張銘鐸

（湛江師范學(xué)院，廣東 湛江 524048；重慶大學(xué)，重慶 400030）

計(jì)算機(jī)網(wǎng)絡(luò)防護(hù)安全與策略分析

張銘鐸

（湛江師范學(xué)院，廣東 湛江 524048；重慶大學(xué)，重慶 400030）

計(jì)算機(jī)應(yīng)用伴隨著Internet技術(shù)的發(fā)展變得越來(lái)越廣泛，人們?cè)谙硎芫W(wǎng)絡(luò)開(kāi)放性與自由性的同時(shí)，網(wǎng)絡(luò)安全在社會(huì)各個(gè)領(lǐng)域中的作用日益重要.本文從計(jì)算機(jī)網(wǎng)絡(luò)安全管理角度闡述存在的安全隱患，并對(duì)安全策略進(jìn)行深入探討，確保人們能夠更加有效管理計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng).

網(wǎng)絡(luò)安全；安全防護(hù)；計(jì)算機(jī)網(wǎng)絡(luò)

計(jì)算機(jī)應(yīng)用技術(shù)伴隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的進(jìn)步而逐漸發(fā)展起來(lái)，計(jì)算機(jī)網(wǎng)絡(luò)在社會(huì)生活中的作用日益顯著，計(jì)算機(jī)網(wǎng)絡(luò)對(duì)人類社會(huì)起到了極其重要的作用，人們的日常辦公、人與人的溝通與交流更多的依賴計(jì)算機(jī)網(wǎng)絡(luò)，在汲取更多有用資訊的同時(shí)，產(chǎn)生的數(shù)據(jù)與信息遭到竊取的可能性也會(huì)增大，在這個(gè)所謂“虛擬社會(huì)”中，其安全防護(hù)也就變得越來(lái)越重要，信息社會(huì)時(shí)代的到來(lái)對(duì)網(wǎng)絡(luò)安全就是一個(gè)極大的挑戰(zhàn).

1 計(jì)算機(jī)網(wǎng)絡(luò)安全的定義

計(jì)算機(jī)網(wǎng)絡(luò)安全指信息與數(shù)據(jù)不受外部非法用戶使用.首先確保數(shù)據(jù)存儲(chǔ)設(shè)備的硬件完整性，這在安全防護(hù)中非常重要.其次，計(jì)算機(jī)網(wǎng)絡(luò)中的信息具有完整性、保密性以及可用性等特點(diǎn).完整性指信息不被惡意破壞、修改等操作.保密性指信息不被泄露.可用性指防止拒絕訪問(wèn)和授權(quán)操作.從另一個(gè)角度來(lái)講，用戶在計(jì)算機(jī)網(wǎng)絡(luò)安全中有用信息的“含金量”也作為一個(gè)重要的考量依據(jù).

2 計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀

隨著百度、谷歌等國(guó)內(nèi)知名網(wǎng)站遭受黑客攻擊，再次對(duì)網(wǎng)絡(luò)安全環(huán)境敲響了警鐘.對(duì)涉及國(guó)家機(jī)密信息的攻擊事件也屢見(jiàn)不鮮.在美國(guó)因網(wǎng)絡(luò)安全造成的經(jīng)濟(jì)損失高達(dá)幾十億美金，近年來(lái)這一數(shù)字仍有上升的趨勢(shì).世界平均每天都發(fā)生著計(jì)算機(jī)安全事件.接近半數(shù)的防火墻曾遭遇過(guò)攻擊或崩潰過(guò).中國(guó)金融、政府、軍隊(duì)等部門(mén)也曾不同程度遭遇過(guò)網(wǎng)絡(luò)安全問(wèn)題.近年來(lái)，通過(guò)電子郵件、木馬病毒、文件共享后門(mén)等途徑傳播的病毒也越來(lái)越頻繁，由此公安機(jī)關(guān)受理的各類信息犯罪也呈逐年上升的趨勢(shì).我國(guó)的網(wǎng)絡(luò)建設(shè)的軟硬件更多是從國(guó)外引進(jìn)，電子商務(wù)也處于發(fā)展的初級(jí)階段，由于某些大的網(wǎng)絡(luò)建設(shè)方缺乏有效的風(fēng)險(xiǎn)管控機(jī)制以及技術(shù)水平的限制，致使我們對(duì)安全防護(hù)僅僅停留在較膚淺的水平，例如病毒防范.對(duì)安全防護(hù)缺乏更深層次的認(rèn)識(shí).

3 計(jì)算機(jī)網(wǎng)絡(luò)存在的安全問(wèn)題

計(jì)算機(jī)網(wǎng)絡(luò)安全威脅主要來(lái)自以下幾個(gè)方面：

3.1 自然災(zāi)害

計(jì)算機(jī)本身的硬件配置很容易受環(huán)境以及自然災(zāi)害（震動(dòng)、溫度、濕度、輻射污染）的影響.有不少計(jì)算機(jī)機(jī)房在三方一避（防水、防火、防電磁、避雷）上缺少有效的措施，致使在抵御自然災(zāi)害和遭遇意外事故的能力大大降低.因此在網(wǎng)絡(luò)運(yùn)行中常發(fā)生設(shè)備損毀、數(shù)據(jù)丟失等現(xiàn)象.當(dāng)電磁輻射增強(qiáng)時(shí)會(huì)導(dǎo)致網(wǎng)絡(luò)信噪比下降，信息的誤碼率也會(huì)增加，從而破壞信息的完整性、可用性.

3.2 黑客攻擊

計(jì)算機(jī)網(wǎng)絡(luò)的黑客攻擊伴隨著谷歌、百度事件而變得愈演愈烈.在近年來(lái)隨著黑客工具的不斷的推陳出新使不懂計(jì)算機(jī)的形形色色的人也能成為“黑客”，而對(duì)于專業(yè)的黑客而言，大部分人采用非法入侵來(lái)達(dá)到信息的監(jiān)聽(tīng)、竊取、破壞等目的，網(wǎng)絡(luò)正常的信號(hào)運(yùn)行不正常，嚴(yán)重會(huì)致使整個(gè)網(wǎng)絡(luò)系統(tǒng)癱瘓，給國(guó)家造成經(jīng)濟(jì)損失和政治負(fù)面影響.黑客攻擊從側(cè)面反映了他們善于捕捉漏洞制造入侵機(jī)會(huì)，當(dāng)然網(wǎng)絡(luò)本身的不完善和自身的缺陷也會(huì)成為攻擊的“靶子”.

3.3 計(jì)算機(jī)病毒

20世紀(jì)末計(jì)算機(jī)病毒的蔓延曾引起世界性恐慌，其破壞造成的損失難以估量.病毒將自身附著在各種應(yīng)用程序上，當(dāng)觸發(fā)這些應(yīng)用程序時(shí)，就會(huì)擴(kuò)散到計(jì)算機(jī)系統(tǒng)中.當(dāng)計(jì)算機(jī)中毒后就會(huì)產(chǎn)生系統(tǒng)運(yùn)行慢、占用CPU使用率等現(xiàn)象，嚴(yán)重時(shí)會(huì)破壞計(jì)算機(jī)主板、硬盤(pán)等硬件系統(tǒng).

3.4 間諜軟件和垃圾郵件

某些人經(jīng)常利用公開(kāi)性的郵件系統(tǒng)將自己的郵件內(nèi)容強(qiáng)行發(fā)送給別人的電子郵箱，使人們接受了所謂的垃圾郵件，目前很多電子郵箱提供商提供了垃圾郵件的智能截取，一定程度上緩解了垃圾郵件的蔓延傳播.而間諜軟件主要利用計(jì)算機(jī)網(wǎng)絡(luò)竊取用戶信息，廣義的觀點(diǎn)認(rèn)為間諜軟件實(shí)際上是被惡意非法安裝并隱藏起來(lái)，被監(jiān)控者很難發(fā)現(xiàn)它的存在，而被監(jiān)控者的操作以及相關(guān)信息便會(huì)被泄露出來(lái)并造成不同程度的用戶隱私和安全影響.

4 計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)策略

目前主流的安全防護(hù)策略主要有數(shù)據(jù)加密技術(shù)、防火墻技術(shù)、防病毒技術(shù)以及入侵檢測(cè)技術(shù)等幾種，在國(guó)內(nèi)這幾種防護(hù)策略在應(yīng)用和部署上都比較成熟.

4.1 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)指將網(wǎng)絡(luò)傳輸中的信息進(jìn)行二次加密，其目的主要是保證數(shù)據(jù)在傳輸過(guò)程中不被“破譯”，相對(duì)來(lái)講安全等級(jí)也就相應(yīng)的提高了.具體來(lái)講是將數(shù)據(jù)符號(hào)按照某種規(guī)則進(jìn)行變換.加密技術(shù)分為對(duì)稱密鑰算法和非對(duì)稱加密算法兩類.對(duì)稱加密中，密鑰數(shù)據(jù)是最重要的，一旦丟失其加密的信息也就失去了防護(hù)功能，密文也將泄露.由于密鑰本身的安全性就是一個(gè)問(wèn)題，致使進(jìn)行多方通信時(shí)，這種加密技術(shù)就會(huì)變得相當(dāng)?shù)膹?fù)雜.其特點(diǎn)是對(duì)稱密鑰運(yùn)算量小、安全性高、速度快等優(yōu)點(diǎn)而被廣泛應(yīng)用.DES加密算法就是“對(duì)稱密鑰算法”的典型.與之相對(duì)應(yīng)的非對(duì)稱加密算法中，公鑰是公開(kāi)的，人們可以將公鑰加密的信息發(fā)給私鑰所有者.私鑰是保密的，將公鑰加密的信息進(jìn)行解密.典型代表是RSA（非對(duì)稱加密技術(shù)）.它將明文轉(zhuǎn)換成一個(gè)值得到核實(shí)簽名.接收者利用公鑰對(duì)簽名進(jìn)行解密運(yùn)算，當(dāng)結(jié)果計(jì)算為明文時(shí)，則簽名有效.簽名的形式多種多樣，主要應(yīng)用于銀行和電子商貿(mào)中.

4.2 防火墻技術(shù)

防火墻技術(shù)是網(wǎng)絡(luò)環(huán)境中最基本的防護(hù)措施之一.簡(jiǎn)單來(lái)講，防火墻就是將內(nèi)部網(wǎng)與外部網(wǎng)絡(luò)環(huán)境隔離開(kāi)來(lái)，形成一個(gè)內(nèi)部網(wǎng)絡(luò)屏障阻斷外來(lái)的不安全因素.其目的是阻止外部網(wǎng)絡(luò)的非法用戶的非授權(quán)訪問(wèn).現(xiàn)在防火墻技術(shù)主要包括包過(guò)濾、應(yīng)用網(wǎng)關(guān)、子網(wǎng)屏障等，管理內(nèi)部網(wǎng)絡(luò)用戶訪問(wèn)外網(wǎng)和限制外部網(wǎng)絡(luò)用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)權(quán)限.當(dāng)一個(gè)局域網(wǎng)連接入Internet之后，計(jì)算機(jī)系統(tǒng)的安全因素除了防病毒外，更主要從防止非法入侵角度來(lái)考量計(jì)算機(jī)系統(tǒng)是否在安全范圍內(nèi)，而防火墻技術(shù)在這一環(huán)節(jié)中起了至關(guān)重要的作用.防火墻通過(guò)添加配置方案，將口令和身份驗(yàn)證等信息配置級(jí)別大大提升，將不安全服務(wù)過(guò)濾掉，以保證內(nèi)部網(wǎng)絡(luò)環(huán)境的安全，并實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流的狀態(tài)，每日進(jìn)行數(shù)據(jù)日志的操作記錄，并統(tǒng)計(jì)網(wǎng)絡(luò)的使用情況，自動(dòng)檢索并報(bào)警，將內(nèi)部網(wǎng)絡(luò)重要的信息和隱私進(jìn)行隔離.

4.3 入侵檢測(cè)技術(shù)

入侵檢測(cè)(Intrusion Detection System)廣義上的定義為“對(duì)計(jì)算機(jī)或網(wǎng)絡(luò)資源的惡意企圖和動(dòng)作進(jìn)行識(shí)別，并對(duì)識(shí)別結(jié)果做出相應(yīng)反應(yīng)的過(guò)程”.IDS是完成上述指令的一個(gè)獨(dú)立系統(tǒng).IDS能夠?qū)ξ词跈?quán)對(duì)象（程序或人）針對(duì)系統(tǒng)入侵的行為或企圖進(jìn)行識(shí)別檢測(cè)，同時(shí)監(jiān)控非法操作的“執(zhí)行者”，入侵檢測(cè)功能主要包括：（1）搜集系統(tǒng)中不同環(huán)節(jié)的信息.（2）將該信息進(jìn)行分析識(shí)別，尋找該入侵活動(dòng)的特征.（3）對(duì)檢測(cè)到的行為做出自動(dòng)響應(yīng).（4）報(bào)告檢測(cè)結(jié)果.IDS通過(guò)多種渠道對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)環(huán)境上的信息進(jìn)行搜集整理，據(jù)此檢測(cè)系統(tǒng)或網(wǎng)絡(luò)環(huán)境中是否有違反安全策略規(guī)則和被攻擊的現(xiàn)象，一旦發(fā)現(xiàn)攻擊便會(huì)自動(dòng)發(fā)出報(bào)警信號(hào)并采取有效措施，同時(shí)將被攻擊的過(guò)程記錄下來(lái)，為系統(tǒng)或網(wǎng)絡(luò)環(huán)境的恢復(fù)和追蹤攻擊的源頭提供基本的數(shù)據(jù)依據(jù).網(wǎng)絡(luò)入侵檢測(cè)大致可分為基于主機(jī)型、基于網(wǎng)絡(luò)型、基于主機(jī)和網(wǎng)絡(luò)型等三大類.網(wǎng)絡(luò)系統(tǒng)在受到危害前執(zhí)行攔截和響應(yīng)入侵.入侵檢測(cè)會(huì)做出如下響應(yīng)：（1）控制臺(tái)報(bào)警.（2）記錄攻擊日志.（3）即時(shí)將網(wǎng)絡(luò)連接阻斷.（4）入侵檢測(cè)實(shí)時(shí)對(duì)網(wǎng)絡(luò)數(shù)據(jù)量不加任何延時(shí)地監(jiān)控，它本身采用的是透明的工作模式.（5）網(wǎng)絡(luò)中的TCP和IP協(xié)議也會(huì)被入侵檢測(cè)監(jiān)視和過(guò)濾，我們將入侵檢測(cè)進(jìn)行添加配置后，可以按照源IP或目的IP地址、源端口或目的端口、協(xié)議（TCP/ICMP）等進(jìn)行過(guò)濾.入侵檢測(cè)還能監(jiān)控諸如遠(yuǎn)程登陸、文件傳輸?shù)染W(wǎng)絡(luò)服務(wù)，并且它會(huì)隨著這些服務(wù)的發(fā)展而不斷擴(kuò)展.（6）用戶自定義支持的網(wǎng)絡(luò)安全事件也會(huì)被納入入侵檢測(cè)的監(jiān)視范圍.（7）入侵檢測(cè)自動(dòng)生成安全日志以便對(duì)系統(tǒng)安全審計(jì)，由于采用的是開(kāi)放式數(shù)據(jù)庫(kù)，其支持的安全分析決策系統(tǒng)對(duì)網(wǎng)絡(luò)環(huán)境安全奠定了堅(jiān)實(shí)的基礎(chǔ).

4.5 防病毒技術(shù)

計(jì)算機(jī)軟件技術(shù)的發(fā)展也促進(jìn)了病毒技術(shù)的不斷演變，計(jì)算機(jī)病毒的“變異”使其具有復(fù)雜的特性，伴隨的破壞力對(duì)計(jì)算機(jī)系統(tǒng)的安全構(gòu)成了極大威脅.在計(jì)算機(jī)病毒防護(hù)中，大多采用防病毒軟件.防病毒軟件按照功能分為單機(jī)版防病毒軟件和網(wǎng)絡(luò)版防病毒軟件兩種.單機(jī)版防病毒軟件主要應(yīng)用于本地工作站和該工作站連接的遠(yuǎn)程資源構(gòu)成的局域網(wǎng)，一般采用掃描的方式來(lái)檢測(cè)并清除病毒.網(wǎng)絡(luò)版防病毒軟件注重網(wǎng)絡(luò)上病毒的防護(hù)，當(dāng)病毒入侵網(wǎng)絡(luò)資源時(shí)，它會(huì)做出檢測(cè)響應(yīng)并加以刪除、隔離等操作.目前很多網(wǎng)絡(luò)安全產(chǎn)品琳瑯滿目，但仍會(huì)被黑客非法入侵，其根本原因是網(wǎng)絡(luò)環(huán)境自身的缺陷.所以安全防護(hù)必須盡最大力量做好，從而保證網(wǎng)絡(luò)信息的安全.

5 結(jié)束語(yǔ)

網(wǎng)絡(luò)實(shí)現(xiàn)了信息交流、資源共享等目標(biāo)，大大提高了人們生活的效率，而安全防護(hù)問(wèn)題便成為了計(jì)算機(jī)網(wǎng)絡(luò)中的重中之重.因此對(duì)網(wǎng)絡(luò)防護(hù)策略的深入研究對(duì)造福人類社會(huì)具有重要的意義.

[1〕陳斌.計(jì)算機(jī)網(wǎng)絡(luò)安全于防御.信息技術(shù)與網(wǎng)絡(luò)服務(wù)，2006（04）.

〔2〕王宏偉.網(wǎng)絡(luò)安全威脅與對(duì)策.應(yīng)用技術(shù)，2006（05）.

〔3〕夏丹丹，李剛，程夢(mèng)夢(mèng)，于亮.入侵檢測(cè)系統(tǒng)綜述.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2007（01）.

〔4〕姚華，肖琳.網(wǎng)絡(luò)安全基礎(chǔ)教程[M].北京理工大學(xué)出版社，2007.

〔5〕梁亞聲，汪永益.計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)教程[M].北京：機(jī)械工業(yè)出版社，2005.

〔6〕劉占全.網(wǎng)絡(luò)管理與防火墻[M].北京：人民郵電出版社，1999.

TP393.08

A

1673-260X（2010）06-0034-02