劉雷 陳以

桂林電子科技大學計算機與控制學院 廣西 541004

0 引言

隨著計算機網絡在政治、經濟、生活中的廣泛應用，人們對計算機的依賴性越來越強。網絡在帶給人們信息交流方便的同時，網絡中的信息安全已成為人們日益關注的問題。因為互聯(lián)網通信的協(xié)議基礎TCP/IP協(xié)議本身在安全上存在著先天性的不足，病毒、黑客程序、郵件炸彈、遠程偵聽日益猖獗，由此引起網絡安全問題日益嚴重，如何保護計算機信息安全，也即信息內容的保密問題顯得越來越重要。

1 網站不安全的原因

1.1 Internet自身安全性

Internet本來就不安全，因為最初的Internet建設者們不認為安全是問題。Internet在其早期是一個開放的為研究人員服務的網際網，是完全非贏利性的信息共享載體，所以，幾乎所有的Internet協(xié)議都沒有考慮安全機制。這點從Internet上最通用的應用FTP，Telnet和電子郵件中的用戶口令的明文傳輸以及IP報文在子網段上的廣播傳遞就充分地體現(xiàn)出來。只是近些年來，Internet的性質和使用人員的情況發(fā)生了很大的變化，使得Internet的安全問題顯得越來越突出。隨著Internet的全球普及和商業(yè)化，用戶很多非常私人化，如信用卡號等和其自身利益相關的信息也通過Internet傳輸。現(xiàn)在越來越多的信息放在網上是為了贏利，而不是完全免費的信息共享，所以其安全性也成為人們日趨關注的問題。

1.2 一般網站普遍出現(xiàn)不安全的原因

一個網站設計者更多地考慮滿足用戶應用，如何實現(xiàn)業(yè)務。很少考慮網站應用開發(fā)過程中所存在的漏洞，這些漏洞在不關注安全代碼設計的人員眼里幾乎不可見，大多數(shù)網站設計開發(fā)者、網站維護人員對網站攻防技術的了解甚少；在正常使用過程中，即便存在安全漏洞，正常的使用者并不會察覺。

大多數(shù)防御傳統(tǒng)的基于特征識別的入侵防御技術或內容過濾技術，對保護網站抵御黑客攻擊的效果不佳。比如對SQL注入、跨站腳本這種特征不惟一的網站攻擊，基于特征匹配技術防御攻擊，不能精確阻斷攻擊。

有些黑客通過篡改網頁來傳播一些非法信息或炫耀自己的水平，但篡改網頁之前，黑客肯定基于對漏洞的利用，獲得了網站控制權限。這不是最可怕的，因為黑客在獲取權限后沒有想要隱蔽自己，反而是通過篡改網頁暴露自己，這雖然對網站造成很多負面影響，但黑客本身未獲得直接利益?？膳碌氖牵诳驮讷@取網站的控制權限之后，并不暴露自己，而是利用所控制網站產生直接利益；網頁掛馬就是一種利用網站，將瀏覽網站的人種植其木馬的一種非常隱蔽且直接獲取利益的主要方式之一。

計算機病毒也是很大的問題，而且時常出現(xiàn)，主要是由于它的傳播途徑，①不可移動的計算機硬件設備；②移動存儲設備（包括軟盤、磁帶、U盤、MP3等）；③網絡；④通過點對點通信系統(tǒng)和無線通信系統(tǒng)傳播；⑤電子郵件等等。而且計算機病毒變異種類繁多，更多還趨向與智能化方向，所以也成為了安全問題中的一大隱患。

網站技術發(fā)展較快、安全問題日益突出，但由于關注重點不同，絕大多數(shù)的網站開發(fā)與設計公司，對網站安全代碼設計方面了解甚少，即使發(fā)現(xiàn)網站安全存在問題和漏洞，其修補方式也只能停留在頁面修復，很難針對網站具體的漏洞原理對源代碼進行改造。這些也是為什么有些網站安裝網頁防篡改、網站恢復軟件后仍然遭受攻擊。我們在一次網站安全檢查過程中，曾經戲劇化的發(fā)現(xiàn)，網站的網頁防篡改系統(tǒng)將早期植入的惡意代碼也保護了起來。這說明很少有人能夠準確的了解網站安全漏洞解決的問題是否徹底。

2 安全策略

怎樣才能有效的保護網站的安全？通過什么有效的手段來解決網站中普遍出現(xiàn)的安全問題呢？為此，我們提出一些安全應對策略來解決這些問題。

2.1 物理安全策略

物理安全策略的目的是保護計算機系統(tǒng)、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊；驗證用戶的身份和使用權限、防止用戶越權操作；確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發(fā)生。要保證計算機網絡系統(tǒng)的安全、可靠，必須保證系統(tǒng)實體有個安全的物理環(huán)境條件。

抑制和防止電磁泄露（即TEMPEST技術）是物理安全策略的一個主要問題。目前主要防護措施有兩類：一類是對傳導發(fā)射的防護，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合。另一類是對輻射的防護，這類防護措施又可分為以下兩種：一是采用各種電磁屏蔽措施，如對設備的金屬屏蔽和各種接插件的屏蔽，同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離；二是干擾的防護措施，即在計算機系統(tǒng)工作的同時，利用干擾裝置產生一種與計算機系統(tǒng)輻射相關的偽噪聲向空間輻射來掩蓋計算機系統(tǒng)的工作頻率和信息特征。

2.2 技術層面策略

對于技術方面，計算機網絡安全技術主要有實時掃描技術、實時監(jiān)測技術、防火墻、完整性檢驗保護技術、病毒情況分析報告技術和系統(tǒng)安全管理技術。綜合起來，技術層面可以采取以下對策：

（1）建立安全管理制度。提高包括系統(tǒng)管理員和用戶在內的人員的技術素質和職業(yè)道德修養(yǎng)。對重要部門和信息，嚴格做好開機查毒，及時備份數(shù)據，這是一種簡單有效的方法。

（2）網絡訪問控制。訪問控制是網絡安全防范和保護的主要策略。它的主要任務是保證網絡資源不被非法使用和訪問。它是保證網絡安全最重要的核心策略之一。訪問控制涉及的技術比較廣，包括入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段。

（3）數(shù)據庫的備份與恢復。數(shù)據庫的備份與恢復是數(shù)據庫管理員維護數(shù)據安全性和完整性的重要操作。備份是恢復數(shù)據庫最容易和最能防止意外的保證方法。恢復是在意外發(fā)生后利用備份來恢復數(shù)據的操作。有三種主要備份策略：只備份數(shù)據庫、備份數(shù)據庫和事務日志、增量備份。

（4）應用密碼技術。應用密碼技術是信息安全核心技術，密碼手段為信息安全提供了可靠保證?；诿艽a的數(shù)字簽名和身份認證是當前保證信息完整性的最主要方法之一，密碼技術主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數(shù)字簽名以及密鑰管理等。

（5）切斷傳播途徑。對被感染的硬盤和計算機進行徹底殺毒處理，不使用來歷不明的U 盤和程序，不隨意下載網絡可疑信息。

（6）提高網絡反病毒技術能力。通過安裝病毒防火墻，進行實時過濾。對網絡服務器中的文件進行頻繁掃描和監(jiān)測，在工作站上采用防病毒卡，加強網絡目錄和文件訪問權限的設置。在網絡中，限制只能由服務器才允許執(zhí)行的文件。

（7）研發(fā)并完善高安全的操作系統(tǒng)。研發(fā)具有高安全的操作系統(tǒng)，不給病毒得以滋生的溫床才能更安全。

2.3 管理層面策略

計算機網絡的安全管理，包括對計算機用戶的安全教育、建立相應的安全管理機構、不斷完善和加強計算機的管理功能、加強計算機及網絡的立法和執(zhí)法力度等方面。加強計算機安全管理、加強用戶的法律、法規(guī)和道德觀念，提高計算機用戶的安全意識，對防止計算機犯罪、抵制黑客攻擊和防止計算機病毒干擾，是十分重要的措施。

這就要對計算機用戶不斷進行法制教育，包括計算機安全法、計算機犯罪法、保密法、數(shù)據保護法等，明確計算機用戶和系統(tǒng)管理人員應履行的權利和義務，自覺遵守合法信息系統(tǒng)原則、合法用戶原則、信息公開原則、信息利用原則和資源限制原則，自覺地和一切違法犯罪的行為作斗爭，維護計算機及網絡系統(tǒng)的安全，維護信息系統(tǒng)的安全。除此之外，還應教育計算機用戶和全體工作人員，應自覺遵守為維護系統(tǒng)安全而建立的一切規(guī)章制度，包括人員管理制度、運行維護和管理制度、計算機處理的控制和管理制度、各種資料管理制度、機房保衛(wèi)管理制度、專機專用和嚴格分工等管理制度。

我國對網絡犯罪已經有了相關的法律條文，雖然在網站管理和服務方面還沒有相關法律條文，但是涉及安全問題的很多行為，實則已經列入網絡犯罪內。第九屆全國人民代表大會常務委員會第十九次會議通過了《維護互聯(lián)網安全的決定》，其中對網絡安全很多問題已經做了很明確的定義。

3 結論

綜上所述，由于網站網絡存在著嚴重的安全隱患，所以必須提高網絡管理員的網絡安全意識和技術水平，準備解決所有已知和未知的安全問題。目前我國在網站的管理和服務方面還沒有法律條文，所以應該制定自己的規(guī)章制度，應用制度配合技術手段，在防御上要具有超前意識。并要對用戶驚醒教育和培養(yǎng)，使得合法用戶都能文明運用網站網絡，只有這樣才能把網站的網絡安全變被動為主動，以能夠更好的開展網站的各項服務工作，并為所有合法用戶提供一個穩(wěn)定而可靠的安全環(huán)境。

[1]岳飛.網站安全堪憂完善檢測機制是出路[J].信息系統(tǒng)工程.2008.

[2]龍冬陽.網絡安全技術及應用[M].廣州:華南理工大學出版社.2006.

[3]徐祗祥.計算機安全防護[M].北京:科學技術文獻出版社.2007.

[4]張敏波.網絡安全實戰(zhàn)詳解[M].北京:電子工業(yè)出版社.2008.