淺談網(wǎng)絡(luò)安全及維護(hù)

1、淺談網(wǎng)絡(luò) 安全及維護(hù)內(nèi)容摘要:隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢(shì)。但由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征，致使網(wǎng)絡(luò)易受黑客、惡意軟件和其他不軌的攻擊，所以網(wǎng)上信息的安全和保密是一個(gè)至關(guān)重要的問題。對(duì)于軍用的自動(dòng)化指揮網(wǎng)絡(luò)、銀行等傳輸敏感數(shù)據(jù)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)而言，其網(wǎng)絡(luò)安全和保密尤為重要。因此，網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施，否則該網(wǎng)絡(luò)將是個(gè)無(wú)用、甚至?xí)＜皣?guó)家安全的網(wǎng)絡(luò)。無(wú)論是在局域網(wǎng)還是在廣域網(wǎng)中，都存在著自然和人為等諸多因素的脆弱性和潛在威脅。故此，網(wǎng)絡(luò)的安全維護(hù)應(yīng)是能全方位地針對(duì)各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保

2、密性、完整性和可用性。關(guān)鍵字:計(jì)算機(jī)網(wǎng)絡(luò)、網(wǎng)絡(luò)安全、防火墻、加密技術(shù)、安全策略Abstract : Along with the computer network unceasingdevelopment, the global information has become the development of thehuman race the major tendency. But because the computer network hasthe joint form multiplicity, the terminal distribution nonuniformityand n

3、etwork openness, interlocks characteristic and so on nature,causes the network easily the hacker, malicious software and otherillegal attacks, therefore the on-line information security and thesecurity are a very important question. Regarding military automatedtransmission sensitive data the and so

4、on direction network, bankcomputer network system says, its network security and the securityespecially is important. Therefore, the network must have the enoughstrong security measure, otherwise this network will be useless, evencan endanger the national security the network. Regardless of is inthe

5、 local area network or in WAN, all has the nature and artificialand so on many factors vulnerability and the latent threat. Therefore,the network safe maintenance should be can omni-directional in view ofeach kind of different threat and the vulnerability, like this canguarantee the network informat

6、ion the secrecy, the integrity and theusability. Key word : Network, network security, firewall, encryptiontechnology, security policy一、網(wǎng)絡(luò)安全的概念和理論基礎(chǔ)（一）前言網(wǎng)絡(luò)已經(jīng)成為了人類所構(gòu)建的最豐富多彩的虛擬世界，網(wǎng)絡(luò)的迅速發(fā)展，給我們的工作和學(xué)習(xí)生活帶來(lái)了巨大的改變。我們通過(guò)網(wǎng)絡(luò)獲得信息，共享資源。如今， Internet遍布世界任何一個(gè)角落，并且歡迎任何一個(gè)人加入其中，相互溝通，相互交流。隨著網(wǎng)絡(luò)的延伸，安全問題受到人們?cè)絹?lái)越多的關(guān)注。在網(wǎng)絡(luò)日益復(fù)雜化

7、，多樣化的今天，如何保護(hù)各類網(wǎng)絡(luò)和應(yīng)用的安全，如何保護(hù)信息安全，成為了本文探討的重點(diǎn)。 幾乎所有接觸網(wǎng)絡(luò)的人都知道網(wǎng)絡(luò)中有一些費(fèi)盡心機(jī)闖入他人計(jì)算機(jī)系統(tǒng)的人，他們利用各種網(wǎng)絡(luò)和系統(tǒng)的漏洞，非法獲得未授權(quán)的訪問信息。不幸的是如今攻擊網(wǎng)絡(luò)系統(tǒng)和竊取信息已經(jīng)不需要什么高深的技巧。網(wǎng)絡(luò)中有大量的攻擊工具和攻擊文章等資源，可以任意使用和共享。不需要去了解那些攻擊程序是如何運(yùn)行的，只需要簡(jiǎn)單的執(zhí)行就可以給網(wǎng)絡(luò)造成巨大的威脅。（二）網(wǎng)絡(luò)安全的概念國(guó)際標(biāo)準(zhǔn)化組織（ISO）對(duì)計(jì)算機(jī)系統(tǒng)安全的定義是：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露

8、。由此可以將計(jì)算機(jī)網(wǎng)絡(luò)的安全理解為：通過(guò)采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。（三）網(wǎng)絡(luò)智及安全保障的幾個(gè)環(huán)節(jié)1、網(wǎng)絡(luò)系統(tǒng)初建階段的安全考慮 網(wǎng)絡(luò)智安全所研究的是網(wǎng)絡(luò)在智慧和智能方面的完備性、可靠性問題，這就需要在系統(tǒng)和網(wǎng)絡(luò)建造的初期加以系統(tǒng)的考慮。所謂系統(tǒng)的考慮就是應(yīng)建立專門針對(duì)網(wǎng)絡(luò)智安全的目標(biāo)、方針、措施、評(píng)價(jià)的機(jī)制和體系。2、與網(wǎng)絡(luò)交互的人也是網(wǎng)絡(luò)智安全的一個(gè)環(huán)節(jié) 網(wǎng)絡(luò)智是網(wǎng)絡(luò)智慧的表述，網(wǎng)絡(luò)功能的應(yīng)用必然與人的交互分不開，特別是在一個(gè)相對(duì)開放的網(wǎng)絡(luò)中，有時(shí)人與網(wǎng)絡(luò)的交互具有智慧交流的意義。 3、法律法規(guī)建設(shè)和監(jiān)管是重要保障 隨著社會(huì)需求的

9、不斷變化，網(wǎng)絡(luò)會(huì)變得越來(lái)越復(fù)雜，網(wǎng)絡(luò)智的安全問題也會(huì)隨之不斷變化和發(fā)展，解決網(wǎng)絡(luò)智安全的技術(shù)手段也會(huì)得到不斷的完善。但是無(wú)論如何為了促使網(wǎng)絡(luò)功能更加強(qiáng)大，更加快捷和方便，安全問題就不可能僅靠自身的完整性和技術(shù)措施而無(wú)懈可擊。因此，建立健全法律法規(guī)體系和監(jiān)督體系便成了網(wǎng)絡(luò)安全的重要保障，這些法律法規(guī)將規(guī)范人們?cè)谂c網(wǎng)絡(luò)交互時(shí)的行為，對(duì)那些惡意對(duì)網(wǎng)絡(luò)智安全構(gòu)成威脅的行為進(jìn)行有效打擊。二、計(jì)算網(wǎng)絡(luò)面臨的威脅和防范措施（一）計(jì)算機(jī)網(wǎng)絡(luò)所面臨的威脅一是對(duì)網(wǎng)絡(luò)中信息的威脅；二是對(duì)網(wǎng)絡(luò)中設(shè)備的威脅。影響計(jì)算機(jī)網(wǎng)絡(luò)的因素很多，有些因素可能是有意的，也可能是無(wú)意的；可能是人為的，也可能是非人為的；可能是外來(lái)黑客對(duì)

10、網(wǎng)絡(luò)系統(tǒng)資源的非法使有，歸結(jié)起來(lái)，針對(duì)網(wǎng)絡(luò)安全的威脅主要有三：1、人為的無(wú)意失誤如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識(shí)不強(qiáng)，用戶口令選擇不慎，用戶將自己的帳號(hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅。2、人為的惡意攻擊這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅，敵手的攻擊和計(jì)算機(jī)犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動(dòng)攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動(dòng)攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息。這兩種攻擊均可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏。3、網(wǎng)絡(luò)軟件的漏洞和“后門”網(wǎng)絡(luò)軟件不可能是百分之

11、百的無(wú)缺陷和無(wú)漏洞的，然而，這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)，曾經(jīng)出現(xiàn)過(guò)的黑客攻入網(wǎng)絡(luò)內(nèi)部的事件，這些事件的大部分就是因?yàn)榘踩胧┎煌晟扑兄碌目喙?。另外，軟件的“后門”都是軟件公司的設(shè)計(jì)編程人員為了自便而設(shè)置的，一般不為外人所知，但一旦“后門”洞開，其造成的后果將不堪設(shè)想。計(jì)算機(jī)網(wǎng)絡(luò)攻擊的常見手法 。（二）影響計(jì)算機(jī)網(wǎng)絡(luò)安全的主要因素網(wǎng)絡(luò)硬件的配置不協(xié)調(diào)。一是文件服務(wù)器。它是網(wǎng)絡(luò)的中樞，其運(yùn)行穩(wěn)定性、功能完善性直接影響網(wǎng)絡(luò)系統(tǒng)的質(zhì)量。網(wǎng)絡(luò)應(yīng)用的需求沒有引起足夠的重視，設(shè)計(jì)和選型考慮欠周密，從而使網(wǎng)絡(luò)功能發(fā)揮受阻，影響網(wǎng)絡(luò)的可靠性、擴(kuò)充性和升級(jí)換代。二是網(wǎng)卡用工作站選配不當(dāng)導(dǎo)致網(wǎng)絡(luò)不

12、穩(wěn)定。（三）確保計(jì)算機(jī)網(wǎng)絡(luò)安全的防范措施互聯(lián)網(wǎng)發(fā)展至今，除了它表面的繁榮外，也出現(xiàn)了一些不良現(xiàn)象，其中黑客攻擊是最令廣大網(wǎng)民頭痛的事情，它是計(jì)算機(jī)網(wǎng)絡(luò)安全的主要威脅。下面著重分析黑客進(jìn)行網(wǎng)絡(luò)攻擊的兩種常見手法及其防范措施。 1、利用網(wǎng)絡(luò)系統(tǒng)漏洞進(jìn)行攻擊 許多網(wǎng)絡(luò)系統(tǒng)都存在著這樣那樣的漏洞，這些漏洞有可能是系統(tǒng)本身所有的，如WindowsNT、UNIX等都有數(shù)量不等的漏洞，也有可能是由于網(wǎng)管的疏忽而造成的。黑客利用這些漏洞就能完成密碼探測(cè)、系統(tǒng)入侵等攻擊。 2、通過(guò)電子郵件進(jìn)行攻擊 電子郵件是互聯(lián)網(wǎng)上運(yùn)用得十分廣泛的一種通訊方式。黑客可以使用一些郵件炸彈軟件或CGI程序向目的郵箱發(fā)送大量?jī)?nèi)容重復(fù)

13、、無(wú)用的垃圾郵件，從而使目的郵箱被撐爆而無(wú)法使用。當(dāng)垃圾郵件的發(fā)送流量特別大時(shí)，還有可能造成郵件系統(tǒng)對(duì)于正常的工作反映緩慢，甚至癱瘓，這一點(diǎn)和后面要講到的“拒絕服務(wù)攻擊（DDoS）比較相似。 三、計(jì)算機(jī)網(wǎng)絡(luò)的安全策略（一）物理安全策略 物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；驗(yàn)證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活動(dòng)的發(fā)生。（二）訪問控制策略 訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非

14、法使用和非常訪問。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。各種安全策略必須相互配合才能真正起到保護(hù)作用，但訪問控制可以說(shuō)是保證網(wǎng)絡(luò)安全最重要的核心策略之一。（三）入網(wǎng)訪問控制 入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們?cè)谀呐_(tái)工作站入網(wǎng)。 用戶的入網(wǎng)訪問控制可分為三個(gè)步驟：用戶名的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶帳號(hào)的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未過(guò)，該用戶便不能進(jìn)入該網(wǎng)絡(luò)。四、網(wǎng)絡(luò)安全的幾項(xiàng)關(guān)鍵技術(shù)（一）防火墻技術(shù) “防火墻”是一種形象的說(shuō)法，其實(shí)它是一種由計(jì)算機(jī)硬件和軟件的組合，使互聯(lián)網(wǎng)與內(nèi)

15、部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)( scurity gateway)，而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。所謂防火墻就是一個(gè)把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)隔開的屏障。 防火墻有二類，標(biāo)準(zhǔn)防火墻和雙家網(wǎng)關(guān)。標(biāo)準(zhǔn)防火墻系統(tǒng)包括一個(gè)UNIX工作站，該工作站的兩端各接一個(gè)路由器進(jìn)行緩沖。其中一個(gè)路由器的接口是外部世界，即公用網(wǎng)；另一個(gè)則聯(lián)接內(nèi)部網(wǎng)。標(biāo)準(zhǔn)防火墻使用專門的軟件，并要求較高的管理水平，而且在信息傳輸上有一定的延遲。雙家網(wǎng)關(guān)(dual home gateway) 則是標(biāo)準(zhǔn)防火墻的擴(kuò)充，又稱堡壘主機(jī)(bation host) 或應(yīng)用層網(wǎng)關(guān)(applications layer gateway)，它是一個(gè)單個(gè)的系統(tǒng)，但卻

16、能同時(shí)完成標(biāo)準(zhǔn)防火墻的所有功能。其優(yōu)點(diǎn)是能運(yùn)行更復(fù)雜的應(yīng)用，同時(shí)防止在互聯(lián)網(wǎng)和內(nèi)部系統(tǒng)之間建立的任何直接的邊疆，可以確保數(shù)據(jù)包不能直接從外部網(wǎng)絡(luò)到達(dá)內(nèi)部網(wǎng)絡(luò)，反之亦然。 （二）數(shù)據(jù)加密技術(shù) 與防火墻配合使用的安全技術(shù)還有數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所采用的主要技術(shù)手段之一。隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)安全與信息保密日益引起人們的關(guān)注。按作用不同，數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)三種。 1、數(shù)據(jù)傳輸加密技術(shù) 目的是對(duì)傳輸中的數(shù)據(jù)流加密，常用的方針有線路加密和端端加密兩種。前者側(cè)重在線路上而不考慮信源與信宿，是對(duì)保密

17、信息通過(guò)各線路采用不同的加密密鑰提供安全保護(hù)。后者則指信息由發(fā)送者端自動(dòng)加密，并進(jìn)入TCP/IP數(shù)據(jù)包回封，然后作為不可閱讀和不可識(shí)別的數(shù)據(jù)穿過(guò)互聯(lián)網(wǎng)，當(dāng)這些信息一旦到達(dá)目的地，被將自動(dòng)重組、解密，成為可讀數(shù)據(jù)。 2、數(shù)據(jù)存儲(chǔ)加密技術(shù) 目是防止在存儲(chǔ)環(huán)節(jié)上的數(shù)據(jù)失密，可分為密文存儲(chǔ)和存取控制兩種。前者一般是通過(guò)加密算法轉(zhuǎn)換、附加密碼、加密模塊等方法實(shí)現(xiàn)；后者則是對(duì)用戶資格、格限加以審查和限制，防止非法用戶存取數(shù)據(jù)或合法用戶越權(quán)存取數(shù)據(jù)。 3、數(shù)據(jù)完整性鑒別技術(shù) 目的是對(duì)介入信息的傳送、存取、處理的人的身份和相關(guān)數(shù) 據(jù)內(nèi)容進(jìn)行驗(yàn)證，達(dá)到保密的要求，一般包括口令、密鑰、身份、數(shù)據(jù)等項(xiàng)的鑒別，系統(tǒng)通過(guò)對(duì)比驗(yàn)證對(duì)象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù)，實(shí)現(xiàn)對(duì)數(shù)據(jù)的安全保護(hù)。 五、結(jié)束語(yǔ)由于互聯(lián)網(wǎng)絡(luò)的開放性和通信協(xié)議的安全缺陷，以及在網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)信息存儲(chǔ)和對(duì)其訪問與處理的分布性特點(diǎn)，網(wǎng)上傳輸?shù)臄?shù)據(jù)信息很容易泄露和被破壞，網(wǎng)絡(luò)受到的安全攻擊非常嚴(yán)重，因此建立有效的網(wǎng)絡(luò)安全防范體系就更為迫切?？傊?，網(wǎng)絡(luò)安全是一個(gè)綜合性的課題，涉及技術(shù)、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術(shù)措施，一種技術(shù)只能解決一方面的問題，而不是萬(wàn)能的。因此只有嚴(yán)格的保密政策、明晰的安全策略以及高素質(zhì)的網(wǎng)絡(luò)管理人才才能完好、實(shí)時(shí)地保證信息的完整性和確證性，為網(wǎng)絡(luò)提供