[摘要]Internet的迅速成長正在把世界連接成一個(gè)整體,“世界”這個(gè)概念也正在縮小。但是在信息技術(shù)高度發(fā)達(dá)的今天,計(jì)算機(jī)網(wǎng)絡(luò)安全已成為各國關(guān)注的焦點(diǎn)。計(jì)算機(jī)病毒不斷地產(chǎn)生和傳播,計(jì)算機(jī)遭非法入侵,機(jī)密文件的丟失,由此造成的網(wǎng)絡(luò)系統(tǒng)的癱瘓等給各個(gè)國家和眾多公司帶來巨大的經(jīng)濟(jì)損失,甚至威脅到國家和地區(qū)的安全。

[關(guān)鍵詞]安全因素 威脅 網(wǎng)絡(luò)安全 對策

中圖分類號:TP3文獻(xiàn)標(biāo)識碼:A文章編號:1671-7597(2009)0920084-01

一、威脅網(wǎng)絡(luò)安全的因素

計(jì)算機(jī)網(wǎng)絡(luò)安全受到的威脅包括:“黑客”的攻擊、計(jì)算機(jī)病毒和拒絕服務(wù)攻擊。黑客在網(wǎng)絡(luò)上經(jīng)常采用的攻擊手段,是利用UNIX操作系統(tǒng)提供的TelnetDaemon、FTPdaemon等缺省賬戶進(jìn)行攻擊。Daemon軟件實(shí)質(zhì)上是一些系統(tǒng)進(jìn)程。另外,利用UNIX操作系統(tǒng)提供的命令“Finger”與“Ruser”收集的信息不斷的提高自己的攻擊能力。利用Sendmail采用Debug、Wizard、Pipe等進(jìn)行攻擊;利用FTP采用無口令訪問進(jìn)行攻擊;通過WindowsNT的135端口進(jìn)行攻擊。

網(wǎng)絡(luò)安全存在的威脅主要表現(xiàn)在以下幾個(gè)方面:1.發(fā)送假冒電子郵件。指冒充正規(guī)網(wǎng)站騙取賬戶密碼是欺詐郵件常用的手法。2.非授權(quán)訪問。這主要是指對網(wǎng)絡(luò)設(shè)備以及信息資源進(jìn)行非正常使用或超越權(quán)限使用。3.破壞數(shù)據(jù)庫的完整性。4.干擾系統(tǒng)的正常運(yùn)行,改變系統(tǒng)正常運(yùn)行的方向,以及延時(shí)系統(tǒng)的響應(yīng)時(shí)間。5.病毒破壞。比如硬盤被垃圾數(shù)據(jù)覆蓋。6.通信線路被竊聽等。

二、造成這些威脅的原因

(一)OS的脆弱性。目前,無論是哪一種OS,其體系結(jié)構(gòu)本身是一不安全的因素。導(dǎo)致OS不安全的原因包括:1.OS的程序可以動態(tài)連接,包括I/O驅(qū)動程序和系統(tǒng)服務(wù)都可以用打補(bǔ)丁的方法升級和動態(tài)連接。而這種方法“黑客”人員也可以使用,因此,這種動態(tài)連接是滋生病毒的溫床。2. 在于OS可以創(chuàng)建進(jìn)程,進(jìn)程可以不斷的再創(chuàng)建進(jìn)程,再加上OS支持在網(wǎng)絡(luò)上傳輸?shù)奈募?能加載程序。二者結(jié)合起來就構(gòu)成可以在遠(yuǎn)程服務(wù)器上安裝“間諜”軟件的條件,這導(dǎo)致系統(tǒng)進(jìn)程與作業(yè)監(jiān)視程序根本監(jiān)測不到“間諜”的存在。

(二)計(jì)算機(jī)系統(tǒng)的脆弱性。計(jì)算機(jī)系統(tǒng)的脆弱性主要來自O(shè)S系統(tǒng)的不安全性,在網(wǎng)絡(luò)環(huán)境下,還來源于通信協(xié)議的不安全性,因?yàn)镺S始終存在漏洞及協(xié)議和應(yīng)用本身存在問題,比如協(xié)議設(shè)計(jì)時(shí)對突發(fā)事件考慮不周。

(三)協(xié)議安全的脆弱性。在網(wǎng)絡(luò)當(dāng)中使用的最常見的協(xié)議TCP/IP以及FTP、Email、NFS等都包含許多影響網(wǎng)絡(luò)安全的因素,存在大量漏洞。黑客常用Sock、TCP預(yù)測或使用遠(yuǎn)程訪問進(jìn)行直接掃描等方法對防火墻進(jìn)行攻擊。

(四)數(shù)據(jù)庫管理系統(tǒng)安全的脆弱性。DBMS的安全必須與OS系統(tǒng)安全配合,因?yàn)镈BMS是在OS系統(tǒng)框架下運(yùn)行,比如調(diào)用數(shù)據(jù)庫里的某個(gè)文件DBMS必須請求OS調(diào)度使用數(shù)據(jù)庫的進(jìn)程。

(五)人為因素。不管是什么樣的網(wǎng)絡(luò)系統(tǒng)都離不開人的管理,但大多又缺乏高素質(zhì)的網(wǎng)絡(luò)管理人員,更缺少安全監(jiān)控。還有用戶注冊、口令等處于缺省狀態(tài)。

三、針對網(wǎng)絡(luò)安全威脅的對策

要想提供對整個(gè)網(wǎng)絡(luò)系統(tǒng)實(shí)施全程防御,使其不遭受病毒和攻擊,幾乎不可能。因?yàn)槟承㎡S系統(tǒng)程序需要打補(bǔ)丁、鏈接進(jìn)行升級這就是OS系統(tǒng)的脆弱性所在。另一個(gè),要跟因特網(wǎng)連接就必定會遭到一些非法惡意的文件的攻擊。能不能想出更好的防范措施是保證網(wǎng)絡(luò)安全、有序運(yùn)行的可靠的保證

(一)從硬件層面來看。以往人們采用防火墻來保護(hù)自己的網(wǎng)絡(luò)系統(tǒng),可以說這也是一個(gè)好的防御對策。防火墻是位于Web站點(diǎn)和Internet之間的一路由器或一主機(jī)﹙堡壘主機(jī)﹚甚至是由軟件和硬件的結(jié)合。所有穿過防火墻的通信流必須得到安全策略的授權(quán)和確認(rèn)。但是防火墻存在最大的缺陷是自身不能保證其準(zhǔn)許放行的數(shù)據(jù)是否安全,不能防止內(nèi)部攻擊和數(shù)據(jù)驅(qū)動的攻擊,如病毒。防火墻掃描分析多半是針對IP地址和端口號或者協(xié)議內(nèi)容的,而非數(shù)據(jù)細(xì)節(jié)。

從網(wǎng)關(guān)的作用來說,網(wǎng)關(guān)位于應(yīng)用層面,要使使網(wǎng)絡(luò)免遭攻擊、侵害,網(wǎng)關(guān)就應(yīng)該更智能化,這就要求這種網(wǎng)關(guān)具備可以自動識別帶有危害信息的站點(diǎn)。涉及到尋找站點(diǎn),就離不開一些獨(dú)特的算法。高度集成的Internet應(yīng)用安全網(wǎng)關(guān)能讓網(wǎng)絡(luò)變得安全、透明、可控。這種高度集成的網(wǎng)關(guān)能將URL過濾、網(wǎng)絡(luò)應(yīng)用控制阻止、或管理控制惡意和不重要的應(yīng)用程序集合起來。并通過統(tǒng)一的設(shè)備監(jiān)控、策略配置、統(tǒng)一的報(bào)表和升級服務(wù)。

(二)從軟件層考慮。加大數(shù)據(jù)庫規(guī)則(常駐路由器)的篩選力度也是一個(gè)有效的途徑,問題是該如何去加大篩選力度呢?那就牽涉到一個(gè)篩選準(zhǔn)則問題,其實(shí),這個(gè)準(zhǔn)則可以自己所需而定,相對獨(dú)立于網(wǎng)絡(luò)協(xié)議之外。路由器篩選的重要理由是防止IP欺詐。但是,傳統(tǒng)的信息包篩選工具存在著天生的缺點(diǎn):實(shí)施和維護(hù)相當(dāng)復(fù)雜,甚至有時(shí)不足以產(chǎn)生有效的篩選決定。

鑒于對信息包篩選的缺點(diǎn),可以在可靠網(wǎng)和不可靠網(wǎng)之間設(shè)置網(wǎng)關(guān)主機(jī)起中繼器的作用,這種網(wǎng)關(guān)主機(jī)也稱堡壘主機(jī),對進(jìn)入和發(fā)出內(nèi)部網(wǎng)的信息進(jìn)行記錄和分析。使用堡壘主機(jī)可以隱藏內(nèi)部網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。一般堡壘主機(jī)本身可以設(shè)置于兩個(gè)具有基本信息包篩選能力的路由器之間,以增強(qiáng)其安全性。像這種情況,可以將路由器和網(wǎng)關(guān)合理的配置在網(wǎng)際邊緣和防火墻一同構(gòu)成網(wǎng)絡(luò)系統(tǒng)三道硬件防御工事。

同時(shí),也可以利用一些網(wǎng)絡(luò)安全的技術(shù)如:包括訪問控制技術(shù)、識別和鑒別技術(shù)、口令守則、密碼技術(shù)、完整性控制技術(shù)、審計(jì)和恢復(fù)技術(shù)、防火墻系統(tǒng)、計(jì)算機(jī)病毒防護(hù)、操作系統(tǒng)安全、數(shù)據(jù)庫系統(tǒng)安全等,公鑰、廣域網(wǎng)容錯、相繼推出了防火墻、入侵檢測(IDS)、防病毒軟件、CA系統(tǒng)、加密算法等。除此,需加大安全技術(shù)的開發(fā)力度和對網(wǎng)絡(luò)安全的評估。

對于一個(gè)網(wǎng)絡(luò)系統(tǒng)的安全除了看它所采用的防范措施外,還需要看內(nèi)部管理措施。這就要求系統(tǒng)后臺管理人員定時(shí)地對服務(wù)器等系統(tǒng)的恢復(fù)和網(wǎng)絡(luò)中數(shù)據(jù)備份,落實(shí)網(wǎng)絡(luò)系統(tǒng)中的每一個(gè)安全隱患和操作細(xì)節(jié)。

四、結(jié)束語

針對威脅計(jì)算機(jī)網(wǎng)絡(luò)安全的因素,考察網(wǎng)絡(luò)入侵的原理、類型,在此基礎(chǔ)上適當(dāng)論述了硬件及軟件防御對策。最后,指出了要維護(hù)網(wǎng)絡(luò)安全、高效、有序的運(yùn)行,就必須要求網(wǎng)絡(luò)管理員加強(qiáng)內(nèi)外防范和管理措施。以計(jì)算機(jī)網(wǎng)絡(luò)為核心、以實(shí)現(xiàn)資源共享和協(xié)同工作為目標(biāo)的各種信息系統(tǒng),已成為當(dāng)今社會運(yùn)行和技術(shù)基礎(chǔ)。尤其是電子商務(wù)環(huán)境下的信息系統(tǒng)的建設(shè)和發(fā)展日趨復(fù)雜,系統(tǒng)安全任務(wù)更加艱巨,如何保障系統(tǒng)安全已成為不可回避的時(shí)代課題,更是電子商務(wù)發(fā)展和應(yīng)用面臨的嚴(yán)峻挑戰(zhàn)。

參考文獻(xiàn):

[1]謝希仁編著,《計(jì)算機(jī)網(wǎng)絡(luò)》,第5版,電子工業(yè)出版社.

[2]袁津生、吳硯農(nóng)編著,《計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)》(修訂本),人民郵電出版社.

[3]許偉、廖明武等編著,《網(wǎng)絡(luò)安全基礎(chǔ)教程》,清華大學(xué)出版社.

作者簡介:

劉劍武,男,本科,北京交通大學(xué)網(wǎng)絡(luò)學(xué)院,計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)。