互聯網安全

“互聯網”指的是全球性的信息系統，是能夠相互交流，相互溝通，相互參與的互動平台。因此互聯網安全問題，應該象每家每户的防火防盜問題一樣，做到防範於未然。甚至不會想到你自己也會成為目標的時候，威脅就已經出現了，一旦發生，常常措手不及，造成極大的損失。 ^[2] 

網絡安全問題既同互聯網原初架構有關，也同作為主要終端設備的個人電腦有關。首先，根據經典的“端對端”原則( end － to － end principle) ，互聯網的設計應該儘量保持數據傳輸過程的簡捷，將對數據的認證置於終端而非傳輸過程之中。互聯網獨特的TCP /IP 協議將數據分割成若干數據包，只有在傳輸至終端設備時才能被重新組裝，成為完整的信息，在此過程中運營商無法得知數據包的內容。其次，作為終端的個人電腦和操作系統使得用户有能力編寫病毒和惡意程序，並極易迅速擴散至整個互聯網。自從1988 年世界上第一例蠕蟲病毒“Morris”出現以來，世界上各種病毒、木馬和網絡攻擊層出不窮，嚴重威脅到互聯網的繁榮和用户數據的安全。特別是製造網絡病毒逐漸成為一種有利可圖的產業，網絡安全就基本上成為伴隨互聯網擴散的常態問題，且愈演愈烈。第三，隨着互聯網的服務和應用程序愈加多樣和複雜，市場競爭愈加激烈，很多未經安全審查的軟件程序常帶有某些缺陷和漏洞，從而使得病毒和惡意程序有各種機會入侵個人電腦。用户會下載使用各種軟件，但缺乏足夠的警惕和技術能力進行自我保護，也無法判斷軟件質量與安全風險。

由於互聯網一開始是一個超越國界的匿名開放系統，在無法根本改變其原初架構的情況下，針對其弱點，網絡安全防護就有必要從信息流通的端點入手。現實中至少有如下幾種選擇: 首先，對國家而言，為保護本國網絡使用者免受來自國外的攻擊，可以控制本國網絡同其他國家網絡連接的出口，並在出口信道設置入侵檢測系統以排查可疑的數據包。但是這樣做要受到本國通訊和言論法律的制約。其次，互聯網骨幹和接入運營商( 以下統稱ISP) 逐級進行安全防護，這就違反了“端對端”原則，可能受到公眾質疑以及國家的監管。當然國家也可以制定法律要求它們承擔安全責任。第三，同理，互聯網內容和應用服務商( 以下統稱ICP) 為了保障交易和服務安全、保護用户信息免受攻擊侵犯，也會採取安全措施，國家也可以施加法律責任。最後，由用户自主選擇在電腦終端安裝安全軟件，防護本地個人資料。在不同的國家，以上四點措施可以綜合運用，也可以偏重於某些端點。另外，無論誰來實施防護，所需的安全系統可以由國家統一提供，也可以由專門的安全軟件企業提供。由於軟件產品複製與分發的成本為零，軟件提供者的前期研發投入與後期技術更新就成了關鍵的問題。和前互聯網時代的武器製造與使用相比，發動網絡攻擊的技術門檻大大降低，並使以國家為目標的網絡戰與一般的網絡攻擊之間的界限模糊不清，原先存在於核戰爭時代的戰爭規則與策略也不再適用。面對不確定的網絡攻擊，國家無法像提供傳統公共品一樣承擔整個網絡空間的防衞，而只能聚焦於國家基礎設施和政府部門信息設備的安全; 同時由社會中大量的企業和個人用户負責自己的安全，安裝安全軟件採取私力救濟。這樣既可以減少國家不必要的財政支出，又可以通過市場競爭產生更好的安全軟件服務。針對不同種類網絡威脅提供獨特產品，是有效率的資源配置方式。國家若採取傳統防衞觀念，認為互聯網安全隸屬於國家信息主權安全，那麼在架構上就必然要求採取控制出口信道的做法，這樣才能在第一道關口最大限度地防止病毒入侵，但成本極為高昂。這些措施都屬於Lawrence Lessig 提出的通過代碼規制網絡空間的行為，比單純地立法禁止要更加有效。

（1）主動攻擊：包含攻擊者訪問所需要信息的故意行為。

（2）被動攻擊。主要是收集信息而不是進行訪問，數據的合法用户對這種活動一點也不會覺察到。

被動攻擊包括：

1、竊聽。包括鍵擊記錄、網絡監聽、非法訪問數據、獲取密碼文件。

2、欺騙。包括獲取口令、惡意代碼、網絡欺騙。

3、拒絕服務。包括導致異常型、資源耗盡型、欺騙型。

4、數據驅動攻擊：包括緩衝區溢出、格式化字符串攻擊、輸入驗證攻擊、同步漏洞攻擊、信任漏洞攻擊。 ^[3] 

木馬病毒一般都是在下載安裝一些不安全的軟件和瀏覽一些不安全的網站的時候侵入到電腦中的，建議您不要瀏覽不安全的網網站和不要安裝不安全的軟件。 ^[4] 

偽基站”即假基站。設備是一種高科技儀器，一般由主機和筆記本電腦組成，通過短信羣發器、短信發信機等相關設備能夠搜取以其為中心、一定半徑範圍內的手機卡信息，通過偽裝成運營商的基站，任意冒用他人手機號碼強行向用户手機發送詐騙、廣告推銷等短信息。 ^[5] 

APT（Advanced Persistent Threat）--------高級持續性威脅。 利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的攻擊形式。APT攻擊的原理相對於其他攻擊形式更為高級和先進，其高級性主要體現在APT在發動攻擊之前需要對攻擊對象的業務流程和目標系統進行精確的收集。在此收集的過程中，此攻擊會主動挖掘被攻擊對象受信系統和應用程序的漏洞，利用這些漏洞組建攻擊者所需的網絡，並利用0day漏洞進行攻擊。 ^[6] 

隨着移動設備的爆炸式增長，2011年各種筆記本電腦、上網本、智能手機、平板電腦都將快速融入人們的日常生活。而例如咖啡廳、賓館等公共場所所提供的無線網絡安全問題，也會成為關注焦點。黑客可以很輕易的通過公共無線網絡侵入個人移動設備，獲取隱私信息等。 ^[2] 

互聯網安全主要表現在以下幾個方面：互聯網的物理安全、互聯網網絡拓撲結構安全、互聯網系統安全、應用系統安全和互聯網管理的安全等。

網絡的物理安全是整個網絡系統安全的前提。在校園網工程建設中，由於網絡系統屬於弱電工程，耐壓值很低。因此，在網絡工程的設計和施工中，必須優先考慮保護人和網絡設備不受電、火災和雷擊的侵害；考慮佈線系統與照明電線、動力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離；考慮佈線系統和絕緣線、裸體線以及接地與焊接的安全；必須建設防雷系統，防雷系統不僅考慮建築物防雷，還必須考慮計算機及其他弱電耐壓設備的防雷。總體來説物理安全的風險主要有，地震、水災、火災等環境事故；電源故障；人為操作失誤或錯誤；設備被盜、被毀；電磁干擾；線路截獲；高可用性的硬件；雙機多冗餘的設計；機房環境及報警系統、安全意識等，因此要儘量避免網絡的物理安全風險。 ^[7] 

網絡拓撲結構設計也直接影響到網絡系統的安全性。假如在外部和內部網絡進行通信時，內部網絡的機器安全就會受到威脅，同時也影響在同一網絡上的許多其他系統，對此我們首先要監測發現網絡中存在的各種安全事件和風險，風險只有做到可知才能可控，要利用各種監測方式和手段，對內部網絡中常見存在的各類安全風險如邊界安全、網站安全、敏感信息安全、移動存儲介質安全、基礎安全、運行安全、違規行為等予以第一時間發現，並結合相應的防護手段，予以及時處置，將風險帶來的危害降到最低。透過網絡傳播，還會影響到連上Internet/Intrant的其他的網絡；影響所及，還可能涉及法律、金融等安全敏感領域。因此，我們在設計時有必要將公開服務器（WEB、DNS、EMAIL等）和外網及內部其它業務網絡進行必要的隔離，避免網絡結構信息外泄；同時還要對外網的服務請求加以過濾，只允許正常通信的數據包到達相應主機，其它的請求服務在到達主機之前就應該遭到拒絕。 ^[7] 

所謂系統的安全是指整個網絡操作系統和網絡硬件平台是否可靠且值得信任。沒有絕對安全的操作系統可以選擇，無論是Microsoft 的Windows NT或者其它任何商用UNIX操作系統，其開發廠商必然有其Back-Door。因此，我們可以得出如下結論：沒有完全安全的操作系統。不同的用户應從不同的方面對其網絡作詳盡的分析，選擇安全性儘可能高的操作系統。因此不但要選用盡可能可靠的操作系統和硬件平台，並對操作系統進行安全配置。而且，必須加強登錄過程的認證（特別是在到達服務器主機之前的認證），確保用户的合法性；其次應該嚴格限制登錄者的操作權限，將其完成的操作限制在最小的範圍內。 ^[7-8] 

應用系統的安全跟具體的應用有關，它涉及面廣。應用系統的安全是動態的、不斷變化的。應用的安全性也涉及到信息的安全性，它包括很多方面。

——應用系統的安全是動態的、不斷變化的。

應用系統是不斷髮展且應用類型是不斷增加的。在應用系統的安全性上，主要考慮儘可能建立安全的系統平台，而且通過專業的安全工具不斷髮現漏洞，修補漏洞，提高系統的安全性。

——應用的安全性涉及到信息、數據的安全性。

信息的安全性涉及到機密信息泄露、未經授權的訪問、 破壞信息完整性、假冒、破壞系統的可用性等。在某些網絡系統中，涉及到很多機密信息，如果一些重要信息遭到竊取或破壞，它的經濟、社會影響和政治影響將是很嚴重的。因此，對用户使用計算機必須進行身份認證，對於重要信息的通訊必須授權，傳輸必須加密。採用多層次的訪問控制與權限控制手段，實現對數據的安全保護；採用加密技術，保證網上傳輸的信息（包括管理員口令與帳户、上傳信息等）的機密性與完整性。 ^[7] 

管理是網絡中安全最最重要的部分。責權不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。當網絡出現攻擊行為或網絡受到其它一些安全威脅時（如內部人員的違規操作等），無法進行實時的檢測、監控、報告與預警。同時，當事故發生後，也無法提供黑客攻擊行為的追蹤線索及破案依據，即缺乏對網絡的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄，及時發現非法入侵行為。

建立全新網絡安全機制，必須深刻理解網絡並能提供直接的解決方案，因此，最可行的做法是制定健全的管理制度和嚴格管理相結合。保障網絡的安全運行，使其成為一個具有良好的安全性、可擴充性和易管理性的信息網絡便成為了首要任務。一旦上述的安全隱患成為事實，所造成的對整個網絡的損失都是難以估計的。因此，網絡的安全建設是校園網建設過程中重要的一環。 ^[7-8] 

物理措施：例如，保護網絡關鍵設備(如交換機、大型計算機等)，制定嚴格的網絡安全規章制度，採取防輻射、防火以及安裝不間斷電源（UPS）等措施。

訪問控制：對用户訪問網絡資源的權限進行嚴格的認證和控制。例如，進行用户身份認證，對口令加密、更新和鑑別，設置用户訪問目錄和文件的權限，控制網絡設備配置的權限，等等。

數據加密：加密是保護數據安全的重要手段。加密的作用是保障信息被人截獲後不能讀懂其含義。防止計算機網絡病毒，安裝網絡防病毒系統。

其他措施：其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等。圍繞網絡安全問題提出了許多解決辦法，例如數據加密技術和防火牆技術等。數據加密是對網絡中傳輸的數據進行加密，到達目的地後再解密還原為原始數據，目的是防止非法用户截獲後盜用信息。防火牆技術是通過對網絡的隔離和限制訪問等方法來控制網絡的訪問權限，從而保護網絡資源。其他安全技術包括密鑰管理、數字簽名、認證技術、智能卡技術和訪問控制等等。 ^[8] 

擁有網絡安全意識是保證網絡安全的重要前提。許多網絡安全事件的發生都和缺乏安全防範意識有關。

維護網絡安全的工具有VIEID、數字證書、數字簽名和基於本地或雲端的殺毒軟體等構成。在法律方面有中華人民共和國計算機信息系統安全保護條例、中華人民共和國電子簽名法等。 ^[9]