網(wǎng)絡(luò)信息安全存在的問題及策略

宋杭選

摘 要 計算機網(wǎng)絡(luò)是指將地理位置不同的具有獨立功能的多臺計算機及其外部設(shè)備通過通信線路連接起來，在網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)管理軟件及網(wǎng)絡(luò)通信協(xié)議的管理和協(xié)調(diào)下，實現(xiàn)資源共享和信息傳輸?shù)挠嬎銠C系統(tǒng)。從一般意義來看，網(wǎng)絡(luò)信息安全是指沒有危險和不出事故。對于計算機網(wǎng)絡(luò)而言，其網(wǎng)絡(luò)信息安全問題是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其信息系統(tǒng)中的數(shù)據(jù)受到保護，不遭到偶然的或者惡意的原因破壞、更改、泄露，網(wǎng)絡(luò)服務(wù)不中斷。

【關(guān)鍵詞】計算機 網(wǎng)絡(luò) 安全

1 網(wǎng)絡(luò)信息安全存在的問題

計算機網(wǎng)絡(luò)的安全隱患多數(shù)是利用網(wǎng)絡(luò)系統(tǒng)本身存在的安全弱點，而在網(wǎng)絡(luò)的使用、管理過程中的不當行為可能會進一步加劇安全問題的嚴重性。影響網(wǎng)絡(luò)安全的問題有很多，歸納起來主要包括3個方面：技術(shù)問題、管理問題和人為問題。

1.1 技術(shù)問題

從技術(shù)問題來看，主要包括硬件系統(tǒng)的安全缺陷、軟件系統(tǒng)的安全漏洞和系統(tǒng)安全配置不當造成的其他安全漏洞3種情況。

（1）硬件系統(tǒng)的安全缺陷。由于理論或技術(shù)的局限性，必然會導(dǎo)致計算機及其硬件設(shè)備存在這樣或那樣的不足，進而在使用時可能產(chǎn)生各種各樣的安全問題。

（2）軟件系統(tǒng)的安全漏洞。在軟件設(shè)計時期，人們?yōu)榱四軌蚍奖悴粩喔倪M和完善所涉及的系統(tǒng)軟件和應(yīng)用軟件，開設(shè)了“后門”以便更新和修改軟件的內(nèi)容，這種后門一旦被攻擊者掌握將成為影響系統(tǒng)安全的漏洞。同時，在軟件開發(fā)過程中，由于結(jié)構(gòu)設(shè)計的缺陷或編寫過程的不規(guī)范也會導(dǎo)致安全漏洞的產(chǎn)生。

（3）系統(tǒng)安全配置不當造成的其他安全漏洞。通常在系統(tǒng)中都有一個默認配置，而默認配置的安全性通常較低。此外，在網(wǎng)絡(luò)配置時出現(xiàn)錯誤，存在匿名FTP、Telnet的開放、密碼文件缺乏適當?shù)陌踩Ｗo、命令的不合理使用等問題都會導(dǎo)致或多或少的安全漏洞。黑客就有可能利用這些漏洞攻擊網(wǎng)絡(luò)，影響網(wǎng)絡(luò)的安全性。

1.2 管理問題

管理問題主要是指網(wǎng)絡(luò)管理方面的漏洞。通常來說，很多機構(gòu)在設(shè)計內(nèi)部網(wǎng)絡(luò)時，主要關(guān)注來自外部的威脅，對來自內(nèi)部的攻擊考慮較少，導(dǎo)致內(nèi)部網(wǎng)絡(luò)缺乏審計跟蹤機制，網(wǎng)絡(luò)管理員沒有足夠重視系統(tǒng)的日志和其他信息。另外，管理人員的素質(zhì)較差、管理措施的完善程度不夠以及用戶的安全意識淡薄等都會導(dǎo)致網(wǎng)絡(luò)安全問題。

1.3 人為問題

安全問題最終根源都是人的問題。前面提到的技術(shù)問題和管理問題均可以歸結(jié)到人的問題。根據(jù)人的行為可以將網(wǎng)絡(luò)安全問題分為人為的無意失誤和人為的惡意攻擊。

1.3.1 人為的無意失誤

此類問題主要是由系統(tǒng)本身故障、操作失誤或軟件出錯導(dǎo)致的。例如管理員安全配置不當造成的安全漏洞、網(wǎng)絡(luò)用戶安全意識不強帶來的安全威脅等。

1.3.2 人為的惡意攻擊

此類問題是指利用系統(tǒng)中的漏洞而進行的攻擊行為或直接破壞物理設(shè)備和設(shè)施的攻擊行為。例如病毒可以突破網(wǎng)絡(luò)的安全防御人侵到網(wǎng)絡(luò)主機上，可能造成網(wǎng)絡(luò)系統(tǒng)的癱瘓等安全問題。

1.4 易欺騙性問題

TCP或UDP服務(wù)相信主機的地址。如果使用“IP Source Routing”，那么攻擊者的主機就可以冒充一個被信任的主機或客戶。使用“IP Source Routing”，采用如下操作可把攻擊者的系統(tǒng)假扮成某一一特定服務(wù)器的可信任的客戶：

（1）攻擊者要使用那個被信任的客戶的IP地址取代自己的地址。

（2）攻擊者構(gòu)造一條要攻擊的服務(wù)器和其主機間的直接路徑，把被信任的客戶作為通向服務(wù)器的路徑的最后節(jié)點。

（3）攻擊者用這條路徑向服務(wù)器發(fā)出客戶申請。

（4）服務(wù)器接受客戶申請，就好像是從可信任客戶直接發(fā)出的一樣，然后給可信任客戶返回響應(yīng)。

（5）可信任客戶使用這條路徑將包向前傳送給攻擊者的主機。

許多UNIX主機接收到這種包后將繼續(xù)把它們向指定的地方傳送。許多路由器也是這樣，但有些路由器可以配置以阻塞這種包。

一個更簡單的方法是等客戶系統(tǒng)關(guān)機后來模仿該系統(tǒng)。許多組織中UNIX主機作為局域網(wǎng)服務(wù)器使用，職員用個人計算機和TCP/IP網(wǎng)絡(luò)軟件來連接和使用它們。個人計算機一般使用NFS來對服務(wù)器的目錄和文件進行訪問（NFS僅僅使用IP地址來驗證客戶）。一個攻擊者幾小時就可以設(shè)置好一臺與別人使用相同名字和IP地址的個人計算機，然后與UNIX主機建立連接，就好像它是“真的”客戶。這是非常容易實行的攻擊手段，但應(yīng)該是內(nèi)部人員所為。

2 網(wǎng)絡(luò)信息安全問題的策略

在設(shè)計一個網(wǎng)絡(luò)安全系統(tǒng)時，首要任務(wù)是確認該單位的需要和目標，并制定安全策略。安全策略需要反映出該單位同公用網(wǎng)絡(luò)連接的理由，并分別規(guī)定對內(nèi)部用戶和公眾用戶提供的服務(wù)。在建立安全策略時，這是關(guān)鍵性的，但往往又是容易被忽視的一步。準許訪問除明確拒絕以外的全部服務(wù)程序，對大部分服務(wù)程序都很少干預(yù)。危及安全的服務(wù)程序可能被使用并已引發(fā)問題，直到管理人員明確加以禁止為止，安全問題頗為突出。此時，用戶需要將該新服務(wù)程序通知管理人員，對該程序進行鑒定后決定是否允許被使用。

在作出基本的決策之后，決定哪些服務(wù)程序向內(nèi)部用戶提供，哪些服務(wù)程序向外部網(wǎng)絡(luò)用戶提供使用。安全策略設(shè)計還需要有監(jiān)視安全的方式和實施策略的方式。

在設(shè)計安全策略和選擇網(wǎng)絡(luò)安全系統(tǒng)時，還需要考慮成本與方便二者的平衡。這取決于所期望的安全程度和所選用的安全系統(tǒng)，可能需要額外的硬件，如路由器和專用主機，也可能需要特殊的軟件，還可能需要安全專家進行系統(tǒng)編程和維護工作。其他需要考慮的問題是安全系統(tǒng)對生產(chǎn)率和服務(wù)利用率的影響。有的網(wǎng)絡(luò)安全系統(tǒng)工具會降低網(wǎng)絡(luò)速度；有的會限制或拒絕網(wǎng)絡(luò)上一些有用的服務(wù)程序，如郵件和文件傳輸；有的則需要新軟件分配給內(nèi)部網(wǎng)絡(luò)中每一臺主機，給用戶帶來了諸多的不便。因此，網(wǎng)絡(luò)安全系統(tǒng)應(yīng)該被設(shè)計成一個透明的安全系統(tǒng)，這樣才能為網(wǎng)絡(luò)提供安全保護而不會對網(wǎng)絡(luò)性能有重大的影響，也不會迫使用戶放棄一些服務(wù)程序或迫使用戶去學習某些新的服務(wù)程序。

在網(wǎng)絡(luò)安全系統(tǒng)設(shè)計時，需要考慮的另一個重要問題是，對安全程度和復(fù)雜程度二者的平衡。網(wǎng)絡(luò)安全系統(tǒng)的復(fù)雜程度，由于下述問題而增加：增添和管理較多的網(wǎng)絡(luò)，追加額外的硬件，增加篩選規(guī)則的數(shù)量。復(fù)雜的系統(tǒng)不容易進行正確的配置，從而可能導(dǎo)致發(fā)生安全問題。

總之，在制定網(wǎng)絡(luò)安全策略時應(yīng)當考慮如下問題：

（1）對于內(nèi)部用戶和外部用戶分別提供哪些服務(wù)程序；

（2）初始投資額和后續(xù)投資額（新的硬件、軟件及工作人員）；

（3）方便程度和服務(wù)效率；

（4）復(fù)雜程度和安全等級的平衡；

（5）網(wǎng)絡(luò)性能。

參考文獻

[1]莊友軍.計算機網(wǎng)網(wǎng)絡(luò)安全管理[J].電腦知識與技術(shù)，2010.

[2]薛新慈.任艷斐.計算機網(wǎng)絡(luò)管理與安全技術(shù)探析[J].通信技術(shù)，2010.

[3]陳匯遠.計算機信息系統(tǒng)安全技術(shù)的研究及其應(yīng)用[D].鐵道部科學研究院，2004.

作者單位

黑龍江省電力科學研究院 黑龍江省哈爾濱 150030