黃禮祥

（四川米易供電有限責(zé)任公司，四川 攀枝花 617000）

1 國內(nèi)網(wǎng)絡(luò)安全現(xiàn)狀分析

隨著我國網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，尤其是因特網(wǎng)在我國的迅速普及，針對(duì)我國境內(nèi)信息系統(tǒng)的攻擊正在呈現(xiàn)快速增長的勢頭，利用網(wǎng)絡(luò)傳播有害信息的手段日益翻新。據(jù)了解，從1997年底到現(xiàn)在，我國的政府部門、證券公司、銀行、ISP、ICP等機(jī)構(gòu)的計(jì)算機(jī)網(wǎng)絡(luò)相繼遭到多次攻擊。僅2001年4月份我國有記錄在案的被來自境外黑客攻擊的案例就多達(dá)443次。我國公安機(jī)關(guān)2002年共受理各類信息網(wǎng)絡(luò)違法犯罪案件6633起，比2001年增長45.9%，其中利用計(jì)算機(jī)實(shí)施的違法犯罪案件5301起，占案件總數(shù)的80%。

我國互聯(lián)網(wǎng)安全的狀況可以分為幾部分：

1.1 信息和網(wǎng)絡(luò)的安全防護(hù)能力差；

1.2 基礎(chǔ)信息產(chǎn)業(yè)嚴(yán)重依賴國外；

1.3 信息安全管理機(jī)構(gòu)權(quán)威性不夠；

1.4 網(wǎng)絡(luò)安全人才短缺；

1.5 全社會(huì)的信息安全意識(shí)淡薄。

2 網(wǎng)絡(luò)面臨的安全威脅

目前網(wǎng)絡(luò)的安全威脅主要表現(xiàn)在以下幾個(gè)方面：

2.1 實(shí)體摧毀

實(shí)體摧毀是目前計(jì)算機(jī)網(wǎng)絡(luò)安全面對(duì)的“硬殺傷”威脅。其主要有電磁攻擊、兵力破壞和火力打擊3種。

2.2 無意失誤

例如操作員安全配置不當(dāng)因而造成的安全漏洞，用戶安全意識(shí)不強(qiáng)，用戶口令選擇不慎，用戶將自己的賬號(hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來威脅。

2.3 黑客攻擊

沒有預(yù)先經(jīng)過同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作非授權(quán)訪問。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作、合法用戶以未授權(quán)方式進(jìn)行操作等。某些新的信息技術(shù)在大大方便使用者的同時(shí)，也為“黑客”的入侵留下了大大小小的系統(tǒng)安全漏洞，令系統(tǒng)內(nèi)部或外部人員可以輕易地對(duì)系統(tǒng)進(jìn)行惡意入侵。比如，黑客可以使用一種稱為“IP spoofing”的技術(shù)，假冒用戶IP地址，從而進(jìn)入內(nèi)部IP網(wǎng)絡(luò)，對(duì)網(wǎng)頁及內(nèi)部數(shù)據(jù)庫進(jìn)行破壞性修改或進(jìn)行反復(fù)的大量的查詢操作，使服務(wù)器不堪重負(fù)直至癱瘓。

2.4 病毒破壞

大量的來自于互聯(lián)網(wǎng)上的病毒。通過網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒，其破壞性非常高，而且用戶很難防范。如眾所周知的CIH、“愛蟲”，以及“沖擊波”、“震蕩波”等病毒都具有極大的破壞性。這些病毒在互聯(lián)網(wǎng)上以幾何級(jí)數(shù)進(jìn)行自我繁殖，在短時(shí)間內(nèi)導(dǎo)致大量的計(jì)算機(jī)系統(tǒng)癱瘓，損失慘重?，F(xiàn)在，互聯(lián)網(wǎng)上病毒的種類五花八門，不計(jì)其數(shù)，其對(duì)計(jì)算機(jī)系統(tǒng)的危害更是令所有的互聯(lián)網(wǎng)用戶以及網(wǎng)絡(luò)安全專家面臨巨大的挑戰(zhàn)。

2.5 TCP/IP協(xié)議上的某些不安全因素

目前廣泛使用的TCP/IP協(xié)議存在安全漏洞。如IP層協(xié)議就有許多安全缺陷。IP地址可以軟件設(shè)置，這就造成了地址假冒和地址欺騙兩類安全隱患；IP協(xié)議支持源路由方式，即源點(diǎn)可以指定信息包傳送到目的節(jié)點(diǎn)的中間路由，這就提供了源路由攻擊的條件。再如應(yīng)用層協(xié)議Telnet，F(xiàn)TP，SMTP等協(xié)議缺乏認(rèn)證和保密措施，這就為否認(rèn)、拒絕等欺騙行為開了方便之門。

3 網(wǎng)絡(luò)安全問題的對(duì)策

網(wǎng)絡(luò)安全所采用的關(guān)鍵技術(shù)和措施有：

3.1 保密工作

對(duì)工作人員結(jié)合機(jī)房、硬件、軟件、數(shù)據(jù)和網(wǎng)絡(luò)等各個(gè)方面安全問題，進(jìn)行安全教育，提高工作人員的保密觀念和責(zé)任心；加強(qiáng)業(yè)務(wù)、技術(shù)的培訓(xùn)，提高操作技能；教育工作人員嚴(yán)格遵守操作規(guī)程和各項(xiàng)保密規(guī)定，防止人為事故的發(fā)生。

3.2 保護(hù)傳輸線路安全

對(duì)于傳輸線路，應(yīng)有露天保護(hù)措施或埋于地下，并要求遠(yuǎn)離各種輻射源，以減少各種輻射引起的數(shù)據(jù)錯(cuò)誤；電纜鋪設(shè)應(yīng)當(dāng)使用金屬導(dǎo)管，以減少各種輻射引起的電磁泄露和對(duì)發(fā)送線路的干擾。對(duì)連接要定期檢查，以檢測是否有搭線竊聽、外連或破壞行為。

目前主要防護(hù)措施有兩類：一類是對(duì)外圍輻射的防護(hù)，主要采取對(duì)電源線和信號(hào)線加裝性能良好的濾波器，減小傳輸阻抗和導(dǎo)線間的交叉耦合；給網(wǎng)絡(luò)加裝電磁屏蔽網(wǎng)，防止敵方電磁武器的攻擊。另一類是對(duì)自身輻射的防護(hù)，這類防護(hù)措施又可分為兩種：一是采用各種電磁屏蔽措施，如對(duì)設(shè)備的金屬屏蔽和各種接插件的屏蔽，同時(shí)對(duì)機(jī)房的下水管、暖氣管和金屬門窗進(jìn)行屏蔽和隔離；二是干擾的防護(hù)措施，即在計(jì)算機(jī)系統(tǒng)工作的同時(shí)，利用干擾裝置產(chǎn)生一種與計(jì)算機(jī)系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來掩蓋計(jì)算機(jī)系統(tǒng)的工作頻率和信息特征。

3.3 防御黑客攻擊

黑客攻擊是黑客自己開發(fā)或利用已有的工具尋找計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的缺陷和漏洞，并對(duì)這些缺陷實(shí)施攻擊。在計(jì)算機(jī)網(wǎng)絡(luò)飛速發(fā)展的同時(shí)，黑客技術(shù)也日益高超，目前黑客能運(yùn)用的攻擊軟件已有1000多種。從網(wǎng)絡(luò)防御的角度講，計(jì)算機(jī)黑客是一個(gè)揮之不去的夢(mèng)魘。借助黑客工具軟件，黑客可以有針對(duì)性地頻頻對(duì)敵方網(wǎng)絡(luò)發(fā)動(dòng)襲擊令其癱瘓，多名黑客甚至可以借助同樣的軟件在不同的地點(diǎn)“集中火力”對(duì)一個(gè)或者多個(gè)網(wǎng)絡(luò)發(fā)起攻擊。而且，黑客們還可以把這些軟件神不知鬼不覺地通過互聯(lián)網(wǎng)按到別人的電腦上，然后在電腦主人根本不知道的情況下“借刀殺人”，以別人的電腦為平臺(tái)對(duì)敵方網(wǎng)站發(fā)起攻擊！美軍認(rèn)為，在未來計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)攻戰(zhàn)中，“黑客戰(zhàn)”將是其基本戰(zhàn)法之一。

理論上開放系統(tǒng)都會(huì)有漏洞的，正是這些漏洞被一些擁有很高技術(shù)水平和超強(qiáng)耐性的黑客所利用。黑客們最常用的手段是獲得超級(jí)用戶口令，他們總是先分析目標(biāo)系統(tǒng)正在運(yùn)行哪些應(yīng)用程序，目前可以獲得哪些權(quán)限，有哪些漏洞可加以利用，并最終利用這些漏洞獲取超級(jí)用戶權(quán)限，再達(dá)到他們的目的。因此，對(duì)黑客攻擊的防御，主要從訪問控制技術(shù)、防火墻技術(shù)和信息加密技術(shù)入手。

3.4 訪問控制

訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段?？梢哉f是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制技術(shù)主要包括7種：入網(wǎng)訪問控制；網(wǎng)絡(luò)的權(quán)限控制；目錄級(jí)安全控制；屬性安全控制；網(wǎng)絡(luò)服務(wù)器安全控制；網(wǎng)絡(luò)監(jiān)測和鎖定控制；網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制。根據(jù)網(wǎng)絡(luò)安全的等級(jí)，網(wǎng)絡(luò)空間的環(huán)境不同，可靈活地設(shè)置訪問控制的種類和數(shù)量。

3.5 防火墻技術(shù)

防火墻是近期發(fā)展起來的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施，它是一個(gè)用以阻止網(wǎng)絡(luò)中的黑客訪問某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障，也可稱之為控制進(jìn)／出兩個(gè)方向通信的門檻。一個(gè)防火墻系統(tǒng)通常由屏蔽路由器和代理服務(wù)器組成。屏蔽路由器是一個(gè)多端口的IP路由器，它通過對(duì)每一個(gè)到來的IP包依據(jù)一組規(guī)則進(jìn)行檢查來判斷是否對(duì)之進(jìn)行轉(zhuǎn)發(fā)。代理服務(wù)器是防火墻系統(tǒng)中的一個(gè)服務(wù)器進(jìn)程，它能夠代替網(wǎng)絡(luò)用戶完成特定的TCP/IP功能。一個(gè)代理服務(wù)器本質(zhì)上是一個(gè)應(yīng)用層的網(wǎng)關(guān)，一個(gè)為特定網(wǎng)絡(luò)應(yīng)用而連接兩個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。目前的防火墻主要有包過濾防火墻、代理防火墻和雙穴主機(jī)防火墻3種類型，并在計(jì)算機(jī)網(wǎng)絡(luò)得到了廣泛的應(yīng)用。防火墻的確是一種重要的新型安全措施。但是，防火墻也不能解決進(jìn)入防火墻的數(shù)據(jù)帶來的所有安全問題。如果用戶抓來一個(gè)程序在本地運(yùn)行，那個(gè)程序很可能就包含一段惡意的代碼，或泄露敏感信息，或?qū)χM(jìn)行破壞。防火墻的另一個(gè)缺點(diǎn)是很少有 防火墻制造商推出簡便易用的“監(jiān)獄看守”型的防火墻，大多數(shù)的產(chǎn)品還停留在需要網(wǎng)絡(luò)管理員手工建立的水平上。

3.6 信息加密技術(shù)

信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密3種。

3.6.1 鏈路加密的目的是保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路信息安全；

3.6.2 端-端加密的目的是對(duì)源端用戶到目的端用戶的數(shù)據(jù)提供保護(hù)；

3.6.3 節(jié)點(diǎn)加密的目的是對(duì)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供保護(hù)。

用戶可根據(jù)網(wǎng)絡(luò)情況酌情選擇上述加密方式。信息加密過程是由形形色色的加密算法來具體實(shí)施，它以很小的代價(jià)提供很大的安全保護(hù)。在多數(shù)情況下，信息加密是保證信息機(jī)密性的唯一方法。據(jù)不完全統(tǒng)計(jì)，到目前為止，已經(jīng)公開發(fā)表的各種加密算法多達(dá)數(shù)百種。如果按照收發(fā)雙方密鑰是否相同來分類，可以將這些加密算法分為常規(guī)密碼算法和公鑰密碼算法。

在常規(guī)密碼中，收信方和發(fā)信方使用相同的密鑰，即加密密鑰和解密密鑰是相同或等價(jià)的。在公鑰密碼中，收信方和發(fā)信方使用的密鑰互不相同，而且?guī)缀醪豢赡軓募用苊荑€推導(dǎo)出解密密鑰。當(dāng)然在實(shí)際應(yīng)用中人們通常將常規(guī)密碼和公鑰密碼結(jié)合在一起使用，比如：利用DES或者IDEA來加密信息，而采用RSA來傳遞會(huì)話密鑰。密碼技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一。一個(gè)加密網(wǎng)絡(luò)，不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，而且也是對(duì)付惡意軟件的有效方法之一。

3.7 防御計(jì)算機(jī)病毒

如果說，黑客們?nèi)肭钟?jì)算機(jī)網(wǎng)絡(luò)事件是從計(jì)算機(jī)網(wǎng)絡(luò)中向外竊取信息情報(bào)的話。那么計(jì)算機(jī)病毒則是人們向內(nèi)攻擊計(jì)算機(jī)網(wǎng)絡(luò)的方法了。目前計(jì)算機(jī)病毒已經(jīng)攪得世界不得安寧，并且它將繼續(xù)逞兇在未來的信息戰(zhàn)場之上，成為各國軍隊(duì)不得不認(rèn)真對(duì)付的一種高技術(shù)武器。

由于計(jì)算機(jī)病毒的傳染性、潛伏性和巨大的破壞性。計(jì)算機(jī)病毒作為信息戰(zhàn)的武器，其攻防對(duì)抗的焦點(diǎn)和關(guān)鍵技術(shù)是病毒的制作技術(shù)、注入技術(shù)、激活技術(shù)和隔離技術(shù)，其中實(shí)施病毒戰(zhàn)難度最大的是注入、激活和隔離技術(shù)。防御計(jì)算機(jī)病毒，首先要進(jìn)行計(jì)算機(jī)病毒的種類、性能、干擾機(jī)理的研究，加強(qiáng)計(jì)算機(jī)病毒注入、激活、耦合技術(shù)的研究和計(jì)算機(jī)病毒的防御技術(shù)的研究。但是要從根本上解決問題，就必須要用我國自己的安全設(shè)備加強(qiáng)信息與網(wǎng)絡(luò)的安全性，大力發(fā)展基于自主技術(shù)的信息安全產(chǎn)業(yè)。這樣才能從根本上擺脫引進(jìn)國外的關(guān)鍵信息系統(tǒng)難以安全利用、有效監(jiān)控的被動(dòng)局面。

結(jié)語

網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。它主要是指網(wǎng)絡(luò)系統(tǒng)的硬 件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。

[1]張衛(wèi)清.網(wǎng)絡(luò)安全與網(wǎng)絡(luò)安全文化[D].南華大學(xué)，2006（05）.

[2]周濤，石堅(jiān)，吳恩平，楊立純，力立.一種網(wǎng)絡(luò)安全狀態(tài)評(píng)估系統(tǒng)及方法，2010（11）.