当前网络中的安全问题

cwgcwg

摘要　分析目前网络的安全问题，说明有关信息安全技术在保证信息安全中的作用，提出构筑计算机网络信息安全的5层体系结构。
网络安全是一门涉及计算机科学、网络技术、通信技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。它主要是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改和泄露，保证系统连续正常运行，网络服务不中断。
一、网络安全问题的特征
1.网络安全天生脆弱
计算机网络系统安全的脆弱性是伴随计算机网络一同产生的，换句话说，系统安全的脆弱是计算机网络与生俱来的致命弱点。可以说世界上任何一个计算机网络都不是绝对安全的。
2.黑客攻击后果严重
近几年，黑客猖狂肆虐，四面出击，使交通通信网络中断，军事指挥系统失灵，电力供水系统瘫痪，银行金融系统混乱，危及国家政治、军事、经济的安全与稳定，在世界各国造成了难以估量的损失。
3.网络杀手集团化
目前，网络杀手除了一般的黑客外，还有一批具有高精尖技术的“专业杀手”，更令人担忧的是出现了具有集团性质的“网络恐怖分子”，甚至由政府出面组织的“网络战”、“黑客战”，其规模化、专业性和破坏程度都使其他黑客望尘莫及。
4.破坏手段多元化
目前，“网络恐怖分子”除了制造、传播病毒软件、设置“邮箱炸弹”外，更多的是借助工具软件对网络发动袭击，令其瘫痪或者盗用一些大型研究机构的服务器。
二、网络安全隐患
网络安全隐患主要表现在以下三个方面：病毒、内部用户的非法操作和网络外部的黑客攻击。对于病毒，几乎80%的应用网络都受到过它的侵害。内部用户的非法操作包括恶意和非恶意两种：一种是由于网络设计的不严密性，网络内部使用者误入他们本不该进入的领域，误改其中的数据；另一种是有些内部用户利用自身的合法身份有意对数据进行破坏。据统计，70%左右的安全问题来源于内部用户。黑客攻击是最可怕的，也是网络安全策略的首要防范对象。网络黑客一旦进入某个网络，其造成的损失无法估量。此外，网络协议的缺陷，如TCP/IP协议的安全问题，自然灾害，意外事故以及信息战等都会影响网络安全。
三、网络安全内涵
网络安全包括以下几个方面：
运行系统安全即保证信息处理和传输系统的安全。它侧重于保证系统的正常运行，避免因系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失，避免由于电磁泄漏而产生信息泄露，干扰他人。
网上系统信息安全主要包括用户口令鉴别，用户存取权限控制，数据存取权限，方式控制，安全审计，安全问题跟踪，计算机病毒防治，数据加密。
网上信息传播安全即信息传播后果的安全，包括信息过滤等。它侧重于防止和控制非法、有害信息的传播，避免公用网络上大量自由传输的信息失控。
网上信息内容安全侧重于保护信息的保密性、真实性和完整性，避免攻击者利用系统的安全漏洞进行窃听、冒充和诈骗等。本质是保护用户的利益和隐私。

cwgcwg

四、网络安全的几项关键技术
1.防火墙技术
所谓“防火墙”，是指一种将内部网和公众访问网（Internet）分开的方法，实际上是一种隔离技术。防火墙是在两个网络通信时执行的一种访问控制尺度。它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络黑客访问你的网络，防止他们更改、拷贝和毁坏你的重要信息。
防火墙的技术实现通常基于所谓的“包过滤”技术，而进行包过滤的标准通常是根据安全策略制定的。在防火墙产品中，包过滤的标准一般由网络管理员在防火墙设备的访问控制清单中设定。访问控制一般基于的标准有：包的源地址、包的目的地址、连接请求的方向（连入或连出）、数据包协议（如TCP/IP等）以及服务请求的类型（如ftp，www等）等。
除了基于硬件的包过滤技术，防火墙还可以利用代理服务器软件实现。早期的防火墙主要起屏蔽主机和加强访问控制的作用。现在的防火墙则逐渐集成了信息安全技术中的最新研究成果，一般都具有加密、解密和压缩、解压等功能。这些技术增加了信息在互联网上的安全性。现在，防火墙技术的研究已经成为网络信息安全技术的主导研究方向。
2.数据加密技术
与防火墙配合使用的数据加密技术是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破坏所采用的主要技术手段之一。其思想核心是既然网络本身并不安全可靠，那么所有重要信息就全部通过加密处理。按作用不同，数据加密技术主要分为数据传输、数据存贮、数据完整性鉴别和密钥管理技术四种。
加密技术是一种效率高而又灵活的安全手段，值得在企业网络中加以推广。目前，加密算法有多种，大多源于美国，但是多数受到美国出口管制法的限制。现在金融系统和商界普遍使用的算法是美国数据加密标准DES。近几年来我国对加密算法的研究主要集中在密码强度分析和实用化研究上。
3.智能卡技术
与数据加密技术紧密相关的另一项技术则是智能卡技术。所谓智能卡就是密匙的一种媒体，一般就像信用卡一样，由授权用户所持有，并由该用户赋与它一个口令或密码字。该密码与网络服务器上注册的密码一致，当口令与身份特征共同使用时，智能卡的保密性能还是相当有效的。
五、网络安全体系结构
网络安全问题应该主要从以下5个方面加以考虑：
1.网络层的安全性
网络层安全性问题的核心在于网络是否得到控制，即是否任何一个IP地址来源的用户都能够进入网络?如果将整个网络比作一幢办公大楼的话，对于网络层的安全考虑就如同为大楼设置守门人一样，守门人会仔细检查每一位来访者，一旦发现危险的来访者，便会将其拒之门外。
用于解决网络层安全性问题的产品主要有防火墙产品和虚拟专用网（VPN）。防火墙的主要目的在于判断来源IP，将危险或未经授权的IP数据拒之于系统之外，而只让安全的IP数据通过。一般来说，公司内部网络若要与公众Internet相连，则应该在二者之间配置防火墙产品，以防止公司内部数据外泄。VPN主要解决的是数据传输的安全问题，如果公司各部在地域上跨度较大，使用专网、专线过于昂贵，则可以考虑使用VPN。其目的在于保证公司内部的敏感关键数据能够安全地借助公共网络进行频繁交换。
2.系统的安全性
在系统安全性问题中，主要考虑的问题有2个：病毒对于网络的威胁，黑客对于网络的破坏和侵入。
病毒的主要传播途径已由过去的软盘、光盘等存储介质变成了网络。这些病毒在网络上进行传播和破坏的多种途径和手段，使得网络环境中防病毒的工作变得更加复杂。网络防病毒工具必须能够针对网络中各个可能的病毒入口来进行防护。
对于网络黑客而言，他们的主要目的在于窃取数据和非法修改系统，其手段之一是窃取合法用户的口令，在合法身份的掩护下进行非法操作；之二是利用网络操作系统的某些合法但不为系统管理员和合法用户所熟知的操作指令进行非法操作。
3.用户的安全性
对于用户的安全性问题所要考虑的是：是否只有那些真正被授权的用户能够使用系统中的资源和数据?
要解决这一问题，首先要做的是应该对用户进行分组管理，并且这种分组管理应该是针对安全性问题而考虑的分组。也就是说，应该根据不同的安全级别将用户分为若干等级，每一等级的用户只能访问与其等级相对应的系统资源和数据。
其次应该考虑的是强有力的身份认证，其目的是确保用户的密码不会被他人所猜测到。
4.应用程序的安全性
这一层我们需要解决的问题是：是否只有合法的用户才能对特定的数据进行合法的操作?
这里涉及2个方面的问题：一是应用程序对数据的合法权限；二是应用程序对用户的合法权限。例如，在公司内部，上级部门的应用程序应该能够存取下级部门的数据，而下级部门的应用程序一般不被允许存取上级部门的数据；同级部门的应用权限也应有所限制，同一部门不同业务的应用程序不应该互相访问对方的数据，一方面可以避免数据的意外损坏，另一方面也是安全方面的考虑。

cwgcwg

5.数据的安全性
数据的安全性问题所要回答的问题是：机密数据是否还处于机密状态?
在数据的保存过程中，机密数据即使处于安全空间，也要对其进行加密处理，以保证万一数据失窃，偷盗者（如网络黑客）也不能读懂其中的内容。这是一种比较被动的安全手段，但往往能收到最好的效果。
上述的5层安全体系并非孤立存在，如果将网络系统比作一幢办公大楼的话，门卫就相当于网络层的安全性考虑，他负责判断每一位来访者是否能够被允许进入办公大楼，发现具有危险性的来访者则将其拒之门外，而不是让所有人都能够随意出入。操作系统的安全性在这里相当于整个大楼的办公制度，办公流程的每一环节紧密相连，环环相扣，不让外人有可乘之机。如果对整个大楼的安全性有更高的要求，还应该在每一楼层中设置警卫，办公人员只能进入相应的楼层，如果进入其他楼层，则需要获得相应的权限。这实际上是对用户的分组管理，类似于网络系统中对用户安全问题的考虑。应用程序的安全性在这里相当于部门与部门间的分工，每一部门只做自己的工作，不会干扰其他部门的工作。数据的安全性则类似于使用保险柜来存放机密文件，即使窃贼进了办公室，也很难将保险柜打开，取得其中的文件。上述这些办公制度其实早已被人们所熟悉，而将其运用在网络系统中，便是我们所看到的5层网络安全体系。
六、网络安全防范措施
1.提高思想认识
近年来，中国的网络发展非常迅速，同时网络安全也越来越引起人们的关注。国家权威部门曾对国内网站的安全系统进行测试，发现不少单位的计算机系统都存在安全漏洞，有些单位还非常严重，随时可能被黑客入侵。当前，世界各国对信息战十分重视，假如我们的网络安全无法保证，这势必影响到国家政治、经济的安全。因此，从思想上提高对计算机网络安全重要性的认识，是我们当前的首要任务。
2.加强管理制度
任何网站都不是绝对安全的。但需要指出的是，当前一些单位在赶搭“网络快车”时，只管好用，不管安全，这种短视行为必然带来严重的恶果。与“网络恐怖分子”的较量是一场“看不见硝烟的战争”，是高科技的较量，是“硬碰硬”的较量。根据这一情况，当前工作的重点，一是要狠抓日常管理制度的落实，把安全管理制度落实到第一位；二是要加强计算机从业人员的行业规范管理，对这些人员强化安全教育和法制教育，建立人员管理档案并进行定期检查和培训；三是要建立一支反黑客的“快速反应部队”，同时要加快培养高水平的网络系统管理员，使其尽快掌握有关网络安全的关键技术和管理知识。
3.强化防范措施
一般来说，影响网络安全的因素很多，但目前最主要的因素是接收电子邮件和下载软件两种。下面就这两种方式谈谈基本的防范措施：
（1）切实保护电子邮件的安全
做好邮件帐户的选择。现在互联网上提供的E-MAIL帐户主要是免费帐户。这些免费服务不提供任何有效的安全保障，而且有的免费邮件服务器还经常会导致邮件受损，所以单位用户应该选择收费邮件帐户。
（2）做好邮件帐户的安全防范
①保护好邮箱的密码。在WEB方式中，不要以图省事使用IB的自动完成功能和密码保存功能，入网帐号与口令应该是需要保护的重中之重。密码设置要有技巧、有难度，最好能有8位数，且数字字母相间，中间还代“*”号之类的允许符号。
②对于比较重要的邮件地址不要随便在网上暴露。
将邮件信息加密处理。如使用A-LOCK，在发送邮件之前对内容（复制到粘贴板上）进行加密。对方收到这种加密信件之后也必须用A-LOCK来进行解密才能阅读信件。这样即使有人截获了邮件信息，看到的也是一堆毫无意义的乱码。
（3）防止邮件炸弹（E-MAIL BOMB）
①过滤电子邮件。
②使用杀毒软件。
③使用转信功能。
看一个内部网是否安全，不仅要考察其手段，更重要的是要对该网络所采取的各种措施，不仅是物理防范，还有人员素质等其他“软”因素进行综合评估。从而得出是否安全的结论。