網(wǎng)絡(luò)信息技術(shù)的發(fā)達(dá)伴隨而來的是網(wǎng)絡(luò)安全問題，網(wǎng)絡(luò)安全問題已經(jīng)成為威脅網(wǎng)絡(luò)系統(tǒng)健康發(fā)展的主要問題，本文主要論述了如何加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全防范。

　　《信息網(wǎng)絡(luò)》(月刊)創(chuàng)刊于2002年，是由信息產(chǎn)業(yè)部主管、中國電信集團(tuán)公司主辦的公開發(fā)行的綜合性行業(yè)期刊。《信息網(wǎng)絡(luò)》宣傳中國電信的業(yè)務(wù)發(fā)展和經(jīng)營管理成就，同時(shí)緊跟產(chǎn)業(yè)發(fā)展趨勢，報(bào)道通信新技術(shù)、新業(yè)務(wù)的發(fā)展與應(yīng)用，探討現(xiàn)代通信業(yè)的管理理念，把握行業(yè)市場脈絡(luò)，提供通信行業(yè)的新信息。榮獲信息產(chǎn)業(yè)部優(yōu)秀科技期刊二等獎(jiǎng)。

　　本文以影響計(jì)算機(jī)網(wǎng)絡(luò)安全的主要因素為突破口，從不同角度全面了解影響計(jì)算機(jī)網(wǎng)絡(luò)安全的情況，確保計(jì)算機(jī)網(wǎng)絡(luò)的安全管理與有效運(yùn)行。

　　一、計(jì)算機(jī)安全的含義

　　從本質(zhì)上來講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補(bǔ)充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。

　　二、影響計(jì)算機(jī)網(wǎng)絡(luò)安全的主要因素

　　1. 網(wǎng)絡(luò)系統(tǒng)在穩(wěn)定性和可擴(kuò)充性方面存在 問題 。由于設(shè)計(jì)的系統(tǒng)不規(guī)范、不合理以及缺乏安全性考慮，因而使其受到影響。

　　2. 網(wǎng)絡(luò)硬件的配置不協(xié)調(diào)。一是文件服務(wù)器。它是網(wǎng)絡(luò)的中樞，其運(yùn)行穩(wěn)定性、功能完善性直接影響網(wǎng)絡(luò)系統(tǒng)的質(zhì)量。二是網(wǎng)卡用工作站選配不當(dāng)導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定。

　　3. 缺乏安全策略。許多站點(diǎn)在防火墻配置上無意識地?cái)U(kuò)大了訪問權(quán)限，忽視了這些權(quán)限可能會(huì)被其他人員濫用。

　　4. 訪問控制配置的復(fù)雜性，容易導(dǎo)致配置錯(cuò)誤，從而給他人以可乘之機(jī)。

　　5. 管理制度不健全，網(wǎng)絡(luò)管理、維護(hù)任其 自然 。

　　三、網(wǎng)絡(luò)攻擊和入侵的主要途徑

　　網(wǎng)絡(luò)入侵是指網(wǎng)絡(luò)攻擊者通過非法的手段(如破譯口令、電子欺騙等)獲得非法的權(quán)限，并通過使用這些非法的權(quán)限使網(wǎng)絡(luò)攻擊者能對被攻擊的主機(jī)進(jìn)行非授權(quán)的操作。網(wǎng)絡(luò)入侵的主要途徑有：破譯口令、IP欺騙和DNS欺騙。

　　口令是計(jì)算機(jī)系統(tǒng)抵御入侵者的一種重要手段，所謂口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機(jī)，然后再實(shí)施攻擊活動(dòng)。這種方法的前提是必須先得到該主機(jī)上的某個(gè)合法用戶的帳號，然后再進(jìn)行合法用戶口令的破譯。

　　IP欺騙是指攻擊者偽造別人的IP地址，讓一臺計(jì)算機(jī)假冒另一臺計(jì)算機(jī)以達(dá)到蒙混過關(guān)的目的。它只能對某些特定的運(yùn)行TCP/IP的計(jì)算機(jī)進(jìn)行入侵。IP欺騙利用了TCP/IP網(wǎng)絡(luò)協(xié)議的脆弱性。在TCP的三次握手過程中，入侵者假冒被入侵主機(jī)的信任主機(jī)與被入侵主機(jī)進(jìn)行連接，并對被入侵主機(jī)所信任的主機(jī)發(fā)起淹沒攻擊，使被信任的主機(jī)處于癱瘓狀態(tài)。當(dāng)主機(jī)正在進(jìn)行遠(yuǎn)程服務(wù)時(shí)，網(wǎng)絡(luò)入侵者最容易獲得目標(biāo)網(wǎng)絡(luò)的信任關(guān)系，從而進(jìn)行IP欺騙。IP欺騙是建立在對目標(biāo)網(wǎng)絡(luò)的信任關(guān)系基礎(chǔ)之上的。同一網(wǎng)絡(luò)的計(jì)算機(jī)彼此都知道對方的地址，它們之間互相信任。由于這種信任關(guān)系，這些計(jì)算機(jī)彼此可以不進(jìn)行地址的認(rèn)證而執(zhí)行遠(yuǎn)程操作。

　　域名系統(tǒng)(DNS)是一種用于TCP/IP 應(yīng)用 程序的分布式數(shù)據(jù)庫，它提供主機(jī)名字和IP地址之間的轉(zhuǎn)換信息。通常， 網(wǎng)絡(luò) 用戶通過UDP協(xié)議和DNS服務(wù)器進(jìn)行通信，而服務(wù)器在特定的53端口監(jiān)聽，并返回用戶所需的相關(guān)信息。DNS協(xié)議不對轉(zhuǎn)換或信息性的更新進(jìn)行身份認(rèn)證，這使得該協(xié)議被人以一些不同的方式加以利用。當(dāng)攻擊者危害DNS服務(wù)器并明確地更改主機(jī)名―IP地址映射表時(shí)，DNS欺騙就會(huì)發(fā)生。這些改變被寫入DNS服務(wù)器上的轉(zhuǎn)換表。因而，當(dāng)一個(gè)客戶機(jī)請求查詢時(shí)，用戶只能得到這個(gè)偽造的地址，該地址是一個(gè)完全處于攻擊者控制下的機(jī)器的IP地址。因?yàn)榫W(wǎng)絡(luò)上的主機(jī)都信任DNS服務(wù)器，所以一個(gè)被破壞的DNS服務(wù)器可以將客戶引導(dǎo)到非法的服務(wù)器，也可以欺騙服務(wù)器相信一個(gè)IP地址確實(shí)屬于一個(gè)被信任客戶。

　　四、計(jì)算機(jī)網(wǎng)絡(luò)安全的防范措施

　　4.1 網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)設(shè)計(jì)合理與否是網(wǎng)絡(luò)安全運(yùn)行的關(guān)鍵

　　全面分析網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的每個(gè)環(huán)節(jié)是建立安全可靠的計(jì)算機(jī)網(wǎng)絡(luò)工程的首要任務(wù)。應(yīng)在認(rèn)真研究的基礎(chǔ)上下大氣力抓好網(wǎng)絡(luò)運(yùn)行質(zhì)量的設(shè)計(jì)方案。在總體設(shè)計(jì)時(shí)要注意以下幾個(gè)問題：由于局域網(wǎng)采用的是以廣播為技術(shù)基礎(chǔ)的以太網(wǎng)，任何兩個(gè)節(jié)點(diǎn)之間的通信數(shù)據(jù)包，不僅被兩個(gè)節(jié)點(diǎn)的網(wǎng)卡所接收，同時(shí)也被處在同一以太網(wǎng)上的任何一個(gè)節(jié)點(diǎn)的網(wǎng)卡所截取。因此，只要接入以太網(wǎng)上的任一節(jié)點(diǎn)進(jìn)行偵聽，就可以捕獲發(fā)生在這個(gè)以太網(wǎng)上的所有數(shù)據(jù)包，對其進(jìn)行解包分析，從而竊取關(guān)鍵信息。

　　4.2 強(qiáng)化計(jì)算機(jī)管理是網(wǎng)絡(luò)系統(tǒng)安全的保證

　　1、加強(qiáng)設(shè)施管理，確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)實(shí)體安全。建立健全安全管理制度，防止非法用戶進(jìn)入計(jì)算機(jī)控制室和各種非法行為的發(fā)生;注重在保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等外部設(shè)備和能信鏈路上狠下功夫，并不定期的對運(yùn)行環(huán)境條件(溫度、濕度、清潔度、三防措施、供電接頭、志線及設(shè)備)進(jìn)行檢查、測試和維護(hù);著力改善抑制和防止電磁泄漏的能力，確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容的工作環(huán)境。

　　2、強(qiáng)化訪問控制，力促計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行正常。訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要措施，它的任務(wù)是保證網(wǎng)絡(luò)資源不被非法用戶使用和非常訪問，是網(wǎng)絡(luò)安全最重要的核心策略之一。

　　第一，建立入網(wǎng)訪問功能模塊。入網(wǎng)訪問控制為網(wǎng)絡(luò)提供了第一層訪問控制。它允許哪些用戶可以登錄到網(wǎng)絡(luò)服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們在哪臺工作站入網(wǎng)。

　　第二，建立網(wǎng)絡(luò)的權(quán)限控制模塊。網(wǎng)絡(luò)的權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限�？梢愿鶕�(jù)訪問權(quán)限將用戶分為3種類型：特殊用戶(系統(tǒng)管理員);一般用戶，系統(tǒng)管理員根據(jù)他們的實(shí)際需要為他們分配操作權(quán)限;審計(jì)用戶，負(fù)責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計(jì)。

　　第三，建立屬性安全服務(wù)模塊。屬性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來。屬性安全在權(quán)限安全的基礎(chǔ)上提供更進(jìn)一步的安全性。網(wǎng)絡(luò)屬性可以控制以下幾個(gè)方面的權(quán)限：向某個(gè)文件寫數(shù)據(jù)、拷貝一個(gè)文件、刪除目錄或文件的查看、執(zhí)行、隱含、共享及系統(tǒng)屬性等，還可以保護(hù)重要的目錄和文件，防止用戶對目錄和文件的誤刪除、執(zhí)行修改、顯示等。

　　第四，建立網(wǎng)絡(luò)服務(wù)器安全設(shè)置模塊。網(wǎng)絡(luò)服務(wù)器的安全控制包括設(shè)置口令鎖定服務(wù)器控制臺;設(shè)置服務(wù)器登錄時(shí)間限制、非法訪問者檢測和關(guān)閉的時(shí)間間隔;安裝非法防問設(shè)備等。安裝非法防問裝置最有效的設(shè)施是安裝防火墻。它是一個(gè)用以阻止網(wǎng)絡(luò)中非法用戶訪問某個(gè)網(wǎng)絡(luò)的屏障，也是控制進(jìn)、出兩個(gè)方向通信的門檻。目前的防火墻有3種類型：一是雙重宿主主機(jī)體系結(jié)構(gòu)的防火墻;二是被屏蔽主機(jī)體系結(jié)構(gòu)的防火墻;三是被屏蔽主機(jī)體系結(jié)構(gòu)的防火墻。

　　第五，建立檔案信息加密制度。保密性是計(jì)算機(jī)系統(tǒng)安全的一個(gè)重要方面，主要是利用密碼信息對加密數(shù)據(jù)進(jìn)行處理，防止數(shù)據(jù)非法泄漏。利用計(jì)算機(jī)進(jìn)行數(shù)據(jù)處理可大大提高工作效率，但在保密信息的收集、處理、使用、傳輸同時(shí)，也增加了泄密的可能性。因此對要傳輸?shù)男畔⒑痛鎯?chǔ)在各種介質(zhì)上的數(shù)據(jù)按密級進(jìn)行加密是行之有效的保護(hù)措施之一。

　　第六，建立網(wǎng)絡(luò)智能型日志系統(tǒng)。日志系統(tǒng)具有綜合性數(shù)據(jù)記錄功能和自動(dòng)分類檢索能力。在該系統(tǒng)中，日志將記錄自某用戶登錄時(shí)起，到其退出系統(tǒng)時(shí)止，這所執(zhí)行的所有操作，包括登錄失敗操作，對數(shù)據(jù)庫的操作及系統(tǒng)功能的使用。日志所記錄的內(nèi)容有執(zhí)行某操作的用戶保執(zhí)行操作的機(jī)器IP地址 操作類型 操作對象及操作執(zhí)行時(shí)間等，以備日后審計(jì)核查之用。

　　第七，建立完善的備份及恢復(fù)機(jī)制。為了防止存儲(chǔ)設(shè)備的異常損壞，可采用由熱插拔SCSI硬盤所組成的磁盤容錯(cuò)陣列，以RAID5的方式進(jìn)行系統(tǒng)的實(shí)時(shí)熱備份。同時(shí)，建立強(qiáng)大的數(shù)據(jù)庫觸發(fā)器和恢復(fù)重要數(shù)據(jù)的操作以及更新任務(wù)，確保在任何情況下使重要數(shù)據(jù)均能最大限度地得到恢復(fù)。

　　參考文獻(xiàn)

　　[1] 陳愛民.計(jì)算機(jī)的安全與保密[M].北京：電子工業(yè)出版社，1992年。

　　[2] 劉占全.網(wǎng)絡(luò)管理與防火墻[M].北京：人民郵電出版社，1999年。

轉(zhuǎn)載請注明來自：http://www.jinnzone.com/jisuanjiwangluolw/62427.html