劉丹

摘要：計算機網(wǎng)絡的安全問題一直備受關注和重視，在復雜的信息化條件下尤為重要，網(wǎng)絡安全不可忽視。該文通過對當前網(wǎng)絡安全情況的分析，探討網(wǎng)絡安全防范措施，提高網(wǎng)絡安全，是需要我們認真思考的問題。

關鍵詞：計算機網(wǎng)絡；網(wǎng)絡安全；防范措施

中圖分類號：TP271文獻標識碼：A文章編號：1009-3044(2012)20-4806-02

Inspiration and Thinking of the Computer Network Security

LIU Dan

(Chongqing College of Electronic Engineering, Chongqing 401331, China)

Abstract: Computer network security can not be ignored under the complex information technology surroundings, which has been much concerned and taken seriously. This paper analyzed the current network security situation and explored the measures to prevent computer network security threats. Improving network security should be seriously thought.

Key words: computer network; network security; precautionary measure

據(jù)國家計算機網(wǎng)絡應急協(xié)調中心網(wǎng)絡安全報告，基礎設施和重要信息系統(tǒng)整體上運行基本正常，未出現(xiàn)造成影響嚴重的網(wǎng)絡安全事故，但是網(wǎng)絡攻擊的次數(shù)、頻率和復雜度均比往年大幅度增加，遭入侵和受控計算機數(shù)量巨大，潛在威脅繼續(xù)增加，信息數(shù)據(jù)安全問題日益突出，計算機網(wǎng)絡的安全形勢依舊十分嚴峻。主要表現(xiàn)在，一是政府網(wǎng)頁被篡改事件大幅度增加。據(jù)統(tǒng)計顯示，我國大陸地區(qū)被篡改網(wǎng)站總數(shù)比往年同期增長41%，占被篡改網(wǎng)站總數(shù)的比例達7%，而gov.cn域名僅占cn域名總數(shù)的2.3%。二是感染木馬和僵尸網(wǎng)絡的主機數(shù)量巨大。國家互聯(lián)網(wǎng)應急協(xié)調中心抽樣檢測，境內外控制者利用木馬控制端對主機進行的控制事件中，木馬控制端IP網(wǎng)絡地址總數(shù)、被控制端IP地址總數(shù)均高舉不下。中國大陸地區(qū)有2百多萬個IP地址的主機被植入僵尸程序，有2270個境外控制服務器對大陸地區(qū)的主機進行了僵尸網(wǎng)絡控制。三是惡意代碼的肆虐傳播是造成木馬和僵尸網(wǎng)絡產(chǎn)生和擴大的一大途徑。國家互聯(lián)網(wǎng)應急中心通過技術平臺共捕獲惡意代碼約90萬個，比上年同期增長62.5%，其中有新的惡意代碼樣本，有通過國內外合作渠道接收到的惡意代碼。這些惡意代碼中，以惡意代碼下載器、灰鴿子家族系列，以及與網(wǎng)絡游戲有關的惡意程序居多，對終端用戶的威脅也最為突出。

1理性分析，網(wǎng)絡安全道路依然漫長

1）應用軟件漏洞是各種安全威脅的主要根源。在軟件系統(tǒng)漏洞的防護上，人們往往重視操作系統(tǒng)漏洞的查找和補丁升級。實際上，近年來，應用軟件安全漏洞的威脅越來越大，已經(jīng)超過了操作系統(tǒng)漏洞。從目前所掌握的安全漏洞情況分析來看，有部分漏洞直接威脅到互聯(lián)網(wǎng)基礎設施的運行安全，更多的漏洞則嚴重威脅到廣大互聯(lián)網(wǎng)用戶的信息系統(tǒng)。如，Realplay播放器軟件漏洞、聯(lián)眾世界軟件漏洞等。同時，針對漏洞出現(xiàn)的攻擊程序、代碼也呈目的性強、時效性高的趨勢。

2）電子郵件成為達成精確控制的常用手段。對于電子郵件的安全威脅，人們通常只注意到盡量不打開陌生人發(fā)送過來的電子郵件，特別是不打開郵件中的附件，這的確是一種好的安全防范習慣。但據(jù)了解，目前互聯(lián)網(wǎng)上流行的電子郵件系統(tǒng)，其郵件用戶設置的復雜密碼無一例外地可以被專業(yè)人員破解，而用戶密碼一旦被他人獲得，即使是由熟悉人員所發(fā)送過來的郵件中，也可能在原有的郵件中被他人注入了木馬和病毒程序。利用電子郵件對待定目標主機實施遠程控制是當前最常見、最精確的滲透控制手段之一。

3）擺渡型攻擊技術逐漸成熟并廣泛應用于針對內部網(wǎng)絡的攻擊。擺渡型攻擊以移動存儲設備、光盤、電子文檔等為主要途徑，借助木馬、蠕蟲、病毒等惡意代碼，在與互聯(lián)網(wǎng)物理隔離的內網(wǎng)中交換數(shù)據(jù)、傳播病毒，進行破壞和癱瘓目標網(wǎng)絡。根據(jù)最新的網(wǎng)絡攻擊理論和實踐，所有的網(wǎng)絡都會與外部進行數(shù)據(jù)交換，已不存在絕對封閉的內部網(wǎng)絡。不論什么網(wǎng)絡，總要進行系統(tǒng)和應用軟件的更新，或進行防病毒系統(tǒng)補丁的更新，此時就相當于建立了對外連接的通道。就算是全封閉的物理隔離網(wǎng)絡，由于不能及時修補各種安全漏洞，一旦解決了進入問題，實施攻擊將更容易達成目的。因此，物理隔離固然重要，但未必能確保網(wǎng)絡的絕對安全。實際上，采用物理隔離的內部網(wǎng)絡中所出現(xiàn)的計算機病毒程序，基本上都是由移動存儲介質從外界帶入的。以往那種認為網(wǎng)絡只要物理隔離就可高枕無憂的想法是不正確的。需強調的是，即使是利用光盤進行內外網(wǎng)數(shù)據(jù)交換，病毒和木馬后門程序照樣可以通過OFFICE電子文檔、圖片文件等進行傳播。

4）分布式拒絕服務攻擊成為大規(guī)模網(wǎng)絡癱瘓攻擊的主要手段。所謂分布式拒絕服務攻擊就是在特定時刻由控制者向事先控制的、分布在不同地域的眾多網(wǎng)絡主機發(fā)出攻擊指令，受控主機收到攻擊指令后，會同時向指定的目標網(wǎng)絡節(jié)點或服務器發(fā)送類似于正常用戶訪問的數(shù)據(jù)包，使得目標網(wǎng)絡主機來不及響應處理，或致使目標網(wǎng)絡信道擁塞，進而造成目標網(wǎng)絡或主機無法（拒絕）提供正常服務。如發(fā)生在2007年4、5月間的俄羅斯對愛沙尼亞的大規(guī)模分布式拒絕服務攻擊，導致了愛沙尼亞由先期的政府、媒體網(wǎng)絡迅速蔓延到通信、銀行等各公共服務網(wǎng)絡，大量網(wǎng)站被迫關閉，就連其總統(tǒng)府網(wǎng)站也未能幸免。

2啟示思考，我國網(wǎng)絡安全防護任重道遠

對于復雜的因特網(wǎng)來說，事實上，有“網(wǎng)”必有“洞”，有“洞”就能鉆，我們必須居安思危，嚴密防范。

1）要強化安全憂患意識，堅持動態(tài)防御和體系保障理念。信息安全保障是一個復雜的系統(tǒng)工程，要從安全策略、隔離控制、密碼保護、授權認證、實體安全、檢測預警、響應恢復和安全管理等多個方面實行整體性防御。要破除密碼全能觀念，不能以為安裝了核心密碼設備的網(wǎng)絡就一定可以高枕無憂了。實際上，密碼只能解決數(shù)據(jù)交互過程中的保密問題，不能解決網(wǎng)絡安全所以問題；密碼僅對局外人員有效，用戶之間的信息交換只是在數(shù)據(jù)傳遞和存儲過程中的加密，而末端應用時是經(jīng)過解密過的數(shù)據(jù)；病毒、木馬后門等攻擊程序通常是合法數(shù)據(jù)包裹在一起的。網(wǎng)絡安全必須從采集、加工、傳遞、存儲、應用的全過程，按照同一密級要求實行全程管理。

信息安全保障還是一種持續(xù)的動態(tài)發(fā)展過程，通常要通過策略、防護、檢測、響應和恢復構成一個完整的、動態(tài)螺旋式的循環(huán)上升鏈，進而不斷改進和完善。安全防范應貫穿于信息系統(tǒng)整個生命周期，只要信息系統(tǒng)存在，安全隱患也就永遠存在，安全防范就不能停止。

2）要注重系統(tǒng)頂層設計，重視應用軟件的安全性測試。網(wǎng)絡構建通常伴隨著重要的網(wǎng)絡應用，要通過頂層設計統(tǒng)籌考慮網(wǎng)絡應用與網(wǎng)絡防護的關系。在處理應用系統(tǒng)與安全防護系統(tǒng)可能存在的沖突時，要優(yōu)先考慮安全問題，要在確保安全性的前提下實現(xiàn)業(yè)務系統(tǒng)的功能；在加強自研軟件安全性測試的同時，要加強對外協(xié)和外購軟件的安全測試，努力防止業(yè)務系統(tǒng)集成過程中出現(xiàn)安全漏洞。

3）要正視安全的相對性，積極應付各種可能復雜情況。網(wǎng)絡安全永遠是相對的，要有入侵容忍的思想，不應過分強調嚴防死守，因為防護手段永遠比進攻手段落后半拍；從費效比和網(wǎng)絡應用角度看，過度的防護也不可取。因此，要有防線一旦被攻破的思想準備，要通過響應、恢復、補救方案和措施，將損失降低到最小程度。

4）要采取主動防御戰(zhàn)略，注意加強攻擊溯源技術研究。保障網(wǎng)絡系統(tǒng)安全，不僅要查找自身的薄弱點，及時修補漏洞；同時，還應具備攻擊源速度定位能力。只有找到了攻擊的源頭，才能更有效地采取應對措施，更好地把握網(wǎng)絡防御的主動權。近幾次發(fā)生在因特網(wǎng)上的大規(guī)模網(wǎng)絡攻擊事件，都呈現(xiàn)出網(wǎng)絡攻擊手段多樣、手法隱蔽、源頭難以追溯等特點，即使是內部網(wǎng)絡中發(fā)生的病毒傳播現(xiàn)象，也很少有單位能夠鎖定到確切的傳播源，這些事件和現(xiàn)象突出反映了主動防御對保障網(wǎng)絡安全的重要性和緊迫性。加強對網(wǎng)絡攻擊溯源技術和手段的研究，迅速定位攻擊源頭，及時獲得并分析病毒、木馬等攻擊代碼程序樣本，研究反制措施，已成為網(wǎng)絡安全防護體系中不可或缺的重要組成部分。

5）要樹立人才第一觀念，高度重視核心骨干人才培養(yǎng)。網(wǎng)絡攻防拼的是技術、靠的是人才，要的是機制。事實上，網(wǎng)絡防御對抗時技術的較量、人才的博弈，沒有骨干人才就沒有良好的安全保障。安全防護不適安全產(chǎn)品的簡單堆砌，要運用綜合集成思想，將各種檢測、防護、響應手段圍繞安全策略的具體需求有序地組織，相互之間要形成協(xié)調、聯(lián)動的關系；要針對應用中發(fā)現(xiàn)的問題，根據(jù)實際需求或應用變化的情況，不斷地加以改進和完善；網(wǎng)絡安全絕不是單純一次性地購出來、建出來的，而是通過人配出來、改出來、管出來的，這就決定了人才是網(wǎng)絡安全的核心要素。

參考文獻:

[1]謝希仁.計算機網(wǎng)絡[M].北京:電子工業(yè)出版社,2003.

[2] Andraw S,Tanenbaum.計算機網(wǎng)絡[M].3版.熊桂喜,王小虎,譯.北京:清華大學出版社,1998.

[3]劉占全.網(wǎng)絡管理與防火墻技術[M].北京:人民郵電出版社,2005.

[4]肖軍模.網(wǎng)絡信安全與對抗[M].北京:解放軍出版社,1999.

[5]胡昌振.面向21世紀網(wǎng)絡安全與防護[M].北京:北京希望電子出版社,1999.

[6]高永強.網(wǎng)絡安全技術與應用大典[M].北京:人民郵電出版社,2003.