計算機(jī)網(wǎng)絡(luò)安全威脅及對策

◆張偉健 曾世強(qiáng) 李培瑜

（31638部隊 云南 650000）

網(wǎng)絡(luò)安全綜述與趨勢

計算機(jī)網(wǎng)絡(luò)安全威脅及對策

◆張偉健 曾世強(qiáng) 李培瑜

（31638部隊 云南 650000）

隨著信息技術(shù)的發(fā)展，計算機(jī)網(wǎng)絡(luò)被廣泛應(yīng)用，隨之而來的網(wǎng)絡(luò)安全問題日益加劇，網(wǎng)絡(luò)安全形勢非常嚴(yán)峻。本文著重從技術(shù)角度梳理計算機(jī)網(wǎng)絡(luò)安全威脅，并從網(wǎng)絡(luò)安全機(jī)制和網(wǎng)絡(luò)安全技術(shù)等方面分析可用的網(wǎng)絡(luò)安全防護(hù)對策，旨在引起計算機(jī)網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)安全的重視，使其了解網(wǎng)絡(luò)安全威脅的一般樣式，掌握常見的防護(hù)手段。

計算機(jī)網(wǎng)絡(luò)安全；安全威脅；安全機(jī)制；安全技術(shù)

0 前言

計算機(jī)網(wǎng)絡(luò)安全，就是計算機(jī)網(wǎng)絡(luò)上信息的安全[1]。具體來說，計算機(jī)網(wǎng)絡(luò)安全是指計算機(jī)及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不被未授權(quán)的用戶訪問，即計算機(jī)、網(wǎng)絡(luò)系統(tǒng)的軟硬件以及系統(tǒng)中的數(shù)據(jù)應(yīng)受到保護(hù)，不因偶然或者惡意的原因而遭到破壞、更改或者泄露，系統(tǒng)能連續(xù)、可靠、正常地運(yùn)行，確保網(wǎng)絡(luò)服務(wù)不中斷。保障計算機(jī)網(wǎng)絡(luò)的安全，就是要確保網(wǎng)絡(luò)信息在存儲和傳輸過程中的可用性、機(jī)密性、完整性、可靠性和不可抵賴性。

1 計算機(jī)網(wǎng)絡(luò)面臨的安全威脅

計算機(jī)網(wǎng)絡(luò)安全是保障整個系統(tǒng)正常工作，提供多樣化應(yīng)用服務(wù)的基礎(chǔ)，面臨著來自不同層次的各種威脅和挑戰(zhàn)：一是人為的無意失誤，如用戶口令選擇不慎、賬號密碼的轉(zhuǎn)借或者丟失、安全策略配置不當(dāng)?shù)龋欢撬说膼阂夤?，如黑客攻擊和計算機(jī)網(wǎng)絡(luò)犯罪等；三是系統(tǒng)本身存在的“后門”和漏洞[2]。

從技術(shù)角度分析，計算機(jī)網(wǎng)絡(luò)面臨的安全威脅主要包括病毒、木馬、蠕蟲、邏輯炸彈、拒絕服務(wù)攻擊、SQL注入、電子欺騙、僵尸網(wǎng)絡(luò)等[3]。

1.1 病毒

病毒（Computer Virus）是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者破壞數(shù)據(jù)，影響計算機(jī)使用并且能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼。病毒的典型特征是能夠自動運(yùn)行，同時能夠自我復(fù)制并感染傳播，可以說是當(dāng)前計算機(jī)網(wǎng)絡(luò)安全最嚴(yán)重的威脅因素之一。

1.2 木馬

木馬全稱為特洛伊木馬（Trojan Horse），是一種通過端口進(jìn)行通信的程序，類似計算機(jī)遠(yuǎn)程控制。木馬由客戶端和服務(wù)端組成（C/S），目標(biāo)計算機(jī)被安裝服務(wù)端后，隨著計算機(jī)啟動而自動運(yùn)行并在特定端口監(jiān)聽，控制計算機(jī)運(yùn)行客戶端并與之建立連接后就可以對目標(biāo)計算機(jī)進(jìn)行完全控制，危害極大。

1.3 蠕蟲

蠕蟲（Worm）是通過網(wǎng)絡(luò)傳播的惡性病毒，具有病毒的傳播性、隱蔽性、破壞性等共性特征，同時還有多種超越一般病毒的獨有特點。蠕蟲可以只存在于內(nèi)存中而不用文件寄生，能夠自動傳播感染網(wǎng)絡(luò)內(nèi)的其他計算機(jī)，也可以和其他黑客技術(shù)結(jié)合實施更大的破壞。蠕蟲傳播途徑更多，傳播速度更快，危害更大，短時間內(nèi)蔓延全球的WannaCry勒索病毒就是其中的一種。

1.4 邏輯炸彈

邏輯炸彈（Logic Bomb）是指在滿足特定邏輯條件時，實施破壞的計算機(jī)程序，觸發(fā)后能夠造成計算機(jī)不能啟動、數(shù)據(jù)丟失、系統(tǒng)癱瘓，甚至出現(xiàn)物理損壞的假象。邏輯炸彈需要特定條件觸發(fā)，比如一個日期。和病毒相比，它通常不具有感染性，但更強(qiáng)調(diào)破壞作用本身。

1.5 拒絕服務(wù)攻擊

拒絕服務(wù)（Denial of Service，DoS）攻擊是導(dǎo)致合法用戶不能正常訪問網(wǎng)絡(luò)資源的行為。DoS攻擊通過對目標(biāo)主機(jī)特定漏洞的攻擊導(dǎo)致其網(wǎng)絡(luò)癱瘓、系統(tǒng)崩潰從而“拒絕”提供網(wǎng)絡(luò)服務(wù)，被攻擊的目標(biāo)主機(jī)通常是各類網(wǎng)絡(luò)服務(wù)器。分布式拒絕服務(wù)（Distributed Denial of Service，DDoS）攻擊是拒絕服務(wù)攻擊的“升級版”，攻擊者通過控制很多“傀儡主機(jī)”向目標(biāo)主機(jī)發(fā)送大量看似合法的數(shù)據(jù)包，造成網(wǎng)絡(luò)堵塞或者服務(wù)器資源耗盡，從而實現(xiàn)“拒絕服務(wù)”。當(dāng)前常見的DDoS攻擊有SYN/ACK Flood攻擊、TCP全連接攻擊和Script腳本攻擊等。

1.6 SQL注入

SQL注入（SQL Injection）就是攻擊者通過構(gòu)建特殊的輸入作為參數(shù)傳入Web應(yīng)用程序，而這些輸入大都是SQL語法里的一些組合，通過執(zhí)行這些SQL語句進(jìn)而執(zhí)行攻擊者的惡意代碼。通過SQL注入，攻擊者可以獲取一些敏感的信息，甚至上傳木馬進(jìn)而控制整個服務(wù)器。

1.7 電子欺騙

電子欺騙是利用目標(biāo)網(wǎng)絡(luò)或計算機(jī)之間的信任關(guān)系來進(jìn)行非授權(quán)訪問的一種攻擊手段。攻擊者通過多種手段冒充合法用戶，從而實現(xiàn)非授權(quán)的訪問。常見的電子欺騙方式有Web欺騙、IP欺騙、ARP欺騙、DNS欺騙、電子郵件欺騙等。

1.8 僵尸網(wǎng)絡(luò)

僵尸網(wǎng)絡(luò)（Botnet）是指攻擊者通過傳播僵尸程序以控制大量計算機(jī)，并通過控制服務(wù)器間接并集中控制這些被感染的計算機(jī)組成的網(wǎng)絡(luò)。僵尸程序通常是攻擊者專門編寫的類似木馬的控制程序，通過病毒、木馬、蠕蟲等多種方式進(jìn)行傳播，使攻擊者能夠控制受感染的計算機(jī)。利用僵尸網(wǎng)絡(luò)，攻擊者可以遙控網(wǎng)絡(luò)中的大量計算機(jī)進(jìn)行攻擊活動，可以實現(xiàn)信息竊取、分布式拒絕服務(wù)、海量垃圾郵件等攻擊行為。

2 保障計算機(jī)網(wǎng)絡(luò)安全的對策

針對復(fù)雜多變的網(wǎng)絡(luò)安全威脅，可以從技術(shù)、應(yīng)用、法律和管理等不同角度研究保障計算機(jī)網(wǎng)絡(luò)安全的對策，本文主要從技術(shù)角度對網(wǎng)絡(luò)安全機(jī)制和網(wǎng)絡(luò)安全技術(shù)兩個方面進(jìn)行討論。

2.1 網(wǎng)絡(luò)安全機(jī)制

針對不同層次的安全需求，可以通過設(shè)計安全協(xié)議、身份認(rèn)證、訪問控制、構(gòu)建攻擊防護(hù)和隱私保護(hù)等安全機(jī)制來實現(xiàn)網(wǎng)絡(luò)環(huán)境下信息的安全采集、傳輸、存儲和服務(wù)[4]。

2.1.1 安全協(xié)議

安全協(xié)議（Security Protocol）是建立在密碼體制基礎(chǔ)上的交互通信協(xié)議，運(yùn)用密碼算法和協(xié)議邏輯來實現(xiàn)認(rèn)證和密鑰分配等目標(biāo)。網(wǎng)絡(luò)依托協(xié)議構(gòu)建起來，安全協(xié)議貫穿于網(wǎng)絡(luò)的各層，是網(wǎng)絡(luò)安全的基礎(chǔ)。

2.1.2 身份認(rèn)證

身份認(rèn)證（Identity Authentication）是系統(tǒng)確認(rèn)用戶身份的過程，通過認(rèn)證確定用戶是否具有對某種資源的訪問和使用權(quán)限，進(jìn)而使計算機(jī)網(wǎng)絡(luò)的訪問策略能夠可靠、有效地執(zhí)行，保障授權(quán)用戶的合法權(quán)益。身份認(rèn)證可以通過數(shù)字簽名、靜動態(tài)口令、智能卡、USB Key、生物識別、短信密碼、多因素認(rèn)證等手段實現(xiàn)。

2.1.3 訪問控制

訪問控制（Access Control）是系統(tǒng)根據(jù)用戶身份及其所屬的某項定義組來限制用戶對某些信息項的訪問或某些功能的使用。訪問控制識別和確認(rèn)訪問系統(tǒng)的用戶，決定該用戶可以對哪些系統(tǒng)資源進(jìn)行何種類型的訪問，從而保障數(shù)據(jù)資源在合法范圍內(nèi)得到有效的管理和使用。訪問控制的核心是安全策略的設(shè)計，常見的訪問控制模型包括自主（DAC）、強(qiáng)制（MAC）、基于角色（RBAC）、基于任務(wù)（TABC）、基于屬性（ABAC）等。

2.1.4 攻擊防護(hù)

攻擊防護(hù)（Attack Defense）是指為防止網(wǎng)絡(luò)攻擊而采取的各種防護(hù)措施。網(wǎng)絡(luò)攻擊者通常利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對網(wǎng)絡(luò)系統(tǒng)的硬件、軟件以及其中的數(shù)據(jù)進(jìn)行攻擊，包括竊聽、流量分析等被動攻擊方式和篡改、偽造、拒絕服務(wù)、破壞軟硬件等主動攻擊方式。常見的攻擊防護(hù)技術(shù)包括防火墻、防病毒、入侵檢測、網(wǎng)絡(luò)隔離、安全審計等。

2.1.5 隱私保護(hù)

隱私保護(hù)（Privacy Preservation）就是對個人、機(jī)構(gòu)等實體的隱私信息進(jìn)行保護(hù)。隱私即為數(shù)據(jù)所有者不愿意披露的敏感信息，包括敏感數(shù)據(jù)以及數(shù)據(jù)所表征的特性。在網(wǎng)絡(luò)環(huán)境下，隱私保護(hù)需求包括針對網(wǎng)絡(luò)鏈路信息的保護(hù)和針對網(wǎng)絡(luò)中的敏感數(shù)據(jù)的保護(hù)。常見的保護(hù)方法包括使用安全協(xié)議、修改或隱藏原始信息及敏感數(shù)據(jù)、使用加密技術(shù)、使用信息流控制技術(shù)等。

2.2 網(wǎng)絡(luò)安全技術(shù)

網(wǎng)絡(luò)安全機(jī)制需要運(yùn)用相應(yīng)的網(wǎng)絡(luò)安全技術(shù)實現(xiàn)，當(dāng)前常用的網(wǎng)絡(luò)安全技術(shù)包括：信息加密、防火墻、防病毒、入侵檢測、網(wǎng)絡(luò)隔離、虛擬專用網(wǎng)、安全審計、容災(zāi)備份等[5]。針對不用的網(wǎng)絡(luò)安全需求，網(wǎng)絡(luò)用戶在設(shè)計網(wǎng)絡(luò)安全方案和制定網(wǎng)絡(luò)安全策略時，可以靈活采用多種網(wǎng)絡(luò)安全技術(shù)。

2.2.1 信息加密

信息加密（Information Encryption）是利用數(shù)學(xué)或物理手段，對數(shù)據(jù)的存儲或傳輸過程進(jìn)行保護(hù)，以防止信息泄露。信息加密通常需要選擇某種加密算法和密鑰，把明文信息加密為不可讀的密文信息，進(jìn)而實現(xiàn)保密通信。實際應(yīng)用過程中，信息加密和信息隱藏結(jié)合使用，能夠更好地提高信息的機(jī)密性和可靠性。

2.2.2 防火墻

防火墻（Fire Wall）是通過在網(wǎng)絡(luò)邊界上建立相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻擋來自外部的網(wǎng)絡(luò)攻擊。防火墻技術(shù)綜合采用了包過濾、內(nèi)容過濾、代理、訪問策略等多種手段，阻止外部未授權(quán)訪問者對內(nèi)部網(wǎng)絡(luò)的非法訪問。

2.2.3 防病毒

防病毒（Anti-Virus）是指通過一定的技術(shù)手段防止計算機(jī)病毒感染和破壞系統(tǒng)，主要關(guān)注計算機(jī)病毒的結(jié)構(gòu)、破壞機(jī)理和傳播過程，除病毒預(yù)防以外，還包括病毒的檢測和清除等。防病毒是網(wǎng)絡(luò)安全措施的重要組成部分，各類殺毒軟件就是防病毒技術(shù)的典型代表。

2.2.4 入侵檢測

入侵檢測（Intrusion Detection）是為了保證計算機(jī)系統(tǒng)的安全而設(shè)計和配置的，能夠及時發(fā)現(xiàn)并報告系統(tǒng)中的未授權(quán)訪問或者異?，F(xiàn)象，用于檢測計算機(jī)網(wǎng)絡(luò)中違反安全策略的行為。入侵檢測通過對行為、安全日志、審計數(shù)據(jù)或者其他可獲得的信息進(jìn)行分析，檢測網(wǎng)絡(luò)攻擊和入侵行為，其作用包括威懾、檢測、響應(yīng)、損失情況評估、攻擊預(yù)測和支持起訴等。

2.2.5 網(wǎng)絡(luò)隔離

網(wǎng)絡(luò)隔離（Network Isolation）是指兩個或兩個以上計算機(jī)或網(wǎng)絡(luò)在非直接物理連接的基礎(chǔ)上實現(xiàn)信息交換和資源共享。網(wǎng)絡(luò)隔離的主要目標(biāo)是將不同的網(wǎng)絡(luò)安全威脅區(qū)域隔開，以保障數(shù)據(jù)信息在可信網(wǎng)絡(luò)內(nèi)進(jìn)行安全交換。網(wǎng)絡(luò)隔離通常以訪問控制為策略、物理隔離為基礎(chǔ)，并定義相關(guān)約束和規(guī)則來保障網(wǎng)絡(luò)的安全強(qiáng)度。

2.2.6 虛擬專用網(wǎng)

虛擬專用網(wǎng)（Virtual Private Network，簡稱VPN）是在公用網(wǎng)絡(luò)上建立安全的專用網(wǎng)絡(luò)。VPN并沒有傳統(tǒng)專用網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸，通常采用加密、簽名、認(rèn)證等安全手段保障通信的安全性，實現(xiàn)數(shù)據(jù)在非可信公用網(wǎng)絡(luò)上的安全傳輸。

2.2.7 安全審計

安全審計（Security Audit）是指依據(jù)安全法規(guī)和安全策略，對網(wǎng)絡(luò)設(shè)備、系統(tǒng)和軟件的安全規(guī)則設(shè)置和操作使用記錄進(jìn)行分析和審查。安全審計的對象包括各類網(wǎng)絡(luò)設(shè)備配置規(guī)則、各種系統(tǒng)的日志和歷史記錄，其作用的是分析網(wǎng)絡(luò)上發(fā)生了哪些與安全有關(guān)的活動，誰對這些活動負(fù)責(zé)，它可以有效地發(fā)現(xiàn)和還原網(wǎng)絡(luò)入侵行為。

2.2.8 容災(zāi)備份

容災(zāi)備份（Anti-Disaster Backup）是指通過特定的容災(zāi)機(jī)制，使計算機(jī)網(wǎng)絡(luò)系統(tǒng)在各種災(zāi)難損害發(fā)生后，仍然能夠最大限度地提供正常的系統(tǒng)服務(wù)。通常是在異地建立兩套或多套相同功能的系統(tǒng)，互相之間可以進(jìn)行狀態(tài)監(jiān)視和功能切換，一處系統(tǒng)意外停止工作時，整個應(yīng)用系統(tǒng)可以切換到另一處，該系統(tǒng)仍然可以正常工作。

3 結(jié)束語

計算機(jī)網(wǎng)絡(luò)安全是一項巨大的社會工程，涉及政治、經(jīng)濟(jì)、軍事、科技等各個領(lǐng)域，影響著人們學(xué)習(xí)、工作、生活的方方面面。當(dāng)前，急需提高全民的網(wǎng)絡(luò)安全防范意識，增強(qiáng)網(wǎng)絡(luò)安全法律觀念，并且建立綜合法律措施、物理措施、技術(shù)措施、管理措施等在內(nèi)的計算機(jī)網(wǎng)絡(luò)安全長效機(jī)制。本文著重從技術(shù)角度分析了計算機(jī)網(wǎng)絡(luò)安全威脅及對策，在實際應(yīng)用過程中，網(wǎng)絡(luò)用戶需要結(jié)合不同的網(wǎng)絡(luò)環(huán)境，靈活采用多種手段，綜合考慮、制定計算機(jī)網(wǎng)絡(luò)的安全方案和安全策略。

[1]張煥國，韓文報，來學(xué)嘉等.網(wǎng)絡(luò)空間安全綜述[J].中國科學(xué)：信息科學(xué)，2016.

[2]倪澎濤.計算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀及對策研究[J].數(shù)字技術(shù)與應(yīng)用，2012.

[3]章原發(fā).計算機(jī)網(wǎng)絡(luò)信息安全及應(yīng)對策略分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015.

[4]杜常青.計算機(jī)網(wǎng)絡(luò)信息技術(shù)安全及其防范對策[J].信息安全與技術(shù)，2011.

[5]常燕.網(wǎng)絡(luò)環(huán)境下計算機(jī)信息安全技術(shù)及對策研究[J].信息與電腦(理論版)，2012.