謝彬

所謂網(wǎng)絡(luò)信息安全就是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)信息安全從其本質(zhì)上來(lái)講就是網(wǎng)絡(luò)上的信息安全；從廣義來(lái)說(shuō)，凡是涉及到網(wǎng)絡(luò)上信息的完整性、機(jī)密性、有效性、等相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)信息安全的研究領(lǐng)域。近年來(lái)，隨著計(jì)算機(jī)科學(xué)技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)的應(yīng)用變得越來(lái)越廣泛，給人們帶來(lái)了數(shù)不盡的便捷和好處，是行政機(jī)關(guān)、企事業(yè)單位內(nèi)外各種信息交互、傳輸和共享的基礎(chǔ)。但由于網(wǎng)絡(luò)自身的開(kāi)放性、互聯(lián)性以及連接形式多樣性、終端分布不均勻等特點(diǎn)，致使網(wǎng)絡(luò)易受黑客、惡意軟件等攻擊，因此網(wǎng)絡(luò)安全問(wèn)題和有效的防范措施凸顯出其重要性。

網(wǎng)絡(luò)信息安全的基本內(nèi)涵——信息安全是指防止任何對(duì)數(shù)據(jù)進(jìn)行未授權(quán)訪(fǎng)問(wèn)的措施，或者防止造成信息有意無(wú)意泄漏、破壞、丟失等問(wèn)題的發(fā)生，讓數(shù)據(jù)處于遠(yuǎn)離危險(xiǎn)、免于威脅的狀態(tài)或特性。網(wǎng)絡(luò)安全是指計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下的信息安全。因此網(wǎng)絡(luò)信息安全就是指計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的硬件設(shè)備或者軟件及其重要數(shù)據(jù)信息受到保護(hù)，不因突發(fā)事件或者惡意破壞而遭到損害、更改或者泄露，從而使網(wǎng)絡(luò)信息系統(tǒng)能夠連續(xù)安全運(yùn)行。

網(wǎng)絡(luò)信息系統(tǒng)面臨的主要安全性問(wèn)題——網(wǎng)絡(luò)信息系統(tǒng)面臨的安全性攻擊有被動(dòng)攻擊和主動(dòng)攻擊兩種類(lèi)型。

被動(dòng)攻擊是攻擊者對(duì)信息系統(tǒng)實(shí)施的一種“被動(dòng)性”攻擊，主要特征是竊密，其行為一般不妨礙信息系統(tǒng)本身的正常工作。被動(dòng)攻擊主要包含以下攻擊行為。

非法閱讀和復(fù)制文件攻擊者未經(jīng)授權(quán)而非法進(jìn)入信息系統(tǒng)閱讀或復(fù)制信息系統(tǒng)程序和其它文件等。

竊聽(tīng)通信信息攻擊者通過(guò)搭線(xiàn)竊聽(tīng)、空中攔截等手段，截取他人信息。

通信流量分析攻擊者通過(guò)流量監(jiān)測(cè)，也可獲得有用信息。例如某系統(tǒng)平時(shí)流量大致穩(wěn)定，某天通訊流量突然激增，預(yù)示著有重大事件發(fā)生，攻擊者必千方百計(jì)探知。由于被動(dòng)攻擊不影響信息系統(tǒng)的正常工作，因此這種方式攻擊隱蔽性強(qiáng)，通過(guò)檢測(cè)等一般方法很難發(fā)現(xiàn)。對(duì)付這種攻擊的有效途徑不是檢測(cè)而是預(yù)防。

主動(dòng)攻擊是攻擊者對(duì)信息系統(tǒng)實(shí)施的一種“主動(dòng)性”攻擊，主要特征是假冒、偽造和篡改，其行為妨礙信息系統(tǒng)本身的正常工作。主動(dòng)攻擊主要包含以下攻擊行為。

假冒攻擊者假冒他人身份，欺騙合法實(shí)體。例如，犯罪分子制作以假亂真的網(wǎng)上銀行網(wǎng)頁(yè)，盜取用戶(hù)的用戶(hù)名和密碼，然后將用戶(hù)的存款通過(guò)真正網(wǎng)銀網(wǎng)頁(yè)轉(zhuǎn)移到他的賬戶(hù)上。

重放攻擊（replay attacks）又稱(chēng)重播攻擊、回放攻擊或新鮮性攻擊（freshness attacks），是指攻擊者發(fā)送一個(gè)目的主機(jī)已接收過(guò)的包，來(lái)達(dá)到欺騙系統(tǒng)的目的，主要用于身份認(rèn)證過(guò)程，破壞認(rèn)證的正確性。這種攻擊會(huì)不斷惡意或欺詐性地重復(fù)一個(gè)有效的數(shù)據(jù)傳輸，重放攻擊可以由發(fā)起者，也可以由攔截并重發(fā)該數(shù)據(jù)的敵方進(jìn)行。攻擊者利用網(wǎng)絡(luò)監(jiān)聽(tīng)或者其他方式盜取認(rèn)證憑據(jù)，之后再把它重新發(fā)給認(rèn)證服務(wù)器。重放攻擊在任何網(wǎng)絡(luò)通訊過(guò)程中都可能發(fā)生。

篡改攻擊者通過(guò)插入、修改、刪除等手段篡改所訪(fǎng)問(wèn)或攔截的信息系統(tǒng)信息。

偽造攻擊者偽造信息并通過(guò)網(wǎng)絡(luò)傳送給接收者。

中斷攻擊者無(wú)休止地對(duì)網(wǎng)上的服務(wù)實(shí)體不斷進(jìn)行干擾，使其超負(fù)荷運(yùn)轉(zhuǎn)，執(zhí)行非服務(wù)性操作，最終導(dǎo)致系統(tǒng)無(wú)法正常使用甚至癱瘓。由于主動(dòng)攻擊影響信息系統(tǒng)的正常工作，因此容易通過(guò)檢測(cè)發(fā)現(xiàn)，但難以預(yù)防此種行為的發(fā)生。因此對(duì)付這種攻擊的有效途徑不是預(yù)防而是檢測(cè)和恢復(fù)。

對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題采取的幾點(diǎn)防范措施網(wǎng)絡(luò)安全既有技術(shù)方面的問(wèn)題，也有管理方面的問(wèn)題，兩方面相互補(bǔ)充，缺一不可。

網(wǎng)絡(luò)信息安全在很大程度上依賴(lài)于技術(shù)的完善，包括防火墻、訪(fǎng)問(wèn)控制、入侵檢測(cè)、密碼、數(shù)字簽名、病毒檢測(cè)及清除、網(wǎng)絡(luò)隱患掃描、系統(tǒng)安全監(jiān)測(cè)報(bào)警等技術(shù)。

防火墻技術(shù)。防火墻（firewall）是指一個(gè)由軟件系統(tǒng)和硬件設(shè)備組合而成的，在內(nèi)部網(wǎng)和外部網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。所有的內(nèi)部網(wǎng)和外部網(wǎng)之間的連接都必須經(jīng)過(guò)此保護(hù)層，在此進(jìn)行檢查和連接。只有被授權(quán)的通信才能通過(guò)此保護(hù)層，從而使內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)在一定意義下隔離，防止非法入侵、非法使用系統(tǒng)資源，執(zhí)行安全管制措施，記錄所有可疑事件。根據(jù)對(duì)數(shù)據(jù)處理方法的不同，防火墻大致可分為兩大體系：包過(guò)濾防火墻和代理防火墻。

訪(fǎng)問(wèn)控制技術(shù)訪(fǎng)問(wèn)控制（access control）技術(shù)是對(duì)信息系統(tǒng)資源進(jìn)行保護(hù)的重要措施，它設(shè)計(jì)的三個(gè)基本概念為：主體、客體和授權(quán)訪(fǎng)問(wèn)。主體是指一個(gè)主動(dòng)的實(shí)體，它可以訪(fǎng)問(wèn)客體，包括有用戶(hù)、用戶(hù)組、終端、主機(jī)或一個(gè)應(yīng)用?？腕w是一個(gè)被動(dòng)的實(shí)體，訪(fǎng)問(wèn)客體受到一定的限制?？腕w可以是一個(gè)字節(jié)、字段、記錄、程序或文件等。授權(quán)訪(fǎng)問(wèn)是指對(duì)主題訪(fǎng)問(wèn)客體的允許，對(duì)于每一個(gè)主體和客體來(lái)說(shuō)，授權(quán)訪(fǎng)問(wèn)都是給定的。訪(fǎng)問(wèn)控制技術(shù)的訪(fǎng)問(wèn)策略通常有三種：自主訪(fǎng)問(wèn)控制、強(qiáng)制訪(fǎng)問(wèn)控制以及基于角色的訪(fǎng)問(wèn)控制。訪(fǎng)問(wèn)控制的技術(shù)與策略主要有：入網(wǎng)訪(fǎng)問(wèn)控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)控制、屬性控制以及服務(wù)器安全控制等多種手段。

入侵檢測(cè)技術(shù)入侵檢測(cè)系統(tǒng)（intrusion detection system，簡(jiǎn)稱(chēng) ids）通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)。提供了對(duì)內(nèi)部入侵、外部入侵和錯(cuò)誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截相應(yīng)入侵。

所謂數(shù)據(jù)加密（data encryption）技術(shù)是指將一個(gè)信息（或稱(chēng)明文）經(jīng)過(guò)加密密鑰及加密函數(shù)轉(zhuǎn)換，變成無(wú)意義的密文，而接收方則將此密文經(jīng)過(guò)解密函數(shù)、解密密鑰還原成明文。數(shù)據(jù)加密是網(wǎng)絡(luò)中采用的最基本的安全技術(shù)，目的是為了防止合法接收者之外的人獲取信息系統(tǒng)中的機(jī)密信息。

數(shù)字簽名（digital signature）技術(shù)是將摘要信息用發(fā)送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發(fā)送的公鑰才能解密被加密的摘要信息，然后用 hash 函數(shù)對(duì)收到的原文產(chǎn)生一個(gè)摘要信息，與解密的摘要信息對(duì)比。如果相同，則說(shuō)明收到的信息是完整的，在傳輸過(guò)程中沒(méi)有被修改，否則說(shuō)明信息被修改過(guò)，因此數(shù)字簽名能夠驗(yàn)證信息的完整性。

隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)病毒從早期感染單機(jī)已發(fā)展到利用計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)進(jìn)行病毒傳播，其蔓延的速度更加迅速，破壞性也更為嚴(yán)重。在病毒防范中普遍使用的防病毒軟件，網(wǎng)絡(luò)防病毒軟件主要注重網(wǎng)絡(luò)防病毒，一旦病毒入侵網(wǎng)絡(luò)或者從網(wǎng)絡(luò)向其他資源傳染，網(wǎng)絡(luò)防病毒軟件會(huì)立刻檢測(cè)到并加以刪除。

人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。在做好技術(shù)安全防護(hù)措施的同時(shí)，也要加強(qiáng)對(duì)信息系統(tǒng)及相關(guān)人員的管理，只有技術(shù)與管理并重，信息系統(tǒng)才能真正做到安全防護(hù)。首先，網(wǎng)絡(luò)設(shè)備科學(xué)合理的管理。對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行合理的管理，必定能增加網(wǎng)絡(luò)的安全性。比如將一些重要的設(shè)備盡量進(jìn)行集中管理，如主干交換機(jī)、各種服務(wù)器等；對(duì)終端設(shè)備實(shí)行落實(shí)到人，進(jìn)行嚴(yán)格管理，如工作站以及其他轉(zhuǎn)接設(shè)備；對(duì)各種通信線(xiàn)路盡量進(jìn)行架空、穿線(xiàn)或者深埋，并做好相應(yīng)的標(biāo)記等。其次，是對(duì)網(wǎng)絡(luò)的安全管理。建立各項(xiàng)網(wǎng)絡(luò)信息安全制度，堅(jiān)持預(yù)防為主、補(bǔ)救為輔的原則。制定工作崗位責(zé)任制，任務(wù)到人，責(zé)任到人，責(zé)、權(quán)、利分明，以最少的投入達(dá)到最佳安全狀態(tài)。此外還必須對(duì)管理人員進(jìn)行安全管理意識(shí)培訓(xùn)，加強(qiáng)對(duì)管理員安全技術(shù)和用戶(hù)安全意識(shí)的培訓(xùn)工作。

計(jì)算機(jī)網(wǎng)絡(luò)信息安全是一個(gè)系統(tǒng)的工程，涉及技術(shù)、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問(wèn)題，也有物理的和邏輯的技術(shù)措施，而一種技術(shù)只能解決一方面的安全問(wèn)題，而不是萬(wàn)能的。必須綜合考慮安全因素，制定合理的目標(biāo)、技術(shù)方案和相關(guān)的配套法規(guī)等。世界上不存在絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng)，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展，網(wǎng)絡(luò)安全防護(hù)技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。

作者單位：貴州省赫章縣公安局