王亨桂

（四川省電力公司廣安電業(yè)局，四川 廣安 638000）

1、網(wǎng)絡(luò)安全的現(xiàn)狀

現(xiàn)今互聯(lián)網(wǎng)環(huán)境正在發(fā)生著一系列的變化,安全問題也出現(xiàn)了相應(yīng)的變化。主要反映在以下幾個(gè)方面:

1.1．網(wǎng)絡(luò)犯罪成為集團(tuán)化、產(chǎn)業(yè)化的趨勢(shì)。從灰鴿子病毒案例可以看出,木馬從制作到最終盜取用戶信息甚至財(cái)物,漸漸成為了一條產(chǎn)業(yè)鏈。

1.2．無線網(wǎng)絡(luò)、移動(dòng)手機(jī)成為新的攻擊區(qū)域,新的攻擊重點(diǎn)。隨著無線網(wǎng)絡(luò)的大力推廣,3G網(wǎng)絡(luò)使用人群的增多,使用的用戶群體也在不斷的增加。

1.3．垃圾郵件依然比較嚴(yán)重。雖然經(jīng)過這么多年的垃圾郵件整治,垃圾郵件現(xiàn)象得到明顯的改善,例如在美國(guó)有相應(yīng)的立法來處理垃圾郵件。但是在利益的驅(qū)動(dòng)下,垃圾郵件仍然影響著每個(gè)人郵箱的使用。1.4．漏洞攻擊的爆發(fā)時(shí)間變短。從這幾年的攻擊來看,不難發(fā)現(xiàn)漏洞攻擊的時(shí)間越來越短,系統(tǒng)漏洞、網(wǎng)絡(luò)漏洞、軟件漏洞被攻擊者發(fā)現(xiàn)并利用的時(shí)間間隔在不斷的縮短。很多攻擊者都通過這些漏洞來攻擊網(wǎng)絡(luò)。

1.5．攻擊方的技術(shù)水平要求越來越低。

1.6．DOS攻擊更加頻繁。對(duì)于DoS攻擊更加隱蔽,難以追蹤到攻擊者。大多數(shù)攻擊者采用分布式的攻擊方式,以及跳板攻擊方法。這種攻擊更具有威脅性,攻擊更加難以防治。

1.7．針對(duì)瀏覽器插件的攻擊。插件的性能不是由瀏覽器來決定的,瀏覽器的漏洞升級(jí)并不能解決插件可能存在的漏洞。

1.8．網(wǎng)站攻擊,特別是網(wǎng)頁(yè)被掛馬。大多數(shù)用戶在打開一個(gè)熟悉的網(wǎng)站,比如自己信任的網(wǎng)站,但是這個(gè)網(wǎng)站已被掛馬,這在不經(jīng)意之間木馬將會(huì)安裝在自己的電腦內(nèi)。這是現(xiàn)在網(wǎng)站攻擊的主要模式。

1.9．內(nèi)部用戶的攻擊?，F(xiàn)今企事業(yè)單位的內(nèi)部網(wǎng)與外部網(wǎng)聯(lián)系的越來越緊密,來自內(nèi)部用戶的威脅也不斷地表現(xiàn)出來。來自內(nèi)部攻擊的比例在不斷上升,變成內(nèi)部網(wǎng)絡(luò)的一個(gè)防災(zāi)重點(diǎn)。

2、計(jì)算機(jī)網(wǎng)絡(luò)存在的安全隱患

隨著Internet的飛速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)的資源共享進(jìn)一步加強(qiáng)，隨之而來的信息安全問題日益突出。據(jù)美國(guó)FBI統(tǒng)計(jì)，美國(guó)每年網(wǎng)絡(luò)安全問題所造成的經(jīng)濟(jì)損失高達(dá)75億美元。而全球平均每20秒鐘就發(fā)生一起Internet計(jì)算機(jī)侵入事件。在Internet/Intranet的大量應(yīng)用中，Internet/Intranet安全面臨著重大的挑戰(zhàn)。在一個(gè)開放的網(wǎng)絡(luò)環(huán)境中，大量信息在網(wǎng)上流動(dòng)，這為不法分子提供了攻擊目標(biāo)。他們利用不同的攻擊手段，獲得訪問或修改在網(wǎng)中流動(dòng)的敏感信息，闖入用戶或政府部門的計(jì)算機(jī)系統(tǒng)，進(jìn)行窺視、竊取、篡改數(shù)據(jù)。使得針對(duì)計(jì)算機(jī)信息系統(tǒng)的犯罪活動(dòng)日益增多。

一般認(rèn)為，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自黑客攻擊、計(jì)算機(jī)病毒和拒絕服務(wù)攻擊三個(gè)方面。黑客攻擊早在主機(jī)終端時(shí)代就已經(jīng)出現(xiàn)，隨著Internet的發(fā)展，現(xiàn)代黑客則從以系統(tǒng)為主的攻擊轉(zhuǎn)變到以網(wǎng)絡(luò)為主的攻擊。新的手法包括：通過網(wǎng)絡(luò)監(jiān)聽獲取網(wǎng)上用戶的帳號(hào)和密碼；監(jiān)聽密鑰分配過程，攻擊密鑰管理服務(wù)器，得到密鑰或認(rèn)證碼，從而取得合法資格；利用UNIX操作系統(tǒng)提供的守護(hù)進(jìn)程的缺省帳戶進(jìn)行攻擊；利用Finger等命令收集信息，提高自己的攻擊能力；利用SendMail，采用debug、wizard和pipe等進(jìn)行攻擊；利用FTP，采用匿名用戶訪問進(jìn)行攻擊；利用NFS進(jìn)行攻擊；通過隱藏通道進(jìn)行非法活動(dòng)；突破防火墻等等。目前，已知的黑客攻擊手段多達(dá)500余種。拒絕服務(wù)攻擊是一種破壞性攻擊，最早的拒絕服務(wù)攻擊是“電子郵件炸彈”。它的表現(xiàn)形式是用戶在很短的時(shí)間內(nèi)收到大量無用的電子郵件，從而影響正常業(yè)務(wù)的運(yùn)行，嚴(yán)重時(shí)會(huì)使系統(tǒng)關(guān)機(jī)、網(wǎng)絡(luò)癱瘓。

3、計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)措施

計(jì)算機(jī)網(wǎng)絡(luò)安全從技術(shù)上來說，主要由防病毒、防火墻、入侵檢測(cè)等多個(gè)安全組件組成，一個(gè)單獨(dú)的組件無法確保網(wǎng)絡(luò)信息的安全性。目前廣泛運(yùn)用和比較成熟的網(wǎng)絡(luò)安全技術(shù)主要有：防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、防病毒技術(shù)等，主要的網(wǎng)絡(luò)防護(hù)措施包括：

3.1．物理安全技術(shù)

物理安全是指通過物理隔離實(shí)現(xiàn)網(wǎng)絡(luò)安全，是指內(nèi)部網(wǎng)絡(luò)間接地連接在Internet網(wǎng)絡(luò)。物理安全的目的是保護(hù)路由器、工作站、網(wǎng)絡(luò)服務(wù)器等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線竊聽攻擊。只有使內(nèi)部網(wǎng)和公共網(wǎng)物理隔離，才能真正保證內(nèi)部信息網(wǎng)絡(luò)不受來自互聯(lián)網(wǎng)的黑客攻擊。此外，物理隔離也為用戶內(nèi)部網(wǎng)劃定了明確的安全邊界，使得網(wǎng)絡(luò)的可控性增強(qiáng)，便于內(nèi)部管理。

3.2．病毒防范技術(shù)

在現(xiàn)代化的辦公環(huán)境中，幾乎所有的計(jì)算機(jī)用戶都不同程度地受到過計(jì)算機(jī)病毒危害。計(jì)算機(jī)病毒其實(shí)也是一種可執(zhí)行程序，除了自我復(fù)制的特征外，很多病毒還被設(shè)計(jì)為具有毀壞應(yīng)用程序、刪除文件甚至重新格式化硬盤的能力。由于在網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒有不可估量的威脅性和破壞力，因此，計(jì)算機(jī)網(wǎng)絡(luò)病毒的防范是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)。在網(wǎng)絡(luò)中，計(jì)算機(jī)病毒的爆發(fā)對(duì)用戶的安全構(gòu)成了極大的威脅。因此，網(wǎng)絡(luò)配置病毒防護(hù)系統(tǒng)必不可少。常見的網(wǎng)絡(luò)反病毒技術(shù)包括預(yù)防病毒、檢測(cè)病毒和消毒三種技術(shù)。

3.3．防火墻

防火墻是一種隔離控制技術(shù)，通過預(yù)定義的安全策略，對(duì)內(nèi)外網(wǎng)通信強(qiáng)制實(shí)施訪問控制，常用的防火墻技術(shù)有包過濾技術(shù)、狀態(tài)檢測(cè)技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)。包過濾技術(shù)是在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過，依據(jù)系統(tǒng)事先設(shè)定好的過濾邏輯，檢查數(shù)據(jù)據(jù)流中的每個(gè)數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、以及包所使用的端口確定是否允許該類數(shù)據(jù)包通過；狀態(tài)檢測(cè)技術(shù)采用的是一種基于連接的狀態(tài)檢測(cè)機(jī)制，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對(duì)表中的各個(gè)連接狀態(tài)因素加以識(shí)別，與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比，它具有更好的靈活性和安全性；應(yīng)用網(wǎng)關(guān)技術(shù)在應(yīng)用層實(shí)現(xiàn)，它使用一個(gè)運(yùn)行特殊的“通信數(shù)據(jù)安全檢查”軟件的工作站來連接被保護(hù)網(wǎng)絡(luò)和其他網(wǎng)絡(luò)，其目的在于隱蔽被保護(hù)網(wǎng)絡(luò)的具體細(xì)節(jié)，保護(hù)其中的主機(jī)及其數(shù)據(jù)。

3.4．?dāng)?shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)

與防火墻相比，數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)比較靈活，更加適用于開放的網(wǎng)絡(luò)。用戶授權(quán)訪問控制主要用于對(duì)靜態(tài)信息的保護(hù)，需要系統(tǒng)級(jí)別的支持，一般在操作系統(tǒng)中實(shí)現(xiàn)。數(shù)據(jù)加密主要用于對(duì)動(dòng)態(tài)信息的保護(hù)。對(duì)動(dòng)態(tài)數(shù)據(jù)的攻擊分為主動(dòng)攻擊和被動(dòng)攻擊。對(duì)于主動(dòng)攻擊，雖無法避免，但卻可以有效地檢測(cè)；而對(duì)于被動(dòng)攻擊，雖無法檢測(cè)，但卻可以避免，實(shí)現(xiàn)這一切的基礎(chǔ)就是數(shù)據(jù)加密。數(shù)據(jù)加密實(shí)質(zhì)上是對(duì)以符號(hào)為基礎(chǔ)的數(shù)據(jù)進(jìn)行移位和置換的變換算法，這種變換是受“密鑰”控制的。在傳統(tǒng)的加密算法中，加密密鑰與解密密鑰是相同的，或者可以由其中一個(gè)推知另一個(gè)，稱為“對(duì)稱密鑰算法”。這樣的密鑰必須秘密保管，只能為授權(quán)用戶所知，授權(quán)用戶既可以用該密鑰加密信急，也可以用該密鑰解密信息，DES是對(duì)稱加密算法中最具代表性的算法。如果加密/解密過程各有不相干的密鑰，構(gòu)成加密/解密的密鑰對(duì)，則稱這種加密算法為“非對(duì)稱加密算法”或(稱為“公鑰加密算法”，相應(yīng)的加密/解密密鑰分別稱為“公鑰”和“私鑰”。在公鑰加密算法中，公鑰是公開的，任何人可以用公鑰加密信息，再將密文發(fā)送給私鑰擁有者。私鑰是保密的，用于解密其接收的公鑰加密過的信息。典型的公鑰加密算法如RSA是目前使用比較廣泛的加密算法。

3.5 入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的，一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測(cè)技術(shù)是一種主動(dòng)保護(hù)自己免受黑客攻擊的網(wǎng)絡(luò)安全技術(shù)，它提供了對(duì)網(wǎng)絡(luò)內(nèi)部攻擊和外部攻擊的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和入侵。

3.6 漏洞掃描技術(shù)

漏洞掃描是指對(duì)電腦進(jìn)行全方位的掃描，檢查當(dāng)前的系統(tǒng)是否有漏洞，如果有漏洞則需要馬上進(jìn)行修復(fù)，否則電腦很容易受到網(wǎng)絡(luò)的傷害，甚至被黑客借助于電腦的漏洞進(jìn)行遠(yuǎn)程控制。所以，漏洞掃描技術(shù)對(duì)于保護(hù)電腦和網(wǎng)絡(luò)安全必不可少，而且需要定時(shí)進(jìn)行一次掃描，一旦發(fā)現(xiàn)有漏洞就要馬上修復(fù)。有的漏洞系統(tǒng)自身就可以修復(fù)，而有些則需要手動(dòng)修復(fù)。

3.7 安全管理隊(duì)伍的建設(shè)

在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，絕對(duì)的安全是不存在的，制定健全的安全管理體制是計(jì)算機(jī)網(wǎng)絡(luò)安全的重要保證。同時(shí)，要不斷地加強(qiáng)計(jì)算機(jī)信息網(wǎng)絡(luò)的安全規(guī)范化管理力度，大力加強(qiáng)安全技術(shù)建設(shè)，強(qiáng)化使用人員和管理人員的安全防范意識(shí)。網(wǎng)絡(luò)內(nèi)使用的IP地址作為一種資源以前一直為某些管理人員所忽略，為了更好地進(jìn)行安全管理工作，應(yīng)該對(duì)本網(wǎng)內(nèi)的IP地址資源統(tǒng)一管理、統(tǒng)一分配。對(duì)于盜用IP資源的用戶必須依據(jù)管理制度嚴(yán)肅處理。只有共同努力，才能使計(jì)算機(jī)網(wǎng)絡(luò)的安全可靠得到保障，從而使廣大網(wǎng)絡(luò)用戶的利益得到保障。

小結(jié)

計(jì)算機(jī)網(wǎng)絡(luò)安全與我們的利益息息相關(guān),而計(jì)算機(jī)網(wǎng)絡(luò)安全的問題，仍有大量的工作需要我們?nèi)パ芯亢吞剿鳌Ｒ虼?完善計(jì)算機(jī)網(wǎng)絡(luò)安全防范措施就顯得十分重要。

［1］李濤.網(wǎng)絡(luò)安全概論[M].北京:電子工業(yè)出版社,2006

［2］何莉,許林英,姚鵬海.計(jì)算機(jī)網(wǎng)絡(luò)概論[M].北京:高等教育出版社,2006

[3]王健.計(jì)算機(jī)網(wǎng)絡(luò)的安全技術(shù)[J].寧夏機(jī)械,2009.

[4]王選宏,肖云.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型[J].科學(xué)技術(shù)與工程，2010.