廣東 朱土梅

隨著計(jì)算機(jī)網(wǎng)絡(luò)的普遍應(yīng)用，社會(huì)各個(gè)領(lǐng)域?qū)W(wǎng)絡(luò)的高依賴性使得人們對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行可靠性要求變得越來(lái)越高。但由于計(jì)算機(jī)網(wǎng)絡(luò)具有連接形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開(kāi)放性、互聯(lián)性等特征，互聯(lián)網(wǎng)這種具有開(kāi)放性、共享性、國(guó)際性的特點(diǎn)就對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全提出了挑戰(zhàn)，計(jì)算機(jī)病毒無(wú)處不在，黑客的猖獗防不勝防，重要情報(bào)、資料被竊取，甚至造成網(wǎng)絡(luò)系統(tǒng)的癱瘓等等。因此，網(wǎng)絡(luò)安全問(wèn)題引起全世界的關(guān)注，也成為互聯(lián)網(wǎng)健康發(fā)展的制約因素。

一、網(wǎng)絡(luò)安全概念

計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施，使網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行，保證在一個(gè)網(wǎng)絡(luò)環(huán)境里，數(shù)據(jù)的保密性、完整性及可使用性受到保護(hù)。計(jì)算機(jī)網(wǎng)絡(luò)安全包括兩個(gè)方面,即物理安全和邏輯安全。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù)，免于破壞、丟失等。邏輯安全包括信息的完整性、保密性和可用性。所以，網(wǎng)絡(luò)安全是隨著網(wǎng)絡(luò)的建設(shè)和應(yīng)用而構(gòu)建起來(lái)的一種需求。

二、威脅網(wǎng)絡(luò)安全因素

人為因素是威脅計(jì)算機(jī)網(wǎng)絡(luò)安全的最大因素。它是指一些不法之徒利用計(jì)算機(jī)網(wǎng)絡(luò)存在的漏洞或潛入機(jī)房，盜用計(jì)算機(jī)系統(tǒng)資源，非法獲取重要數(shù)據(jù)、篡改系統(tǒng)數(shù)據(jù)、破壞硬件設(shè)備、編制計(jì)算機(jī)病毒。其主要表現(xiàn)為以下幾方面：

1.網(wǎng)絡(luò)操作系統(tǒng)的不安全性

網(wǎng)絡(luò)操作系統(tǒng)是指能使網(wǎng)絡(luò)上的各臺(tái)計(jì)算機(jī)方便而有效地共享網(wǎng)絡(luò)資源，并為用戶提供所需的各種服務(wù)軟件。其自身的不安全性，系統(tǒng)開(kāi)發(fā)設(shè)計(jì)的不周，都給網(wǎng)絡(luò)安全留下隱患。

（1）操作系統(tǒng)結(jié)構(gòu)體系的缺陷。操作系統(tǒng)本身有內(nèi)存管理、CPU管理、外設(shè)管理，每個(gè)管理都涉及對(duì)應(yīng)的模塊或程序，如果這部分程序存在問(wèn)題，計(jì)算機(jī)系統(tǒng)就會(huì)崩潰。所以，網(wǎng)絡(luò)黑客往往是針對(duì)網(wǎng)絡(luò)操作系統(tǒng)自身的漏洞進(jìn)行攻擊，使計(jì)算機(jī)系統(tǒng)，特別是服務(wù)器系統(tǒng)立即癱瘓。

（2）網(wǎng)絡(luò)操作系統(tǒng)支持計(jì)算機(jī)在網(wǎng)絡(luò)上傳送文件、加載或安裝程序，快捷方便的功能也會(huì)帶來(lái)不安全因素。網(wǎng)絡(luò)很重要的一個(gè)功能就是文件傳輸功能，比如FTP。安裝程序經(jīng)常會(huì)攜帶可執(zhí)行文件，可執(zhí)行文件都是人為編寫的程序，如果某個(gè)地方出現(xiàn)漏洞或被加入惡意代碼，那么就會(huì)造成系統(tǒng)崩潰。

（3）操作系統(tǒng)某些監(jiān)控進(jìn)程，總是在等待某些事件的出現(xiàn)。如監(jiān)控病毒的監(jiān)控軟件，其進(jìn)程可能是好的，當(dāng)病毒出現(xiàn)時(shí)就會(huì)被防病毒程序捕捉到。但某些進(jìn)程是病毒，當(dāng)碰到特定的情況，它就會(huì)把用戶的硬盤格式化，這些進(jìn)程就是很危險(xiǎn)的監(jiān)控進(jìn)程。

（4）操作系統(tǒng)的后門和漏洞。后門程序是指那些繞過(guò)安全控制而獲得對(duì)程序或系統(tǒng)訪問(wèn)權(quán)的程序方法。在軟件開(kāi)發(fā)階段，程序員利用軟件的后門程序得以便利修改程序設(shè)計(jì)中的缺陷。一旦后門被黑客利用，或在發(fā)布軟件前沒(méi)有刪除后門程序，容易被黑客當(dāng)成漏洞進(jìn)行攻擊，造成信息泄密和丟失。

2.TCP/IP協(xié)議缺陷

互聯(lián)網(wǎng)采用TCP/IP協(xié)議，該協(xié)議具有網(wǎng)絡(luò)技術(shù)獨(dú)立、互聯(lián)功能強(qiáng)、支持多種應(yīng)用協(xié)議等特點(diǎn)，但是由于該協(xié)議在制定時(shí)沒(méi)有考慮到安全問(wèn)題，所以TCP/IP協(xié)議本身存在的先天缺陷導(dǎo)致了互聯(lián)網(wǎng)的安全性差。TCP/IP協(xié)議中存在的安全問(wèn)題主要有：（1）鑒別攻擊；（2）源地址欺騙；（3）源路由選擇欺騙；（4）路由選擇信息協(xié)議攻擊；（5）TCP/IP協(xié)議數(shù)據(jù)流采用明文傳輸，用戶的帳號(hào)、密碼都是以明文方式傳輸，因此數(shù)據(jù)信息很容易被在線竊聽(tīng)、篡改和偽造。

3.垃圾郵件泛濫

垃圾郵件一般是指未經(jīng)用戶許可就強(qiáng)行發(fā)送到用戶郵箱中的電子郵件。垃圾郵件的泛濫已經(jīng)使Internet網(wǎng)絡(luò)不堪重負(fù)。在網(wǎng)絡(luò)中大量垃圾郵件的傳播，侵犯了收件人隱私權(quán)和個(gè)人信箱的空間，占用了網(wǎng)絡(luò)帶寬，造成服務(wù)器擁塞，嚴(yán)重影響網(wǎng)絡(luò)中信息的傳輸能力，降低了網(wǎng)絡(luò)的運(yùn)行效率。

4.防火墻的局限性

防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成，在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。它只能提供網(wǎng)絡(luò)的安全性，不能保證網(wǎng)絡(luò)的絕對(duì)安全，它也難以防范網(wǎng)絡(luò)內(nèi)部的攻擊和病毒的侵犯，它甚至不能保護(hù)電腦免受所有那些它能檢測(cè)到的攻擊。當(dāng)今，黑客的攻擊手段不斷更新，每天幾乎都有不同系統(tǒng)安全問(wèn)題出現(xiàn)。而安全工具的更新速度慢，當(dāng)它剛發(fā)現(xiàn)并努力更正某方面安全問(wèn)題時(shí)，其他新安全問(wèn)題又出現(xiàn)了?？傊?，黑客總是可以使用先進(jìn)的手段進(jìn)行攻擊。

三、加強(qiáng)網(wǎng)絡(luò)安全防范措施

1.研發(fā)高安全的操作系統(tǒng)

研發(fā)并完善具有高安全的操作系統(tǒng)，不給病毒得以滋生的溫床才能更安全。

（1）建立入網(wǎng)訪問(wèn)控制功能模塊。入網(wǎng)訪問(wèn)控制為網(wǎng)絡(luò)提供了第一層保護(hù)。它規(guī)定可登錄到網(wǎng)絡(luò)服務(wù)器并獲取網(wǎng)絡(luò)資源的用戶條件，并控制用戶入網(wǎng)的時(shí)間以及他們?cè)谀呐_(tái)工作站入網(wǎng)。用戶入網(wǎng)訪問(wèn)控制可分為3個(gè)過(guò)程：用戶名的識(shí)別與驗(yàn)證；用戶口令的識(shí)別與驗(yàn)證；用戶賬號(hào)的檢查。3個(gè)過(guò)程中任意一個(gè)不能通過(guò)，系統(tǒng)就將其視為非法用戶。不能訪問(wèn)該網(wǎng)絡(luò)。

（2）系統(tǒng)軟件應(yīng)具備以下安全措施：操作系統(tǒng)應(yīng)有較完善的存取控制功能，以防止用戶越權(quán)存取信息；操作系統(tǒng)應(yīng)有良好的存儲(chǔ)保護(hù)功能。以防止用戶作業(yè)在指定范圍以外的存儲(chǔ)區(qū)域進(jìn)行讀寫：還應(yīng)有較完善的管理能力，以記錄系統(tǒng)的運(yùn)行情況，監(jiān)測(cè)對(duì)數(shù)據(jù)文件的存取。

2.設(shè)置代理服務(wù)器，隱藏自己的IP地址

事實(shí)上，即便你的機(jī)器上被安裝了木馬程序，若沒(méi)有你的IP地址，攻擊者也是沒(méi)有辦法的，而保護(hù)IP地址的最好方法就是設(shè)置代理服務(wù)器。代理服務(wù)器能起到外部網(wǎng)絡(luò)申請(qǐng)?jiān)L問(wèn)內(nèi)部網(wǎng)絡(luò)的中間轉(zhuǎn)接作用，其功能類似于一個(gè)數(shù)據(jù)轉(zhuǎn)發(fā)器，它主要控制哪些用戶能訪問(wèn)哪些服務(wù)類型。當(dāng)外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)某種網(wǎng)絡(luò)服務(wù)時(shí)，代理服務(wù)器接受申請(qǐng)，然后它根據(jù)其服務(wù)類型、服務(wù)內(nèi)容、被服務(wù)的對(duì)象、服務(wù)者申請(qǐng)的時(shí)間、申請(qǐng)者的域名范圍等來(lái)決定是否接受此項(xiàng)服務(wù)，如果接受，它就向內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)發(fā)這項(xiàng)請(qǐng)求。

3.保護(hù)電子郵件的安全

第一，做好郵箱的選擇?，F(xiàn)在互聯(lián)網(wǎng)上提供的郵箱主要都是免費(fèi)的，它不提供任何有效的安全保障而且有的免費(fèi)郵件服務(wù)器常常會(huì)導(dǎo)致郵件受損。所以，單位用戶應(yīng)該選用收費(fèi)郵箱，做好郵件的安全防范。

①保護(hù)好郵箱的密碼。不要使用IE的自動(dòng)完成功能，不要使用保存密碼功能以圖省事，郵箱賬號(hào)與口令應(yīng)該要取得有技巧、有難度，密碼最好能有8位數(shù)，且數(shù)字字母相間，中間還用“*”號(hào)之類的允許怪符號(hào)。

②對(duì)于比較重要的郵件地址不要隨便在網(wǎng)上暴露，將郵件信息加密處理。如使用A-LOCK，在發(fā)送郵件之前對(duì)內(nèi)容進(jìn)行加密。對(duì)方收到這種加密信件之后也必須用A-LOCK來(lái)進(jìn)行解密才能閱讀信件。

第二，防止郵件炸彈。下面介紹幾種對(duì)付電子郵件炸彈的方法：

①過(guò)濾電子郵件。凡可疑的郵件盡量不要隨手打開(kāi)。如果懷疑郵箱有炸彈，可以用郵件程序的遠(yuǎn)程郵箱管理功能來(lái)過(guò)濾信件。在進(jìn)行郵箱的遠(yuǎn)程管理時(shí)，仔細(xì)檢查郵件頭信息，如果發(fā)現(xiàn)有來(lái)歷有可疑的信件或符合郵件炸彈特征的信件，可以直接把它從郵件服務(wù)器上刪除。

②使用轉(zhuǎn)信功能。用戶一般都有幾個(gè)郵箱地址。最好申請(qǐng)一個(gè)容量較大的郵箱作為收信信箱。對(duì)于其他各種信箱，最好支持轉(zhuǎn)信功能的，并設(shè)置轉(zhuǎn)信到大信箱。所有其他郵件地址的信件都會(huì)自動(dòng)轉(zhuǎn)寄到大信箱內(nèi)，可以很好地起到保護(hù)信箱不被郵件炸彈攻擊的作用。

③使用殺毒軟件。一是有附件的郵件，不要立即打開(kāi)，而是先保存在本地硬盤上，然后用最新版本的殺毒軟件先行查殺，確保無(wú)安全威脅后才可以打開(kāi)。二是注意目前網(wǎng)上有一些別有用心的人以網(wǎng)站的名義，讓你接受他們通過(guò)郵件附件推給你的軟件,并以種種借口要求你立即執(zhí)行。對(duì)此，凡是發(fā)過(guò)來(lái)的任何程序、甚至文檔都應(yīng)用最新版本殺毒軟件進(jìn)行查殺。

4.保障下載軟件的安全

對(duì)于網(wǎng)絡(luò)軟件，網(wǎng)上大多數(shù)的信息都是干凈的，但有的黑客和“網(wǎng)絡(luò)恐怖分子”利用各種方法在網(wǎng)上擴(kuò)散病毒、木馬等，而且手段十分狡猾、隱蔽，因此我們對(duì)下載軟件絕不可大意，下載時(shí)應(yīng)注意：

①應(yīng)選擇在訪問(wèn)流量最大的專業(yè)站點(diǎn)中下載應(yīng)用軟件。大型的專業(yè)站點(diǎn)，資金雄厚，技術(shù)成熟，水平較高，信譽(yù)較佳，設(shè)有專人維護(hù)，安全性能好，提供的軟件問(wèn)題較少。

②從網(wǎng)上下載的軟件要進(jìn)行殺毒處理。對(duì)下載的任何軟件，不要立即使用，而應(yīng)先用殺毒軟件檢測(cè)并進(jìn)行殺毒處理。殺毒軟件的病毒特征庫(kù)應(yīng)始終保持最新版本，最好每周升級(jí)一次，或設(shè)置為自動(dòng)升級(jí)。

③防止染上“木馬”。一旦染上“木馬”病毒，它就會(huì)給你的操作系統(tǒng)留下用戶不知的后門，為黑客攻擊計(jì)算打開(kāi)了方便之門。最簡(jiǎn)單有效的預(yù)防措施是，避免啟動(dòng)服務(wù)器端。刪除“木馬”病毒的具體操作是，先打開(kāi)注冊(cè)表，獲取“木馬”病毒的裝入信息，找出S端程序放于何處，然后在注冊(cè)表中的將“木馬”配置鍵刪掉，重新啟動(dòng)計(jì)算機(jī)，再將該程序徹底刪除掉。

5.建立反黑客的“快速反應(yīng)部隊(duì)”

任何網(wǎng)站都不是絕對(duì)安全的，所以當(dāng)前工作的重點(diǎn)是要建立一支反黑客的“快速反應(yīng)部隊(duì)”，同時(shí)加緊培養(yǎng)高水平的網(wǎng)絡(luò)系統(tǒng)管理員，使他們盡快掌握那些關(guān)鍵技術(shù)和管理知識(shí)，盡量使用網(wǎng)絡(luò)偵聽(tīng)工具，該工具可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動(dòng)情況及網(wǎng)絡(luò)上傳輸?shù)男畔?。網(wǎng)絡(luò)偵聽(tīng)可以在網(wǎng)絡(luò)上的任何一個(gè)位置實(shí)施，如局域網(wǎng)中的一臺(tái)主機(jī)、網(wǎng)關(guān)上或遠(yuǎn)程網(wǎng)的調(diào)制解調(diào)器之間等。黑客們用得最多的是截獲用戶的口令。在網(wǎng)絡(luò)上，偵聽(tīng)效果最好的地方是在網(wǎng)關(guān)、路由器、防火墻一類的設(shè)備處，通常由網(wǎng)絡(luò)管理員來(lái)操作。

總之，計(jì)算機(jī)網(wǎng)絡(luò)安全是一項(xiàng)復(fù)雜的系統(tǒng)工程，它的維護(hù)需要多主體的共同參與，而且要從事前預(yù)防、事中監(jiān)控、事后彌補(bǔ)三方面入手，在具體工作中還需要根據(jù)網(wǎng)絡(luò)的實(shí)際情況做出細(xì)致而全面的有效安全防范措施，建立備份和恢復(fù)機(jī)制，制定相應(yīng)的安全標(biāo)準(zhǔn)，才能更有效地確保計(jì)算機(jī)網(wǎng)絡(luò)的安全性，使網(wǎng)絡(luò)系統(tǒng)更安全更高效地為大家提供便捷的網(wǎng)絡(luò)服務(wù)。

[1]馬時(shí)來(lái).計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)教程.清華大學(xué)出版社,2004,2.

[2]龍冬陽(yáng).網(wǎng)絡(luò)安全技術(shù)及應(yīng)用.廣州:華南理工大學(xué)出版社,2006.

[3]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)（第 5版）[M].北京：電子工業(yè)出版社,2008.

[4]王群.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù).清華大學(xué)出版社,2008,7.