導(dǎo)語：互聯(lián)網(wǎng)安全及對策研討一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

隨著Intrnet技術(shù)及應(yīng)用的不斷發(fā)展，人們在其上所進(jìn)行的工作也越來越多，總的可以歸納為:通信、信息、資源共享三類.但無論哪一類，都一方面要求網(wǎng)絡(luò)提供相應(yīng)服務(wù)，另一方面要求人們在主機(jī)存放一定的信息(稱之為靜態(tài)信息)，并在網(wǎng)上.傳播一定的信息(稱之為動(dòng)態(tài)信息)，而這些靜態(tài)或動(dòng)態(tài)的信息有的是開放的，如:廣告、公共信息等，而有的是保密的，如:私人間的通信、政府及軍事部門、商業(yè)機(jī)密等.所以人們關(guān)注兩點(diǎn):一是人們能夠方便、高效地使用網(wǎng)絡(luò)，二是信息不被破壞，即信息的保密性、完整性及準(zhǔn)確性。這些也是互聯(lián)網(wǎng)絡(luò)安全性提出的根本原因。

一、網(wǎng)絡(luò)信息安全的內(nèi)涵

由于計(jì)算機(jī)網(wǎng)絡(luò)最重要的資源是它向用戶提供的服務(wù)及所擁有的信息，因而，計(jì)算機(jī)網(wǎng)絡(luò)的安全性可以定義為:保障網(wǎng)絡(luò)服務(wù)的可用性(Availability)和網(wǎng)絡(luò)信息的完整性(Integrity)?；ヂ?lián)網(wǎng)絡(luò)信息安全的傳統(tǒng)提法一般是指信息的保密性(seeurity)、完整性(Integrity)和可靠性(Reliability)。保密性是指靜態(tài)信息防止非授權(quán)訪問和動(dòng)態(tài)信息防止被截取解密。完整性是指信息在存儲(chǔ)或傳輸時(shí)不被修改、破壞，或信息包的丟失、亂序等。信息的完整性是信息安全的基本要求，破壞信息的完整性是影響信息安全的常用手段。目前，對于動(dòng)態(tài)傳輸?shù)男畔ⅲS多協(xié)議確保信息完整性的方法大多是收錯(cuò)重傳、丟棄后續(xù)包的方法，但黑客的攻擊可以改變信息包內(nèi)部的內(nèi)容?？煽啃允侵感畔⒌目尚哦?，包括信息的完整性、準(zhǔn)確性和發(fā)送人的身份證實(shí)等方面，可靠性也是信息安全性的基本要素。前不久，美國計(jì)算機(jī)安全專家又提出了一種新的安全框架，包括:保密性(eonfidentialiy)、完整性(Integrity)、可用性(Availability)、實(shí)用性(utility)、真實(shí)性(Authentieity)、占有性(Possession)，在原來的基礎(chǔ)上增加了實(shí)用性、可用李三運(yùn)性、占有性，認(rèn)為這樣才能解釋各種網(wǎng)絡(luò)安全問題:實(shí)用性即信息加密密鑰不可丟失(不是泄密)，丟失了密鑰的信息也就丟失了信息的實(shí)用性，成為垃圾?？捎眯砸话闶侵钢鳈C(jī)存放靜態(tài)信息的可用性和可操作性。病毒就常常破壞信息的可用性，使系統(tǒng)不能正常運(yùn)行，數(shù)據(jù)文件面目全非。占有性是指存儲(chǔ)信息的主機(jī)、磁盤等信息載體被盜用，導(dǎo)致對信息的占用權(quán)的喪失。保護(hù)信息占有性的方法有使用版權(quán)、專利、商業(yè)秘密性，提供物理和邏輯的存取限制方法，維護(hù)和檢查有關(guān)盜竊文件的審記記錄、使用標(biāo)簽等。

二、影響互聯(lián)網(wǎng)絡(luò)安全性的因素

互聯(lián)網(wǎng)絡(luò)由于網(wǎng)絡(luò)結(jié)構(gòu)無常、協(xié)議復(fù)雜、地域廣闊、用戶眾多、主機(jī)品種繁多，安全問題尤為突出.網(wǎng)絡(luò)結(jié)構(gòu)因素網(wǎng)絡(luò)的基本拓?fù)浣Y(jié)構(gòu)是:星型、總線和環(huán)型，而互聯(lián)網(wǎng)絡(luò)則包含以下三種網(wǎng)絡(luò)結(jié)構(gòu)，網(wǎng)絡(luò)主干是環(huán)型或總線，而連接主干的眾多子網(wǎng)則異構(gòu)紛呈，子網(wǎng)往下還可能連著多層網(wǎng).結(jié)構(gòu)的復(fù)雜，無疑給網(wǎng)絡(luò)系統(tǒng)管理、拓?fù)湓O(shè)計(jì)帶來很多問題。為了實(shí)現(xiàn)異構(gòu)網(wǎng)絡(luò)間信息的通信，往往要犧牲一些安全機(jī)制的設(shè)置和實(shí)現(xiàn)，從而提出更高的網(wǎng)絡(luò)開放性的要求。開放性與安全性正是一對相生相克的矛盾。網(wǎng)絡(luò)協(xié)議因素網(wǎng)絡(luò)的發(fā)展使之早已不再處于單一的網(wǎng)絡(luò)協(xié)議環(huán)境中。隨著國際互聯(lián)網(wǎng)絡(luò)的發(fā)展，一方面用戶為保護(hù)原有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施投資，一方面眾網(wǎng)絡(luò)技術(shù)公司共同尋求生存的機(jī)會(huì)，對網(wǎng)絡(luò)協(xié)議的兼容性要求越來越高，使眾多家廠商的協(xié)議能夠互聯(lián)、互相通信、互相兼容。這在給廠商和用戶帶來方便和利益的同時(shí)，也帶來了安全性的問題。在一種協(xié)議下運(yùn)行的有害程序能很快傳播到整個(gè)互聯(lián)網(wǎng)，而某些用戶也可以在一種網(wǎng)絡(luò)結(jié)構(gòu)和協(xié)議下實(shí)現(xiàn)以多種結(jié)構(gòu)和協(xié)議的訪問，給信息的安全帶來隱患.地域因素互聯(lián)網(wǎng)絡(luò)往往跨越城際、國際，地理位置錯(cuò)綜復(fù)雜，通信線路質(zhì)量難以得保證，一方面會(huì)給其上傳輸?shù)男畔⒃斐蓳p壞、丟失，也給那些“搭線竊聽”的黑客以可乘之機(jī)，增加更多的安全隱患。用戶因素Internet用戶達(dá)數(shù)億，分布170多個(gè)國家和地區(qū)，形形式式的用戶都有，其中有政治、軍事、商業(yè)、科技間諜，也有專門以攻擊網(wǎng)絡(luò)、搜詢、破壞信息為樂的“黑客”(Hacker)，正是由于這些人的存在，才給網(wǎng)絡(luò)安全提出了更高要求，因?yàn)橛脩舾鄵?dān)心的是信息的保密性。主機(jī)因素連入互聯(lián)網(wǎng)絡(luò)的主機(jī)品種繁多，有大型計(jì)算機(jī)、小型計(jì)算機(jī)、工作站、服務(wù)器、微機(jī)，廠商眾多，使用的操作系統(tǒng)和網(wǎng)絡(luò)操作系統(tǒng)也很多，這要求不同廠商要堅(jiān)持相同或相這的標(biāo)準(zhǔn)，也要求各種標(biāo)準(zhǔn)具備很好的開放性。除上述諸因素給網(wǎng)絡(luò)的設(shè)計(jì)、安裝、配置、管理提出更復(fù)雜的難題外，涉及網(wǎng)絡(luò)安全因素還有:單位的安全政策、人員素質(zhì)、安全設(shè)備投資和自然災(zāi)害等。

三、攻擊互聯(lián)網(wǎng)絡(luò)安全性的方法和類型

假冒欺編一般采用源IP地址欺騙攻擊，人侵者偽裝成源自一臺內(nèi)部主機(jī)的一個(gè)外部地點(diǎn)傳送信息包，這些信息包中包含有內(nèi)部系統(tǒng)的源IP地址.另外在E一mail服務(wù)器，使用報(bào)文傳輸(MIA，MessageTransferAgent)，冒名他人，竊取信息。指定路由發(fā)送方指定一信息包到達(dá)目的站點(diǎn)的路由，而這條路由是經(jīng)過精心設(shè)計(jì)的，繞過設(shè)有安全控制的路由。否認(rèn)服務(wù)通常是指不承認(rèn)對信息的、接收。數(shù)據(jù)截收這是一種常見的方法，很多網(wǎng)上間諜、黑客正是截取大量的信息包，加以分析解密，還原信息得到合法的密碼。慕改數(shù)據(jù)改變信息的內(nèi)容。四、安全機(jī)制功能150在其安全框架文件中，定義了開放環(huán)境下系統(tǒng)安全功能，對系統(tǒng)內(nèi)部各對象的保護(hù)方法，保證系統(tǒng)間通信規(guī)則，都作了詳細(xì)說明?！鞍踩北唤忉尀椤耙环N使資產(chǎn)和資源遭受攻擊的可能性減少到最小的方法”.可見，互聯(lián)網(wǎng)絡(luò)的安全是相對的，并沒有絕對安全的網(wǎng)絡(luò)實(shí)體，但一個(gè)安全系統(tǒng)應(yīng)具備以下功能:身份識別是驗(yàn)證通信雙方身份有效手段，用戶向其系統(tǒng)請求服務(wù)時(shí)，要出示自己的身份證明，最簡單的方法是輸人Use:ID和Password.而系統(tǒng)應(yīng)具備查驗(yàn)用戶的身份證明的能力。身份判別是安全系統(tǒng)最重要功能之一，UserID和Password是最常用也最方便的身份認(rèn)證方法，也是最不安全的。原因是用戶為了便于記憶而使用了生日、電話號碼等Password，使得Password很容易猜出。因此Pass-word的管理也成了安全系統(tǒng)非常重要的工作。關(guān)于Password更先進(jìn)的技術(shù)有:系統(tǒng)不接收易破譯的Password、Password的期限性、同步即時(shí)Password等，但有些方法需要特殊的軟、硬件投資。存取權(quán)限控制防止非法用戶進(jìn)人系統(tǒng)及防止合法用戶對系統(tǒng)資源的非法使用是存取控制的基本任務(wù)。在開放系統(tǒng)中，網(wǎng)上資源的使用應(yīng)制訂一些規(guī)定:一是定義哪些用戶可以訪問哪些資源，二是定義可以訪問的用戶各自具備的權(quán)限，這是存取權(quán)限控制的主要任務(wù)。數(shù)字簽名如用RSA等公開密鑰算法，生成一對公鑰和私鑰。信息發(fā)送需用發(fā)送者私人密鑰加密信息，即簽名，信息的接收者利用信息發(fā)送者的公鑰對簽名信息解密，以驗(yàn)證發(fā)送者身份。在實(shí)際應(yīng)用中，一般是對傳送的多個(gè)數(shù)據(jù)包中的一個(gè)IP包進(jìn)行一次簽名驗(yàn)證，以提高網(wǎng)絡(luò)運(yùn)行效率。保護(hù)數(shù)據(jù)完整性Internet通信協(xié)議在數(shù)據(jù)傳輸過程中，通常使用數(shù)據(jù)包排序、控制包、校驗(yàn)碼等差錯(cuò)控制機(jī)制，防止傳輸過程中的突發(fā)錯(cuò)誤，但對網(wǎng)上黑客們的主動(dòng)攻擊(如對信息的惡意增刪、修改)則顯得無能為力。通過加人一些驗(yàn)證碼等冗余信息，用驗(yàn)證函數(shù)進(jìn)行處理，以發(fā)現(xiàn)信息是否被非法修改，避免用戶或主機(jī)被偽信息欺騙。跟蹤審計(jì)和信息過濾網(wǎng)絡(luò)管理員或系統(tǒng)管理員應(yīng)不斷地收集和積累有關(guān)的安全事件記錄加以分析，有選擇地對其中的某些站點(diǎn)或用戶進(jìn)行跟蹤審計(jì)，以便對發(fā)現(xiàn)或可能產(chǎn)生的破壞性行為提供有力的證據(jù)，并定期向互聯(lián)網(wǎng)相關(guān)的安全系統(tǒng)秘密發(fā)送有關(guān)消息(一般是有害站點(diǎn)地址)，其它系統(tǒng)則根據(jù)這些消息，更新各自的路由過濾列表，通過信息過濾機(jī)制，拒絕接收一切來自過濾列表上IP地址的信息，以杜絕網(wǎng)上的某些站點(diǎn)產(chǎn)生的信息垃圾(如淫穢圖片、政治傾向性宜傳等)對用戶進(jìn)行信息干擾和信息轟炸。

密鑰管理信息加密是保障信息安全的重要途徑，以密文方式在相對安全的信道上傳遞信息，可以讓用戶比較放心地使用網(wǎng)絡(luò)，如果密鑰匯露或居心不良者通過積累大量密文而增加密文的破譯機(jī)會(huì)，都會(huì)對通信安全造成威脅。因此，對密鑰的產(chǎn)生、存儲(chǔ)、傳遞和定期更換進(jìn)行有效地控制而引人密鑰管理機(jī)制，對增加網(wǎng)絡(luò)的安全性和抗攻擊性也是非常重要的。五、常用安全技術(shù)通常保障網(wǎng)絡(luò)安全的方法有兩大類:以“防火墻”技術(shù)為代表的被動(dòng)防衛(wèi)型和建立在數(shù)據(jù)加密、用戶授權(quán)確認(rèn)機(jī)制上的開放型網(wǎng)絡(luò)安全保障技術(shù)。防火墻技術(shù)“防火墻”(Firewall)安全保障技術(shù)假設(shè)被保護(hù)網(wǎng)絡(luò)具有明確定義的邊界和服務(wù)。它通過監(jiān)測限制、更改通過“防火墻”的數(shù)據(jù)流，一方面盡可能地對外部網(wǎng)絡(luò)屏蔽被保護(hù)網(wǎng)絡(luò)的信息、結(jié)構(gòu)，實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)的保護(hù)，以防“賊人放火”，另一方面對內(nèi)屏蔽外部某些危險(xiǎn)站點(diǎn)，防止“引火燒身”。因而，比較適合于相對獨(dú)立、與外部網(wǎng)絡(luò)互聯(lián)單一、明確并且網(wǎng)絡(luò)服務(wù)種類相對集中統(tǒng)一的互聯(lián)網(wǎng)絡(luò)系統(tǒng)。在建立與Internet互聯(lián)的單位內(nèi)部網(wǎng)絡(luò)系統(tǒng)中，F(xiàn)irewen己經(jīng)得到廣泛的應(yīng)用。通常為了維護(hù)內(nèi)部的信息系統(tǒng)安全，單位內(nèi)部網(wǎng)安全系統(tǒng)對于來自Internet的訪問，采取有選擇的接收方式。它可以允許或禁止一系列具體IP地址站點(diǎn)的訪問，也可以接收或拒絕互聯(lián)網(wǎng)絡(luò)某一類具體的應(yīng)用。如果在某一臺IP主機(jī)上有需要禁止的信息或危險(xiǎn)的用戶，則可以通過設(shè)置使用Firewell過濾掉從該主機(jī)發(fā)出的IP包。如果內(nèi)部用戶只是使用Internet的電子郵件和WWW服務(wù)器向外部提供信息，那么就可以在Firewell上設(shè)置只有這兩類應(yīng)用的數(shù)據(jù)包通過。這對于路由器來說，不僅要分析伊層的信息，而且還要進(jìn)一步了解ICP傳輸層甚至應(yīng)用層的信息以地取舍。Firewell一般安裝在路由器上以保護(hù)一個(gè)子網(wǎng)，也可以安裝在一臺主機(jī)上，保護(hù)這臺主機(jī)不受侵犯.建立Firewen主要技術(shù)有:數(shù)據(jù)包過濾、應(yīng)用層網(wǎng)關(guān)和服務(wù)器等。在此基礎(chǔ)上合理的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及有關(guān)技術(shù)的適度使用也是保證防火墻有效使用的重要手段。防火墻是連接內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的橋梁。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)都可以訪問這臺主機(jī)，但內(nèi)部網(wǎng)絡(luò)上的主機(jī)不可以直接和外部網(wǎng)絡(luò)通信。作為一種網(wǎng)絡(luò)安全技術(shù)。Firewell具有簡單實(shí)用的特點(diǎn)，并且透明度高，可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下達(dá)到一定的安全要求。但是，如果防火墻系統(tǒng)被攻破，則被保護(hù)的網(wǎng)絡(luò)處于無保護(hù)狀態(tài)。并且如果一個(gè)企業(yè)希望在Internet上開展商業(yè)活動(dòng)，與眾多的客戶進(jìn)行通信，則僅僅依靠Firewell不能滿足要求。

密碼編碼技術(shù)以數(shù)據(jù)加密和用戶確認(rèn)為基礎(chǔ)的開放型安全保障技術(shù)使用比較普遍，且是對網(wǎng)絡(luò)服務(wù)影響較小的途徑，可望成為網(wǎng)絡(luò)安全問題的最終的一體化解決途徑。這一類技術(shù)的特征是利用現(xiàn)代的數(shù)據(jù)加密技術(shù)來保護(hù)網(wǎng)絡(luò)系統(tǒng)中包括用戶數(shù)據(jù)在內(nèi)的所有數(shù)據(jù)流。只有指定的用戶或網(wǎng)絡(luò)設(shè)備才能夠破譯加密數(shù)據(jù)。從而在不對網(wǎng)絡(luò)環(huán)境作特殊要求前提下根本上解決網(wǎng)絡(luò)安全的兩大要求(網(wǎng)絡(luò)服務(wù)的可用性和信息的完整性).這一類技術(shù)一般不需要特殊的拓?fù)浣Y(jié)構(gòu)的支持，因而實(shí)施代價(jià)主要體現(xiàn)在加密算法的設(shè)計(jì)、實(shí)現(xiàn)和系統(tǒng)運(yùn)行維護(hù)等方面。這類方法在數(shù)據(jù)傳輸?shù)倪^程中不對所經(jīng)過的網(wǎng)絡(luò)的安全程度作要求，從而真正實(shí)現(xiàn)網(wǎng)絡(luò)通信過程的端到端的安全保障。保證信息的安全保密性和可靠保險(xiǎn)性，通常主要是依靠密碼編碼技術(shù)。采用密碼編碼技術(shù)，首先要選擇先進(jìn)的加密編碼算法，并要充分了解自己要保護(hù)什么，要在什么地方進(jìn)行保護(hù)，還要確定保密的級別、保密的程度、保密的時(shí)間、保密的周期以及對哪些人保密和保密范圍等問題。在七層網(wǎng)絡(luò)協(xié)議中，密碼編碼可以放在任一層中，通常是放在第七層即應(yīng)用層上。這樣可以對每個(gè)應(yīng)用戶都能起到保密作用，因?yàn)槊總€(gè)應(yīng)用信息都被密碼編碼修改過。

在網(wǎng)絡(luò)通信的信息安全保密技術(shù)中，密鑰的作用非常重要。密鑰有專用密鑰和公用密鑰兩種。一種解密密鑰只能解一種加密密碼的密鑰是專用密鑰.加密時(shí)將原來信息中的一段信息改為一段數(shù)字信息，解密時(shí)將加密的一段數(shù)字信息恢復(fù)為原來的一段信息。這種專用密鑰采用對稱編碼技術(shù)，所以也叫對稱密鑰，專用密鑰的加密算法很多。利用專用密鑰的最大好處就是加密和密都非?？?，最大的問題就是不容易把這把專用密鑰交給使用此密碼人的手里，因?yàn)楹芸赡茉诿艽a編碼傳送過程中發(fā)生失密事件。公用密鑰采用與專用密鑰不同的數(shù)學(xué)算法。一把加密密鑰對應(yīng)多把解密密鑰的密鑰稱為公用密鑰。這種密鑰的好處在于每人都有屬于自己的解密密鑰，而加密密鑰只有一把，因此，安全性比較好。不足之處是使用公用密鑰時(shí)，加密和解密花費(fèi)時(shí)間都很多，影響網(wǎng)絡(luò)服務(wù)的性能。