李長紅
(中電投江西核電有限公司,江西九江 332000)
淺析計算機網絡安全
李長紅
(中電投江西核電有限公司,江西九江 332000)
本文介紹了網絡環境下信息安全技術和所要解決的問題,重點對網絡安全策略和幾種常見的安全技術進行了談論(如數據加密、防火墻技術、入侵檢測技術、身份認證技術等),并對網絡信息安全技術的發展趨勢進行了展望。
網絡安全技術
隨著現代網絡中的應用越來越復雜,安全問題以出人意料的速度增長,并且在攻擊方式、攻擊目標上呈現多樣化發展趨勢。對近兩年來黑客和病毒對網絡所造成的威脅進行總結,可以看出三個特點:
(1)攻擊手段多樣化。(2)混合攻擊主流化。(3)零日漏洞趨勢化。
復雜的網絡應用,伴隨而來的是不斷出現的是應用漏洞,借助于這些無法規避的漏洞,黑客可通過多種手段入侵網絡,而且這種從漏洞發現到被黑客利用的時間間隔越來越短,呈現“零日漏洞”狀態,如何做好中小型企業信息安全工作將顯得至關重要。
(1)網絡資源的共享性。資源共享在為我們提供方便的同時,也為系統安全的攻擊者通過共享資源進行破壞提供了機會。(2)網絡操作系統的漏洞。操作系統漏洞是計算機操作系統本身所存在的問題或技術缺陷。由于網絡協議實現的復雜性,決定了操作系統必然存在各種的缺陷和漏洞。(3)網絡系統設計的缺陷。網絡設計是指拓撲結構設計和各種網絡設備的選擇等。網絡設備、網絡協議、網絡操作系統等都會直接帶來安全隱患。(4)網絡的開放性。任何一個用戶都可以通過互聯網找到自己想要獲取的信息。(5)惡意攻擊。惡意攻擊就是人們常見的黑客攻擊及網絡病毒,是最難防范的網絡安全威脅。隨著電腦的大眾化,這類攻擊越來越多,影響也越來越大。現在黑客攻擊方式雖然千變萬化,但都有一個共同點,就是使受害主機或網絡無法及時接收并處理外界請求。具體表現方式有以下幾種:
(1)制造大流量無用數據,造成通往被攻擊主機的網絡擁塞,使被攻擊主機無法正常和外界通信。(2)利用被攻擊主機提供服務或傳輸協議上處理重復連接的缺陷,反復高頻的發出攻擊性的重復服務請求,使被攻擊主機無法及時處理其它正常的請求。(3)利用被攻擊主機所提供服務程序或傳輸協議的本身實現缺陷,反復發送畸形的攻擊數據引發系統錯誤而分配大量系統資源,使主機處于掛起狀態甚至死機。
主要是計算機系統網絡管理人員缺乏安全防范意識和必備技術能力。
由于網絡所帶來的諸多不安全因素,使得網絡使用者必須通過采取相應的網絡安全技術來堵塞安全漏洞。網絡安全技術能從不同角度來保護網絡不受侵犯,保證網絡信息系統的安全運行,網絡安全基本技術主要包括網絡加密技術、防火墻技術、身份驗證技術、網絡防病毒技術、UTM技術、桌面管理技術和入侵檢測技術IDS。
網絡加密的目的是保證數據傳輸的安全性。加密技術是保證網絡安全最有效的技術之一,加密不但可以防止非授權用戶竊聽,而且還是對付惡意軟件的有效方法之一。數據加密可以通過在通信的三個層次來實現:鏈路加密、節點加密和端到端加密。
3.1.1 鏈路加密
鏈路加密的目的是保護網絡節點之間的鏈路信息安全。鏈路加密是所有消息在被傳輸之前均需進行加密,并對每一個節點接收到的消息進行解密,再使用下一個鏈路的密鑰對消息進行加密并進行傳輸,直到在到達目的地之前,一條消息可能要經過許多通信鏈路的傳輸。 鏈路加密通常用在點對點的同步或異步線路上,它要求先對在鏈路兩端的加密設備進行同步,然后使用一種鏈模式對鏈路上傳輸的數據進行加密。
3.1.2 節點加密
節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供加密保護。節點加密是指節點處采用一個與節點機相連的密碼裝置,密文在該裝置中被解密并被重新加密。節點加密要求報頭和路由信息以明文形式傳輸,以便中間節點能得到如何處理消息的信息。
3.1.3 端對端加密
端點加密的目的是對源端用戶到目的端用戶的數據提供加密保護,端到端加密是數據從源點到終點的傳輸過程中始終以密文形式存在。采用端到端加密,消息在被傳輸到達終點前的整個傳輸過程中均受到保護不再進行解密,即使出現節點被損壞也不會發生消息泄露事件。
防火墻技術是設置在被保護網絡和外部網絡之間的一道屏障,用來保護網絡的安全,防止發生不可預測的、潛在破壞性的侵入。防火墻本身具有較強的抗攻擊能力,它是提供信息安全服務、實現網絡和信息安全的基礎設施。防火墻的組成可以表示為:防火墻=過濾器+安全策略+網關+驗證工具,在網絡中它可對信息進行分析、隔離、限制,既可限制非授權用戶訪問敏感數據,又可允許合法用戶自由的訪問網絡資源,從而保護網絡的安全。
身份驗證技術是用戶向系統出示自己身份證明的過程,身份認證是系統查核用戶身份證明的過程,這兩個過程是判明和確認通信雙方真實身份的兩個重要環節,這兩項工作統稱為身份驗證。它的安全機制在于首先對發出請求的用戶進行身份驗證,確認其是否為合法的用戶,如是合法用戶,再審核該用戶是否有權對他所請求的服務或主機進行訪問。
病毒預防技術就是通過一定的技術手段防止計算機病毒對系統的傳染和破壞。計算機病毒具有不可估量的威脅性和破壞力,針對現在大多數中小型企業采用的“Client-Server”的工作模式,如何做好網絡防病毒方法和技術是將是一件非常重要的事情。
UTM是將多種安全能力(尤其是傳統上講的防火墻能力、防病毒能力、攻擊保護能力)融合在一個產品之中,實現全面立體一體化防御的安全解決方案。UTM產品作為安全的多面手,其基礎應用不可忽視,目前在技術上,UTM主要從兩個方面來提高網絡安全的:
一類是以高性能防火墻為基礎的UTM設備。這類設備一般都集成了全功能的防火墻,并在此基礎上加入VPN、IDS、防病毒等功能,并取代防火墻。另一類是以高端IPS為基礎,不斷演化出UTM設備,包括防火墻、VPN、帶寬管理、網頁內容過濾等安全模塊都會被安放到IPS的平臺之上。這種方法對于IPS的性能、誤報率、可靠性的要求都相當高,但是帶來的好處也是顯而易見,鑒于IPS的優勢,可以對日益增多的系統滲透與復合攻擊進行阻斷與控制。對于以IPS為基礎的UTM產品,所集成的防火墻必須是全功能產品,特別是像NAT、動態端口等功能都要支持。如果僅僅集成了精簡版的防火墻,那么延伸到高端應用的UTM就會不合適。
與19世紀意大利經濟學者帕累托得出的80/20法則相反,目前80%的安全隱患來自網絡內部,因此對于企業網絡來說,管理內部網絡成為了首要任務。桌面管理技術就是這樣一種針對企業網絡內部終端管理的技術,這種管理技術引入了多種安全手段,從終端的桌面管理入手,對終端的操作系統、應用軟件、外圍設備進行管理。它可以直接控制終端運行的應用軟件,使用的硬件,通過配合殺毒系統、補丁系統等,它能夠自動對終端進行全面體檢,自動殺毒、自動打補丁;除此之外,通過桌面管理技術,還可以實現終端之間端到端的訪問控制,從而達到防止非法終端入侵內部網絡的可能性。
IDS通過抓取網絡上的所有報文,分析處理后,形成異常報告,并提供重要的數據和行為模式分析報告,使網絡安全管理員清楚地了解網絡上發生的事件,并能夠采取行動阻止可能的破壞。它既是一種實時檢測系統,也是記錄審計系統,可以做到實時保護,事后分析取證,同時它通過與防火墻的聯動,可以更有效的阻止非法入侵和破壞。
隨著網絡技術的日益普及,以及人們對網絡安全意識的增強,許多用于網絡的安全技術得到強化并不斷有新的技術得以實現。不過,從總的看來,信息安全問題并沒有得到所有單位領導的重視,致使很多單位的網絡信息安全的保護還處于初級階段,有的甚至不設防。所以,在安全技術提高的同時,提高人們對網絡信息安全的認識是非常必要的。隨著信息安全技術的發展,基于UTM、IDS和桌面管理安全產品將成為今后市場的主流。
計算機網絡的安全問題,不是通過一兩種設備、幾套方案就能一勞永逸解決的,對于企業網絡系統來說,要想很好的保證計算機網絡的安全運行,有必要采用以下幾條建議:
(1)以人為本,建立完善的管理規范,從制度上保障網絡安全。(2)遵從2/8原則,明確80%的安全威脅來自企業網絡內部,加強內部終端桌面安全,保障終端之間點對點通信安全。(3)借助當今先進的IPS、IDS、UTM等技術,建立完善的過慮、防范、預警機制,快速分析各種網絡攻擊,用快速反應來降低攻擊帶來的損失。(4)采用必要的冗余機制,保障關鍵網絡設備、網絡應用不會因某一攻擊全面癱瘓。
[1]陶陽.計算機與網絡安全.重慶:重慶大學出版社,2005.
[2]陳斌.《計算機網絡安全與防御》.信息技術與網絡服務,2006.
This article describes the information security technology and the problems should be solved under the network environment. .It focuses on the network security tactics and common network information security technology, such as data encryption firewall technology, instrution detection,authentication technology. It also researches on the development trend of the information safe practice of the network.
Network Security Technology