白穎妹

（西安歐亞學(xué)院信息工程學(xué)院，陜西 西安 710065）

引言

計算機(jī)技術(shù)的普及和應(yīng)用給人們的生活帶來了方便，互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，使世界成為一個整體，人們通過網(wǎng)絡(luò)學(xué)習(xí)、購物、交流，可以說，互聯(lián)網(wǎng)的迅猛發(fā)展是人們享受到了前所未有的便利。然而，網(wǎng)絡(luò)也不是完美無缺的，網(wǎng)絡(luò)給人們帶來驚喜的同時，也帶來了威脅。計算機(jī)犯罪、黑客、有害程序和后門等問題使網(wǎng)絡(luò)用戶的切身利益受到了嚴(yán)重的威脅和損害，網(wǎng)絡(luò)安全問題日益受到關(guān)注。

1 網(wǎng)絡(luò)安全的概述

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄密，確保系統(tǒng)能連續(xù)可靠正常的運(yùn)行。從其本質(zhì)上講網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全。

2 威脅網(wǎng)絡(luò)安全因素分析

影響計算機(jī)網(wǎng)絡(luò)安全的因素很多，包括人為因素、自然因素和偶發(fā)因素。其主要因素表現(xiàn)在以下幾個方面：

2.1 系統(tǒng)本身存在漏洞

網(wǎng)絡(luò)軟件不可能是百分之百無缺陷和無漏洞的，而這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)。目前，不論是軟件還是硬件，不論是操作系統(tǒng)還是應(yīng)用軟件，都存在不同程度的漏洞，這些都是招致網(wǎng)絡(luò)不安全的重要因素。另外，軟件的“后門”是軟件設(shè)計人員為了自便而設(shè)置的，一般不為外人所知，但是攻擊者可以通過被病毒打開的軟件“后門”傳輸代碼，被感染的計算機(jī)或多或少地起了路由器的作用，因此，一旦“后門”洞開，其造成的后果將不堪設(shè)想。

2.2 計算機(jī)網(wǎng)絡(luò)的脆弱性

網(wǎng)絡(luò)自身的TCP/IP協(xié)議缺乏相應(yīng)的安全措施，在共享和開放的機(jī)制下其安全存在先天不足，在大規(guī)模攻擊面前幾乎無能為力。

2.3 計算機(jī)病毒

計算機(jī)病毒是人為編制的程序代碼。它能破壞計算機(jī)系統(tǒng)和數(shù)據(jù)，影響計算機(jī)軟、硬件的正常運(yùn)行。由于計算機(jī)病毒具有傳染性、寄生性、隱蔽性、破壞性等特點(diǎn)，一直是計算機(jī)系統(tǒng)安全最直接的威脅，而網(wǎng)絡(luò)更為病毒提供了迅速傳播的途徑，大量涌現(xiàn)的病毒在網(wǎng)上傳播極快，給全球范圍的網(wǎng)絡(luò)安全帶來了巨大的災(zāi)難。

2.4 黑客攻擊

黑客攻擊是計算機(jī)面臨的最大威脅。這類攻擊分為兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的完整性和有效性；另一種是被動攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息。這兩種攻擊均能對計算機(jī)網(wǎng)絡(luò)造成極大的危害。

2.5 缺乏安全意識

雖然網(wǎng)絡(luò)中設(shè)置了許多安全保護(hù)屏障,但人們普遍缺乏安全意識,從而使這些保護(hù)措施形同虛設(shè)。如人們?yōu)榱吮荛_防火墻代理服務(wù)器的額外認(rèn)證,進(jìn)行直接的IP連接從而避開了防火墻的保護(hù)。

2.6 制度管理

管理制度不健全，網(wǎng)絡(luò)管理、維護(hù)不力。

3 網(wǎng)絡(luò)出現(xiàn)安全威脅的原因

由于網(wǎng)絡(luò)的各種操作系統(tǒng)和網(wǎng)絡(luò)通信的基本協(xié)議TCP/IP都存在一定的漏洞，因此，網(wǎng)絡(luò)的安全隱患早已是一個不爭的事實(shí)，引起網(wǎng)絡(luò)安全隱患的原因有以下幾種。

3.1 認(rèn)證環(huán)節(jié)薄弱

網(wǎng)絡(luò)上的認(rèn)證通常是使用口令來實(shí)現(xiàn)的。由于口令是靜態(tài)的，因次很容易被破解。常用破解口令的方法有把加密的口令破解和通過信道獲取口令，一旦口令文件被闖入者得到，就可以利用它獲取對系統(tǒng)的訪問權(quán)。

3.2 系統(tǒng)易被監(jiān)視

使用Telnet或FTP連接到遠(yuǎn)程主機(jī)上的賬戶，在網(wǎng)上傳輸?shù)目诹钍菦]有加密的。入侵者可以通過監(jiān)視攜帶用戶名和口令的IP包獲取他們，然后使用這些用戶名和口令通過正常渠道登錄到系統(tǒng)。如果被截獲的是管理員的口令，那么獲取特權(quán)訪問就變得更容易了。成千上萬的系統(tǒng)就是被這種方式侵入的。

同樣電子郵件也帶有許多系統(tǒng)和自身的信息，因此也作為被監(jiān)視的對象成為安全的隱患。

3.3 系統(tǒng)易被欺騙

TCP或UDP服務(wù)只能對主機(jī)的地址進(jìn)行認(rèn)證，不能對指定的用戶進(jìn)行認(rèn)證，那么攻擊者的主機(jī)就可以很容易的冒充一個被信任的主機(jī)和客戶。

3.4 局域網(wǎng)服務(wù)有缺陷

主機(jī)的安全管理既困難又費(fèi)時。為了降低管理要求并增強(qiáng)局域網(wǎng)，一些站點(diǎn)使用了諸如NIS和NFS之類的服務(wù)。這些服務(wù)通過允許一些數(shù)據(jù)庫以分布式方法管理以及允許系統(tǒng)共享文件和數(shù)據(jù)，在很大程度上減輕了過多的管理工作量。但這些服務(wù)帶來了不安全因素，可以被有經(jīng)驗(yàn)闖入者利用以獲得訪問權(quán)。如果一個中央服務(wù)器遭受到損失，那么其他信任該系統(tǒng)的系統(tǒng)會更容易遭受損害。

3.5 設(shè)置和控制的復(fù)雜

主機(jī)系統(tǒng)的訪問控制配置復(fù)雜且難于驗(yàn)證。許多網(wǎng)上的安全事故原因是由于入侵者發(fā)現(xiàn)弱點(diǎn)造成的。目前大部分的UNIX系統(tǒng)都是從BSD獲得網(wǎng)絡(luò)部分代碼，而BSD的原代碼又可以輕易獲得，所以闖入者可以通過研究其中的缺陷侵入系統(tǒng)。

4 網(wǎng)絡(luò)安全策略

安全是網(wǎng)絡(luò)賴以生存的基礎(chǔ)，只有安全得到保障，網(wǎng)絡(luò)的各種功能才能得到不斷的發(fā)展和進(jìn)步。要實(shí)現(xiàn)網(wǎng)絡(luò)的安全，應(yīng)對網(wǎng)絡(luò)系統(tǒng)進(jìn)行全方位的防范。

4.1 信息加密策略

信息加密策略主要是保護(hù)計算機(jī)網(wǎng)絡(luò)系統(tǒng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息等網(wǎng)絡(luò)資源的安全。加密類型主要有私匙加密和公匙加密兩種。

4.2 訪問控制策略

訪問控制策略可以防止未經(jīng)授權(quán)的用戶非法使用系統(tǒng)的資源，這種服務(wù)不僅僅可以提供給單個用戶，也可以提供給用戶組的所有用戶。訪問控制是通過對訪問者的有關(guān)信息進(jìn)行檢查來限制或禁止訪問者使用資源的技術(shù)，分為高層訪問控制和低層訪問控制。它是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段，也是保證網(wǎng)絡(luò)安全最重要的核心策略之一。

4.3 數(shù)字簽名策略

數(shù)字簽名策略是一種采用非對稱加密技術(shù)驗(yàn)證發(fā)送者身份和消息完整性的機(jī)制，普遍應(yīng)用于銀行、電子貿(mào)易等。利用數(shù)字簽名機(jī)制主要解決以下安全問題：否認(rèn)。事后發(fā)送者不承認(rèn)文件是他發(fā)送的；偽造。有人自已偽造了一份文件，卻聲稱是他人發(fā)送的；冒充。冒充別人的身份在網(wǎng)上發(fā)送文件；篡改。接受者私自篡改文件的內(nèi)容。

4.4 防火墻策略

防火墻技術(shù)是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一道安全屏障，是一種具有防范免疫功能的系統(tǒng)或系統(tǒng)組保護(hù)技術(shù)。它通過預(yù)定義的安全策略，使用分組過濾技術(shù)、應(yīng)用層網(wǎng)關(guān)技術(shù)和代理服務(wù)技術(shù)對內(nèi)外網(wǎng)通信強(qiáng)制實(shí)施訪問控制，監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。它還可以通過檢查服務(wù)類型、地址、數(shù)據(jù)甚至與數(shù)據(jù)流相關(guān)的用戶，來決定是否將連接傳送到其他網(wǎng)絡(luò)、或者直接丟棄。

4.5 入侵檢測技術(shù)

入侵檢測技術(shù)是檢測計算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)，提供了對內(nèi)部入侵、外部入侵和誤操作的實(shí)時保護(hù)，可以在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截相應(yīng)入侵。

5 結(jié)束語

隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)環(huán)境變得越來越復(fù)雜，無論是局域網(wǎng)還是廣域網(wǎng)，都存在著自然的、人為的、技術(shù)和管理等諸多因素的潛在威脅。為了切實(shí)確保網(wǎng)絡(luò)安全，我們應(yīng)該做到以下三個方面：（1）技術(shù)上，要嚴(yán)格限制上網(wǎng)用戶所訪問的信息和資源，加強(qiáng)對上網(wǎng)用戶的身份驗(yàn)證，在數(shù)據(jù)傳輸過程中采用加密技術(shù)，防止數(shù)據(jù)被非法竊取。（2）管理上，要明確網(wǎng)絡(luò)規(guī)范，加強(qiáng)管理，加大對網(wǎng)絡(luò)犯罪的監(jiān)控、偵查和打擊力度。（3）網(wǎng)絡(luò)使用者，要及時增補(bǔ)系統(tǒng)漏洞，不斷追蹤新技術(shù)的應(yīng)用情況，及時升級、完善自身的防御措施。

[1]顧巧論，高鐵柱，賈春香.計算機(jī)網(wǎng)絡(luò)技術(shù)[M].北京：清華大學(xué)出版社，2004.

[2]羅清斌.淺論網(wǎng)絡(luò)信息安全與防御.2007.

[3]戴英俠.計算機(jī)網(wǎng)絡(luò)安全[M],清華大學(xué)出版社.2005.

[4]鄭成興.網(wǎng)絡(luò)入侵防范的理論與實(shí)踐[M].機(jī)械工業(yè)出版社.