城市網路安全挑戰

Ⅹ 現在的網路環境存在怎樣的安全問題

一、網路安全概述
以Internet為代表的全球性信息化浪潮日益深刻，信息網路技術的應用正日益普及和廣泛，應用層次正在深入，應用領域從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展，典型的如黨政部門信息系統、金融業務系統、企業商務系統等。伴隨網路的普及，安全日益成為影響網路效能的重要問題，而Internet所具有的開放性、國際性和自由性在增加應用自由度的同時，對安全提出了更高的要求，這主要表現在：開放性的網路，導致網路的技術是全開放的，任何一個人、團體都可能獲得，因而網路所面臨的破壞和攻擊可能是多方面的，例如：可能來自物理傳輸線路的攻擊，也可以對網路通信協議和實現實施攻擊；可以是對軟體實施攻擊，也可以對硬體實施攻擊。國際性的一個網路還意味著網路的攻擊不僅僅來自本地網路的用戶，它可以來自Internet上的任何一台機器，也就是說，網路安全所面臨的是一個國際化的挑戰。自由意味著網路最初對用戶的使用並沒有提供任何的技術約束，用戶可以自由地訪問網路，自由地使用和發布各種類型的信息。用戶只對自己的行為負責，而沒有任何的法律限制。
盡管開放的、自由的、國際化的Internet的發展給政府機構、企事業單位帶來了革命性的改革和開放，使得他們能夠利用Internet提高辦事效率和市場反應能力，以便更具競爭力。通過Internet，他們可以從異地取回重要數據，同時又要面對Internet開放帶來的數據安全的新挑戰和新危險。如何保護企業的機密信息不受黑客和工業間諜的入侵，已成為政府機構、企事業單位信息化健康發展所要考慮的重要事情之一。
1. 什麼是安全
安全包括五個要素：機密性、完整性、可用性、可控性與可審查性。
· 機密性：確保信息不暴露給未授權的實體或進程。
· 完整性：只有被允許的人才能修改數據，並能夠判別出數據是否已被篡改。
· 可用性：得到授權的實體在需要時可訪問數據，即攻擊者不能佔用所有的資源而阻礙授權者的工作。
· 可控性：可以控制授權范圍內的信息流向及行為方式。
· 可審查性：對出現的網路安全問題提供調查的依據和手段。
2. 安全威脅
一般認為，目前網路存在的威脅主要表現在：
· 利用網路傳播病毒：通過網路傳播計算機病毒，其破壞性大大高於單機系統，而且用戶很難防範。
· 非授權訪問：沒有預先經過同意，就使用網路或計算機資源被看作非授權訪問，如有意避開系統訪問控制機制，對網路設備及資源進行非正常使用，或擅自擴大許可權，越權訪問信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網路系統進行違法操作、合法用戶以未授權方式進行操作等。
· 信息泄漏或丟失：指敏感數據在有意或無意中被泄漏出去或丟失，它通常包括，信息在傳輸中丟失或泄漏（如「黑客」們利用電磁泄漏或搭線竊聽等方式可截獲機密信息，或通過對信息流向、流量、通信頻度和長度等參數的分析，推出有用信息，如用戶口令、賬號等重要信息。），信息在存儲介質中丟失或泄漏，通過建立隱蔽隧道等竊取敏感信息等。
· 破壞數據完整性：以非法手段竊得對數據的使用權，刪除、修改、插入或重發某些重要信息，以取得有益於攻擊者的響應；惡意添加，修改數據，以干擾用戶的正常使用。
· 拒絕服務攻擊：它不斷對網路服務系統進行干擾，改變其正常的作業流程，執行無關程序使系統響應減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進入計算機網路系統或不能得到相應的服務。
3. 安全服務、機制與技術
· 安全服務：包括服務控制服務、數據機密性服務、數據完整性服務、對象認證服務、防抵賴服務 。
· 安全機制：包括訪問控制機制、加密機制、認證交換機制、數字簽名機制、防業務流分析機制、路由控制機制 。
· 安全技術：包括防火牆技術、加密技術、鑒別技術、數字簽名技術、審計監控技術、病毒防治技術 。
在安全的開放環境中，用戶可以使用各種安全應用。安全應用由一些安全服務來實現；而安全服務又是由各種安全機制或安全技術實現的。應當指出，同一安全機制有時也可以用於實現不同的安全服務。
4. 安全工作目的
安全工作的目的就是為了在安全法律、法規、政策的支持與指導下，通過採用合適的安全技術與安全管理措施，完成以下任務：
· 使用訪問控制機制，阻止非授權用戶進入網路，即「進不來」，從而保證網路系統的可用性。
· 使用授權機制，實現對用戶的許可權控制，即不該拿走的「拿不走」，同時結合內容審計機制，實現對網路資源及信息的可控性。
· 使用加密機制，確保信息不暴露給未授權的實體或進程，即「看不懂」，從而實現信息的保密性。
· 使用數據完整性鑒別機制，保證只有得到允許的人才能修改數據，而其它人「改不了」，從而確保信息的完整性。
· 使用審計、監控、防抵賴等安全機制，使得攻擊者、破壞者、抵賴者「走不脫」，並進一步對網路出現的安全問題提供調查依據和手段，實現信息安全的可審查性。
二、網路安全問題分析
網路面臨的威脅大體可分為對網路中數據信息的危害和對網路設備的危害，我們這里主要研究的是前者。具體來說，危害網路安全的主要威脅有：非授權訪問，即對網路設備及信息資源進行非正常使用或越權使用等；冒充合法用戶，即利用各種假冒或欺騙的手段非法獲得合法用戶的使用許可權，以達到佔用合法用戶資源的目的；破壞數據的完整性，即使用非法手段，刪除、修改、重發某些重要信息，以干擾用戶的正常使用；干擾系統正常運行。指改變系統的正常運行方法，減慢系統的響應時間等手段；病毒與惡意攻擊，即通過網路傳播病毒或惡意Java、XActive等。
除此之外，Internet非法內容也形成了對網路的另一大威脅。有關部門統計顯示，有30%-40%的Internet訪問是與工作無關的，甚至有的是去訪問色情、暴力、反動等站點。在這樣的情況下，Internet資源被嚴重浪費。尤其對教育網來說，面對形形色色、良莠不分的網路資源，如不具有識別和過濾作用，不但會造成大量非法內容或郵件出入，佔用大量流量資源，造成流量堵塞、上網速度慢等問題，而且某些不良網站含有暴力、色情、反動消息等內容，將極大地危害青少年的身心健康。
三、網路安全策略
通過對網路的全面了解，按照安全策略的要求及風險分析的結果，整個網路措施應按系統體系建立，具體的安全控制系統由以下幾個方面組成: 物理安全、網路安全、信息安全。
1. 物理安全
保證計算機信息系統各種設備的物理安全是整個計算機信息系統安全的前提。物理安全是保護計算機網路設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。它主要包括三個方面：
環境安全：對系統所在環境的安全保護，如區域保護和災難保護；
設備安全：主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等；
媒體安全：包括媒體數據的安全及媒體本身的安全。
顯然，為保證信息網路系統的物理安全，除在網路規劃和場地、環境等要求之外，還要防止系統信息在空間的擴散，在理論和技術支持下的驗證工作也證實這種截取距離在幾百甚至可達千米，這給計算機系統信息的保密工作帶來了極大的危害。為了防止系統中的信息在空間上的擴散，通常是在物理上採取一定的防護措施，來減少或干擾擴散出去的空間信號。
2. 網路安全
網路安全，包括:系統（主機、伺服器）安全、反病毒、系統安全檢測、審計分析網路運行安全、備份與恢復、區域網與子網安全、訪問控制（防火牆）、網路安全檢測、入侵檢測。
3. 信息安全
主要涉及到信息傳輸的安全、信息存儲的安全以及對網路傳輸信息內容的審計三方面，具體包括數據加密、數據完整性鑒別、防抵賴、信息存儲安全、資料庫安全、終端安全、信息的防泄密、信息內容審計、用戶授權。
面對網路安全的脆弱性，除了在網路設計上增加安全服務功能，完善系統的安全保密措施外，還必須花大力氣加強網路的安全管理，組織管理和人員錄用等方面有許多的不安全因素，而這又是計算機網路安全所必須考慮的基本問題，所以應引起網路管理員的重視。
四、防治計算機病毒
計算機病毒在網路中泛濫已久，一旦入侵到本地網路，在本地區域網中會快速繁殖，導致區域網計算機的相互感染，下面介紹一下有關區域網病毒的入侵原理及防範方法。
1. 區域網病毒入侵原理及現象
一般來說，計算機網路的基本構成包括網路伺服器和網路節點站（包括有盤工作站、無盤工作站和遠程工作站）。計算機病毒一般首先通過各種途徑進入到有盤工作站，也就進入網路，然後開始在網上的傳播。具體地說，其傳播方式有以下幾種。
1）病毒直接從工作站拷貝到伺服器中或通過郵件在網內傳播；
2）病毒先傳染工作站，在工作站內存駐留，等運行網路盤內程序時再傳染給伺服器；
3）病毒先傳染工作站，在工作站內存駐留，在病毒運行時直接通過映像路徑傳染到伺服器中
4）如果遠程工作站被病毒侵入，病毒也可以通過數據交換進入網路伺服器中一旦病毒進入文件伺服器，就可通過它迅速傳染到整個網路的每一個計算機上。
在網路環境下，網路病毒除了具有可傳播性、可執行性、破壞性等計算機病毒的共性外，還具有一些新的特點。
1）感染速度快
在單機環境下，病毒只能通過介質從一台計算機帶到另一台，而在網路中則可以通過網路通訊機制進行迅速擴散。根據測定，在網路正常工作情況下，只要有一台工作站有病毒，就可在十幾分鍾內將網上的數百台計算機全部感染。
2）擴散面廣
由於病毒在網路中擴散非常快，擴散范圍很大，不但能迅速傳染區域網內所有計算機，還能通過遠程工作站將病毒在一瞬間傳播到千里之外。
3）傳播的形式復雜多樣
計算機病毒在網路上一般是通過「工作站」到「伺服器」到「工作站」的途徑進行傳播的，但現在病毒技術進步了不少，傳播的形式復雜多樣。
4）難於徹底清除
單機上的計算機病毒有時可以通過帶毒文件來解決。低級格式化硬碟等措施能將病毒徹底清除。而網路中只要有一台工作站未能清除干凈，就可使整個網路重新被病毒感染，甚至剛剛完成殺毒工作的一台工作站，就有可能被網上另一台帶毒工作站所感染。因此，僅對工作站進行殺毒，並不能解決病毒對網路的危害。
5）破壞性大
網路病毒將直接影響網路的工作，輕則降低速度，影響工作效率，重則使網路崩潰，破壞伺服器信息，使網路服務癱瘓。
2. 區域網病毒防範方法
查殺病毒的基本步驟：
1）首先要斷開網路，使受感染的機器隔離；
2）使用殺毒軟體進行查殺，可以使用金山或瑞星的專殺工具，徹底清除病毒；
3）安裝IE 相應最新補丁或升級IE 版本，如果是伺服器還要安裝IIS補丁；
4）把系統中出現的一些非法共享（如C、D 等），應該將其共享屬性去掉；對於伺服器，查看一下Administrators 組中是否加進了「guest」用戶，要把guest 用戶從Administrators 組中刪除。
隨著各公司機構內部網不斷建立和擴充，用戶通過區域網與網際網路連接，內部有Web伺服器和FTP伺服器，一旦網路病毒在內部區域網傳播，即便將每台電腦的網線都拔下，也很難徹底查殺干凈，另外管理員的工作量也變得很大。實際上目前已經有很多解決這種問題的產品和方案，網路版殺毒軟體是其中比較好的一個選擇。網路版殺毒軟體和單機版殺毒軟體最大的區別在於，網路版是針對區域網內部電腦的管理而設置了控制操作平台，供網管統一管理使用，而單機版殺毒軟體是不具備管理功能的。並且，隨著信息化進程的不斷推進，網路環境日益復雜，面對日益復雜的網路環境，以及一些黑客程序和木馬程序的攻擊，單機版無法保證整個網路安全。如果把單機版殺毒軟體當作網路版殺毒軟體使用，用戶將不能隨時了解每台機器的狀況。若區域網中的一台機器感染了病毒，將會在很短的時間內傳播開，而通過網路版殺毒軟體，網路管理員就可以通過一台伺服器管理整個區域網的機器，由中心端來對客戶端進行統一管理，對客戶端自動分發最新病毒碼，即便客戶端不能訪問外網，也可以保持最新的病毒碼定義。
五、過濾不良網路信息
網路一項重要的功能就是讓用戶通過路由器或代理伺服器（網關）瀏覽Internet，面對形形色色、良莠不分的網路資源，如不具有識別和過濾作用，不但會造成大量非法內容或郵件出入，佔用大量流量資源，造成流量堵塞、上網速度慢等問題，而且某些網站的娛樂、游戲、甚至暴力、色情、 反動消息等不良內容，將極大地危害青少年學生的身心健康。
許多企業和學校都在努力嘗試解決不良信息的瀏覽問題，由於多數不良信息來源於互聯網，解決方法主要是針對互聯網進行限制，主要可以分為三類：斷開物理連接、地址庫過濾和防火牆過濾。
斷開物理連接的做法很直接，就是在內網里使用虛擬互聯網軟體單獨設置一個區域給用戶用來上網，但是實際上這個區域和互聯網是斷開的，用戶使用瀏覽器瀏覽網頁的時候實際上是在瀏覽本地伺服器。用戶雖然可以用瀏覽器瀏覽網頁，但是可以瀏覽的資源有限，而且網頁內容也完全取決於本地伺服器的更新速度。這樣做雖然可以起到一定的作用，但同時也忽視了互聯網最大的特點──實時性，而且可瀏覽的范圍太小。而且因為要經常從互聯網下載網頁，網路管理員的工作量增加，大大降低了網路的使用效率。
地址庫過濾則是在區域網連接互聯網介面的網關處設置一個軟體的「關卡」，這個「關卡」會檢查每個HTTP 請求，把每個請求和一個記錄著被禁止訪問的網站地址庫進行比較。這樣的處理方式會大大降低瀏覽互聯網的速度，而且地址庫的更新也是問題。每天在互聯網上出現的新網站有成千上萬，不可能被及時的一一檢查。
防火牆過濾也是在區域網連接互聯網介面的網關處設置軟、硬體設施，這類過濾形式可以設置對關鍵詞比如說「性」等的禁止，當軟體發現含有關鍵詞的訪問請求時，會自動切斷訪問，但對於打包的郵件無能為力；而且，這種過濾往往矯枉過正，比如說軟體發現「正確性」一詞中含有「性」，也不分青紅皂白一律關閉；由於牽涉到在入口處對內容進行檢查，Internet的瀏覽速度在人數多時奇慢無比；另外從資金角度來看，由於目前適合中小規模區域網使用的低價位防火牆大多依賴於LINUX 操作系統，學校或企業需要另行購買一台防火牆伺服器，加大了資金投入。
七、拒絕惡意網頁和垃圾郵件
1. 拒絕惡意網頁
Internet 網上除了前面說過的不良信息外，還有危害更大的網路陷阱，其中以一些惡意網頁為代表，這些網頁通過惡意代碼纂改注冊表中的源代碼，達到更改用戶主頁的目的，輕則造成用戶IE 瀏覽器被鎖定、主頁無法改回、彈出眾多窗口耗盡資源等嚴重危害，重則通過瀏覽網頁讓電腦在不知不覺中被植入木馬，傳播病毒，或盜取用戶重要個人信息，其危害可見一斑。
實際上惡意網頁一般都是利用IE的文本漏洞通過編輯的腳本程序修改注冊表,以達到篡改用戶瀏覽器設置的目的。我們常見到的比如IE標題欄顯示「歡迎訪問⋯⋯網站」、默認主頁被更改為陌生網址、每次打開IE都自動登錄到此網站、右鍵菜單被添加莫名其妙的廣告、用戶無法更改IE設置等現象都屬此類問題，解決方法有兩種：第一種方法是使用注冊表編輯器，手動把被篡改的注冊表信息改回初始值。第二種方法是使用專門的解鎖工具，如著名的「超級兔子」或「3721 網路工具」等可以很簡單地解除被修改的IE 瀏覽器。
另外有的惡意網頁是利用IE 的腳本漏洞，用含有有害代碼的ActiveX網頁文件，讓用戶自動運行木馬程序，因此建議在訪問一些陌生網站時在IE 設置中將ActiveX 插件和控制項、Java 腳本等禁止。由於IE 是使用頻率最高的網路瀏覽器，因此針對其本身漏洞的攻擊也非常多，要保持及時給IE 升級或打補丁，這樣才能盡量堵塞漏洞，提高IE 的安全性。
2. 拒絕垃圾郵件
除了猖獗的網路病毒外，垃圾郵件的危害也早已受到了人們的普遍關注，實際上現在網路病毒中有約80%是通過郵件傳播的，更不用說一些色情、反動、迷信郵件的危害了。有效地防範垃圾郵件已經成為所有網路用戶的共同目標，在學校教育中防範垃圾郵件也是衡量校園網路安全的重要標准之一。
首先要做好預防工作，保護自己的郵箱不會成為垃圾郵件的攻擊目標，經查閱有關資料，有關專家提出了以下建議：
1) 給信箱起個相對復雜的名稱。如果用戶名過於簡單或者過於常見，則很容易被當作攻擊目標。因為過於簡單的名字，垃圾郵件的發送者很可能通過簡單排列組合，搜索到用戶的郵件地址，從而發送垃圾郵件。因此在申請郵箱時，不妨起個保護性強一點的用戶名，比如英文和數字的組合，盡量長一點，可以少受垃圾郵件騷擾。
2) 避免泄露郵件地址。不要隨意地在瀏覽BBS(Bulletin Board Service,公告牌服務)時，公開自己的郵件地址，目前有一些別有用心的人往往在BBS 上散布一些具有誘惑性的消息，誘使其他用戶提供電子郵件地址進行收集。
3) 不要輕易回應垃圾郵件。因為一旦回復，就等於告訴垃圾郵件發送者該地址是有效的，這樣會招來更多的垃圾郵件。
4) 最實用的是使用郵件客戶端程序的郵件管理、過濾功能。
5）最後還可以利用一些專門的防垃圾郵件軟體指定條件檢測郵件接收伺服器，自動刪除垃圾郵件。
對於一些惡意的病毒郵件，就不僅是干擾人們正常生活這么簡單了，郵件病毒其實和普通的電腦病毒一樣，只不過由於它們的傳播途徑主要是通過電子郵件，所以才被稱為郵件病毒。它們一般是通過在郵件中附件夾帶的方法進行擴散的，運行了該附件中的病毒程序，才能夠使電腦染毒。知道了這一點，我們就不難採取相應的措施進行防範了。
當遇到帶有附件的郵件時，如果附件為可執行文件(*.exe、*.com)或word文檔時，不要急於打開，可以用兩種方法來檢測是否帶有病毒。一種方法是，利用殺毒軟體的郵件病毒監視功能來過濾掉郵件中可能存在的病毒；另一種方法是，把附件先存放在硬碟上，然後利用殺毒軟體查毒。所以在郵件接收過程中用一款可靠的防毒軟體對郵件進行掃描過濾是非常有效的手段，我們通過設置殺毒軟體中的郵件監視功能，在接收郵件過程中對郵件進行處理，可以有效防止郵件病毒的侵入。
八、結語
網路安全的主要問題是網路安全和信息安全，具體可分為預防病毒、訪問控制、身份驗證和加密技術、系統安全漏洞等問題。
對網路內的網路病毒，處理方法是選擇優秀的殺毒軟體；對網路不良信息的處理方法應該以使用網路信息過濾系統為主；在面對網路上的各種惡意網頁和垃圾郵件時應通過設置郵件系統安全選項，提高安全意識並結合殺毒軟體提供保護。
要想建設一個合格的網路，一方面要考慮網路內部的安全性，一方面要關注本網路和外部信息網路互聯時的安全性。網路的安全問題是一個較為復雜的系統工程，從嚴格的意義上來講，沒有絕對安全的網路系統，提高網路的安全系數是要以降低網路效率和增加投入為代價的。隨著計算機技術的飛速發展，網路的安全有待於在實踐中進一步研究和探索。在目前的情況下，我們應當全面考慮綜合運用防毒軟體、防火牆、加密技術等多項措施，互相配合，加強管理，從中尋找到確保網路安全與網路效率的平衡點，綜合提高網路的安全性，從而建立起一套真正適合民眾使用的安全體系。