彭珂

摘要：隨著信息技術(shù)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)已經(jīng)成為信息資源共享，用戶(hù)交流的主要平臺(tái)，但是由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計(jì)本身對(duì)安全問(wèn)題的重視程度不夠，后期計(jì)算機(jī)網(wǎng)絡(luò)安全的管理和使用也力度不足，造成當(dāng)下機(jī)算機(jī)網(wǎng)絡(luò)安全體系的不完善，系統(tǒng)本身受到嚴(yán)重威脅，該文試從計(jì)算機(jī)網(wǎng)絡(luò)本身存在的安全缺陷入手，介紹網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù)、攻守對(duì)策，試圖構(gòu)建具有完整性、可用性、保密性、可控性、可靠性的計(jì)算機(jī)網(wǎng)絡(luò)信息安全體系。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；安全漏洞；防控技術(shù)；信息安全

中圖分類(lèi)號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2012)23-5577-02

Discussion on the Computer Network Information Security System Construction

PENG Ke

(Guangxi Hezhou Peoples Hospital, Hezhou 542800,China)

Abstract: With the development of information technology, computer network has become the information resources sharing, the main platform of user s exchange, but due to the early network protocol design itself on safety issues seriously enough, later computer network security management and use are inadequate, resulting in the current computer network security system is not perfect, system itself is threat? ened seriously, this article start from the computer network existence safety defect, introduced the key technology of network information security, the offensive and defensive countermeasure, try to construct has the integrity, availability, security, controllability, reliability of computer network information security system.

Key word: computer network; security vulnerabilities; security control; technology of information security

1計(jì)算機(jī)網(wǎng)絡(luò)信息安全現(xiàn)狀

計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的復(fù)雜性和多樣性，定期升級(jí)和技術(shù)發(fā)展要求計(jì)算機(jī)和網(wǎng)絡(luò)安全持續(xù)更新和提高才能滿(mǎn)足用戶(hù)需求和保障運(yùn)營(yíng)商安全。雖然針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)已經(jīng)不斷更新，但是由于網(wǎng)絡(luò)協(xié)議本身存在漏洞，攻擊網(wǎng)絡(luò)的方法和手段具有易得性，軟件升級(jí)周期縮短漏洞增多以及現(xiàn)行法規(guī)政策和管理方面存在不足等多方面原因，使得多種攻擊手段利用網(wǎng)絡(luò)信息安全的漏洞進(jìn)行惡意的攻擊，從而造成計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行不良和安全隱患，比較常見(jiàn)的有蠕蟲(chóng)、后門(mén)(Back-doors)、Rootkits、DOS(Denialof Services)和網(wǎng)路監(jiān)聽(tīng)等等，就現(xiàn)階段而言，計(jì)算機(jī)攻擊的手段可以說(shuō)五花八門(mén)，具有很強(qiáng)的隱蔽性并且逐步智能化，通過(guò)對(duì)軟件的截取和攻擊進(jìn)而破壞整個(gè)計(jì)算機(jī)系統(tǒng)，而且，計(jì)算機(jī)網(wǎng)絡(luò)攻擊者常常出于各種目的將政府部門(mén)和軍事部門(mén)的計(jì)算機(jī)為攻擊目標(biāo)，導(dǎo)致相關(guān)的國(guó)家機(jī)密泄漏或者系統(tǒng)癱瘓，對(duì)于社會(huì)和國(guó)家安全所造成威脅和破壞是相當(dāng)巨大的。

2影響計(jì)算機(jī)網(wǎng)絡(luò)信息安全系統(tǒng)的因素

2.1現(xiàn)有網(wǎng)絡(luò)安全技術(shù)的缺陷

當(dāng)下網(wǎng)絡(luò)安全技術(shù)的研究，一般而言針對(duì)網(wǎng)絡(luò)安全問(wèn)題的某一個(gè)或幾個(gè)領(lǐng)域來(lái)設(shè)計(jì)的，雖然能夠較好的防御某項(xiàng)攻擊，但是無(wú)法防范和解決其他的問(wèn)題，對(duì)于整個(gè)計(jì)算機(jī)系統(tǒng)的安全而言不能提供較為全面有效的保護(hù)，當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)信息安全方面的難題主要包括身份認(rèn)證、電子簽名、數(shù)據(jù)流通過(guò)程中的保密性完整性以及應(yīng)用系統(tǒng)整合性，在對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息安全的保護(hù)上，身份認(rèn)證和訪問(wèn)控制技術(shù)可以很好的解決網(wǎng)絡(luò)用戶(hù)身份確認(rèn)的問(wèn)題，防止第三方的惡意闖入，但是數(shù)據(jù)流通過(guò)程中的安全的信息無(wú)法保障；在計(jì)算機(jī)病毒防御過(guò)程中，防毒軟件能有效防毒和殺毒，但是對(duì)身份認(rèn)證和應(yīng)用系統(tǒng)整合方面就無(wú)法起到安全保障的作用?？偠灾?，現(xiàn)今網(wǎng)絡(luò)安全技術(shù)不乏專(zhuān)業(yè)性，但是缺乏系統(tǒng)性。

2.2計(jì)算機(jī)病毒攻擊

計(jì)算機(jī)病毒可謂是所有危害網(wǎng)絡(luò)信息安全因素中最常見(jiàn)的一種，計(jì)算機(jī)病毒的制造者攻擊對(duì)象不確定，通過(guò)軟件植入、郵件發(fā)送等方式將計(jì)算機(jī)病毒安放在用戶(hù)的計(jì)算機(jī)內(nèi)，附著在其它應(yīng)用程序上，具有很強(qiáng)的擴(kuò)散和潛伏能力，當(dāng)這些程序被激活運(yùn)行時(shí)，會(huì)在整個(gè)計(jì)算機(jī)系統(tǒng)內(nèi)部擴(kuò)散，將會(huì)給用戶(hù)造成難以估計(jì)的損失。輕則可能會(huì)大量占用網(wǎng)絡(luò)帶寬，阻塞正常流量，使系統(tǒng)上作效率下降，重則造成系統(tǒng)死機(jī)或毀壞，使部分文件或全部數(shù)據(jù)丟失，甚至造成計(jì)算機(jī)主板等部件的損壞。

2.3漏洞問(wèn)題以及后門(mén)問(wèn)題

由于計(jì)算機(jī)軟件的性質(zhì)需要不斷更新升級(jí)，軟件會(huì)不可避免的存有漏洞，這是不可否認(rèn)的事實(shí)，漏洞恰恰是非法用戶(hù)竊取用戶(hù)信息和破壞信息的主要途徑，最常見(jiàn)的攻擊形式有利用協(xié)議漏洞獲得系統(tǒng)管理員的特權(quán)，竊取或者破壞用戶(hù)的信息；另外，攻擊者可以利用該漏洞發(fā)送超長(zhǎng)的指令，造成系統(tǒng)運(yùn)行的不穩(wěn)定，使得用戶(hù)無(wú)法正常操作自己的計(jì)算機(jī)，影響正常工作進(jìn)度，還有IP地址轟擊等方法等等。最后，在軟件公司設(shè)計(jì)軟件編程過(guò)程中，為了自便會(huì)留有程序“后門(mén)”，方便控制和管理，雖然一般不為外人所知，但一旦“后門(mén)”出現(xiàn)洞開(kāi)，將會(huì)使整個(gè)安全系統(tǒng)被長(zhǎng)驅(qū)直入，造成啊難以估量的損失。

2.4現(xiàn)行法規(guī)政策和管理存在不足

計(jì)算機(jī)網(wǎng)絡(luò)信息安全保護(hù)方面的法律條款不完善，可操作性查，具體執(zhí)行方面力度不足。計(jì)算機(jī)管理人員責(zé)任心差，對(duì)待工作不認(rèn)真，技術(shù)操作不規(guī)范，缺乏行之有效的安全防范機(jī)制和安全檢查保護(hù)措施，系統(tǒng)口令的設(shè)置具有隨意性或者主觀化，由于防范意識(shí)不足，單位內(nèi)部管理制度不嚴(yán)格，對(duì)單位的賬號(hào)的維護(hù)力度不夠，不經(jīng)意的轉(zhuǎn)借和泄露都會(huì)造成信息的丟失或篡改。更有甚者，一些網(wǎng)絡(luò)管理員利用職務(wù)之便從事網(wǎng)上違法行為。這些現(xiàn)象的發(fā)生都是由于相關(guān)法律和規(guī)章制度的不健全，造成管理缺位。

2.5人為破壞因素愈演愈烈

計(jì)算機(jī)信息網(wǎng)絡(luò)上的黑客攻擊事件、各種信息戰(zhàn)以及計(jì)算機(jī)犯罪的數(shù)量等等都有愈演愈烈之勢(shì)，網(wǎng)絡(luò)黑客利用信息網(wǎng)絡(luò)本身的不完善性和缺陷，通過(guò)植入病毒，間諜軟件等等，竊聽(tīng)、獲取、攻擊具有相關(guān)敏感性的重要信息，轉(zhuǎn)賣(mài)給相關(guān)利益人群，非法從中獲利；隨著商業(yè)戰(zhàn)爭(zhēng)的升級(jí)，有專(zhuān)業(yè)的計(jì)算機(jī)人員利用技術(shù)手段侵入對(duì)方系統(tǒng)，在關(guān)鍵時(shí)刻對(duì)其信息網(wǎng)絡(luò)進(jìn)行破壞，造成對(duì)方數(shù)據(jù)丟失或系統(tǒng)癱瘓，從而在競(jìng)爭(zhēng)中獲得優(yōu)勢(shì)；另外，由于計(jì)算機(jī)犯罪不受時(shí)間、地點(diǎn)、條件限制，利用網(wǎng)絡(luò)行騙可以以較低低成本獲得較高收益，犯罪分子行跡容易隱藏，使得犯罪分子更愿意采用網(wǎng)絡(luò)技術(shù)來(lái)獲得非法利益，刺激了網(wǎng)絡(luò)犯罪的增長(zhǎng)，這些人為因素的增加，對(duì)于計(jì)算計(jì)網(wǎng)絡(luò)信息安全系統(tǒng)能夠的維護(hù)產(chǎn)生不利的印象。

3計(jì)算機(jī)網(wǎng)絡(luò)信息安全系統(tǒng)的構(gòu)建

3.1加強(qiáng)訪問(wèn)控制策略

訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，針對(duì)越權(quán)使用資源的一種防御措施，從源頭上保證網(wǎng)絡(luò)資源不被非法使用和非常訪問(wèn)。實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全和網(wǎng)絡(luò)資源的保護(hù)，首先從保證入網(wǎng)訪問(wèn)控制，主要通過(guò)驗(yàn)證用戶(hù)賬號(hào)、口令等來(lái)控制用戶(hù)的非法訪問(wèn)對(duì)于用戶(hù)名的識(shí)別與驗(yàn)證、用戶(hù)口令的識(shí)別與驗(yàn)證、用戶(hù)賬號(hào)的缺省限制檢查嚴(yán)格的規(guī)定。其次，要對(duì)進(jìn)行網(wǎng)絡(luò)的權(quán)限控制，通過(guò)受托者指派和繼承權(quán)限屏蔽（IRM）的方式實(shí)現(xiàn)文件、目錄、設(shè)備能被那些用戶(hù)所操作。最后，通過(guò)技術(shù)手段，實(shí)現(xiàn)目錄級(jí)安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制、網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制。從而整體實(shí)現(xiàn)對(duì)訪問(wèn)控制的有效加強(qiáng)。

3.2信息加密技術(shù)

數(shù)據(jù)信息流通過(guò)程中為保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息不被非法泄露，防止被競(jìng)爭(zhēng)對(duì)手獲取利用，可對(duì)所要傳輸?shù)臄?shù)據(jù)進(jìn)行加密，常用的方法有鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密三種，從技術(shù)角度而言，信息加密是保證信息機(jī)密性的最為有效的方法，微軟公司的Windows XP就有這樣的數(shù)據(jù)加密功能，這樣一來(lái)，即使信息在流通過(guò)程中被非法截獲，沒(méi)有相應(yīng)的解密規(guī)則就無(wú)法獲得其中的有效信息，從而達(dá)到信息的有效保護(hù)。

3.3加強(qiáng)病毒防范

病毒之所以能夠入侵，其根本原因在于系統(tǒng)本身存在漏洞，給了不法分子以可乘之機(jī)，因此病毒的預(yù)防和清理與漏洞的檢測(cè)是不可分離的，有效的病毒防范體系主要包括漏洞檢測(cè)、病毒預(yù)防、病毒查殺、病毒隔離等措施，首先要采用專(zhuān)業(yè)工具對(duì)系統(tǒng)定期進(jìn)行漏洞檢測(cè)，發(fā)現(xiàn)漏洞的同時(shí)及時(shí)安裝補(bǔ)丁程序，不給病毒可乘之機(jī)。其次，病毒的實(shí)時(shí)檢測(cè)，對(duì)于病毒庫(kù)要及時(shí)更新，及時(shí)處理已經(jīng)存在的病毒，不給病毒潛伏的機(jī)會(huì)。再次，建立病毒預(yù)警機(jī)制，病毒出現(xiàn)及時(shí)反映，有效加強(qiáng)殺毒控毒的處理能力。最后，主要是對(duì)不能殺掉的病毒進(jìn)行隔離，以防病毒再次傳播。

3.4防火墻技術(shù)

防火墻技術(shù)是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御，一套完整的防火墻系統(tǒng)通常是由屏蔽路由器和代理服務(wù)器組成。防火墻主要有包過(guò)濾防火墻、代理防火墻和雙穴主機(jī)防火墻三種類(lèi)型，根據(jù)企業(yè)的安全政策控制出入網(wǎng)絡(luò)的信息流,應(yīng)用過(guò)濾防火墻技術(shù)無(wú)法對(duì)攜帶內(nèi)容檢查，應(yīng)用代理防火墻技術(shù)則無(wú)法對(duì)數(shù)據(jù)包頭檢查，因此最為全面的防火墻技術(shù)應(yīng)綜合采用包過(guò)濾防火墻技術(shù)和代理防火墻技術(shù)，既能實(shí)現(xiàn)對(duì)數(shù)據(jù)包頭的檢查，又能實(shí)現(xiàn)對(duì)其攜帶內(nèi)容的檢查。

3.5建立安全實(shí)時(shí)防御和恢復(fù)系統(tǒng)

由于計(jì)算機(jī)本身系統(tǒng)更新功能，系統(tǒng)本身的漏洞和控制，沒(méi)有百分百安全和保密的網(wǎng)絡(luò)信息,因此要求網(wǎng)絡(luò)要在被攻擊和破壞時(shí)能夠及時(shí)發(fā)現(xiàn),及時(shí)反映,盡可能快的恢復(fù)網(wǎng)絡(luò)信息中心的服務(wù),這樣才能真正做到減少損失,因此應(yīng)當(dāng)將安全實(shí)時(shí)防御和恢復(fù)系統(tǒng)歸納到網(wǎng)絡(luò)安全系統(tǒng)之中，具體而言包括安全檢測(cè)預(yù)警機(jī)制、入侵檢測(cè)機(jī)制、安全反映機(jī)制和安全恢復(fù)機(jī)制。其中，安全檢測(cè)預(yù)警機(jī)制實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)上的數(shù)據(jù)流，尋找具有網(wǎng)絡(luò)攻擊特征和違反網(wǎng)絡(luò)安全策略的數(shù)據(jù)流，包括實(shí)時(shí)報(bào)警、記錄有關(guān)信息、實(shí)時(shí)阻斷非法的網(wǎng)絡(luò)連接、對(duì)事件涉及的主機(jī)實(shí)施進(jìn)一步的跟蹤等；入侵檢測(cè)系統(tǒng)則是在網(wǎng)絡(luò)系統(tǒng)能夠快速發(fā)現(xiàn)攻擊，隨即擴(kuò)展了系統(tǒng)管理員的安全管理能力，從而可以提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

參考文獻(xiàn)：

[1]謝浩浩.計(jì)算機(jī)網(wǎng)絡(luò)安全綜述[J].科技廣場(chǎng),2009(11).

[2］姚華,肖琳.網(wǎng)絡(luò)安全基礎(chǔ)教程[M].北京:北京理工大學(xué)出版社,2007.

[3]劉宗田.WEB站點(diǎn)安全與防火墻技術(shù)[M].北京:機(jī)械工業(yè)出版社,2006.