賀晨光

(中國(guó)人民解放軍91913部隊(duì),遼寧 大連 116000)

自有計(jì)算機(jī)網(wǎng)絡(luò)以來(lái),網(wǎng)絡(luò)安全問(wèn)題就成為網(wǎng)絡(luò)使用者必須面對(duì)的問(wèn)題,而因特網(wǎng)的廣泛普及更給網(wǎng)絡(luò)帶來(lái)了較多的安全隱患。網(wǎng)絡(luò)被“黑”的報(bào)道時(shí)常見(jiàn)諸于報(bào)端,因?yàn)榫W(wǎng)絡(luò)安全問(wèn)題所造成的經(jīng)濟(jì)損失更是觸目驚心。據(jù)美國(guó)FBI的調(diào)查,美國(guó)每年因?yàn)榫W(wǎng)絡(luò)安全造成的經(jīng)濟(jì)損失超過(guò)170億美元。網(wǎng)絡(luò)安全遵循“木桶理論”，即網(wǎng)絡(luò)中只要存在一個(gè)薄弱環(huán)節(jié)，就會(huì)使整個(gè)網(wǎng)絡(luò)面臨威脅。了解網(wǎng)絡(luò)中存在的不安全因素,掌握網(wǎng)絡(luò)安全的防范措施，提高企業(yè)員工的安全防范意識(shí)已成為當(dāng)務(wù)之急。

1 網(wǎng)絡(luò)的不安全因素

1.1 操作系統(tǒng)安全

操作系統(tǒng)作為計(jì)算機(jī)系統(tǒng)的基礎(chǔ)軟件,是用來(lái)管理計(jì)算機(jī)軟、硬件資源的，它直接利用計(jì)算機(jī)硬件并為用戶提供使用和編程接口。各種應(yīng)用軟件均建立在操作系統(tǒng)提供的系統(tǒng)軟件平臺(tái)上，上層的應(yīng)用軟件必須依賴于操作系統(tǒng)提供的系統(tǒng)軟件基礎(chǔ)，才能獲得運(yùn)行的高可靠性和信息的完整性、保密性。同理，在網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)系統(tǒng)的安全性依賴于網(wǎng)絡(luò)中各主機(jī)系統(tǒng)的安全性，而主機(jī)系統(tǒng)的安全性正是由其網(wǎng)絡(luò)操作系統(tǒng)的安全性所決定的。如果操作系統(tǒng)存在缺陷和漏洞，就極易成為黑客攻擊的目標(biāo)。因此，操作系統(tǒng)安全是計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)。

1.2 病毒的威脅

信息技術(shù)的飛速發(fā)展極大地推動(dòng)了計(jì)算機(jī)和網(wǎng)絡(luò)的普及，但同時(shí)也促進(jìn)了計(jì)算機(jī)病毒的發(fā)展，因特網(wǎng)更是病毒孳生和傳播的溫床。從早期的“小球病毒”到駭人聽(tīng)聞的CIH和“美麗殺手”，再到典型的“沖擊波”“振蕩波”，病毒一直是計(jì)算機(jī)系統(tǒng)最直接的安全威脅。

1.3 網(wǎng)絡(luò)外部的攻擊

攻擊者入侵國(guó)家機(jī)構(gòu)、軍事機(jī)構(gòu)和企業(yè)的網(wǎng)站，有的是為了獲取國(guó)家機(jī)密，達(dá)到一定的政治目的;有的是為了竊取網(wǎng)絡(luò)上的重要信息、用戶口令、數(shù)據(jù)庫(kù)資料，擊敗競(jìng)爭(zhēng)對(duì)手;有的是為了顯示自己高超的網(wǎng)絡(luò)水平;有的是故意制造惡作劇、進(jìn)行網(wǎng)上恐怖活動(dòng)。雖然目的不一，但均對(duì)網(wǎng)絡(luò)的信息安全系統(tǒng)構(gòu)成威脅。更有甚者，攻擊者可以摧毀網(wǎng)絡(luò)節(jié)點(diǎn)，釋放計(jì)算機(jī)病毒，造成整個(gè)網(wǎng)絡(luò)系統(tǒng)的癱瘓。

近幾年，出現(xiàn)的拒絕服務(wù)（DOS）和分布式拒絕服務(wù)（DDOS）攻擊，讓企業(yè)網(wǎng)管人員比較頭疼。這種攻擊，來(lái)自于不同地域，會(huì)使防范難度大大增加。

1.4 網(wǎng)絡(luò)內(nèi)部的攻擊和破壞

其實(shí)，作為企業(yè)來(lái)說(shuō)，網(wǎng)絡(luò)上最大的威脅來(lái)自起企業(yè)內(nèi)部。那些對(duì)企業(yè)心懷不滿的員工、被解雇的職員、受信任的客戶、咨詢顧問(wèn)等所有能進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的人都有可能對(duì)系統(tǒng)造成威脅。此外，安全意識(shí)淡薄的人的各種行為如不注意口令的保密、使用來(lái)歷不明的存儲(chǔ)介質(zhì)、將自己的賬號(hào)隨意轉(zhuǎn)借他人或與別人共享、各種誤操作等，都可以對(duì)網(wǎng)絡(luò)造成極大的破壞。統(tǒng)計(jì)資料表明，此類問(wèn)題在網(wǎng)絡(luò)安全中的比例高達(dá)70%。

2 網(wǎng)絡(luò)安全的防范措施

2.1 提高安全意識(shí)，加大安全管理力度

對(duì)網(wǎng)絡(luò)系統(tǒng)的安全來(lái)說(shuō)，最重要的是網(wǎng)絡(luò)系統(tǒng)體系的“安全管理”。應(yīng)遵“七分管理，三分技術(shù)”的安全原則。因此，要保證網(wǎng)絡(luò)安全，首先必須重視網(wǎng)絡(luò)安全管理，要把網(wǎng)絡(luò)安全管理的各項(xiàng)措施落到實(shí)處。第一，配備專業(yè)的安全管理人員。安全管理要有專人負(fù)責(zé)，同時(shí)還要有技術(shù)人員去落實(shí)。第二，控制對(duì)網(wǎng)絡(luò)的訪問(wèn)和使用?？刂朴脩魧?duì)網(wǎng)絡(luò)的訪問(wèn)和使用的目的是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問(wèn)。第三，增強(qiáng)防病毒意識(shí)。查、殺病毒是確保網(wǎng)絡(luò)系統(tǒng)安全的必不可少的重要手段。第四，及時(shí)做好數(shù)據(jù)備份。做好數(shù)據(jù)備份工作，確保網(wǎng)絡(luò)信息的安全。

2.1 及時(shí)修補(bǔ)“漏洞”

網(wǎng)絡(luò)軟件不可能無(wú)缺陷、無(wú)漏洞，這些漏洞和缺陷正是黑客攻擊的首選目標(biāo)。系統(tǒng)、各種服務(wù)及應(yīng)用軟件的漏洞會(huì)越來(lái)越多地被發(fā)現(xiàn)、修補(bǔ)，發(fā)現(xiàn)漏洞、修補(bǔ)漏洞是一個(gè)反復(fù)不斷的過(guò)程。因此，系統(tǒng)及網(wǎng)絡(luò)管理員要及時(shí)與生產(chǎn)廠家聯(lián)系，安裝各種安全補(bǔ)丁，對(duì)系統(tǒng)進(jìn)行不斷地升級(jí)。我國(guó)對(duì)信息安全技術(shù)的研究開(kāi)發(fā)起步較晚，目前還要走引進(jìn)、消化、吸收的道路，加快產(chǎn)品本地化步伐，最終用國(guó)內(nèi)產(chǎn)品替代國(guó)外產(chǎn)品。

2.3 利用網(wǎng)絡(luò)安全技術(shù)

防火墻技術(shù)。防火墻是一種被廣泛采用的重要的安全技術(shù)，它在內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)，通過(guò)監(jiān)測(cè)、限制、更改數(shù)據(jù)流，盡可能地對(duì)外部網(wǎng)絡(luò)屏蔽有關(guān)被保護(hù)網(wǎng)絡(luò)的信息，從而達(dá)到抵御來(lái)自外部網(wǎng)絡(luò)的攻擊、防止不法分子入侵、保護(hù)內(nèi)部網(wǎng)絡(luò)資源的目的。可見(jiàn)，防火墻技術(shù)最適合于在企業(yè)專網(wǎng)中使用，特別是在企業(yè)專網(wǎng)與公共網(wǎng)絡(luò)互聯(lián)時(shí)使用。

入侵檢測(cè)技術(shù)。入侵檢測(cè)技術(shù)是一種主動(dòng)保護(hù)自己免受黑客攻擊的網(wǎng)絡(luò)安全技術(shù)，它具有監(jiān)視分析用戶和系統(tǒng)的行為、審計(jì)系統(tǒng)配置和漏洞、評(píng)估敏感系統(tǒng)和數(shù)據(jù)的完整性、識(shí)別攻擊行為、對(duì)異常行為進(jìn)行統(tǒng)計(jì)、自動(dòng)收集和系統(tǒng)相關(guān)的補(bǔ)丁、進(jìn)行審計(jì)跟蹤識(shí)別違反安全法規(guī)的行為等功能，使系統(tǒng)管理員可以有效地監(jiān)視、審計(jì)、評(píng)估自己的系統(tǒng)。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門，它在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)外部攻擊和誤操作的實(shí)時(shí)保護(hù)。

漏洞掃描技術(shù)。漏洞掃描是自動(dòng)檢測(cè)遠(yuǎn)端或本地主機(jī)安全脆弱點(diǎn)的技術(shù)。它查詢TCP/IP端口并紀(jì)錄目標(biāo)的響應(yīng)，收集關(guān)于某些特定項(xiàng)目的有用信息。這項(xiàng)技術(shù)具體是由安全掃描程序?qū)崿F(xiàn)的。安全掃描程序能夠?qū)σ粋€(gè)系統(tǒng)的代碼進(jìn)行反復(fù)獲取、編譯和運(yùn)行，并對(duì)上述檢測(cè)所獲得的大量數(shù)據(jù)進(jìn)行分析，從而可以快速地在較大范圍內(nèi)發(fā)現(xiàn)系統(tǒng)的脆弱點(diǎn)。

加密技術(shù)。采用密碼加密技術(shù)對(duì)信息加密，是最常用的安全保護(hù)措施。該技術(shù)的特征是利用現(xiàn)代的數(shù)據(jù)加密技術(shù)來(lái)保護(hù)網(wǎng)絡(luò)系統(tǒng)中包括用戶數(shù)據(jù)在內(nèi)的所有數(shù)據(jù)流。只有指定的用戶或網(wǎng)絡(luò)設(shè)備才能夠解譯加密數(shù)據(jù)，從而在不對(duì)網(wǎng)絡(luò)環(huán)境作特殊要求的前提下從根本上解決網(wǎng)絡(luò)安全的兩大要求(網(wǎng)絡(luò)服務(wù)的可用性和信息的完整性)。這類技術(shù)一般不需要特殊的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)支持，因而實(shí)施代價(jià)主要體現(xiàn)在軟件的開(kāi)發(fā)和系統(tǒng)運(yùn)行維護(hù)等方面。

網(wǎng)絡(luò)防毒技術(shù)。防火墻的功能只是限制網(wǎng)絡(luò)的訪問(wèn)，檢測(cè)和清除病毒還要靠病毒防治軟件。目前的病毒防治軟件基本上采用的檢測(cè)原理大致有特征碼法、校驗(yàn)和法、行為碼法3種方法，以提高病毒的檢測(cè)和清除率。目前的網(wǎng)絡(luò)病毒軟件一般都加入防火墻功能，是集反毒、反黑、救護(hù)于一身的產(chǎn)品，對(duì)于網(wǎng)絡(luò)型病毒的防治是很有效的。對(duì)于重要企業(yè)網(wǎng)絡(luò)，則應(yīng)該考慮安裝專業(yè)性更強(qiáng)、可靠性更高、安全機(jī)制更嚴(yán)密的網(wǎng)絡(luò)防病毒系統(tǒng)。近幾年有些安全產(chǎn)品廠商也開(kāi)發(fā)出比較好的防毒硬件產(chǎn)品-“防毒墻”，對(duì)于網(wǎng)絡(luò)病毒具有很好的防范作用。結(jié)合企業(yè)網(wǎng)絡(luò)的特點(diǎn)，在網(wǎng)絡(luò)安全的病毒防護(hù)方面應(yīng)該采用“多級(jí)防范，集中管理，以防為主，防治結(jié)合”的動(dòng)態(tài)防毒策略。

3 總結(jié)

目前，企業(yè)網(wǎng)絡(luò)安全解決辦法主要依靠防火墻技術(shù)、入侵檢測(cè)技術(shù)和網(wǎng)絡(luò)防病毒技術(shù)。在實(shí)際的互聯(lián)網(wǎng)安全設(shè)計(jì)中，往往采取上述三種技術(shù)（即防火墻、入侵檢測(cè)、網(wǎng)絡(luò)防病毒）并結(jié)合數(shù)據(jù)加密技術(shù)的方法。

但是，網(wǎng)絡(luò)安全不僅僅是技術(shù)問(wèn)題，更多的是社會(huì)問(wèn)題。應(yīng)該加強(qiáng)網(wǎng)絡(luò)安全方面的宣傳和教育。加強(qiáng)網(wǎng)絡(luò)使用者的安全防范意識(shí)，由被動(dòng)接受到主動(dòng)防范才能使網(wǎng)絡(luò)安全隱患降到最低。同時(shí)還要加強(qiáng)信息安全的執(zhí)法力度，只有具備法律的威懾力量，才能使網(wǎng)絡(luò)入侵者三思而后行。

只要使用網(wǎng)絡(luò)就會(huì)存在網(wǎng)絡(luò)安全問(wèn)題，兩者相伴而生，我們每個(gè)人都注意自己的行為方式，注重計(jì)算機(jī)網(wǎng)絡(luò)安全法規(guī)，就能充分享受和獲取網(wǎng)絡(luò)帶給我們的便利和效益。

[1]姚顧波.黑客終結(jié):網(wǎng)絡(luò)安全解決完全方案.電子工業(yè)出版社，2003.1.

[2]胡英.防火墻技術(shù)的演變.http://www.ccw.com.cn/public/tech.htm 2003.1.12.

[3]陳鵬，呂衛(wèi)鋒.基于網(wǎng)絡(luò)的入侵檢測(cè)方法研究.計(jì)算機(jī)工程與應(yīng)用，2001.3.7.

[4]周明全，呂林濤.網(wǎng)絡(luò)信息安全技術(shù).西安電子科技大學(xué)出版社.2003.11.

[5]Maiwald.E（著）；李慶榮(譯).網(wǎng)絡(luò)安全.清華大學(xué)出版社.2003.11.