白守元，張 紅，許素敏

(西北礦冶研究院，甘肅 白銀 730900）

隨著計算機軟硬件技術(shù)、網(wǎng)絡(luò)信息技術(shù)特別是移動通訊技術(shù)的飛速發(fā)展，互聯(lián)網(wǎng)正以十分驚人的速度改變著人們的生活方式和工作方式。大到國防、工農(nóng)業(yè)生產(chǎn)、文化教育、商業(yè)往來事務(wù)處理，小到個人信息交流游戲娛樂等，時時刻刻都在通過互聯(lián)網(wǎng)處理，收發(fā)送郵件、個稅申報、證券交易、移動支付以及日常辦公等，深刻影響著國家建設(shè)和人們的生活方式。所有這一切都得益于互聯(lián)網(wǎng)的資源共享性、實時性、交互性、開放性以及匿名性等特點。從而決定了計算機網(wǎng)絡(luò)時刻受到來自各種各樣的安全威脅。網(wǎng)絡(luò)安全涉及面極廣，無論國防、工農(nóng)業(yè)生產(chǎn)、文化教育，還是個人的銀行賬號、移動按支付賬號信息等等。信息泄漏、數(shù)據(jù)被篡改、網(wǎng)站被黑、賬號密碼被盜等都屬于網(wǎng)絡(luò)安全研究的范疇。

1 網(wǎng)絡(luò)安全的基本概念

1.1 網(wǎng)絡(luò)安全及網(wǎng)絡(luò)安全威脅類型

所謂網(wǎng)絡(luò)安全，可以理解為：一，聯(lián)接在網(wǎng)絡(luò)上的服務(wù)器、計算機、打印機等硬件資源不因自然災(zāi)害、人為或非人為因素受到損壞；二，網(wǎng)絡(luò)操作系統(tǒng)、個人計算機操作系統(tǒng)不受病毒、木馬、惡意或非惡意攻擊的干擾和破壞，保證網(wǎng)絡(luò)系統(tǒng)可靠運行；三，防止國家、企業(yè)、組織的機密信息和重要數(shù)據(jù)及個人信息因意外或者惡意等原因遭到破壞、竊取、篡改。網(wǎng)絡(luò)安全也就要是既保證網(wǎng)絡(luò)系統(tǒng)連續(xù)可靠運行，又要保護(hù)網(wǎng)絡(luò)信息免受威脅。

威脅網(wǎng)絡(luò)信息安全主要體現(xiàn)在：一，利用計算機網(wǎng)絡(luò)設(shè)備設(shè)計本身的缺陷和操作系統(tǒng)應(yīng)用軟件的設(shè)計缺陷和漏洞，植入病毒破壞系統(tǒng)或用戶程序，植入木馬盜取機密信息、破壞或篡改用戶數(shù)據(jù)等；二、管理人員因操作不當(dāng)或失誤，意外刪除系統(tǒng)文件、用戶文件或者意外格式化硬盤等非惡意行為，黑客有目的性地攻擊，比如惡意破壞系統(tǒng)、竊取信息、篡改主頁等；三，網(wǎng)絡(luò)管理人員或使用人員安全意識淡薄疏于防范或隨意操作；四，網(wǎng)絡(luò)安全設(shè)備陳舊技術(shù)落后，管理制度不健全。

1.2 網(wǎng)絡(luò)安全必須具有的功能

我們必須通過管理制度與網(wǎng)絡(luò)安全技術(shù)對網(wǎng)絡(luò)信息實施保護(hù)，最大可能地防范各種安全威脅與攻擊。網(wǎng)絡(luò)安全系統(tǒng)需具備身份識別、存取權(quán)限、數(shù)字簽名、審計追蹤、密鑰管理等功能。

2 影響網(wǎng)絡(luò)安全因素分析

2.1 影響網(wǎng)絡(luò)安全的客觀因素。

影響網(wǎng)絡(luò)安全的客觀因素主要是：網(wǎng)絡(luò)資源的共享性，網(wǎng)絡(luò)的開放性，系統(tǒng)漏洞和惡意攻擊。

“資源共享”意味著網(wǎng)絡(luò)上的每一個用戶都可以部分或全部使用網(wǎng)絡(luò)硬件（如打印機）、軟件（如設(shè)計軟件）、數(shù)據(jù)信息（如視頻圖片），既為國家個人節(jié)約了成本，也為國家建設(shè)個人工作生活提供了極大的便利，同樣也為網(wǎng)絡(luò)攻擊都開啟了方便之門，為違法犯罪活動創(chuàng)造了可剩之機。

網(wǎng)絡(luò)的開放性是網(wǎng)絡(luò)最突出的特性，整個互聯(lián)網(wǎng)就是建立在自由開放的基礎(chǔ)之上的，主要體現(xiàn)在技術(shù)層面與應(yīng)用層面。開放性意味著任何組織、個人都可以獲取網(wǎng)絡(luò)上的諸如視頻、音樂、文字以及其它各類數(shù)據(jù)信息；意味著任何組織、個人包括國家和政府，都無法絕對監(jiān)控制網(wǎng)絡(luò)。網(wǎng)絡(luò)的開放性是一把雙刃劍，為我們的工作生活提供便利的同時，也為不法分子非法獲取信息、惡意攻擊提供了可剩之機，因為網(wǎng)絡(luò)的開放性在一定的程度上削弱了我們對信息的監(jiān)控。

系統(tǒng)漏洞是指計算機、網(wǎng)絡(luò)設(shè)備軟硬件設(shè)計本身存在的缺陷或者網(wǎng)絡(luò)安全方案不盡合理。

惡意攻擊是以故意破壞為目的，通常通過刪除、篡改關(guān)鍵程序和數(shù)據(jù)，造成網(wǎng)絡(luò)癱瘓或造成主機無法響應(yīng)外界請求，利用系統(tǒng)漏洞或疏于防范通過植入病毒木馬等手段竊取用戶數(shù)據(jù)破壞數(shù)據(jù)等的惡意行為。

2.2 影響網(wǎng)絡(luò)安全的主觀因素

主要體現(xiàn)在網(wǎng)絡(luò)安全管理制度不夠健全或者執(zhí)行不力，安全人員安全意識淡薄疏于防范，網(wǎng)絡(luò)安全軟硬件技術(shù)落后。

3 網(wǎng)絡(luò)的安全策略

3.1 物理安全策略

物理安全是指在在硬件上對計算機網(wǎng)絡(luò)加以保護(hù)，也就是盡可能減少網(wǎng)絡(luò)設(shè)備因自然災(zāi)害、人為或非人為原因受到物理損壞；防止電磁輻射與干擾；嚴(yán)格操作規(guī)程，不發(fā)生或少發(fā)生操作不當(dāng)或失誤；制定完善的網(wǎng)絡(luò)安全規(guī)章制度，系統(tǒng)維護(hù)和應(yīng)急措施，確保網(wǎng)絡(luò)體系在硬件實體層面具備安全良好的運行環(huán)境。

3.2 主要的網(wǎng)絡(luò)安全技術(shù)

網(wǎng)絡(luò)信息安全技術(shù)可分為被動型防御和主動型防御，且可實現(xiàn)的技術(shù)很多。本文主要以主流的：“防火墻”技術(shù)、入侵檢測技術(shù)（IDS）、安全隔離與信息交換技術(shù)、防病毒技術(shù)等方面加以闡述。

3.2.1 防火墻技術(shù)

防火墻（Firewall）做為被動型防御的代表，是軟硬件組合構(gòu)建于兩個不同網(wǎng)絡(luò)之的防護(hù)“墻”既保護(hù)屏障，采用簡單實用的安全技術(shù)阻擋外部網(wǎng)絡(luò)的非法入侵。下面簡要介紹防火墻技術(shù)的幾種類型。

（1）網(wǎng)絡(luò)級防火墻。網(wǎng)絡(luò)級防火墻一種用來控制網(wǎng)絡(luò)間訪問的網(wǎng)絡(luò)連接設(shè)備。安裝于兩個網(wǎng)絡(luò)的交界點。通過設(shè)定的規(guī)則篩選和屏蔽非法訪問和信息傳遞，保護(hù)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)安全。它既具有分析的功能又具有限制功能，根據(jù)安全規(guī)則與相應(yīng)授權(quán)決定是否放行出入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流，實現(xiàn)內(nèi)部與外部網(wǎng)絡(luò)的分離，保證內(nèi)網(wǎng)安全。

（2）應(yīng)用級網(wǎng)關(guān)。應(yīng)用級網(wǎng)關(guān)可工作在OSI七層模型（物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層和應(yīng)用層）的任一層，主要防止網(wǎng)絡(luò)問直接連接。它既能很好地應(yīng)用層上的協(xié)議，又做到較復(fù)雜的訪問控制。通常需要在服務(wù)器上安裝相應(yīng)軟件來實現(xiàn)。

（3）電路級網(wǎng)關(guān)。電路級網(wǎng)關(guān)用來檢查網(wǎng)絡(luò)間的TCP握手信息的合法性。實際上電路級網(wǎng)關(guān)與其它的應(yīng)用級網(wǎng)關(guān)結(jié)合在一起，并不是一個獨立的產(chǎn)品存在。

（4）規(guī)則檢查防火墻。規(guī)則檢查防火墻結(jié)合了上述三種防火墻的特點，在OSI網(wǎng)絡(luò)層上，過濾檢查數(shù)據(jù)包，是否符合預(yù)設(shè)網(wǎng)絡(luò)安全規(guī)則，能夠檢查SYN和ACK標(biāo)記和序列數(shù)字是否邏輯有序。

3.2.2 入侵檢測技術(shù)（IDS）

入侵檢測系統(tǒng)（IntrusionDetectionSystem 簡稱IDS）是一種先進(jìn)的訪問控制設(shè)備，是位于不同網(wǎng)絡(luò)之間的各種軟硬的組合，它是不同網(wǎng)絡(luò)之間數(shù)據(jù)流的唯一通道。

入侵檢測技術(shù)種類方法有很多，按以采用技術(shù)、工作方式分類或檢測對象分類，比如以系統(tǒng)對入侵的反應(yīng)方式分為主動入侵檢測與被動入侵檢測，以工作方式分為離線檢測和在線檢測。

主要通過①監(jiān)視主機的操作系統(tǒng)或者用戶文件，系統(tǒng)服務(wù)或應(yīng)用程序生成的日志文件；發(fā)現(xiàn)入侵蹤跡；②監(jiān)視檢查網(wǎng)絡(luò)數(shù)據(jù)包，并從中截獲原始數(shù)據(jù)包為數(shù)據(jù)源，搜索異常行為；③依據(jù)用戶行為構(gòu)建用戶特征表，分析比較當(dāng)前用戶與用戶特征表中的用戶特征，從而判斷行為是否異常；④校驗系統(tǒng)文件和數(shù)據(jù)文件的完整性；⑤識別已知攻擊的活動及方法手段；⑥跟蹤監(jiān)視操作系統(tǒng)，判斷用戶是否違反安全策略等等，并根據(jù)預(yù)設(shè)規(guī)則做出相應(yīng)的響應(yīng)，如根據(jù)對系統(tǒng)的危害程度做出直接阻止入侵行為、阻止非法安裝、隔離或刪除可疑數(shù)據(jù)、自動恢復(fù)文件、發(fā)出報警等響應(yīng)，從而最大程度地保護(hù)計算機及網(wǎng)絡(luò)系統(tǒng)，為計算機網(wǎng)絡(luò)安全提供保障。

3.2.3 安全隔離與信息交換技術(shù)

“隔離”就里在物理或邏輯上阻止兩個網(wǎng)絡(luò)間的直接聯(lián)系；“交換”就里在兩個網(wǎng)絡(luò)間保持合法的通信信息交換。安全隔離與信息交換技術(shù)的主導(dǎo)思想是在切斷內(nèi)外網(wǎng)絡(luò)間的直接聯(lián)接的同時，既要安全隔離，又要保障信息可靠交換，實現(xiàn)可控的信息交換，在實際應(yīng)用中體現(xiàn)為兩種形式，一是用于內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)時避免信息泄漏，二是保護(hù)內(nèi)部網(wǎng)中的服務(wù)不受攻擊破壞。

3.2.4 防病毒技術(shù)

隨著計算機軟硬件技術(shù)、網(wǎng)絡(luò)信息技術(shù)、通訊技術(shù)以及智能技術(shù)的飛速發(fā)展，業(yè)務(wù)數(shù)字化轉(zhuǎn)型的深入推進(jìn)，病毒的發(fā)展也更加復(fù)雜，經(jīng)常通過郵件、惡意網(wǎng)頁、各類文檔下載等途徑加大擴(kuò)散速度和危害范圍，對計算機系統(tǒng)、網(wǎng)絡(luò)、移動終端的潛在威脅問題日益突出。防病毒軟件是常用的網(wǎng)絡(luò)安全的技術(shù)，主要有軟件防病毒軟件和軟硬件相結(jié)合的防病毒技術(shù)?？梢栽诜?wù)器和客戶端同時部署，共同完成對整個網(wǎng)絡(luò)或單機的病毒防范。軟硬件相結(jié)合的防病毒技術(shù)，Intel的EDB（Execute Disable Bit）和AMD的EVP（Ehanced Virus Protection）是CPU內(nèi)嵌的硬件技術(shù)與軟件技術(shù)相配合的防病毒技術(shù)。

3.3 建設(shè)網(wǎng)絡(luò)安全管理隊伍

計算機網(wǎng)絡(luò)系統(tǒng)安全隊伍的建設(shè)首先是人才的吸納和培養(yǎng)。人才建設(shè)與培養(yǎng)首先要做到，最大可能地吸收具有安全意識強、責(zé)任心強，掌握現(xiàn)代計算機技術(shù)、信息技術(shù)、網(wǎng)絡(luò)安全技術(shù)、信息安全管理的高素質(zhì)技術(shù)人才；其次，對現(xiàn)從事網(wǎng)絡(luò)安全管理的人員或有潛力的網(wǎng)絡(luò)安全人才進(jìn)行再培訓(xùn)，以適應(yīng)現(xiàn)代網(wǎng)絡(luò)安全管理；第三，要知人善任，人盡其才，要充分發(fā)現(xiàn)個體的專長和技能，最大限度地發(fā)揮他們的專業(yè)技能和工作熱忱；第四，制定相應(yīng)的薪酬制度、獎懲制度，確保網(wǎng)絡(luò)安全隊伍的工作熱情和穩(wěn)定性。

另外，在做好網(wǎng)絡(luò)安全隊伍建設(shè)的同時，不能忽視使用人員的安全教育和技術(shù)培訓(xùn)。通過各種方式強化使用人員的安全防范意識，做到使用人員掌握必要的網(wǎng)絡(luò)安全技術(shù)，規(guī)范化使用網(wǎng)絡(luò)資源與網(wǎng)絡(luò)數(shù)據(jù)的獲取，只有網(wǎng)絡(luò)管理人員和使用人員的共同努力，盡最大可能控制、減少危害網(wǎng)絡(luò)安全的行為，把不安全因素降到最低。只有共同努力，才能保障計算機網(wǎng)絡(luò)的安全運行，從而保障網(wǎng)絡(luò)用戶的利益。

4 結(jié)語

伴隨著計算機軟硬件技術(shù)、并行技術(shù)、通訊終端智能化日新月異的發(fā)展，計算能力的極大提高，網(wǎng)絡(luò)應(yīng)用已深入到的各個領(lǐng)域，已成為各行各業(yè)或不可缺的工具和媒介，因此，網(wǎng)絡(luò)安全問題不僅對一個國家一個政府面臨著巨大地挑戰(zhàn)，對個人同樣面臨著巨大地挑戰(zhàn)。本文簡要的闡述了網(wǎng)絡(luò)信息存在的主要安全隱患，并探討了計算機網(wǎng)絡(luò)的各種安全防范措施。

總之，計算機網(wǎng)絡(luò)信息安全涉及到國家建設(shè)各領(lǐng)域及個人生活的方方面面，因此，首先需要每個人加強學(xué)習(xí)增強網(wǎng)絡(luò)安全意識，提高安全風(fēng)險防范技能；其次要建立建全安全管理制度，從制度上最大限度地把安全風(fēng)險降到最??；再次盡可能采用先進(jìn)設(shè)備，應(yīng)用先進(jìn)的網(wǎng)絡(luò)安全技術(shù)，從技術(shù)層面最大限度地把安全風(fēng)險控制到最小。只有這樣才能保證網(wǎng)絡(luò)系統(tǒng)安全運行，減少損失或不受損失。