對網(wǎng)絡安全對策的探討

網(wǎng)絡時代 　　不同的人往往從不同的角度將某個時期冠之以“XX時代”，用來強調(diào)某些事物或某些人對社會的重要影響。這里所說的網(wǎng)絡是指以計算機和其他電信設備為用戶終端，以現(xiàn)代綜合電信網(wǎng)為傳輸鏈路，以交換設備和處理設備為結(jié)點，以多種多樣的信息為載荷的集合。這種網(wǎng)絡對當代社會的經(jīng)濟、政治、文化、軍事和人們的生活等方面均產(chǎn)生了重大的影響，所以越來越多的人認為我們的社會已經(jīng)進入“網(wǎng)絡時代”。 　　可從以下數(shù)據(jù)和事例中看出網(wǎng)絡對社會產(chǎn)生的重大影響： 　　全球的Internet用戶已達5億多戶，中國則達4500多萬戶，而在Internet網(wǎng)之外還有相當數(shù)量的專用網(wǎng)用戶。 　　全球已發(fā)現(xiàn)的計算機病毒超過4．5萬種，每年造成的經(jīng)濟損失超過1．6萬億美元。 　　中國青年報2002年9月2日有兩篇關于網(wǎng)絡的報道。一篇是說張小姐8月24日在云南麗江乘坐的旅游車翻入山谷，張小姐第三腰椎壓縮性骨折，如不及時救治可能終身殘疾，其遠在深圳的朋友上網(wǎng)求援，獲得民航的包機專運，使病人26日就轉(zhuǎn)至廣州中山附二醫(yī)院，27日及時進行了手術，網(wǎng)絡使她贏得了搶救的時間；另一篇是說7月23日11：15至12：30首都國際機場因為網(wǎng)絡故障而“癱瘓”使60個航班和6000多名旅客的飛行被延誤，還提到7月5日深圳證券交易所因為網(wǎng)絡故障而關停數(shù)小時的嚴重事故。 　　在網(wǎng)絡時代，網(wǎng)絡給社會帶來了前所未有的機遇和挑戰(zhàn)。網(wǎng)絡的正常運行為社會帶來了巨大的進步和財富，而網(wǎng)絡的不安全性也會造成意想不到的災難和損失。網(wǎng)絡正在加速擴大覆蓋范圍、加速滲透到各個領域、加速改變傳統(tǒng)規(guī)則，我們只有努力提高網(wǎng)絡的安全性，趨利避害，才能與網(wǎng)絡時代同步前進。 　　關于網(wǎng)絡安全的主要觀點 　　網(wǎng)絡安全的目標 　　保障網(wǎng)絡的物理安全，對網(wǎng)絡施以物理保護，防止遭到破壞。 　　保障網(wǎng)絡的邏輯安全，即使用邏輯隔離以保證信息的機密性(confidentiality)、完整性(integrity)、可用性(availability)、可控制性(controllability)、真實性(authenticity)和不可抵賴性(non-repudiation)。機密性保證信息不會被未經(jīng)授權(quán)的人所解讀；完整性保證信息不會被增、刪、篡改和破壞；可用性保證信息確實為授權(quán)使用者正常運行；可控性保證對網(wǎng)絡和信息可實施安全監(jiān)控；真實性保證接收到的信息確實是發(fā)信方發(fā)的而不是假冒的；不可抵賴性保證發(fā)信方無法否認他發(fā)給收信方的信息，并可通過數(shù)字取證、證據(jù)保全，使公證方和仲裁方方便介入，用法律管理網(wǎng)絡。 　　保障網(wǎng)絡的管理安全，首先是要選用可信任的人，其次是管理部門和管理人員要有足夠的安全常識，制訂相應的法律、規(guī)章、制度，加強行政管理，預防為主。 　　安全不是絕對的 　　安全是一個與風險密切相關的概念，只有在一定風險程度范圍內(nèi)的安全，而沒有絕對的安全。 　　網(wǎng)絡共享和網(wǎng)絡威脅是一對公生體，網(wǎng)絡開放、共享的程度越高，網(wǎng)絡面臨的威脅就越高。或者說，網(wǎng)絡的可用性越高，網(wǎng)絡的安全性就越低。網(wǎng)絡存在安全漏洞是難免的，網(wǎng)絡的被攻擊是不可避免的，只是要把被攻破的幾率盡可能降低而已。 　　網(wǎng)絡信息戰(zhàn)已現(xiàn)端倪 　　網(wǎng)絡信息戰(zhàn)是指在網(wǎng)絡里為爭奪制信息權(quán)而進行的軍事爭斗，目的是癱瘓敵方的指揮自動化系統(tǒng)。 　　網(wǎng)絡信息戰(zhàn)的作戰(zhàn)形式包括指揮控制戰(zhàn)、電子戰(zhàn)、情報戰(zhàn)、心理戰(zhàn)、黑客戰(zhàn)等。 　　1991年海灣戰(zhàn)爭中，美軍第一次將計算機病毒用于實戰(zhàn)并獲得了勝利，網(wǎng)絡信息戰(zhàn)開始應用于戰(zhàn)爭；此后，在南斯拉夫的科索沃戰(zhàn)爭、俄羅斯的車臣戰(zhàn)爭，2001年以中美戰(zhàn)機相撞事件為導火索出現(xiàn)的中美黑客大戰(zhàn)，2001年發(fā)生在美國的“9．11”恐怖襲擊中，都有網(wǎng)絡信息戰(zhàn)的影子。 　　許多軍事專家已在潛心研究網(wǎng)絡信息戰(zhàn)的方方面面，甚至將網(wǎng)絡信息攻擊看作是現(xiàn)代戰(zhàn)爭的殺手锏。可以設想，在不久的將來，軍隊編制中出現(xiàn)網(wǎng)絡戰(zhàn)分隊甚至網(wǎng)軍都是完全可能的。 　　密碼技術是網(wǎng)絡信息安全最核心最基本的技術 　　密碼的主要作用是將信息的密級屬性改變成公開屬性，使那些帶密級的信息可以在公共網(wǎng)絡中存放、傳輸和交換。 　　密碼技術可用于信息加密、信息認證、數(shù)字簽名、授權(quán)控制、加密隧道和密鑰管理等方面，使截獲信息的人無法憑借現(xiàn)階段可獲得的計算資源進行破譯。 　　秘密全部寓于密鑰之中，這是編密者的基本信條，截獲者可以截取密文，但只要拿不到密鑰，就應無法破譯。 　　編密有嚴格的程序和數(shù)學算法，而破譯則要靠豐富的經(jīng)驗、廣泛的聯(lián)想和恰當?shù)募记闪�。世界上沒有不可破譯的密碼，而往往要受物力、財力、時間、條件的制約，“兩軍相逢”只有智者勝了。 　　簡單的加密只能麻痹自己，方便敵人，還不如不加密。 　　網(wǎng)絡安全不能一勞永逸 　　網(wǎng)絡安全和網(wǎng)絡威脅是一對矛盾，此消彼長，并在動態(tài)中發(fā)展，在斗爭中前進。 　　網(wǎng)絡安全措施不是萬能的，但是沒有網(wǎng)絡安全措施是萬萬不能的。 　　網(wǎng)絡安全的重點在于提高網(wǎng)絡的頑存性，允許某些非法入侵，允許部分組件受損、允許某些部件的不可靠，但網(wǎng)絡仍能在結(jié)構(gòu)上合理配置資源和資源重組，仍可完成主要任務。 　　網(wǎng)絡安全要在定期的測評中運用最新技術成果不斷改進，不能一勞永逸。 　　網(wǎng)絡安全的投資 　　網(wǎng)絡安全產(chǎn)業(yè)包括安全設備和安全服務兩部分。安全設備包括防火墻、殺毒軟件、密碼機、訪問控制、安全認證、加密隧道的構(gòu)筑等；安全服務包括安全咨詢、安全風險評估、項目實施、整體解決方案、安全培訓、售后技術支援、產(chǎn)品更新?lián)Q代等。 　　國際上網(wǎng)絡安全產(chǎn)業(yè)的投資大約占網(wǎng)絡產(chǎn)業(yè)的10%—15%，其中安全設備和安全服務的投資比例接近于1：1，而且隨著時間的推移安全服務的投資比例還會增大。專家們預計不久的將來就會出現(xiàn)“網(wǎng)上110”、“網(wǎng)上警察”和“網(wǎng)上急救隊”了。 　　做網(wǎng)絡安全的理性用戶 　　理性用戶應該遵紀守法，貫徹執(zhí)行相關的網(wǎng)絡安全技術標準、規(guī)范；聽取專家咨詢建議，制訂與網(wǎng)絡發(fā)展協(xié)調(diào)的安全方案；精挑細選，掌握產(chǎn)品的真實性能指標；關注最新技術，動態(tài)調(diào)整安全方案，備好安全應急措施。 　　網(wǎng)絡安全的基本對策 　　建立網(wǎng)絡安全的體系結(jié)構(gòu) 　　網(wǎng)絡安全的體系結(jié)構(gòu)是一個理論基礎，可以使網(wǎng)絡安全建設綱舉目張、有條不紊、全面周到、相對完善。 　　國外的一些政府部門、研究機構(gòu)和公司已經(jīng)就網(wǎng)絡安全體系結(jié)構(gòu)提出了一些模型，趙戰(zhàn)先生在其基礎上提出了適合中國國情的模型，即WPDRRC(預警、保護、檢測、反應、恢復和反擊)。預警是指預測網(wǎng)絡可能受到的攻擊，評估面臨的風險，為安全決策提供依據(jù)；保護是指依據(jù)不同等級的安全要求，采用不同的保護等級；檢測是指動態(tài)、實時地查明網(wǎng)絡所受到的威脅性質(zhì)和程度；反應是指對于危及安全的事件及時做出相應的處理，把危害減至最低限度；恢復是指采用容錯、冗余、替換、修復和一致性保證等技術使網(wǎng)絡迅速恢復正常工作；反擊是指具有犯罪取證能力和打擊手段。 　　專網(wǎng)與互聯(lián)網(wǎng)的隔離 　　2002年8月5日國家信息化辦公室發(fā)文要求、“電子政務網(wǎng)絡由政務內(nèi)網(wǎng)和政外網(wǎng)構(gòu)成，兩網(wǎng)之間有機隔離，政務外網(wǎng)與互聯(lián)網(wǎng)之間邏輯隔離�！逼渌�部門和單位也有與此類似的要求。 　　物理隔離，就是兩個網(wǎng)絡之間不存在數(shù)據(jù)流，也不存在可以共享的存儲和信道。物理隔離的實施方案有：支持雙主機、單終端的終端切換方案；雙硬盤、雙網(wǎng)卡的物理隔離方案；具有雙網(wǎng)隔離功能的隔離網(wǎng)卡方

案；外部網(wǎng)使用單獨硬盤，內(nèi)部網(wǎng)使用服務器端統(tǒng)一存儲的隔離方案；后來又出現(xiàn)了雙主板、單CPU、通過硬件體系結(jié)構(gòu)實現(xiàn)隔離的方案。用戶可以靈活設計自己的物理隔離方案，但它仍然無法抵御來自內(nèi)部的無意疏忽和有意攻擊。 　　邏輯隔離，就是兩個網(wǎng)絡之間只允許合法的數(shù)據(jù)交流，而不允許非法的數(shù)據(jù)流進入專網(wǎng)。邏輯隔離可使用防火墻、網(wǎng)閘等來實現(xiàn)，例如校園網(wǎng)與互聯(lián)網(wǎng)通過防火墻來互聯(lián)，防火墻可將互聯(lián)網(wǎng)上的色情、恐怖、邪教宣傳等信息拒之于校園網(wǎng)之外。但是防火墻是防外不防內(nèi)的，防火墻的標簽區(qū)分能力仍有大量的盲點，防火墻自身往往也存在漏洞使攻擊者有隙而入，防火墻的過濾規(guī)則如果定義不恰當也會有“漏網(wǎng)之魚”，防火墻若不能適應新的安全威脅即時升級和更新也將有名無實。 　　另外需要指出的是，為了安全關閉網(wǎng)絡是因噎廢食；為了安全而與外部網(wǎng)物理隔絕，會使內(nèi)部網(wǎng)變成“信息孤島”，大大降低使用效能；采用相對完善的安全方案，使內(nèi)部網(wǎng)與外部網(wǎng)(包括互聯(lián)網(wǎng))安全互聯(lián)，使專網(wǎng)用戶也能共享互聯(lián)網(wǎng)的豐富資源，這才是網(wǎng)絡的“大禹治水”之道，網(wǎng)絡的發(fā)展是硬道理 　　防火墻技術 　　防火墻是一種按某種規(guī)則對專網(wǎng)和互聯(lián)網(wǎng)，或?qū)�互�?lián)網(wǎng)的一部分和其余部分之間的信息交換進行有條件的控制(包括隔離)，從而阻斷不希望發(fā)生的網(wǎng)絡間通信的系統(tǒng)。 　　防火墻可以用硬件、也可以用軟件、或用硬軟件共同來實現(xiàn)。防火墻按應用場合可分為企業(yè)防火墻和個人防火墻，按技術原理可分為包過濾型和應用網(wǎng)關型，按工作模式可分為網(wǎng)橋模式和路由模式。 　　防火墻可以為專網(wǎng)加強訪問控制、提供信息過濾、應用層的專用代理、日志分析統(tǒng)計報告、對用戶進行“鑰匙口令+防火墻一次性口令”的雙因于認證等功能。 　　防火墻的介入不應過多影響網(wǎng)絡的效能，正常工作時應能阻擋或捕捉到非法闖入者，特別是一旦防火墻被攻破時應能重新啟動并恢復到正常工作狀態(tài)，把對網(wǎng)絡的破壞降至最低限度。 　　訪問控制技術 　　訪問控制是一種確定進入網(wǎng)絡的合法用戶對哪些網(wǎng)絡資源(如內(nèi)存、I／0、CPU、數(shù)據(jù)庫等)享有何種授權(quán)并可進行何種訪問(如讀、寫、運行等)的機制。 　　訪問控制可分為身份訪問控制、內(nèi)容訪問控制、規(guī)則訪問控制、環(huán)境訪問控制、數(shù)據(jù)標簽等類型。 　　訪問控制的常用技術有通行字、權(quán)限標記、安全標記、訪問控制表和矩陣、訪問持續(xù)時間限制等。 　　訪問控制必須遵從最小特權(quán)原則，即用戶在其合法的訪問授權(quán)之外而無其他的訪問特權(quán)，以保證有效防止網(wǎng)絡因超權(quán)限訪問而造成的損失。 　　值得指出的是，訪問控制的強度并不是很高的，也不會是絕對安全的，例如通行字一般都很短且?guī)в幸恍┤怂�共知的特征，被猜中或攻破的可能性是較大的。 　　防病毒技術 　　計算機病毒是一種攻擊性程序，它可以修改其他程序或?qū)⒆陨淼目截惒迦肫渌�程序中來感染計算機網(wǎng)絡，病毒通常都具有破壞性作用，并通過網(wǎng)上信息交流而迅速傳播，進一步破壞網(wǎng)上信息的完善性。 　　計算機病毒的特點是具有非授權(quán)的可執(zhí)行性、隱蔽性好、感染性強、潛伏得深、破壞性廣泛、有條件地觸發(fā)而發(fā)作、新病毒層出不窮等。 　　計算機病毒的危害多種多樣。病毒程序會消耗資源使網(wǎng)絡速度變慢；病毒會干擾、改變用戶終端的圖像或聲音，使用戶無法正常工作：有些病毒還會破壞文件、存儲器、軟件和硬件，使部分網(wǎng)絡癱瘓；有些病毒會在硬盤上設置遠程共享區(qū)，形成后門，為黑客大開方便之門。 　　防病毒技術包括四個方面：病毒的檢測(查毒)，并可自動報警和攔截；病毒的清除(殺毒)，清除力求干凈徹底、不傷害網(wǎng)絡；網(wǎng)絡的修復，依據(jù)相關線索搶救丟失的數(shù)據(jù)，使網(wǎng)絡恢復正常工作；病毒的預防(免疫)，通常利用軟件補丁不斷彌補網(wǎng)絡漏洞，以亡羊補牢，同時要對殺毒軟件及時升級換代，保持其足夠的“殺傷力”。 　　網(wǎng)絡病毒千奇百怪，分類方法繁多。按病毒的算法分類則有伴隨性病毒(最早出現(xiàn)的一種病毒)，“蠕蟲”型病毒(如1998年的莫里斯病毒)、寄生型病毒(新發(fā)現(xiàn)的病毒基本上都是此類)，如幽靈病毒、裝甲病毒、行騙病毒、慢效病毒、輕微破壞病毒、噬菌體病毒、反反病毒以及綜合性病毒等；而廣大網(wǎng)民容易理解的還是按應用場合分類為互聯(lián)網(wǎng)病毒、電子郵件病毒、宏病毒、Windows病毒、DOS病毒、黑客程序以及其它應用性病毒。道高一尺，魔高一丈，病毒功防戰(zhàn)中只能是“勇敢+智慧+堅韌”的一方取勝了。 　　入侵檢測技術 　　入侵檢測被認為是繼防火墻、信息加密之后的新一代網(wǎng)絡安全技術。入侵檢測是在指定的網(wǎng)段上(例如在防火墻內(nèi))及早發(fā)現(xiàn)具有入侵特征的網(wǎng)絡連接，并予以即時地報警、切斷連接或其它處置。 　　入侵檢測與防火墻所監(jiān)視的入侵特征不同。防火墻監(jiān)視的是數(shù)據(jù)流的結(jié)構(gòu)性特征，如源地址、目的地址和端口號等，這些特征一定會表示在數(shù)據(jù)流的特定位置上；而入侵檢測監(jiān)視的是體現(xiàn)在數(shù)據(jù)內(nèi)容中的攻擊特征，如數(shù)據(jù)流中出現(xiàn)大量連續(xù)的Nop填充碼，往往是利用緩；中區(qū)溢出漏洞的攻擊程序所制，它們使數(shù)據(jù)流的內(nèi)容發(fā)生了改變。但是還有一些入侵不會導致數(shù)據(jù)流出現(xiàn)攻擊特征字符串，而是體現(xiàn)為一種異常的群體行為模式，必須靠分布式入侵檢測系統(tǒng)才能綜合分析而發(fā)現(xiàn)。 　　入侵檢測的難點在于：檢測耗費時間加響應耗費時間之和必須小于攻擊耗費時間，這個時間隨著計算機速度的提高往往在μs級甚至于ns級；攻擊特征成千上萬，既有已知的還有未知的，入侵檢測的算法也要隨之而改進：網(wǎng)絡寬帶越來越大，網(wǎng)上數(shù)據(jù)流量已是天量海量，檢測如此巨大的數(shù)據(jù)流真如“大海撈針”；入侵檢測要對非法入侵發(fā)現(xiàn)得及時、抓住特征、防止銷毀證據(jù)并做出反擊，是一場不折不扣的高科技戰(zhàn)爭。 　　虛擬安全專網(wǎng)(VPN) 　　VPN是指業(yè)務提供商利用公眾網(wǎng)(如互聯(lián)網(wǎng))將多個用戶子網(wǎng)連接成一個專用網(wǎng)，VPN是一個邏輯網(wǎng)絡而非物理網(wǎng)絡，它既擁有公眾網(wǎng)的豐富資源而又擁有專用網(wǎng)的安全性和靈活性。 　　目前的公眾網(wǎng)都是基于IP網(wǎng)間協(xié)議的，為了解決IP數(shù)據(jù)流的安全問題，IETF(因特網(wǎng)工程工作組)制訂了一個Ipsec(IP安全標準)。Ipsec采用兩種安全機制：一個是AH(IP鑒別頭)，它對IP數(shù)據(jù)進行強密碼校驗，進而提供數(shù)據(jù)完整性鑒別和源鑒別；另一個是ESP(IP數(shù)據(jù)封裝安全凈荷)，它通過加密IP數(shù)據(jù)來提供數(shù)據(jù)完整性和保密性，ESP又分為隧道加密方式(即對整個IP數(shù)據(jù)全加密)和IP數(shù)據(jù)凈荷加密方式兩類。 　　Ipsec是一種端到端的安全機制，Ipsec工作于互聯(lián)網(wǎng)協(xié)議的第三層即網(wǎng)間協(xié)議層，因此位于第四層的TCP協(xié)議(即傳送控制協(xié)議)不用任何改變即可工作在Ipsec之上。 　　其它網(wǎng)絡安全對策 　　除了上述幾條外，網(wǎng)絡安全方面還應采用以下一些對策： 　　適當強度的密碼算法，密碼始終是網(wǎng)絡安全的基石，也是一切安全對策的核心； 　　采用安全性好的操作系統(tǒng)； 　　采用電磁防護措施，一方面要防止有用信息的電磁漏瀉發(fā)射，另一方面要采用抗電磁干擾傳輸方式； 　　采用防雷電的保護措施； 　　采用適當?shù)奈锢矸雷o措施； 　　加強行政管理、完善規(guī)章制度、嚴格人員選任、法律介入網(wǎng)絡等。 　　結(jié)束語 　　網(wǎng)絡是我們馳騁的廣闊天地，而網(wǎng)絡出口和IP地址為我們劃定了網(wǎng)絡疆土。網(wǎng)絡天地里既充滿了各種各樣的有用資源，也暗藏著許多“殺機”，正在進行著一場沒有硝煙的戰(zhàn)爭�！氨４孀约�、消滅敵人”是我們的基本原則，為了實現(xiàn)網(wǎng)絡安全，我們必須不斷學習，與網(wǎng)絡的發(fā)展同步前

進；聽取和尊重專家的建議，慎重安全決策；綜合運用多種安全對策，確保適度的網(wǎng)絡安全；動態(tài)改進安全對策；努力占據(jù)安全的制高點。

【對網(wǎng)絡安全對策的探討】相關文章：

我國村民自治存在的問題與對策探討08-06

基層行政執(zhí)法工作的難點及對策探討08-15

我國村民自治存在的問題與對策探討08-06

高校學院檔案工作問題及對策探討08-05

關于提高農(nóng)民收入的對策探討08-12

WTO對中國稅制的影響及其對策探討08-05

高中作文教學的現(xiàn)狀分析與對策探討08-24

鐵路貨運向現(xiàn)代物流拓展對策探討08-05

關于MCAI教學普及問題及其對策的探討08-17