网络安全及其对策 网络安全问题及对策

网络安全及其对策

申普兵 李永成 李 荣

摘要 本文主要介绍了目前园区网所面临的各种问题和威胁园区网安全的主要种类以及应采取的对策。

随着Internet在世界范围内的普及，各种园区网络的数量激增，但园区网络建成后所面临的问题很多。如：（1）IP地址的管理问题。IP地址的盗用、冒用，造成IP资源的损失，也容易引起网络管理者与用户之间关于上网时间和上网费用等方面的纠纷；（2）带宽管理问题。网络带宽的不足、引起网络性能变差，用户等待时间增长和使用费用上升等问题。另外，园区网用户无优先级别之分，重要的用户和一般的用户共享园区网的带宽，造成重要用户的重要业务不能有效地服务，相关的命令、指示无法及时传输；（3）访问站点管理问题。园区网络的基本功能之一就是提供Internet接入服务，而Internet上的各类反动站点、色情站点和不健康的聊天室很多，对这些站点的管理是一个非常重要的问题；（4）网络安全问题。网络安全包括硬件的安全、软件的安全和数据的安全。目前大量使用的Windows NT和UNIX操作系统只能达到美国国防部计算机安全标准桔黄皮书中规定的C1级安全级别，而利用电磁辐射进行网上窃听，截取密码以及外部黑客攻击和内部攻击，计算机病毒等等都对网络安全构成了威胁。在上面这些众多急需解决的问题中，网络安全的问题尤其突出。

一、威胁网络安全的种类

随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势。但由于计算机网络具有联级式多样性、终端分布不均匀性和网络的开放性、互连性等特征，如果不加以防患，时刻都存在着来自外部和内部的各种各样的威胁，如黑客、病毒和其他恶意程序的攻击，所以网上信息的安全和保密是一个至关重要的问题。对于军用的自动化指挥网络、C3I系统等传输敏感数据的计算机网络系统而言，其网上信息的安全和保密尤为重要。因此，上述的网络必须有足够强的安全措施，否则该网络将是个无用、甚至会危及国家安全的网络。威胁网络安全的主要种类有：

1．操作系统漏洞

任何操作系统都不可能是百分之百的无缺陷和无漏洞的，操作系统的漏洞可能是由操作系统开发者有意设置的，一般不为外人所知，但一旦“后门”洞开，其造成的后果将不堪设想。另外，操作系统的漏洞也可能是由系统错误引起的。然而，不管这些漏洞和缺陷是怎么产生的，它恰恰是黑客进行攻击的首选目标。

2．程序攻击

程序的攻击对网络安全造成的威胁非常大，主要有计算机病毒，逻辑炸弹，特洛伊木马等。计算机病毒是能够把自己的一个拷贝附着于计算机中的另一个程序上的一段代码。通过这种方式病毒可以进行自我复制，并随着它所附着的那个程序在计算机之间传播。逻辑炸弹的原理是 － －524

到了设定的日期和钟点，或在计算机中发生了某种操作步骤，逻辑炸弹就被触发。据报道，美军在海湾战争中就使用了逻辑炸弹。特洛伊木马的原理是表面上假扮成计算机游戏、应用工具或其它的常用程序，当你运行它时，特洛伊木马使你忙于游戏或应用程序，实际上它却在背后进行破坏。

3．身份验证

身份验证用于决定你是否有权在服务器上要求或提供某些服务。但用于验证身份的用户名和口令如果被破解或被盗用，那么知道这个用户名和口令的人都可以防问该计算机了。造成用户名和口令被破解或被盗用的主要原因有，算法考虑不周、口令圈套等。

4．物理威胁

通过电缆辐射窃听，通过远程拨号访问接入，通过偷来的钥匙或其它方式进入机房，通过废弃的打印材料或软盘寻找有用的信息，计算机和网络中各种硬件故障等等都构成了对计算机网络的物理威胁。

二、解决网络安全的对策

1．备份系统

备份系统的目的就是尽可能快地全面恢复运行计算机系统所需的软件和硬件。对于计算机网络而言，硬件的损坏可以通过购买新的设备来代替，软件的故障也可以通过重新安装来解决，但数据损坏是无法恢复的。因此，解决网络安全的策略之一是及时地对整个系统进行可靠而有效的备份。

2．病毒检查

建立病毒预防和控制管理制度，加强管理，防止病毒从软盘、光盘和网络侵入。在网上下载的软件，要经过防病毒软件的检查之后才能使用。使用较好的检查病毒的产品（如VRV杀毒专家，KV300，金山毒霸等）帮助网络免受病毒的侵害。

3．身份验证

建立网络所拥有的合法注册表和验证规则，验证用户的身份和使用权限，防止用户越权操作。监督和记录用户活动情况，保证你知道谁在你的网络上做什么事情。定期监视网络工作，检查系统日志文件，及时发现非授权活动。

4．信息加密

信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。信息加密过程是由形形色色的加密算法来具体实施，它以很小的代价提供很大的安全保护。到目前为止，已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类，可以将这些加密算法分为常规密码算法和公钥密码算法。在常规密码中，收信方和发信方使用相同的密钥，即加密密钥和解密密钥是相同或等价的。比较著名的常规密码算法是美国的DES及其各种变形。常规密码的优点是有很强的保密强度，且经受住时间的检验和攻击，但其密钥必须通过安全的途径传送。因此，其密钥管理成为系统安全的重要因素。在公钥密码中，收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导出解密密钥。比较著名的公钥密码算法是最有影响的公钥密码算法是RSA，它能抵抗到目前为止已知的所有密码攻击。公钥密码的优点是可以适应网络的开放性要求，且密钥管理问题也较为简单，尤其可方便的实

－525－

现数字签名和验证。但其算法复杂。加密数据的速率较低。密码技术是网络安全最有效的技术之一。

5．防火墙

防火墙是一种保护计算机网络安全的技术性措施，它是一个用以阻止网络中的黑客访问某个计算机网络的屏障。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络，以阻档外部的攻击。防火墙主要有三种类型，即包过滤防火墙，代理防火墙和双穴主机防火墙。

包过滤防火墙：包过滤防火墙设置在网络层，可以在路由器上实现包过滤。首先应建立一定数量的信息过滤表，信息过滤表是以其收到的数据包头信息为基础而建成的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型（TCP、UDP、ICMP等）、协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等。当一个数据包满足过滤表中的规则时，则允许数据包通过，否则禁止通过。这种防火墙可以用于禁止外部不合法用户对内部的访问，也可以用来禁止访问某些服务类型。但包过滤技术不能识别有危险的信息包，无法实施对应用级协议的处理，也无法处理UDP、RPC或动态的协议。

代理防火墙：代理防火墙又称应用层网关级防火墙，它由代理服务器和过滤路由器组成，是目前较流行的一种防火墙。它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互连，并对数据进行严格选择，然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用，其功能类似于一个数据转发器，它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时，代理服务器接受申请，然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务，如果接受，它就向内部网络转发这项请求。代理防火墙无法快速支持一些新出现的业务（如多媒体）。现要较为流行的代理服务器软件是WinGate和Proxy Server。 双穴主机防火墙：该防火墙是用主机来执行安全控制功能。一台双穴主机配有多个网卡，分别连接不同的网络。双穴主机从一个网络收集数据，并且有选择地把它发送到另一个网络上。网络服务由双穴主机上的服务代理来提供。内部网和外部网的用户可通过双穴主机的共享数据区传递数据，从而保护了内部网络不被非法访问。

6．物理安全

物理安全的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击，确保计算机系统有一个良好的工作环境。抑制和防止电磁泄漏是物理安全的另一个主要问题。目前主要防护措施有两类：一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护，如采用各种电磁屏蔽措施，对设备中的各种接插件的进行屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离。或者利用干扰防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。

7．安全管理

在网络安全中，除了采用上述技术措施之外，加强网络的安全管理，建立完备的安全管理

－ －526

制度，对于确保网络的安全、可靠地运行，将起到十分有效的作用。

网络安全事故有约80%的是由于网络安全管理而造成的。制定严格的网络安全管理法规、制度，并严格地贯彻执行，是网络安全最重要的一个环节。网络的安全管理包括：确定安全管理等级和安全管理范围（如各级网管人员的权限，口令的管理制度，密钥的管理制度，用户账号管理制度等）；制订有关网络操作使用规章制度和人员出入机房管理制度（如空闲机器守则，废品处理守则等）；制定网络系统的维护制度和灾难恢复计划（如网管人员职责，网络定期备份制度，病毒预防和控制管理制度等）等等。

三、结束语

计算机网络的安全性历来都是人们讨论的主要话题之一，尤其是在计算机网络日益扩展和普及的今天，对计算机网络安全的要求更高。针对网络安全问题，许多国家政府都制定了计算机网络安全标准。如美国国防部开发的计算机网络安全标准，分A至D1级共7级。加拿大政府开发的可信任计算机产品普通标准，分EAL-1至EAL-7共7级。我国将于2001年1月1日实施的《计算机信息系统安全保护等级划分准则》，该《准则》是计算机信息系统安全等级保护系列标准的核心。《准则》在系统地科学地分析计算机处理系统的安全问题的基础上，将计算机信息系统的安全等级划分为五级，即：第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级。计算机信息系统安全保护能力随着安全保护等级的增高，逐渐增强。《准则》将在支持计算机信息系统安全法规的制定、为计算机信息系统安全产品的研发提供功能框架以及为安全系统的建设和管理提供技术指导三方面起重要作用。

参 考 文 献

[1] Chris Hare，Karanjit Siyan 《Internet防火墙与网络安全》

[2] 林生，《计算机通信与网络》

[3] Marc Farley，Tom Sterns，Jeffrey Hsu，“LAN Times Guide to Security and Data Integrity”

－527－

发展军事移动信息系统的几点建议（摘要）

宋琦军 李承恕

本文在四个方面就“军民结合”建设军事移动信息系统的若干问题进行了初步探讨，其中包括：军队参与民用标准制订工作的重要性；在建设军事移动信息系统时研究开发的原则；网络结构与网络安全的研究重点。

隶属云模型的

统计性质和有限精度实现（摘要）

邓晓燕 张申如 王庭昌

隶属云模型是定性和定量之间转换的工具，其数字特征可用期望值E、熵σ、超熵h三个数值来表征。我们分析了云模型的统计分布，导出了仅与h/σ相关联的概率密度公式，讨论了在数字电路有限精度内实现云模型中产生正态随机数和计算平方指数函数的一些问题。文章内容涉及正态云模型及其统计性质，云模型在数字电路实现时有限精度的问题。

综合通信车供电系统自动化

及其应用（摘要）

苗顺东 史其存 靳晓超

本文主要介绍综合通信车供电系统自动化的必要性及电源设备。蓄电池智能化管理的优越性；智能化开关电源供电的可能性；用汽车硅发电机作为动中通的主要供电方式的可行性。文章阐述了实现综合通信车供电自动化的必要性和必备条件、动中通供电使用硅发电机的必要性、通信车车载设备对供电的要求等。

－ －528