廣東 朱土梅

隨著計算機網(wǎng)絡的普遍應用，社會各個領域?qū)W(wǎng)絡的高依賴性使得人們對計算機網(wǎng)絡的運行可靠性要求變得越來越高。但由于計算機網(wǎng)絡具有連接形式多樣性、終端分布不均勻性和網(wǎng)絡的開放性、互聯(lián)性等特征，互聯(lián)網(wǎng)這種具有開放性、共享性、國際性的特點就對計算機網(wǎng)絡安全提出了挑戰(zhàn)，計算機病毒無處不在，黑客的猖獗防不勝防，重要情報、資料被竊取，甚至造成網(wǎng)絡系統(tǒng)的癱瘓等等。因此，網(wǎng)絡安全問題引起全世界的關注，也成為互聯(lián)網(wǎng)健康發(fā)展的制約因素。

一、網(wǎng)絡安全概念

計算機網(wǎng)絡安全是指利用網(wǎng)絡管理控制和技術措施，使網(wǎng)絡系統(tǒng)正常運行，保證在一個網(wǎng)絡環(huán)境里，數(shù)據(jù)的保密性、完整性及可使用性受到保護。計算機網(wǎng)絡安全包括兩個方面,即物理安全和邏輯安全。物理安全指系統(tǒng)設備及相關設施受到物理保護，免于破壞、丟失等。邏輯安全包括信息的完整性、保密性和可用性。所以，網(wǎng)絡安全是隨著網(wǎng)絡的建設和應用而構(gòu)建起來的一種需求。

二、威脅網(wǎng)絡安全因素

人為因素是威脅計算機網(wǎng)絡安全的最大因素。它是指一些不法之徒利用計算機網(wǎng)絡存在的漏洞或潛入機房，盜用計算機系統(tǒng)資源，非法獲取重要數(shù)據(jù)、篡改系統(tǒng)數(shù)據(jù)、破壞硬件設備、編制計算機病毒。其主要表現(xiàn)為以下幾方面：

1.網(wǎng)絡操作系統(tǒng)的不安全性

網(wǎng)絡操作系統(tǒng)是指能使網(wǎng)絡上的各臺計算機方便而有效地共享網(wǎng)絡資源，并為用戶提供所需的各種服務軟件。其自身的不安全性，系統(tǒng)開發(fā)設計的不周，都給網(wǎng)絡安全留下隱患。

（1）操作系統(tǒng)結(jié)構(gòu)體系的缺陷。操作系統(tǒng)本身有內(nèi)存管理、CPU管理、外設管理，每個管理都涉及對應的模塊或程序，如果這部分程序存在問題，計算機系統(tǒng)就會崩潰。所以，網(wǎng)絡黑客往往是針對網(wǎng)絡操作系統(tǒng)自身的漏洞進行攻擊，使計算機系統(tǒng)，特別是服務器系統(tǒng)立即癱瘓。

（2）網(wǎng)絡操作系統(tǒng)支持計算機在網(wǎng)絡上傳送文件、加載或安裝程序，快捷方便的功能也會帶來不安全因素。網(wǎng)絡很重要的一個功能就是文件傳輸功能，比如FTP。安裝程序經(jīng)常會攜帶可執(zhí)行文件，可執(zhí)行文件都是人為編寫的程序，如果某個地方出現(xiàn)漏洞或被加入惡意代碼，那么就會造成系統(tǒng)崩潰。

（3）操作系統(tǒng)某些監(jiān)控進程，總是在等待某些事件的出現(xiàn)。如監(jiān)控病毒的監(jiān)控軟件，其進程可能是好的，當病毒出現(xiàn)時就會被防病毒程序捕捉到。但某些進程是病毒，當碰到特定的情況，它就會把用戶的硬盤格式化，這些進程就是很危險的監(jiān)控進程。

（4）操作系統(tǒng)的后門和漏洞。后門程序是指那些繞過安全控制而獲得對程序或系統(tǒng)訪問權(quán)的程序方法。在軟件開發(fā)階段，程序員利用軟件的后門程序得以便利修改程序設計中的缺陷。一旦后門被黑客利用，或在發(fā)布軟件前沒有刪除后門程序，容易被黑客當成漏洞進行攻擊，造成信息泄密和丟失。

2.TCP/IP協(xié)議缺陷

互聯(lián)網(wǎng)采用TCP/IP協(xié)議，該協(xié)議具有網(wǎng)絡技術獨立、互聯(lián)功能強、支持多種應用協(xié)議等特點，但是由于該協(xié)議在制定時沒有考慮到安全問題，所以TCP/IP協(xié)議本身存在的先天缺陷導致了互聯(lián)網(wǎng)的安全性差。TCP/IP協(xié)議中存在的安全問題主要有：（1）鑒別攻擊；（2）源地址欺騙；（3）源路由選擇欺騙；（4）路由選擇信息協(xié)議攻擊；（5）TCP/IP協(xié)議數(shù)據(jù)流采用明文傳輸，用戶的帳號、密碼都是以明文方式傳輸，因此數(shù)據(jù)信息很容易被在線竊聽、篡改和偽造。

3.垃圾郵件泛濫

垃圾郵件一般是指未經(jīng)用戶許可就強行發(fā)送到用戶郵箱中的電子郵件。垃圾郵件的泛濫已經(jīng)使Internet網(wǎng)絡不堪重負。在網(wǎng)絡中大量垃圾郵件的傳播，侵犯了收件人隱私權(quán)和個人信箱的空間，占用了網(wǎng)絡帶寬，造成服務器擁塞，嚴重影響網(wǎng)絡中信息的傳輸能力，降低了網(wǎng)絡的運行效率。

4.防火墻的局限性

防火墻指的是一個由軟件和硬件設備組合而成，在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障。它只能提供網(wǎng)絡的安全性，不能保證網(wǎng)絡的絕對安全，它也難以防范網(wǎng)絡內(nèi)部的攻擊和病毒的侵犯，它甚至不能保護電腦免受所有那些它能檢測到的攻擊。當今，黑客的攻擊手段不斷更新，每天幾乎都有不同系統(tǒng)安全問題出現(xiàn)。而安全工具的更新速度慢，當它剛發(fā)現(xiàn)并努力更正某方面安全問題時，其他新安全問題又出現(xiàn)了?？傊诳涂偸强梢允褂孟冗M的手段進行攻擊。

三、加強網(wǎng)絡安全防范措施

1.研發(fā)高安全的操作系統(tǒng)

研發(fā)并完善具有高安全的操作系統(tǒng)，不給病毒得以滋生的溫床才能更安全。

（1）建立入網(wǎng)訪問控制功能模塊。入網(wǎng)訪問控制為網(wǎng)絡提供了第一層保護。它規(guī)定可登錄到網(wǎng)絡服務器并獲取網(wǎng)絡資源的用戶條件，并控制用戶入網(wǎng)的時間以及他們在哪臺工作站入網(wǎng)。用戶入網(wǎng)訪問控制可分為3個過程：用戶名的識別與驗證；用戶口令的識別與驗證；用戶賬號的檢查。3個過程中任意一個不能通過，系統(tǒng)就將其視為非法用戶。不能訪問該網(wǎng)絡。

（2）系統(tǒng)軟件應具備以下安全措施：操作系統(tǒng)應有較完善的存取控制功能，以防止用戶越權(quán)存取信息；操作系統(tǒng)應有良好的存儲保護功能。以防止用戶作業(yè)在指定范圍以外的存儲區(qū)域進行讀寫：還應有較完善的管理能力，以記錄系統(tǒng)的運行情況，監(jiān)測對數(shù)據(jù)文件的存取。

2.設置代理服務器，隱藏自己的IP地址

事實上，即便你的機器上被安裝了木馬程序，若沒有你的IP地址，攻擊者也是沒有辦法的，而保護IP地址的最好方法就是設置代理服務器。代理服務器能起到外部網(wǎng)絡申請訪問內(nèi)部網(wǎng)絡的中間轉(zhuǎn)接作用，其功能類似于一個數(shù)據(jù)轉(zhuǎn)發(fā)器，它主要控制哪些用戶能訪問哪些服務類型。當外部網(wǎng)絡向內(nèi)部網(wǎng)絡申請某種網(wǎng)絡服務時，代理服務器接受申請，然后它根據(jù)其服務類型、服務內(nèi)容、被服務的對象、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務，如果接受，它就向內(nèi)部網(wǎng)絡轉(zhuǎn)發(fā)這項請求。

3.保護電子郵件的安全

第一，做好郵箱的選擇?，F(xiàn)在互聯(lián)網(wǎng)上提供的郵箱主要都是免費的，它不提供任何有效的安全保障而且有的免費郵件服務器常常會導致郵件受損。所以，單位用戶應該選用收費郵箱，做好郵件的安全防范。

①保護好郵箱的密碼。不要使用IE的自動完成功能，不要使用保存密碼功能以圖省事，郵箱賬號與口令應該要取得有技巧、有難度，密碼最好能有8位數(shù)，且數(shù)字字母相間，中間還用“*”號之類的允許怪符號。

②對于比較重要的郵件地址不要隨便在網(wǎng)上暴露，將郵件信息加密處理。如使用A-LOCK，在發(fā)送郵件之前對內(nèi)容進行加密。對方收到這種加密信件之后也必須用A-LOCK來進行解密才能閱讀信件。

第二，防止郵件炸彈。下面介紹幾種對付電子郵件炸彈的方法：

①過濾電子郵件。凡可疑的郵件盡量不要隨手打開。如果懷疑郵箱有炸彈，可以用郵件程序的遠程郵箱管理功能來過濾信件。在進行郵箱的遠程管理時，仔細檢查郵件頭信息，如果發(fā)現(xiàn)有來歷有可疑的信件或符合郵件炸彈特征的信件，可以直接把它從郵件服務器上刪除。

②使用轉(zhuǎn)信功能。用戶一般都有幾個郵箱地址。最好申請一個容量較大的郵箱作為收信信箱。對于其他各種信箱，最好支持轉(zhuǎn)信功能的，并設置轉(zhuǎn)信到大信箱。所有其他郵件地址的信件都會自動轉(zhuǎn)寄到大信箱內(nèi)，可以很好地起到保護信箱不被郵件炸彈攻擊的作用。

③使用殺毒軟件。一是有附件的郵件，不要立即打開，而是先保存在本地硬盤上，然后用最新版本的殺毒軟件先行查殺，確保無安全威脅后才可以打開。二是注意目前網(wǎng)上有一些別有用心的人以網(wǎng)站的名義，讓你接受他們通過郵件附件推給你的軟件,并以種種借口要求你立即執(zhí)行。對此，凡是發(fā)過來的任何程序、甚至文檔都應用最新版本殺毒軟件進行查殺。

4.保障下載軟件的安全

對于網(wǎng)絡軟件，網(wǎng)上大多數(shù)的信息都是干凈的，但有的黑客和“網(wǎng)絡恐怖分子”利用各種方法在網(wǎng)上擴散病毒、木馬等，而且手段十分狡猾、隱蔽，因此我們對下載軟件絕不可大意，下載時應注意：

①應選擇在訪問流量最大的專業(yè)站點中下載應用軟件。大型的專業(yè)站點，資金雄厚，技術成熟，水平較高，信譽較佳，設有專人維護，安全性能好，提供的軟件問題較少。

②從網(wǎng)上下載的軟件要進行殺毒處理。對下載的任何軟件，不要立即使用，而應先用殺毒軟件檢測并進行殺毒處理。殺毒軟件的病毒特征庫應始終保持最新版本，最好每周升級一次，或設置為自動升級。

③防止染上“木馬”。一旦染上“木馬”病毒，它就會給你的操作系統(tǒng)留下用戶不知的后門，為黑客攻擊計算打開了方便之門。最簡單有效的預防措施是，避免啟動服務器端。刪除“木馬”病毒的具體操作是，先打開注冊表，獲取“木馬”病毒的裝入信息，找出S端程序放于何處，然后在注冊表中的將“木馬”配置鍵刪掉，重新啟動計算機，再將該程序徹底刪除掉。

5.建立反黑客的“快速反應部隊”

任何網(wǎng)站都不是絕對安全的，所以當前工作的重點是要建立一支反黑客的“快速反應部隊”，同時加緊培養(yǎng)高水平的網(wǎng)絡系統(tǒng)管理員，使他們盡快掌握那些關鍵技術和管理知識，盡量使用網(wǎng)絡偵聽工具，該工具可以監(jiān)視網(wǎng)絡的狀態(tài)、數(shù)據(jù)流動情況及網(wǎng)絡上傳輸?shù)男畔?。網(wǎng)絡偵聽可以在網(wǎng)絡上的任何一個位置實施，如局域網(wǎng)中的一臺主機、網(wǎng)關上或遠程網(wǎng)的調(diào)制解調(diào)器之間等。黑客們用得最多的是截獲用戶的口令。在網(wǎng)絡上，偵聽效果最好的地方是在網(wǎng)關、路由器、防火墻一類的設備處，通常由網(wǎng)絡管理員來操作。

總之，計算機網(wǎng)絡安全是一項復雜的系統(tǒng)工程，它的維護需要多主體的共同參與，而且要從事前預防、事中監(jiān)控、事后彌補三方面入手，在具體工作中還需要根據(jù)網(wǎng)絡的實際情況做出細致而全面的有效安全防范措施，建立備份和恢復機制，制定相應的安全標準，才能更有效地確保計算機網(wǎng)絡的安全性，使網(wǎng)絡系統(tǒng)更安全更高效地為大家提供便捷的網(wǎng)絡服務。

[1]馬時來.計算機網(wǎng)絡實用技術教程.清華大學出版社,2004,2.

[2]龍冬陽.網(wǎng)絡安全技術及應用.廣州:華南理工大學出版社,2006.

[3]謝希仁.計算機網(wǎng)絡（第 5版）[M].北京：電子工業(yè)出版社,2008.

[4]王群.計算機網(wǎng)絡安全技術.清華大學出版社,2008,7.