顧學(xué)回 邵 鵬

摘要:計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,科研人員越來(lái)越多地依賴(lài)計(jì)算機(jī)網(wǎng)絡(luò),但網(wǎng)絡(luò)的開(kāi)放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性,給科研院所工作帶來(lái)了極大的威脅。本文就網(wǎng)絡(luò)安全防護(hù)的重要性,探討科研院所在網(wǎng)絡(luò)安全問(wèn)題中存在的問(wèn)題,以及其網(wǎng)絡(luò)環(huán)境容易受到的安全威脅,提出網(wǎng)絡(luò)安全防護(hù)的基本方法和技術(shù)手段。

關(guān)鍵詞:網(wǎng)絡(luò)安全;安全防護(hù);計(jì)算機(jī)網(wǎng)絡(luò)

1概述

隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷普及應(yīng)用,信息技術(shù)正在以驚人的速度滲透到科學(xué)研究的各個(gè)領(lǐng)域,目前科研院所在計(jì)算機(jī)領(lǐng)域的主要應(yīng)用包括:科技文獻(xiàn)的檢索、科研信息查詢(xún)及信息交流、傳遞等。其中包括部分保密性的科研項(xiàng)目。

科研人員越來(lái)越多的依賴(lài)于計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境開(kāi)展科研工作,但是,在這種開(kāi)放式的網(wǎng)絡(luò)背后,卻有著巨大的網(wǎng)絡(luò)危機(jī)。各種攻擊入侵手段相繼出現(xiàn),網(wǎng)絡(luò)攻擊,會(huì)使網(wǎng)絡(luò)上成千上萬(wàn)的計(jì)算機(jī)處于癱瘓狀態(tài);網(wǎng)絡(luò)入侵一旦成功,則能竊取用戶(hù)機(jī)器中各種信息,均會(huì)給科研工作造成巨大的損失,所以網(wǎng)絡(luò)安全防護(hù)對(duì)于科研院所用戶(hù)而言尤為重要。

2科研院所網(wǎng)絡(luò)系統(tǒng)的安全威脅

科研院所的網(wǎng)絡(luò)環(huán)境多為教育網(wǎng)環(huán)境,同一般的公網(wǎng)環(huán)境不同,由于科研工作需要,一般擁有較多類(lèi)型的網(wǎng)絡(luò)環(huán)境,它們所面臨的網(wǎng)絡(luò)安全威脅主要體現(xiàn)在以下幾個(gè)方面:

2.1網(wǎng)絡(luò)入侵

指具有熟練編寫(xiě)和調(diào)試計(jì)算機(jī)程序的人并使用這些技巧來(lái)獲得非法或未授權(quán)的網(wǎng)絡(luò)或文件訪(fǎng)問(wèn),入侵進(jìn)入他方內(nèi)部網(wǎng)的行為。網(wǎng)絡(luò)入侵的目的主要是取得使用系統(tǒng)的存儲(chǔ)權(quán)限、寫(xiě)權(quán)限以及訪(fǎng)問(wèn)其他存儲(chǔ)內(nèi)客的權(quán)限,或者是作為進(jìn)一步進(jìn)入其他系統(tǒng)的跳板,或者惡意破壞這個(gè)系統(tǒng),使其毀壞而喪失服務(wù)能力。

2.2后門(mén)程序

從最早計(jì)算機(jī)被入侵開(kāi)始.黑客們就已經(jīng)發(fā)展了“后門(mén)”這門(mén)技術(shù),利用這門(mén)技術(shù),他們可以再次進(jìn)入系統(tǒng)。后門(mén)的功能主要有:使管理員無(wú)法阻止種植者再次進(jìn)入系統(tǒng);使種植者在系統(tǒng)中不易被發(fā)現(xiàn),使種植者進(jìn)入系統(tǒng)花費(fèi)最少時(shí)間。

2.3計(jì)算機(jī)病毒

計(jì)算機(jī)病毒指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。伴隨著計(jì)算機(jī)技術(shù)的推廣普及,計(jì)算機(jī)病毒也在不斷地發(fā)展演變,其危害越來(lái)越大。目前計(jì)算機(jī)病毒的特點(diǎn)是流行廣泛、種類(lèi)繁多、潛伏期長(zhǎng)、破壞力大。對(duì)計(jì)算機(jī)信息系統(tǒng)的安全構(gòu)成了長(zhǎng)期與現(xiàn)實(shí)的威脅。

2.4軟件系統(tǒng)自身漏洞

一般操作系統(tǒng)的體系結(jié)構(gòu)其本身是不安全的,這也是計(jì)算機(jī)系統(tǒng)不安全的根本原因之一。操作系統(tǒng)的程序是可以動(dòng)態(tài)連接的,包括I/O的驅(qū)動(dòng)程序與系統(tǒng)服務(wù),都可以用打“補(bǔ)丁”的方式進(jìn)行動(dòng)態(tài)連接。 許多UNIX或Windows操作系統(tǒng)的版本的升級(jí)、開(kāi)發(fā)都是采用打“補(bǔ)丁”的方式進(jìn)行的。這種方法既然廠(chǎng)商可以使用,那么“黑客”也可以使用,同時(shí)這種動(dòng)態(tài)連接也為計(jì)算機(jī)病毒的產(chǎn)生提供了一個(gè)好環(huán)境。各類(lèi)軟件系統(tǒng)也存在的一些缺陷或漏洞,有些是疏忽造成的,有些則是軟件公司為了自便而設(shè)置的,這些漏洞或“后門(mén)”一般不為人所知,但這給病毒、黑客入侵提供了可能。

2.5系統(tǒng)管理漏洞

各類(lèi)計(jì)算機(jī)及軟件系統(tǒng)在使用時(shí),由于各種人為因素往往容易造成漏洞,給入侵者以可乘之機(jī)。比如,人們?cè)谌粘Ｊ褂糜?jì)算機(jī)時(shí)對(duì)安全防護(hù)的疏忽,特別是對(duì)口令的不重視,很容易產(chǎn)生弱口令,很多人用諸如自己的生日、姓名、單位名稱(chēng)等作為口令,為黑客破解密碼提供了機(jī)會(huì)。在內(nèi)網(wǎng)中,黑客的口令破解程序更易奏效。

3網(wǎng)絡(luò)安全的主要防護(hù)措施

計(jì)算機(jī)網(wǎng)絡(luò)安全從技術(shù)上來(lái)說(shuō),主要由防病毒、防火墻、安全衛(wèi)士、入侵檢測(cè)等多個(gè)安全組件組成,而一個(gè)單獨(dú)的組件無(wú)法確保網(wǎng)絡(luò)信息的安全性。目前廣泛運(yùn)用和比較成熟的網(wǎng)絡(luò)安全技術(shù)主要有:防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、入侵檢測(cè)技術(shù)、防病毒技術(shù)等。

3.1防火墻技術(shù)

“防火墻”(Firewal1)安全保障技術(shù)是由軟件,硬件構(gòu)成的系統(tǒng),用來(lái)在兩個(gè)網(wǎng)絡(luò)之間實(shí)施接入控制策略。我們將防火墻內(nèi)的網(wǎng)絡(luò)稱(chēng)“可信賴(lài)的網(wǎng)絡(luò)”。 從網(wǎng)絡(luò)發(fā)往計(jì)算機(jī)的所有數(shù)據(jù)都要經(jīng)過(guò)防火墻的判斷處理后,才能決定是否把這些數(shù)據(jù)交給計(jì)算機(jī),如果發(fā)現(xiàn)有害數(shù)據(jù),防火墻就會(huì)攔截下來(lái),實(shí)現(xiàn)對(duì)計(jì)算機(jī)的保護(hù)功能防火墻阻止某種類(lèi)型的信息從外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)的同時(shí),也允許另一種類(lèi)型的信息從內(nèi)部網(wǎng)絡(luò)進(jìn)入到外部網(wǎng)絡(luò),也就是說(shuō)防火墻能夠(允許、阻止)出入網(wǎng)絡(luò)的信息流,它能夠有效的監(jiān)控可信賴(lài)的內(nèi)部網(wǎng)絡(luò)和不可信賴(lài)的外部網(wǎng)絡(luò)之間的任何活動(dòng),從而保證了內(nèi)部可信賴(lài)網(wǎng)絡(luò)的安全性。

3.2訪(fǎng)問(wèn)控制技術(shù)

訪(fǎng)問(wèn)控制是計(jì)算機(jī)信息系統(tǒng)安全的關(guān)鍵技術(shù),對(duì)網(wǎng)絡(luò)用戶(hù)的用戶(hù)名和口令進(jìn)行驗(yàn)證是防止非法訪(fǎng)問(wèn)的第一道防線(xiàn)。用戶(hù)的口令是用戶(hù)登陸計(jì)算機(jī)的關(guān)鍵所在。為保證口令的安全性,用戶(hù)口令不能顯示在顯示屏上,使用設(shè)定更為復(fù)雜的口令,它確定了每個(gè)用戶(hù)的權(quán)力限制條件。

3.3數(shù)據(jù)加密技術(shù)

從密碼體制方面而言,加密技術(shù)可分為對(duì)稱(chēng)密鑰密碼體制和非對(duì)稱(chēng)密鑰密碼體制,對(duì)稱(chēng)密鑰密碼技術(shù)要求加密、解密雙方擁有相同的密鑰,由于加密和解密使用同樣的密鑰,所以加密方和解密方需要進(jìn)行會(huì)話(huà)密鑰的密鑰交換。非對(duì)稱(chēng)密鑰密碼技術(shù)的應(yīng)用比較廣泛,可以進(jìn)行數(shù)據(jù)加密、身份鑒別、訪(fǎng)問(wèn)控制、數(shù)字簽名、數(shù)據(jù)完整性驗(yàn)證、版權(quán)保護(hù)等。

3.4防病毒技術(shù)

隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展,計(jì)算機(jī)病毒變得越來(lái)越復(fù)雜和高級(jí),對(duì)計(jì)算機(jī)信息系統(tǒng)構(gòu)成極大的威脅。在病毒防范中普遍使用的防病毒軟件,從功能上可以分為網(wǎng)絡(luò)防病毒軟件和單機(jī)防病毒軟件兩大類(lèi)。單機(jī)防病毒軟件一般安裝在單臺(tái)計(jì)算機(jī)上,即對(duì)本地和本地工作站連接的遠(yuǎn)程資源采用分析掃描的方式檢測(cè)、清除病毒。網(wǎng)絡(luò)防病毒軟件則主要注重網(wǎng)絡(luò)防病毒,一旦病毒入侵網(wǎng)絡(luò)或者從網(wǎng)絡(luò)向其它資源傳染,網(wǎng)絡(luò)防病毒軟件會(huì)立刻檢測(cè)到并加以刪除。

3.5入侵檢測(cè)技術(shù)

入侵檢測(cè)系統(tǒng)被認(rèn)為是防火墻之后的第二道安全閘門(mén),它能使在入侵攻擊對(duì)系統(tǒng)發(fā)生危害前,檢測(cè)到入侵攻擊,并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊;在入侵攻擊過(guò)程中,能減少入侵攻擊所造成的損失;在被入侵攻擊后,收集入侵攻擊的相關(guān)信息,作為防范系統(tǒng)的知識(shí),添加策略集中,增強(qiáng)系統(tǒng)的防范能力,避免系統(tǒng)再次受到同類(lèi)型的入侵。入侵檢測(cè)的作用包括威懾、檢測(cè)、響應(yīng)、損失情況評(píng)估、攻擊預(yù)測(cè)和起訴支持。

入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù),是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。

3.6物理保護(hù)

電纜、終端、路由器和其他系統(tǒng)硬件容易受到物理危害(例如通過(guò)搭線(xiàn)到網(wǎng)絡(luò)電纜上)。為防止這些問(wèn)題,應(yīng)當(dāng)規(guī)劃網(wǎng)絡(luò)的物理安裝,網(wǎng)絡(luò)服務(wù)器、路由器、網(wǎng)絡(luò)介質(zhì)應(yīng)當(dāng)放在安全、可靠的地方,并限制用戶(hù)的訪(fǎng)問(wèn)次數(shù)。除此之外,為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全.除在網(wǎng)絡(luò)規(guī)劃和場(chǎng)地、環(huán)境等要求之外。還要防止系統(tǒng)信息在空間的擴(kuò)散。

4總結(jié)

科研院所網(wǎng)絡(luò)的安全問(wèn)題,不僅是設(shè)備、技術(shù)的問(wèn)題.更是管理的問(wèn)題。對(duì)于計(jì)算機(jī)系統(tǒng)的使用者來(lái)說(shuō),一定要提高安全意識(shí),加強(qiáng)安全防護(hù)的技術(shù)手段,注重對(duì)網(wǎng)絡(luò)安全知識(shí)的了解和學(xué)習(xí)。要通過(guò)組建完整的安全保密管理組織機(jī)構(gòu),制定嚴(yán)格的安全制度,指定安全管理人員,隨時(shí)對(duì)整個(gè)計(jì)算機(jī)系統(tǒng)進(jìn)行嚴(yán)格的監(jiān)控和管理。在日常的維護(hù)中及時(shí)發(fā)現(xiàn)問(wèn)題、解決問(wèn)題、總結(jié)問(wèn)題。以保障計(jì)算機(jī)信息系統(tǒng)的安全,滿(mǎn)足科研工作的需要。

參考文獻(xiàn)

[1]李海泉.計(jì)算機(jī)系統(tǒng)的安全技術(shù)[M].北京.人民郵電出版社,2002

[2]于章.計(jì)算機(jī)及網(wǎng)絡(luò)安全與防治基礎(chǔ)[M].北京.航空航天出版社.1999

[3]王宏偉.網(wǎng)絡(luò)安全威脅與對(duì)策田.科技創(chuàng)業(yè)月刊,2006,19(5):179-180

[4]馮素梅.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用[J].網(wǎng)絡(luò)防火墻技術(shù)分析與選擇,2008,(4):21-22.