【文章內容簡介】 2004（9）第四篇：淺論計算機網絡安全淺論計算機網絡安全方倩（北京科技職業(yè)學院 新聞傳播學院，北京 延慶 102100）摘要計算機網絡為人們帶來了極大的便利，同時也在經受著垃圾郵件、病毒和黑客的沖擊，因此計算機網絡安全技術變得越來越重要。而建立和實施嚴密的網絡安全策略和健全安全制度是真正實現網絡安全的基礎。關鍵詞網絡安全；防火墻；加密1引言在信息化社會的今天，計算機網絡在政治、軍事、金觸、電信、科教等方面的作用日益增強。社會對計算機網絡的依賴也日益增大。特別是Internet的出現，使得計算機網絡的資源共享進一步加強。隨著網絡上各種新興業(yè)務的興起，如電子商務、網絡銀行（Network Bank），使得網絡安全技術的研究成了計算機與通信界的一個熱點，并且成了信息科學的一個重要研究領域，日益受到人們的關注。Internet一方面給人們帶來了經濟上的實惠、通信上的便捷，但另一方面黑客和病毒的侵擾又把人們置于進退兩難的境地。據FBI統(tǒng)計，美國每年因網絡安全問題所造成的經濟損失高達75億美元，而全球平均每20秒鐘就發(fā)生一起 Internet計算機侵入事件。2003年夏天，IT人士在此期間受到了“沖擊波”和“霸王蟲”蠕蟲的雙面夾擊?！皼_擊波”（又稱“Lovsan”或“MSBlast”）首先發(fā)起攻擊。病毒最早于當年8月11日被檢測出來并迅速傳播，兩天之內就達到了攻擊頂峰。病毒通過網絡連接和網絡流量傳播，利用了Windows 2000/XP的一個弱點進行攻擊，被激活以后，它會向計算機用戶展示一個惡意對話框，提示系統(tǒng)將關閉。：“桑（San），我只想說愛你！”以及“比爾蓋茨（Bill Gates）你為什么讓這種事情發(fā)生？別再斂財了，修補你的軟件吧！”。損失估計為20億~100億美元，受到感染的計算機不計其數?！皼_擊波”一走，“霸王蟲”蠕蟲便接踵而至，對企業(yè)和家庭計算機用戶而言，2003年8月可謂悲慘的一月。，它 8月19日開始迅速傳播，在最初的24小時之內，自身復制了100萬次，創(chuàng)下了歷史紀錄（后來被Mydoom病毒打破）。病毒偽裝在文件名看似無害的郵件附件之中。被激活之后，這個蠕蟲便向用戶的本地文件類型中發(fā)現的電子郵件地址傳播自身。最終結果是造成互聯(lián)網流量激增。損失估計為50億~100億美元，超過100萬臺計算機被感染.。我國的信息化剛剛起步，但發(fā)展迅速，網絡已滲透到國民經濟的各個領域。在短短的幾年時間里，也發(fā)生了多起利用網絡進行犯罪的事件，給國家、企業(yè)和個人造成了重大的經濟損失和危害。特別是金融部門的犯罪，更是令人觸目驚心。近兩年來，“網游大盜”、“熊貓燒香”、“德芙”、“木馬”、“灰鴿子”等木馬病毒日益猖獗，以盜取用戶密碼賬號、個人隱私、商業(yè)秘密、網絡財產為目的。調查顯示，趨利性成為計算機病毒發(fā)展的新趨勢。網上制作、販賣病毒、木馬的活動日益猖獗，利用病毒、木馬技術進行網絡盜竊、詐騙的網絡犯罪活動呈快速上升趨勢，網上治安形勢非常嚴峻。面對如此嚴重的種種威脅，必須采取有力的措施來保證計算機網絡的安全，但現在的大多數計算機網絡在建設之初都忽略了安全問題，即使考慮了安全，也只是把安全機制建立在物理安全機制上。2計算機網絡安全的含義從本質上講，網絡安全就是網絡上的信息的安全。計算機網絡安全是指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數據受到保護，不受偶然的或惡意的原因而遭到破壞、更改、泄漏，系統(tǒng)能連續(xù)可靠地正常運行，網絡服務不被中斷。從廣義上看，凡是涉及網絡上信息的保密性、完整性、可用性、真實性和可控制性的相關技術理論，都是網絡安全研究的領域。從用戶角度來說，他們希望涉及個人隱私或商業(yè)機密的信息在網絡上受到機密性、完整性和真實性的保護，同時希望保存在計算機系統(tǒng)上的信息不受用戶的非授權訪問和破壞。從網絡運行和管理角度說，他們希望對本地網絡信息的訪問、讀寫等操作受到保護和控制，避免出現“陷門”、病毒、非法存取、拒絕訪問等威脅，制止和防御網絡黑客的攻擊。從社會教育的角度來說，網絡上不健康的內容，會對社會的穩(wěn)定和人類的發(fā)展造成阻礙，必須對其進行控制。網絡安全的特征保密性是指信息不泄漏給非授權用戶、實體或過程，或供其利用的特性。完整性是指數據未經授權不能進行改變的特性，即信息在存儲或傳輸過程中保持不被修改，不被破壞和丟失的特性?？煽匦允侵笇π畔⒌膫鞑ゼ皟热菥哂锌刂颇芰??？捎眯允侵缚杀皇跈鄬嶓w訪問并按需求使用的特性。網絡環(huán)境下拒絕服務，破壞網絡和有關系統(tǒng)的常運行等都屬于對可用性的攻擊。4網絡安全面臨的威脅從技術角度上看，Internet的不安全因素，一方面是由于它是面向用戶的，所有資源通過網絡共享，另一方面是它的技術是開放和標準的。因特網是基于TCP／IP協(xié)議的，TCP／IP協(xié)議在當初設計和后來應用時并未考慮到安全因素，也未曾預料后來應用的爆發(fā)增長。這就好像在一間封閉的房間內打開緊閉的玻璃窗，新鮮空氣進來發(fā)，但大量的灰塵、蒼蠅和蚊子等害蟲也跟著進來。網絡世界也一樣，開放的、免費的信息帶來了溝通的便利。但垃圾郵件、網絡病毒以及黑客等使網絡經受著前所未有的沖擊。計算機網絡面臨的威脅大體上分為兩種：一是對網絡中信息的威脅；二是對網絡中設備的威脅。影響計算機網絡安全的因素很多，有些是有意的，有些是無意的；可能是人為的，可能是非人為的，也可能是外來黑客對網絡系統(tǒng)資源的非法使用，歸結起來，針對網絡安全的威脅主要有以下四點[1]。誤操作員使用不當，安全配置不規(guī)范造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的賬號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。此類攻擊又分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性、完整性和真實性；另一類是被動攻擊，它是在不影響網絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息，它不會導致系統(tǒng)中信息的任何改動，而且系統(tǒng)的操作和狀態(tài)也不會被改變，因此這類攻擊主要威脅信息的保密性?！昂箝T”網絡軟件不可能是百分之百的無缺陷和無漏洞的，例如TCP／IP協(xié)議的安全問題，然而這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標，曾經出現過的黑客攻入網絡內部的事件，大部分就是因為軟件本身的脆弱性和安全措施不完善所招致的苦果。另外，軟件的“后門”是軟件公司的設計編程人員為了自便而設置的，一般不為外人所知，但一旦“后門”打開，其造成的后果將不堪設想。人自身的因素主要是指非授權訪問、信息漏洞或丟失、破壞完整性。非授權訪問是指預先沒有經過同意就使用網絡或計算機資源。信息丟失包括在傳輸中丟失或在傳輸介質中丟失兩種，例如黑客常使用竊收方式，利用可能的非法手段竊取系統(tǒng)中的信息資源和敏感信息。5網絡安全的安全策略 物理安全策略保證計算機信息系統(tǒng)中各種設備的物理安全是整個計算機信息系統(tǒng)安全的前提。物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。它主要包括三個方面：①環(huán)境安全：對系統(tǒng)所在環(huán)境的安全保護，如區(qū)域保護和災難保護；②設備安全：主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等；③媒體安全：包括媒體數據的安全及媒體本身的安全。顯然，為保證信息網絡系統(tǒng)的物理安全，除在網絡規(guī)劃和場地、環(huán)境等方面要求之外，還要防止系統(tǒng)信息在空間的擴散。計算機系統(tǒng)通過電磁輻射使信息被截獲而失秘的案例已經很多，在理論和技術支持下的驗證工作也證實這種截取距離在幾百甚至可達千米的復原顯示給計算機系統(tǒng)信息的保密工作帶來了極大的危害。為了防止系統(tǒng)中的信息在空間上的擴散，通常是在物理上安裝一定的防護措施，來減少或干擾擴散出去的空間信號，這成為政府、軍事、金融機構在建設信息中心時首要考慮的問題。[2]訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和非法訪問，它也是維護網絡系統(tǒng)安全、保護網絡資源的重要手段。各種安全策略必須配合才能真正起到保護作用。訪問控制可以說是保證網絡安全最重要的核心策略之一。入網訪問控制為網絡訪問提供了第一層訪問控制，它控制哪些用戶能夠登錄到服務器并獲取網絡資源，控制準許用戶入網的