關于網絡安全技術及防護

[摘 要]隨著的迅速發展,網絡安全性已成為迫切需要解決的問題。隨著計算機網絡的發展越來越深入,計算機系統的安全性就日益突出和復雜。首先從網絡安全內涵開始,對其面臨的威脅及主要影響因素進行分析,重點介紹幾種普遍的安全技術及其防護技術的發展趨勢。

[關鍵詞]網絡安全威脅防護技術趨勢

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)1210104-02

一、計算機網絡安全概述

(一)網絡安全的定義

國際標準化組織(ISO)將計算機安全定義為“為數據處理系統建立和采取的技術和管理的安全保護,保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄露。”我國自己提出的定義是:“計算機系統的硬件、軟件、數據受到保護,不因偶然的或惡意的原因而遭到破壞、更改、泄露,系統能連續正常運行。”因此,所謂網絡安全就是指基于網絡的互聯互通和運作而涉及的物理線路和連接的安全,網絡系統的安全,操作系統的安全,應用服務的安全和人員管理的安全等幾個方面。總的說來,計算機網絡的安全性,是由數據的安全性、通信的安全性和管理人員的安全意識三部分組成。①

(二)影響計算機網絡安全的主要因素

計算機網絡安全受到的安全威脅是來自各個方面的,一般來說,影響計算機網絡安全的因素主要有以下幾個方面:

1.計算機網絡使信息的收集方便而且快速,信息的價值劇增,吸引了許多網上黑客前來攻擊。

2.現有的計算機系統皆有安全漏洞,使網絡入侵成為可能。一般操作系統的體系結構其本身是不安全的,這也是計算機系統不安全的根本原因之一,操作系統的程序是可以動態連接的,包括FO的驅動程序與系統服務,都可以用打“補丁”的方式進行動態連接,為黑客的侵入和病毒的產生提供了一個好環境。

3.網絡系統中數據的安全問題。網絡中的信息數據是存放在計算機數據庫中的,通常也指存放在服務器中的信息集,供不同的用戶來共享,數據庫存在不安全性和危險性,因為在數據庫系統中存放著大量重要的信息資源,在用戶共享資源時可能會出現以下現象:授權用戶超出了他們的訪問權限進行更改活動,非法用戶繞過安全內核,竊取信息資源等。

4.遠程訪問控制使得每個主機甚至可以被國外的黑客攻擊。網絡黑客是計算機網絡發展的產物,黑客攻擊,早在10多年前的主機終端時代就已出現,隨著Internet的發展,現代黑客則從以系統為主的攻擊轉變到以網絡為主的攻擊,利用網絡竊取重要的情報,毀壞數據和信息。

5.目前的計算機病毒不但可以破壞計算機硬件,而且可以破壞網絡安全系統并通過網絡破壞更多的計算機。

二、計算機網絡所面臨的威脅及攻擊

(一)管理的欠缺

網絡系統的嚴格管理是企業、機構及用戶免受攻擊的重要措施。事實上,很多企業、機構及用戶的網站或系統都疏于這方面的管理。據IT界企業團體ITAA的調查顯示,美國90%的IT企業對黑客攻擊準備不足。目前,美國75～85%的網站都抵擋不住黑客的攻擊,約有75%的企業網上信息失竊,其中25%的企業損失在25萬美元以上。此外,管理的缺陷還可能出現系統內部人員泄露機密或外部人員通過非法手段截獲而導致機密信息的泄漏,從而為一些不法分子制造了可乘之機。②

(二)網絡的缺陷及軟件的漏洞

因特網的共享性和開放性使網上信息安全存在先天不足,因為其賴以生存的TCP/IP協議,缺乏相應的安全機制,而且因特網最初的設計考慮是該網不會因局部故障而影響信息的傳輸,基本沒有考慮安全問題,因此它在安全可靠、服務質量、帶寬和方便性等方面存在著不適應性。此外,隨著軟件系統規模的不斷增大,系統中的安全漏洞或“后門”也不可避免地存在,比如我們常用的操作系統,無論是Windows還是UNIX都存在或多或少的安全漏洞,眾多的各類服務器、瀏覽器、一些桌面軟件等等都被發現過存在安全隱患。

(三)計算機病毒

病毒是計算機中最讓人頭痛,也是最普遍的安全威脅,幾乎每一個用過電腦的人都受到過病毒或多或少的威脅。大到系統崩潰,數據丟失,小到影響系統性能,甚至有的病毒只是開個玩笑。

(四)黑客的攻擊

黑客是影響網絡安全的最主要因素之一。“黑客”是英文“Hacker”的譯音,原意是用來形容獨立思考,然而卻奉公守法的計算機迷,熱衷于設計和編制計算機程序的程序設計者和編程人員。然而,隨著社會發展和技術的進步“Hacker”的定義有了新的演繹,出現了一類專門利用計算機犯罪的人,即那些憑借自己所掌握的計算機技術,專門破壞計算機系統和網絡系統,竊取政治、軍事、商業秘密,或者轉移資金賬戶,竊取金錢,以及不露聲色地捉弄他人,秘密進行計算機犯罪的人。

三、計算機網絡的安全技術

通過對網絡系統各個層次的分析可以給數據鏈路層網絡層系統層數據庫層和應用層提供全面的保護。

(一)加密技術

加密技術是網絡安全的核心,現代密碼技術發展至今二十余年,其技術已由傳統的只注重保密性轉移到保密性、真實性、完整性和可控性的完美結合。加密技術是解決網絡上信息傳輸安全的主要方法,其核心是加密算法的設計。③

1.非對稱密鑰加密

在非對稱機密體系中,密鑰被分解為一對(即公開密鑰和私有密鑰),而且加密密鑰與解密密鑰不同,是一種利用公開加密密鑰加密,利用不公開解密密鑰解密的密碼體制。

2.對稱加密技術

在對稱加密技術中,對信息的加密和解密都使用相同的鑰匙,這種加密方法可簡化加密處理過程。信息交換雙方都不必彼此研究交換專用的加密算法。若在交換階段私有密鑰未曾泄漏,那么機密性和報文完整性就可以得以保證。

(二)網絡防病毒技術

由于網絡計算機病毒是網絡系統最大的攻擊者,具有強大的傳染性和破壞力,網絡防病毒技術已成為計算機網絡安全的又一重要課題。防病毒技術可分為三種:病毒預防技術,病毒檢測技術和病毒消除技術。④

1.病毒預防技術

計算機病毒的預防技術是指通過一定的技術手段防止計算機病毒對系統的破壞。計算機病毒的預防應包括對已知病毒的預防和對未知病毒的預防。預防病毒技術包括:磁盤引導區保護、加密可執行程序、讀寫控制技術、系統監控技術等。

2.病毒檢測技術

計算機病毒的檢測技術是指通過一定的技術判定出計算機病毒的一種技術。計算機病毒的檢測技術有兩種:一種是判斷計算機病毒特征的監測技術。病毒特征包括病毒關鍵字、特征程序段內容、傳染方式、文件長度的變化等。另一種是文件自身檢測技術,這是一種不針對具體病毒程序的特征進行判斷,而只是通過對文件自身特征的檢驗技術。

3.病毒消除技術

計算機病毒的消除技術是計算機病毒檢測技術發展的必然結果,是計算機病毒傳染程序的一種逆過程。但由于殺毒軟件的更新是在病毒出現后才能研制,有很大的被動性和滯后性,而且由于計算機軟件所要求的精確性,致使某些變種病毒無法消除,因而應經常升級殺毒軟件。

4.入侵檢測技術和網絡監控技術

入侵檢測(IDSIntrusion Detection System)是近年來發展起來的一種防范技術,綜合采用了統計技術、規則方法、網絡通信技術、人工智能、密碼學、推理等技術和方法,其作用是監控網絡和計算機系統是否出現被入侵或濫用的征兆。根據采用的分析技術可分為簽名分析法和統計分析法。

(三)防火墻技術

網絡防火墻技術是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段進入內部網絡,訪問內部網絡資源,保護內部網絡的特殊網絡互聯設備。

1.防火墻技術的定義

在網絡中,防火墻是內部網絡與外界網絡之間的一道防御系統,通過它使得內部網絡與Internet或者其他外部網絡之間相互隔離,并通過限制網絡互訪來保護內部網絡,但這些對數據的處理操作并不會妨礙人們對風險區域的訪問。

2.防火墻的關鍵技術

根據防火墻所采用的技術不同,我們可以將它分為4種基本類型:包過濾型、網絡地址轉換型,代理型和監測型。⑤

(1)包過濾型。包過濾型產品是防火墻的初級產品,其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。

(2)網絡地址轉換型。網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的IP地址標準。它允許具有私有IP地址的內網訪問因特網。

(3)代理型。代理型防火墻也可以被稱為代理服務器,它的安全性要高于包過濾型產品,并已經開始向應用層發展。代理服務器位于客戶機與服務器之間,完全阻擋了二者間的數據交流。當客戶機需要使用服務器上的數據時,首先將數據請求發給代理服務器,代理服務器再根據這一請求向服務器索取數據,然后由代理服務器將數據傳輸給客戶機。

(4)監測型。監測型防火墻是新一代的產品,這一技術實際已經超越了最初的防火墻定義。監測型防火墻能夠對各層的數據進行主動、實時的監測,在對這些數據加以分析的基礎上,監測型防火墻能夠有效地判斷出各層中的非法侵入。

四、網絡安全防護的發展趨勢

(一)加強病毒監控

隨著病毒技術的發展,病毒的宿主也越來越多,在宿主增多的同時,傳播途徑也越來越廣,目前較受關注的一項病毒注入技術是利用電磁波注入病毒。這種技術的基本設想是把計算機病毒調制在電磁信號并向計算機網絡系統所在方向輻射,電磁信號通過網絡中某些適當的節點進入網絡,然后計算機病毒就在網絡中傳播,產生破壞作用。所以加強病毒監控成為網絡安全防護的一項重要內容。

(二)建立安全可靠的虛擬專用網

虛擬專用網(VPN)系統采用復雜的算法來加密傳輸的信息,使分布在不同地方的專用網絡在不可信任的公共網絡上安全地通信。其工作流程大致如下:1.要保護的主機發送不加密信息到連接公共網絡的虛擬專網設備;2.虛擬專網設備根據網絡管理員設置的規則,確認是否需要對數據進行加密或讓數據直接通過;3.對需要加密的數據,虛擬專網設備對整個數據包(包括要傳送的數據、發送端和接收端的IP地址)進行加密和附上數字簽名;4.虛擬專網設備加上新的數據包頭,其中包括目的地虛擬專網設備需要的安全信息和一些初始化參數;5.虛擬專網設備對加密后數據、鑒別包以及源IP地址、目標虛擬專網設IP地址進行重新封裝,重新封裝后數據包通過虛擬通道在公網上傳輸;6.當數據包到達目標虛擬專網設備時,數字簽名被核對無誤后數據包被解密。

(三)強化管理

網絡安全不只是一個單純的技術問題,而且也是一個十分重要的管理問題。采取各種措施對計算機網絡實施有效管理是計算機網絡防護的主要內容之一。一般,計算機網絡管理包括安全審計、行政管理、人事管理等幾個方面的內容。安全審計是對計算機系統的安全事件進行收集、記錄、分析、判斷,并采取相應的安全措施進行處理的過程。

注釋:

①李靜,計算機網絡安全與防范措施,湖南省政法管理部學院學報,2002,18(1):8.

②張寶劍,計算機安全與防護技術[M].機械工業,2003,1.

③王德秀,網絡安全技術及應用,有線電視技術,2003,1.

④梅筱琴、蒲韻、廖凱生,計算機病毒防治與網絡安全手冊,海洋出版社,2004:9～2.

⑤余偉建、王凌,黑客攻擊手段分析與防范,人民郵電出版社,2003:10～13.

參考文獻:

[1]李靜,計算機網絡安全與防范措施,湖南省政法管理部學院學報,2002,18(1):8.

[2]王春、林海波,網絡安全與防火墻技術,北京:清華大學出版社,2000:10～30.

[3]秦超、李素科、滿成圓,網絡與系統安全實用指南,北京航空航天大學出版社,2002.

[4]劉東華等著,網絡與通信安全技術,人民郵電出版社,2002.

作者簡介:

張尚理,男,碩士研究生,高級工程師,研究方向:網絡安全。