琿春礦業(yè)（集團(tuán)）有限責(zé)任公司安全技術(shù)培訓(xùn)中心 袁 濤

淺議計(jì)算機(jī)網(wǎng)絡(luò)安全與預(yù)防

琿春礦業(yè)（集團(tuán)）有限責(zé)任公司安全技術(shù)培訓(xùn)中心 袁 濤

隨著信息技術(shù)尤其是網(wǎng)絡(luò)信息技術(shù)的迅猛發(fā)展，無(wú)論是政府機(jī)構(gòu)、企事業(yè)單位還是軍事機(jī)構(gòu)等都離不開(kāi)計(jì)算機(jī)網(wǎng)絡(luò)的支持與運(yùn)作，計(jì)算機(jī)網(wǎng)絡(luò)與我們的生活、學(xué)習(xí)和工作息息相關(guān)。但同時(shí)不能忽視網(wǎng)絡(luò)技術(shù)安全問(wèn)題，它像“雙生體”一樣伴隨著網(wǎng)絡(luò)技術(shù)的發(fā)展也日益“猖獗”。本文著重探討關(guān)于網(wǎng)絡(luò)技術(shù)安全如何防范和控制的問(wèn)題，使網(wǎng)絡(luò)信息不被泄露或盜取，建立計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù)的保護(hù)機(jī)制，以保護(hù)網(wǎng)絡(luò)信息、服務(wù)后臺(tái)和服務(wù)系統(tǒng)不被攻擊和損壞。

計(jì)算機(jī)網(wǎng)絡(luò)；安全；防護(hù)

一、計(jì)算網(wǎng)絡(luò)面臨的安全問(wèn)題

網(wǎng)絡(luò)信息可能被竊取取和網(wǎng)絡(luò)設(shè)備可能被攻擊這兩方面是當(dāng)前網(wǎng)絡(luò)安全方面的最主要問(wèn)題。導(dǎo)致網(wǎng)絡(luò)技術(shù)出現(xiàn)安全問(wèn)題的原因是多方面的，有故意的，也有不是故意的；有人為的因素，也有網(wǎng)絡(luò)設(shè)備自身的情況；還可能是黑客的蓄意攻擊，總而言之，對(duì)網(wǎng)絡(luò)安全造成侵?jǐn)_和破壞的情況有：

1.人為的非有意而造成的網(wǎng)絡(luò)安全問(wèn)題，像網(wǎng)絡(luò)設(shè)備配置不得當(dāng)而釀成了網(wǎng)絡(luò)安全問(wèn)題，另外計(jì)算機(jī)用戶在日常使用過(guò)程中，網(wǎng)絡(luò)安全意識(shí)淡薄，忽略了用戶口令的重要性，對(duì)賬號(hào)的保密意識(shí)不強(qiáng)等，都會(huì)導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)被攻擊。

2.屬于人為的故意侵?jǐn)_和破壞，這種情況是目前計(jì)算機(jī)網(wǎng)絡(luò)安全的“頭號(hào)公敵”。其中較常見(jiàn)的黑客攻擊和網(wǎng)絡(luò)犯罪都屬于人為的故意的網(wǎng)絡(luò)攻擊。對(duì)其進(jìn)行細(xì)分又可分為：第一種是采用各種方式進(jìn)行有目標(biāo)性、有選擇性地主動(dòng)攻擊，其主要是破壞網(wǎng)絡(luò)信息的完備性；第二種是通過(guò)盜取、攔截等方式謀取至關(guān)重要的網(wǎng)絡(luò)信息，這種方式一般情況下不容易被察覺(jué)，稱(chēng)之為被動(dòng)攻擊。無(wú)論是主動(dòng)攻擊還是被動(dòng)攻擊對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全都是極其致命的攻擊，會(huì)致使很多重要信息被竊取和泄密。

3.網(wǎng)絡(luò)軟件設(shè)置的紕漏和“后門(mén)”。一般意義上，網(wǎng)絡(luò)軟件的設(shè)計(jì)都或多或少存在一些“瑕疵”，但正是這些“瑕疵”和漏洞使惡意攻擊者有機(jī)可乘，不乏很多黑客入侵的案例都是源于網(wǎng)絡(luò)軟件的設(shè)計(jì)不合理和不安全而造成的。此外，軟件公司在進(jìn)行軟件設(shè)計(jì)時(shí)為了方便而建立軟件的“后門(mén)”，它是保密的，除了編程人員之外，幾乎無(wú)人可知，但如果安全防范不夠，這個(gè)“后門(mén)”被打開(kāi)的話，其所帶來(lái)的危險(xiǎn)是可想而知的。

二、計(jì)算機(jī)網(wǎng)絡(luò)的安全預(yù)防

1.物理安全預(yù)防

所謂的物理安全預(yù)防是指在物理介質(zhì)層次上對(duì)存儲(chǔ)以及傳輸?shù)木W(wǎng)絡(luò)信息進(jìn)行安全保護(hù)。其主要預(yù)防措施有以下幾方面：一是對(duì)計(jì)算機(jī)用戶的身份信息及其使用權(quán)限信息進(jìn)行嚴(yán)格的驗(yàn)證，從而避免用戶實(shí)施超越自身所擁有權(quán)限的操作行為；二是構(gòu)建完善的安全管理機(jī)制，從而有效的避免失竊、人為故意破壞以及采用不正當(dāng)手段進(jìn)入主控室等現(xiàn)象的發(fā)生。

2.訪問(wèn)控制預(yù)防

(1)入網(wǎng)訪問(wèn)控制

入網(wǎng)訪問(wèn)控制為網(wǎng)絡(luò)系統(tǒng)安全防護(hù)起到了重要的作用，它為用戶訪問(wèn)網(wǎng)絡(luò)設(shè)置了首層訪問(wèn)控制。對(duì)于哪部分用戶能夠進(jìn)入網(wǎng)絡(luò)并獲得其所需要的資源、用戶進(jìn)網(wǎng)時(shí)間的長(zhǎng)短以及用戶通過(guò)哪個(gè)工作站進(jìn)入網(wǎng)絡(luò)等方面都實(shí)施了有效的控制。它通過(guò)三個(gè)步驟對(duì)用戶的進(jìn)網(wǎng)行為實(shí)施有效的控制：第一是對(duì)入網(wǎng)用戶的用戶名進(jìn)行甄別和確認(rèn)；第二是對(duì)入網(wǎng)用戶的用戶口令進(jìn)行甄別和確認(rèn)；第三是對(duì)入網(wǎng)用戶的用戶賬號(hào)進(jìn)行缺省限制的檢查。對(duì)于這三方面的驗(yàn)證和檢查，只要入網(wǎng)用戶有其中一項(xiàng)未獲準(zhǔn)通過(guò)，那么入網(wǎng)用戶就無(wú)法登錄該網(wǎng)絡(luò)。對(duì)入網(wǎng)用戶的身份以及口令進(jìn)行甄別并確認(rèn)是預(yù)防非法訪問(wèn)的第一道防線。用戶賬號(hào)的建立必須具有唯一性，只有系統(tǒng)的管理權(quán)才擁有此權(quán)限，如果把用戶賬號(hào)看做是一個(gè)人的名字的話，那么用戶口令就是這個(gè)人的“身份證”，用戶要想進(jìn)入網(wǎng)絡(luò)必須出示自己的“身份證”，只有人證合一才能進(jìn)入，雖然用戶能夠自己對(duì)口令進(jìn)行修改，不過(guò)系統(tǒng)管理員可以對(duì)口令實(shí)施以下幾方面的控制手段：一是控制最小口令長(zhǎng)度；二是強(qiáng)制對(duì)修改口令的時(shí)間間隔；三是對(duì)口令具有的唯一性實(shí)施控制；四是對(duì)于用戶口令已超出有效使用期后進(jìn)入網(wǎng)絡(luò)的次數(shù)的限制。在對(duì)用戶名以及口令驗(yàn)證通過(guò)之后，在進(jìn)行對(duì)用戶賬戶的缺省檢查控制。網(wǎng)絡(luò)應(yīng)該具備控制以下幾點(diǎn)行為的能力，用戶進(jìn)入網(wǎng)絡(luò)所使用的站點(diǎn)、用戶進(jìn)入網(wǎng)絡(luò)的時(shí)間以及用戶進(jìn)入網(wǎng)絡(luò)所使用的工作站的多少。同時(shí)，對(duì)于必須支付一定的費(fèi)用才能夠進(jìn)入網(wǎng)絡(luò)獲取資源的交費(fèi)網(wǎng)絡(luò)來(lái)說(shuō)，如果用戶的資費(fèi)達(dá)不到其要求，那么對(duì)于這類(lèi)用戶的賬號(hào)，網(wǎng)絡(luò)應(yīng)該由權(quán)限對(duì)其實(shí)施限制。一旦入網(wǎng)用戶在輸入口令的過(guò)程中出現(xiàn)多次不正確的現(xiàn)象，就應(yīng)視為用戶不具有合法進(jìn)入的權(quán)限，應(yīng)立即向管理員進(jìn)行報(bào)警。

(2)網(wǎng)絡(luò)的權(quán)限控制

所謂的網(wǎng)絡(luò)權(quán)限控制是通過(guò)對(duì)用戶以不正當(dāng)手段對(duì)計(jì)算機(jī)網(wǎng)絡(luò)實(shí)施操作行為進(jìn)行控制而達(dá)到保護(hù)網(wǎng)絡(luò)安全目的所采用的措施。對(duì)于用戶以及用戶組能夠?qū)W(wǎng)絡(luò)的哪些資源進(jìn)行訪問(wèn)以及對(duì)于這些資源可以實(shí)施哪些操作，網(wǎng)絡(luò)的權(quán)限控制都有明確的規(guī)定。網(wǎng)絡(luò)的權(quán)限控制主要通過(guò)兩種方式來(lái)實(shí)現(xiàn)其目的：一是受托者指派的方式；二是IRM。

(3)目錄級(jí)安全控制

所謂的目錄級(jí)安全控制就是指網(wǎng)絡(luò)能夠允許其所控制的用戶對(duì)目錄以及文件等方面的訪問(wèn)行為。用戶一共有包括讀、寫(xiě)權(quán)限在內(nèi)的八種權(quán)限對(duì)目錄以及文件進(jìn)行訪問(wèn)。對(duì)于用戶所擁有的八種權(quán)限實(shí)施合理有效的整合即能夠使用戶更好的做完自己的工作，又能夠?qū)τ脩粼L問(wèn)網(wǎng)絡(luò)資源的行為加以有效控制，進(jìn)一步提高網(wǎng)絡(luò)的安全防護(hù)性能。

(4)屬性安全控制

在用戶對(duì)文件以及目錄等進(jìn)行訪問(wèn)時(shí)，系統(tǒng)管理員應(yīng)該對(duì)于網(wǎng)絡(luò)的文件以及目錄等設(shè)置一定的訪問(wèn)屬性。屬性安全控制是在網(wǎng)絡(luò)權(quán)限控制基礎(chǔ)之上對(duì)于網(wǎng)絡(luò)安全性的進(jìn)一步加強(qiáng)。管理員應(yīng)該對(duì)于用戶的訪問(wèn)權(quán)限指定一張控制表進(jìn)行相對(duì)應(yīng)，以此來(lái)明確用戶所擁有的權(quán)限能力的大小。在通常情況下，屬性安全控制可以對(duì)用戶的執(zhí)行文件權(quán)限、查看目錄以及文件的權(quán)限等方面進(jìn)行有效控制。

(5)網(wǎng)絡(luò)服務(wù)器安全控制

所謂的網(wǎng)絡(luò)服務(wù)器安全控制指的是用戶可以通過(guò)控制臺(tái)來(lái)完成裝卸以及卸載模塊、安裝以及刪除軟件等操作行為。對(duì)于服務(wù)器進(jìn)行口令設(shè)置從而達(dá)到鎖定的目的以及對(duì)用戶登錄服務(wù)器的時(shí)間的長(zhǎng)短進(jìn)行限制等手段都屬于網(wǎng)絡(luò)服務(wù)器安全控制的實(shí)現(xiàn)方式。

(6)網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制

系統(tǒng)管理員應(yīng)該對(duì)網(wǎng)絡(luò)安全加強(qiáng)監(jiān)控力度，對(duì)于用戶采用不正當(dāng)手段進(jìn)入網(wǎng)絡(luò)時(shí)，服務(wù)器應(yīng)該發(fā)出警報(bào)提醒管理員。同時(shí)對(duì)于非法進(jìn)入網(wǎng)絡(luò)的次數(shù)服務(wù)器應(yīng)有詳細(xì)記錄，一旦超過(guò)管理員對(duì)于非法進(jìn)入次數(shù)的設(shè)定值，就要對(duì)該賬戶進(jìn)行鎖定控制。

3.信息加密防護(hù)

信息加密也是預(yù)防網(wǎng)絡(luò)安全的重要舉措，其主要是防止計(jì)算機(jī)內(nèi)的數(shù)據(jù)資料、用戶口令和網(wǎng)絡(luò)信息傳播被攔截和竊取。網(wǎng)絡(luò)加密通常有三種加密方法：鏈路加密方法、端點(diǎn)加密方法、節(jié)點(diǎn)加密方法。第一種加密方法，即鏈路加密方法，它主要是防止各個(gè)節(jié)點(diǎn)間的鏈路不被破壞；第二種加密方法，即端點(diǎn)加密方法，它主要是對(duì)數(shù)據(jù)傳輸起到“保駕護(hù)航”的作用；第三種加密方法，即節(jié)點(diǎn)加密法，它主要是對(duì)初始節(jié)點(diǎn)與終極節(jié)點(diǎn)間的傳播鏈路進(jìn)行“安全護(hù)送”。網(wǎng)絡(luò)用戶可因時(shí)因事選取加密方法。

4.網(wǎng)絡(luò)安全管理防護(hù)

對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)安全的防護(hù)措施來(lái)說(shuō)，除了上面所提到的方式以外，還要強(qiáng)化網(wǎng)絡(luò)安全的管理力度，制定切實(shí)有效的管理制度，網(wǎng)絡(luò)安全管理防護(hù)在不同程度上保護(hù)網(wǎng)絡(luò)信息安全不被竊取和攻擊，其防護(hù)措施主要有：一是明確安全管理等級(jí)；二是規(guī)定安全管理范疇；三是規(guī)范網(wǎng)絡(luò)安全操作規(guī)程；四是制訂機(jī)房管理制度；五是規(guī)定網(wǎng)絡(luò)信息系統(tǒng)的保護(hù)措施；六是制定預(yù)防安全隱患的防范措施等。

三、結(jié)束語(yǔ)

網(wǎng)絡(luò)信息安全是一項(xiàng)龐大的、紛繁復(fù)雜的系統(tǒng)工程，一個(gè)健全完善的網(wǎng)絡(luò)安令體系能有效預(yù)防和控制網(wǎng)絡(luò)黑客的蓄意攻擊，保護(hù)網(wǎng)絡(luò)信息的有效性和完整性。但計(jì)算機(jī)網(wǎng)絡(luò)就像一把“雙刃劍”，既有方便快捷的信息傳播一面，又有網(wǎng)絡(luò)信息安全隱患的一面，安全紕漏層出不窮，攻擊技術(shù)逐漸提高，所以軟件公司要不斷更新?lián)Q代，逐步提高網(wǎng)絡(luò)的安令策略，設(shè)計(jì)出高端的防護(hù)產(chǎn)品；另一方面，對(duì)于安全操作員和網(wǎng)絡(luò)用戶來(lái)說(shuō)，要提高安全防護(hù)意識(shí)，提高操作技術(shù)水平，保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全。

[1]張曉杰,姜同敏,王曉峰.提高計(jì)算機(jī)網(wǎng)絡(luò)可靠性的方法研究[J].計(jì)算機(jī)工程與設(shè)計(jì),2010(5).

[2]李海燕,王艷萍.計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題與防范方法的探討[J].煤炭技術(shù),2011(9).

[3]楊津生.計(jì)算機(jī)網(wǎng)絡(luò)防御策略探析[J].中國(guó)科技博覽,2011(31).

袁濤（1982—），男，吉林琿春人，大學(xué)本科，計(jì)算機(jī)網(wǎng)絡(luò)工程師，現(xiàn)供職于琿春礦業(yè)（集團(tuán)）有限責(zé)任公司安全技術(shù)培訓(xùn)中心，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)。