預(yù)定時間自動下載更新最新升級文件,并分發(fā)到局域網(wǎng)中所有安裝該軟件的終端上,無需人工操作。
入侵檢測旨在對惡意與可疑活動進(jìn)行發(fā)現(xiàn),并及時作出反應(yīng)。一旦檢測出非法入侵,要及時采取修改防火墻、主機(jī)、路由器或者應(yīng)用系統(tǒng)等配置阻斷攻擊、追蹤定位攻擊源等有效措施。
認(rèn)證系統(tǒng)、訪問控制網(wǎng)關(guān)以及防火墻三方面共同完成網(wǎng)絡(luò)資源的訪問控制任務(wù)。將防火墻與訪問控制網(wǎng)關(guān)設(shè)置在網(wǎng)絡(luò)資源邊界;將認(rèn)證服務(wù)系統(tǒng)設(shè)置在網(wǎng)絡(luò)資源內(nèi)部,可以有效控制內(nèi)部網(wǎng)絡(luò)流量,根據(jù)需要進(jìn)行過濾或放行;可以對網(wǎng)絡(luò)資源使用者進(jìn)行真實身份認(rèn)證,以保證網(wǎng)絡(luò)活動的可追查性;可以利用ACL連接時段的功能對不同用戶允許使用資源的時間區(qū)間進(jìn)行定義。
加密算法是加密技術(shù)的要點。由對稱加密、不對稱加密和不可逆加密三類算法構(gòu)成。是對數(shù)據(jù)保密的最常用方法。
(1)對稱加密算法是應(yīng)用較早、技術(shù)較成熟的加密算法。由數(shù)據(jù)發(fā)信人在對稱加密算法中運用特殊加密算法把明文和加密密鑰進(jìn)行處理,變成加密文件發(fā)送出去。加密文件到達(dá)收信方后,收信方使用相同密鑰及該算法的逆算法解密文件,便可使其恢復(fù)為可讀明文。
(2)不對稱加密算法的使用工具是公鑰和私鑰,這是兩把完全不同但又完全匹配的鑰匙。在對文件進(jìn)行加密解密的過程中,必須共同使用相匹配的公鑰和私鑰。使用公鑰加密明文,使用私鑰解密密文,發(fā)信方只知道收信方的公鑰,收信方掌握自己的私鑰。
(3)不用密鑰參與加密過程,由系統(tǒng)對明文直接經(jīng)過加密算法并處理成加密文件,是不可逆加密算法的特征。加密后的數(shù)據(jù)無法通過別的方式解密,如想解密,只有將明文重新輸入,再次采用同樣不可逆的加密算法,處理成相同的加密密文,并由系統(tǒng)進(jìn)行重新識別,才能完成解密過程。
對數(shù)據(jù)進(jìn)行存儲備份,是防止數(shù)據(jù)丟失最簡單易行的辦法。因為,雖然基于以上各種措施可以基本保證網(wǎng)絡(luò)的安全,但是,如果是系統(tǒng)遭遇硬件故障、人為破壞 自然災(zāi)害等,這些都是技術(shù)所不能預(yù)防的威脅。所以養(yǎng)成儲存?zhèn)浞輸?shù)據(jù)的習(xí)慣,可以未雨綢繆,將損失降低到最小程度。數(shù)據(jù)存儲備份要從存儲備份硬件、存儲備份軟件、存儲備份策略三個方面著手,從存儲備份的自動化程度 盡量減少人工操作方面進(jìn)行充分考慮來實現(xiàn)產(chǎn)品的選擇。
綜上所述,網(wǎng)絡(luò)安全問題已成為計算機(jī)網(wǎng)絡(luò)應(yīng)用中的核心問題,如果進(jìn)行科學(xué)的管理維護(hù)、行之有效的安全應(yīng)對策略、嚴(yán)格的保密措施、并且提高網(wǎng)絡(luò)管理素質(zhì),多方面齊頭并進(jìn),對計算機(jī)網(wǎng)絡(luò)提供足夠的安全服務(wù)是不難做到的,這也是計算機(jī)網(wǎng)絡(luò)得以全球普及化的重要的技術(shù)保障。
[1]陳健瑜.計算機(jī)網(wǎng)絡(luò)安全的分析與防范[J].佳木斯教育學(xué)院學(xué)報.2010(05)
[2]張堯.計算機(jī)網(wǎng)絡(luò)安全技術(shù)與分析[J].信息與電腦(理論版).2010(05)
[3]李瑤,劉德強(qiáng).網(wǎng)絡(luò)安全現(xiàn)狀與防范策略研究[J].現(xiàn)代商貿(mào)工業(yè).2010(09)
[4]賀新.計算機(jī)網(wǎng)絡(luò)安全技術(shù)的初探[J].科技創(chuàng)新導(dǎo)報.2010(06)
[5]周喆.計算機(jī)網(wǎng)絡(luò)安全的防范策略分析[J].電腦知識與技術(shù).2009(05)
[6]宋舉.計算機(jī)網(wǎng)絡(luò)安全防范措施的分析[J].今日科苑.2008(24)
[7]陳力.網(wǎng)絡(luò)信息安全與防護(hù)[J].電腦知識與技術(shù).2008(30)
[8]王輝.計算機(jī)網(wǎng)絡(luò)信息安全面臨的問題和對策[J].網(wǎng)絡(luò)與信息.2008(06)
[9]吳勝光.計算機(jī)網(wǎng)絡(luò)信息安全及防范技術(shù)[J].電腦編程技巧與維護(hù).2009(08)
[10]馬丹.淺談計算機(jī)網(wǎng)絡(luò)信息安全及其防護(hù)策略[J].科技創(chuàng)新導(dǎo)報.2012(05)