梁少剛

（寶雞職業(yè)技術(shù)學(xué)院，陜西寶雞721000）

1 網(wǎng)絡(luò)安全概述

計(jì)算機(jī)網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)性概念，不僅包括計(jì)算機(jī)上信息存儲(chǔ)的安全性，還要考慮信息傳輸過(guò)程的安全性。 具體說(shuō)來(lái)就是計(jì)算機(jī)網(wǎng)絡(luò)中各網(wǎng)絡(luò)設(shè)備的安全，以及從應(yīng)用層角度分析的操作系統(tǒng)安全和應(yīng)用程序安全，如圖1 所示。

圖1 網(wǎng)絡(luò)系統(tǒng)安全

計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施，保證在網(wǎng)絡(luò)環(huán)境里信息數(shù)據(jù)的機(jī)密性、完整性及可使用性受到保護(hù)。 網(wǎng)絡(luò)安全的主要目標(biāo)是要確保經(jīng)網(wǎng)絡(luò)傳送的信息在到達(dá)目的站時(shí)沒(méi)有任何增加、改變、丟失和非法讀取。 網(wǎng)絡(luò)安全涉及計(jì)算機(jī)科學(xué)、通信技術(shù)、應(yīng)用數(shù)學(xué)等多個(gè)領(lǐng)域，既有技術(shù)方面的問(wèn)題，也有管理方面的問(wèn)題，兩方面相互補(bǔ)充，缺一不可。技術(shù)方面主要側(cè)重于防范外部非法用戶的攻擊，管理方面?zhèn)戎赜趦?nèi)部人為因素的協(xié)調(diào)。

2 影響計(jì)算機(jī)網(wǎng)絡(luò)安全的主要因素

2.1 操作系統(tǒng)的脆弱性

無(wú)論哪一種操作系統(tǒng)， 其體系結(jié)構(gòu)本身就是不安全的一種因素。由于操作系統(tǒng)的程序是可以動(dòng)態(tài)連接的，而這種動(dòng)態(tài)連接也正是計(jì)算機(jī)病毒產(chǎn)生的溫床。另外，操作系統(tǒng)可以創(chuàng)建進(jìn)程，即使在網(wǎng)絡(luò)的節(jié)點(diǎn)上同樣也可以進(jìn)行遠(yuǎn)程進(jìn)程的創(chuàng)建與激活。

2.2 計(jì)算機(jī)系統(tǒng)的脆弱性

計(jì)算機(jī)系統(tǒng)的脆弱性主要來(lái)自于操作系統(tǒng)的不安全性。在網(wǎng)絡(luò)環(huán)境下，還來(lái)源于通信協(xié)議的不安全性。

2.3 協(xié)議安全的脆弱性

當(dāng)前計(jì)算機(jī)系統(tǒng)都使用的TCP/IP 協(xié)議以及FTP、E-MAIL、NFS等都包含著許多影響網(wǎng)絡(luò)安全的因素，存在著許多漏洞。

2.4 數(shù)據(jù)庫(kù)管理系統(tǒng)安全的脆弱性

數(shù)據(jù)庫(kù)主要應(yīng)用于客戶/服務(wù)器(Cliend/Server)平臺(tái)，由于Cliend/Server 結(jié)構(gòu)允許服務(wù)器有多個(gè)客戶端，這就涉及到數(shù)據(jù)庫(kù)的安全性與可靠性問(wèn)題，對(duì)數(shù)據(jù)庫(kù)構(gòu)成的威脅主要有篡改、損壞和竊取。

2.5 人為的因素

不管是什么樣的網(wǎng)絡(luò)系統(tǒng)都離不開(kāi)人的管理。目前多數(shù)單位缺少安全管理員，缺少網(wǎng)絡(luò)安全管理的技術(shù)規(guī)范，缺少定期的安全測(cè)試與檢查，更缺少安全監(jiān)控。

3 網(wǎng)絡(luò)安全策略

網(wǎng)絡(luò)安全不但要保證網(wǎng)絡(luò)中各節(jié)點(diǎn)、通信鏈路的安全，還要保障網(wǎng)絡(luò)中傳輸?shù)男畔⒌陌踩?因此從影響網(wǎng)絡(luò)安全的這些因素出發(fā)，我們應(yīng)該主要做好以下幾個(gè)方面：

3.1 加強(qiáng)用戶安全意識(shí)

由于大多數(shù)用戶安全意識(shí)淡薄使得計(jì)算機(jī)網(wǎng)絡(luò)極易受到攻擊，這種高度依賴性和安全意識(shí)的淡薄性使網(wǎng)絡(luò)安全變得十分“脆弱”。解決信息網(wǎng)絡(luò)安全僅依靠技術(shù)是不夠的，應(yīng)該首先從思想上認(rèn)識(shí)到安全問(wèn)題的嚴(yán)重性，結(jié)合管理、法制、政策及教育等手段提高網(wǎng)絡(luò)安全的水平，將信息網(wǎng)絡(luò)風(fēng)險(xiǎn)降低至最小程度。

健全適當(dāng)?shù)姆煞ㄒ?guī)，加大對(duì)非法分子的嚴(yán)懲力度。 增強(qiáng)管理人員的素質(zhì)，加強(qiáng)設(shè)備的保護(hù)。對(duì)系統(tǒng)的主要設(shè)備，如服務(wù)器、交換機(jī)、路由器等，應(yīng)放在由專人主管的安全地方：要配置防火、防水、防盜、防雷電等設(shè)備。所有的系統(tǒng)都要及時(shí)備份并將備份保存在主機(jī)房以外的安全地方。 主服務(wù)器要加帶口令的屏幕保護(hù)及鍵盤鎖。

3.2 建立訪問(wèn)控制手段

訪問(wèn)控制識(shí)別與驗(yàn)證用戶，并將用戶限制在已授權(quán)的活動(dòng)和資源范圍內(nèi)。 主要包括：

（1）口令，是網(wǎng)絡(luò)安全系統(tǒng)的最外層防線，通過(guò)網(wǎng)絡(luò)用戶的登錄，合法者才能進(jìn)入系統(tǒng)；

（2）網(wǎng)絡(luò)資源及其屬性權(quán)限控制，訪問(wèn)權(quán)限主要體現(xiàn)了用戶對(duì)共享文件、打印機(jī)、網(wǎng)絡(luò)通信設(shè)備等網(wǎng)絡(luò)資源的可用程度；

（3）網(wǎng)管即網(wǎng)絡(luò)安全監(jiān)視，通過(guò)專用的軟件系統(tǒng)，對(duì)整個(gè)網(wǎng)絡(luò)的運(yùn)行進(jìn)行動(dòng)態(tài)地監(jiān)視并及時(shí)處理各種事件；

（4）審計(jì)與跟蹤，對(duì)網(wǎng)絡(luò)資源的使用、網(wǎng)絡(luò)故障、系統(tǒng)日志等信息進(jìn)行記錄與分析，從而找出問(wèn)題所在。

3.3 合理應(yīng)用安全技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)就是如何從技術(shù)上來(lái)解決網(wǎng)絡(luò)的安全問(wèn)題。網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)從廣義上講要有：主機(jī)安全技術(shù)、身份認(rèn)證技術(shù)、訪問(wèn)控制技術(shù)、密碼技術(shù)、防火墻技術(shù)、安全審計(jì)技術(shù)、安全管理術(shù)。本文主要介紹以下幾種技術(shù)：

3.3.1 防火墻技術(shù)

防火墻技術(shù)經(jīng)過(guò)多年的發(fā)展目前已經(jīng)比較成熟，主要包括：包過(guò)濾(packet filter)，應(yīng)用級(jí)網(wǎng)關(guān)(application level gateways)等，相應(yīng)地分別工作在OSI 模型的網(wǎng)絡(luò)層和應(yīng)用層。 另外還有一種新型的防火墻，稱為狀態(tài)檢測(cè)防火墻(statefulinspection)。

未來(lái)防火墻技術(shù)的發(fā)展趨勢(shì)是朝高速、多功能化、更安全的方向發(fā)展。一方面，防火墻技術(shù)和產(chǎn)品已經(jīng)相對(duì)成熟，但還存在一定的技術(shù)局限性，仍不能完全滿足用戶的需求。 用戶需求激發(fā)技術(shù)創(chuàng)新，因此，防火墻技術(shù)將持續(xù)快速發(fā)展，在關(guān)鍵處理技術(shù)上實(shí)現(xiàn)創(chuàng)新。 對(duì)防火墻在各種網(wǎng)絡(luò)環(huán)境中的實(shí)際應(yīng)用、穩(wěn)定性與易用性，以及整體網(wǎng)絡(luò)安全解決方案進(jìn)行研究，將一直會(huì)是防火墻技術(shù)的重要內(nèi)容。另一方面，防火墻必須在基于芯片加速的深度內(nèi)容過(guò)濾技術(shù)上實(shí)現(xiàn)真正的突破，并推出實(shí)用化的產(chǎn)品以解決當(dāng)前的網(wǎng)絡(luò)安全難題。隨著算法和芯片技術(shù)的發(fā)展，防火墻會(huì)更多地參與應(yīng)用層分析、芯片解決計(jì)算加速、軟件解決過(guò)濾精確等技術(shù)中， 用多種方案為用戶的應(yīng)用提供更安全的保障，而VPN、IDS/IPS、防病毒等功能可能以各類加速芯片的形式與防火墻協(xié)同工作，形成以芯片技術(shù)為主導(dǎo)的全系列硬件型安全網(wǎng)關(guān)。 各系列的劃分將針對(duì)用戶群的不同需求，并在價(jià)格、功能、性能上為各個(gè)群體的用戶貼身定制。

3.3.2 入侵檢測(cè)技術(shù)

入侵檢測(cè)(Intrusion Detection，ID)，顧名思義是對(duì)入侵行為的檢測(cè)。它通過(guò)收集和分析計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。

（1）分布式入侵檢測(cè)，其第1 層含義為針對(duì)分布式網(wǎng)絡(luò)攻擊的檢測(cè)方法，第2 層含義為使用分布式的方法來(lái)檢測(cè)分布式的攻擊，其中的關(guān)鍵技術(shù)為檢測(cè)信息的協(xié)同處理與入侵攻擊的全局信息的提取。

（2）智能化入侵檢測(cè)，即使用智能化的方法與手段來(lái)進(jìn)行入侵檢測(cè)。 所謂的智能化方法，現(xiàn)階段常用的有神經(jīng)網(wǎng)絡(luò)、遺傳算法、模糊技術(shù)、免疫原理等方法，這些方法常用于入侵特征的辨識(shí)與泛化。

（3）全面的安全防御方案，即使用安全工程風(fēng)險(xiǎn)管理的思想與方法來(lái)處理網(wǎng)絡(luò)安全問(wèn)題，將網(wǎng)絡(luò)安全作為一個(gè)整體工程來(lái)處理，從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道、防火墻、病毒防護(hù)、入侵檢測(cè)多方位全面對(duì)所關(guān)注的網(wǎng)絡(luò)作全面的評(píng)估，然后提出可行的全面解決方案。

3.3.3 防病毒技術(shù)

從目前病毒的演化趨勢(shì)來(lái)看，網(wǎng)絡(luò)防病毒產(chǎn)品的發(fā)展趨勢(shì)主要體現(xiàn)在以下幾個(gè)方面。

（1）從入口攔截病毒。 配置網(wǎng)絡(luò)網(wǎng)關(guān)，過(guò)濾不良網(wǎng)站，限制內(nèi)部瀏覽。系統(tǒng)管理者也可以設(shè)定個(gè)人或部門下載文件的大小。此外，郵件管理技術(shù)能夠防止郵件經(jīng)由Internet 網(wǎng)關(guān)進(jìn)入內(nèi)部網(wǎng)絡(luò)，并可以過(guò)濾由內(nèi)部寄出的內(nèi)容不當(dāng)?shù)泥]件，避免造成網(wǎng)絡(luò)帶寬的不當(dāng)占用。

（2）全面解決方案。 用戶網(wǎng)絡(luò)中的每一點(diǎn)，無(wú)論是服務(wù)器、郵件服務(wù)器，還是客戶端都應(yīng)該得到保護(hù)。這就意味著防火墻、入侵檢測(cè)等安全產(chǎn)品要與網(wǎng)絡(luò)防病毒產(chǎn)品進(jìn)一步整合，這種整合需要解決不同安全產(chǎn)品之間的兼容性問(wèn)題。

（3）客戶化定制。 客戶化定制模式是指網(wǎng)絡(luò)防病毒產(chǎn)品的最終定型，是根據(jù)企業(yè)網(wǎng)絡(luò)的特點(diǎn)而專門制訂的。 對(duì)于用戶來(lái)講，這種定制的網(wǎng)絡(luò)防病毒產(chǎn)品帶有專用性和針對(duì)性，既是一種個(gè)性化、跟蹤性產(chǎn)品，又是一種服務(wù)產(chǎn)品。

4 小結(jié)

網(wǎng)絡(luò)給我們帶來(lái)便利的同時(shí)也帶來(lái)了安全問(wèn)題，因此我們要采取網(wǎng)絡(luò)管理控制和技術(shù)措施， 保證在網(wǎng)絡(luò)環(huán)境里信息數(shù)據(jù)的機(jī)密性、完整性及可使用性受到保護(hù)。 當(dāng)前保證網(wǎng)絡(luò)安全的主要方法和途徑有：采用防火墻技術(shù)、加密技術(shù)、身份認(rèn)證、數(shù)字簽名、內(nèi)容檢查、加強(qiáng)對(duì)因特網(wǎng)管理人員的管理等方法。

［1］羅明宇,盧錫城.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[J].計(jì)算機(jī)科學(xué),2000,27(10):63-65.

［2］李四福.網(wǎng)絡(luò)安全與我國(guó)的安全策略[J].科技進(jìn)步與對(duì)策,2000(9).

［3］袁津生,吳硯農(nóng).計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)[M].北京:人民郵電出版社,2002.

［4］金雷,謝立.網(wǎng)絡(luò)安全綜述[J].計(jì)算機(jī)工程與設(shè)計(jì),2003,24(2).