黃石泉

摘要：本文介紹了網(wǎng)絡(luò)安全的主要危險，闡述了一些基本的防范技術(shù)以及安全策略，供大家參考。

關(guān)鍵詞：計算機；網(wǎng)絡(luò)安全；防范技術(shù)；安全策略

1 前言

計算機網(wǎng)絡(luò)的迅速發(fā)展，特別是Intemet在全球的普及．計算機網(wǎng)絡(luò)的安全問題已引起人們的極大重視。由于計算機網(wǎng)絡(luò)的自身特點——聯(lián)結(jié)形式多樣性、終端分布不均勻以及網(wǎng)絡(luò)的開放性、互聯(lián)性，致使網(wǎng)絡(luò)易受到非法入侵，而計算機網(wǎng)絡(luò)的安全直接影響到政治、經(jīng)濟、軍事、科學(xué)以及日常生活等各個領(lǐng)域。網(wǎng)絡(luò)的安全措施應(yīng)能全方位地針對各種不同的威脅，確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。

2 網(wǎng)絡(luò)信息安全的主要威脅

網(wǎng)絡(luò)安全所面臨的威脅來自很多方面，并且隨著時間的變化而變化。這些威脅可以宏觀地分為人為威脅和自然威脅。

2．1 自然威脅

自然威脅可能來自于各種自然災(zāi)害、惡劣的場地環(huán)境、電磁輻射和電磁干擾、網(wǎng)絡(luò)設(shè)備的自然老化等。這些無目的的事件，有時會直接威脅網(wǎng)絡(luò)的安全，影響信息的存儲媒體。

2．2 人為威脅——一黑客攻擊與計算機病毒

人為威脅就是說對網(wǎng)絡(luò)的人為攻擊。這些攻擊手段都是通過尋找系統(tǒng)的弱點，以便達(dá)到破壞、欺騙、竊取數(shù)據(jù)等目的，造成經(jīng)濟上和政治上不可估量的損失。

網(wǎng)絡(luò)安全的人為威脅主要來自用戶和惡意軟件即計算機病毒的非法侵入，計算機病毒是利用程序干擾或破壞系統(tǒng)正常工作的一種手段，它的產(chǎn)生和蔓延給信息系統(tǒng)的可靠性和安全性帶來嚴(yán)重的威脅和巨大的損失。

3 網(wǎng)絡(luò)安全的幾項關(guān)鍵防范技術(shù)

3．1 防火墻技術(shù)

防火墻(firewal1)是指一個由軟件內(nèi)部或和硬件設(shè)備組合而成，用在專用網(wǎng)(如企業(yè)網(wǎng)、校園網(wǎng))和Internet之間設(shè)置的安全系統(tǒng)。它的作用是限制外界用戶內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限，是設(shè)置在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障。根據(jù)防火墻的結(jié)構(gòu)，它可以干預(yù)不同網(wǎng)絡(luò)的任何消息傳送。

防火墻可以決定一個數(shù)據(jù)組或一種連接是否通過，這種結(jié)構(gòu)能夠保護網(wǎng)絡(luò)的安全性。

3．1．1 防火墻的優(yōu)點。① 防火墻充當(dāng)一個安全策略的檢查站；②防火墻能記錄互聯(lián)網(wǎng)上的活動；③防火墻能保護暴露的用戶點；④ 防火墻加強了安全策略。

3．1．2 防火墻的組成。防火墻主要有安全操作系統(tǒng)、過濾器、域名服務(wù)、網(wǎng)關(guān)和E—mail處理5部分組成，防火墻各組成部分的功能如下：①過濾器執(zhí)行由防火墻管理機構(gòu)制定的一組規(guī)則，對各數(shù)據(jù)進行檢驗。這些規(guī)則按IP地址、端口號碼和各類應(yīng)用等參數(shù)確定。②域名服務(wù)使內(nèi)域中主機的內(nèi)部地址不會暴露給Internet中的用戶，使內(nèi)域網(wǎng)的域名與Internet相隔離。③網(wǎng)關(guān)的功能往往由代理服務(wù)器提供，它可以在TCP／IP應(yīng)用級上控制信息流和認(rèn)證用戶。由于代理服務(wù)器在應(yīng)用級上運行，因此，每一種應(yīng)用有一個分離的代理服務(wù)器。網(wǎng)內(nèi)外代理服務(wù)器要彼此相互認(rèn)證，以防止非法用戶進出專用網(wǎng)。Socks服務(wù)器也通過防火墻提供網(wǎng)關(guān)支持，它可以修正客戶機的軟件，而不改動用戶的程序。④安全的e—mail保護不同網(wǎng)絡(luò)用戶之間的通信，安全的web保護兩個web用戶之間的數(shù)據(jù)傳遞與交換。

3．2 數(shù)據(jù)加密技術(shù)

與防火墻配合使用的數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性。防止秘密數(shù)據(jù)被外部破壞所采用的主要技術(shù)手段之一，它的思想核心就是既然網(wǎng)絡(luò)本身并不安全可靠，那么所有重要信息就全部通過加密處理。按作用不同。數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存貯、數(shù)據(jù)完整性的鑒別密鑰管理技術(shù)4種。加密技術(shù)是一種效率高而又靈活的安全手段，值得在企業(yè)網(wǎng)絡(luò)中加以推廣。近幾年來我國對加密算法的研究主要集中在密碼強度分析和實用化研究上。

3．3 智能卡技術(shù)

與數(shù)據(jù)加密技術(shù)緊密相關(guān)的另一項技術(shù)則是智能卡技術(shù)。所謂智能卡就是密匙的一種媒體，一般就像信用卡一樣，由授權(quán)用戶所持有并由該用戶賦予它一個口令或密碼字，該密碼與網(wǎng)絡(luò)服務(wù)器上注冊的密碼一致，當(dāng)口令與身份特征共同使用時，智能卡的保密性能還是相當(dāng)有效的。

4計算機網(wǎng)絡(luò)的安全策略

4．1 物理安全策略

物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；驗證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發(fā)生。抑制和防止電磁泄漏，是物理安全策略的一個主要問題。目前主要防護措施有兩類：一類是對傳導(dǎo)發(fā)射的防護，主要采取對電源線和信號線加裝性良好的濾波器，減小傳輸阻抗和導(dǎo)線間的交叉耦合。另一類是對輻射的防護，這類防護措施又可分為以下兩種：一是采用各種電磁屏蔽措施，如對設(shè)備的金屬屏蔽和各種接插件的屏蔽；二是干擾的防護措施，即在計算機系統(tǒng)工作的同時，利用干擾裝置產(chǎn)生一種與計算機系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來掩蓋計算機系統(tǒng)的工作頻率信息特征。

4．2 訪問控制策略

入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時間和準(zhǔn)許他們在哪臺工作站入網(wǎng)。用戶的入網(wǎng)訪問控制可分為三個步驟：用戶名的識別與驗證，用戶口令的識別與驗證。用戶賬號的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未過，該用戶便不能進入該網(wǎng)絡(luò)。對網(wǎng)絡(luò)用戶的用戶名和口令進行驗證是防止非法訪問的首道防線和入網(wǎng)的關(guān)鍵所在。為保證口令的安全性?？诹畋仨毥?jīng)加密，加密的方法最常見的有：基于單向函數(shù)的口令加密，基于測試模式的加令加密，基于公鑰加密方案的口令加密，基于平方剩余的口令加密，基于多項式共享的口令加密，基于數(shù)字簽名方案的口令加密等。經(jīng)過上述方法加密的口令，即使是系統(tǒng)管理員也難以得到它。用戶還可采用一次性用戶口令。也可用便攜式驗證器(如智能卡)來驗證用戶的身份。網(wǎng)絡(luò)管理員應(yīng)該可以控制和限制普通用戶的賬號使用，訪問網(wǎng)絡(luò)的時間、方式。用戶名或用戶賬號是所有計算機系統(tǒng)中最基本的安全形式。用戶賬號應(yīng)只有系統(tǒng)管理員才能建立。用戶可以修改自己的口令。但系統(tǒng)管理員應(yīng)控制口令的最小長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效后允許入網(wǎng)的寬限次數(shù)。用戶名和口令驗證有效之后。再進一步執(zhí)行用戶賬號的缺省限制檢查。網(wǎng)絡(luò)應(yīng)該能控制用戶登錄入網(wǎng)的站點。限制用戶入網(wǎng)的時間和工作站數(shù)量。當(dāng)用戶對交費網(wǎng)絡(luò)的訪問“資費”用盡時，網(wǎng)絡(luò)應(yīng)對甩戶賬號加以限制。使其無法訪問網(wǎng)絡(luò)資源。網(wǎng)絡(luò)應(yīng)對所有用戶的訪問進行審計。

4．3 目錄級安全控制

網(wǎng)絡(luò)應(yīng)允許控制用戶對目錄、文件、設(shè)備的訪問。用戶在目錄一級指定的權(quán)限制對所有文件和子目錄有效。用戶還可進一步指定對目錄下的子目錄和文件的權(quán)限。對目錄和文件的訪問權(quán)限一般有八種：系統(tǒng)管理員權(quán)限、讀權(quán)限、寫權(quán)限、創(chuàng)建權(quán)限、刪除權(quán)限、修改權(quán)限、文件查找權(quán)限、存取控制權(quán)限。用戶對文件或目標(biāo)的有效權(quán)限取決于以下幾個因素：用戶的受托者指派、用戶所在組的受托者指派、繼承權(quán)限屏蔽取消的用戶權(quán)限。一個網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)當(dāng)為用戶指定適當(dāng)?shù)脑L問權(quán)限以控制用戶對服務(wù)器的訪問。八種訪問權(quán)限的有效組合能有效地控制用戶對服務(wù)器資源的訪問，從而加強了網(wǎng)絡(luò)和服務(wù)器的安全性。

5 結(jié)束語

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個潛在的巨大問題。網(wǎng)絡(luò)安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構(gòu)成犯罪行為的問題。在其最簡單的形式中，它主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關(guān)心的對象是那些無權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。

網(wǎng)絡(luò)安全的目的在于為用戶提供信息的保密，認(rèn)證和完整性保護機制，使網(wǎng)絡(luò)中的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞。比如防火墻，認(rèn)證，加密技術(shù)等都是當(dāng)今常用的方法。