朱智

摘要：計算機網(wǎng)絡(luò)普遍存在安全問題。國際互聯(lián)網(wǎng)存在信息管理失控，網(wǎng)絡(luò)犯罪防不勝防。我國網(wǎng)絡(luò)安全形勢嚴峻。我們需要一個正確的安全策略，需要有效并且經(jīng)濟的網(wǎng)絡(luò)安全技術(shù)防范措施，包括局域網(wǎng)安全技術(shù)防范措施和廣域網(wǎng)安全技術(shù)防范措施。

關(guān)鍵詞：計算機；惡意攻擊；安全策略

1.網(wǎng)絡(luò)安全環(huán)境的現(xiàn)狀

據(jù)統(tǒng)計，現(xiàn)在全球平均每20秒鐘就發(fā)生一次網(wǎng)上入侵事件，一旦黑客找到系統(tǒng)的薄弱環(huán)節(jié)，所有用戶均會遭殃。從國內(nèi)情況來看，目前我國95％的與因特網(wǎng)相聯(lián)的網(wǎng)絡(luò)管理中心都遭到過境內(nèi)外黑客的攻擊或侵入。當前由于這樣或那樣的原因，對網(wǎng)絡(luò)的攻擊很難完全遏制?；蛟S，任何硬件和軟件都不可能真正成為“金剛身”，網(wǎng)絡(luò)安全是網(wǎng)絡(luò)時代永恒的任務(wù)。

2.影響網(wǎng)絡(luò)安全的原因

2.1 網(wǎng)絡(luò)資源的共享性

計算機應(yīng)用的主要表現(xiàn)便是網(wǎng)絡(luò)資源共享。當e-mail(電子郵件)、FTP(文件下載)和telnet(遠程登錄)的命令都規(guī)定為標準化時，學(xué)習和使用網(wǎng)絡(luò)對于非工程技術(shù)人員變的非常容易。很多時候，在將自己的重要資料共享給局域網(wǎng)中的其他用戶訪問時，我們往往有很大的隨意性，這種做法帶來了安全隱患。美國情報部門認為，現(xiàn)在很多極有價值的情報都可以在互聯(lián)網(wǎng)上找到，網(wǎng)絡(luò)搜尋幾乎能夠取代費盡人力物力且風險極大的傳統(tǒng)間諜手段。美國軍方研究中國軍情的權(quán)威文件——《中國軍事與安全態(tài)勢發(fā)展報告》中，有相當一部分信息取自中國軍迷們發(fā)布的網(wǎng)絡(luò)信息。為了滿足互聯(lián)網(wǎng)情報資源開發(fā)的需要，2005年11月，美國中央情報局組建了“開源情報中心”，專門負責搜集全球各個網(wǎng)站、論壇、博客里的軍事信息。通過網(wǎng)上信息，結(jié)合已掌握的情況，美軍不僅能夠了解他國基本軍事動態(tài)，還能夠獲取武器裝備數(shù)據(jù)、軍事人員信息等核心機密。

2.2 網(wǎng)絡(luò)的開放性

開放性是因特網(wǎng)最根本的特性，整個因特網(wǎng)就是建立在自由開放的基礎(chǔ)之上的?；ヂ?lián)網(wǎng)的開放性不僅僅是技術(shù)層面上的，它還有更深的底蘊。開放性意味著任何人都能夠得到發(fā)表在網(wǎng)絡(luò)上的任何事物，意味著任何個人、任何組織包括國家和政府，都不能完全控制互聯(lián)網(wǎng)。這實質(zhì)上意味著個體權(quán)利和能力的擴張及其對傳統(tǒng)的金字塔模式的社會政治經(jīng)濟結(jié)構(gòu)和體制的消解。任何一個國家都是一個封閉程度不一的實體，它壟斷著信息，孤立的個人在強大的壟斷組織面前是弱小無依的，根本沒有力量同國家對抗。而開放網(wǎng)絡(luò)的出現(xiàn)在很大程度上削弱了國家對信息的控制，為個體對國家和社會的基于實力平等的挑戰(zhàn)提供了可能。

2.3 網(wǎng)絡(luò)操縱系統(tǒng)的漏洞

一個較為通俗的網(wǎng)絡(luò)漏洞的描述性定義是：存在于計算機網(wǎng)絡(luò)系統(tǒng)中的、可能對系統(tǒng)中的組成和數(shù)據(jù)造成損害的一切因素。網(wǎng)絡(luò)漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。具體舉例來說，比如在IntelPentium芯片中存在的邏輯錯誤，在Sendmail早期版本中的編程錯誤，在NFS協(xié)議中認證方式上的弱點，在Unix系統(tǒng)管理員設(shè)置匿名Ftp服務(wù)時配置不當?shù)膯栴}都可能被攻擊者使用，威脅到系統(tǒng)的安全。因而這些都可以認為是系統(tǒng)中存在的安全漏洞。

2.4 惡意攻擊

目前，網(wǎng)絡(luò)惡意攻擊呈現(xiàn)出以下新特點：一是過去電腦用戶只有在登錄色情、賭博等不良網(wǎng)站時或使用盜版軟件時才容易遭到惡意攻擊，但現(xiàn)在不少旅游、購物和游戲等網(wǎng)站也成為黑客用來發(fā)動惡意攻擊的平臺。二是過去的惡意攻擊沒有組織性，大多由不諳世事的年輕人所為，但現(xiàn)在的網(wǎng)絡(luò)攻擊不僅組織性高，而且專業(yè)性強，由不同的軟件開發(fā)小組操控。三是過去網(wǎng)絡(luò)黑客往往通過傳遞郵件的方式發(fā)動惡意攻擊，這種方式比較容易識別，但目前黑客是趁用戶下載某些軟件之際悄悄發(fā)動攻擊，令用戶難以識別。四是黑客利用第三方的廣告將惡意軟件侵入用戶系統(tǒng)，比如黑客會利用某個廣告提醒用戶，其系統(tǒng)已感染病毒，當用戶根據(jù)廣告提示去鏈接某個據(jù)說能殺病毒的網(wǎng)站時，這時“潛伏”在這個網(wǎng)站的惡意軟件便會侵入用戶系統(tǒng)。五是黑客會設(shè)計用戶信任的銀行等網(wǎng)站的標識，當用戶放松警惕登錄這一網(wǎng)站時，便會遭到惡意軟件的攻擊。

3.網(wǎng)絡(luò)安全的防范措施

常用的計算機網(wǎng)絡(luò)安全技術(shù)有五種：防火墻(Fire Wall)技術(shù)，數(shù)據(jù)加密技術(shù)，系統(tǒng)容災(zāi)技術(shù)，漏洞掃描技術(shù)和物理安全技術(shù)。

3.1 防火墻技術(shù)。是指網(wǎng)絡(luò)之間通過預(yù)定義的安全策略，對內(nèi)外網(wǎng)通信強制實施訪問控制的安全應(yīng)用措施。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包按照一定的安全策略來實施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。目前，市場上防火墻產(chǎn)品很多，一些廠商還把防火墻技術(shù)并入其硬件產(chǎn)品中，即在其硬件產(chǎn)品中采取功能更加先進的安全防范機制。可以預(yù)見防火墻技術(shù)作為一種簡單實用的網(wǎng)絡(luò)信息安全技術(shù)將得到進一步發(fā)展。然而，防火墻也并非人們想象的那樣不可滲透。在過去的統(tǒng)計中曾遭受過黑客入侵的網(wǎng)絡(luò)用戶有三分之一是有防火墻保護的，也就是說要保證網(wǎng)絡(luò)信息的安全還必須有其他一系列措施，例如對數(shù)據(jù)進行加密處理。

3.2 數(shù)據(jù)加密技術(shù)。就是對信息進行重新編碼，從而隱藏信息內(nèi)容，使非法用戶無法獲取信息的一種技術(shù)手段。數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所采用的主要手段之一。數(shù)據(jù)加密技術(shù)按作用不同可分為數(shù)據(jù)存儲、數(shù)據(jù)傳輸、數(shù)據(jù)完整性的鑒別以及密匙管理技術(shù)4種。數(shù)據(jù)存儲加密技術(shù)是以防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密為目的，可分為密文存儲和存取控制兩種;數(shù)據(jù)傳輸加密技術(shù)的目的是對傳輸中的數(shù)據(jù)加密，常用的有線路加密和端口加密兩種方法;數(shù)據(jù)完整性鑒別技術(shù)的目的是對介入信息的傳送、存取、處理人的身份和相關(guān)數(shù)據(jù)內(nèi)容進行驗證，達到保密的要求，系統(tǒng)通過對比驗證對象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù)，實現(xiàn)對數(shù)據(jù)的安全保護。數(shù)據(jù)加密在許多場合集中表現(xiàn)為密匙的應(yīng)用，密匙管理技術(shù)事實上是為了數(shù)據(jù)使用方便。密匙的管理技術(shù)包括密匙的產(chǎn)生、分配保存、更換與銷毀等各環(huán)節(jié)上的保密措施。

3.3 系統(tǒng)容災(zāi)技術(shù)。一個完整的網(wǎng)絡(luò)安全體系，只有防范和檢測措施是不夠的，還必須具有災(zāi)難容忍和系統(tǒng)恢復(fù)能力。因為任何一種網(wǎng)絡(luò)安全設(shè)施都不可能做到萬無一失，一旦發(fā)生漏防漏檢事件，其后果將是災(zāi)難性的。此外，天災(zāi)人禍、不可抗力等所導(dǎo)致的事故也會對信息系統(tǒng)造成毀滅性的破壞。這就要求即使發(fā)生系統(tǒng)災(zāi)難，也能快速地恢復(fù)系統(tǒng)和數(shù)據(jù)，才能完整地保護網(wǎng)絡(luò)信息系統(tǒng)的安全。現(xiàn)階段主要有基于數(shù)據(jù)備份和基于系統(tǒng)容錯的系統(tǒng)容災(zāi)技術(shù)。數(shù)據(jù)備份是數(shù)據(jù)保護的最后屏障，不允許有任何閃失。但離線介質(zhì)不能保證安全。數(shù)據(jù)容災(zāi)通過IP容災(zāi)技術(shù)來保證數(shù)據(jù)的安全。數(shù)據(jù)容災(zāi)使用兩個存儲器，在兩者之間建立復(fù)制關(guān)系，一個放在本地，另一個放在異地。本地存儲器供本地備份系統(tǒng)使用，異地容災(zāi)備份存儲器實時復(fù)制本地備份存儲器的關(guān)鍵數(shù)據(jù)。二者通過IP相連，構(gòu)成完整的數(shù)據(jù)容災(zāi)系統(tǒng)，也能提供數(shù)據(jù)庫容災(zāi)功能。

3.4 漏洞掃描技術(shù)。漏洞掃描主要通過以下兩種方法來檢查目標主機是否存在漏洞：在端口掃描后得知目標主機開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對目標主機系統(tǒng)進行攻擊性的安全漏洞掃描，如測試弱勢口令等。若模擬攻擊成功，則表明目標主機系統(tǒng)存在安全漏洞。一是漏洞庫的匹配方法，基于網(wǎng)絡(luò)系統(tǒng)漏洞庫的漏洞掃描的關(guān)鍵部分就是它所使用的漏洞庫。通過采用基于規(guī)則的匹配技術(shù)，即根據(jù)安全專家對網(wǎng)絡(luò)系統(tǒng)安全漏洞、黑客攻擊案例的分析和系統(tǒng)管理員對網(wǎng)絡(luò)系統(tǒng)安全配置的實際經(jīng)驗，可以形成一套標準的網(wǎng)絡(luò)系統(tǒng)漏洞庫，然后再在此基礎(chǔ)之上構(gòu)成相應(yīng)的匹配規(guī)則，由掃描程序自動的進行漏洞掃描的工作。這樣，漏洞庫信息的完整性和有效性決定了漏洞掃描系統(tǒng)的性能，漏洞庫的修訂和更新的性能也會影響漏洞掃描系統(tǒng)運行的時間。二是插件（功能模塊技術(shù)）技術(shù)，插件是由腳本語言編寫的子程序，掃描程序可以通過調(diào)用它來執(zhí)行漏洞掃描，檢測出系統(tǒng)中存在的一個或多個漏洞。添加新的插件就可以使漏洞掃描軟件增加新的功能，掃描出更多的漏洞。插件編寫規(guī)范化后，甚至用戶自己都可以用perl、c或自行設(shè)計的腳本語言編寫的插件來擴充漏洞掃描軟件的功能。這種技術(shù)使漏洞掃描軟件的升級維護變得相對簡單，而專用腳本語言的使用也簡化了編寫新插件的編程工作，使漏洞掃描軟件具有強的擴展性。

3.5 物理安全。物理安全主要是指通過物理隔離實現(xiàn)網(wǎng)絡(luò)安全。所謂“物理隔離”是指內(nèi)部網(wǎng)不直接或間接地連接公共網(wǎng)。物理安全的目的是保護路由器、工作站、網(wǎng)絡(luò)服務(wù)器等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線竊聽攻擊。只有使內(nèi)部網(wǎng)和公共網(wǎng)物理隔離，才能真正保證內(nèi)部信息網(wǎng)絡(luò)不受來自互聯(lián)網(wǎng)的黑客攻擊。此外，物理隔離也為內(nèi)部網(wǎng)劃定了明確的安全邊界，使得網(wǎng)絡(luò)的可控性增強，便于內(nèi)部管理。在實行物理隔離之前，我們對網(wǎng)絡(luò)的信息安全有許多措施，如在網(wǎng)絡(luò)中增加防火墻、防病毒系統(tǒng)，對網(wǎng)絡(luò)進行入侵檢測、漏洞掃描等。由于這些技術(shù)的極端復(fù)雜性與有限性，這些在線分析技術(shù)無法提供某些機構(gòu)（如軍事、政府、金融等）提出的高度數(shù)據(jù)安全要求。而且，此類基于軟件的保護是一種邏輯機制，對于邏輯實體而言極易被操縱。后面的邏輯實體指黑客、內(nèi)部用戶等。正因為如此，我們的涉密網(wǎng)不能把機密數(shù)據(jù)的安全完全寄托在用概率來作判斷的防護上，必須有一道絕對安全的大門，保證涉密網(wǎng)的信息不被泄露和破壞，這就是物理隔離所起的作用。

參考文獻

[1] 韓筱卿、王建鋒等《計算機病毒分析與防范大全》，電子工業(yè)出版社。2006年3月

[2] 程勝利《計算機病毒及其防治技術(shù)》，清華大學(xué)出版社。2005年9月

[3] 彭國軍等《計算機病毒分析與對抗》，武漢大學(xué)出版社。2004年4月