淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)信息安全的技術(shù)

　　有人說(shuō),信息安全就像茫茫宇宙中閃爍的星星一樣無(wú)序,看得見(jiàn)摸不著,具有混沌特征。過(guò)去兩個(gè)世紀(jì)來(lái)對(duì)工業(yè)技術(shù)的控制,代表了一個(gè)國(guó)家的軍事實(shí)力和經(jīng)濟(jì)實(shí)力,今天,對(duì)信息技術(shù)的控制將是領(lǐng)導(dǎo)21世紀(jì)的關(guān)鍵。

　　隨著計(jì)算機(jī)技術(shù)的發(fā)展,在計(jì)算機(jī)上處理業(yè)務(wù)已由基于單機(jī)的數(shù)學(xué)運(yùn)算、文件處理,基于簡(jiǎn)單連結(jié)的內(nèi)部網(wǎng)絡(luò)的內(nèi)部業(yè)務(wù)處理、辦公自動(dòng)化等發(fā)展到基于企業(yè)復(fù)雜的內(nèi)部網(wǎng)、企業(yè)外部網(wǎng)、全球互聯(lián)網(wǎng)的企業(yè)級(jí)計(jì)算機(jī)處理系統(tǒng)和世界范圍內(nèi)的信息共享和業(yè)務(wù)處理。在信息處理能力提高的同時(shí),系統(tǒng)的連結(jié)能力也在不斷的提高。但在連結(jié)信息能力、流通能力提高的同時(shí),基于網(wǎng)絡(luò)連接的安全問(wèn)題也日益突出。本文主要從以下幾個(gè)方面進(jìn)行探討。

　　1.網(wǎng)絡(luò)的開(kāi)放性帶來(lái)的安全問(wèn)題

　　Internet的開(kāi)放性以及其他方面因素導(dǎo)致了網(wǎng)絡(luò)環(huán)境下的計(jì)算機(jī)系統(tǒng)存在很多安全問(wèn)題。為了解決這些安全問(wèn)題,各種安全機(jī)制、策略和工具被研究和應(yīng)用。然而,即使在使用了現(xiàn)有的安全工具和機(jī)制的情況下,網(wǎng)絡(luò)的安全仍然存在很大隱患,這些安全隱患主要可以歸結(jié)為以下幾點(diǎn):?

　　(1)每一種安全機(jī)制都有一定的應(yīng)用范圍和應(yīng)用環(huán)境。防火墻是一種有效的安全工具,它可以隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu),限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問(wèn)。但是對(duì)于內(nèi)部網(wǎng)絡(luò)之間的訪問(wèn),防火墻往往是無(wú)能為力的。因此,對(duì)于內(nèi)部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)之間的入侵行為和內(nèi)外勾結(jié)的入侵行為,防火墻是很難發(fā)覺(jué)和防范的。

　　(2)安全工具的使用受到人為因素的影響。一個(gè)安全工具能不能實(shí)現(xiàn)期望的效果,在很大程度上取決于使用者,包括系統(tǒng)管理者和普通用戶(hù),不正當(dāng)?shù)脑O(shè)置就會(huì)產(chǎn)生不安全因素。而且安全工具也存在著自身的漏洞,不及時(shí)的更新很容易被別人利用漏洞成為攻擊的工具。

　　(3)系統(tǒng)的后門(mén)是傳統(tǒng)安全工具難于考慮到的地方。防火墻很難考慮到這類(lèi)安全問(wèn)題,多數(shù)情況下,這類(lèi)入侵行為可以堂而皇之經(jīng)過(guò)防火墻而很難被察覺(jué);比如說(shuō),眾所周知的ASP源碼問(wèn)題,這個(gè)問(wèn)題在IIS服務(wù)器4.0以前一直存在,它是IIS服務(wù)的設(shè)計(jì)者留下的一個(gè)后門(mén),任何人都可以使用瀏覽器從網(wǎng)絡(luò)上方便地調(diào)出ASP程序的源碼,從而可以收集系統(tǒng)信息,進(jìn)而對(duì)系統(tǒng)進(jìn)行攻擊。對(duì)于這類(lèi)入侵行為,防火墻是無(wú)法發(fā)覺(jué)的,因?yàn)閷?duì)于防火墻來(lái)說(shuō),該入侵行為的訪問(wèn)過(guò)程和正常的WEB訪問(wèn)是相似的,唯一區(qū)別是入侵訪問(wèn)在請(qǐng)求鏈接中多加了一個(gè)后綴。

　　(4)只要有程序,就可能存在BUG。甚至連安全工具本身也可能存在安全的漏洞。幾乎每天都有新的BUG被發(fā)現(xiàn)和公布出來(lái),程序設(shè)計(jì)者在修改已知的BUG的同時(shí)又可能使它產(chǎn)生了新的BUG。系統(tǒng)的BUG經(jīng)常被黑客利用,而且這種攻擊通常不會(huì)產(chǎn)生日志,幾乎無(wú)據(jù)可查。比如說(shuō)現(xiàn)在很多程序都存在內(nèi)存溢出的BUG,現(xiàn)有的安全工具對(duì)于利用這些BUG的攻擊幾乎無(wú)法防范。

　　(5)黑客的攻擊手段在不斷地更新,幾乎每天都有不同系統(tǒng)安全問(wèn)題出現(xiàn)。然而安全工具的更新速度太慢,絕大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問(wèn)題,這就使得它們對(duì)新出現(xiàn)的安全問(wèn)題總是反應(yīng)太慢。當(dāng)安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問(wèn)題時(shí),其他的安全問(wèn)題又出現(xiàn)了。因此,黑客總是可以使用先進(jìn)的、安全工具不知道的手段進(jìn)行攻擊。

　　2.網(wǎng)絡(luò)安全的防護(hù)力漏洞,導(dǎo)致黑客在網(wǎng)上任意暢行

　　根據(jù)Warroon Research的調(diào)查,1997年世界排名前一千的公司幾乎都曾被黑客闖入。

　　據(jù)美國(guó)FBI統(tǒng)計(jì),美國(guó)每年因網(wǎng)絡(luò)安全造成的損失高達(dá)75億美元。

　　Ernst和Young報(bào)告,由于信息安全被竊或?yàn)E用,幾乎80%的大型企業(yè)遭受損失雅虎網(wǎng)站曾在黑客大規(guī)模的攻擊行動(dòng)中,網(wǎng)絡(luò)被迫停止運(yùn)行3小時(shí),這令它損失了幾百萬(wàn)美金的交易。而據(jù)統(tǒng)計(jì)在這整個(gè)行動(dòng)中美國(guó)經(jīng)濟(jì)共損失了十多億美金。由于業(yè)界人心惶惶,亞馬遜(Amazon.com)、AOL、雅虎(Yahoo!)、eBay的股價(jià)均告下挫,以科技股為主的那斯達(dá)克指數(shù)(Nasdaq)、杜瓊斯工業(yè)平均指數(shù)因此雙雙下挫。看到這些令人震驚的事件,不禁讓人們發(fā)出疑問(wèn):“網(wǎng)絡(luò)還安全嗎?”

　　我國(guó)網(wǎng)站所受到黑客的攻擊,已經(jīng)到了引起我們重視的程度了,以下事實(shí)雖然發(fā)生在過(guò)去,但是卻足以讓我們深思:?

　　1993年底,中科院高能所就發(fā)現(xiàn)有“黑客”侵入現(xiàn)象,某用戶(hù)的權(quán)限被升級(jí)為超級(jí)權(quán)限。當(dāng)系統(tǒng)管理員跟蹤時(shí),被其報(bào)復(fù)。1994年,美國(guó)一位14歲的小孩通過(guò)互聯(lián)網(wǎng)闖入中科院網(wǎng)絡(luò)中心和清華的主機(jī),并向我方系統(tǒng)管理員提出警告。

　　2006年05月21日 黑客篡改超市收銀記錄侵占397萬(wàn)余元。

　　2006年8月17日 17歲黑客發(fā)威,騰訊QQ網(wǎng)站被黑。

　　2006年9月21日 黑客搞亂了互聯(lián)網(wǎng)大會(huì)。

　　2006年12月31日 中國(guó)工商銀行被黑。

　　這是web程序的漏洞,是由于程序員的疏乎所造成。這次僅僅是被人換成個(gè)“工行倒閉”,然后發(fā)給別人看,這算不了什么大不了的,也就是好玩而已。但是這個(gè)地方竟然可以嵌入html代碼,這可就太糟糕了。一旦可以用html代碼,就不是修改一點(diǎn)點(diǎn)文字,而是可以改變頁(yè)面的功能了。比如說(shuō),我們?cè)诹硗庖粋€(gè)站點(diǎn)放一個(gè)輸入用戶(hù)名密碼的對(duì)話框,然后用 iframe把這個(gè)頁(yè)面嵌入到工行的網(wǎng)站上,然后用“新年禮品”之類(lèi)的方式騙別人輸入網(wǎng)上銀行的賬號(hào)密碼,有多少人會(huì)上當(dāng)?其實(shí)問(wèn)題很容易解決,一是,廣大公司能請(qǐng)一些精通安全編程的高級(jí)程序員來(lái)為自己量身打造web程序,二是請(qǐng)安全檢測(cè)公司對(duì)上線前的web程序進(jìn)行安全檢測(cè),以確保安全。

　　3.網(wǎng)絡(luò)安全體系的探討

　　現(xiàn)階段為了保證網(wǎng)絡(luò)工作順通常用的方法如下:

　　(1)網(wǎng)絡(luò)病毒的防范。在網(wǎng)絡(luò)環(huán)境下,病毒傳播擴(kuò)散快,僅用單機(jī)防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒,必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。內(nèi)部局域網(wǎng)需要一個(gè)基于服務(wù)器操作系統(tǒng)平臺(tái)的防病毒軟件和針對(duì)各種桌面操作系統(tǒng)的防病毒軟件。如果與互聯(lián)網(wǎng)相連,就需要網(wǎng)關(guān)的防病毒軟件,加強(qiáng)上網(wǎng)計(jì)算機(jī)的安全。如果在網(wǎng)絡(luò)內(nèi)部使用電子郵件進(jìn)行信息交換,還需要一套基于郵件服務(wù)器平臺(tái)的郵件防病毒軟件,識(shí)別出隱藏在電子郵件和附件中的病毒。所以最好使用全方位的防病毒產(chǎn)品,針對(duì)網(wǎng)絡(luò)中所有可能的病毒攻擊點(diǎn)設(shè)置對(duì)應(yīng)的防病毒軟件,通過(guò)全方位、多層次的防病毒系統(tǒng)的配置,通過(guò)定期或不定期的自動(dòng)升級(jí),使網(wǎng)絡(luò)免受病毒的侵襲。

　　(2)配置防火墻。利用防火墻,在網(wǎng)絡(luò)通訊時(shí)執(zhí)行一種訪問(wèn)控制尺度,允許防火墻同意訪問(wèn)的人與數(shù)據(jù)進(jìn)入自己的內(nèi)部網(wǎng)絡(luò),同時(shí)將不允許的用戶(hù)與數(shù)據(jù)拒之門(mén)外,最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)自己的網(wǎng)絡(luò),防止他們隨意更改、移動(dòng)甚至刪除網(wǎng)絡(luò)上的重要信息。防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機(jī)制,防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部,所以,防火墻是網(wǎng)絡(luò)安全的重要一環(huán)。

　　(3)采用入侵檢測(cè)系統(tǒng)。入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù),是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。在入侵檢測(cè)系統(tǒng)中利用審計(jì)記錄,入侵檢測(cè)系統(tǒng)能夠識(shí)別出任何不希望有的活動(dòng),從而達(dá)到限制這些活動(dòng),以保護(hù)系統(tǒng)的安全。在校園網(wǎng)絡(luò)中采用入侵檢測(cè)技術(shù),最好采用混合入侵檢測(cè),在網(wǎng)絡(luò)中同時(shí)采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng),則會(huì)構(gòu)架成一套完整立體的主動(dòng)防御體系。

　　(4)Web,Email,BBS的安全監(jiān)測(cè)系統(tǒng)。在網(wǎng)絡(luò)的www服務(wù)器、Email服務(wù)器等中使用網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng),實(shí)時(shí)跟蹤、監(jiān)視網(wǎng)絡(luò),截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容,并將其還原成完整的www、Email、FTP、Telnet應(yīng)用的內(nèi)容,建立保存相應(yīng)記錄的數(shù)據(jù)庫(kù)。及時(shí)發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容,及時(shí)向上級(jí)安全網(wǎng)管中心報(bào)告,采取措施。

　　(5)漏洞掃描系統(tǒng)。解決網(wǎng)絡(luò)層安全問(wèn)題,首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患、脆弱點(diǎn)。面對(duì)大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況,僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞、做出風(fēng)險(xiǎn)評(píng)估,顯然是不現(xiàn)實(shí)的。解決的方案是,尋找一種能查找網(wǎng)絡(luò)安全漏洞、評(píng)估并提出修改建議的網(wǎng)絡(luò)?安全掃描工具,利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下,可以利用各種黑客工具,對(duì)網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞。

　　(6)IP盜用問(wèn)題的解決。在路由器上捆綁IP和MAC地址。當(dāng)某個(gè)IP通過(guò)路由器訪問(wèn)Internet時(shí),路由器要檢查發(fā)出這個(gè)IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,如果相符就放行。否則不允許通過(guò)路由器,同時(shí)給發(fā)出這個(gè)IP廣播包的工作站返回一個(gè)警告信息。

　　(7)利用網(wǎng)絡(luò)監(jiān)聽(tīng)維護(hù)子網(wǎng)系統(tǒng)安全。對(duì)于網(wǎng)絡(luò)外部的入侵可以通過(guò)安裝防火墻來(lái)解決,但是對(duì)于網(wǎng)絡(luò)內(nèi)部的侵襲則無(wú)能為力。在這種情況下,我們可以采用對(duì)各個(gè)子網(wǎng)做一個(gè)具有一定功能的審計(jì)文件,為管理人員分析自己的網(wǎng)絡(luò)運(yùn)作狀態(tài)提供依據(jù)。設(shè)計(jì)一個(gè)子網(wǎng)專(zhuān)用的監(jiān)聽(tīng)程序。該軟件的主要功能為長(zhǎng)期監(jiān)聽(tīng)子網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)間相互聯(lián)系的情況,為系統(tǒng)中各個(gè)服務(wù)器的審計(jì)文件提供備份。

　　總之,網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的工程,不能僅僅依靠防火墻等單個(gè)的系統(tǒng),而需要仔細(xì)考慮系統(tǒng)的安全需求,并將各種安全技術(shù),如密碼技術(shù)等結(jié)合在一起,才能生成一個(gè)高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。