□徐有汐

Internet日益普及使得網(wǎng)絡(luò)成為信息的海洋，給人們學(xué)習(xí)、工作、生活帶來(lái)了極大的方便。但是各種病毒的入侵，軟件自身的安全漏洞，黑客不擇手段的侵入，也給網(wǎng)絡(luò)的安全使用帶來(lái)了隱患，網(wǎng)絡(luò)信息的安全性變得日益重要。

從根本意義上講，絕對(duì)安全的計(jì)算機(jī)是根本不存在的，絕對(duì)安全的網(wǎng)絡(luò)也是不可能的。只要使用，就或多或少存在著安全問(wèn)題，只是程度不同而已。常見(jiàn)的安全威脅主要來(lái)自以下幾個(gè)方面：

一、非授權(quán)訪問(wèn)。非授權(quán)訪問(wèn)是指對(duì)網(wǎng)絡(luò)設(shè)備及資源的非正常使用，或擅自擴(kuò)大權(quán)限，越權(quán)訪問(wèn)信息。其目的主要是取得使用系統(tǒng)的存儲(chǔ)權(quán)限、寫權(quán)限以及訪問(wèn)存儲(chǔ)內(nèi)容的權(quán)限，或者惡意破壞這個(gè)系統(tǒng)，使其毀壞而喪失服務(wù)能力。

二、木馬程序。木馬程序是指潛伏在電腦中，可受外部用戶控制以竊取本機(jī)信息或者控制權(quán)的程序。多數(shù)有惡意企圖，例如占用系統(tǒng)資源，降低電腦效能，危害本機(jī)信息安全（盜取QQ 帳號(hào)、游戲帳號(hào)甚至銀行帳號(hào)），將本機(jī)作為工具來(lái)攻擊其他設(shè)備等。

三、計(jì)算機(jī)病毒。計(jì)算機(jī)病毒指編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。如常見(jiàn)的蠕蟲(chóng)病毒，就是以計(jì)算機(jī)為載體，利用操作系統(tǒng)和應(yīng)用程序的漏洞主動(dòng)進(jìn)行攻擊，是一種通過(guò)網(wǎng)絡(luò)傳輸?shù)膼盒圆《尽?/p>

計(jì)算機(jī)網(wǎng)絡(luò)安全的防范措施可以從技術(shù)和管理兩個(gè)方面來(lái)考慮解決。

一、從技術(shù)上解決信息網(wǎng)絡(luò)安全問(wèn)題。首先，數(shù)據(jù)備份。所謂數(shù)據(jù)備份就是將硬盤上有用的文件、數(shù)據(jù)都拷貝到另外的地方如移動(dòng)硬盤等，這樣即使連接在網(wǎng)絡(luò)上的計(jì)算機(jī)被攻擊破壞，因?yàn)橐呀?jīng)有備份，所以不用擔(dān)心，再將需要的文件和數(shù)據(jù)拷貝回去就可以了。做好數(shù)據(jù)的備份是解決數(shù)據(jù)安全問(wèn)題的最直接、最有效措施之一。數(shù)據(jù)備份方法有全盤備份、增量備份、差分備份。

其次，物理隔離網(wǎng)閘。物理隔離網(wǎng)閘采用了網(wǎng)絡(luò)隔離技術(shù)，是使用帶有多種控制功能的固態(tài)開(kāi)關(guān)讀寫介質(zhì)連接兩個(gè)獨(dú)立主機(jī)系統(tǒng)的信息安全設(shè)備。由于兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間，不存在通信的物理連接，不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無(wú)協(xié)議“擺渡”，且對(duì)固態(tài)存儲(chǔ)介質(zhì)只有“讀”和“寫”兩個(gè)命令。所以，它從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使“黑客”無(wú)法入侵、無(wú)法攻擊、無(wú)法破壞，實(shí)現(xiàn)了真正的安全。

第三，防火墻技術(shù)。防火墻就是一個(gè)由軟件和硬件設(shè)備組合而成在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet 與Intranet 之間建立起一個(gè)安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。內(nèi)部網(wǎng)計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過(guò)防火墻。防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過(guò)濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口，而且還能禁止特定的端口流出通信，封鎖特洛伊木馬。最后，它可以禁止來(lái)自特殊站點(diǎn)的訪問(wèn)，從而防止來(lái)自不明入侵者的所有通信。另外，防火墻只能阻截來(lái)自外部網(wǎng)絡(luò)的侵?jǐn)_，而對(duì)于內(nèi)部網(wǎng)絡(luò)的安全還需要通過(guò)對(duì)內(nèi)部網(wǎng)絡(luò)的有效控制和管理來(lái)實(shí)現(xiàn)。

第四，加密技術(shù)。加密技術(shù)是實(shí)現(xiàn)網(wǎng)絡(luò)安全的重要手段之一，正確的使用可以確保信息的安全。數(shù)據(jù)加密的基本過(guò)程就是對(duì)原來(lái)為明文的文件或數(shù)據(jù)按某種特定算法進(jìn)行處理，使其成為不可讀的一段代碼，通常稱為“密文”，只能在輸入相應(yīng)的密鑰之后才能顯示出本來(lái)的內(nèi)容，通過(guò)這樣的途徑來(lái)達(dá)到保護(hù)數(shù)據(jù)不被非法竊取、閱讀的目的。該過(guò)程的逆過(guò)程為解密，即將編碼信息轉(zhuǎn)化為其原來(lái)數(shù)據(jù)的過(guò)程。

二、從管理上解決信息網(wǎng)絡(luò)安全的問(wèn)題。在強(qiáng)調(diào)技術(shù)解決信息網(wǎng)絡(luò)安全的同時(shí)，還必須花大力氣加強(qiáng)對(duì)使用網(wǎng)絡(luò)的人員進(jìn)行管理，注意管理方式和實(shí)現(xiàn)方法，因?yàn)橹T多的不安全因素恰恰反映在組織管理或人員工作時(shí)錄入、使用等方面，是計(jì)算機(jī)網(wǎng)絡(luò)安全必須考慮的基本問(wèn)題。

妥善的系統(tǒng)管理將網(wǎng)絡(luò)的不安全性降至現(xiàn)有條件下的最低。目前，在Unix 上發(fā)現(xiàn)的大多問(wèn)題，都?xì)w因于一些編程漏洞及管理不善，如果每個(gè)網(wǎng)絡(luò)及系統(tǒng)管理員都能注意到以下幾點(diǎn)，即可在現(xiàn)有條件下，將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)降至最低。

一是口令管理。目前發(fā)現(xiàn)的大多數(shù)漏洞都是由于口令管理不善，“黑客”得以趁虛而入。因此口令的有效管理是非?；镜?，也是非常重要的。

二是用戶賬號(hào)管理。在為用戶建立賬號(hào)時(shí)，應(yīng)注意保證每個(gè)用戶的UID 是唯一的，應(yīng)避免使用公用賬號(hào)。對(duì)于過(guò)期的賬號(hào)要及時(shí)封閉，對(duì)于長(zhǎng)期不用的賬號(hào)要定期檢查，必要時(shí)封閉。因?yàn)檫@樣的賬號(hào)通常是“黑客”襲擊的目標(biāo)，他們可以在上面大做手腳而很長(zhǎng)時(shí)間內(nèi)不被發(fā)現(xiàn)。

三是Inetd/Xinetd的妥善管理。Inetd 是超級(jí)服務(wù)器，它使得一臺(tái)機(jī)器上可以同時(shí)運(yùn)行幾十個(gè)服務(wù)器，以這些服務(wù)器的名義同時(shí)偵聽(tīng)服務(wù)的端口（port）。當(dāng)有服務(wù)請(qǐng)求到來(lái)時(shí)，它會(huì)啟動(dòng)相應(yīng)的服務(wù)器，通過(guò)其配置文件/ect/inetd.conf進(jìn)行合理配置。

四是謹(jǐn)慎使用r 命令。r 命令可以使用戶在不需提供密碼情況下執(zhí)行遠(yuǎn)程操作。在方便使用的同時(shí)，也帶來(lái)潛在的安全問(wèn)題。因此，建議用戶在懷疑自己的系統(tǒng)被闖入時(shí)，馬上查看.rhosts 文件，檢查其最后一次修改日期及內(nèi)容，注意文件中絕對(duì)不能出現(xiàn)"++"，否則網(wǎng)絡(luò)上任何一個(gè)用戶不需知道你的密碼就能任意進(jìn)入你的賬戶。

五是X 管理。X的使用無(wú)疑使計(jì)算機(jī)網(wǎng)絡(luò)錦上添花。它除了提供好的圖形用戶界面，還可以讓用戶通過(guò)網(wǎng)絡(luò)調(diào)用本機(jī)遠(yuǎn)程節(jié)點(diǎn)的X 程序。同時(shí)，也正是由于它廣泛應(yīng)用，物美價(jià)廉的X 終端（X terminal）才備受歡迎。

六是加強(qiáng)信息服務(wù)器的安全措施。如果對(duì)外開(kāi)放的信息服務(wù)器本身是不安全的，就相當(dāng)于在系統(tǒng)的防護(hù)罩上開(kāi)了一個(gè)漏洞，那么其他的安全工作做得再多，也會(huì)付諸東流。因此，系統(tǒng)管理員和信息服務(wù)器的管理人員必須細(xì)心注意服務(wù)器本身的安全設(shè)置，并隨時(shí)更新版本。目前，幾乎所有的信息服務(wù)器均提供了安全設(shè)置途徑。