網(wǎng)絡(luò)安全現(xiàn)狀分析

鄭兆鵬　張祥?！罴衍S　劉劍輝　黃清祿

摘要：計算機(jī)網(wǎng)絡(luò)技術(shù)進(jìn)入21世紀(jì)得到了快速發(fā)展。在政治、軍事、商業(yè)等許多領(lǐng)域運(yùn)用廣泛，隨之而來的是計算機(jī)網(wǎng)絡(luò)安全問題日益突出。因此， 如何確保信息的安全就成為了一個重要課題， 網(wǎng)絡(luò)的安全性也成為了人們重點研究的領(lǐng)域。該文探討了網(wǎng)絡(luò)安全存在的主要威脅以及幾種目前主要網(wǎng)絡(luò)安全技術(shù)， 并提出了實現(xiàn)網(wǎng)絡(luò)安全的相應(yīng)對策。

關(guān)鍵詞：網(wǎng)絡(luò)安全； 防火墻； 入侵檢測； VPN

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2016）30-0042-03

Network Security Situation Analysis

ZHENG zhao-peng；ZHANG Xiang-fu；YANG Jia-yue；LIU Jian-hui；HUANG Qing-lu

（The Chinese People's Liberation Army Military Region of Fujian Province，F(xiàn)uzhou 350001， China）

Abstract： The computer network technology has enjoyed a rapid development in the 21st century. With the extensive application of this technology in the politics， military， commerce and other fields， the security issues of computer network information have become increasingly prominent. Therefore， how to guarantee the security of the network has become an important issue to talk. And also， the security of the network has become a significant domain for people to research. In this thesis， some main threats of network security and some security technologies will be discussed. Besides， several solutions will be proposed as well.

Key words：network security； firewall； intrusion detection； VPN

1 引言

網(wǎng)絡(luò)設(shè)計最初只考慮信息交流的開放性與便捷性，并未對信息的安全問題進(jìn)行規(guī)劃，隨著通信技術(shù)和計算機(jī)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)安全技術(shù)與網(wǎng)絡(luò)攻擊手段兩者在“攻防”過程中交替提升。隨著網(wǎng)絡(luò)信息安全問題的日益加劇，網(wǎng)絡(luò)安全成為了網(wǎng)絡(luò)中的一項棘手問題，連接到互聯(lián)網(wǎng)中的計算機(jī)隨時都有可能遭受到各種網(wǎng)絡(luò)攻擊，從而引發(fā)各類安全問題[1]。

2 網(wǎng)絡(luò)安全現(xiàn)狀

2.1 網(wǎng)絡(luò)安全的概念

ISO（國家標(biāo)準(zhǔn)化組織）將“網(wǎng)絡(luò)安全”定義為： “網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷”。網(wǎng)絡(luò)安全包括邏輯安全和物理安全兩方面，邏輯安全是指我們在日常生活中所提到的信息安全問題，在具體處理過程中需要做好相應(yīng)的保護(hù)，確保信息的完整性、保密性、可靠性。物理安全是指計算機(jī)的軟件、硬件、數(shù)據(jù)都能夠得到全面保護(hù)，不會因為蓄意或者偶然情況而遭到外界因素的破壞、泄漏、篡改，從而確保計算機(jī)系統(tǒng)持續(xù)穩(wěn)定運(yùn)行。

2.2 網(wǎng)絡(luò)安全面臨的威脅

（1）黑客攻擊

計算機(jī)的快速發(fā)展，“培養(yǎng)”了大批的黑客，并且出現(xiàn)了大量的黑客網(wǎng)站，據(jù)不完全統(tǒng)計，目前世界上的黑客網(wǎng)站已經(jīng)超過20萬個，這些網(wǎng)站主要介紹系統(tǒng)存在的一些漏洞，以及一些攻擊軟件的使用方法，這使站點和系統(tǒng)在運(yùn)行過程中容易遭受攻擊。尤其是在現(xiàn)階段，還缺少有效的跟蹤手段對網(wǎng)絡(luò)犯罪進(jìn)行抓捕，致使部分黑客在對網(wǎng)絡(luò)進(jìn)行攻擊后還能“全身而退”，黑客攻擊是目前對網(wǎng)絡(luò)安全的最大威脅。報統(tǒng)計，從2015年1月到12月，共有各類網(wǎng)站安全漏洞37943個，涉及網(wǎng)站26370個。其中高危漏洞占比就達(dá)70%[2]。

（2）管理欠缺

用戶、企業(yè)、機(jī)構(gòu)在應(yīng)用網(wǎng)絡(luò)系統(tǒng)過程中，要想少受攻擊，不受攻擊，就必要加強(qiáng)對網(wǎng)絡(luò)系統(tǒng)的嚴(yán)格管理。而從實際情況來看，許多用戶、企業(yè)、機(jī)構(gòu)都疏忽了對系統(tǒng)或網(wǎng)站的管理。相關(guān)統(tǒng)計結(jié)果顯示，在美國超過90%以上的IT企業(yè)在正常運(yùn)營過程中都沒有針對有可能遭受的黑客攻擊進(jìn)行的準(zhǔn)備工作，而且超過75%的網(wǎng)站在運(yùn)行過程中一旦遭遇黑客攻擊，將會處于癱瘓狀態(tài)，企業(yè)網(wǎng)上的各種信息都會在黑客的攻擊下丟失，這將會導(dǎo)致企業(yè)遭受巨大的經(jīng)濟(jì)損失。

（3）網(wǎng)絡(luò)缺陷

互聯(lián)網(wǎng)信息開放性和共享性導(dǎo)致網(wǎng)上信息的安全性較差，而在TCP / IP協(xié)議族中缺少安全機(jī)制，在最初設(shè)計互聯(lián)網(wǎng)時，不會因為局部出現(xiàn)故障，而終止信息傳遞，對安全問題的考慮基本為零，因此，設(shè)計TCP / IP協(xié)議族最初就存在安全隱患。

2.3 軟件漏洞或“后門”[3][4]

計算機(jī)技術(shù)的快速發(fā)展，使軟件系統(tǒng)規(guī)模得到了進(jìn)一步擴(kuò)大，這必然導(dǎo)致系統(tǒng)中存在漏洞或“后門”的情況。例如，我們常用的UNIX或者Windows操作系統(tǒng)，雖然系統(tǒng)已經(jīng)比較成熟，但是還是會存在安全漏洞，眾多的軟件、瀏覽器、服務(wù)器等在長期的使用過程中都被發(fā)現(xiàn)了存在漏洞。因此利用軟件的漏洞攻擊也是網(wǎng)絡(luò)安全的主要威脅之一。

3 網(wǎng)絡(luò)安全的主要技術(shù)

3.1 認(rèn)證服務(wù)

目前常用的認(rèn)證方式有以下兩種：第一種單方認(rèn)證，對一方的標(biāo)識進(jìn)行檢查。第二種相互認(rèn)證，通信雙方對對方的身份進(jìn)行相互檢查。從認(rèn)證情形上劃分，又可將認(rèn)證分為數(shù)據(jù)起源認(rèn)證和實體認(rèn)證。在具體認(rèn)證過程中，通過對合法用戶的認(rèn)證，可以有效避免非法用戶對內(nèi)部信息的訪問與盜取，同時通過對認(rèn)證機(jī)制的應(yīng)用，還可以有效的避免合法用戶查看其無權(quán)訪問的信息，主要包括以下幾種方式：

（1）身份認(rèn)證

用戶請求對系統(tǒng)資源提出訪問請求時，需要對用戶的合法身份進(jìn)行訪問，這也就是人們常說的身份認(rèn)證。目前，在身份認(rèn)證上常用的方式為用戶名和密碼，該方式是一種較為簡單的認(rèn)證識別，但可以有效地阻止不具有權(quán)限的人對系統(tǒng)資源的非法訪問。

（2）報文認(rèn)證

報文認(rèn)證主要通過驗證通信內(nèi)容，從而確保報文能夠依據(jù)正確的方式進(jìn)行發(fā)送，報文通過正確的方式傳遞給接收方，并且在傳遞過程中不會被非法修改。

（3）訪問授權(quán)

根據(jù)在各種預(yù)定義的組中用戶的身份標(biāo)識及其成員身份來限制訪問某些信息項或某些控制的機(jī)制，并且通常通過向用戶和組授予訪問特定對象的權(quán)限來實現(xiàn)。

（4）數(shù)字簽名

數(shù)字簽名是一種使用加密認(rèn)證信息的方法， 其安全性和有用性主要取決于用戶私匙的保護(hù)和安全的函數(shù)。數(shù)字簽名技術(shù)是基于加密技術(shù)的基礎(chǔ)上發(fā)展而來的， 主要有ElGamal、Fiat-Shamir、Guillou- Quisquarter、Schnorr、Ong-Schnorr-Shamir、Des/DSA，橢圓曲線數(shù)字簽名算法和有限自動機(jī)數(shù)字簽名算法等。

3.2 數(shù)據(jù)加密

加密就是通過一種方式使信息轉(zhuǎn)化成偽代碼， 從而使未被授權(quán)的人理解不了其中的信息。主要存在兩種主要的加密類型： 私匙加密和公匙加密。

（1）私匙加密

私匙加密又稱對稱密匙加密， 因為用來加密信息的密匙就是解密信息所使用的密匙。私匙加密為信息提供了進(jìn)一步的緊密性， 它不提供認(rèn)證。這種加密方法的優(yōu)點是速度很快， 很容易在硬件和軟件中實現(xiàn)。

（2）公匙加密

公匙加密使用兩個密匙， 一個用于加密信息， 另一個用于解密信息。公匙加密系統(tǒng)存在計算密集的缺點， 因而比私匙加密系統(tǒng)的速度慢得多， 不過若將兩者結(jié)合起來， 就可以得到一個更復(fù)雜的系統(tǒng)。

以非對稱加密為例，其加密過程如下：明文——加密（公開鑰匙）——密文——解密（秘密鑰匙）——明文。非對稱加密的代表性算法有：背包算法：D-H、RSA算法等。

3.3 防火墻技術(shù)[5][6]

防火墻是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問。它是一種計算機(jī)硬件和軟件的結(jié)合，使Internet與Internet之間建立起一個安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入的一項技術(shù)手段。主要包括以下幾種類型的防火墻技術(shù)：

（1）包過濾型

該類型的產(chǎn)品是防火墻中最初級的一種，包過濾技術(shù)在具體應(yīng)用中體現(xiàn)出的主要優(yōu)點就是簡單實用，并且具有不錯的經(jīng)濟(jì)效益。如果將該技術(shù)應(yīng)用簡單的環(huán)境中，可以通過較小的代價，確保系統(tǒng)運(yùn)行的安全性和可靠性。

（2）網(wǎng)絡(luò)地址轉(zhuǎn)化—— NAT

該方式是對IP地址進(jìn)行處理，使IP地址發(fā)生轉(zhuǎn)變，這一轉(zhuǎn)變過程對于用戶來說是透明的，自動的，用戶不需要自行設(shè)置，只需要通過常規(guī)操作便可實現(xiàn)。

（3）代理型

代理型防火墻位于客戶和服務(wù)器兩者之間，可以有效地阻擋客戶與服務(wù)器發(fā)生的交流。該類型的防火墻在具體應(yīng)用中的主要優(yōu)點是其安全性較高，并且能夠?qū)Σ煌膽?yīng)用層進(jìn)行掃面與偵測，對防止病毒的入侵起到的效果十分明顯，但是其也存在明顯的缺點，即會影響系統(tǒng)的整體性，并且會使系統(tǒng)管理變得復(fù)雜。

3.4 入侵檢測系統(tǒng)[7][8]

入侵檢測系統(tǒng)（intrusion detection system，簡稱“IDS”）是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處在于，IDS是一種積極主動的安全防護(hù)技術(shù)。入侵檢測技術(shù)未來的發(fā)展趨勢主要有分布式入侵檢測、智能化入侵檢測和全面的安全防御三個方向。

3.5 虛擬專用網(wǎng)技術(shù)（VPN）

VPN是解決信息安全問題的一項成功技術(shù)課題，VPN技術(shù)就是將專用網(wǎng)絡(luò)搭建在公共網(wǎng)絡(luò)上，通過“加密通道”使數(shù)據(jù)能夠在公共網(wǎng)絡(luò)中傳播。VPN的構(gòu)建目前有兩種機(jī)制，這兩種機(jī)制分別為隧道技術(shù)和路由過濾技術(shù)?，F(xiàn)階段，VPN在保障安全上主要通過隧道技術(shù)（Tunneling）、加解密技術(shù)（Encrypt ion & Decryption）、密匙管理技術(shù)（KeyManagement） 和使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication）實現(xiàn)。通過大量的實際使用經(jīng)驗可以發(fā)現(xiàn)，VPN隧道機(jī)制能夠合理應(yīng)對不同層次的安全服務(wù)，這些安全服務(wù)主要包括對不同強(qiáng)度的源進(jìn)行鑒別，確保數(shù)據(jù)的完整性以及數(shù)據(jù)加密等。

3.6 其他網(wǎng)絡(luò)安全技術(shù)[9]

（1）智能卡技術(shù)和加密技術(shù)兩者十分相近，智能卡實際就是一種在密鑰中應(yīng)用的媒體，其由授權(quán)用戶持有，并且用戶賦予其一個密碼，該密碼的內(nèi)容與網(wǎng)絡(luò)服務(wù)器上所注冊的密碼內(nèi)容完全一致。需要注意的是，智能卡技術(shù)需要與身份驗證聯(lián)合使用。

（2）安全脆弱性掃描技術(shù)， 針對網(wǎng)絡(luò)分析目前系統(tǒng)采用的防御手段和系統(tǒng)設(shè)置，準(zhǔn)確指出系統(tǒng)存在或者隱藏的漏洞，對系統(tǒng)進(jìn)行合理改進(jìn)，提升系統(tǒng)預(yù)防網(wǎng)絡(luò)入侵的一種技術(shù)。

（3）網(wǎng)絡(luò)數(shù)據(jù)存儲、備份及容災(zāi)規(guī)劃技術(shù)， 針對系統(tǒng)在運(yùn)行過程中一旦遭遇入侵或破壞，系統(tǒng)中的資料可能會發(fā)生丟失，此時通過合理的規(guī)劃快速恢復(fù)丟失的數(shù)據(jù)，在短時間內(nèi)使系統(tǒng)能夠得以恢復(fù)，重新運(yùn)行。

4 提高網(wǎng)絡(luò)安全的措施[10][11]

4.1 物理安全層面

從安全的物理環(huán)境入手，確保計算機(jī)網(wǎng)絡(luò)系統(tǒng)的可靠性和安全性，主要包括機(jī)房以及其他設(shè)施的合理選擇與重點防護(hù)。在選擇機(jī)房場地環(huán)境上，需要考慮外部環(huán)境的安全性和可靠性，抗電磁干擾等多項內(nèi)容，并且需要加強(qiáng)對入口的管理。在保護(hù)機(jī)房安全方面，需要確保區(qū)域的安全性，在具體操作過程中，主要通過控制物理訪問的方式對用戶是否具有使用權(quán)限進(jìn)行驗證，對其活動范圍進(jìn)行合理限定，同時需要在計算機(jī)系統(tǒng)中心設(shè)備外，設(shè)置多層安全防護(hù)圈。

4.2 技術(shù)安全層面

近幾年，計算機(jī)技術(shù)得到了快速發(fā)展，安全技術(shù)也變得更加成熟，確保了網(wǎng)絡(luò)安全技術(shù)在保證整個網(wǎng)絡(luò)安全上起到良好作用。在技術(shù)層面對計算機(jī)網(wǎng)絡(luò)安全進(jìn)行保護(hù)主要包括數(shù)據(jù)加密技術(shù)、數(shù)據(jù)冗余備份技術(shù)、防火墻技術(shù)、入侵檢測技術(shù)等（具體內(nèi)容在本文第三部分已詳述，此處略）。

4.3 管理安全層面

在有物理安全和技術(shù)安全保證的基礎(chǔ)下，還必須加強(qiáng)對計算機(jī)網(wǎng)絡(luò)安全的科學(xué)管理，不斷提升計算機(jī)安全保護(hù)相關(guān)法律的執(zhí)行力度，只有將物理安全、技術(shù)安全、管理安全三方面合理的結(jié)合在一起，才能確保計算機(jī)網(wǎng)絡(luò)安全能夠達(dá)到一個理想的狀態(tài)。管理安全層面的主要內(nèi)容包括加強(qiáng)對計算機(jī)用戶的安全教育、構(gòu)建安全管理機(jī)構(gòu)、提高立法與執(zhí)行力度等。目前，我國計算機(jī)網(wǎng)絡(luò)安全的法律法規(guī)主要有計算機(jī)犯罪法、計算機(jī)安全法、數(shù)據(jù)保護(hù)法、保密法等多項內(nèi)容，各項法律對計算機(jī)用戶和系統(tǒng)管理人員的義務(wù)和權(quán)利進(jìn)行了明確規(guī)定。與計算機(jī)使用相關(guān)的人員，自覺抵制一切與網(wǎng)絡(luò)安全相關(guān)的違法行為。

參考文獻(xiàn)：

[1] 王寶會， 王大印， 范開菊. 計算機(jī)信息安全[M]. 北京： 電子工業(yè)出版社， 2011（2）.

[2] http：//j.news.163.com/docs/10/2015122408/BBJ9MB17042400 J9.html？101

[3] 張繼山， 房丙午. 計算機(jī)網(wǎng)絡(luò)技術(shù)[M]. 北京： 中國鐵道出版社. 2015： 199-200.

[4] 劉敏. 網(wǎng)絡(luò)安全技術(shù)綜述[J]. 科技創(chuàng)新導(dǎo)報， 2014， 20（25）.

[5] 曾勍煒， 付愛英. 防火墻技術(shù)標(biāo)準(zhǔn)教材程[M]. 北京： 北京理工大學(xué)出版社， 2013.

[6] 孫厚釗. 網(wǎng)絡(luò)信息資源的信息安全[J]. 計算機(jī)與網(wǎng)絡(luò)， 2012（9）.

[7] 胡朝清. 計算機(jī)網(wǎng)絡(luò)安全存在的問題及對策[J]. 德宏師范高等?？茖W(xué)校學(xué)報，2011，20（2）：95-96.

[8] 劉從軍， 馬駿. 入侵檢測系統(tǒng)研究與探討[D]. 微計算機(jī)信息， 2009（24）.

[9] 徐小梅. 基于馬爾可夫鏈模型的異常入侵檢測方法研究[D]. 蘭州交通大學(xué)， 2013.

[10] 穆楊. 淺談計算機(jī)網(wǎng)絡(luò)安全的影響因素與應(yīng)對措施[J].黑龍江科技信息，2011，30：98.

[11] 朱彤. 計算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀及對策[J].硅谷，2011，24：184.