董 潔

（赤峰學院 計算機科學與技術系，內蒙古 赤峰 024000）

網(wǎng)絡信息安全面臨的問題及對策

董 潔

（赤峰學院 計算機科學與技術系，內蒙古 赤峰 024000）

隨著個人計算機和互聯(lián)網(wǎng)的普及，越來越多的公司依賴于使用互聯(lián)網(wǎng)經營其業(yè)務，行政機構和政府借助計算機儲存重要的信息和數(shù)據(jù)，個人利用計算機與各式各樣的終端設備享受互聯(lián)網(wǎng)的快捷和便利.但是，大量的敏感信息，大到維系公共安全的重要行政信息和軍事信息，小到個人的隱私信息，不可避免的在互聯(lián)網(wǎng)上傳遞和存儲，大量的資金通過網(wǎng)上進行轉賬，通過網(wǎng)上銀行進行支付.對于懷有惡意的計算機罪犯來說，這些都是他們所垂涎的目標.如果對其沒有適當?shù)谋Ｗo以滿足其安全性的要求，那么個人、公司或各種組織會面臨巨大的經濟風險和信任風險.為此，本文通過分析網(wǎng)絡中的安全隱患問題，提出了一些防范措施.

計算機網(wǎng)絡；安全技術；防火墻；入侵檢測；加密

1 計算機網(wǎng)絡安全概念

從本質上來講，網(wǎng)絡安全包括組成網(wǎng)絡系統(tǒng)的硬件、軟件及其在網(wǎng)絡上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞、更改、泄漏，確保系統(tǒng)能連續(xù)、可靠、正常地運行，網(wǎng)絡服務不中斷.網(wǎng)絡安全既有技術方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可.

2 計算機網(wǎng)絡的安全隱患

2.1 技術上的弱點.計算機和網(wǎng)絡技術處于快速發(fā)展之中，不可避免的會存在各類問題.以下是一些典型的技術弱點導致的安全威脅：

2.1.1 TCP/IP網(wǎng)絡——TCP/IP協(xié)議時一個開放的標準，主要用于互聯(lián)網(wǎng)通信.盡管有數(shù)量眾多的專家參與協(xié)議的制定，但是面向開放的網(wǎng)絡導致其不能保證信息傳輸?shù)耐暾院臀词跈嗟拇嫒〉冗M攻手段作出適當?shù)姆雷o.

2.1.2 操作系統(tǒng)漏洞——主流的操作系統(tǒng)如UNIX，Windows，Linux等，由于各種原因導致存在漏洞，必須由系統(tǒng)管理員經過安全配置，密切跟蹤安全報告以及及時對操作系統(tǒng)進行更新和補丁更新操作才能保證其安全性.

2.2 網(wǎng)絡結構的不安全性.因特網(wǎng)是一種網(wǎng)間網(wǎng)技術.它是由無數(shù)個局域網(wǎng)所連成的一個巨大網(wǎng)絡.當人們用一臺主機和另一局域網(wǎng)的主機進行通信時，通常情況下它們之間互相傳送的數(shù)據(jù)流要經過很多機器重重轉發(fā)，如果攻擊者利用一臺處于用戶的數(shù)據(jù)流傳輸路徑上的主機，他就可以劫持用戶的數(shù)據(jù)包.

2.3 易被竊聽.由于因特網(wǎng)上大多數(shù)數(shù)據(jù)流都沒有加密，因此人們利用網(wǎng)上免費提供的工具就很容易對網(wǎng)上的電子郵件、口令和傳輸?shù)奈募M行竊聽.

2.4 缺乏安全意識.雖然網(wǎng)絡中設置了許多安全保護屏障，但人們普遍缺乏安全意識，從而使這些保護措施形同虛設.

2.4.1 系統(tǒng)賬戶存在易被猜測的用戶名和密碼、管理員技術不足以適應崗位或由于疏忽，惰性的原因，未對默認的高權限系統(tǒng)賬戶進行處理.

2.4.2 設備未得到良好配置——如路由器，交換機或服務器使用帶有漏洞的默認配置方式，或路由器的路由表未得到良好維護，服務器的訪問控制列表存在漏洞等.

3 網(wǎng)絡安全防范的內容

一個安全的計算機網(wǎng)絡應該具有可靠性、可用性、完整性、保密性和真實性等特點.計算機網(wǎng)絡不僅要保護計算機網(wǎng)絡設備安全和計算機網(wǎng)絡系統(tǒng)安全，還要保護數(shù)據(jù)安全等.因此針對計算機網(wǎng)絡本身可能存在的安全問題，實施網(wǎng)絡安全保護方案以確保計算機網(wǎng)絡自身的安全性是每一個計算機網(wǎng)絡都要認真對待的一個重要問題.網(wǎng)絡安全防范的重點主要有兩個方面：一是計算機病毒，二是黑客犯罪.

3.1 計算機病毒.所謂計算機病毒實際是一段可以復制的特殊程序,主要對計算機進行破壞,病毒所造成的破壞非常巨大,可以使計算機和計算機網(wǎng)絡系統(tǒng)癱瘓、數(shù)據(jù)和文件丟失.在網(wǎng)絡上傳播病毒可以通過公共匿名FTP文件傳送，也可以通過郵件和郵件的附加文件傳播.

3.2 黑客.黑客（Hacker）經常會侵入網(wǎng)絡中的計算機系統(tǒng)，或竊取機密數(shù)據(jù)和盜用特權，或破壞重要數(shù)據(jù)，或使系統(tǒng)功能得不到充分發(fā)揮直至癱瘓.黑客的攻擊手段在不斷地更新,幾乎每天都有不同系統(tǒng)安全問題出現(xiàn).然而安全工具的更新速度太慢.因此,黑客總是可以使用先進的、安全工具不知道的手段進行攻擊.

4 網(wǎng)絡安全的防范措施

4.1 及時修補“漏洞”

網(wǎng)絡軟件不可能無缺陷、無漏洞,這些漏洞和缺陷正是黑客攻擊的首選目標.

4.2 利用網(wǎng)絡安全技術

4.2.1 身份認證技術.身份驗證指的是一個用戶或系統(tǒng)的實際身份是否與其所聲明的身份相符.在整個安全體系中，身份驗證是一個最關鍵的部分，這一部分也通常稱作身份鑒別和身份認證（identify& authentication）.以下介紹是一些身份驗證的方法，在良好配置和實施的情況下都能有效的維持系統(tǒng)的安全.

4.2.1.1 用戶名和密碼：使用用戶名和密碼進行身份驗證是最古老也是最有效的身份驗證手段.用戶名和密碼只有聯(lián)合作用時才能順利的完成身份認證的過程.其中缺少哪一個都是不能夠完成身份認證人物的.因此，一般來說，具有較高安全要求的系統(tǒng)中，最好能夠將用戶名和密碼分別秘密保存.

4.2.1.2 一次性密碼：一次性密碼指一條僅在短時間內使用的密碼.密碼僅在制定的時間短內有效，一旦超出該時間段，密碼立即失效.針對以密碼為目標的攻擊手段，一次性密碼能夠有效的提升系統(tǒng)的安全性并廣泛應用于Kerberos認證系統(tǒng)中.一次性密碼能夠有效的防止各類重放的攻擊，但是不能免于會話劫持或中間人攻擊這些類型的攻擊手段.

4.2.1.3 安全令牌：安全令牌指的是一種專用于身份認證的設備.一般由某位系統(tǒng)管理員發(fā)放給特定的用戶.目前通常使用的安全令牌是一個信用卡卡片大小的物理設備，可以隨身攜帶.而實際使用中，安全令牌通常與其他手段聯(lián)合使用以達到更高的安全要求.

4.2.1.4 生物檢測和識別：借助身份待驗證人的生物學特征進行身份驗證的方式成為生物檢測.一般來說，生物學特征——如指紋，掌紋，視網(wǎng)膜，虹膜等，非常難于模仿和偽造.因此，基于生物學特征的身份驗證手段通常被認為是相當安全的.另一方面，這些生物學特征是身份驗證者天生具備的，因此無需記憶或需要記錄媒體幫助記憶，在某種程度上也減少了一定的安全風險.

4.2.1.5 CHAP:挑戰(zhàn)握手協(xié)議（challenge-handshake authentication protocol）是一個用來驗證用戶或網(wǎng)絡提供者的協(xié)議，一般用于點對點協(xié)議服務器對遠程用戶的身份驗證.負責提供驗證的服務機構，可以是互聯(lián)網(wǎng)服務供應商，又或是其他驗證機構.CHAP支持單向和雙向的身份認證.

4.2.1.6 Kerberos協(xié)議是一種計算機網(wǎng)絡授權協(xié)議，用來在非安全網(wǎng)絡中，對個人通信以安全的手段進行身份認證.

4.2.1.7 數(shù)字證書：數(shù)字證書主要用于對互聯(lián)網(wǎng)上個人或組織的身份認證.可以廣泛地應用在如E-mail，電子商務，電子交易等領域，數(shù)字證書可以提供有效的保密性和不可抵賴性的保障，這使得原本互不認識的雙方通過數(shù)字證書實現(xiàn)保密通信成為可能.

4.2.2 防火墻技術.防火墻是一種被廣泛采用的重要的安全技術,它在內部網(wǎng)絡與因特網(wǎng)之間建立起一個安全網(wǎng)關,通過監(jiān)測、限制、更改數(shù)據(jù)源,盡可能地對外部網(wǎng)絡屏蔽有關被保護網(wǎng)絡的信息,從而達到抵御來自外部網(wǎng)絡的攻擊、防止不法分子入侵、保護內部網(wǎng)絡資源的目的.可見,防火墻技術最適合于在企業(yè)專網(wǎng)中使用,特別是在企業(yè)專網(wǎng)與公共網(wǎng)絡互聯(lián)時使用.

防火墻可以防范有害的數(shù)據(jù)包或者未經授權的訪問.其中，未經授權的訪問包括外部網(wǎng)絡未經授權訪問內部局域網(wǎng)或站點，也包括內部主機或工作站未經授權訪問Internet.如果增加病毒掃描功能，也能夠防止病毒木馬等惡意軟件.

反病毒軟件有時也被稱為病毒防火墻.操作系統(tǒng)應用反病毒軟件保護系統(tǒng)不受病毒，木馬和蠕蟲的侵害.通常的反病毒軟件利用存儲在軟件中的病毒特征庫對文件進行掃描來發(fā)現(xiàn)和查找病毒.在發(fā)現(xiàn)病毒以后，也能夠采用相應的措施刪除病毒或修復被病毒損壞的文件.對用戶來說，連接到互聯(lián)網(wǎng)的計算機特別應該安裝有效的反病毒軟件以防止病毒和木馬的入侵.而及時跟新病毒特征庫也是使用反病毒軟件的良好習慣.而更新式的反病毒軟件則有主動防御，啟發(fā)式查殺病毒和自動學習的功能，力求精準有效的查殺病毒.如果用戶條件允許，應該對特別需要安全保護的主機部署基于主機的入侵檢測系統(tǒng)（IDS）.

4.2.3 入侵檢測技術.入侵檢測技術是一種主動保護自己免受黑客攻擊的網(wǎng)絡安全技術,它具有監(jiān)視分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、評估敏感系統(tǒng)和數(shù)據(jù)的完整性、識別攻擊行為、對異常行為進行統(tǒng)計、自動收集和系統(tǒng)相關的補丁、進行審計跟蹤識別違反安全法規(guī)的行為等功能,使系統(tǒng)管理員可以有效地監(jiān)視、審計、評估自己的系統(tǒng).入侵檢測技術被認為是防火墻之后的第二道安全閘門.

4.2.4 漏洞掃描技術.漏洞掃描是自動檢測遠端或本地主機安全脆弱點的技術.它查詢TCP/IP端口并紀錄目標的響應,收集關于某些特定項目的有用信息.這項技術具體是由安全掃描程序實現(xiàn)的.安全掃描程序能夠對一個系統(tǒng)的代碼進行反復獲取、編譯和運行,并對上述檢測所獲得的大量數(shù)據(jù)進行分析,從而可以快速地在較大范圍內發(fā)現(xiàn)系統(tǒng)的脆弱點.

4.2.5 加密技術.采用密碼加密技術對信息加密,是最常用的安全保護措施.該技術的特征是利用現(xiàn)代的數(shù)據(jù)加密技術來保護網(wǎng)絡系統(tǒng)中包括用戶數(shù)據(jù)在內的所有數(shù)據(jù)流.只有指定的用戶或網(wǎng)絡設備才能夠解譯加密數(shù)據(jù),從而在不對網(wǎng)絡環(huán)境作特殊要求的前提下從根本上解決網(wǎng)絡安全的兩大要求(網(wǎng)絡服務的可用性和信息的完整性).這類技術一般不需要特殊的網(wǎng)絡拓撲結構支持,因而實施代價主要體現(xiàn)在軟件的開發(fā)和系統(tǒng)運行維護等方面.

4.2.6 網(wǎng)絡防毒技術.防火墻的功能只是限制網(wǎng)絡的訪問,檢測和清除病毒還要靠病毒防治軟件.目前的病毒防治軟件基本上采用的檢測原理大致有特征碼法、校驗和法、行為碼法三種方法,以提高病毒的檢測和清除率.目前的網(wǎng)絡病毒軟件一般都加入防火墻功能,是集反毒、反黑、救護于一身的產品,對于網(wǎng)絡型病毒的防治是很有效的.對于重要企業(yè)網(wǎng)絡,則應該考慮安裝專業(yè)性更強、可靠性更高、安全機制更嚴密的網(wǎng)絡防病毒系統(tǒng).近幾年有些安全產品廠商也開發(fā)出比較好的防毒硬件產品—“防毒墻”,對于網(wǎng)絡病毒具有很好的防范作用.結合企業(yè)網(wǎng)絡的特點,在網(wǎng)絡安全的病毒防護方面應該采用“多級防范,集中管理,以防為主,防治結合”的動態(tài)防毒策略.

4.2.7 網(wǎng)絡掃描工具.網(wǎng)絡掃描工具主要是指通過對網(wǎng)絡和連接到網(wǎng)絡的主機進行搜索并期望獲得有用的信息的工具.網(wǎng)絡掃描工具可以用于在部署和實施網(wǎng)絡時進行工作，以排查網(wǎng)絡系統(tǒng)中可能存在的漏洞或不足.如果安全管理人員知道攻擊者所使用的方法，如rootkit或特洛伊木馬使用的協(xié)議和端口號，可以根據(jù)這些信息對網(wǎng)絡主機進行掃描一發(fā)現(xiàn)攻擊者的蛛絲馬跡.當然，如果需要測試一個網(wǎng)絡的安全性，可以采用模擬攻擊的方式進行，而網(wǎng)絡掃描工具也是進行模擬攻擊的一個重要組成部分.

4.3 提高安全意識

4.3.1 不要隨意打開來歷不明的電子郵件及文件，不要隨便運行不太了解的人給你的程序；

4.3.2 盡量避免從Internet下載不知名的軟件、游戲程序；網(wǎng)上下載的程序或者文件在運行或打開前要對其進行病毒掃描；

4.3.3 密碼設置盡可能使用字母數(shù)字混排，單純的英文或者數(shù)字很容易窮舉；

4.3.4 及時下載安裝系統(tǒng)補丁程序；

4.3.5 應該定期升級所安裝的殺毒軟件；

4.3.6 不要隨意瀏覽黑客網(wǎng)站(包括正規(guī)的黑客網(wǎng)站)；

4.3.7 及時做好數(shù)據(jù)備份工作,確保網(wǎng)絡信息的安全；

4.3.8 每個星期都應該對電腦進行一次全面地殺毒、掃描工作,以便發(fā)現(xiàn)并消除隱藏在系統(tǒng)中的病毒；

4.3.9 應該注意盡量不要所有的地方都使用同一個密碼,這樣一旦被黑客猜測出來,一切個人資料都被泄露；

4.3.10 當不慎染上病毒時,應該立即將殺毒軟件升級到最新版本,然后對整個硬盤進行掃描操作,清除一切可以查殺的病毒.

5 結束語

計算機網(wǎng)絡安全問題是非常復雜的系統(tǒng)工程,由于網(wǎng)絡是一把雙刃劍,既要滿足開放性的應用要求,又要保證應用中的安全,我們只能不斷地去研究和探索,來維護動態(tài)的安全.

〔1〕王鳳英，程震.網(wǎng)絡與信息安全[M].中國鐵道出版社,2006.

〔2〕賀思德，申浩如.計算機網(wǎng)絡安全與應用[M].科學出版社,2007.

〔3〕張友純.計算機網(wǎng)絡安全[M].華中科技大學出版社,2006.

〔4〕陳建偉,張輝.計算機網(wǎng)絡與信息安全[M].中國林業(yè)出版社,2006.

〔5〕戴紅，王海泉，黃堅.計算機網(wǎng)絡安全[M].電子工業(yè)出版社,2004.

TP393

A

1673-260X（2011）03-0041-03