計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題及其防范措施

摘要：本文闡述了計(jì)算機(jī)網(wǎng)絡(luò)的安全現(xiàn)狀以及目前計(jì)算機(jī)網(wǎng)絡(luò)存在的主要安全問(wèn)題，并就這些安全隱患進(jìn)行了分析，最后探討了針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全隱患的主動(dòng)防范策略。

關(guān)鍵詞：網(wǎng)絡(luò)安全;安全防范;問(wèn)題;防范措施

當(dāng)前，隨著信息化技術(shù)以及網(wǎng)絡(luò)應(yīng)用在全球的日益普及和發(fā)展，社會(huì)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的依賴越來(lái)越大，安全可靠的網(wǎng)絡(luò)空間已經(jīng)成為支撐國(guó)民經(jīng)濟(jì)、關(guān)鍵性基礎(chǔ)設(shè)施以及國(guó)防的支柱。但隨著全球網(wǎng)絡(luò)安全事件的逐年增多，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問(wèn)題，自1988年Morris蠕蟲事件發(fā)生以來(lái)，有關(guān)網(wǎng)絡(luò)安全事件的報(bào)道便不絕于耳，計(jì)算機(jī)應(yīng)急反應(yīng)小組協(xié)調(diào)中心（CERT/CC）處理的安全事故逐年呈爆炸性增長(zhǎng)。據(jù)美國(guó)FBI統(tǒng)計(jì)，全球平均每20秒就發(fā)生一起計(jì)算機(jī)系統(tǒng)被入侵事件，美國(guó)每年因網(wǎng)絡(luò)安全造成的損失高達(dá)170億美元。網(wǎng)絡(luò)安全問(wèn)題已成為世人矚目的社會(huì)問(wèn)題，人們呼吁著網(wǎng)絡(luò)安全。

一、計(jì)算機(jī)網(wǎng)絡(luò)安全中存在的問(wèn)題。

隨著網(wǎng)絡(luò)時(shí)代的來(lái)臨，人們?cè)谙硎苤W(wǎng)絡(luò)帶來(lái)的無(wú)盡的快樂(lè)的同時(shí)，也面臨著越來(lái)越嚴(yán)重和復(fù)雜的網(wǎng)絡(luò)安全威脅和難以規(guī)避的風(fēng)險(xiǎn)。原來(lái)由單個(gè)計(jì)算機(jī)安全事故引起的損害可能傳播到其他系統(tǒng)和主機(jī)，

從而引起大范圍的癱瘓和損失，另外加上缺乏安全控制機(jī)制和對(duì)網(wǎng)絡(luò)安全政策及防護(hù)意識(shí)的認(rèn)識(shí)不足，這些風(fēng)險(xiǎn)正日益加重。常見的威脅主要來(lái)自以下幾個(gè)方面：

1、自然威脅。自然威脅可能來(lái)自與各種自然災(zāi)害、惡劣的場(chǎng)地環(huán)境、電磁輻射和干擾、網(wǎng)絡(luò)設(shè)備的自然老化等。這些無(wú)目的的事件有時(shí)也會(huì)直接或間接地威脅網(wǎng)絡(luò)的安全，影響信息的存儲(chǔ)和交換。

2、非授權(quán)訪問(wèn)。指具有熟練編寫和調(diào)試計(jì)算機(jī)程序的技巧并使用這些技巧來(lái)獲得非法或未授法的網(wǎng)絡(luò)或文件訪問(wèn)，侵入到他方內(nèi)部網(wǎng)的行為。網(wǎng)絡(luò)入侵的目的主要是取得使用系統(tǒng)的存儲(chǔ)權(quán)限、寫權(quán)限以及訪問(wèn)其他存儲(chǔ)內(nèi)容的權(quán)限，或者是作為進(jìn)一步進(jìn)入其他系統(tǒng)的跳板，或者惡意破壞這個(gè)系統(tǒng)，使其毀壞而喪失服務(wù)能力。

3、后門和木馬程序。從最早計(jì)算機(jī)被入侵開始，黑客們就已經(jīng)發(fā)展了“后門”這門技術(shù)，利用這門技術(shù)，他們可以再次進(jìn)入系統(tǒng)。后門的功能主要有：使管理員無(wú)法阻止種植者再次進(jìn)入系統(tǒng);使種植者在系統(tǒng)中不易被發(fā)現(xiàn);使種植者進(jìn)入系統(tǒng)花費(fèi)最少時(shí)間。木馬，又稱為特洛伊木馬，是一類特殊的后門程序，英文叫做“trojian horse”，其名稱取自希臘神話的“特洛伊木馬記”，它是一種基于遠(yuǎn)程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點(diǎn)。木馬里一般有兩個(gè)程序，一個(gè)是服務(wù)器程序，一個(gè)是控制器程序。如果一臺(tái)電腦被安裝了木馬服務(wù)器程序，那么，黑客就可以使用木馬控制器程序進(jìn)入這臺(tái)電腦，通過(guò)命令服務(wù)器程序達(dá)到控制你的電腦的目的。

4、計(jì)算機(jī)病毒。計(jì)算機(jī)病毒指編制或在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能和數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。如常見的蠕蟲病毒，就是以計(jì)算機(jī)為載體，利用操作系統(tǒng)和應(yīng)用程序的漏洞主動(dòng)進(jìn)行攻擊，是一種通過(guò)網(wǎng)絡(luò)傳統(tǒng)的惡性病毒。它具有病毒的一些共性，如傳播性、隱蔽性、破壞性和潛伏性等等，同時(shí)具有自己的一些特征，如不利用文件寄生（有的只存在于內(nèi)存中），對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合等。其他常見的破壞性比較強(qiáng)的病毒有宏病毒、意大利香腸等。

二、計(jì)算機(jī)網(wǎng)絡(luò)安全的防范措施。

1、加強(qiáng)網(wǎng)絡(luò)安全教育和管理。對(duì)工作人員結(jié)合機(jī)房、硬件、軟件、數(shù)據(jù)和網(wǎng)絡(luò)等各個(gè)方面安全問(wèn)題，進(jìn)行安全教育，提高工作人員的保密觀念和責(zé)任心。同時(shí)，要保護(hù)傳輸線路安全。對(duì)于傳輸線路，應(yīng)有露天保護(hù)措施或埋于地下，并要求遠(yuǎn)離各種輻射源，以減少各種輻射引起的數(shù)據(jù)錯(cuò)誤;電纜鋪設(shè)應(yīng)當(dāng)使用金屬導(dǎo)管，以減少各種輻射引起的電磁泄漏和對(duì)發(fā)送線路的干擾。

2、硬件防火墻。防火墻是介于兩個(gè)網(wǎng)絡(luò)之間的設(shè)備，用來(lái)控制兩個(gè)網(wǎng)絡(luò)之間的通信。例如：在 A 網(wǎng)絡(luò)與 B 網(wǎng)絡(luò)之間安裝一臺(tái)防火墻，B 網(wǎng)絡(luò)要訪問(wèn) A 網(wǎng)絡(luò)時(shí)，會(huì)根據(jù)防火墻的規(guī)則表使用相應(yīng)的訪問(wèn)策略，策略包括允許、阻止或報(bào)告。在默認(rèn)的情況下，A 網(wǎng)絡(luò)訪問(wèn) B 網(wǎng)絡(luò)是無(wú)需遵守任何訪問(wèn)策略的，也就是說(shuō)，如果攻擊者在 A 網(wǎng)絡(luò)中，將會(huì)對(duì) A 網(wǎng)絡(luò)的安全產(chǎn)生巨大的威脅。通過(guò)防火策略，可以有效地阻擋外來(lái)的網(wǎng)絡(luò)攻擊和一些病毒的入侵，這就是主動(dòng)防御技術(shù)的最初應(yīng)用。

3、IDS（入侵檢測(cè)系統(tǒng)）。IDS 是為監(jiān)測(cè)內(nèi)網(wǎng)的非法訪問(wèn)而開發(fā)的設(shè)備，根據(jù)入侵檢測(cè)識(shí)別庫(kù)的規(guī)則，判斷網(wǎng)絡(luò)中是否存在非法的訪問(wèn)。管理員通過(guò)分析這些事件，來(lái)對(duì)網(wǎng)絡(luò)的安全狀況進(jìn)行評(píng)估，再采取對(duì)應(yīng)的防護(hù)策略。相對(duì)硬件防火墻而言，IDS 是基于主動(dòng)防御技術(shù)的更高一級(jí)應(yīng)用。

4、IPS（入侵防護(hù)系統(tǒng)）。一般來(lái)說(shuō)，IPS 系統(tǒng)都依靠對(duì)數(shù)據(jù)包的檢測(cè)。IPS 將檢查入網(wǎng)的數(shù)據(jù)包，確定這種數(shù)據(jù)包的真正用途，然后決定是否允許這種數(shù)據(jù)包進(jìn)入你的網(wǎng)絡(luò)。與 IDS 和硬件防火墻相比，IPS 更智能可以通過(guò)分析來(lái)決定是否允許數(shù)據(jù)包通行，這也是主動(dòng)防御技術(shù)的最典型應(yīng)用。

5、殺毒軟件。在病毒越來(lái)越猖狂，破壞力越來(lái)越強(qiáng)大的不利形勢(shì)下，過(guò)于陳舊的模式讓傳統(tǒng)的殺毒軟件已經(jīng)無(wú)法承擔(dān)保護(hù)計(jì)算機(jī)安全的重任。正因?yàn)榇耍瑲⒍拒浖S商才推出了集成了主動(dòng)防御技術(shù)的殺毒軟件，不過(guò)他們的主動(dòng)防御技術(shù)只是對(duì)網(wǎng)頁(yè)、注冊(cè)表、惡意腳本增加了監(jiān)測(cè)功能而已，只能說(shuō)是最初級(jí)的主動(dòng)防御技術(shù)應(yīng)用，距離真正的主動(dòng)防御還有一定的距離。

6、訪問(wèn)與控制。授權(quán)控制不同用戶對(duì)信息資源的訪問(wèn)權(quán)限，即哪些用戶可訪問(wèn)哪些資源以及可訪問(wèn)的用戶各自具有的權(quán)限。對(duì)網(wǎng)絡(luò)的訪問(wèn)與控制進(jìn)行技術(shù)處理是維護(hù)系統(tǒng)運(yùn)行安全、保護(hù)系統(tǒng)資源的一項(xiàng)重要技術(shù)，也是對(duì)付黑客的關(guān)鍵手段。主要技術(shù)手段有加密、鍵盤入口控制、卡片入口控制、生物特征入口、邏輯安全控制。

7、重視備份和恢復(fù)。備份系統(tǒng)應(yīng)該是全方位的、多層次的。首先，要使用硬件設(shè)備來(lái)防止硬件故障;如果由于軟件故障或人為誤操作造成了數(shù)據(jù)的邏輯損壞，則使用軟件方式和手工方式相結(jié)合的方法恢復(fù)系統(tǒng)。這種結(jié)合方式構(gòu)成了對(duì)系統(tǒng)的多級(jí)防護(hù)，不僅能夠有效地防止物理?yè)p壞，還能夠徹底防止邏輯損壞。

總而言之，網(wǎng)絡(luò)安全與網(wǎng)絡(luò)的發(fā)展戚戚相關(guān)。網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的工程，不能僅依靠、殺毒軟件、防火墻、漏洞檢測(cè)等等硬件設(shè)備的防護(hù)，還要意識(shí)到計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個(gè)人機(jī)系統(tǒng)，安全保護(hù)的對(duì)象是計(jì)算機(jī)，而安全保護(hù)的主體則是人，應(yīng)重視對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的硬件產(chǎn)品開發(fā)及軟件研制，建立一個(gè)好的計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)，也應(yīng)注重樹立人的計(jì)算機(jī)安全意識(shí)，才可能防微杜漸。把可能出現(xiàn)的損失降低到最低點(diǎn)，才能生成一個(gè)高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。

參考文獻(xiàn)：

[1]雷震甲.網(wǎng)絡(luò)工程師教程（第三版）[M].清華大學(xué)出版社，2009.

[2]杜煜.計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)（第二版）[M].人民郵電出版社，2006.

[3]張志祥.大學(xué)計(jì)算機(jī)應(yīng)用基礎(chǔ)[M].電子科技大學(xué)出版社，2010.

[4]顧巧論.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].科技出版社，2003.

[5]殷偉.計(jì)算機(jī)安全與病毒防治[M].合肥：安徽科學(xué)技術(shù)出版社，2004.

[6]袁德明，喬月圓.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].北京：電子工業(yè)出版社，2007.

[7]王志海，童新海，沈寒輝.OpenSSL 與網(wǎng)絡(luò)信息安全———基礎(chǔ)、結(jié)構(gòu)和指令[M].北京：清華大學(xué)出版社，2007.

[8]楊青.無(wú)線網(wǎng)絡(luò)安全[M].北京：科學(xué)出版社，2009.