网络信息安全面临的问题及对策

董 洁

（赤峰学院 计算机科学与技术系，内蒙古 赤峰 024000）

网络信息安全面临的问题及对策

董 洁

（赤峰学院 计算机科学与技术系，内蒙古 赤峰 024000）

随着个人计算机和互联网的普及，越来越多的公司依赖于使用互联网经营其业务，行政机构和政府借助计算机储存重要的信息和数据，个人利用计算机与各式各样的终端设备享受互联网的快捷和便利.但是，大量的敏感信息，大到维系公共安全的重要行政信息和军事信息，小到个人的隐私信息，不可避免的在互联网上传递和存储，大量的资金通过网上进行转账，通过网上银行进行支付.对于怀有恶意的计算机罪犯来说，这些都是他们所垂涎的目标.如果对其没有适当的保护以满足其安全性的要求，那么个人、公司或各种组织会面临巨大的经济风险和信任风险.为此，本文通过分析网络中的安全隐患问题，提出了一些防范措施.

计算机网络；安全技术；防火墙；入侵检测；加密

1 计算机网络安全概念

从本质上来讲，网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏、更改、泄漏，确保系统能连续、可靠、正常地运行，网络服务不中断.网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可.

2 计算机网络的安全隐患

2.1 技术上的弱点.计算机和网络技术处于快速发展之中，不可避免的会存在各类问题.以下是一些典型的技术弱点导致的安全威胁：

2.1.1 TCP/IP网络——TCP/IP协议时一个开放的标准，主要用于互联网通信.尽管有数量众多的专家参与协议的制定，但是面向开放的网络导致其不能保证信息传输的完整性和未授权的存取等进攻手段作出适当的防护.

2.1.2 操作系统漏洞——主流的操作系统如UNIX，Windows，Linux等，由于各种原因导致存在漏洞，必须由系统管理员经过安全配置，密切跟踪安全报告以及及时对操作系统进行更新和补丁更新操作才能保证其安全性.

2.2 网络结构的不安全性.因特网是一种网间网技术.它是由无数个局域网所连成的一个巨大网络.当人们用一台主机和另一局域网的主机进行通信时，通常情况下它们之间互相传送的数据流要经过很多机器重重转发，如果攻击者利用一台处于用户的数据流传输路径上的主机，他就可以劫持用户的数据包.

2.3 易被窃听.由于因特网上大多数数据流都没有加密，因此人们利用网上免费提供的工具就很容易对网上的电子邮件、口令和传输的文件进行窃听.

2.4 缺乏安全意识.虽然网络中设置了许多安全保护屏障，但人们普遍缺乏安全意识，从而使这些保护措施形同虚设.

2.4.1 系统账户存在易被猜测的用户名和密码、管理员技术不足以适应岗位或由于疏忽，惰性的原因，未对默认的高权限系统账户进行处理.

2.4.2 设备未得到良好配置——如路由器，交换机或服务器使用带有漏洞的默认配置方式，或路由器的路由表未得到良好维护，服务器的访问控制列表存在漏洞等.

3 网络安全防范的内容

一个安全的计算机网络应该具有可靠性、可用性、完整性、保密性和真实性等特点.计算机网络不仅要保护计算机网络设备安全和计算机网络系统安全，还要保护数据安全等.因此针对计算机网络本身可能存在的安全问题，实施网络安全保护方案以确保计算机网络自身的安全性是每一个计算机网络都要认真对待的一个重要问题.网络安全防范的重点主要有两个方面：一是计算机病毒，二是黑客犯罪.

3.1 计算机病毒.所谓计算机病毒实际是一段可以复制的特殊程序,主要对计算机进行破坏,病毒所造成的破坏非常巨大,可以使计算机和计算机网络系统瘫痪、数据和文件丢失.在网络上传播病毒可以通过公共匿名FTP文件传送，也可以通过邮件和邮件的附加文件传播.

3.2 黑客.黑客（Hacker）经常会侵入网络中的计算机系统，或窃取机密数据和盗用特权，或破坏重要数据，或使系统功能得不到充分发挥直至瘫痪.黑客的攻击手段在不断地更新,几乎每天都有不同系统安全问题出现.然而安全工具的更新速度太慢.因此,黑客总是可以使用先进的、安全工具不知道的手段进行攻击.

4 网络安全的防范措施

4.1 及时修补“漏洞”

网络软件不可能无缺陷、无漏洞,这些漏洞和缺陷正是黑客攻击的首选目标.

4.2 利用网络安全技术

4.2.1 身份认证技术.身份验证指的是一个用户或系统的实际身份是否与其所声明的身份相符.在整个安全体系中，身份验证是一个最关键的部分，这一部分也通常称作身份鉴别和身份认证（identify& authentication）.以下介绍是一些身份验证的方法，在良好配置和实施的情况下都能有效的维持系统的安全.

4.2.1.1 用户名和密码：使用用户名和密码进行身份验证是最古老也是最有效的身份验证手段.用户名和密码只有联合作用时才能顺利的完成身份认证的过程.其中缺少哪一个都是不能够完成身份认证人物的.因此，一般来说，具有较高安全要求的系统中，最好能够将用户名和密码分别秘密保存.

4.2.1.2 一次性密码：一次性密码指一条仅在短时间内使用的密码.密码仅在制定的时间短内有效，一旦超出该时间段，密码立即失效.针对以密码为目标的攻击手段，一次性密码能够有效的提升系统的安全性并广泛应用于Kerberos认证系统中.一次性密码能够有效的防止各类重放的攻击，但是不能免于会话劫持或中间人攻击这些类型的攻击手段.

4.2.1.3 安全令牌：安全令牌指的是一种专用于身份认证的设备.一般由某位系统管理员发放给特定的用户.目前通常使用的安全令牌是一个信用卡卡片大小的物理设备，可以随身携带.而实际使用中，安全令牌通常与其他手段联合使用以达到更高的安全要求.

4.2.1.4 生物检测和识别：借助身份待验证人的生物学特征进行身份验证的方式成为生物检测.一般来说，生物学特征——如指纹，掌纹，视网膜，虹膜等，非常难于模仿和伪造.因此，基于生物学特征的身份验证手段通常被认为是相当安全的.另一方面，这些生物学特征是身份验证者天生具备的，因此无需记忆或需要记录媒体帮助记忆，在某种程度上也减少了一定的安全风险.

4.2.1.5 CHAP:挑战握手协议（challenge-handshake authentication protocol）是一个用来验证用户或网络提供者的协议，一般用于点对点协议服务器对远程用户的身份验证.负责提供验证的服务机构，可以是互联网服务供应商，又或是其他验证机构.CHAP支持单向和双向的身份认证.

4.2.1.6 Kerberos协议是一种计算机网络授权协议，用来在非安全网络中，对个人通信以安全的手段进行身份认证.

4.2.1.7 数字证书：数字证书主要用于对互联网上个人或组织的身份认证.可以广泛地应用在如E-mail，电子商务，电子交易等领域，数字证书可以提供有效的保密性和不可抵赖性的保障，这使得原本互不认识的双方通过数字证书实现保密通信成为可能.

4.2.2 防火墙技术.防火墙是一种被广泛采用的重要的安全技术,它在内部网络与因特网之间建立起一个安全网关,通过监测、限制、更改数据源,尽可能地对外部网络屏蔽有关被保护网络的信息,从而达到抵御来自外部网络的攻击、防止不法分子入侵、保护内部网络资源的目的.可见,防火墙技术最适合于在企业专网中使用,特别是在企业专网与公共网络互联时使用.

防火墙可以防范有害的数据包或者未经授权的访问.其中，未经授权的访问包括外部网络未经授权访问内部局域网或站点，也包括内部主机或工作站未经授权访问Internet.如果增加病毒扫描功能，也能够防止病毒木马等恶意软件.

反病毒软件有时也被称为病毒防火墙.操作系统应用反病毒软件保护系统不受病毒，木马和蠕虫的侵害.通常的反病毒软件利用存储在软件中的病毒特征库对文件进行扫描来发现和查找病毒.在发现病毒以后，也能够采用相应的措施删除病毒或修复被病毒损坏的文件.对用户来说，连接到互联网的计算机特别应该安装有效的反病毒软件以防止病毒和木马的入侵.而及时跟新病毒特征库也是使用反病毒软件的良好习惯.而更新式的反病毒软件则有主动防御，启发式查杀病毒和自动学习的功能，力求精准有效的查杀病毒.如果用户条件允许，应该对特别需要安全保护的主机部署基于主机的入侵检测系统（IDS）.

4.2.3 入侵检测技术.入侵检测技术是一种主动保护自己免受黑客攻击的网络安全技术,它具有监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动收集和系统相关的补丁、进行审计跟踪识别违反安全法规的行为等功能,使系统管理员可以有效地监视、审计、评估自己的系统.入侵检测技术被认为是防火墙之后的第二道安全闸门.

4.2.4 漏洞扫描技术.漏洞扫描是自动检测远端或本地主机安全脆弱点的技术.它查询TCP/IP端口并纪录目标的响应,收集关于某些特定项目的有用信息.这项技术具体是由安全扫描程序实现的.安全扫描程序能够对一个系统的代码进行反复获取、编译和运行,并对上述检测所获得的大量数据进行分析,从而可以快速地在较大范围内发现系统的脆弱点.

4.2.5 加密技术.采用密码加密技术对信息加密,是最常用的安全保护措施.该技术的特征是利用现代的数据加密技术来保护网络系统中包括用户数据在内的所有数据流.只有指定的用户或网络设备才能够解译加密数据,从而在不对网络环境作特殊要求的前提下从根本上解决网络安全的两大要求(网络服务的可用性和信息的完整性).这类技术一般不需要特殊的网络拓扑结构支持,因而实施代价主要体现在软件的开发和系统运行维护等方面.

4.2.6 网络防毒技术.防火墙的功能只是限制网络的访问,检测和清除病毒还要靠病毒防治软件.目前的病毒防治软件基本上采用的检测原理大致有特征码法、校验和法、行为码法三种方法,以提高病毒的检测和清除率.目前的网络病毒软件一般都加入防火墙功能,是集反毒、反黑、救护于一身的产品,对于网络型病毒的防治是很有效的.对于重要企业网络,则应该考虑安装专业性更强、可靠性更高、安全机制更严密的网络防病毒系统.近几年有些安全产品厂商也开发出比较好的防毒硬件产品—“防毒墙”,对于网络病毒具有很好的防范作用.结合企业网络的特点,在网络安全的病毒防护方面应该采用“多级防范,集中管理,以防为主,防治结合”的动态防毒策略.

4.2.7 网络扫描工具.网络扫描工具主要是指通过对网络和连接到网络的主机进行搜索并期望获得有用的信息的工具.网络扫描工具可以用于在部署和实施网络时进行工作，以排查网络系统中可能存在的漏洞或不足.如果安全管理人员知道攻击者所使用的方法，如rootkit或特洛伊木马使用的协议和端口号，可以根据这些信息对网络主机进行扫描一发现攻击者的蛛丝马迹.当然，如果需要测试一个网络的安全性，可以采用模拟攻击的方式进行，而网络扫描工具也是进行模拟攻击的一个重要组成部分.

4.3 提高安全意识

4.3.1 不要随意打开来历不明的电子邮件及文件，不要随便运行不太了解的人给你的程序；

4.3.2 尽量避免从Internet下载不知名的软件、游戏程序；网上下载的程序或者文件在运行或打开前要对其进行病毒扫描；

4.3.3 密码设置尽可能使用字母数字混排，单纯的英文或者数字很容易穷举；

4.3.4 及时下载安装系统补丁程序；

4.3.5 应该定期升级所安装的杀毒软件；

4.3.6 不要随意浏览黑客网站(包括正规的黑客网站)；

4.3.7 及时做好数据备份工作,确保网络信息的安全；

4.3.8 每个星期都应该对电脑进行一次全面地杀毒、扫描工作,以便发现并消除隐藏在系统中的病毒；

4.3.9 应该注意尽量不要所有的地方都使用同一个密码,这样一旦被黑客猜测出来,一切个人资料都被泄露；

4.3.10 当不慎染上病毒时,应该立即将杀毒软件升级到最新版本,然后对整个硬盘进行扫描操作,清除一切可以查杀的病毒.

5 结束语

计算机网络安全问题是非常复杂的系统工程,由于网络是一把双刃剑,既要满足开放性的应用要求,又要保证应用中的安全,我们只能不断地去研究和探索,来维护动态的安全.

〔1〕王凤英，程震.网络与信息安全[M].中国铁道出版社,2006.

〔2〕贺思德，申浩如.计算机网络安全与应用[M].科学出版社,2007.

〔3〕张友纯.计算机网络安全[M].华中科技大学出版社,2006.

〔4〕陈建伟,张辉.计算机网络与信息安全[M].中国林业出版社,2006.

〔5〕戴红，王海泉，黄坚.计算机网络安全[M].电子工业出版社,2004.

TP393

A

1673-260X（2011）03-0041-03