惠小倩 中國(guó)人民解放軍91918部隊(duì)

淺論計(jì)算機(jī)網(wǎng)絡(luò)安全

惠小倩 中國(guó)人民解放軍91918部隊(duì)

如今社會(huì)效率極高之重要原因是使用了計(jì)算機(jī)網(wǎng)絡(luò)，而享受高效率的同時(shí)也越發(fā)對(duì)網(wǎng)絡(luò)存在著依賴(lài)性。因此，在技術(shù)進(jìn)步，網(wǎng)民數(shù)量急劇增長(zhǎng)的今天，研究計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題十分必要，意義重大。

計(jì)算機(jī) 網(wǎng)絡(luò)安全 策略 技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施，保證在一個(gè)網(wǎng)絡(luò)環(huán)境里，數(shù)據(jù)的保密性、完整性及可使用性受到保護(hù)。計(jì)算機(jī)網(wǎng)絡(luò)安全包括兩個(gè)方面，即物理安全和羅輯安全。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù)，免于破壞、丟失等。羅輯安全包括信息的完整性、保密性和可用性。

籠統(tǒng)來(lái)講，計(jì)算機(jī)安全隱患分為人為和非人為兩大類(lèi)。例如操作系統(tǒng)自身具有的安全隱患即屬于非人為因素。雖然非人為因素的安全隱患我們避免不了，可人為因素有時(shí)候可能會(huì)給我們帶來(lái)更大的威脅?！昂诳汀本褪顷U述由于人為因素造成網(wǎng)絡(luò)安全問(wèn)題的最典型的名詞。

下面就幾種常見(jiàn)的網(wǎng)絡(luò)安全問(wèn)題及應(yīng)對(duì)策略和相關(guān)技術(shù)做以簡(jiǎn)單討論：

1 網(wǎng)絡(luò)安全問(wèn)題方面

1.1 病毒安全問(wèn)題

計(jì)算機(jī)病毒是人為（通常是網(wǎng)絡(luò)黑客）編制的，能自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼，能對(duì)計(jì)算機(jī)功能或者數(shù)據(jù)造成毀壞。在網(wǎng)絡(luò)環(huán)境中，病毒具有更多的傳播途徑和更大的破壞能力，給計(jì)算機(jī)網(wǎng)絡(luò)安全造成巨大威脅，導(dǎo)致感染病毒的計(jì)算機(jī)運(yùn)行越來(lái)越慢，甚至癱瘓，嚴(yán)重影響用戶(hù)正常使用。

1.2 TCP/IP協(xié)議的安全問(wèn)題

在廣泛采用TCP/IP協(xié)議的網(wǎng)絡(luò)環(huán)境中異種網(wǎng)絡(luò)之間的相互通信造就了其開(kāi)放性。這也意味著TCP/IP協(xié)議本身存在著安全風(fēng)險(xiǎn)。由于TCP作為大量重要應(yīng)用程序的傳輸層協(xié)議，因此它的安全性問(wèn)題會(huì)給網(wǎng)絡(luò)帶來(lái)嚴(yán)重的后果。

1.3 路由器等網(wǎng)絡(luò)設(shè)備的安全問(wèn)題

網(wǎng)絡(luò)內(nèi)外部之間的通信必須依賴(lài)路由器這個(gè)關(guān)鍵設(shè)備，因?yàn)樗械木W(wǎng)絡(luò)攻擊也都經(jīng)過(guò)此設(shè)備。有時(shí)攻擊是利用路由器本身的設(shè)計(jì)缺陷進(jìn)行的，而有時(shí)就通過(guò)對(duì)路由器設(shè)置的篡改直接展開(kāi)了。

1.4 網(wǎng)絡(luò)結(jié)構(gòu)的安全問(wèn)題

一般用戶(hù)在進(jìn)行網(wǎng)絡(luò)通信時(shí)采用的是網(wǎng)間網(wǎng)技術(shù)支持，而屬于不同網(wǎng)絡(luò)之間的主機(jī)進(jìn)行通信時(shí)都有網(wǎng)絡(luò)風(fēng)暴的問(wèn)題，相互傳送的數(shù)據(jù)都會(huì)經(jīng)過(guò)多臺(tái)機(jī)器的重重轉(zhuǎn)發(fā)。在這種“開(kāi)放性”的環(huán)境中，“黑客”可對(duì)通信網(wǎng)絡(luò)中任意節(jié)點(diǎn)進(jìn)行偵測(cè)，截取相應(yīng)未加密的數(shù)據(jù)包。例如常見(jiàn)的有對(duì)網(wǎng)絡(luò)電子郵件的破解等。

2 網(wǎng)絡(luò)安全應(yīng)對(duì)策略問(wèn)題

①建立入網(wǎng)訪問(wèn)模塊和網(wǎng)絡(luò)的權(quán)限控制模塊，為網(wǎng)絡(luò)提供第一層訪問(wèn)控制并針對(duì)網(wǎng)絡(luò)非法操作提出安全保護(hù)措施。

②實(shí)行檔案信息加密制度并建立網(wǎng)絡(luò)智能型日志系統(tǒng)，做好數(shù)據(jù)的保密工作，使日志系統(tǒng)具備綜合性數(shù)據(jù)記錄功能和自動(dòng)份類(lèi)檢索能力。

③建立備份和恢復(fù)機(jī)制，避免因一些硬件設(shè)備的損壞或操作系統(tǒng)出現(xiàn)異常等原因而引起麻煩或損失。

④建立網(wǎng)絡(luò)安全管理制度，加強(qiáng)網(wǎng)絡(luò)的安全管理，指定有關(guān)規(guī)章制度。

1.4 統(tǒng)計(jì)學(xué)方法 所有數(shù)據(jù)采用SPSS 21.0軟件包進(jìn)行統(tǒng)計(jì)分析，計(jì)數(shù)資料采用χ2檢驗(yàn)，計(jì)量資料采用表示，組間整體比較采用重復(fù)測(cè)量方差分析，各時(shí)間點(diǎn)組間比較采用獨(dú)立t檢驗(yàn)，組內(nèi)前后比較采用配對(duì)t檢驗(yàn)。P<0.05表示差異有統(tǒng)計(jì)學(xué)意義。

⑤對(duì)網(wǎng)絡(luò)進(jìn)行分段并劃分VLAN，使非法用戶(hù)和敏感的網(wǎng)絡(luò)資源相互隔離，并克服以太網(wǎng)廣播問(wèn)題。

3 網(wǎng)絡(luò)安全相關(guān)技術(shù)

網(wǎng)絡(luò)安全技術(shù)是一個(gè)十分復(fù)雜的系統(tǒng)工程。網(wǎng)絡(luò)安全的保障來(lái)源于安全策略和技術(shù)的多樣化及其快速的更新。從技術(shù)上來(lái)說(shuō)，網(wǎng)絡(luò)安全由安全的操作系統(tǒng)、安全的應(yīng)用系統(tǒng)、防病毒、防火墻、入侵檢測(cè)、網(wǎng)絡(luò)監(jiān)控、信息審計(jì)、通信加密、災(zāi)難恢復(fù)、安全掃描等多個(gè)安全組件組成，一個(gè)單獨(dú)的組件無(wú)法確保信息網(wǎng)絡(luò)的安全性。目前成熟的網(wǎng)絡(luò)安全技術(shù)主要有：防火墻技術(shù)、防病毒技術(shù)、數(shù)據(jù)加密技術(shù)等。

3.1 防火墻技術(shù)

防火墻是一個(gè)或一組在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行訪問(wèn)控制策略的系統(tǒng)，包括硬件和軟件，目的是保護(hù)網(wǎng)絡(luò)不被可疑人侵?jǐn)_。防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略。通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件配置在防火墻上，其次對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)。如果所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作是，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到檢測(cè)和攻擊的詳細(xì)信息。再次防止內(nèi)部信息的外泄。利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可以實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而降低了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。

在選擇防火墻時(shí)，雖然無(wú)法考量其設(shè)計(jì)的合理性，但我們可以選擇一個(gè)通過(guò)多加權(quán)威認(rèn)證機(jī)構(gòu)測(cè)試的產(chǎn)品來(lái)保證其安全性。目前的防火墻產(chǎn)品有包過(guò)濾路由器、應(yīng)用層網(wǎng)關(guān)(代理服務(wù)器)、屏蔽主機(jī)防火墻等。最常用的要數(shù)代理服務(wù)器了。

3.2 防病毒技術(shù)

目前數(shù)據(jù)安全的頭號(hào)大敵就是計(jì)算機(jī)病毒。它具有傳播性、隱蔽性、破壞性和潛伏性等共性。我們常用的殺毒軟件有驅(qū)逐艦網(wǎng)絡(luò)版殺毒軟件、趨勢(shì)網(wǎng)絡(luò)版殺毒軟件、卡巴斯基網(wǎng)絡(luò)版殺毒軟件等。網(wǎng)絡(luò)防病毒軟件主要注重網(wǎng)絡(luò)防病毒，一旦病毒入侵網(wǎng)絡(luò)或者從網(wǎng)絡(luò)向其它資源感染，網(wǎng)絡(luò)防病毒軟件會(huì)立刻檢測(cè)到并加以刪除。

3.3 數(shù)據(jù)加密技術(shù)

（1）對(duì)稱(chēng)加密技術(shù)

對(duì)稱(chēng)加密是常規(guī)的以口令為基礎(chǔ)的技術(shù)，加密密鑰與解密密鑰是相同的或者可以由其中一個(gè)推知另一個(gè)，這種加密方法可以簡(jiǎn)化加密處理過(guò)程，信息交換雙方都不必彼此研究和交換專(zhuān)用的加密算法。如果在交換階段私有密鑰未曾泄露，那么機(jī)密性和報(bào)文完整性就可以得以保證。

（2）非對(duì)稱(chēng)加密/公開(kāi)密鑰加密

在非加密體系中，密鑰被分解為一對(duì)（即公開(kāi)密鑰和私有密鑰。這對(duì)密鑰中任何一把都可以作為公開(kāi)密鑰通過(guò)非保密方式向他人公開(kāi)，而另一把作為私有密鑰加以保存。公開(kāi)密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開(kāi)密鑰可以廣泛公布，但它只對(duì)應(yīng)生成密鑰的交換方。

加密方式可以使通信雙方無(wú)須事先交換密鑰就可以建立安全通信，廣泛應(yīng)用于身份認(rèn)證、數(shù)字簽名等信息交換領(lǐng)域。

除此之外，我們也要自我建立網(wǎng)上行為管理系統(tǒng)，控制P2P，BT等下載，防范惡意代碼，間諜軟件；控制管理及時(shí)通訊工具的使用及其附件管理；防范網(wǎng)站或品牌被釣魚(yú)或惡意代碼攻擊并發(fā)出警告；提供網(wǎng)頁(yè)服務(wù)器的安全漏洞和風(fēng)險(xiǎn)分析，提供數(shù)據(jù)庫(kù)及時(shí)的更新等。

計(jì)算機(jī)網(wǎng)絡(luò)安全不是僅有很好的網(wǎng)絡(luò)安全設(shè)計(jì)方案就能解決一切問(wèn)題，還必須由很好的網(wǎng)絡(luò)安全的組織機(jī)構(gòu)和管理制度來(lái)保證。我們只有依靠殺毒軟件、防火墻和漏洞檢測(cè)等設(shè)備保護(hù)的同時(shí)注重樹(shù)立人的安全意識(shí)，并在安全管理人員的幫助下才能真正享受到網(wǎng)絡(luò)帶來(lái)的便利。

[1]Mandy Andress.計(jì)算機(jī)安全原理[M].機(jī)械工業(yè)出版社,2002

[2]陳愛(ài)民,等.計(jì)算機(jī)安全與保密[M].北京：電子工業(yè)出版社,1992

[3]時(shí)炳艷,楊建軍.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)——防火墻.鄭州工業(yè)高等專(zhuān)科學(xué)校學(xué)報(bào)2002.3

[4]魏利華.網(wǎng)絡(luò)安全：防火墻技術(shù)研究淮陰工業(yè)學(xué)院學(xué)報(bào)2003.10

[5]郝玉潔,常征.網(wǎng)絡(luò)安全與防火墻技術(shù)電子科技大學(xué)學(xué)報(bào)社科版2002.1

[6]葉丹.網(wǎng)絡(luò)安全實(shí)用技術(shù)清華大學(xué)出版社.2002.10