张继收
山东电力建设第三工程有限公司,266100
摘要:互联网对当前人们社会生活的各个方面都有着重要而深远的影响。近年来,我国互联网产业的高速发展有目共睹,但与之对应的法律保障却疲软且滞后,有关于网络行为好恶的判别过于客观且笼统,缺乏相当的操作和实践性。网络是一个信息传输(transmission)、接收(receive)、共享(share)的虚构拟造的空间维度,通过它可以将所有时间、空间的信息糅合到一起,从而实现有限信息资源的无限开放共享。应运而生的网络安全的目的则是将系统中所有的有限信息数据保护起来而非孤立起来,在保证系统正常、科学、可靠地运行且服务不间断不停止的前提下,保证信息数据的可控性。
关键词:计算机网络、系统脆弱、系统威胁、防范技术
在现代科学技术迅猛发展的大背景下,网络成为人与人之间信息互通有无的重要途径,形形色色的APP(应用程序)的渗透使我们的日常生活越来越丰富。有限信息资源的获取也变得简单且便捷,享受科技红利的同时也为不法分子的侵权行为搭建了同样便利的桥梁,许多不法分子、黑客(hacker)为谋取不正当利益制造木马病毒以此窃取公民信息资源,威胁网络公共安全。
中国互联网于1994年实现中国与Internet全功能网络连接,虽然成立较晚,但发展之快、规模之大毫不逊色其他国家。受规模影响,中国庞大的信息系统给网络管理带来相当的考验,国家紧缺相关精尖人才,尤其是在信息安全主动防御的优秀人才。目前市场上杀毒软件杀毒功能单一,病毒库不全, 难以抵御复杂病毒,面对这些复杂的程式病毒时捉襟见肘,它们可以在短时间内侵入用户主机,获取重要管理密码,盗窃机要文件档案,严重者还可以使企业、集体等大面积瘫痪,更有甚者在盗取用户身份资料信息后伪造数据签订台同,并改变政商决策,影响社会政治经济文化正常运行与发展。因此,分析计算机网络安全,对计算机网络的应用和发展来说意义非凡。
一、计算机网络安全概述
计算机网络(computer network)是指把软件端的系统和硬件端的设备利用各种有线信道和无线链路连接起来,借助与之对应的应用程序和路由协议的支持,组成一种复杂的程式整体。尽管不同种类的计算机网络系统的信道架构、传播方式和功能用途都大相径庭,然而它们其实拥有非常相似的特征:比如服务提供的可靠性、系统结构的容灾性,还有基于用户角度的便捷性、高效率、低成本等优势,使得人们资源共享和有效信息传递的需求得到充分的满足。
计算机网络安全(Computer network security)是指对整个计算机网络系统的保卫,包括其网络中的硬件设备、软件应用和用户信息资源与数据等,使这些对象不因有意或无意的非法操作控制而受到泄露、更改甚至破坏,让整个网络系统能够得以持续、安全可靠地正常运行。通俗地讲,“计算机网络安全”就是“保护计算机网络整个系统不受到任何来源的威胁”。
计算机网络信息安全主要包括两个层面:一是物理层面,网络信息系统所依托的硬件设备的物理安全,二是数据层面,即依托信息系统所存储的用户信息资源的数据安全。计算机网络信息安全指采取有效手段对网络系统的软硬件进行有效保护,使网络信息不被偶然因素或故意手段破坏,确保计算机网络信息安全有序运行。信息网络大时代的来临,大量的数据存储在信息网络上,方便了人们生活的同时,也滋生了一些影响信息搜集者的判断的不利因素,甚至一些病毒掺杂在不良信息中造成信息感染,使网络安全受到威胁,有效保障计算机网络信息安全可以甄别危险信息,确保整体的数据安全,保障网络的干净有序。
二、计算机网络系统的脆弱性
计算机网络系统的搭建受制于空间时间和物理等诸多因素,注定了它暂时是一个客观脆弱的组织结构,其脆弱性表现在:
(1)脆弱的操作系统(operating system),操作系统结构从设计本身就是不安全的,其动态联接、进程并行创建、超级用户的存在、薄弱的设备口令等等方面,有心者皆可利用这些安全上的设计缺陷攻击。
(2)脆弱的系统本身,计算机系统分为硬件结构和软件系统,它们并不是一个双机热备的工作形式,而是并行不悖的逻辑存在,不论哪一方面出现弱势出现故障甚至损坏都会不同程度的影响到系统的正常运行,严重时还会造成系统运行中断。
(3)物理上的电磁泄漏,计算机网络由各类协议的端口、线路和路由设备搭建“信息传输公路”,而这些设备都有可能因屏蔽不严或未屏蔽而造成电磁信息辐射,继而发生物理层面电磁泄露,进一步造成信息资源和用户数据的泄漏,威胁系统健康。
(4)可访问数据的设计隐患
用户通过一定条件下进入系统后,可以访问系统中的所有数据,并可以将系统数据复制、删除或者破坏却不留任何痕迹。这类数据为不法分子的攻击利用留下了可乘之机。
(5)通信系统的弱点
网络系统的通信线路应对威胁的能力非常低,由于物理层面的资源限制,现在的网络系统仍大规模采用链路连接的方式,这种物理链接可以被非法用户轻而易举的实现攻击,如对线路进行物理破坏、搭线窃听等方式。
(6)脆弱的存储介质
系统内的存储器中存储了大量的信息资源和用户数据,而这些存储介质同样很容易被盗窃或损坏,影响整个网络信息系统的安全。
三、计算机网络系统安全的威胁
从内部看计算机网络系统安全的威胁,大部分网络系统内部信息资源往往仅采用普通级别的安全协议,设计单一,破译简单。针对攻击的防范技术也十分堪忧,因人才和技术的缺乏,系统防护大多只要攻击即刻崩溃,系统一旦被攻破后连接到其他局域网,将导致该计算机网络系统内部信息被共享,乃至随意使用。虽然这种低安全级别的协议对于管理大批计算机工程来说显得相当便利,但同样的,有利也有弊,其威胁和隐患也是同样巨大的。
从外部看,网络信息外部安全威胁主要指生动攻击。这类攻击破环本系统的安全协议(安全协议指其设计和分析方法的技术研究),黑客通过逻辑方式来攻击计算机,从逻辑出发,破译源代码的高阶逻辑,通过HOL理念来进行推理,演绎,最后证明其结论正确,进而破译原系统逻辑达成攻击的条件。
计算机网络系统安全的威胁又可以看成有意和无意两类威胁。无意威胁是指在毫无准备的前提下系统的安全性、可靠性和信息数据资源的完整性被破坏了。无意威胁通常是因为一些偶然因素导致的,例如硬件的机能问题、软件的BUG,人为的错误操作以及不可抗力计算机电源故障、自然灾害等。
故意威胁通俗地讲就是“人为的故意攻击”。因网络系统其自身一定的脆弱性,所以一些人或者一些非法组织就会绞尽脑汁的去非法地利用网络去实现自己的或利益性或非利益性的目的,比如说在大众眼中形象模糊的间谍和黑客们。他们本身的存在就对网络系统的安全构成了非常大的威胁。黑客本身是一类活跃在网络系统中且具有相当的计算机网络技术的人,他们深谙如何巧妙地利用计算机网络存在的漏洞,采用非法手段入侵到其他网络系统中,对系统内的用户数据和信息资源进行窃取乃至破坏,严重危害计算机网络系统内用户的个人隐私。
四、网络安全防范技术
(1)密码学与鉴别
密码学是以研究数据保密为目的,对存储或者传输的信息采取秘密的交换以防止第三者对信息的窃取的技术。鉴别是指可靠地验证某个通信参与方的身份是否与他所声称的身份一致的过程,一般通过某种复杂的身份认证协议来实现。
(2)访问控制
访问控制的概念归纳即为确定可给予哪些主体访问信息和数据的权力、确定以及实施访问权限的过程。其中按功能和结构的不同细分为:
1.访问控制列表(Access Control List),即每个访问者存储有访问权力表,该表包括了他能够访问的特定对象和操作权限。
2.防火墙,隔离风险区域与安全区域的连接,同时不妨碍人们对风险区域的访问,防止不希望、未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全政策。
3.虚拟专用网(virtual private network),是将物理分布在不同地点的网络通过公共骨干网,尤其是internet联接而成的逻辑上的虚拟子网。使用IP和编址来建立对VPN上传输数据的直接控制。对数据加密,采用基于用户身份的鉴别,而不是基于IP地址。
(3)检测技术
一方面利用检测监控技术,对信息网络中的流量或应用内容进行二至七层的检测并适度监管和控制,避免网络流量的滥用、垃圾信息和有害信息的传播。另一方面采用入侵检测技术,对网络活动进行实时监测的专用系统,作为对防火墙及其有益的补充,入侵检测系统(intrusion detection system)能够帮助网络系统快速发现攻击的发生。
(4)物理手段
用户侧使用主机加固技术,对操作系统、数据库等进行漏洞加固和保护,提高系统的抗攻击能力。系统端采用系统容灾技术,数据存储、备份和容灾技术的充分结合,构成一体化的数据容灾备份存储系统。
(5)政策措施
在制订《网络信息安全法》的基础上,应当逐步建立安全制度、安全标准安全策略、安全机制等一系列配套措施,进行全面系统的立法:对各种信息主体的权利、义务和法律责任,做出明晰的法律界定;对于网络部门的相关人员树立正确的安全意识,有明确的职责分工;对于网络信息要有明确分类,按等级采取不同级别的安全保护。在信息技术尤其是信息安全关键产品的研发方面,提供全局性的具有超前意识的发展目标和相关产业政策,保障信息技术产业和信息安全产品市场有序发展。
参考文献:
[1]James F.Kurose.《计算机网络 自顶向下方法》
[2]埃里森 戴维斯.《黑客大曝光 恶意软件和Rootkit安全》
[3]刘驰.《大数据治理与安全 从理论到开源实践》
[4]徐焱 贾晓璐.《内网安全攻防 渗透测试实战指南》
[5]海德纳吉.《社会工程 安全体系中的人性漏洞》