董　琳

摘 要：隨著互聯(lián)網(wǎng)的日益普及，Internet已經(jīng)成為給人們工作、學(xué)習(xí)、生活帶來極大方便的信息資源海洋。但由于Internet是一個(gè)開放的，無控制機(jī)構(gòu)的網(wǎng)絡(luò)，經(jīng)常會(huì)受到計(jì)算機(jī)病毒、黑客的侵襲。它可使計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)和文件丟失，系統(tǒng)癱瘓。因此，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全問題必須放在首位。本文介紹了計(jì)算機(jī)系統(tǒng)安全的內(nèi)容及其維護(hù)措施。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò) 系統(tǒng)安全 維護(hù) 管理

一、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全概述

計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全主要包括三個(gè)方面的內(nèi)容：安全性、保密性、完整性。從系統(tǒng)安全的內(nèi)容出發(fā)，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中安全機(jī)制基本的任務(wù)是訪問控制：即授權(quán)、確定訪問權(quán)限、實(shí)施訪問權(quán)限、計(jì)算機(jī)網(wǎng)絡(luò)審計(jì)跟蹤。

1.計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性。它主要是指內(nèi)部與外部安全。內(nèi)部安全是在系統(tǒng)的軟件、硬件及周圍的設(shè)施中實(shí)現(xiàn)的。外部安全主要是人事安全，是對(duì)某人參與計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)工作和這位工作人員接觸到的敏感信息是否值得信賴的一種審查過程。

2.計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)保密性。加密是對(duì)傳輸過程中的數(shù)據(jù)進(jìn)行保護(hù)的重要方法，又是對(duì)存儲(chǔ)在各種媒體上的數(shù)據(jù)加以保護(hù)的一種有效的手段。系統(tǒng)安全是我們的最終目標(biāo)，而加密是實(shí)現(xiàn)這一目標(biāo)的有效的手段。

3.計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的完整性。完整性技術(shù)是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)內(nèi)軟件（程序）與數(shù)據(jù)不被非法刪改的一種技術(shù)手段，它可分為數(shù)據(jù)完整性和軟件完整性。

4.計(jì)算機(jī)網(wǎng)絡(luò)安全訪問控制。（1）授權(quán)：決定哪個(gè)主體有資格訪問哪個(gè)客體。（2）確定訪問權(quán)限：決定是否有權(quán)讀、寫、運(yùn)行、刪除以及附著。(3)實(shí)施訪問權(quán)限：在一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，訪問控制權(quán)指本系統(tǒng)內(nèi)主體對(duì)客體的訪問控制，不涉及訪問本系統(tǒng)。

5.計(jì)算機(jī)網(wǎng)絡(luò)審計(jì)跟蹤。在一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，審計(jì)跟蹤對(duì)使用何種系統(tǒng)資源、使用時(shí)間、如何使用以及由哪個(gè)用戶使用等問題提供了一個(gè)完備的紀(jì)錄，以備非法事件發(fā)生后能夠有效追查。它是在用戶進(jìn)人系統(tǒng)進(jìn)行各種操作時(shí)自動(dòng)進(jìn)行的。

二、影響計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的因素

1.自然因素：

1.1軟件漏洞

任何的系統(tǒng)軟件和應(yīng)用軟件都不能是百分之百的無缺陷和無漏洞的，而這些缺陷和漏洞恰恰是非法用戶、黑客進(jìn)行竊取機(jī)密信息和破壞信息的首選途徑。針對(duì)固有的安全漏洞進(jìn)行攻擊，主要在以下幾個(gè)方面：

1.1.1、協(xié)議漏洞。例如，IMAP和POP3協(xié)議一定要在Unix根目錄下運(yùn)行，攻擊者利用這一漏洞攻擊IMAP破壞系統(tǒng)的根目錄，從而獲得超級(jí)用戶的特權(quán)。

1.1.2、緩沖區(qū)溢出。很多系統(tǒng)在不檢查程序與緩沖區(qū)之間變化的情況下，就接受任何長度的數(shù)據(jù)輸入，把溢出部分放在堆棧內(nèi)，系統(tǒng)仍照常執(zhí)行命令。攻擊者就利用這一漏洞發(fā)送超出緩沖區(qū)所能處理的長度的指令，來造成系統(tǒng)不穩(wěn)定狀態(tài)。

1.1.3、口令攻擊。例如，U nix系統(tǒng)軟件通常把加密的口令保存在一個(gè)文件中，而該文件可通過拷貝或口令破譯方法受到入侵。因此，任何不及時(shí)更新的系統(tǒng)，都是容易被攻擊的。

1.2 病毒攻擊

因?yàn)槠髽I(yè)網(wǎng)絡(luò)同樣也是連接在互聯(lián)網(wǎng)上的一個(gè)網(wǎng)絡(luò)，所以它不可避免的要遭到這樣或者那樣的病毒的攻擊。這些病毒有些是普通沒有太大破壞的，而有些卻是能造成系統(tǒng)崩潰的高危險(xiǎn)病毒。病毒一方面會(huì)感染大量的機(jī)器，造成機(jī)器“罷工”并成為感染添另一方面會(huì)大量占用網(wǎng)絡(luò)帶寬，阻塞正常流量，形成拒絕服務(wù)攻擊。

2.人為因素：

2.1操作失誤

操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識(shí)不強(qiáng).用戶口令選擇不慎.用戶將自己的帳號(hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來威脅。這種情況在企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)使用初期較常見，隨著網(wǎng)絡(luò)管理制度的建立和對(duì)使用人員的培訓(xùn)，此種情況逐漸減少.對(duì)網(wǎng)絡(luò)安全己不構(gòu)成主要威脅。

2.2惡意攻擊

這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅，敵手的攻擊和計(jì)算機(jī)犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動(dòng)攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動(dòng)攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下.進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信急。

三、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全維護(hù)策略

一個(gè)安全的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)該具有可靠性、可用性、完整性、保密性等特點(diǎn)。計(jì)算機(jī)網(wǎng)絡(luò)安全保護(hù)的重點(diǎn)應(yīng)在以下兩個(gè)方面:一是計(jì)算機(jī)病毒，二是黑客的入侵。

1.計(jì)算機(jī)病毒的防御

防御計(jì)算機(jī)病毒應(yīng)該從兩個(gè)方面著手，首先應(yīng)該加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理人員以及使用人員的安全意識(shí)，使他們能養(yǎng)成正確上網(wǎng)、安全上網(wǎng)的好習(xí)慣。再者，應(yīng)該加強(qiáng)技術(shù)上的防范措施，比如使用高技術(shù)防火墻、使用防毒殺毒工具等。具體做法如下：

1.1權(quán)限設(shè)置，口令控制。

很多計(jì)算機(jī)系統(tǒng)常用口令來控制對(duì)系統(tǒng)資源的訪問，這是防病毒進(jìn)程中，最容易和最經(jīng)濟(jì)的方法之一。網(wǎng)絡(luò)管理員和終端操作員根據(jù)自己的職責(zé)權(quán)限，選擇不同的口令，對(duì)應(yīng)用程序數(shù)據(jù)進(jìn)行合法操作，防止用戶越權(quán)訪問數(shù)據(jù)和使用網(wǎng)絡(luò)資源。在選擇口令應(yīng)往意，必須選擇超過6個(gè)字符并且由字母和數(shù)字共同組成的口令；操作員應(yīng)定期變一次口令；不得寫下口令或在電子郵件中傳送口令。通常簡單的口令就能取得很好的控制效果，因?yàn)橄到y(tǒng)本身不會(huì)把口令泄露出去。但在網(wǎng)絡(luò)系統(tǒng)中，由于認(rèn)證信息要通過網(wǎng)遞，口令很容易被攻擊者從網(wǎng)絡(luò)傳輸線路上竊取，所以網(wǎng)絡(luò)環(huán)境中，使用口令控制并不是很安全的方法。

1.2 簡易安裝，集中管理。

在網(wǎng)絡(luò)上，軟件的安裝和管理方式是十分關(guān)鍵的，它不僅關(guān)系到網(wǎng)絡(luò)維護(hù)管理的效率和質(zhì)量，而且涉及到網(wǎng)絡(luò)的安全性。好的殺毒軟件能在幾分鐘內(nèi)輕松地安裝到組織里的每一個(gè)NT服務(wù)器上，并可下載和散布到所有的目的機(jī)器上，由網(wǎng)絡(luò)管理員集中設(shè)置和管理，它會(huì)與操作系統(tǒng)及其它安全措施緊密地結(jié)合在一起，成為網(wǎng)絡(luò)安全管理的一部分，并且自動(dòng)提供最佳的網(wǎng)絡(luò)病毒防御措施。

1.3 實(shí)時(shí)殺毒，報(bào)警隔離。

當(dāng)計(jì)算機(jī)病毒對(duì)網(wǎng)上資源的應(yīng)用程序進(jìn)行攻擊時(shí)，這樣的病毒存在于信息共享的網(wǎng)絡(luò)介質(zhì)上，因此就要在網(wǎng)關(guān)上設(shè)防，在網(wǎng)絡(luò)前端進(jìn)行殺毒?；诰W(wǎng)絡(luò)的病毒特點(diǎn)，應(yīng)該著眼于網(wǎng)絡(luò)整體來設(shè)計(jì)防范手段。在計(jì)算機(jī)硬件和軟件，LAN服務(wù)器，服務(wù)器上的網(wǎng)關(guān)，Internet層層設(shè)防，對(duì)每種病毒都實(shí)行隔離、過濾，而且完全在后臺(tái)操作。例如:某一終端機(jī)如果通過軟盤感染了計(jì)算機(jī)病毒，勢必會(huì)在LAN上蔓延，而服務(wù)器具有了防毒功能，病毒在由終端機(jī)向服務(wù)器轉(zhuǎn)移的進(jìn)程中就會(huì)被殺掉。為了引起普覺，當(dāng)在網(wǎng)絡(luò)中任何一臺(tái)工作站或服務(wù)器上發(fā)現(xiàn)病毒時(shí)，它都會(huì)立即報(bào)警通知網(wǎng)絡(luò)管理員。

1.4以網(wǎng)為本，多層防御。

網(wǎng)絡(luò)防毒不同于單機(jī)防毒。計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)開放的系統(tǒng)，它是同時(shí)運(yùn)行多程序、多數(shù)據(jù)流向和各種數(shù)據(jù)業(yè)務(wù)的服務(wù)。單機(jī)版的殺毒軟件雖然可以暫時(shí)查殺終端機(jī)上的病毒，一旦上網(wǎng)仍會(huì)被病毒感染，它是不能在網(wǎng)絡(luò)上徹底有效地查殺病毒，確保系統(tǒng)安全的。所以網(wǎng)絡(luò)防毒一定要以網(wǎng)為本，從網(wǎng)絡(luò)系統(tǒng)和角度重新設(shè)計(jì)防毒解決方案，只有這樣才能有效地查殺網(wǎng)絡(luò)上的計(jì)算機(jī)病毒。

2.對(duì)黑客攻擊的防御

對(duì)黑客的防御策略應(yīng)該是對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)實(shí)施的分層次、多級(jí)別的包括檢測、告警和修復(fù)等應(yīng)急功能的實(shí)時(shí)系統(tǒng)策略，方法如下：

防火墻構(gòu)成了系統(tǒng)對(duì)外防御的第一道防線。在這里，防火墻是一個(gè)小型的防御系統(tǒng)，用來隔離被保護(hù)的內(nèi)部網(wǎng)絡(luò)，明確定義網(wǎng)絡(luò)的邊界和服務(wù)，同時(shí)完成授權(quán)、訪問控制以及安全審計(jì)的功能?；镜姆阑饓夹g(shù)有以下幾種：

2.1包過濾路由器

路由器的一個(gè)主要功能足轉(zhuǎn)發(fā)分組，使之離目的更近。為了轉(zhuǎn)發(fā)分組，路由器從IP報(bào)頭讀取目的地址，應(yīng)用基于表格的路由算法安排分組的出口。過濾路由器在一般路由器的基礎(chǔ)上增加了一些新的安全控制功能。絕人多數(shù)防火墻系統(tǒng)在它們的體系結(jié)構(gòu)中含了這些路由器，但只足以一種相當(dāng)隨意的方式來允許或禁止通過它的分組，因此它并不能做成一個(gè)完整的解決方案。

2.2 雙宿網(wǎng)關(guān)

一個(gè)雙宿網(wǎng)關(guān)足一個(gè)具有兩個(gè)網(wǎng)絡(luò)界面的主機(jī)，每個(gè)網(wǎng)絡(luò)界面與它所對(duì)應(yīng)的網(wǎng)絡(luò)進(jìn)行了通信。它具有路由器的作用。通常情況下，應(yīng)用層網(wǎng)關(guān)或代理雙宿網(wǎng)關(guān)下，他們傳遞的信息經(jīng)常是對(duì)一特定服務(wù)的請(qǐng)求或者對(duì)一特定服務(wù)的響應(yīng)。如果認(rèn)為消息是安全的，那么代理會(huì)將消息轉(zhuǎn)發(fā)相應(yīng)的主機(jī)上。用戶只能夠使用代理服務(wù)器支持的服務(wù)。

2.3 濾主機(jī)網(wǎng)關(guān)

一個(gè)過濾主機(jī)網(wǎng)關(guān)是由一個(gè)雙宿網(wǎng)關(guān)和一個(gè)過濾路由器組成的。防火墻的配置包括一個(gè)位于內(nèi)部網(wǎng)絡(luò)下的堡壘主機(jī)和一個(gè)位于堡壘主機(jī)和INTERNET之間的過濾路由器。這個(gè)系統(tǒng)結(jié)構(gòu)的第一個(gè)安全設(shè)施是過濾路由器，它阻塞外部網(wǎng)絡(luò)進(jìn)來的除了通向堡壘主機(jī)的所有其他信息流。對(duì)到來的信息流而言，由于先要經(jīng)過過濾路由器的過濾，過濾后的信息流被轉(zhuǎn)發(fā)到堡壘主機(jī)上，然后由堡壘主機(jī)下的應(yīng)用服務(wù)代理對(duì)這此信息流進(jìn)行了分析并將合法的信息流轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)絡(luò)的主機(jī)上;外出的信息首先經(jīng)過堡壘主機(jī)下的應(yīng)用服務(wù)代理的檢查，然后被轉(zhuǎn)發(fā)到過濾路由器，然后有過濾路由器將其轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)上。

2.4 過濾子網(wǎng)網(wǎng)關(guān)

一個(gè)安全的過濾子網(wǎng)建立在內(nèi)部網(wǎng)絡(luò)與INTERNET之間，這個(gè)子網(wǎng)的入口通常是一個(gè)堡壘主機(jī)，分組過濾器通常位于子網(wǎng)與INTERNET之間以及內(nèi)部網(wǎng)絡(luò)與子網(wǎng)之間。分組過濾器通過出入信息流的過濾起到了子網(wǎng)與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的緩沖作用。堡壘主機(jī)上的代理提供了對(duì)外網(wǎng)絡(luò)的交互訪問。在過濾路由器過濾掉所有不能識(shí)別或禁止通過的信息流后，將其他信息流轉(zhuǎn)發(fā)到堡壘主機(jī)上，由其上的代理仔細(xì)進(jìn)行檢查。

所以，可以根據(jù)實(shí)際情況，單獨(dú)或者結(jié)合使用以上防火墻技術(shù)來構(gòu)筑第一道防線。但是防火墻并不能完全保護(hù)內(nèi)部網(wǎng)絡(luò)，必須結(jié)合其他措施才能提高系統(tǒng)的安全水平。在防火墻之后是基于網(wǎng)絡(luò)主機(jī)的操作系統(tǒng)安全和物理安全措施。按照級(jí)別從低到高，分別是主機(jī)系統(tǒng)的物理安全、操作系統(tǒng)的內(nèi)核安全、系統(tǒng)服務(wù)安全、應(yīng)用服務(wù)安全和文件系統(tǒng)安全;同時(shí)主機(jī)安全檢查和漏洞修補(bǔ)以及系統(tǒng)備份安全作為輔助安全措施。這些構(gòu)成整個(gè)網(wǎng)絡(luò)系統(tǒng)的第二道安全防線，主要防范部分突破防火墻以及從內(nèi)部發(fā)起的攻擊。系統(tǒng)備份是網(wǎng)絡(luò)系統(tǒng)的最后防線，用來遭受攻擊之后進(jìn)行系統(tǒng)恢復(fù)。在防火墻和主機(jī)安全措施之后，是全局性的由系統(tǒng)安全審計(jì)、入侵檢測和應(yīng)急處理機(jī)構(gòu)成的整體安全檢查和反應(yīng)措施。它從網(wǎng)絡(luò)系統(tǒng)中的防火墻、網(wǎng)絡(luò)主機(jī)甚至直接從網(wǎng)絡(luò)鏈路層上提取網(wǎng)絡(luò)狀態(tài)信息，作為輸人提供給入侵檢測子系統(tǒng)。入侵檢測子系統(tǒng)根據(jù)一定的規(guī)則判斷是否有入侵事件發(fā)生，如果有入侵發(fā)生，則啟動(dòng)應(yīng)急處理措施，并產(chǎn)生警告信息。而且，系統(tǒng)的安全審計(jì)還可以作為以后對(duì)攻擊行為和后果進(jìn)行處理、對(duì)系統(tǒng)安全策略進(jìn)行改進(jìn)的信息來源。

四、結(jié)語

計(jì)算機(jī)網(wǎng)絡(luò)的安全與我們自己的利益息息相關(guān)，一個(gè)安全的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的保護(hù)不僅和系統(tǒng)管理員的系統(tǒng)安全知識(shí)有關(guān)，而且和每個(gè)使用者的安全操作等都有關(guān)系。網(wǎng)絡(luò)安全是動(dòng)態(tài)的，新的Internet黑客站點(diǎn)、病毒與安全技術(shù)每日劇增，網(wǎng)絡(luò)管理人員要掌握最先進(jìn)的技術(shù)，把握住計(jì)算機(jī)網(wǎng)絡(luò)安全的大門。

參考文獻(xiàn)：

[1]. 宋培義，廣播電視網(wǎng)絡(luò)技術(shù)

[2]. 蔣? 錯(cuò)，最新電腦故津排除

[3]. 錢 蓉， 黑客行為與網(wǎng)絡(luò)安全。電力機(jī)車技術(shù)。2002. 1. 25

[4]. 關(guān)義章，戴宗坤，信息系統(tǒng)安全工程學(xué)。四川大學(xué)信息安全研究所。2002-12-10

作者單位：南京化工職業(yè)技術(shù)學(xué)院信息系