[論文提要] 近年來計算機網絡獲得了飛速的發展,網絡安全問題也隨之成為人們關註的焦點。本文分析了影響網絡安全的主要因素,重點闡述了幾種常用的網絡信息安全技術。
計算機網絡安全是指利用網絡管理控制和技術措施,保證在壹個網絡環境裏,數據的保密性、完整性及可使用性受到保護。計算機網絡安全包括兩個方面,即物理安全和邏輯安全。物理安全指系統設備及相關設施受到物理保護,免於破壞、丟失等。邏輯安全包括信息的完整性、保密性和可用性。
隨著計算機網絡的不斷發展,全球信息化已成為人類發展的大趨勢。但由於計算機網絡具有聯結形式多樣性、互連性等特征,加上安全機制的缺乏和防護意識不強,致使網絡易受黑客、惡意軟件和其他不軌行為的攻擊,所以網絡信息的安全和保密是壹個至關重要的問題。
壹、威脅網絡安全的主要因素
影響計算機網絡安全的因素有很多,威脅網絡安全則主要來自人為的無意失誤、人為的惡意功擊和網絡軟件系統的漏洞以及“後門”三個方面的因素,歸納起來如下:
1.應用系統和軟件安全漏洞。WEB服務器和瀏覽器難以保障安全,最初人們引入CGI程序目的是讓主頁活起來,然而很多人在編CGI程序時對軟件包並不十分了解,多數人不是新編程序,而是對程序加以適當的修改,這樣壹來,很多CGI程序就難免具有相同安全漏洞。且每個操作系統或網絡軟件的出現都不可能是完美無缺,因此始終處於壹個危險的境地,壹旦連接入網,就有可能成為功擊對象。
2.安全策略。安全配置不當造成安全漏洞,例如:防火墻軟件的配置不正確,那麽它根本不起作用。許多站點在防火墻配置上無意識地擴大了訪問權限,忽視了這些權限可能會被其他人員濫用。網絡入侵的目的主要是取得使用系統的存儲權限、寫權限以及訪問其他存儲內容的權限,或者是作為進壹步進入其他系統的跳板,或者惡意破壞這個系統,使其毀壞而喪失服務能力。對特定的網絡應用程序,當它啟動時,就打開了壹系列的安全缺口,許多與該軟件捆綁在壹起的應用軟件也會被啟用。除非用戶禁止該程序或對其進行正確配置,否則,安全隱患始終存在。
3.後門和木馬程序。在計算機系統中,後門是指軟、硬件制作者為了進行非授權訪問而在程序中故意設置的訪問口令,但也由於後門的存大,對處於網絡中的計算機系統構成潛在的嚴重威脅。木馬是壹類特殊的後門程序,是壹種基於遠程控制的黑客工具,具有隱蔽性和非授權性的特點;如果壹臺電腦被安裝了木馬服務器程序,那麽黑客就可以使用木馬控制器程序進入這臺電腦,通過命令服務器程序達到控制電腦目的。
4.病毒。目前數據安全的頭號大敵是計算機病毒,它是編制者在計算機程序中插入的破壞計算機功能或數據,影響硬件的正常運行並且能夠自我復制的壹組計算機指令或程序代碼。它具有病毒的壹些***性,如:傳播性、隱蔽性、破壞性和潛伏性等等,同時具有自己的壹些特征,如:不利用文件寄生(有的只存在於內存中),對網絡造成拒絕服務以及和黑客技術相結合等。
5.黑客。黑客通常是程序設計人員,他們掌握著有關操作系統和編程語言的高級知識,並利用系統中的安全漏洞非法進入他人計算機系統,其危害性非常大。從某種意義上講,黑客對信息安全的危害甚至比壹般的電腦病毒更為嚴重。
二、常用的網絡安全技術
1.殺毒軟件技術。殺毒軟件是我們計算機中最為常見的軟件,也是用得最為普通的安全技術方案,因為這種技術實現起來最為簡單,但我們都知道殺毒軟件的主要功能就是殺毒,功能比較有限,不能完全滿足網絡安全的需要。這種方式對於個人用戶或小企業基本能滿足需要,但如果個人或企業有電子商務方面的需求,就不能完全滿足了,值得欣慰的是隨著殺毒軟件技術的不斷發展,現在的主流殺毒軟件同時對預防木馬及其它的壹些黑客程序的入侵有不錯的效果。還有的殺毒軟件開發商同時提供了軟件防火墻,具有了壹定防火墻功能,在壹定程度上能起到硬件防火墻的功效,如:360、金山防火墻和Norton防火墻等。 2.防火墻技術。防火墻技術是指網絡之間通過預定義的安全策略,對內外網通信強制實施訪問控制的安全應用措施。防火墻如果從實現方式上來分,又分為硬件防火墻和軟件防火墻兩類,我們通常意義上講的硬防火墻為硬件防火墻,它是通過硬件和軟件的結合來達到隔離內外部網絡的目的,價格較貴,但效果較好,壹般小型企業和個人很難實現;軟件防火墻它是通過純軟件的方式來達到,價格很便宜,但這類防火墻只能通過壹定的規則來達到限制壹些非法用戶訪問內部網的目的。然而,防火墻也並非人們想象的那樣不可滲透。在過去的統計中曾遭受過黑客入侵的網絡用戶有三分之壹是有防火墻保護的,也就是說要保證網絡信息的安全還必須有其他壹系列措施,例如:對數據進行加密處理。需要說明的是防火墻只能抵禦來自外部網絡的侵擾,而對企業內部網絡的安全卻無能為力,要保證企業內部網的安全,還需通過對內部網絡的有效控制和來實現。
3.數據加密技術。與防火墻配合使用的安全技術還有文件加密與數字簽名技術,它是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部竊取,偵聽或破壞所采用的主要技術手段之壹。按作用不同,文件加密和數字簽名技術主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術四種。數據存儲加密技術是以防止在存儲環節上的數據失密為目的,可分為密文存儲和存取控制兩種;數據傳輸加密技術的目的是對傳輸中的數據流加密,常用的有線路加密和端口加密兩種方法;數據完整性鑒別技術的目的是對介入信息的傳送、存取、處理人的身份和相關數據內容進行驗證,達到保密的要求,系統通過對比驗證對象輸入的特征值是否符合預先設定的參數,實現對數據的安全保護。數據加密在許多場合集中表現為密匙的應用,密匙管理技術事實上是為了數據使用方便。密匙的管理技術包括密匙的產生、分配保存、更換與銷毀等各環節上的保密措施。
數據加密技術主要是通過對網絡數據的加密來保障網絡的安全可靠性,能夠有效地防止機密信息的泄漏。另外,它也廣泛地被應用於信息鑒別、數字簽名等技術中,用來防止欺騙,這對信息處理系統的安全起到極其重要的作用。
4.入侵檢測技術。網絡入侵檢測技術也叫網絡實時監控技術,它通過硬件或軟件對網絡上的數據流進行實時檢查,並與系統中的入侵特征數據庫等比較,壹旦發現有被攻擊的跡象,立刻根據用戶所定義的動作做出反應,如切斷網絡連接,或通知防火墻系統對訪問控制策略進行調整,將入侵的數據包過濾掉等。因此入侵檢測是對防火墻有益的補充。可在不影響網絡性能的情況下對網絡進行監聽,從而提供對內部攻擊、外部攻擊和誤操作的實時保護,大大提高了網絡的安全性。
5.網絡安全掃描技術。網絡安全掃描技術是檢測遠程或本地系統安全脆弱性的壹種安全技術,通過對網絡的掃描,網絡管理員可以了解網絡的安全配置和運行的應用服務,及時發現安全漏洞,客觀評估網絡風險等級。利用安全掃描技術,可以對局域網絡、Web站點、主機操作系統、系統服務以及防火墻系統的安全漏洞進行服務,檢測在操作系統上存在的可能導致遭受緩沖區溢出攻擊或者拒絕服務攻擊的安全漏洞,還可以檢測主機系統中是否被安裝了竊聽程序、防火墻系統是否存在安全漏洞和配置錯誤。
網絡安全與網絡的發展戚戚相關,關系著IN-TERNET的進壹步發展和普及。網絡安全不能僅依靠殺毒軟件、防火墻和漏洞檢測等硬件設備的防護,還應註重樹立人的計算機安全意識,才可能更好地進行防護,才能真正享受到網絡帶來的巨大便利。
[參考文獻]
[1]顧巧論.計算機網絡安全[M].北京:清華大學出版社,2008.
[2]李軍義.計算機網絡技術與應用[M].北京:北方大學出版社,2006.
[3]蔡立軍.計算機網絡安全技術[M].北京:水利水電出版社,2005.
[4]趙秦.計算機網絡信息安全技術研究[J].中國新技術新產品,2009,(14).