劉戰(zhàn)偉

摘 要 計算機處理業(yè)務(wù)已由單機的數(shù)學(xué)運算、文件處理，簡單連結(jié)的內(nèi)部網(wǎng)絡(luò)及辦公自動化發(fā)展為復(fù)雜的內(nèi)部網(wǎng)、外部網(wǎng)乃至全球互聯(lián)網(wǎng)的信息共享和業(yè)務(wù)處理。然而在互通能力提高的同時，網(wǎng)絡(luò)的安全問題也日益突出。本文就此作了簡要探討。

關(guān)鍵字 網(wǎng)絡(luò)安全 防火墻技術(shù) 防御體系

中圖分類號：TP393 文獻標(biāo)識碼：A

Internet的開放性導(dǎo)致了網(wǎng)絡(luò)環(huán)境下的計算機信息安全問題，各種安全工具也應(yīng)運而生。然而，矛與盾的交鋒似乎永無止境。例如防火墻是一種有效的安全工具，它可以隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，限制訪問，但是對于內(nèi)部網(wǎng)絡(luò)之間的訪問，防火墻往往無能為力。因此，對于內(nèi)外勾結(jié)的入侵行為，防火墻是很難發(fā)覺和防范的。另外，一個安全工具能不能實現(xiàn)預(yù)期目標(biāo)，很大程度上取決于使用者，包括系統(tǒng)管理者和普通用戶，因為不正確的設(shè)置就會產(chǎn)生不安全因素。例如，NT在進行合理的設(shè)置后可以達到C2級的安全性，但很少有人能夠?qū)T本身的安全策略進行合理的設(shè)置。雖然在這方面可以通過靜態(tài)掃描工具來檢測系統(tǒng)是否進行了合理的設(shè)置，但是這些掃描工具基本上也只是基于一種缺省的系統(tǒng)安全策略進行比較，針對具體的應(yīng)用環(huán)境和專門的應(yīng)用需求就很難判斷設(shè)置的正確性。

其次，系統(tǒng)的后門是傳統(tǒng)安全工具難于顧及到的地方。多數(shù)情況下，入侵行為可以經(jīng)過防火墻而很難被察覺；比如ASP源碼問題，它是IIS服務(wù)的設(shè)計者留下的一個后門，任何人都可以使用瀏覽器從網(wǎng)絡(luò)上方便地調(diào)出ASP程序的源碼，從而收集系統(tǒng)信息，進而對系統(tǒng)實施攻擊。對于這類入侵行為，防火墻是無法發(fā)覺的，因為對于防火墻來說，該入侵行為的訪問過程和正常的WEB訪問是相似的，唯一區(qū)別是入侵訪問在請求鏈接中多加了一個后綴。

隨著網(wǎng)絡(luò)的發(fā)展，黑客的攻擊手段也在不斷更新，幾乎每天都有不同系統(tǒng)安全問題出現(xiàn)。然而安全工具的更新速度似乎跟不上，絕大多數(shù)是病毒發(fā)現(xiàn)后才能采取對策。甚至當(dāng)安全工具剛發(fā)現(xiàn)并努力更正某方面的不足時，新的安全問題又出現(xiàn)了。這也是矛與盾相互較量永無休止的一個因素。

在網(wǎng)絡(luò)環(huán)境下，病毒傳播擴散更快，僅用單機防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒，必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。例如政府機關(guān)內(nèi)部局域網(wǎng)，就需要一個基于服務(wù)器操作系統(tǒng)平臺的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。如果與互聯(lián)網(wǎng)相連，就需要網(wǎng)關(guān)的防病毒軟件，以加強上網(wǎng)計算機的安全。如果在網(wǎng)絡(luò)內(nèi)部使用電子郵件進行信息交換，還需要一套基于郵件服務(wù)器平臺的郵件防病毒軟件，識別出隱藏在電子郵件和附件中的病毒。所以最好使用全方位的防病毒產(chǎn)品，針對網(wǎng)絡(luò)中所有可能的病毒攻擊點設(shè)置對應(yīng)的防病毒軟件，通過全方位、多層次的防病毒系統(tǒng)的配置，通過定期或不定期的自動升級，使網(wǎng)絡(luò)免受病毒的侵襲。

利用防火墻可以在網(wǎng)絡(luò)通訊時執(zhí)行一種訪問控制尺度，允許防火墻同意訪問的人與數(shù)據(jù)進入自己的內(nèi)部網(wǎng)絡(luò)，同時將不允許的用戶與數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問自己的網(wǎng)絡(luò)，防止他們隨意更改、移動甚至刪除網(wǎng)絡(luò)上的重要信息。防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機制，防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部，所以，防火墻是網(wǎng)絡(luò)安全的重要一環(huán)。

入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。在入侵檢測系統(tǒng)中利用審計記錄，入侵檢測系統(tǒng)能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統(tǒng)的安全。在內(nèi)部網(wǎng)絡(luò)中采用入侵檢測技術(shù)，最好采用混合入侵檢測，在網(wǎng)絡(luò)中同時采用基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng)，構(gòu)架成一套完整立體的主動防御體系。

此外，在網(wǎng)絡(luò)的www服務(wù)器、Email服務(wù)器等中使用網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)，實時跟蹤、監(jiān)視網(wǎng)絡(luò)， 截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容，并將其還原成完整的www、Email、FTP、Telnet應(yīng)用的內(nèi)容 ，建立保存相應(yīng)記錄的數(shù)據(jù)庫。

解決網(wǎng)絡(luò)層安全問題，首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患以及薄弱點。面對大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況，僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗尋找安全漏洞、做出風(fēng)險評估，顯然是不現(xiàn)實的。解決的方案是，尋找一種能查找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò) 安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下，可以利用各種黑客工具，對網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞，以便采用相應(yīng)對策。

對于網(wǎng)絡(luò)外部的入侵可以通過安裝防火墻來解決，但是對于網(wǎng)絡(luò)內(nèi)部的侵襲則無能為力。在這種情況下，我們可以采用對各個子網(wǎng)做一個具有一定功能的審計文件，為管理人員分析自己的網(wǎng)絡(luò)運作狀態(tài)提供依據(jù)。也可設(shè)計一個子網(wǎng)專用的監(jiān)聽程序，長期監(jiān)聽子網(wǎng)絡(luò)內(nèi)計算機間相互聯(lián)系的情況，為系統(tǒng)中各個服務(wù)器的審計文件提供備份。網(wǎng)絡(luò)安全是一個系統(tǒng)的工程，不能僅僅依靠防火墻等單個的系統(tǒng)，而需要仔細考慮業(yè)務(wù)特點以及系統(tǒng)的安全需求，并將各種安全技術(shù)，如密碼技術(shù)等結(jié)合在一起，才能生成一個高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。只是，網(wǎng)絡(luò)的應(yīng)用已經(jīng)普及到每一個行業(yè)與部門，包括個人用戶，因此，網(wǎng)絡(luò)安全技術(shù)已經(jīng)成為必不可少的重要條件，在這方面，要做的努力也將永無止境。