天津工業(yè)大學(xué)計算機科學(xué)與軟件學(xué)院 江劍林

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行。計算機網(wǎng)絡(luò)安全技術(shù)的問題涉及到物理環(huán)境、硬件、軟件、數(shù)據(jù)、傳輸、體系結(jié)構(gòu)等各個方面。

1.網(wǎng)絡(luò)安全問題的原因

影響計算機網(wǎng)絡(luò)安全的因素有很多，概括起來主要有：

1.1 設(shè)計思想導(dǎo)致自身缺陷

計算機網(wǎng)絡(luò)最初的設(shè)計思想是當(dāng)軍事指揮系統(tǒng)中某些部分被摧毀后，其剩余部分仍能正常工作，保證信息的傳輸。在這樣的思想指導(dǎo)下，網(wǎng)絡(luò)的可靠性、可用性是優(yōu)于安全性的。Internet早期是作為研究人員使用的網(wǎng)絡(luò)，是完全非盈利的信息共享載體，所以幾乎所有的Internet協(xié)議都沒有充分考慮安全機制。TCP/IP協(xié)議是一個建立在可信環(huán)境下的網(wǎng)絡(luò)互連模型，安全設(shè)計欠缺，存在著先天不足。這就直接導(dǎo)致了掃描、監(jiān)聽、欺騙、拒絕服務(wù)等多種網(wǎng)絡(luò)攻擊。系統(tǒng)通信協(xié)議和應(yīng)用服務(wù)協(xié)議存在缺陷，可被惡意利用用來攻擊網(wǎng)絡(luò)。

1.2 硬件安全缺陷和軟件漏洞

包括網(wǎng)絡(luò)硬件的安全缺陷，如可靠性差、計算機的許多核心技術(shù)關(guān)鍵安全性問題，其參數(shù)是否設(shè)置錯誤還需經(jīng)過檢驗，如防火墻產(chǎn)品自身是否安全，是否設(shè)置錯誤，需要經(jīng)過檢驗。每一個操作系統(tǒng)或網(wǎng)絡(luò)軟件的出現(xiàn)都不可能是無缺陷和漏洞的，目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，如Unix服務(wù)器、NT服務(wù)器及Windows桌面PC。若防火墻軟件的配置不正確，它根本不起作用，而且還可能成為安全缺口。所以一旦連接入網(wǎng)，就會成為眾矢之的。

1.3 結(jié)構(gòu)隱患

包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)設(shè)備。實際的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是集中總線型、星型等的混合結(jié)構(gòu)，存在著相應(yīng)的安全隱患。各大廠商競相推出的各類網(wǎng)絡(luò)產(chǎn)品，或多或少存在有隱患，而網(wǎng)絡(luò)關(guān)聯(lián)性導(dǎo)致只需攻擊鏈條中最薄弱的一個環(huán)節(jié)就可以使整個安全體系崩潰。網(wǎng)絡(luò)設(shè)備、主機、操作系統(tǒng)的多樣性，再加上拓?fù)浣Y(jié)構(gòu)的復(fù)雜性也使得網(wǎng)絡(luò)安全管理工作變得異常艱難。攻擊者可以利用這些復(fù)雜因素來隱藏自己，發(fā)起致命有效的攻擊。網(wǎng)絡(luò)規(guī)模的不斷膨脹，也給網(wǎng)絡(luò)安全帶來了越來越大的壓力，如果配置不當(dāng)，也會產(chǎn)生安全漏洞。

1.4 人為因素和電磁輻射

用戶安全意識不強，特別是那些對計算機和網(wǎng)絡(luò)技術(shù)不太了解的人，他們對網(wǎng)絡(luò)攻擊和防范知之甚少，導(dǎo)致安全管理意識缺乏，疏于防范，往往在遭到入侵后仍然毫無察覺，直到造成重大損失后才追悔莫及。用戶口令密碼選擇不慎，或?qū)⒆约旱馁~號隨意轉(zhuǎn)接他人或與別人共享等都會給網(wǎng)絡(luò)安全帶來威脅。電磁輻射物能夠破壞網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)，甚至可以將這些數(shù)據(jù)接收下來，并且能夠重新恢復(fù)，造成泄密。

1.5 病毒

病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性等幾大特點。現(xiàn)在的網(wǎng)絡(luò)技術(shù)未能完全對來自Internet的電子郵件挾帶的病毒及Web瀏覽可能存在的惡意Java/ActiveX控件進行有效控制。而且計算機病毒可以破壞計算機網(wǎng)絡(luò)安全系統(tǒng)并通過網(wǎng)絡(luò)破壞更多的計算機。

2.常用計算機網(wǎng)絡(luò)安全技術(shù)

2.1 防火墻技術(shù)

防火墻能夠確保護諸如電子郵件、文件傳輸、遠(yuǎn)程登錄以及特定系統(tǒng)間信息交換的安全。防火墻的工作原理是按照事先規(guī)定的配置和規(guī)則，監(jiān)控所有通過防火墻的數(shù)據(jù)流，只許授權(quán)的數(shù)據(jù)通過，同時記錄有關(guān)的聯(lián)接來源、服務(wù)器提供的通信量和試圖入侵的任何企圖，以方便網(wǎng)絡(luò)管理員的檢測和跟蹤。防火墻可以強化安全策略，保護易受攻擊的服務(wù)，防火墻執(zhí)行網(wǎng)絡(luò)的安全策略，能過濾那些不安全的服務(wù)，拒絕可疑的訪問大大降低非法攻擊的風(fēng)險，提高網(wǎng)絡(luò)安全系數(shù)；還可以監(jiān)視Internet的使用，防火墻也是審查和記錄內(nèi)部對Internet使用的一個最佳地方，可以在此對內(nèi)部訪問Internet的進行記錄。防火墻可以很好地防止外部用戶獲得敏感數(shù)據(jù)，但是它沒法防止內(nèi)部用戶偷竊數(shù)據(jù)、拷貝數(shù)據(jù)、破壞硬件和軟件等。

2.2 網(wǎng)絡(luò)入侵檢測技術(shù)

入侵檢測是通過對系統(tǒng)數(shù)據(jù)的分析，發(fā)現(xiàn)非授權(quán)的網(wǎng)絡(luò)訪問和攻擊行為，然后采取報警、切斷入侵線路等對抗措施。通過檢測和記錄網(wǎng)絡(luò)中的安全違規(guī)行為，懲罰網(wǎng)絡(luò)犯罪，防止網(wǎng)絡(luò)入侵事件的發(fā)生，減少入侵攻擊所造成的損失；檢測黑客在攻擊前的探測行為，檢測到入侵攻擊時，預(yù)先給管理員發(fā)出警報，報告計算機系統(tǒng)或網(wǎng)絡(luò)中存在的安全威脅，并利用報警與防護系統(tǒng)驅(qū)逐入侵攻擊；提供有關(guān)攻擊的信息，幫助管理員診斷網(wǎng)絡(luò)中存在的安全弱點，以便于對其進行修補。入侵檢測系統(tǒng)僅僅集中分析己知的攻擊方法和系統(tǒng)漏洞，所以系統(tǒng)無法檢測未知的攻擊，需要時間去學(xué)習(xí)新的攻擊方法，因此，對新攻擊的檢測延時太大。此外，入侵檢測系統(tǒng)的誤報漏報率較高。這給網(wǎng)絡(luò)管理員帶來許多不便，相對于防火墻良好的實時性來說，IDS的效率要低得多。

2.3 虛擬專用網(wǎng)（VPN）

虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。虛擬專用網(wǎng)指的是依靠ISP（Internet服務(wù)提供商）和其它NSP（網(wǎng)絡(luò)服務(wù)提供商），在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。事實上，VPN的效果相當(dāng)于在Internet上形成一條專用線路（隧道），從作用的效果看，VPN與IP電話類似，但VPN對于數(shù)據(jù)加密的要求更高。VPN由三個部分組成：隧道技術(shù)，數(shù)據(jù)加密和用戶認(rèn)證。隧道技術(shù)定義數(shù)據(jù)的封裝形式，并利用IP協(xié)議以安全方式在Internet上傳送。數(shù)據(jù)加密和用戶認(rèn)證則包含安全性的兩個方面：數(shù)據(jù)加密保證敏感數(shù)據(jù)不會被盜取，用戶認(rèn)證則保證未獲認(rèn)證的用戶無法訪問內(nèi)部網(wǎng)絡(luò)。

2.4 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密是對以符號為基礎(chǔ)的數(shù)據(jù)進行移位和置換的變換算法，這種變換是受稱為密鑰的符號串控制的，加密和解密算法通常是在密鑰控制下進行的。加密技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一，一個加密網(wǎng)絡(luò)，不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，而且也是對付惡意軟件的有效方法之一。

2.5 訪問控制

訪問控制是信息安全保障機制的核心內(nèi)容，它是實現(xiàn)數(shù)據(jù)保密性和完整性機制的主要手段。訪問控制是為了限制訪問主體對訪問客體(需要保護的資源)的訪問權(quán)限，從而使計算機系統(tǒng)在合法范圍內(nèi)使用：訪問控制機制決定用戶及代表一定用戶利益的程序能做什么及做到什么程度。利用訪問控制技術(shù)可以使系統(tǒng)管理員跟蹤用戶在網(wǎng)絡(luò)中的活動，及時發(fā)現(xiàn)并拒絕“黑客”的入侵。所以說訪問控制技術(shù)是維護網(wǎng)絡(luò)系統(tǒng)安全、保護網(wǎng)絡(luò)資源的重要手段之一。

3.結(jié)束語

當(dāng)前網(wǎng)絡(luò)安全己成為一個備受關(guān)注的問題，而網(wǎng)絡(luò)安全方面的研究事關(guān)國民經(jīng)濟的正常運轉(zhuǎn)和國家安全，處于信息科學(xué)和技術(shù)的研究前沿，具有理論和應(yīng)用價值，如何保護好自己的信息不受侵犯及如何有效地預(yù)防他人非法入侵等一系列信息安全課題已經(jīng)引起國內(nèi)外有關(guān)人士的熱切關(guān)注。

[1]莫雁林.網(wǎng)絡(luò)安全與防火墻技術(shù)[J].信息與電腦(理論版),2010(10).

[2]周莉,張紅禎.計算機網(wǎng)絡(luò)安全技術(shù)淺析[J].今日科苑,2008(17).