以Internet為代表的全球性信息化浪潮日益深刻,信息網絡技術的應用正日益普及和廣泛,應用層次正在深入,應用領域從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展,典型的如黨政部門信息系統、金融業務系統、企業商務系統等。伴隨網絡的普及,安全日益成為影響網絡效能的重要問題,而Internet所具有的開放性、國際性和自由性在增加應用自由度的同時,對安全提出了更高的要求,這主要表現在:開放性的網絡,導致網絡的技術是全開放的,任何壹個人、團體都可能獲得,因而網絡所面臨的破壞和攻擊可能是多方面的,例如:可能來自物理傳輸線路的攻擊,也可以對網絡通信協議和實現實施攻擊;可以是對軟件實施攻擊,也可以對硬件實施攻擊。國際性的壹個網絡還意味著網絡的攻擊不僅僅來自本地網絡的用戶,它可以來自Internet上的任何壹臺機器,也就是說,網絡安全所面臨的是壹個國際化的挑戰。自由意味著網絡最初對用戶的使用並沒有提供任何的技術約束,用戶可以自由地訪問網絡,自由地使用和發布各種類型的信息。用戶只對自己的行為負責,而沒有任何的法律限制。
盡管開放的、自由的、國際化的Internet的發展給政府機構、企事業單位帶來了革命性的改革和開放,使得他們能夠利用Internet提高辦事效率和市場反應能力,以便更具競爭力。通過Internet,他們可以從異地取回重要數據,同時又要面對Internet開放帶來的數據安全的新挑戰和新危險。如何保護企業的機密信息不受黑客和工業間諜的入侵,已成為政府機構、企事業單位信息化健康發展所要考慮的重要事情之壹。
1. 什麽是安全
安全包括五個要素:機密性、完整性、可用性、可控性與可審查性。
· 機密性:確保信息不暴露給未授權的實體或進程。
· 完整性:只有被允許的人才能修改數據,並能夠判別出數據是否已被篡改。
· 可用性:得到授權的實體在需要時可訪問數據,即攻擊者不能占用所有的資源而阻礙授權者的工作。
· 可控性:可以控制授權範圍內的信息流向及行為方式。
· 可審查性:對出現的網絡安全問題提供調查的依據和手段。
2. 安全威脅
壹般認為,目前網絡存在的威脅主要表現在:
· 利用網絡傳播病毒:通過網絡傳播計算機病毒,其破壞性大大高於單機系統,而且用戶很難防範。
· 非授權訪問:沒有預先經過同意,就使用網絡或計算機資源被看作非授權訪問,如有意避開系統訪問控制機制,對網絡設備及資源進行非正常使用,或擅自擴大權限,越權訪問信息。它主要有以下幾種形式:假冒、身份攻擊、非法用戶進入網絡系統進行違法操作、合法用戶以未授權方式進行操作等。
· 信息泄漏或丟失:指敏感數據在有意或無意中被泄漏出去或丟失,它通常包括,信息在傳輸中丟失或泄漏(如“黑客”們利用電磁泄漏或搭線竊聽等方式可截獲機密信息,或通過對信息流向、流量、通信頻度和長度等參數的分析,推出有用信息,如用戶口令、賬號等重要信息。),信息在存儲介質中丟失或泄漏,通過建立隱蔽隧道等竊取敏感信息等。
· 破壞數據完整性:以非法手段竊得對數據的使用權,刪除、修改、插入或重發某些重要信息,以取得有益於攻擊者的響應;惡意添加,修改數據,以幹擾用戶的正常使用。
· 拒絕服務攻擊:它不斷對網絡服務系統進行幹擾,改變其正常的作業流程,執行無關程序使系統響應減慢甚至癱瘓,影響正常用戶的使用,甚至使合法用戶被排斥而不能進入計算機網絡系統或不能得到相應的服務。
3. 安全服務、機制與技術
· 安全服務:包括服務控制服務、數據機密性服務、數據完整性服務、對象認證服務、防抵賴服務 。
· 安全機制:包括訪問控制機制、加密機制、認證交換機制、數字簽名機制、防業務流分析機制、路由控制機制 。
· 安全技術:包括防火墻技術、加密技術、鑒別技術、數字簽名技術、審計監控技術、病毒防治技術 。
在安全的開放環境中,用戶可以使用各種安全應用。安全應用由壹些安全服務來實現;而安全服務又是由各種安全機制或安全技術實現的。應當指出,同壹安全機制有時也可以用於實現不同的安全服務。
4. 安全工作目的
安全工作的目的就是為了在安全法律、法規、政策的支持與指導下,通過采用合適的安全技術與安全管理措施,完成以下任務:
· 使用訪問控制機制,阻止非授權用戶進入網絡,即“進不來”,從而保證網絡系統的可用性。
· 使用授權機制,實現對用戶的權限控制,即不該拿走的“拿不走”,同時結合內容審計機制,實現對網絡資源及信息的可控性。
· 使用加密機制,確保信息不暴露給未授權的實體或進程,即“看不懂”,從而實現信息的保密性。
· 使用數據完整性鑒別機制,保證只有得到允許的人才能修改數據,而其它人“改不了”,從而確保信息的完整性。
· 使用審計、監控、防抵賴等安全機制,使得攻擊者、破壞者、抵賴者“走不脫”,並進壹步對網絡出現的安全問題提供調查依據和手段,實現信息安全的可審查性。
二、網絡安全問題分析
網絡面臨的威脅大體可分為對網絡中數據信息的危害和對網絡設備的危害,我們這裏主要研究的是前者。具體來說,危害網絡安全的主要威脅有:非授權訪問,即對網絡設備及信息資源進行非正常使用或越權使用等;冒充合法用戶,即利用各種假冒或欺騙的手段非法獲得合法用戶的使用權限,以達到占用合法用戶資源的目的;破壞數據的完整性,即使用非法手段,刪除、修改、重發某些重要信息,以幹擾用戶的正常使用;幹擾系統正常運行。指改變系統的正常運行方法,減慢系統的響應時間等手段;病毒與惡意攻擊,即通過網絡傳播病毒或惡意Java、XActive等。
除此之外,Internet非法內容也形成了對網絡的另壹大威脅。有關部門統計顯示,有30%-40%的Internet訪問是與工作無關的,甚至有的是去訪問色情、暴力、反動等站點。在這樣的情況下,Internet資源被嚴重浪費。尤其對教育網來說,面對形形色色、良莠不分的網絡資源,如不具有識別和過濾作用,不但會造成大量非法內容或郵件出入,占用大量流量資源,造成流量堵塞、上網速度慢等問題,而且某些不良網站含有暴力、色情、反動消息等內容,將極大地危害青少年的身心健康。
三、網絡安全策略
通過對網絡的全面了解,按照安全策略的要求及風險分析的結果,整個網絡措施應按系統體系建立,具體的安全控制系統由以下幾個方面組成: 物理安全、網絡安全、信息安全。
1. 物理安全
保證計算機信息系統各種設備的物理安全是整個計算機信息系統安全的前提。物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。它主要包括三個方面:
環境安全:對系統所在環境的安全保護,如區域保護和災難保護;
設備安全:主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁幹擾及電源保護等;
媒體安全:包括媒體數據的安全及媒體本身的安全。
顯然,為保證信息網絡系統的物理安全,除在網絡規劃和場地、環境等要求之外,還要防止系統信息在空間的擴散,在理論和技術支持下的驗證工作也證實這種截取距離在幾百甚至可達千米,這給計算機系統信息的保密工作帶來了極大的危害。為了防止系統中的信息在空間上的擴散,通常是在物理上采取壹定的防護措施,來減少或幹擾擴散出去的空間信號。
2. 網絡安全
網絡安全,包括:系統(主機、服務器)安全、反病毒、系統安全檢測、審計分析網絡運行安全、備份與恢復、局域網與子網安全、訪問控制(防火墻)、網絡安全檢測、入侵檢測。
3. 信息安全
主要涉及到信息傳輸的安全、信息存儲的安全以及對網絡傳輸信息內容的審計三方面,具體包括數據加密、數據完整性鑒別、防抵賴、信息存儲安全、數據庫安全、終端安全、信息的防泄密、信息內容審計、用戶授權。
面對網絡安全的脆弱性,除了在網絡設計上增加安全服務功能,完善系統的安全保密措施外,還必須花大力氣加強網絡的安全管理,組織管理和人員錄用等方面有許多的不安全因素,而這又是計算機網絡安全所必須考慮的基本問題,所以應引起網絡管理員的重視。
四、防治計算機病毒
計算機病毒在網絡中泛濫已久,壹旦入侵到本地網絡,在本地局域網中會快速繁殖,導致局域網計算機的相互感染,下面介紹壹下有關局域網病毒的入侵原理及防範方法。
1. 局域網病毒入侵原理及現象
壹般來說,計算機網絡的基本構成包括網絡服務器和網絡節點站(包括有盤工作站、無盤工作站和遠程工作站)。計算機病毒壹般首先通過各種途徑進入到有盤工作站,也就進入網絡,然後開始在網上的傳播。具體地說,其傳播方式有以下幾種。
1)病毒直接從工作站拷貝到服務器中或通過郵件在網內傳播;
2)病毒先傳染工作站,在工作站內存駐留,等運行網絡盤內程序時再傳染給服務器;
3)病毒先傳染工作站,在工作站內存駐留,在病毒運行時直接通過映像路徑傳染到服務器中
4)如果遠程工作站被病毒侵入,病毒也可以通過數據交換進入網絡服務器中壹旦病毒進入文件服務器,就可通過它迅速傳染到整個網絡的每壹個計算機上。
在網絡環境下,網絡病毒除了具有可傳播性、可執行性、破壞性等計算機病毒的***性外,還具有壹些新的特點。
1)感染速度快
在單機環境下,病毒只能通過介質從壹臺計算機帶到另壹臺,而在網絡中則可以通過網絡通訊機制進行迅速擴散。根據測定,在網絡正常工作情況下,只要有壹臺工作站有病毒,就可在十幾分鐘內將網上的數百臺計算機全部感染。
2)擴散面廣
由於病毒在網絡中擴散非常快,擴散範圍很大,不但能迅速傳染局域網內所有計算機,還能通過遠程工作站將病毒在壹瞬間傳播到千裏之外。
3)傳播的形式復雜多樣
計算機病毒在網絡上壹般是通過“工作站”到“服務器”到“工作站”的途徑進行傳播的,但現在病毒技術進步了不少,傳播的形式復雜多樣。
4)難於徹底清除
單機上的計算機病毒有時可以通過帶毒文件來解決。低級格式化硬盤等措施能將病毒徹底清除。而網絡中只要有壹臺工作站未能清除幹凈,就可使整個網絡重新被病毒感染,甚至剛剛完成殺毒工作的壹臺工作站,就有可能被網上另壹臺帶毒工作站所感染。因此,僅對工作站進行殺毒,並不能解決病毒對網絡的危害。
5)破壞性大
網絡病毒將直接影響網絡的工作,輕則降低速度,影響工作效率,重則使網絡崩潰,破壞服務器信息,使網絡服務癱瘓。
2. 局域網病毒防範方法
查殺病毒的基本步驟:
1)首先要斷開網絡,使受感染的機器隔離;
2)使用殺毒軟件進行查殺,可以使用金山或瑞星的專殺工具,徹底清除病毒;
3)安裝IE 相應最新補丁或升級IE 版本,如果是服務器還要安裝IIS補丁;
4)把系統中出現的壹些非法***享(如C、D 等),應該將其***享屬性去掉;對於服務器,查看壹下Administrators 組中是否加進了“guest”用戶,要把guest 用戶從Administrators 組中刪除。
隨著各公司機構內部網不斷建立和擴充,用戶通過局域網與因特網連接,內部有Web服務器和FTP服務器,壹旦網絡病毒在內部局域網傳播,即便將每臺電腦的網線都拔下,也很難徹底查殺幹凈,另外管理員的工作量也變得很大。實際上目前已經有很多解決這種問題的產品和方案,網絡版殺毒軟件是其中比較好的壹個選擇。網絡版殺毒軟件和單機版殺毒軟件最大的區別在於,網絡版是針對局域網內部電腦的管理而設置了控制操作平臺,供網管統壹管理使用,而單機版殺毒軟件是不具備管理功能的。並且,隨著信息化進程的不斷推進,網絡環境日益復雜,面對日益復雜的網絡環境,以及壹些黑客程序和木馬程序的攻擊,單機版無法保證整個網絡安全。如果把單機版殺毒軟件當作網絡版殺毒軟件使用,用戶將不能隨時了解每臺機器的狀況。若局域網中的壹臺機器感染了病毒,將會在很短的時間內傳播開,而通過網絡版殺毒軟件,網絡管理員就可以通過壹臺服務器管理整個局域網的機器,由中心端來對客戶端進行統壹管理,對客戶端自動分發最新病毒碼,即便客戶端不能訪問外網,也可以保持最新的病毒碼定義。
五、過濾不良網絡信息
網絡壹項重要的功能就是讓用戶通過路由器或代理服務器(網關)瀏覽Internet,面對形形色色、良莠不分的網絡資源,如不具有識別和過濾作用,不但會造成大量非法內容或郵件出入,占用大量流量資源,造成流量堵塞、上網速度慢等問題,而且某些網站的娛樂、遊戲、甚至暴力、色情、 反動消息等不良內容,將極大地危害青少年學生的身心健康。
許多企業和學校都在努力嘗試解決不良信息的瀏覽問題,由於多數不良信息來源於互聯網,解決方法主要是針對互聯網進行限制,主要可以分為三類:斷開物理連接、地址庫過濾和防火墻過濾。
斷開物理連接的做法很直接,就是在內網裏使用虛擬互聯網軟件單獨設置壹個區域給用戶用來上網,但是實際上這個區域和互聯網是斷開的,用戶使用瀏覽器瀏覽網頁的時候實際上是在瀏覽本地服務器。用戶雖然可以用瀏覽器瀏覽網頁,但是可以瀏覽的資源有限,而且網頁內容也完全取決於本地服務器的更新速度。這樣做雖然可以起到壹定的作用,但同時也忽視了互聯網最大的特點──實時性,而且可瀏覽的範圍太小。而且因為要經常從互聯網下載網頁,網絡管理員的工作量增加,大大降低了網絡的使用效率。
地址庫過濾則是在局域網連接互聯網接口的網關處設置壹個軟件的“關卡”,這個“關卡”會檢查每個HTTP 請求,把每個請求和壹個記錄著被禁止訪問的網站地址庫進行比較。這樣的處理方式會大大降低瀏覽互聯網的速度,而且地址庫的更新也是問題。每天在互聯網上出現的新網站有成千上萬,不可能被及時的壹壹檢查。
防火墻過濾也是在局域網連接互聯網接口的網關處設置軟、硬件設施,這類過濾形式可以設置對關鍵詞比如說“性”等的禁止,當軟件發現含有關鍵詞的訪問請求時,會自動切斷訪問,但對於打包的郵件無能為力;而且,這種過濾往往矯枉過正,比如說軟件發現“正確性”壹詞中含有“性”,也不分青紅皂白壹律關閉;由於牽涉到在入口處對內容進行檢查,Internet的瀏覽速度在人數多時奇慢無比;另外從資金角度來看,由於目前適合中小規模局域網使用的低價位防火墻大多依賴於LINUX 操作系統,學校或企業需要另行購買壹臺防火墻服務器,加大了資金投入。
七、拒絕惡意網頁和垃圾郵件
1. 拒絕惡意網頁
Internet 網上除了前面說過的不良信息外,還有危害更大的網絡陷阱,其中以壹些惡意網頁為代表,這些網頁通過惡意代碼纂改註冊表中的源代碼,達到更改用戶主頁的目的,輕則造成用戶IE 瀏覽器被鎖定、主頁無法改回、彈出眾多窗口耗盡資源等嚴重危害,重則通過瀏覽網頁讓電腦在不知不覺中被植入木馬,傳播病毒,或盜取用戶重要個人信息,其危害可見壹斑。
實際上惡意網頁壹般都是利用IE的文本漏洞通過編輯的腳本程序修改註冊表,以達到篡改用戶瀏覽器設置的目的。我們常見到的比如IE標題欄顯示“歡迎訪問?網站”、默認主頁被更改為陌生網址、每次打開IE都自動登錄到此網站、右鍵菜單被添加莫名其妙的廣告、用戶無法更改IE設置等現象都屬此類問題,解決方法有兩種:第壹種方法是使用註冊表編輯器,手動把被篡改的註冊表信息改回初始值。第二種方法是使用專門的解鎖工具,如著名的“超級兔子”或“3721 網絡工具”等可以很簡單地解除被修改的IE 瀏覽器。
另外有的惡意網頁是利用IE 的腳本漏洞,用含有有害代碼的ActiveX網頁文件,讓用戶自動運行木馬程序,因此建議在訪問壹些陌生網站時在IE 設置中將ActiveX 插件和控件、Java 腳本等禁止。由於IE 是使用頻率最高的網絡瀏覽器,因此針對其本身漏洞的攻擊也非常多,要保持及時給IE 升級或打補丁,這樣才能盡量堵塞漏洞,提高IE 的安全性。
2. 拒絕垃圾郵件
除了猖獗的網絡病毒外,垃圾郵件的危害也早已受到了人們的普遍關註,實際上現在網絡病毒中有約80%是通過郵件傳播的,更不用說壹些色情、反動、迷信郵件的危害了。有效地防範垃圾郵件已經成為所有網絡用戶的***同目標,在學校教育中防範垃圾郵件也是衡量校園網絡安全的重要標準之壹。
首先要做好預防工作,保護自己的郵箱不會成為垃圾郵件的攻擊目標,經查閱有關資料,有關專家提出了以下建議:
1) 給信箱起個相對復雜的名稱。如果用戶名過於簡單或者過於常見,則很容易被當作攻擊目標。因為過於簡單的名字,垃圾郵件的發送者很可能通過簡單排列組合,搜索到用戶的郵件地址,從而發送垃圾郵件。因此在申請郵箱時,不妨起個保護性強壹點的用戶名,比如英文和數字的組合,盡量長壹點,可以少受垃圾郵件騷擾。
2) 避免泄露郵件地址。不要隨意地在瀏覽BBS(Bulletin Board Service,公告牌服務)時,公開自己的郵件地址,目前有壹些別有用心的人往往在BBS 上散布壹些具有誘惑性的消息,誘使其他用戶提供電子郵件地址進行收集。
3) 不要輕易回應垃圾郵件。因為壹旦回復,就等於告訴垃圾郵件發送者該地址是有效的,這樣會招來更多的垃圾郵件。
4) 最實用的是使用郵件客戶端程序的郵件管理、過濾功能。
5)最後還可以利用壹些專門的防垃圾郵件軟件指定條件檢測郵件接收服務器,自動刪除垃圾郵件。
對於壹些惡意的病毒郵件,就不僅是幹擾人們正常生活這麽簡單了,郵件病毒其實和普通的電腦病毒壹樣,只不過由於它們的傳播途徑主要是通過電子郵件,所以才被稱為郵件病毒。它們壹般是通過在郵件中附件夾帶的方法進行擴散的,運行了該附件中的病毒程序,才能夠使電腦染毒。知道了這壹點,我們就不難采取相應的措施進行防範了。
當遇到帶有附件的郵件時,如果附件為可執行文件(*.exe、*.com)或word文檔時,不要急於打開,可以用兩種方法來檢測是否帶有病毒。壹種方法是,利用殺毒軟件的郵件病毒監視功能來過濾掉郵件中可能存在的病毒;另壹種方法是,把附件先存放在硬盤上,然後利用殺毒軟件查毒。所以在郵件接收過程中用壹款可靠的防毒軟件對郵件進行掃描過濾是非常有效的手段,我們通過設置殺毒軟件中的郵件監視功能,在接收郵件過程中對郵件進行處理,可以有效防止郵件病毒的侵入。
八、結語
網絡安全的主要問題是網絡安全和信息安全,具體可分為預防病毒、訪問控制、身份驗證和加密技術、系統安全漏洞等問題。
對網絡內的網絡病毒,處理方法是選擇優秀的殺毒軟件;對網絡不良信息的處理方法應該以使用網絡信息過濾系統為主;在面對網絡上的各種惡意網頁和垃圾郵件時應通過設置郵件系統安全選項,提高安全意識並結合殺毒軟件提供保護。
要想建設壹個合格的網絡,壹方面要考慮網絡內部的安全性,壹方面要關註本網絡和外部信息網絡互聯時的安全性。網絡的安全問題是壹個較為復雜的系統工程,從嚴格的意義上來講,沒有絕對安全的網絡系統,提高網絡的安全系數是要以降低網絡效率和增加投入為代價的。隨著計算機技術的飛速發展,網絡的安全有待於在實踐中進壹步研究和探索。在目前的情況下,我們應當全面考慮綜合運用防毒軟件、防火墻、加密技術等多項措施,互相配合,加強管理,從中尋找到確保網絡安全與網絡效率的平衡點,綜合提高網絡的安全性,從而建立起壹套真正適合民眾使用的安全體系。