■徐 強 李道明

計算機網(wǎng)絡(luò)應(yīng)用的普及，給人們的生活生產(chǎn)帶來了極大的便利，如何保護信息在開放的網(wǎng)絡(luò)環(huán)境中的安全，保證信息不被篡改，是正常使用計算機網(wǎng)絡(luò)的基本保障，從網(wǎng)絡(luò)信息安全的主要內(nèi)容、防護的技術(shù)手段、方法等幾個方面對網(wǎng)絡(luò)安全作了初步探討。

隨著計算機網(wǎng)絡(luò)在各行各業(yè)及個人應(yīng)用的普及，網(wǎng)絡(luò)給人們的生活生產(chǎn)帶來了極大的便利，網(wǎng)絡(luò)信息每年以幾何級數(shù)向上增長，如何保護信息在開放的網(wǎng)絡(luò)環(huán)境中的安全，保證信息不被篡改，泄露是正常使用計算機網(wǎng)絡(luò)的基本保障，計算機網(wǎng)絡(luò)的運行主要是通過網(wǎng)絡(luò)和信息技術(shù)來支撐的，因此計算機網(wǎng)絡(luò)安全運行的核心內(nèi)容就是網(wǎng)絡(luò)上的信息安全問題。

一、網(wǎng)絡(luò)信息安全的主要內(nèi)容

1.保密性：保證信息不泄露給未經(jīng)授權(quán)的用戶或供其利用。

2.完整性：防止信息被未經(jīng)授權(quán)的人的篡改，保證真實的信息從真實的信息源無失真地傳到真實的信宿。

3.可用性：保證信息及信息系統(tǒng)確實為授權(quán)使用者所使用，防止由于計算機病毒或其他人為因素造成網(wǎng)絡(luò)和系統(tǒng)無法正常運行而拒絕服務(wù)或為敵手所利用。

4.可控性：對信息內(nèi)容及信息系統(tǒng)實施安全監(jiān)控管理，防止非法修改。

5.抗抵賴性：保證信息行為人不能否認自己的行為。

如何保證網(wǎng)絡(luò)信息的安全，為正常使用網(wǎng)絡(luò)提供最基本的保障，本文試圖從網(wǎng)絡(luò)防護的技術(shù)手段、網(wǎng)絡(luò)防護方法兩個主要方面做一簡單探討。

二、網(wǎng)絡(luò)安全的技術(shù)防護方面

主要分為主動防護與被動防護，主動防護主要技術(shù)手段包括：防火墻、病毒掃描、PKI技術(shù)和服務(wù)、網(wǎng)頁防篡改等，被動防護主要技術(shù)手段主要包括：安全掃描、日志審計、入侵檢測等

（一）主動防護技術(shù)

1.防火墻

網(wǎng)絡(luò)的最大特點是開放性、無邊界性、自由性。要想實現(xiàn)網(wǎng)絡(luò)的安全，一個最基本的方法就是將被開放的網(wǎng)絡(luò)從開放的、無邊界的網(wǎng)絡(luò)環(huán)境中獨立出來，使之成為可管理的、可控制的、安全的內(nèi)部網(wǎng)絡(luò)。實現(xiàn)這一目標(biāo)的最基本的分隔手段就是防火墻，作為網(wǎng)絡(luò)安全的第一道門戶，可以實現(xiàn)內(nèi)部網(wǎng)（信任網(wǎng)）與外部不可信賴網(wǎng)絡(luò)之間或內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全區(qū)域的隔離與訪問控制，保證網(wǎng)絡(luò)系統(tǒng)與網(wǎng)絡(luò)服務(wù)的可用性。防火墻是一種網(wǎng)絡(luò)安全保障手段，是網(wǎng)絡(luò)通信時執(zhí)行的一種訪問控制尺度。它主要的目標(biāo)是控制入、出的一個網(wǎng)絡(luò)權(quán)限，并強迫所有的網(wǎng)絡(luò)連接都經(jīng)過這樣的檢查。其整個發(fā)展經(jīng)歷了：基于路由器的防火墻、用戶化防火墻工具包、建立在通用操作系統(tǒng)上的防火墻和具有安全操作系統(tǒng)的防火墻4個階段。主要分為：包過濾防火墻、應(yīng)用網(wǎng)關(guān)防火墻、代理服務(wù)器防火墻、狀態(tài)檢測防火墻、自適應(yīng)代理技術(shù)。

由于防火墻主要用于限制保護的網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間或與其他網(wǎng)絡(luò)之間進行相互的信息存取、傳遞操作，它處于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，因此網(wǎng)絡(luò)應(yīng)用受到結(jié)構(gòu)性限制，內(nèi)部安全隱患仍然存在，效率低，而故障率較高。這些問題導(dǎo)致了：（1）不能防范外部刻意的人為攻擊；（2）不能防范內(nèi)部用戶的攻擊；（3）不能防止內(nèi)部用戶因誤操作而造成的口令失密受到攻擊；很難防止病毒或受病毒感染的文件的傳輸。

2.病毒掃描

病毒是指一段可執(zhí)行的程序代碼，通過對其他程序進行修改來感染這些程序，使其含有該病毒的一個復(fù)制，并且可以在特定的條件下進行破環(huán)。在其整個生命周期中包括潛伏、繁殖、觸發(fā)和、執(zhí)行4個階段。對于病毒防護而言，最徹底的方法是不允許其進入系統(tǒng)，但是這很難，因此大多數(shù)情況下，采用“檢測-標(biāo)識-清除”的策略來應(yīng)付。在病毒防護史上，大致經(jīng)歷了以下幾個階段。（1）簡單掃描程序；（2）啟發(fā)式掃描程序；（3）行為陷阱；（4）全方位保護。反病毒技術(shù)的最新發(fā)展方向是類屬解密和數(shù)字免疫系統(tǒng)。

由于反病毒技術(shù)滯后與病毒的產(chǎn)生與發(fā)展，現(xiàn)有的反病毒技術(shù)只能夠?qū)σ延胁《?、已有病毒的部分變種有良好的防護作用，而對于新型病毒還沒有有效的解決方式，需要升級特征庫。另外，它只是對病毒、黑客程序、間諜軟件這些惡間代碼有防護作用。

3.PKI

PKI技術(shù)主要借助“數(shù)字簽名”技術(shù)實現(xiàn)，數(shù)字簽名是維護網(wǎng)絡(luò)信息安全的一種重要方法和手段，在身份認證、數(shù)據(jù)完整性、抗抵賴性方面都有重要應(yīng)用，特別是在大型網(wǎng)絡(luò)安全通信中密鑰分配、認證和電子商務(wù)、電子政務(wù)系統(tǒng)中有重要的作用。而且它通過密碼技術(shù)對電子文檔進行電子形式的簽名，是實現(xiàn)認證的重要工具。數(shù)字簽名是只有發(fā)送方才能夠進行的簽名，是任何其它人無法偽造的一段數(shù)字串，這段特殊的數(shù)字串同時也是對相應(yīng)的文件和信息真實性的一個證明。數(shù)字簽名的特點是它代表了文件的特征。如果文件發(fā)生變化，數(shù)字簽名的值也會發(fā)生變化，不同的文件會得到不同的數(shù)字簽名。

（二）被動防護技術(shù)

1.入侵檢測

入侵檢測是指監(jiān)視或在可能的情況下，阻止入侵者試圖控制自己的系統(tǒng)或網(wǎng)絡(luò)資源的那種努力。它是用于檢測任何損害或企圖損害系統(tǒng)的機密性、完整性、或可用性的行為的一種網(wǎng)絡(luò)安全技術(shù)。它通過監(jiān)視受保護系統(tǒng)的狀態(tài)和活動，采用異常檢測或誤用檢測的方式，發(fā)現(xiàn)非授權(quán)的或惡意的系統(tǒng)及網(wǎng)絡(luò)行為，為防范入侵行為提供有效的手段。

入侵檢測系統(tǒng)要解決的最基本的兩 個問題是：如何充分并可靠地提取描述行為特征的數(shù)據(jù)，以及如何根據(jù)數(shù)據(jù)特征，高效并準(zhǔn)確地判斷行為的性質(zhì)。主要采用異常入侵檢測技術(shù)和誤用入侵檢測技術(shù)兩種方法。異常入侵檢測技術(shù)是指通過觀測到的一組測量值的偏離度來預(yù)測用戶行為的變化。誤用入侵檢測技術(shù)主要指假設(shè)具有能夠精確地按某種方式編碼的攻擊，并可以通過捕獲攻擊和重新整理來確認入侵活動是基于同一弱點進行攻擊的入侵方法的變種。

對于入侵檢測而言，入侵特征的收集十分重要，因此它對于已經(jīng)存在的入侵手段能夠起到良好的作用，而對于新的入侵手段則有很大局限性。

2.安全掃描

安全掃描是指對計算機系統(tǒng)及網(wǎng)絡(luò)端口進行安全性檢查，它通常要借助于相關(guān)軟件。它是一個幫助管理員尋找到網(wǎng)絡(luò)安全隱患的工具，并不能直接解決安全問題，而且對未被業(yè)界發(fā)現(xiàn)的隱患也無法找到。

3.日志審計系統(tǒng)

日志審計系統(tǒng)是通過一些特定的、預(yù)先定義的規(guī)則來發(fā)現(xiàn)日志中潛在的問題，它可以用來事后亡羊補牢，也可以用來對網(wǎng)絡(luò)安全攻擊進行取證。顯然它是一種被動式、事后的防護或事中跟蹤的手段，很難在事前發(fā)揮作用。

三、網(wǎng)絡(luò)安全維護的主要方法

不論是主動防護技術(shù)還是被動防護技術(shù)，在實際網(wǎng)絡(luò)安全防護的應(yīng)用中都不是孤立存在的，網(wǎng)絡(luò)安全防護應(yīng)綜合交叉采用多種技術(shù)手段和方法才能盡最大可能的保障網(wǎng)絡(luò)安全。主要應(yīng)包括：

1.保證接入的安全，一些攻擊往往來自外網(wǎng)，外網(wǎng)接入內(nèi)網(wǎng)時必須保證對內(nèi)網(wǎng)構(gòu)成安全威脅的因素盡可能地補攔截，只允許授權(quán)用戶才可以訪問內(nèi)網(wǎng)。

2.保證干路暢通和劃分子網(wǎng)，根據(jù)用戶對安全需求的不同，將同一安全級別的用戶劃入同一子網(wǎng)。

3.在網(wǎng)絡(luò)邊界設(shè)置防火墻、存取控制、端口隔離等多種技術(shù)手段進行安全控制。

4.保證軟件系統(tǒng)的安全，由于操作系統(tǒng)是軟件系統(tǒng)的基礎(chǔ)，所以保護好操作系統(tǒng)是保證網(wǎng)絡(luò)安全的基礎(chǔ)，設(shè)置好訪問策略，綜合運用多種版本的防病毒軟件對系統(tǒng)進行交叉殺毒。5.制定網(wǎng)絡(luò)安全管理辦法，健全管理機制。

顯然，保障網(wǎng)絡(luò)安全性與網(wǎng)絡(luò)服務(wù)效率永遠是一對矛盾體，在計算機應(yīng)用普及的時代，要想網(wǎng)絡(luò)安全可靠，勢必會增加許多措施來安全設(shè)備，從而會或多或少的影響使用效率和方便性。

參加文獻：

[1]張友生主編.全國計算機技術(shù)與軟件專業(yè)技術(shù)資格（水平）考試指南[M].電子工業(yè)出版社,2004.

[2]陳宇.計算機網(wǎng)絡(luò)管理員——網(wǎng)絡(luò)管理師[M].清華大學(xué)出版社,2004.