羅云霄

四川省通信產(chǎn)業(yè)服務(wù)有限公司科技分公司

?

計算機(jī)網(wǎng)絡(luò)安全威脅及防范策略初探

羅云霄

四川省通信產(chǎn)業(yè)服務(wù)有限公司科技分公司

摘要：本文分析了影響計算機(jī)網(wǎng)絡(luò)安全的主要因素，從管理和技術(shù)兩方面就加強(qiáng)計算機(jī)網(wǎng)絡(luò)安全提出了防范策略的建議。

計算機(jī)網(wǎng)絡(luò)大大增強(qiáng)信息服務(wù)靈活性，但具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征，致使網(wǎng)絡(luò)易受黑客、惡意軟件和其他不軌的攻擊。如何更有效地保護(hù)重要的信息數(shù)據(jù)、提高計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性，對企業(yè)、政府乃至整個國家，顯得尤其重要。

本文通過分析網(wǎng)絡(luò)安全面臨的主要威脅，從管理和技術(shù)兩方面就加強(qiáng)計算機(jī)網(wǎng)絡(luò)安全提出針對性建議。

1　影響網(wǎng)絡(luò)安全的主要因素

1.1網(wǎng)絡(luò)系統(tǒng)本身的缺陷

(1)TCP／IP協(xié)議

目前網(wǎng)絡(luò)環(huán)境中廣泛采用的TCP／IP協(xié)議，因為其開放性，大量重要的應(yīng)用程序都以TCP作為它們的傳輸層協(xié)議，因此TCP的安全性問題會給網(wǎng)絡(luò)帶來嚴(yán)重的后果。

(2)網(wǎng)絡(luò)結(jié)構(gòu)

互聯(lián)網(wǎng)是由無數(shù)個局域網(wǎng)連成的巨大網(wǎng)絡(luò)組成。當(dāng)一臺主機(jī)和另一局域網(wǎng)的主機(jī)進(jìn)行通信時，它們之間互相傳送的數(shù)據(jù)流要經(jīng)過很多設(shè)備的重重轉(zhuǎn)發(fā)；任何兩個節(jié)點(diǎn)之間的通信數(shù)據(jù)包，既被這兩個節(jié)點(diǎn)的網(wǎng)卡所接收，也同時被處在同一以太網(wǎng)上的任何一個節(jié)點(diǎn)的網(wǎng)卡所截取。因此，黑客只要接入以太網(wǎng)上的任一節(jié)點(diǎn)進(jìn)行偵測，就可以捕獲發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包，對其進(jìn)行解包分析，從而竊取關(guān)鍵信息。互聯(lián)網(wǎng)上大多數(shù)數(shù)據(jù)流都沒有進(jìn)行加密，因此黑客利用工具很容易對網(wǎng)上的電子郵件、口令和傳輸?shù)奈募M(jìn)行破解。

(3)安全策略

許多局域網(wǎng)在防火墻配置上無意識地擴(kuò)大了訪問權(quán)限，忽視了這些權(quán)限可能會被其他人員濫用；訪問控制配置的復(fù)雜性，容易導(dǎo)致配置錯誤，從而給他人以可乘之機(jī)；有些小型網(wǎng)絡(luò)基于成本考慮，直接以路由器代替防火墻。

1.2來自網(wǎng)內(nèi)用戶的安全威脅

來自網(wǎng)絡(luò)內(nèi)部用戶的安全威脅遠(yuǎn)大于外部網(wǎng)用戶的安全威脅。如操作口令的泄漏，磁盤上的機(jī)密文件被人利用，臨時文件未及時刪除而被竊取，內(nèi)部用戶下載安裝帶有木馬的軟件，這些給黑客帶來可乘之機(jī)，都可能使網(wǎng)絡(luò)安全機(jī)制形同虛設(shè)。

2　加強(qiáng)計算機(jī)網(wǎng)絡(luò)安全的主要策略

計算機(jī)網(wǎng)絡(luò)安全的實(shí)現(xiàn)，可以從兩方面入手，一是建立科學(xué)的管理制度，二是運(yùn)用先進(jìn)的各種網(wǎng)絡(luò)安全技術(shù)。從技術(shù)上來說，目前成熟的網(wǎng)絡(luò)安全技術(shù)主要有：防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、入侵檢測技術(shù)、防病毒技術(shù)等。

2.1加強(qiáng)網(wǎng)絡(luò)安全管理和教育

據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《互聯(lián)網(wǎng)站從事登載新聞業(yè)務(wù)管理暫行規(guī)定》和《中國互聯(lián)網(wǎng)絡(luò)域名注冊暫行管理辦法》，建立健全各種安全機(jī)制、各種網(wǎng)絡(luò)安全制度，加強(qiáng)網(wǎng)絡(luò)安全教育和培訓(xùn)。

2.2運(yùn)用先進(jìn)的網(wǎng)絡(luò)安全技術(shù)

(1)防火墻技術(shù)。

在被保護(hù)網(wǎng)絡(luò)周邊建立的用于分隔被保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的系統(tǒng)。一方面阻止外界對內(nèi)部網(wǎng)絡(luò)資源的非法訪問，另一方面也可以防止系統(tǒng)內(nèi)部對外部系統(tǒng)的不安全訪問。實(shí)現(xiàn)防火墻的主要技術(shù)有：數(shù)據(jù)包過濾、應(yīng)用級網(wǎng)關(guān)、代理服務(wù)和地址轉(zhuǎn)換。防火墻的應(yīng)用可最大限度地保障網(wǎng)絡(luò)的正常運(yùn)行，可以提高內(nèi)部網(wǎng)絡(luò)的安全性、強(qiáng)化網(wǎng)絡(luò)安全策略、防止內(nèi)部信息泄漏、網(wǎng)絡(luò)防毒、信息加密、存儲通信、授權(quán)、認(rèn)證等重要作用。

(2)網(wǎng)絡(luò)加密技術(shù)。

網(wǎng)絡(luò)信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。加密數(shù)據(jù)傳輸主要有三種：

①鏈接加密。在網(wǎng)絡(luò)節(jié)點(diǎn)間加密，在節(jié)點(diǎn)間傳輸加密的信息，傳送到節(jié)點(diǎn)后解密，不同節(jié)點(diǎn)間用不同的密碼。

②節(jié)點(diǎn)加密。與鏈接加密類似，不同的只是當(dāng)數(shù)據(jù)在節(jié)點(diǎn)間傳送時，不用明碼格式傳送，而是用特殊的加密硬件進(jìn)行解密和重加密，這種專用硬件通常放置在安全保險箱中。

③首尾加密。對進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)加密，然后待數(shù)據(jù)從網(wǎng)絡(luò)傳送出后再進(jìn)行解密。網(wǎng)絡(luò)的加密技術(shù)很多，在實(shí)際應(yīng)用中，人們通常根據(jù)各種加密算法結(jié)合在一起使用，這樣可以更加有效地加強(qiáng)網(wǎng)絡(luò)的完全性。網(wǎng)絡(luò)加密技術(shù)也是網(wǎng)絡(luò)安全最有效的技術(shù)之一。既可以對付惡意軟件攻擊，又可以防止非授權(quán)用戶的訪問。

(3)入侵檢測技術(shù)。

入侵檢測系統(tǒng)可以分為兩類，分別基于網(wǎng)絡(luò)和基于主機(jī)?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)主要采用被動方法收集網(wǎng)絡(luò)上的數(shù)據(jù)。目前，在實(shí)際環(huán)境中應(yīng)用較多的是基于主機(jī)的入侵檢測系統(tǒng)，它把監(jiān)測器以軟件模塊的形式直接安插在了受管服務(wù)器的內(nèi)部，它除了繼續(xù)保持基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的功能和優(yōu)點(diǎn)外，可以不受網(wǎng)絡(luò)協(xié)議、速率和加密的影響，直接針對主機(jī)和內(nèi)部的信息系統(tǒng)，同時還具有基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)所不具備的檢查特洛伊木馬、監(jiān)視特定用戶、監(jiān)視與誤操作相關(guān)的行為變化等功能。有的入侵檢測設(shè)備可以同防火強(qiáng)進(jìn)行聯(lián)動設(shè)置。

(4)防病毒技術(shù)。

隨著計算機(jī)技術(shù)的不斷發(fā)展，計算機(jī)病毒變得越來越復(fù)雜和高級，擴(kuò)散速度也越來越快，對計算機(jī)網(wǎng)絡(luò)構(gòu)成極大的威脅。在病毒防范中普遍使用的防病毒軟件，從功能上可以分為網(wǎng)絡(luò)防病毒軟件和單機(jī)防病毒軟件兩大類。單機(jī)防病毒軟件一般安裝在單臺PC上，它們主要注重于所謂的“單機(jī)防病毒”，即對本地和本工作站連接的遠(yuǎn)程資源采用分析掃描的方式檢測、清除病毒。網(wǎng)絡(luò)防病毒軟件則主要注重網(wǎng)絡(luò)防病毒，一旦病毒入侵網(wǎng)絡(luò)或者從網(wǎng)絡(luò)向其它資源感染，網(wǎng)絡(luò)防病毒軟件會立刻檢測到并加以刪除。

總之，網(wǎng)絡(luò)安全是一個綜合性的系統(tǒng)工程，涉及技術(shù)、管理、使用等諸多方面，既包括信息系統(tǒng)本身的安全問題，也有物理和邏輯的技術(shù)措施，也應(yīng)注重樹立人的計算機(jī)安全意識，才可能防微杜漸。因此，只有綜合采取多種防范措施，制定嚴(yán)格的保密政策和明晰的安全策略，才能為網(wǎng)絡(luò)提供強(qiáng)大的安全保證。

關(guān)鍵字：上網(wǎng)方式 共享上網(wǎng) 網(wǎng)卡 路由囂