網絡安全策略研究

[摘要] 當前網絡系統的安全性和可靠性開始成為世界各國共同關注的焦點。計算機網絡安全不僅影響了網絡穩定運行和用戶的正常使用，還有可能造成重大的經濟損失，威脅到國家安全。文章分析了幾種常見的網絡入侵方法以及在此基礎上探討了網絡安全的幾點策略。

[關鍵詞] 網絡安全 計算機網絡 入侵檢測

引言

計算機網絡是一個開放和自由的網絡，它在大大增強了網絡信息服務靈活性的同時，也給黑客攻擊和入侵敞開了方便之門。不僅傳統的病毒借助互聯網加快了其傳播速度并擴大了其傳播范圍，而且各種針對網絡協議和應用程序漏洞的新型攻擊方法層出不窮。這些黑客把先進的計算機網絡技術，當成一種新式犯罪工具和手段，不僅影響了網絡穩定運行和用戶的正常使用，造成重大經濟損失，而且會威脅到國家安全。如何更有效地保護重要的信息數據、提高計算機網絡系統的安全性已經成為影響一個國家的政治、經濟、軍事和人民生活的重大關鍵問題。近年來，網絡系統的安全性和可靠性開始成為世界各國共同關注的焦點。文章分析了幾種常見的網絡入侵方法以及在此基礎上探討了網絡安全的幾點策略。

一、常見的幾種網絡入侵方法

由于計算機網絡的設計初衷是資源共享、分散控制、分組交換，這決定了互聯網具有大跨度、分布式、無邊界的特征。這種開放性使黑客可以輕而易舉地進入各級網絡，并將破壞行為迅速地在網絡中傳播。同時，計算機網絡還有著自然社會中所不具有的隱蔽性：無法有效識別網絡用戶的真實身份；由于互聯網上信息以二進制數碼，即數字化的形式存在，所以操作者能比較容易地在數據傳播過程中改變信息內容。計算機網絡的傳輸協議及操作系統也存在設計上的缺陷和漏洞，從而導致各種被攻擊的潛在危險層出不窮，這使網絡安全問題與傳統的各種安全問題相比面臨著更加嚴峻的挑戰，黑客們也正是利用這樣的特征研發出了各種各樣的攻擊和入侵方法：

1.通過偽裝發動攻擊

利用軟件偽造IP包，把自己偽裝成被信任主機的地址，與目標主機進行會話，一旦攻擊者冒充成功，就可以在目標主機并不知曉的情況下成功實施欺騙或入侵；或者，通過偽造IP地址、路由條目、DNS解析地址，使受攻擊服務器無法辨別這些請求或無法正常響應這些請求，從而造成緩沖區阻塞或死機；或者，通過將局域網中的某臺機器IP地址設置為網關地址，導致網絡中數據包無法正常轉發而使某一網段癱瘓。

2.利用開放端口漏洞發動攻擊

利用操作系統中某些服務開放的端口發動緩沖區溢出攻擊。這主要是由于軟件中邊界條件、函數指針等方面設計不當或缺乏限制，因而造成地址空間錯誤的一種漏洞。利用軟件系統中對某種特定類型的報文或請求沒有處理，導致軟件遇到這種類型的報文時運行出現異常，從而導致軟件崩潰甚至系統崩潰。

3.通過木馬程序進行入侵或發動攻擊

木馬是一種基于遠程控制的黑客工具，具有隱蔽性和非授權性的特點，一旦被成功植入到目標主機中，計算機就成為黑客控制的傀儡主機，黑客成了超級用戶。木馬程序可以被用來收集系統中的重要信息，如口令、賬號、密碼等。此外，黑客可以遠程控制傀儡主機對別的主機發動攻擊，如DDoS攻擊就是大量傀儡主機接到攻擊命令后，同時向被攻擊目標發送大量的服務請求數據包。

4.嗅探器和掃描攻擊

嗅探器是利用計算機的網絡接口截獲目的地為其他計算機的數據報文的一種技術。網絡嗅探器通過被動地監聽網絡通信、分析數據來非法獲得用戶名、口令等重要信息，它對網絡安全的威脅來自其被動性和非干擾性，使得網絡嗅探具有很強的隱蔽性，往往讓網絡信息泄密變得不容易被發現。掃描，是指針對系統漏洞，對系統和網絡的遍歷搜尋行為。由于漏洞普遍存在，掃描手段往往會被惡意使用和隱蔽使用，探測他人主機的有用信息，作為實施下一步攻擊的前奏。

為了應對不斷更新的網絡攻擊手段，網絡安全技術也經歷了從被動防護到主動檢測的發展過程。主要的網絡安全技術包括：防火墻、VPN、防毒墻、入侵檢測、入侵防御、漏洞掃描。其中防病毒、防火墻和VPN屬早期的被動防護技術，入侵檢測、入侵防御和漏洞掃描屬主動檢測技術，這些技術領域的研究成果已經成為眾多信息安全產品的基礎。

二、網絡的安全策略分析

早期的網絡防護技術的出發點是首先劃分出明確的網絡邊界，然后通過在網絡邊界處對流經的信息利用各種控制方法進行檢查，只有符合規定的信息才可以通過網絡邊界，從而達到阻止對網絡攻擊、入侵的目的。主要的網絡防護技術包括：

1.防火墻

防火墻是一種隔離控制技術，通過預定義的安全策略，對內外網通信強制實施訪問控制，常用的防火墻技術有包過濾技術、狀態檢測技術、應用網關技術。包過濾技術是在網絡層中對數據包實施有選擇的通過，依據系統事先設定好的過濾邏輯，檢查數據據流中的每個數據包，根據數據包的源地址、目標地址、以及包所使用的端口確定是否允許該類數據包通過；狀態檢測技術采用的是一種基于連接的狀態檢測機制，將屬于同一連接的所有包作為一個整體的數據流看待，構成連接狀態表，通過規則表與狀態表的共同配合，對表中的各個連接狀態因素加以識別，與傳統包過濾防火墻的靜態過濾規則表相比，它具有更好的靈活性和安全性；應用網關技術在應用層實現，它使用一個運行特殊的“通信數據安全檢查”軟件的工作站來連接被保護網絡和其他網絡，其目的在于隱蔽被保護網絡的具體細節，保護其中的主機及其數據。

2.VPN

VPN（Virtual Private Network）即虛擬專用網絡，它是將物理分布在不同地點的網絡通過公用骨干網連接而成的邏輯上的虛擬子網。它可以幫助異地用戶、公司分支機構、商業伙伴及供應商與內部網建立可信的安全連接，并保證數據的安全傳輸。為了保障信息的安全，VPN技術采用了鑒別、訪問控制、保密性和完整性等措施，以防止信息被泄露、篡改和復制。VPN技術可以在不同的傳輸協議層實現，如在應用層有SSL協議，它廣泛應用于Web瀏覽程序和Web服務器程序，提供對等的身份認證和應用數據的加密；在會話層有Socks協議，在該協議中，客戶程序通過Socks客戶端的1080端口透過防火墻發起連接，建立到Socks服務器的VPN隧道；在網絡層有IPSec協議，它是一種由IETF設計的端到端的確保IP層通信安全的機制，對IP包進行的IPSec處理有AH（Authentication Header）和ESP（Encapsulating Security Payload）兩種方式。

3.防毒墻

防毒墻是指位于網絡入口處，用于對網絡傳輸中的病毒進行過濾的網絡安全設備。防火墻能夠對網絡數據流連接的合法性進行分析，但它對從允許連接的電腦上發送過來的病毒數據流卻是無能為力的，因為它無法識別合法數據包中是否存在病毒這一情況；防毒墻則是為了解決防火墻這種防毒缺陷而產生的一種安全設備。防毒墻使用簽名技術在網關處進行查毒工作，阻止網絡蠕蟲(Worm)和僵尸網絡(BOT)的擴散。此外，管理人員能夠定義分組的安全策略，以過濾網絡流量并阻止特定文件傳輸、文件類型擴展名、即時通信信道、批量或單獨的IP/MAC地址，以及TCP/UDP端口和協議。

三、網絡檢測技術分析

人們意識到僅僅依靠防護技術是無法擋住所有攻擊，于是以檢測為主要標志的安全技術應運而生。這類技術的基本思想是通過監視受保護系統的狀態和活動來識別針對計算機系統和網絡系統，或者更廣泛意義上的信息系統的非法攻擊。包括檢測外界非法入侵者的惡意攻擊或試探，以及內部合法用戶的超越使用權限的非法活動。主要的網絡安全檢測技術有：

1.入侵檢測

入侵檢測系統（Intrusion Detection System，IDS）是用于檢測任何損害或企圖損害系統的保密性、完整性或可用性行為的一種網絡安全技術。它通過監視受保護系統的狀態和活動來識別針對計算機系統和網絡系統，包括檢測外界非法入侵者的惡意攻擊或試探，以及內部合法用戶的超越使用權限的非法活動。作為防火墻的有效補充，入侵檢測技術能夠幫助系統對付已知和未知網絡攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、攻擊識別和響應），提高了信息安全基礎結構的完整性。

2.入侵防御

入侵防御系統（Intrusion Prevention System，IPS）則是一種主動的、積極的入侵防范、阻止系統。IPS是基于IDS的、建立在IDS發展的基礎上的新生網絡安全技術，IPS的檢測功能類似于IDS，防御功能類似于防火墻。IDS是一種并聯在網絡上的設備，它只能被動地檢測網絡遭到了何種攻擊，它的阻斷攻擊能力非常有限；而IPS部署在網絡的進出口處，當它檢測到攻擊企圖后，會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。可以認為IPS就是防火墻加上入侵檢測系統，但并不是說IPS可以代替防火墻或入侵檢測系統。防火墻是粒度比較粗的訪問控制產品，它在基于TCP/IP協議的過濾方面表現出色，同時具備網絡地址轉換、服務代理、流量統計、VPN等功能。

3.漏洞掃描

漏洞掃描技術是一項重要的主動防范安全技術，它主要通過以下兩種方法來檢查目標主機是否存在漏洞：在端口掃描后得知目標主機開啟的端口以及端口上的網絡服務，將這些相關信息與網絡漏洞掃描系統提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對目標主機系統進行攻擊性的安全漏洞掃描，如測試弱勢口令等，若模擬攻擊成功，則表明目標主機系統存在安全漏洞。發現系統漏洞的一種重要技術是蜜罐(Honeypot)系統，它是故意讓人攻擊的目標，引誘黑客前來攻擊。通過對蜜罐系統記錄的攻擊行為進行分析，來發現攻擊者的攻擊方法及系統存在的漏洞。

四、結語

盡管傳統的安全技術在保障網絡安全方面發揮了重要作用，但在一個巨大、開放、動態和復雜的互聯網中技術都存在著各種各樣的局限性。安全廠商在疲于奔命的升級產品的檢測數據庫，系統廠商在疲于奔命的修補產品漏洞，而用戶也在疲于奔命的檢查自己到底還有多少破綻暴露在攻擊者的面前。傳統的防病毒軟件只能用于防范計算機病毒，防火墻只能對非法訪問通信進行過濾，而入侵檢測系統只能被用來識別特定的惡意攻擊行為。在一個沒有得到全面防護的計算機設施中，安全問題的炸彈隨時都有爆炸的可能。用戶必須針對每種安全威脅部署相應的防御手段，這樣使信息安全工作的復雜度和風險性都難以下降。為了有效地解決日益突出的網絡安全問題，網絡安全研究人員和網絡安全企業也不斷推出新的網絡安全技術和安全產品。

參考文獻:

[1]周碧英:淺析計算機網絡安全技術[J].甘肅科技，2008，24(3):18～19

[2]潘號良:面向基礎設施的網絡安全措施探討[J].軟件導刊， 2008，(3):74～75

[3]劉愛國李志梅談:電子商務中的網絡安全管理[J].商場現代化，2007，(499):76～77

[4]孫曉南:防火墻技術與網絡安全[J].科技信息，2008，(3): 199～120

[5]趙立志林偉:淺析網絡安全技術[J].民營科技，2008，(3):193