劉 磊

（中交二航局第一工程有限公司，武漢 430012）

隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，互聯(lián)網(wǎng)的應(yīng)用變得越來越廣泛深入，在帶來了前所未有的海量信息的同時，網(wǎng)絡(luò)的開放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性，網(wǎng)絡(luò)信息的安全性變得日益重要起來，已被信息社會的各個領(lǐng)域所重視。也被各單位領(lǐng)導(dǎo)重視，是一件大事情。

計算機網(wǎng)絡(luò)安全技術(shù)涉及內(nèi)容很多，具體來說，主要由防病毒、防火墻等多個安全組件組成，一個單獨的組件無法確保網(wǎng)絡(luò)信息的安全性。目前廣泛運用和比較成熟的網(wǎng)絡(luò)安全技術(shù)主要有：防火墻技術(shù)、數(shù)據(jù)加密技術(shù)等，以下就此幾項技術(shù)分別進(jìn)行分析。

1 嚴(yán)格抓好計算機的大門——防火墻技術(shù)不可少

計算機必須抓好的第一道門是防火墻。防火墻是指一個由軟件或和硬件設(shè)備組合而成，處于企業(yè)或網(wǎng)絡(luò)群體計算機與外界通道之間，限制外界用戶對內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。防火墻是網(wǎng)絡(luò)安全的屏障，配置防火墻是實現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟、最有效的安全措施之一。當(dāng)一個網(wǎng)絡(luò)接上Internet之后，系統(tǒng)的安全除了考慮計算機病毒、系統(tǒng)的健壯性之外，更主要的是防止非法用戶的入侵，而目前防止的措施主要是靠防火墻技術(shù)完成。防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。通過以防火墻為中心的安全方案配置，能將所有安全軟件配置在防火墻上。其次對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計。如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當(dāng)發(fā)生可疑動作時，防火墻能進(jìn)行適當(dāng)?shù)膱缶?，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息，再次防止內(nèi)部信息的外泄。利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而降低了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響，這是最重要的一個關(guān)口。

2 努力實現(xiàn)靜態(tài)WEB服務(wù)——一個重要的方面

抓好靜態(tài)內(nèi)容的環(huán)節(jié)是必要的?，F(xiàn)在的網(wǎng)站包含大量的動態(tài)內(nèi)容以提高用戶體驗，比過去要復(fù)雜得多。所謂動態(tài)內(nèi)容，就是根據(jù)用戶環(huán)境和需要，WEB應(yīng)用程序能夠輸出相應(yīng)的內(nèi)容。動態(tài)站點會受到一種名為“跨站腳本攻擊”（Cross Site Scripting，安全專家們通常將其寫成XSS）的威脅，而靜態(tài)站點則完全不受其影響。

這樣，用戶在瀏覽網(wǎng)站時，通常會點擊其中的鏈接，攻擊者通過在鏈接中插入惡意代碼，就能夠盜取用戶信息。網(wǎng)站在接收到包含惡意代碼的請求之后會產(chǎn)成一個包含惡意代碼的頁面，而這個頁面看起來就像是那個網(wǎng)站應(yīng)當(dāng)生成的合法頁面一樣，惡意腳本執(zhí)行后會盜取用戶的敏感信息。

由此可知，使網(wǎng)站管理后臺和WEB站點分離，通過推送的方式將生產(chǎn)的靜態(tài)文件發(fā)送到WEB站點，從而達(dá)到我們的目標(biāo)。

3 企業(yè)郵箱的安全——不可忽略的方面

沒有郵箱，就少了一個通道。企業(yè)郵箱在公司里普遍應(yīng)用，但往往安全防護做得不夠好。郵件服務(wù)器使用HTTP協(xié)議以明文形式傳輸數(shù)據(jù)，沒有采取任何加密措施，用戶的重要數(shù)據(jù)很容易在網(wǎng)上被抓包軟件竊取，現(xiàn)在比較流行的做法是使用SSL增強郵件服務(wù)器的通信安全。使用的是“HTTPS”協(xié)議，格式為“https：／／郵件服務(wù)器域名”。

SSL（Security Socket Layer）全稱是加密套接字協(xié)議層，位于HTTP協(xié)議層和TCP協(xié)議層之間，用于建立用戶與服務(wù)器之間的加密通信，確保所傳信息的安全性，是一種通過公用密鑰和私有密鑰數(shù)字證書來實現(xiàn)網(wǎng)絡(luò)傳輸?shù)陌踩珯C制。

SSL證書必須由可信任CA（認(rèn)證機構(gòu)）的根證書頒發(fā)，各大瀏覽器和操作系統(tǒng)供應(yīng)商都認(rèn)可GlobalSign公司是合法的CA。除此以外，瀏覽器將會向終端用戶顯示證書不可信的錯誤信息。GlobalSign公司提供證書服務(wù)費用昂貴，一般企業(yè)沒有必要購買，自主設(shè)立SSL認(rèn)證即可，瀏覽器的錯誤提示并不妨礙企業(yè)郵箱的應(yīng)用。抓好郵箱我們才能讓公司的計算機功能比較全面起來。

4 容易被忽視的IPV6——再加一道鎖

面對無孔不入的攻擊，在從IPV4向IPV6過渡的過程中，一些攻擊者已經(jīng)開始使用IPV6地址空間來偷偷向IPV4網(wǎng)絡(luò)發(fā)起攻擊。眾所周知，企業(yè)間從IPV4向IPV6過渡過程非常緩慢，而很多網(wǎng)絡(luò)罪犯就鉆了這個空子，很多攻擊者在IPV6基礎(chǔ)設(shè)施散步垃圾郵件并且利用了錯誤配置的防火墻的缺點。

我們知道，很多現(xiàn)代防火墻在默認(rèn)配置下都是讓IPV6流量自行通過的，對IPV6難以部署的普遍觀念讓企業(yè)很容易受到潛在攻擊。

另外，不需要使用IPV6或者沒有完成過渡的企業(yè)應(yīng)該關(guān)閉所有系統(tǒng)上的IPV6，或者，企業(yè)應(yīng)該“像IPV4一樣對攻擊進(jìn)行監(jiān)控和抵御”。

5 技術(shù)與管理相結(jié)合——全方位的把關(guān)

技術(shù)與管理不是孤立的，對于一個信息化的企業(yè)來說，網(wǎng)絡(luò)信息安全不僅僅是一個技術(shù)問題，也是一個管理問題。在很多病毒或安全漏洞出現(xiàn)不久，網(wǎng)上通常就會有相應(yīng)的殺毒程序或者軟件補丁出現(xiàn)，很多用戶（包括企業(yè)級用戶）沒有養(yǎng)成主動維護系統(tǒng)安全的習(xí)慣，同時也缺乏安全方面良好的管理機制。

又比如，在互聯(lián)網(wǎng)工程任務(wù)組（Internet Engineering Task Force，IETF）發(fā)布修復(fù)SSL協(xié)議中存在的漏洞（主要影響服務(wù)器、瀏覽器、智能卡和VPN產(chǎn)品，以及很多低端設(shè)備，如攝像頭等）的安全補丁的一年多后，仍然有四分之一的SSL網(wǎng)站沒有安裝這個補丁，這讓這些網(wǎng)站很容易受到攻擊。

公司和企業(yè)網(wǎng)絡(luò)安全是一個永遠(yuǎn)說不完的話題，今天企業(yè)網(wǎng)絡(luò)安全已被提到重要的議事日程。一個安全的網(wǎng)絡(luò)系統(tǒng)的保護不僅和系統(tǒng)管理員的系統(tǒng)安全知識有關(guān)，而且和領(lǐng)導(dǎo)的決策、工作環(huán)境中每個員工的安全操作等都有關(guān)系。特別是從事計算機技術(shù)管理的人員，更是要切實承擔(dān)起細(xì)致管理、經(jīng)常管理、科學(xué)管理的責(zé)任。

6 結(jié)束語

總之，企業(yè)計算機網(wǎng)絡(luò)安全是一個綜合性的課題，涉及技術(shù)、管理、使用等許多方面，網(wǎng)絡(luò)安全是動態(tài)的，新的Internet黑客站點、病毒與安全技術(shù)每日劇增。既包括信息系統(tǒng)本身的安全問題，也包括管理問題，因此只有嚴(yán)格的保密措施、明晰的安全策略才能完好、實時地保證信息的完整性和確證性，也才能為企業(yè)的發(fā)展提供強大的技術(shù)保障。把握住企業(yè)網(wǎng)絡(luò)安全的大門，從而確保企業(yè)活動的順利健康運轉(zhuǎn)，為公司和企業(yè)的發(fā)展壯大做出貢獻(xiàn)。