許明霞

（中國建材國際工程集團有限公司，蚌埠233018）

現(xiàn)代網(wǎng)絡(luò)技術(shù)安全分析

許明霞

（中國建材國際工程集團有限公司，蚌埠233018）

隨著各企業(yè)的不斷發(fā)展壯大，企業(yè)之間和企業(yè)內(nèi)部的聯(lián)絡(luò)都離不開互聯(lián)網(wǎng)，設(shè)計專業(yè)的資料搜索也離不開互聯(lián)網(wǎng)，網(wǎng)絡(luò)已成為現(xiàn)代企業(yè)運作和發(fā)展不可或缺的一部分。互聯(lián)網(wǎng)的快速普及以及應(yīng)用越來越廣泛，必然引發(fā)一系列的網(wǎng)絡(luò)安全問題。該文主要分析了網(wǎng)絡(luò)安全的重要性并針對影響網(wǎng)絡(luò)安全的一系列問題提出了解決方法。

網(wǎng)絡(luò)安全； 重要性； 技術(shù)分析

1 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全是指通過采用各種管理措施和技術(shù)手段，使計算機網(wǎng)絡(luò)系統(tǒng)正常運行，防范信息盜竊和商業(yè)競爭攻擊，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。

網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)設(shè)備安全、網(wǎng)絡(luò)信息安全、網(wǎng)絡(luò)軟件安全。

1.1 網(wǎng)絡(luò)安全的特點

1）機密性：保障信息的機密性。即不泄露給未被授權(quán)的用戶、實體，并且不被其使用的特性。

2）完整性：不能改變未經(jīng)授權(quán)的數(shù)據(jù)的特性。也就是說，在存儲或傳輸過程中，保持信息不被修改、破壞和丟失的特性。

3）使用性：被授權(quán)的實體可以訪問，并可以按需求來使用。也就是說，需要的時候能夠存取自己所需要的信息。

4）控制性：能夠控制互聯(lián)網(wǎng)信息和內(nèi)容的傳播。

1.2 威脅網(wǎng)絡(luò)安全的因素

威脅網(wǎng)絡(luò)安全的因素主要有兩大類：植入威脅和滲入威脅。植入威脅主要有：特洛伊木馬、陷門；滲入威脅主要有：假冒、旁路控制、授權(quán)侵犯。

2 網(wǎng)絡(luò)安全的風(fēng)險分析

網(wǎng)絡(luò)安全是保障網(wǎng)絡(luò)正常運行和使用的必要前提。網(wǎng)絡(luò)安全不僅僅是某一點的安全，而是整個網(wǎng)絡(luò)的安全，需要從物理方面、網(wǎng)絡(luò)方面、系統(tǒng)方面、應(yīng)用方面和管理方面等等進行立體的防護。網(wǎng)絡(luò)安全系統(tǒng)必須包括技術(shù)和管理兩方面，涵蓋物理層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層和管理層各個層面上的諸多風(fēng)險類。根據(jù)國內(nèi)的應(yīng)用情況以及網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)，可以從物理風(fēng)險、結(jié)構(gòu)風(fēng)險、系統(tǒng)風(fēng)險、應(yīng)用風(fēng)險以及管理風(fēng)險等方面進行全面地分析。

2.1 物理安全的風(fēng)險分析

物理安全是保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導(dǎo)致的破壞過程。網(wǎng)絡(luò)的物理安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提，因此要盡量避免網(wǎng)絡(luò)的物理安全風(fēng)險。

2.2 網(wǎng)絡(luò)結(jié)構(gòu)的安全風(fēng)險分析

影響網(wǎng)絡(luò)系統(tǒng)安全性的重要因素是網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)設(shè)計。在進行網(wǎng)絡(luò)外部和內(nèi)部通信時，網(wǎng)絡(luò)內(nèi)部的機器就會受到安全威脅，而且也會影響到在同一網(wǎng)絡(luò)上的其他許多系統(tǒng)，通過網(wǎng)絡(luò)的傳播，也會影響到其他連上互聯(lián)網(wǎng)的網(wǎng)絡(luò)，更甚者還有可能會影響到法律、金融等對安全十分敏感的領(lǐng)域。所以，在設(shè)計時，我們必須隔離公開服務(wù)器和外網(wǎng)及內(nèi)部其它業(yè)務(wù)網(wǎng)絡(luò)，避免因網(wǎng)絡(luò)結(jié)構(gòu)而引起的信息外泄；同時還要過濾外網(wǎng)的服務(wù)請求，只允許無安全威脅的正常的通信數(shù)據(jù)包到達(dá)相應(yīng)的主機，其它的請求服務(wù)將會在到達(dá)主機之前就被拒絕。

2.3 系統(tǒng)安全風(fēng)險分析

所謂的系統(tǒng)安全是指存在于整個網(wǎng)絡(luò)中的所有操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺是否可信且無安全隱患。到目前為止，還沒有任何操作系統(tǒng)是絕對安全的，不同的用戶應(yīng)該從自身的需求出發(fā)，從各方面對網(wǎng)絡(luò)作詳細(xì)的分析，盡可能選擇安全性高的操作系統(tǒng)。用戶不但要選擇盡可能安全的操作系統(tǒng)和硬件平臺，而且還要對操作系統(tǒng)進行必要的安全配置。首先必須確保用戶的合法性，加強登錄過程的認(rèn)證；其次要將其進行的操作限制在最小的范圍內(nèi)，嚴(yán)格限制登錄者的操作權(quán)限。

2.4 應(yīng)用系統(tǒng)的安全風(fēng)險分析

應(yīng)用系統(tǒng)的安全性涉及到信息的安全性，是不斷發(fā)展變化的，而且應(yīng)用類型也是不斷增加的。建立安全的系統(tǒng)平臺是保障應(yīng)用系統(tǒng)安全性的主要措施，并且可以利用專業(yè)的安全工具不斷的找出漏洞，并對漏洞進行修補，提高應(yīng)用系統(tǒng)的安全性。

保障信息的安全性，即保障機密信息不被泄露、攔截未經(jīng)授權(quán)的訪問、保障信息的完整性、打擊假冒、破壞系統(tǒng)的行為等等。在網(wǎng)絡(luò)系統(tǒng)中，很多機密信息在網(wǎng)絡(luò)中流轉(zhuǎn)，一旦黑客竊取或者破壞某些重要信息，將會引發(fā)嚴(yán)重的經(jīng)濟、社會以及政治問題。所以，用戶在使用計算機的時候，身份認(rèn)證是至關(guān)重要的，而且對于某些重要信息的通訊必須通過授權(quán)，傳輸信息一定要加密。為了實現(xiàn)對數(shù)據(jù)的安全保護，必須采用多層次的訪問控制與權(quán)限控制手段，而且必須采用加密技術(shù)，保證網(wǎng)上傳輸?shù)男畔⒉槐桓`取和破壞。

2.5 管理的安全風(fēng)險分析

網(wǎng)絡(luò)安全中，最關(guān)鍵的部分就是管理。管理責(zé)任不明確，不健全的安全管理制度以及可操作性不足等都是可能引發(fā)管理安全風(fēng)險的。一旦在網(wǎng)絡(luò)中出現(xiàn)了某些攻擊行為或者安全威脅時，網(wǎng)管人員將無法及時發(fā)現(xiàn)，也不能進行實時的檢測、監(jiān)控，以及向相關(guān)部門報告并發(fā)出預(yù)警信息。當(dāng)然，在黑客進行攻擊行為以后，也沒有辦法向公安機關(guān)提供相關(guān)的追蹤線索，協(xié)助破案。也就是說，缺乏對網(wǎng)絡(luò)的控制和審查。因此，管理人員必須對站點的任何訪問活動都進行相關(guān)的多層次的記錄，以便于及時發(fā)現(xiàn)某些非法入侵行為。

制定健全的管理制度和嚴(yán)格的管理手段，并且深刻理解網(wǎng)絡(luò)并能提供直接的解決方案，是建立全新的網(wǎng)絡(luò)安全機制的必備條件，也是保障信息網(wǎng)絡(luò)的安全性、可擴充性以及可管理性的關(guān)鍵因素。

3 影響網(wǎng)絡(luò)安全的主要因素

由于企業(yè)網(wǎng)絡(luò)是由內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)和企業(yè)廣域網(wǎng)組成，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，影響網(wǎng)絡(luò)安全的主要因素有：病毒入侵、黑客攻擊、數(shù)據(jù)被“竊聽”和攔截、拒絕服務(wù)、內(nèi)部網(wǎng)絡(luò)安全、電子商務(wù)攻擊、惡意掃描、密碼破解、數(shù)據(jù)篡改、垃圾郵件、地址欺騙和基礎(chǔ)設(shè)施破壞等。下面來分析幾個典型的網(wǎng)絡(luò)攻擊方式：

3.1 病毒入侵

幾乎有計算機的地方，就有出現(xiàn)計算機病毒的可能性。計算機病毒通常隱藏在文件或程序代碼內(nèi)，伺機進行自我復(fù)制，并能夠通過網(wǎng)絡(luò)、磁盤、光盤等諸多手段進行傳播。正因為計算機病毒傳播速度相當(dāng)快、影響面大，所以它的危害最能引起人們的關(guān)注。病毒的“毒性”不同，輕者只會在機器上顯示幾個警告信息，重者則有可能破壞或危及個人計算機乃至整個企業(yè)網(wǎng)絡(luò)的安全。任何類型的網(wǎng)絡(luò)免受病毒攻擊最保險和最有效的方法是對網(wǎng)絡(luò)中的每一臺計算機安裝防病毒軟件，并定期更新升級，值得用戶信賴的防病毒軟件包括360殺毒、騰訊電腦管家和金山毒霸等。然而，只有殺毒軟件不行，還必須在意識上加強防范，不隨意打開來歷不明的郵件，不上陌生網(wǎng)站，不下載有安全隱患的文件等。

3.2 黑客攻擊

隨著越來越多黑客案件的報道，企業(yè)不得不意識到黑客的存在。黑客的非法闖入是指黑客利用企業(yè)網(wǎng)絡(luò)的安全漏洞，不經(jīng)允許非法訪問企業(yè)內(nèi)部網(wǎng)絡(luò)或數(shù)據(jù)資源，從事刪除、復(fù)制甚至毀壞數(shù)據(jù)的活動。一般來說，黑客常用的入侵動機和形式可以分為兩種。黑客通過尋找未設(shè)防的路徑進入網(wǎng)絡(luò)或個人計算機，一旦進入，他們便能夠竊取數(shù)據(jù)、毀壞文件和應(yīng)用、阻礙合法用戶使用網(wǎng)絡(luò)，所有這些都會對企業(yè)造成危害。黑客非法闖入將具備企業(yè)殺手的潛力，企業(yè)不得不加以謹(jǐn)慎預(yù)防。防火墻是防御黑客攻擊的最好手段，位于企業(yè)內(nèi)部網(wǎng)與外部之間的防火墻產(chǎn)品能夠?qū)λ衅髨D進入內(nèi)部網(wǎng)絡(luò)的流量進行監(jiān)控。不論是基于硬件還是軟件的防火墻都能識別、記錄并阻塞任何有非法入侵企圖的可疑的網(wǎng)絡(luò)活動。

3.3 數(shù)據(jù)“竊聽”和攔截

這種方式是直接或間接截獲網(wǎng)絡(luò)上的特定數(shù)據(jù)包并進行分析來獲取所需信息。一些企業(yè)在與第三方網(wǎng)絡(luò)進行傳輸時，需要采取有效措施來防止重要數(shù)據(jù)被中途截獲，如用戶信用卡號碼等。加密技術(shù)是保護傳輸數(shù)據(jù)免受外部竊聽的最好辦法，其可以將數(shù)據(jù)變成只有授權(quán)接收者才能還原并閱讀的編碼。進行加密的最好辦法是采用虛擬專用網(wǎng)（VPN）技術(shù)。一條VPN鏈路是一條采用加密隧道（tunnel）構(gòu)成的遠(yuǎn)程安全鏈路，它能夠?qū)?shù)據(jù)從企業(yè)網(wǎng)絡(luò)中安全地輸送出去。兩家企業(yè)可以通過Internet建立起VPN隧道。一個遠(yuǎn)程用戶也可以通過建立一條連接企業(yè)局域網(wǎng)的VPN鏈路來安全地訪問企業(yè)內(nèi)部數(shù)據(jù)。

3.4 拒絕服務(wù)

這類攻擊一般能使單個計算機或整個網(wǎng)絡(luò)癱瘓，黑客使用這種攻擊方式的意圖很明顯，就是要阻礙合法網(wǎng)絡(luò)用戶使用該服務(wù)或破壞正常的商務(wù)活動。例如，通過破壞兩臺計算機之間的連接而阻止用戶訪問服務(wù)；通過向企業(yè)的網(wǎng)絡(luò)發(fā)送大量信息而堵塞合法的網(wǎng)絡(luò)通信，最后不僅摧毀網(wǎng)絡(luò)架構(gòu)本身，也破壞整個企業(yè)運作。

3.5 內(nèi)部網(wǎng)絡(luò)安全

為特定文件或應(yīng)用設(shè)定密碼保護能夠?qū)⒃L問限制在授權(quán)用戶范圍內(nèi)。例如，銷售人員不能夠瀏覽企業(yè)人事信息等。但是，大多數(shù)小型企業(yè)無法按照這一安全要求操作，企業(yè)規(guī)模越小，每個人所要求承擔(dān)的工作就越多。如果一家企業(yè)在近期內(nèi)會迅速成長，內(nèi)部網(wǎng)絡(luò)的安全性將是需要認(rèn)真考慮的問題。

3.6 電子商務(wù)攻擊

從技術(shù)層次分析，試圖非法入侵的黑客，或者通過猜測程序?qū)孬@的用戶賬號和口令進行破譯，以便進入系統(tǒng)后做更進一步的操作；或者利用服務(wù)器對外提供的某些服務(wù)進程的漏洞，獲取有用信息從而進入系統(tǒng)；或者利用網(wǎng)絡(luò)和系統(tǒng)本身存在的或設(shè)置錯誤引起的薄弱環(huán)節(jié)和安全漏洞實施電子引誘，以獲取進一步的有用信息；或者通過系統(tǒng)應(yīng)用程序的漏洞獲得用戶口令，侵入系統(tǒng)。

4 網(wǎng)絡(luò)安全的防范措施

互聯(lián)網(wǎng)在給人們帶來方便的同時，它的開放性和共享性，也讓網(wǎng)絡(luò)里通訊的內(nèi)容和數(shù)據(jù)充分暴露，極其容易遭受到各種攻擊，而每一種攻擊帶來的后果都是很嚴(yán)重的，比如數(shù)據(jù)被人竊取、篡改，服務(wù)器被攻擊癱瘓等等。伴隨著信息技術(shù)的進步和科技的快速發(fā)展，網(wǎng)絡(luò)安全技術(shù)也越來越不容忽視，各種網(wǎng)絡(luò)安全技術(shù)也迎來了黃金發(fā)展期，諸如防火墻技術(shù)、入侵檢測技術(shù)、虛擬局域網(wǎng)技術(shù)、訪問控制技術(shù)等等。系統(tǒng)結(jié)構(gòu)本身的安全決定了企業(yè)的網(wǎng)絡(luò)安全，因此企業(yè)網(wǎng)絡(luò)安全系統(tǒng)必須利用結(jié)構(gòu)化的觀點和方法來看待。

4.1 虛擬局域網(wǎng)技術(shù)

虛擬局域網(wǎng)技術(shù)是指通過交換設(shè)備在網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)基礎(chǔ)上建立一個邏輯網(wǎng)絡(luò)，可以很好地從鏈路層保障網(wǎng)絡(luò)的安全。虛擬局域網(wǎng)技術(shù)，是根據(jù)用戶的邏輯設(shè)定將原來物理上互連的一個局域網(wǎng)劃分為多個虛擬子網(wǎng)，劃分的依據(jù)可以是設(shè)備所連端口、用戶節(jié)點的MAC地址等。這一技術(shù)的實現(xiàn)，能夠有效地控制網(wǎng)絡(luò)流量以及防止廣播風(fēng)暴風(fēng)險，并且也可以利用MAC層的數(shù)據(jù)包過濾技術(shù)，對安全性要求較高的虛擬局域網(wǎng)端口實施MAC幀過濾。這種技術(shù)還有一個很大的優(yōu)點：即便某一虛擬子網(wǎng)被黑客攻破，他們也無法竊取到整個網(wǎng)絡(luò)的信息。

4.2 網(wǎng)絡(luò)分段

網(wǎng)絡(luò)分段就是將非法用戶與網(wǎng)絡(luò)資源隔離開，阻止非法用戶訪問網(wǎng)絡(luò)的行為發(fā)生。以廣播為基礎(chǔ)的以太網(wǎng)是大多數(shù)企業(yè)網(wǎng)絡(luò)所采用的，這種網(wǎng)絡(luò)結(jié)構(gòu)的弊端就是任何兩個節(jié)點之間的通信數(shù)據(jù)包，都有可能被處在同一以太網(wǎng)上的另外任何一個節(jié)點的網(wǎng)卡所截取。所以，只要以太網(wǎng)上的任何一個節(jié)點被黑客接入并進行偵聽，這個以太網(wǎng)上的所有數(shù)據(jù)包就有可能被其捕獲和竊取，通過對數(shù)據(jù)包進行解包分析，竊取關(guān)鍵信息就易如反掌了。因此，網(wǎng)絡(luò)分段是企業(yè)網(wǎng)絡(luò)必須采取的網(wǎng)絡(luò)安全防范措施之一，通過隔離手段，才能更好的保護網(wǎng)絡(luò)上的信息安全。

4.3 硬件防火墻技術(shù)

硬件防火墻通常位于企業(yè)網(wǎng)絡(luò)的邊緣，它能很好的將企業(yè)內(nèi)部網(wǎng)絡(luò)與Internet之間或者與其他外部網(wǎng)絡(luò)互相隔離，通過隔離來限制網(wǎng)絡(luò)互訪來達(dá)到保護企業(yè)內(nèi)部網(wǎng)絡(luò)的目的。實現(xiàn)和維護防火墻是任何一個企業(yè)安全策略的重要組成部分，因此，硬件防火墻也是防范網(wǎng)絡(luò)安全的一個極其重要的因素。同時，通過設(shè)置防火墻，可以實現(xiàn)在內(nèi)部網(wǎng)與外部網(wǎng)之間建立一條唯一的通道，從而大大地簡化了網(wǎng)絡(luò)的安全管理。

4.4 入侵檢測技術(shù)

入侵檢測技術(shù)是對防火墻技術(shù)的重要補充，此技術(shù)的實施不僅可以幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，而且也擴展了系統(tǒng)管理員的安全管理能力，從而提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測技術(shù)是收集計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點的信息，并對這些信息進行分析，從中尋找網(wǎng)絡(luò)中的違反安全策略的行為和遭到襲擊的跡象。入侵檢測技術(shù)是在不影響網(wǎng)絡(luò)性能的基礎(chǔ)上對網(wǎng)絡(luò)進行監(jiān)測，從而實現(xiàn)對網(wǎng)絡(luò)內(nèi)部信息的實時保護，打擊外部攻擊以及非法操作。

5 結(jié) 論

網(wǎng)絡(luò)安全與企業(yè)發(fā)展息息相關(guān)，認(rèn)清網(wǎng)絡(luò)的脆弱性和潛在威脅，采取強有力的安全策略，對于保障網(wǎng)絡(luò)的安全性已變得十分重要，企業(yè)網(wǎng)絡(luò)安全已被提到重要的議事日程。網(wǎng)絡(luò)的安全必須依靠不斷創(chuàng)新的技術(shù)進步與應(yīng)用、自身管理制度的不斷完善和加強、網(wǎng)絡(luò)工作人員素質(zhì)的不斷提高等措施來保障。同時，要加快網(wǎng)絡(luò)信息安全技術(shù)手段的研究和創(chuàng)新，從而使網(wǎng)絡(luò)的信息能安全可靠地為廣大用戶服務(wù)。

［1］ 高永強，等.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用［M］.北京：人民郵電出版社，2003.

［2］ 馮 元.計算機網(wǎng)絡(luò)安全基礎(chǔ)［M］.北京：科學(xué)出版社，2003.

［3］ 石志國.計算機網(wǎng)絡(luò)安全教程［M］.北京：清華大學(xué)出版社，2004.

［4］ 顧巧論.計算機網(wǎng)絡(luò)安全［M］.北京：科學(xué)出版社，2003.

Analysis of Network Security

XU Ming－xia
（China Triumph International Engineering Co，Ltd，Bengbu 233018，China）

With the constant development of various enterprises，between enterprise and enterprise internal contact cannot leave the Internet，the design professional information search is also inseparable from the Internet.Network has become an indispensable part of modern enterprise operation and development.The rapid popularization of the Internet and more and more widely applied，inevitably cause a series of network security problems.This paper mainly analyzed the importance of network security，and the solutions were put forward for a series of problems in network security.

network security；importance； technology analysis

2014－01－10.

許明霞（1981－），工程師.E－mail：xmx＠ctiec.net

10.3963/j.issn.1674－6066.2014.02.038