劉雷 陳以

桂林電子科技大學計算機與控制學院 廣西 541004

0 引言

隨著計算機網(wǎng)絡(luò)在政治、經(jīng)濟、生活中的廣泛應用，人們對計算機的依賴性越來越強。網(wǎng)絡(luò)在帶給人們信息交流方便的同時，網(wǎng)絡(luò)中的信息安全已成為人們?nèi)找骊P(guān)注的問題。因為互聯(lián)網(wǎng)通信的協(xié)議基礎(chǔ)TCP/IP協(xié)議本身在安全上存在著先天性的不足，病毒、黑客程序、郵件炸彈、遠程偵聽日益猖獗，由此引起網(wǎng)絡(luò)安全問題日益嚴重，如何保護計算機信息安全，也即信息內(nèi)容的保密問題顯得越來越重要。

1 網(wǎng)站不安全的原因

1.1 Internet自身安全性

Internet本來就不安全，因為最初的Internet建設(shè)者們不認為安全是問題。Internet在其早期是一個開放的為研究人員服務(wù)的網(wǎng)際網(wǎng)，是完全非贏利性的信息共享載體，所以，幾乎所有的Internet協(xié)議都沒有考慮安全機制。這點從Internet上最通用的應用FTP，Telnet和電子郵件中的用戶口令的明文傳輸以及IP報文在子網(wǎng)段上的廣播傳遞就充分地體現(xiàn)出來。只是近些年來，Internet的性質(zhì)和使用人員的情況發(fā)生了很大的變化，使得Internet的安全問題顯得越來越突出。隨著Internet的全球普及和商業(yè)化，用戶很多非常私人化，如信用卡號等和其自身利益相關(guān)的信息也通過Internet傳輸?，F(xiàn)在越來越多的信息放在網(wǎng)上是為了贏利，而不是完全免費的信息共享，所以其安全性也成為人們?nèi)遮呹P(guān)注的問題。

1.2 一般網(wǎng)站普遍出現(xiàn)不安全的原因

一個網(wǎng)站設(shè)計者更多地考慮滿足用戶應用，如何實現(xiàn)業(yè)務(wù)。很少考慮網(wǎng)站應用開發(fā)過程中所存在的漏洞，這些漏洞在不關(guān)注安全代碼設(shè)計的人員眼里幾乎不可見，大多數(shù)網(wǎng)站設(shè)計開發(fā)者、網(wǎng)站維護人員對網(wǎng)站攻防技術(shù)的了解甚少；在正常使用過程中，即便存在安全漏洞，正常的使用者并不會察覺。

大多數(shù)防御傳統(tǒng)的基于特征識別的入侵防御技術(shù)或內(nèi)容過濾技術(shù)，對保護網(wǎng)站抵御黑客攻擊的效果不佳。比如對SQL注入、跨站腳本這種特征不惟一的網(wǎng)站攻擊，基于特征匹配技術(shù)防御攻擊，不能精確阻斷攻擊。

有些黑客通過篡改網(wǎng)頁來傳播一些非法信息或炫耀自己的水平，但篡改網(wǎng)頁之前，黑客肯定基于對漏洞的利用，獲得了網(wǎng)站控制權(quán)限。這不是最可怕的，因為黑客在獲取權(quán)限后沒有想要隱蔽自己，反而是通過篡改網(wǎng)頁暴露自己，這雖然對網(wǎng)站造成很多負面影響，但黑客本身未獲得直接利益?？膳碌氖牵诳驮讷@取網(wǎng)站的控制權(quán)限之后，并不暴露自己，而是利用所控制網(wǎng)站產(chǎn)生直接利益；網(wǎng)頁掛馬就是一種利用網(wǎng)站，將瀏覽網(wǎng)站的人種植其木馬的一種非常隱蔽且直接獲取利益的主要方式之一。

計算機病毒也是很大的問題，而且時常出現(xiàn)，主要是由于它的傳播途徑，①不可移動的計算機硬件設(shè)備；②移動存儲設(shè)備（包括軟盤、磁帶、U盤、MP3等）；③網(wǎng)絡(luò)；④通過點對點通信系統(tǒng)和無線通信系統(tǒng)傳播；⑤電子郵件等等。而且計算機病毒變異種類繁多，更多還趨向與智能化方向，所以也成為了安全問題中的一大隱患。

網(wǎng)站技術(shù)發(fā)展較快、安全問題日益突出，但由于關(guān)注重點不同，絕大多數(shù)的網(wǎng)站開發(fā)與設(shè)計公司，對網(wǎng)站安全代碼設(shè)計方面了解甚少，即使發(fā)現(xiàn)網(wǎng)站安全存在問題和漏洞，其修補方式也只能停留在頁面修復，很難針對網(wǎng)站具體的漏洞原理對源代碼進行改造。這些也是為什么有些網(wǎng)站安裝網(wǎng)頁防篡改、網(wǎng)站恢復軟件后仍然遭受攻擊。我們在一次網(wǎng)站安全檢查過程中，曾經(jīng)戲劇化的發(fā)現(xiàn)，網(wǎng)站的網(wǎng)頁防篡改系統(tǒng)將早期植入的惡意代碼也保護了起來。這說明很少有人能夠準確的了解網(wǎng)站安全漏洞解決的問題是否徹底。

2 安全策略

怎樣才能有效的保護網(wǎng)站的安全？通過什么有效的手段來解決網(wǎng)站中普遍出現(xiàn)的安全問題呢？為此，我們提出一些安全應對策略來解決這些問題。

2.1 物理安全策略

物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊；驗證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發(fā)生。要保證計算機網(wǎng)絡(luò)系統(tǒng)的安全、可靠，必須保證系統(tǒng)實體有個安全的物理環(huán)境條件。

抑制和防止電磁泄露（即TEMPEST技術(shù)）是物理安全策略的一個主要問題。目前主要防護措施有兩類：一類是對傳導發(fā)射的防護，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合。另一類是對輻射的防護，這類防護措施又可分為以下兩種：一是采用各種電磁屏蔽措施，如對設(shè)備的金屬屏蔽和各種接插件的屏蔽，同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離；二是干擾的防護措施，即在計算機系統(tǒng)工作的同時，利用干擾裝置產(chǎn)生一種與計算機系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來掩蓋計算機系統(tǒng)的工作頻率和信息特征。

2.2 技術(shù)層面策略

對于技術(shù)方面，計算機網(wǎng)絡(luò)安全技術(shù)主要有實時掃描技術(shù)、實時監(jiān)測技術(shù)、防火墻、完整性檢驗保護技術(shù)、病毒情況分析報告技術(shù)和系統(tǒng)安全管理技術(shù)。綜合起來，技術(shù)層面可以采取以下對策：

（1）建立安全管理制度。提高包括系統(tǒng)管理員和用戶在內(nèi)的人員的技術(shù)素質(zhì)和職業(yè)道德修養(yǎng)。對重要部門和信息，嚴格做好開機查毒，及時備份數(shù)據(jù)，這是一種簡單有效的方法。

（2）網(wǎng)絡(luò)訪問控制。訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略。它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制涉及的技術(shù)比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制以及屬性控制等多種手段。

（3）數(shù)據(jù)庫的備份與恢復。數(shù)據(jù)庫的備份與恢復是數(shù)據(jù)庫管理員維護數(shù)據(jù)安全性和完整性的重要操作。備份是恢復數(shù)據(jù)庫最容易和最能防止意外的保證方法?；謴褪窃谝馔獍l(fā)生后利用備份來恢復數(shù)據(jù)的操作。有三種主要備份策略：只備份數(shù)據(jù)庫、備份數(shù)據(jù)庫和事務(wù)日志、增量備份。

（4）應用密碼技術(shù)。應用密碼技術(shù)是信息安全核心技術(shù)，密碼手段為信息安全提供了可靠保證?；诿艽a的數(shù)字簽名和身份認證是當前保證信息完整性的最主要方法之一，密碼技術(shù)主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數(shù)字簽名以及密鑰管理等。

（5）切斷傳播途徑。對被感染的硬盤和計算機進行徹底殺毒處理，不使用來歷不明的U 盤和程序，不隨意下載網(wǎng)絡(luò)可疑信息。

（6）提高網(wǎng)絡(luò)反病毒技術(shù)能力。通過安裝病毒防火墻，進行實時過濾。對網(wǎng)絡(luò)服務(wù)器中的文件進行頻繁掃描和監(jiān)測，在工作站上采用防病毒卡，加強網(wǎng)絡(luò)目錄和文件訪問權(quán)限的設(shè)置。在網(wǎng)絡(luò)中，限制只能由服務(wù)器才允許執(zhí)行的文件。

（7）研發(fā)并完善高安全的操作系統(tǒng)。研發(fā)具有高安全的操作系統(tǒng)，不給病毒得以滋生的溫床才能更安全。

2.3 管理層面策略

計算機網(wǎng)絡(luò)的安全管理，包括對計算機用戶的安全教育、建立相應的安全管理機構(gòu)、不斷完善和加強計算機的管理功能、加強計算機及網(wǎng)絡(luò)的立法和執(zhí)法力度等方面。加強計算機安全管理、加強用戶的法律、法規(guī)和道德觀念，提高計算機用戶的安全意識，對防止計算機犯罪、抵制黑客攻擊和防止計算機病毒干擾，是十分重要的措施。

這就要對計算機用戶不斷進行法制教育，包括計算機安全法、計算機犯罪法、保密法、數(shù)據(jù)保護法等，明確計算機用戶和系統(tǒng)管理人員應履行的權(quán)利和義務(wù)，自覺遵守合法信息系統(tǒng)原則、合法用戶原則、信息公開原則、信息利用原則和資源限制原則，自覺地和一切違法犯罪的行為作斗爭，維護計算機及網(wǎng)絡(luò)系統(tǒng)的安全，維護信息系統(tǒng)的安全。除此之外，還應教育計算機用戶和全體工作人員，應自覺遵守為維護系統(tǒng)安全而建立的一切規(guī)章制度，包括人員管理制度、運行維護和管理制度、計算機處理的控制和管理制度、各種資料管理制度、機房保衛(wèi)管理制度、專機專用和嚴格分工等管理制度。

我國對網(wǎng)絡(luò)犯罪已經(jīng)有了相關(guān)的法律條文，雖然在網(wǎng)站管理和服務(wù)方面還沒有相關(guān)法律條文，但是涉及安全問題的很多行為，實則已經(jīng)列入網(wǎng)絡(luò)犯罪內(nèi)。第九屆全國人民代表大會常務(wù)委員會第十九次會議通過了《維護互聯(lián)網(wǎng)安全的決定》，其中對網(wǎng)絡(luò)安全很多問題已經(jīng)做了很明確的定義。

3 結(jié)論

綜上所述，由于網(wǎng)站網(wǎng)絡(luò)存在著嚴重的安全隱患，所以必須提高網(wǎng)絡(luò)管理員的網(wǎng)絡(luò)安全意識和技術(shù)水平，準備解決所有已知和未知的安全問題。目前我國在網(wǎng)站的管理和服務(wù)方面還沒有法律條文，所以應該制定自己的規(guī)章制度，應用制度配合技術(shù)手段，在防御上要具有超前意識。并要對用戶驚醒教育和培養(yǎng)，使得合法用戶都能文明運用網(wǎng)站網(wǎng)絡(luò)，只有這樣才能把網(wǎng)站的網(wǎng)絡(luò)安全變被動為主動，以能夠更好的開展網(wǎng)站的各項服務(wù)工作，并為所有合法用戶提供一個穩(wěn)定而可靠的安全環(huán)境。

[1]岳飛.網(wǎng)站安全堪憂完善檢測機制是出路[J].信息系統(tǒng)工程.2008.

[2]龍冬陽.網(wǎng)絡(luò)安全技術(shù)及應用[M].廣州:華南理工大學出版社.2006.

[3]徐祗祥.計算機安全防護[M].北京:科學技術(shù)文獻出版社.2007.

[4]張敏波.網(wǎng)絡(luò)安全實戰(zhàn)詳解[M].北京:電子工業(yè)出版社.2008.