錢(qián)孝娣　馬童

摘 要： 本文在分析計(jì)算機(jī)網(wǎng)絡(luò)脆弱性及其安全問(wèn)題的基礎(chǔ)上，針對(duì)存在的問(wèn)題從防范策略與使用技術(shù)兩個(gè)方面探討了計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題，以期對(duì)促進(jìn)計(jì)算機(jī)網(wǎng)絡(luò)安全管理工作水平的提高有所幫助。

關(guān)鍵詞： 計(jì)算機(jī)網(wǎng)絡(luò) 脆弱性 安全防范

網(wǎng)絡(luò)信息時(shí)代的到來(lái)，使社會(huì)信息傳遞發(fā)生日新月異的變化；計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用水平，已經(jīng)成為一個(gè)國(guó)家、地區(qū)政治、經(jīng)濟(jì)、文化、軍事等實(shí)力水平的重要標(biāo)志之一。計(jì)算機(jī)網(wǎng)絡(luò)在廣泛應(yīng)用使綜合國(guó)力大幅提高的同時(shí)，給國(guó)家安全帶來(lái)更多威脅，特別是無(wú)處不在的“黑客”網(wǎng)絡(luò)攻擊、遍布各地的計(jì)算機(jī)病毒木馬入侵、別有用心的計(jì)算機(jī)網(wǎng)絡(luò)經(jīng)濟(jì)犯罪等，都直接威脅國(guó)家、企業(yè)及個(gè)人的財(cái)產(chǎn)安全，體現(xiàn)了計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性，有必要就其脆弱性及安全防范問(wèn)題作深入探討。

一、計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性及安全問(wèn)題

就計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性來(lái)說(shuō)，通過(guò)最大廣域網(wǎng)因特網(wǎng)就可以表現(xiàn)出來(lái)：第一，因特網(wǎng)幾乎處于一種無(wú)政府、無(wú)組織、無(wú)管理狀態(tài)，任一用戶、任一組織都可以通過(guò)基本的Web瀏覽，訪問(wèn)其他企業(yè)、單位及個(gè)人的信息，特別是在我國(guó)個(gè)人信息保護(hù)法律法規(guī)還不健全的情況下，隨意瀏覽很易導(dǎo)致對(duì)他人侵害的發(fā)生，也為進(jìn)一步的個(gè)人信息保密造成困難。第二，網(wǎng)絡(luò)通信線路等硬件基礎(chǔ)設(shè)施缺乏必要的保護(hù)，很容易被人惡意搭線竊聽(tīng)、非法訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)及個(gè)人計(jì)算機(jī)中的重要數(shù)據(jù)信息。第三，因特網(wǎng)通信基本全部基于TCP/IP協(xié)議連接，由于TCP/IP協(xié)議的明碼傳輸設(shè)計(jì)缺陷，導(dǎo)致無(wú)法對(duì)信息傳輸過(guò)程的安全進(jìn)行有效控制，為他人截取、更換信息提供機(jī)會(huì)；特別是TCP/IP協(xié)議的IP地址網(wǎng)絡(luò)節(jié)點(diǎn)唯一標(biāo)志特性，特定IP地址登錄不需要身份認(rèn)證，這就使攻擊者可能通過(guò)修改或者冒充某個(gè)IP地址進(jìn)行信息重傳、竊聽(tīng)等惡意攻擊?？傊?，因特網(wǎng)、互聯(lián)網(wǎng)本身的脆弱性給網(wǎng)絡(luò)安全造成巨大的潛在威脅，需要進(jìn)一步探討其脆弱性問(wèn)題。

計(jì)算機(jī)網(wǎng)絡(luò)安全的實(shí)質(zhì)，就在于保障計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中人、硬件基礎(chǔ)設(shè)施、軟件程序、數(shù)據(jù)信息等要素的安全，主要是避免發(fā)生各種偶然的或者人為的破壞、攻擊，旨在保證計(jì)算機(jī)網(wǎng)系統(tǒng)的安全、正常、可靠工作。當(dāng)前，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)來(lái)說(shuō)，其存在的較普遍的威脅如：病毒侵入、數(shù)據(jù)完整性遭破壞、信息泄密、信息篡改、非法信息流傳輸、非法獲取使用網(wǎng)絡(luò)資源，以及利用計(jì)算機(jī)網(wǎng)絡(luò)從事違法犯罪活動(dòng)等，嚴(yán)重者可能導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)癱瘓。其中威脅最大的莫過(guò)于“黑客”攻擊，其常用的方式是利用操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議的安全漏洞攻擊特定計(jì)算機(jī)或者服務(wù)器。如：針對(duì)TCP/IP協(xié)議進(jìn)行的Smurt攻擊、SYN洪水攻擊，以及基于源路由的篡改攻擊等，都會(huì)導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)“拒絕服務(wù)”的發(fā)生。

二、計(jì)算機(jī)網(wǎng)絡(luò)安全防范策略與技術(shù)

就計(jì)算機(jī)網(wǎng)絡(luò)安全防范策略來(lái)說(shuō)，計(jì)算機(jī)網(wǎng)絡(luò)安全管理是一項(xiàng)涉及諸多方面因素的系統(tǒng)工程，需要進(jìn)行被動(dòng)性防御，更需要主動(dòng)性防御；需要使用必要的安全技術(shù)，也需要進(jìn)一步規(guī)范相關(guān)網(wǎng)絡(luò)安全管理模式、管理規(guī)章制約束網(wǎng)絡(luò)用戶的行為，目的只有一個(gè)，即保證計(jì)算機(jī)網(wǎng)絡(luò)的安全性。其安全策略的制定應(yīng)該遵循以下基本原則：最小特權(quán)原則、最薄弱連接原則、失效保護(hù)原則、阻塞點(diǎn)原則、縱深防御及多樣化原則及普遍參與的原則；計(jì)算機(jī)網(wǎng)絡(luò)安全防范策略只有建立在上述原則基礎(chǔ)之上，才有可能真正改進(jìn)乃至解決計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題，是一種根本的從設(shè)計(jì)思想上考慮解決計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題的分級(jí)管理結(jié)構(gòu)體系，是必要的，也是有效的。

就計(jì)算機(jī)網(wǎng)絡(luò)安全防范技術(shù)來(lái)說(shuō)，最有效的莫過(guò)于防火墻技術(shù)的應(yīng)用。目前，市場(chǎng)提供的防火墻產(chǎn)品眾多，如為解決防火墻“單失效點(diǎn)”、“流量瓶頸”等問(wèn)題，開(kāi)發(fā)的桌面化個(gè)人防火墻，對(duì)上述問(wèn)題起到一定的保護(hù)作用；但個(gè)人防火墻的保護(hù)功能只限于個(gè)人計(jì)算機(jī)，對(duì)于整個(gè)網(wǎng)絡(luò)安全的防護(hù)作用有限?；趥€(gè)人防火墻的分布式防火墻，在個(gè)人防火墻基礎(chǔ)做了重大改進(jìn)，其雖然有效增強(qiáng)了現(xiàn)有個(gè)人防火墻的部分功能，但是在內(nèi)部網(wǎng)絡(luò)全局策略上還是難以實(shí)現(xiàn)，最重要的是不能完全保證內(nèi)部網(wǎng)不被外部主機(jī)探測(cè)到。

結(jié)合了個(gè)人防火墻和分布式防火墻優(yōu)點(diǎn)的分級(jí)防火墻體系結(jié)構(gòu)，是當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用的主流。對(duì)于分級(jí)防火墻來(lái)說(shuō)，其分為內(nèi)部網(wǎng)和外部網(wǎng)兩部分，內(nèi)外網(wǎng)之間通過(guò)路由器連接，外部主機(jī)經(jīng)過(guò)路由器后不是直接進(jìn)入內(nèi)網(wǎng)，而是需要經(jīng)過(guò)主級(jí)防火墻，在主級(jí)防火墻處執(zhí)行身份認(rèn)證、訪問(wèn)控制等安全處理，然后由內(nèi)部路由器轉(zhuǎn)接至內(nèi)網(wǎng)絡(luò)；即使是在內(nèi)網(wǎng)也可以依據(jù)資源地理位置的不同或者網(wǎng)絡(luò)安全需要再次進(jìn)行部門(mén)子網(wǎng)的劃分，同時(shí)由次級(jí)防火墻提供二次防護(hù)。

總之，從分級(jí)防火墻系統(tǒng)結(jié)構(gòu)可以看出，主級(jí)防火墻的使用更有利于內(nèi)部網(wǎng)絡(luò)全局策略的執(zhí)行，其有效隱藏了內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及相關(guān)設(shè)備信息，而次級(jí)防火墻的使用則可以進(jìn)一步細(xì)化安全策略，旨在滿足不同用戶的安全需求；由于二級(jí)或者低級(jí)防火墻是一個(gè)功能相對(duì)獨(dú)立的模塊，其在子網(wǎng)之間的應(yīng)用一定程度上防止了內(nèi)部子網(wǎng)主機(jī)之間攻擊的發(fā)生，進(jìn)而有效緩解防火墻單失效點(diǎn)問(wèn)題，將網(wǎng)絡(luò)攻擊限制在更小的范圍內(nèi)，計(jì)算機(jī)網(wǎng)絡(luò)安全防范作用重大。分級(jí)體系結(jié)構(gòu)的防火墻設(shè)計(jì)思想可以有效整合包過(guò)濾、代理網(wǎng)關(guān)和狀態(tài)檢測(cè)等多種防火墻技術(shù)，實(shí)現(xiàn)多種安全技術(shù)的綜合應(yīng)用，保證計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)的靈活、可靠。

參考文獻(xiàn)：

[1]梁樹(shù)杰.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題及其防范措施[J].信息安全與技術(shù)，2014（03）.

[2]陳虹，王飛，肖振久，孫麗娜.一種融合多源數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型[J].計(jì)算機(jī)工程與應(yīng)用，2014（03）.