四、网络安全问题的防范加强对网络安全技术的投入,提高网络安全技术水平,对保障信息安全,防范网络犯罪,促进互联网健康发展意义重大。如前所述,网络犯罪是一种技术犯罪,要有足够的技术手段才能防范、制止。而单纯地依靠某一种手段、某一种方法难以实现对网络犯罪进行全面防范和打击的目的,有效遏制网络犯罪需要依靠技术、法律、社会引导教育等力量的综合使用加以综合治理,以下主要介绍技术方面的网络安全预防措施。
1.应当建立访问控制机制访问控制就是对进入计算机系统的用户进行控制,例如进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限等等。在网络环境中,访问控制必须用来保护每个单个的系统,并且也要避免允许非授权用户通过网络的一个子系统去访问其他的系统。它的作用是对欲访问某个计算机系统的人进行识别,以确定其是否有访问该系统的权限,并验证两个主要问题:你是哪个用户,当前用户是否具有合法性。目前建立计算机网络系统的访问控制的方法主要有三种方法:即用户自行建立保密信息,如设立用户名(ID)和与之对应的口令;采用一些物理硬件设备作为识别的依据,如钥匙、访问卡等;采用生物统计学系统加密,该系统可以基于访问者的某种特殊的物理特征对访问者进行唯一性识别。当前最常见的访问控制方法是用户在使用计算机网络系统时自行建立保密信息。
实施访问控制机制另一个问题是养成设立特定访问控制的好习惯。特定的访问控制被内置于许多操作系统中,是任何安全措施中最重要的组成部分。通常,在计算机及其网络系统中,它根据权限设置(授予个人和组织以使用系统许可权),分配给使用者以访问系统时对数据和文件相应的读、写、删改等不同的权限。因此,对不同的使用者设置不同的使用权限对于保护系统资料和数据具有很重要的意义。
2.采取数字加密技术保护系统安全加密是保护数据安全的重要手段。数据加密是对网络中传输的数据进行加密,到达目的地后再解密还原为原始数据,目的是防止非法用户截获后盗用信息。有了访问控制,不能说系统就绝对的安全,技术高超的犯罪分子仍然可以通过技术手段打破访问控制的障碍,因此对重要数据和文件应当使用高等级加密技术加密保护以及使用数字签名技术进行网上数据、文件的传输,一定程度上可以有效地防止犯罪分子盗取、篡改数据或截获信息后进行不法利用。
3.设立防火墙防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限,从而保护网络资源。传统意义上的防火墙技术分为三大类,“包过滤”、“应用代理”和“状态监视”,无论一个防火墙的实现过程多么复杂,归根结底都是在这三种技术的基础上进行功能扩展的。
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包的链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
利用防火墙,在网络通讯时执行一种访问控制尺度,决定了哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环,是网络安全最基本、最经济、最有效的手段之一,防火墙可以实现内部、外部网或不同信任域网络之间的隔离,达到有效的控制对网络访问的作用。防火墙是计算机内部系统与因特网接入服务商提供的外部网络系统之间的过滤屏障,它通过过滤危险信息和未授权的服务请求,防止非法数据入侵及防止外来用户的非法连接,其主要目的就是防止外部网络的未授权访问。其作用虽非万能,但一定程度上可起到保护网络安全的作用。用户可以通过选择软、硬件(或软、硬件防火墙结合)防火墙来保护系统安全。
4.密码技术与其他信息安全技术相互融合信息网络安全是个综合意义的学科领域,它是利用教学、电子、信息、通信、计算机等诸多学科的长期知识积累和最新发展成果。信息网络安全领域的对抗是一场高科技领域的抗衡。
信息网络安全功能的复杂性,导致解决信息网络安全需要多种技术的集成和整合。密码技术是解决信息网络安全的关键技术,信息网络安全中的身份认证、传输和存储信息的加密保护、信息完整性和不可否认性等,都需要运用密码技术来解决。正因为密码学在信息网络安全中的重要地位和作用,近二十多年来,密码学得到了空前的发展。传统的对称密码(序列密码和分组密码)进一步充实了它的理论基础,为满足应用又开发了多种密码算法,并形成了一些标准;非对称密码(含钥匙)的引入和研究的不断深入,出现了基于大整数因子分解的多种密码算法,并已投入实际使用。为满足一致性安全要求,多种多样的密码协议应运而生,量子密码、混沌理论等新形态密码也取得了重要进展。然而,密码技术并不能解决所有的网络安全问题,密码技术要与信息安全的其他技术如访问控制技术、网络监控技术等互相融合,互相渗透,互相结合。不能计算机的用户只强调访问规则,密码工作者强调密码技术,必须综合运用这些技术,形成综合的信息网络安全保障。
5.网络病毒的防范在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。
校园网络是内部局域网,就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使网络免受病毒的侵袭。
6.采用入侵检测系统入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。
7.Web,Email,BBS的安全监测系统在网络的www服务器、Email服务器等中使用网络安全监测系统,实时跟踪、监视网络,截获Internet网上传输的内容,并将其还原成完整的www、Email、FTP、Telnet应用的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网管中心报告,采取措施。
8.漏洞扫描系统解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改提议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
9.解决信息网络安全,技术与管理并举信息网络安全的脆弱性是体制性的、多层次的、多范畴的,这种复杂性导致信息网络安全机制和功能的复杂性,解决信息网络安全需要完整的解决方案。信息网络安全研究目标是:在覆盖计算机和通信领域的信息传、存储与处理的整个过程中,提供物理上、逻辑上的防护、监外、反应恢复和对抗的能力,以保护网络信息资源的保密性、完整性、可控性和抗抵赖性。解决信息网络安全问题需要技术管理、法制、教育并举,而从技术上解决信息网络安全又是最基本的。从技术上讲,仅满足于分散的封堵已发现的安全漏洞的目的的研究是不够的,要把网络与信息安全视为一个整体,从安全体系结构(包括操作系统),安全协议,现代理论与技术,安全监控管理(包括应急反应),关键安全总结等多个方面开展研究,将整个体系所需要的基本理论、基本算法、基本协议、基本模块等基础构件,与整体要求有机地结合起来,形成完整的解决方案。
总之,网络安全是一个系统的工程,不能仅仅依靠防火墙等单个的系统,而需要仔细考虑系统的安全需求,并将各种安全技术,如密码技术等结合在一起,才能生成一个高效、通用、安全的网络系统。
五、提高网络安全意识有了访问控制设置、数字加密技术、防火墙等措施并不等于系统的绝对安全,安全系数再高的防范措施和技术,都会随时间的变化而变得失去原有的安全性,因此,应当养成定期检查系统、定期更换密码、定期升级系统防范功能等习惯,这对于保护计算机网络系统安全可以起到单纯依靠技术力量保护所无法达到的效果。
缺乏网络安全意识所发生的案例——2003年金融计算机网络犯罪典型案例一名普通的系统维护人员,轻松破解数道密码,进入邮政储蓄网络,盗走83.5万元。这起利用网络进行金融盗窃犯罪的案件不久前被甘肃省定西地区公安机关破获。
2003年11月14日,甘肃省破获首例利用邮政储蓄专用网络,进行远程金融盗窃的案件。这是一起发生在定西一个乡镇的黑客案件。罪犯将犯罪的目光瞄准了邮政储蓄,利用网络窃取了83万余元,最终难逃法网……10月5日13时12分,定西地区临洮县太石镇邮政储蓄所的营业电脑一阵黑屏,随即死机。营业员不知何故,急忙将刚刚下班尚未走远的所长叫了回来。所长以为电脑出现了故障,向上级报告之后,没太放在心上。17日,电脑经过修复重新安装之后,工作人员发现打印出的报表储蓄余额与实际不符。经过对账发现,5日13时发生了11笔交易、总计金额达83.5万元的异地账户系虚存(有交易记录但无实际现金)。当储蓄所几天之后进一步与开户行联系时,发现存款已经分别于6日、11日被人从兰州、西安两地取走37.81万元,他们意识到了问题的严重性,于10月28日向临洮县公安局报了案。
县公安局经过初步调查,基本认定这是一起数额巨大的金融盗窃案,随即向定西公安处汇报。公安处十分重视,立即制定了详细的侦查计划,组成专案组,全力侦查此案,并上报省公安厅。面对特殊的侦破任务,专案组兵分两路,一方面在省、市邮政局业务领导和计算机专家的协助下,从技术的角度分析黑客作案的手段以及入侵的路径;另一方面,使用传统的刑侦方法,大范围调查取证。
专案组首先对有异常情况的8个活期账户进行了调查,发现都属假身份证储户。此时,技术分析的结果也出来了,经过大量网络数据资料的分析,发现作案人首先是以会宁邮政局的身份登录到了永登邮政局,然后再以永登邮政局的名义登入了临洮太石邮政储蓄所。专案组对会宁邮政局进行了调查,发现该局系统维护人员张少强最近活动异常。暗查发现,其办公桌上有一条电缆线连接在了不远处的邮政储蓄专用网络上。专案组基本确认,张少强正是这起金融盗窃案的主谋。11月14日22时,张少强在其住所被专案组抓获。
经过审问,张少强交待了全部犯罪事实。10月5日,张少强在会宁利用笔记本电脑侵入邮政储蓄网络后,非法远程登录访问临洮太石邮政储蓄所的计算机,破译对方密码之后进入操作系统,以营业员身份向自己8月末预先在兰州利用假身份证开设的8个活期账户存入了11笔共计83.5万元的现金,并在退出系统前,删除了营业计算机的打印操作系统,造成机器故障。第二天,他在兰州10个储蓄网点提取现金5.5万元,并将30.5万元再次转存到他所开设的虚假账户上。10月11日,张少强乘车到西安,利用6张储蓄卡又提取现金1.8万元。
至此,这件远程金融盗窃案告破,83.5万元完璧归赵。
为什么一名普通的系统维护人员,竟然能够闯入邮政储蓄专用网络,从容地实施犯罪呢?
张少强29岁,毕业于邮电学院,案发前仅是会宁县邮政局的系统维护人员,谈不上精通电脑和计算机网络技术。而邮政储蓄网络的防范措施不可谓不严:邮政储蓄使用的是专用的网络,和互联网物理隔绝,网络使用了安全防火墙系统,从前台分机到主机,其中有数道密码保护。究竟是什么原因,能让张少强如此轻易得手。
分析整个案例,不难看出,是管理上存在的漏洞、工作人员安全意识的淡薄,才造成了如此严重的局面。案发前,张少强私搭电缆,从来没有人过问,更没有人阻止,让他轻易地将邮政储蓄专用网络置于自己的掌握之中。而另一方面,临洮县太石镇的邮政储蓄网点竟然一直使用原始密码,不仅没有定期更改,也没有在工作人员之间互相保密,于是张少强很轻松地就突破了数道密码关,直接进入了操作系统,盗走了83.5万元。而且,当工作人员发现已经出了问题时,还认为是内部网络系统出了故障,根本没有想到会有网络犯罪的情况发生。网络的工作人员缺乏基本的网络安全防范意识,才让黑客有机可乘。
警方提醒:必须强化网络安全意识。从中可见,网络安全意识的重要,只有把人的安全防范意识提升到一个相当高的地位,黑客攻击等网络犯罪行为才能从根本上降低。
