1 引言
计算机网络的广泛应用已经对经济、文化、教育、科技的发展产生了重要影响,许多重要的信息、资源都与网络相关。客观上,几乎没有一个网络能够免受安全的困扰。依据FinancialTimes曾经做过的统计,平均每20秒钟就有一个网络遭到入侵,而安全又是网络发展的根本。尤其是在信息安全产业领域,其固有的敏感性和特殊性,直接影响着国家的安全利益和经济利益。因此,在网络化、信息化进程不可逆转的形势下,如何最大限度地减少或避免因信息泄漏、破坏所造成的经济损失,是摆在我们面前亟需妥善解决的一项具有重大战略意义的课题。
2 网络面临的安全威胁
计算机网络所面临的威胁主要有对网络中信息的威胁和对网络中设备的威胁两种。影响计算机网络的因素有很多,其所面临的威胁也就来自多个方面,主要有:
①人为的失误:如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享都会对网络安全带来威胁;
②信息截取:通过信道进行信息的截取,获取机密信息,或通过信息的流量分析,通信频度、长度分析,推出有用信息,这种方式不破坏信息的内容,不易被发现。这种方式是在过去军事对抗、政治对抗和当今经济对抗中最常用的,也是最有效的方式;
③内部窃密和破坏:是指内部或本系统的人员通过网络窃取机密、泄漏或更改信息以及破坏信息系统。据美国联邦调查局1997年9月进行的一项调查显示,70%的攻击是从内部发动的,只有30%是从外部攻进来的;
④黑客攻击:黑客已经成为网络安全的克星.近年来,特别是2000年2月7-9日,美国著名的雅虎、亚马逊等8大顶级网站接连遭受来历不明的电子攻击,导致服务系统中断,整个因特网使用率2d时间内下降20%,这次攻击给这些网站的直接损失达12亿美元,间接经济损失高达10亿美元;
⑤技术缺陷:由于认识能力和技术发展的局限性,在硬件和软件设计过程中,难免留下技术缺陷,由此可造成网络的安全隐患。其次,网络硬件、软件产品多数依靠进口,如全球90%的微机都装微软的Windows操作系统,许多网络黑客就是通过微软操作系统的漏洞和后门而进入网络的,这方面的报道经常见诸于报端;
⑥病毒:从1988年报道的第一例病毒(蠕虫病毒)侵入美国军方互联网,导致8500台计算机染毒和6500台停机,造成直接经济损失近1亿美元,此后这类事情此起彼伏,从2001年红色代码到今年的冲击波和震荡波等病毒发作的情况看,计算机病毒感染方式已从单机的被动传播变成了利用网络的主动传播,不仅带来网络的破坏,而且造成网上信息的泄漏,特别是在专用网络上,病毒感染已成为网络安全的严重威胁。另外,对网络安全的威胁还包括自然灾害等不可抗力因素。
以上对计算机网络的安全威胁归纳起来常表现为一下特征:①窃听:攻击者通过监视网络数据获得敏感信息;②重传:攻击者先获得部分或全部信息,而以后将此信息发送给接受者;③伪造:攻击者将伪造的信息发送给接受者;④篡改:攻击者对合法用户之间的通讯信息进行修改、删除、插入,再发送给接受者;⑤拒绝服务攻击:供给者通过某种方法使系统响应减慢甚至瘫痪,组织合法用户获得服务;⑥行为否认:通讯实体否认已经发生的行为;⑦非授权访问:没有预先经过同意,就使用网络或计算机资源;⑧传播病毒:通过网络传播计算机病毒,其破坏性非常高,而且用户很难防范。
网络安全目标的最小集合为以下几个方面:①身份真实性:能对通讯实体身份的真实性进行鉴别;②信息机密性:保证机密信息不会泄露给非授权的人或实体;③信息完整性:保证数据的一致性,能够防止数据被非授权用户或实体建立、修改、破坏;④服务可用性:保证合法用户对信息和资源的使用不会被不正当的拒绝;⑤不可否认型:建立有效的责任机制,防止实体否认其行为;⑥系统可控性:能够控制使用资源的人或实体的使用方式;⑦在满足安全要求的条件下,系统应当操作简单、维护方便;⑧可审查性:对出现的网络安全问题提供调查的依据和手段。
3 主要网络安全技术
为了确保网络信息的安全,在实际应用中通常采用的安全技术有如下几种。
3.1 病毒防范技术
计算机病毒实际上就是一种在计算机系统运行过程中能够实现传染和侵害计算机系统的功能程序。病毒经过系统穿透或违反授权攻击成功后,攻击者通常要在系统中植入木马或逻辑炸弹等程序,为以后攻击系统、网络提供方便条件。当前的杀毒软件正面临着互联网的挑战。目前,世界上每天有13~50种新病毒出现,并且 60%的病毒都是通过互联网来进行传播。为了能有效保护企业的信息资源,要求杀毒软件能支持所有企业可能用到的互联网协议及邮件系统,能适应并及时跟上瞬息万变的时代步伐。在这些方面,国外的一些杀毒软件如Norton、McAfee、熊猫卫士等走在了前面。而国内的大部分杀毒软件大都专注在单机版杀毒上,虽然有部分厂商推出了网络版的杀毒产品,只是在桌面端及文件服务器上进行防护,防护范围依然较窄,所以国内杀毒厂商应及早加强在网关或邮件服务器上的防护。只有有效截断病毒的入口,才能避免企业及用户由于病毒的爆发而引起的经济损失。
3.2 防火墙技术
防火墙技术是通过对网络作拓扑结构和服务类型上的隔离来加强网络安全的一种手段。它所保护的对象是网络中有明确闭合边界的一个网块,而它所防范的对象是来自被保护网块外部的安全威胁。目前防火墙产品主要有如下几种:①包过滤防火墙:通常安装在路由器上,根据网络管理员设定的访问控制清单对流经防火墙信息包的IP源地址,IP目标地址、封装协议(如TCP/IP等)和端口号等进行筛选。②代理服务器防火墙:包过滤技术可以通过对IP地址的封锁来禁止未经授权者的访问。但是它不太适合于公司用来控制内部人员访问外界的网络。对于有这样要求的企业,可以采用代理服务器技术来加以实现。代理服务器通常由服务端程序和客户端程序两部分构成,客户端程序与中间节点(ProxyServer)连接,这样,从外部网络就只能看到代理服务器而看不到任何的内部资源。因此,采用代理服务器技术要比单一的包过滤技术更为可靠,同时还会详细地记录下所有的访问记录。不足之处在于由于它不允许用户直接访问网络,会导致合法用户访问信息的速度变慢,此外要说明的一点就是并非所有的互联网应用软件都支持代理服务器技术。③状态监视防火墙:通过检测模块(一个能够在网关上执行网络安全策略的软件引擎)对相关数据的监测后,从中抽取部分数据(即状态信息),并将其动态地保存起来作为以后制定安全决策的参考。检测模块能支持多种协议和应用程序,并可容易地实现应用和服务的扩充。采用状态监视器技术后,当用户的访问到达网关操作系统之前,状态监视器要对访问请求抽取有关数据结合网络配置和安全规定进行分析,以做出接纳、拒绝、鉴定或给该通信加密等的决定。一旦某个访问违反了上述安全规定,安全报警器就会拒绝该访问,并向系统管理器报告网络状态。但它的配置非常复杂,而且会降低网络信息的传输速度。
3.3 加密型技术
以数据加密为基础的网络安全系统的特征是:通过对网络数据的可靠加密来保护网络系统中(包括用户数据在内)的所有数据流,从而在不对网络环境作任何特殊要求的前提下,从根本上解决了网络安全的两大要求(即网络服务的可用性和信息的完整性)。采用加密技术网络系统的优点在于:不仅不需要特殊网络拓扑结构的支持,而且在数据传输过程中也不会对所经过网络路径的安全程度作出要求,从而真正实现了网络通信过程端到端的安全保障。预计在未来3~5年内,采用加密技术的网络安全系统有希望成为网络安全的主要实现方式。加密技术按加密密钥与解密密钥的对称性可分为对称型加密、不对称型加密、不可逆加密。在网络传输中,加密技术是一种效率高而又灵活的安全手段,但是由于大部分数据加密算法都源于美国,且受到美国出口管制法的限制,无法在互联网上大规模使用,从而限制了以加密技术为基础网络安全解决方案的应用。
3.4 入侵检测技术
入侵检测技术主要分成两大类型:①异常入侵检测:是指能够根据异常行为和使用计算机资源情况检测出来的入侵.异常入侵检测试图用定量方式描述可接受的行为特征,以区分非正常的、潜在的入侵性行为。异常入侵要解决的问题就是构造异常活动集并从中发现入侵性活动子集。异常入侵检测方法依赖于异常模型的建立,不同模型构成不同的检测方法。异常检测是通过观测到的一组测量值偏离度来预测用户行为的变化,然后作出决策判断的检测技术②误用入侵检测:是指利用已知系统和应用软件的弱点攻击模式来检测入侵。误用入侵检测的主要假设是具有能够被精确地按某种方式编码的攻击,并可以通过捕获攻击及重新整理,确认入侵活动是基于同一弱点进行攻击的入侵方法的变种.误用入侵检测指的是通过按预先定义好的入侵模式以及观察到入侵发生的情况进行模式匹配来检测.入侵模式说明了那些导致安全突破或其他误用的事件中的特征、条件、排列和关系。一个不完整的模式可能表明存在入侵的企图。
3.5 网络安全扫描技术
网络安全扫描技术主要包含:①端口扫描技术:端口扫描向目标主机的Tcp/Ip服务端口发送探测数据包,并记录目标主机的响应。通过分析响应来判断服务端口是打开还是关闭,就可以得知端口提供的服务或信息。端口扫描也可以通过捕获本地主机或服务器的流入流出Ip数据包来监视本地主机的运行情况,它仅能对接收到的数据进行分析,帮助我们发现目标主机的某些内在的弱点,而不会提供进入一个系统的详细步骤;②漏洞扫描技术:漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞:在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在;通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等。若模拟攻击成功,则表明目标主机系统存在安全漏洞。
除了以上介绍的几种网络安全技术之外,还有一些被广泛应用的安全技术,如身份验证、存取控制、安全协议等。
0
| 评论