第一篇:網絡安全技術
網絡信息安全與策略
【摘要】隨著我國網路信息科技的高速發展,網絡信息安全問題日益突出。以網絡方式獲取信息和交流信息已成為現代信息社會的一個重要特征。網絡給人們生活帶來極大便利的同時,也給許多部門、單位和個人帶來了極大的風險,造成嚴重的經濟損失。最新報道:央視《經濟半小時》播出“我國黑客木馬形成產業 2009年收入可超百億元”節目,可以看出黑客通過網絡傳播木馬的嚴重性。本文主要探討了網絡信息安全中存在的威脅,并提出了相應的技術保障和對策。【關鍵字】網絡
信息
安全
黑客
病毒
技術
一、網絡信息安全的內涵
在網絡出現以前,信息安全是指為建立信息處理系統而采取的技術上和管理上的安全保護以實現電子信息的保密性、完整性、可用性、可控性和不可否認性。當今信息時代,計算機網絡已經成為一種不可缺少的信息交換工具。然而,由于計算機網絡具有開放性、互聯性、連接方式的多樣性及終端分布的不均勻性,再加上本身存在的技術弱點和人為的疏忽,致使網絡易受計算機病毒、黑客或惡意軟件的侵害。面對侵襲網絡安全的種種威脅,必須考慮信息的安全這個至關重要的問題。
網絡信息安全分為網絡安全和信息安全兩個層面。網絡安全包括系統安全,即硬件平臺、操作系統、應用軟件;運行服務安全,即保證服務的連續性、高效率。信息安全則主要是指數據安全,包括數據加密、備份、程序等。
1.網絡信息安全的內容
(1)硬件實體安全。即網絡硬件和存儲媒體的安全。要保護這些硬設施不受損害,能夠正常工作;預防地震、水災、颶風、雷擊等的措施;滿足設備正常運行環境要求;防止電磁輻射、泄露;媒體的安全備份及管理等。
(2)軟件系統安全。即計算機程序和文檔資料及其網絡中各種軟件不被篡改或破壞,不被非法操作或誤操作,功能不會失效,不被非法復制。
(3)運行服務安全。即網絡中的各個信息系統能夠正常運行并能正常地通過網絡交流信息。通過對網絡系統中的各種設備運行狀況的監測,發現不安全因素能及時報警并采取措施改變不安全狀態,保障網絡系統正常運行。
(4)數據信息安全。即網絡中存儲及流通數據的安全。要保護網絡中的數據文件和數據信息在傳輸過程中不被篡改、非法增刪、復制、解密、顯示、使用等。它是保障網絡安全最根本的目的。
2.網絡信息安全的目標
(1)保密性。保密性是指利用密碼技術對敏感信息進行加密處理同時采取抑制、屏蔽措施防止電磁泄漏,保證信息只有合法用戶才能利用,而不會泄露給非授權人、實休。
(2)完整性。完整性是指信息未經授權不能被修改、不被破壞、不被插人、不遲延、不亂序和不丟失的特性。對網絡信息安全進行攻擊的最終目的就是破壞信息的完整性。
(3)可用性。可用性是指合法用戶訪問并能按要求順序使用信息的特性,即保證合法用戶在需要時可以訪問到信息。
(4)可控性。可控性是指授權機構對信息的內容及傳播具有控制的能力的特性,可以控制授權范圍內的信息流向以及方式。
(5)不可否認性。不可否認性是指在信息交流過程結束后,通信雙方不能抵賴曾經做出的行為,也不能否認曾經接收到對方的信息。
二、網絡信息安全面臨的威脅
1.操作系統自身的因素
無論哪一種操作系統,其體系結構本身就是不安全的一種因素。由于操作系統的程序是可以動態連接的,包過I/O的驅動程序與系統服務都可以用打補丁的方法升級和進行動態連接。而這種動態連接正是計算機病毒產生的溫床,該產品的廠商可以使用,“黑客”成員也可以使用。因此,這種打補丁與滲透開發的操作系統是不可能從根本上解決安全問題。
2.網絡協議和軟件的安全缺陷
因特網的基石是TCP/IP協議簇,該協議簇在實現上力求效率,而沒有考慮安全因素,因為那樣無疑增大代碼量,從而降低了TCP/IP的運行效率,所以說TCP/IP本身在設計上就是不安全的。很容易被竊聽和欺騙:大多數因特網上的流量是沒有加密的,電子郵件口令、文件傳輸很容易被監聽和劫持。很多基于TCP/IP的應用服務都在不同程度上存在著安全問題,這很容易被一些對TCP/IP十分了解的人所利用,一些新的處于測試階級的服務有更多的安全缺陷。缺乏安全策略:許多站點在防火墻配置上無意識地擴大了訪問權限,忽視了這些權限可能會被內部人員濫用,黑客從一些服務中可以獲得有用的信息,而網絡維護人員卻不知道應該禁止這種服務。配置的復雜性:訪問控制的配置一般十分復雜,所以很容易被錯誤配置,從而給黑客以可乘之機。TCP/IP是被公布于世的,了解它的人越多被人破壞的可能性越大。現在,銀行之間在專用網上傳輸數據所用的協議都是保密的,這樣就可以有效地防止入侵。當然,人們不能把TCP/IP和其實現代碼保密,這樣不利于TCP/IP網絡的發展。
3.電腦黑客攻擊多樣化
進人2006年以來,網絡罪犯采用翻新分散式阻斷服務(DDOS)攻擊的手法,用形同互聯網黃頁的域名系統服務器來發動攻擊,擾亂在線商務。寬帶網絡條件下,常見的拒絕服務攻擊方式主要有兩種,一是網絡黑客蓄意發動的針對服務和網絡設備的DDOS攻擊;二是用蠕蟲病毒等新的攻擊方式,造成網絡流量急速提高,導致網絡設備崩潰,或者造成網絡鏈路的不堪負重。
調查資料顯示,2006年初發現企業的系統承受的攻擊規模甚于以往,而且來源不是被綁架的“僵尸”電腦,而是出自于域名系統(DNS)服務器。一旦成為DDOS攻擊的目標,目標系統不論是網頁服務器、域名服務器,還是電子郵件服務器,都會被網絡上四面八方的系統傳來的巨量信息給淹沒。黑客的用意是借人量垃圾信息妨礙系統正常的信息處理,借以切斷攻擊目標對外的連線。黑客常用“僵尸”電腦連成網絡,把大量的查詢要求傳至開放的DNS服務器,這些查詢信息會假裝成被巨量信息攻擊的目標所傳出的,因此DNS服務器會把回應信息傳到那個網址。
美國司法部的一項調查資料顯示,1998年3月到2005年2月期間,82%的人侵者掌握授權用戶或設備的數據。在傳統的用戶身份認證環境下,外來攻擊者僅憑盜取的相關用戶身份憑證就能以任何臺設備進人網絡,即使最嚴密的用戶認證保護系統也很難保護網絡安全。另外,由于企業員工可以通過任何一臺未經確認和處理的設備,以有效合法的個人身份憑證進入網絡,使間諜軟件、廣告軟件、木馬程序及其它惡意程序有機可乘,嚴重威脅網絡系統的安全。有資料顯示,最近拉美國家的網絡詐騙活動增多,作案手段先進。犯罪活動已經從“現實生活轉入虛擬世界”,網上詐騙活動日益增多。
4計算機病毒
計算機病毒是專門用來破壞計算機正常工作,具有高級技巧的程序。它并不獨立存在,而是寄生在其他程序之中,它具有隱蔽性、潛伏性、傳染性和極大的破壞性。隨著網絡技術的不斷發展、網絡空間的廣泛運用,病毒的種類急劇增加。目前全世界的計算機活體病毒達14萬多種,其傳播途徑不僅通過軟盤、硬盤傳播,還可以通過網絡的電子郵件和下載軟件傳播。從國家計算機病毒應急處理中日常監測結果來看,計算機病毒呈現出異常活躍的態勢。據2001年調查,我國約73%的計算機用戶曾感染病毒,2003年上半年升至83%。其中,感染3次以上的用戶高達59%,而且病毒的破壞性較大。被病毒破壞全部數據的占14%,破壞部分數據的占57%。只要帶病毒的電腦在運行過程中滿足設計者所預定的條件,計算機病毒便會發作,輕者造成速度減慢、顯示異常、丟失文件,重者損壞硬件、造成系統癱瘓。
5.人性的脆弱性
人們與生俱來就有信任他人、樂于助人以及對未知事物的好奇心等弱點。狡猾的電腦黑客往往利用這些弱點,通過E-mail、偽造的Web網站、向特定的用戶提幾個簡單的問題的伎倆,騙取公司的保密資料或從個人用戶那里騙取網上購物的信用卡、用戶名和密碼,達到入侵網絡信息系統的目的,使得那些采用多種先進技術的安全保護措施形同虛設。
6管理因素
用戶安全意識淡薄, 管理不善是當前存在的一個嚴重的問題。目前我國安全管理方面存在的問題主要有: 一是缺乏強有力的權威管理機構, 由于我國網絡安全立法滯后, 安全管理部門受人力、技術等條件的限制影響著安全管理措施的有效實施。二是缺乏安全審計,安全審計是把與安全相關的事件記錄到安全日志中,我國現有的網絡系統大多數缺少安全審計, 安全日志形同虛設。三是安全意識淡薄。人們對信息安全認識不夠, 過分依賴信息安全產品, 缺乏細致的內部網絡管理機制, 一些用戶警惕性不高, 操作麻痹, 甚至把自己賬號隨意給他人。
三、保障網絡信息安全的對策和技術
1.安全通信協議和有關標準。
在網絡安全技術應用領域,安全通信協議提供了一種標準,基于這些標準,企業可以很方便地建立自己的安全應用系統。目前主要的安全通信協議有SSL(TLS)、IPsec和S/MIME SL提供基于客戶/服務器模式的安全標準,SSL(TLS)在傳輸層和應用層之間嵌入一個子層,主要用于實現兩個應用程序之間安全通訊機制,提供面向連接的保護;IP安全協議(IPsec)提供網關到網關的安全通信標準,在網絡層實現,IPsec能夠保護整個網絡;S/MIME在應用層提供對信息的安全保護,主要用于信息的安全存儲、信息認證、傳輸和信息轉發。三種安全通信協議雖然均提供了類似的安全服務,但是他們的具體應用范圍是不同的,在實際應用中,應根據具體情況選擇相應的安全通信協議。
2.防火墻技術
防火墻技術是為了保證網絡路由安全性而在內部網和外部網之間的界面上構造一個保護層。所有的內外連接都強制性地經過這一保護層接受檢查過濾,只有被授權的通信才允許通過。防火墻的安全意義是雙向的,一方面可以限制外部網對內部網的訪問,另一方面也可以限制內部網對外部網中不健康或敏感信息的訪問。同時,防火墻還可以對網絡存取訪問進行記錄和統計,對可疑動作告警,以及提供網絡是否受到監視和攻擊的詳細信息。防火墻系統的實現技術一般分為兩種,一種是分組過濾技術,一種是代理服務技術。分組過濾基于路由器技術,其機理是由分組過濾路由器對IP分組進行選擇,根據特定組織機構的網絡安全準則過濾掉某些IP地址分組,從而保護內部網絡。代理服務技術是由一個高層應用網關作為代理服務器,對于任何外部網的應用連接請求首先進行安全檢查,然后再與被保護網絡應用服務器連接。代理服務技術可使內、外網絡信息流動受到雙向監控。
3.訪問拉制技術
訪問控制根據用戶的身份賦予其相應的權限,即按事先確定的規則決定主體對客體的訪問是否合法,當一主體試圖非法使用一個未經授權使用的客體時,該機制將拒絕這一企圖,其主要通過注冊口令、用戶分組控制、文件權限控制三個層次完成。此外,審計、日志、入侵偵察及報警等對保護網絡安全起一定的輔助作用,只有將上述各項技術很好地配合起來,才能為網絡建立一道安全的屏障。
4.反病毒軟件
反病毒軟件已成為人們抵御病毒進攻的有力武器。目前的反病毒軟件具有幾項技術特色。首先, 出現了病毒防火墻。該技術為用戶提供了一個實時監防止病毒發作的工具,它對用戶訪問的每一個文件進行病毒檢測, 確認無毒后才會讓系統接管進行下一步的工作。其次, 反病毒軟件提出了在線升級的方式。第三, 完成了統一的防病毒管理。第四,嵌入式查毒技術的形成, 它將殺毒引擎直接嵌掛到IE 瀏覽器和流行辦公軟件Office2003 和OfficeXP 組件當中,使其與可能發生病毒侵擾的應用程序有機地結合為一體, 在占用系統資源最小的情況下查殺病毒。
5.入侵檢測技術
隨著網絡安全風險系數的不斷提高, 作為對防火墻及其有益的補充, IDS(入侵檢測系統)能夠幫助網絡系統快速發現攻擊的發生,它擴展了系統管理員的安全管理能力包括安全審計、監視、進攻識別和響應, 提高了信息安全基礎結構的完整性。入侵檢測系統是一種對網絡活動進行實時監測的專用系統, 該系統處于防火墻之后, 可以和防火墻及路由器配合工作, 用來檢查一個LAN 網段上的所有通信,記錄和禁止網絡活動,可以通過重新配置來禁止從防火墻外部進入的惡意流量。入侵檢測系統能夠對網絡上的信息進行快速分析或在主機上對用戶進行審計分析, 通過集中控制臺來管理、檢測。
6.PKI技術
PKI是在公開密鑰理論和技術基礎上發展起來的一種綜合安全平臺,能夠為所有網絡應用透明地提供采用加密和數字簽名等密碼服務所必需的密鑰和證書管理,從而達到保證網上傳遞信息的安全、真實、完整和不可抵賴的目的。利用PKI可以方便地建立和維護一個可信的網絡計算環境,從而使得人們在這個無法直接相互面對的環境里,能夠確認彼此的身份和所交換的信息,能夠安全地從事商務活動。目前,PKI技術己趨于成熟,其應用已覆蓋了從安全電子郵件、虛擬專用網絡(VPN),Web交互安全到電子商務、電子政務、電子事務安全的眾多領域,許多企業和個人已經從PKI技術的使用中獲得了巨大的收益。
在PKI體系中,CA(CertificateAuthority,認證中心)和數字證書是密不可分的兩個部分。認證中心又叫CA中心,它是負責產生、分配并管理數字證書的可信賴的第三方權威機構。認證中心是PKI安全體系的核心環節,因此又稱作PKI/CA。認證中心通常采用多層次的分級結構,上級認證中心負責簽發和管理下級認證中心的證書,最下一級的認證中心直接面向最終用戶。數字證書,又叫“數字身份證”、“數字ID”,是由認證中心發放并經認證中心數字簽名的,包含公開密鑰擁有者以及公開密鑰相關信息的一種電子文件,可以用來證明數字證書持有者的真實身份。
7.增強網絡安全意識
利用講座和電視視頻直播給上網的朋友們普及有關網絡安全知識,使他們知道網絡中時時刻刻都存在潛在的威脅,可能會帶來經濟損失和精神損失。同時,還要讓他們知道一切不明身份的垃圾郵件千萬不要打開,因為它可能給你的電腦帶進病毒。通過事實中的案例告訴網民在網絡中做任何事情一定不要放松自己的警惕,加強自己電腦的殺毒軟件,多關注網上欺騙手段的視頻。總之,利用一切可以利用的手段加強網民的網絡安全意識。
8.法律保護
隨著互聯網技術的發展,大量的信息在互聯網上進行傳播,不可避免地會侵犯他人的合法權益,而且這種侵犯將因為互聯網比其他媒體更有廣泛的影響而加重侵權的嚴重程度。從這個意義上來說,一個人可以不上網,但是他的合法權益被他人通過互聯網侵犯卻是有可能的,因此,加強與互聯網相關的立法建設,對于全體國民都是非常重要的。
四、結論
隨著信息技術的飛速發展,網絡及網絡信息安全技術已經深入到了社會的多個領域。網絡和信息時代給我們帶來技術進步和生活便利的同時,也給國家和個人都帶了巨大經濟損失。網民要加強自己的防范意識,保證自己的財產不受到侵犯。我還希望國家相關部門規范網絡信息安全標準,加快先進技術的研發來保障網絡通訊的安全。同時,加強相關法律法規的力度來保證人民的根本利益,為我們提供一個安全的網絡環境。參考文獻:
[1]龐淑英.網絡信息安全技術基礎及應用.2009 [2]李俊宇.信息安全技術基礎冶金工業出版社.2004.12 [3]王麗輝.網絡安全及相關技術吉林農業科技學院學報,第19卷第2期.2005 [4]何萬敏.網絡信息安全與防范技術甘肅農業.2005年第1期 [5]黃慧陳閡中.針對黑客攻擊的預防措施計算機安全.2005 [6]王云峰.信息安全技術及策略[J].廣東廣播電視大學學報,2006
第二篇:網絡安全技術
網絡安全技術
——防火墻技術與病毒
摘 要:
計算機網絡安全,指致力于解決諸如如何有效進行介入控制,以及如何保證數據傳輸的安全性的技術手段。而計算機網絡安全主要包括計算機網絡安全的概況、虛擬網技術、防火墻技術、入侵檢測技術, 安全掃描技術, 電子認證和數字簽名技術.VPN技術、數據安全、計算機病毒等。防火墻技術作為時下比較成熟的一種網絡安全技術,其安全性直接關系到用戶的切身利益。針對網絡安全獨立元素——防火墻技術,通過對防火墻日志文件的分析,設計相應的數學模型和軟件雛形,采用打分制的方法,判斷系統的安全等級,實現對目標網絡的網絡安全風險評估,為提高系統的安全性提供科學依據。本文將以最常見的WORD宏病毒為例來解釋計算機病毒傳播過程。
關鍵詞:網絡安全 防火墻技術 計算機病毒
1.1 研究背景
隨著互聯網的普及和發展,尤其是Internet的廣泛使用,使計算機應用更加廣泛與深入。同時,我們不得不注意到,網絡雖然功能強大,也有其脆弱易受到攻擊的一面。據美國FBI統計,美國每年因網絡安全問題所造成的經濟損失高達75億美元,而全求平均每20秒鐘就發生一起Internet計算機侵入事件。在我國,每年因黑客入侵、計算機病毒的破壞也造成了巨大的經濟損失。人們在利用網絡的優越性的同時,對網絡安全問題也決不能忽視。如何建立比較安全的網絡體系,值得我們關注研究。
1.2 計算機病毒簡介
計算機病毒是指那些具有自我復制能力的計算機程序, 它能影響計算機軟件、硬件的正常運行, 破壞數據的正確與完整。計算機病毒的來源多種多樣, 有的是計算機工作人員或業余愛好者為了純粹尋開心而制造出來的;有的則是軟件公司為保護自己的產品被非法拷貝而制造的報復性懲罰, 因為他們發現病毒比加密對付非法拷貝更有效且更有威脅, 這種情況助長了病毒的傳播。還有一種情況就是蓄意破壞, 它分為個人行為和政府行為兩種, 個人行為多為雇員對雇主的報復行為, 而政府行為則是有組織的戰略戰術手段。另外有的病毒還是用于研究或實驗而設計的“有用”程序, 由于某種原因失去控制擴散出實驗室, 從而成為危害四方的計算機病毒。
1987 年, 計算機用戶忽然發現, 在世界的各個角落, 幾乎同時出現了形形色色的計算機病毒。Brain, Lenig h, IBM 圣誕樹, 黑色星期五, 特別是近期發現的幾種病毒, 其名氣也最大, 它們是: 臺灣一號病毒、DIR-Ⅱ病毒、幽靈病毒、米開朗基羅病毒等, 至今, 病毒種類已超過一萬種。
1988 年底, 我國國家統計系統發現小球病毒。隨后, 中國有色金屬總公司所屬昆明、天津、成都等地的一些單位, 全國一些科研部門和國家機關也相繼發現病毒入侵。自從“中國炸彈”病毒出現后,已發現越來越多的國產病毒。比如目前國內主要有:感染Window s3.x 的“V3783”,感染Window s95/ 98的“CIH”病毒。
縱觀計算機病毒的發展歷史, 我們不難看出, 計算機病毒已從簡單的引導型、文件型病毒或它們的混合型發展到了多形性病毒、欺騙性病毒、破壞性病毒。已從攻擊安全性較低的DOS平臺發展到攻擊安全性較高的Window s95/ 98平臺;從破壞磁盤數據發展到直接對硬件芯片進行攻擊。1995 年宏病毒的出現, 使病毒從感染可執行文件過渡到感染某些非純粹的數據文件。最近有資料顯示已發現JAVA病毒, 各種跡象表明病毒正向著各個領域滲透, 這些新病毒更隱秘, 破壞性更強。
計算機病毒的種類很多, 不同種類的病毒有著各自不同的特征, 它們有的以感染文件為主、有的以感染系統引導區為主, 大多數病毒只是開個小小的玩笑。
按傳染方式分類可分為引導型病毒、文件型病毒和混合型病毒3種。引導型病毒主要是感染磁盤的引導區, 系統從包含了病毒的磁盤啟動時傳播, 它一般不對磁盤文件進行感染;文件型病毒一般只傳染磁盤上的可執行文件(COM, EXE), 其特點是附著于正常程序文件, 成為程序文件的一個外殼或部件;混合型病毒則兼有以上兩種病毒的特點, 既感染引導區又感染文件, 因此擴大了這種病毒的傳染途徑。
按連接方式分類可分為源碼型病毒、入侵型病毒和操作系統型病毒等3 種。其中源碼型病毒主要攻擊高級語言編寫的源程序, 它會將自己插入到系統的源程序中, 并隨源程序一起編譯、連接成可執行文件, 從而導致剛剛生成的可執行文件直接帶毒;入侵型病毒用自身代替正常程序中的部分模塊或堆棧區的病毒, 它只攻擊某些特定程序, 針對性強;操作系統型病毒是用其自身部分加入或替代操作系統的部分功能, 危害性較大。
病毒按程序運行平臺分類可分為DOS 病毒、Windows 病毒、WindowsNT病毒、OS/2 病毒等, 它們分別是發作于DOS,Windows9X,WindowsNT, OS/2等操作系統平臺上的病毒。而計算機病毒的主要危害:不同的計算機病毒有不同的破壞行為, 其中有代表性的行為如下: 一是攻擊系統數據區, 包括硬盤的主引導扇區、Boot 扇區、FAT 表、文件目錄。一般來說, 攻擊系統數據區的病毒是惡性病毒, 受損的數據不易恢復。二是攻擊文件, 包括刪除、改名、替換文件內容、刪除部分程序代碼、內容顛倒、變碎片等等。三是攻擊內存。
1.3防火墻概述
隨著Internet的迅速發展,網絡應用涉及到越來越多的領域,網絡中各類重要的、敏感的數據逐漸增多;同時由于黑客入侵以及網絡病毒的問題,使得網絡安全問題越來越突出。因此,保護網絡資源不被非授權訪問,阻止病毒的傳播感染顯得尤為重要。就目前而言,對于局部網絡的保護,防火墻仍然不失為一種有效的手段,防火墻技術主要分為包過濾和應用代理兩類。其中包過濾作為最早發展起來的一種技術,其應用非常廣泛。
防火墻是設置在被保護網絡和外部網絡之間的一道屏障,以防止發生不可預測的、潛在破壞性的侵入。[4]防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。防火墻提供信息安全服務,是實現網絡和信息安全的基礎設施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,它有效地監控了內部網絡和互聯網之間的任何活動,保證了內部網絡的安全。
2.防火墻的原理及分類
顧名思義,包過濾防火墻[9]就是把接收到的每個數據包同預先設定的包過濾規則相比較,從而決定是否阻塞或通過。過濾規則是基于網絡層IP包包頭信息的比較。包過濾防火墻工作在網絡層,IP包的包頭中包含源、目的IP地址,封裝協議類型(TCP,UDP,ICMP或IP Tunnel),TCP/UDP端口號,ICMP消息類型,TCP包頭中的ACK等等。如果接收的數據包與允許轉發的規則相匹配,則數據包按正常情況處理;如果與拒絕轉發的規則相匹配,則防火墻丟棄數據包;如果沒有匹配規則,則按缺省情況處理。包過濾防火墻是速度最快的防火墻,這是因為它處于網絡層,并且只是粗略的檢查連接的正確性,所以在一般的傳統路由器上就可以實現,對用戶來說都是透明的。但是它的安全程度較低,很容易暴露內部網絡,使之遭受攻擊。例如,HTTP。通常是使用80端口。如果公司的安全策略允許內部員工訪問網站,包過濾防火墻可能設置允所有80端口的連接通過,這時,意識到這一漏洞的外部人員可以在沒有被認證的情況下進入私有網絡。包過濾防火墻的維護比較困難,定義過濾規則也比較復雜,因為任何一條過濾規則的不完善都會給網絡黑客造成可乘之機。同時,包過濾防火墻一般無法提供完善的日志。
應用級代理技術通過在OSI的最高層檢查每一個IP包,從而實現安全策略。代理技術與包過濾技術完全不同,包過濾技術在網絡層控制所有的信息流,而代理技術一直處理到應用層,在應用層實現防火墻功能。它的代理功能,就是在防火墻處終止客戶連接并初始化一個新的連接到受保護的內部網絡。這一內建代理機制提供額外的安全,這是因為它將內部和外部網絡隔離開來,使網絡外部的黑客在防火墻內部網絡上進行探測變得困難,更重要的是能夠讓網絡管理員對網絡服務進行全面的控制。但是,這將花費更多的處理時間,并且由于代理防火墻支持的應用有限,每一種應用都需要安裝和配置不同的應用代理程序。比如訪問WEB站點的HTTP,用于文件傳輸的FTP,用于E一MAIL的SMTP/POP3等等。如果某種應用沒有安裝代理程序,那么該項服務就不被支持并且不能通過防火墻進行轉發;同時升級一種應用時,相應的代理程序也必須同時升級。
代理服務(Proxy Service)也稱鏈路級網關或TCP通道(Circuit Level Gateways or TCP Tunnels),也有人將它歸于應用級網關一類。它是針對數據包過濾[10]和應用網關技術存在的缺點而引入的防火墻技術,其特點是將所有跨越防火墻的網絡通信鏈路分為兩段。防火墻內外計算機系統間應用層的“鏈接”,由兩個終止代理服務器上的“鏈接”來實現,外部計算機的網絡鏈路只能到達代理服務器,從而起到了隔離防火墻內外計算機系統的作用。此外,代理服務也對過往的數據包進行分析、注冊登記,形成報告,同時當發現被攻擊跡象時會向網絡管理員發出警報,并保留攻擊痕跡。應用代理型防火墻是內部網與外部網的隔離點,起著監視和隔絕應用層通信流的作用。同時 也常結合入過濾器的功能。它工作在OSI模型的最高層,掌握著應用系統中可用作安全決策的全部信息。
復合型防火墻:由于對更高安全性的要求,常把基于包過濾的方法與基于應用代理的方法結合起來,形成復合型防火墻產品。這種結合通常是以下兩種方案。屏蔽主機防火墻體系結構,在該結構中,分組過濾路由器或防火墻與Internet相連,同時一個堡壘機安裝在內部網絡,通過在分組過濾器路由器或防火墻上過濾規則的設置,使堡壘機成為Internet上其他節點所能到達的唯一節點,這確保了內部網絡不受未授權外部用戶的攻擊。屏蔽子網防火墻體系結構:堡壘機放在一個子網內,形成非軍事化區,兩個分組過濾路由器放在這一子網的兩端,使這一子網與Internet及內部網絡分離。在屏蔽子網防火墻體系結構中,堡壘機和分組過濾路由器共同構成了整個防火墻的安全基礎。執行save命令保存退出后就可以在企業外網出口指定IP時實現防火墻數據轉發以及安全保護功能了。
3.1防火墻包過濾技術發展趨勢
(1)安全策略功能
一些防火墻廠商把在AAA系統上運用的用戶認證及其服務擴展到防火墻中,使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網絡應用中非常必要。具有用戶身份驗證的防火墻通常是采用應用級網關技術的,包過濾技術的防火墻不具有。用戶身份驗證功能越強,它的安全級別越高,但它給網絡通信帶來的負面影響也越大,因為用戶身份驗證需要時間,特別是加密型的用戶身份驗證。
(2)多級過濾技術
所謂多級過濾技術,是指防火墻采用多級過濾措施,并輔以鑒別手段。在分組過濾(網絡層)一級,過濾掉所有的源路由分組和假冒的IP源地址;在傳輸層一級,遵循過濾規則,過濾掉所有禁止出或/和入的協議和有害數據包如nuke包、圣誕樹包等;在應用網關(應用層)一級,能利用FTP、SMTP等各種網關,控制和監測Internet提供的所用通用服務。這是針對以上各種已有防火墻技術的不足而產生的一種綜合型過濾技術,它可以彌補以上各種單獨過濾技術的不足。
這種過濾技術在分層上非常清楚,每種過濾技術對應于不同的網絡層,從這個概念出發,又有很多內容可以擴展,為將來的防火墻技術發展打下基礎。
(3)功能擴展
功能擴展是指一種集成多種功能的設計趨勢,包括VPN、AAA、PKI、IPSec等附加功能,甚至防病毒、入侵檢測這樣的主流功能,都被集成到防火墻產品中了,很多時候我們已經無法分辨這樣的產品到底是以防火墻為主,還是以某個功能為主了,即其已經逐漸向我們普遍稱之為IPS(入侵防御系統)的產品轉化了。有些防火墻集成了防病毒功能,通常被稱之為“病毒防火墻”,當然目前主要還是在個人防火墻中體現,因為它是純軟件形式,更容易實現。這種防火墻技術可以有效地防止病毒在網絡中的傳播,比等待攻擊的發生更加積極。擁有病毒防護功能的防火墻可以大大減少公司的損失。
3.1防火墻的體系結構發展趨勢
隨著網絡應用的增加,對網絡帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數據。另外,在以后幾年里,多媒體應用將會越來越普遍,它要求數據穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要,一些防火墻制造商開發了基于ASIC的防火墻和基于網絡處理器的防火墻。從執行速度的角度看來,基于網絡處理器的防火墻也是基于軟件的解決方案,它需要在很大程度上依賴于軟件的性能,但是由于這類防火墻中有一些專門用于處理數據層面任務的引擎,從而減輕了CPU的負擔,該類防火墻的性能要比傳統防火墻的性能好許多。
與基于ASIC的純硬件防火墻相比,基于網絡處理器的防火墻具有軟件色彩,因而更加具有靈活性。基于ASIC的防火墻使用專門的硬件處理網絡數據流,比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性,這就使得它缺乏靈活性,從而跟不上防火墻功能的快速發展。理想的解決方案是增加ASIC芯片的可編程性,使其與軟件更好地配合。這樣的防火墻就可以同時滿足來自靈活性和運行性能的要求。參考文獻
[1] 艾軍.防火墻體系結構及功能分析[J].電腦知識與技術.2004,(s):79一82.[2] 高峰.許南山.防火墻包過濾規則問題的研究[M].計算機應用.2003,23(6):311一312.[3] 孟濤、楊磊.防火墻和安全審計[M].計算機安全.2004,(4):17一18.[4] 鄭林.防火墻原理入門[Z].E企業.2000.[5] 魏利華.防火墻技術及其性能研究.能源研究與信息.2004,20(l):57一62
[6] 李劍,劉美華,曹元大.分布式防火墻系統.安全與環境學報.2002,2(l):59一61
[7] 王衛平,陳文惠,朱衛未.防火墻技術分析.信息安全與通信保密.2006,(8):24一27
[8] 付歌,楊明福.一個快速的二維數據包分類算法.計算機工程.2004,30(6):76一78
[9] 付歌,楊明福,王興軍.基于空間分解的數據包分類技術.計算機工程與應用.2004(8):63一65
[10] 〕韓曉非,王學光,楊明福.位并行數據包分類算法研究.華東理工大學學報.2003,29(5):504一508
[11] 韓曉非,楊明福,王學光.基于元組空間的位并行包分類算法.計算機工程與應用.2003,(29):188一192
[12] 馮東雷,張勇,白英彩.一種高性能包分類漸增式更新算法.計算機研究與發展.2003,40(3):387一392
第三篇:《網絡安全技術》論文
常見防火墻技術分析
摘要:
計算機網絡是一把雙刃劍,它的開放性和便利性的同時,也增加了私有信息和數據被破壞或侵犯的可能性。
本文首先會簡單地講述目前計算機網絡存在的安全隱患,我國網絡安全的現狀及網絡安全問題產生的原因。
其次,由于網絡安全威脅的存在,防火墻應運而生。防火墻是網絡安全的關鍵技術, 其本質是一種隔離技術,其核心思想是在不安全的網絡環境中構造一個相對安全的子網環境。本文將重點從安全功能、體系結構、實現防火墻的主要技術手段及配置等方面分析防火墻。關鍵詞:網絡安全,防火墻,防火墻類型
1.我國網絡安全的現狀
1.1研究背景
“計算機網絡安全”定義:國際標準化組織(ISO)將“計算機網絡安全”定義為:“為數據處理系統建立和采取的技術和管理的安全保護,保護網絡系統的硬件、軟件及其系統中的數據不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠、正常地運行,網絡服務不中斷。其具有以下五個方面的特征:保密性、完整性、可用性、可控性和可審查性。
當前,計算機已經被廣泛地用于社會生產和生活的各個領域。特別是隨著信息化和技術化的不斷推進,計算機也在更加深刻地影響著社會的方方面面。
計算機網絡安全問題主要有:信息在傳輸的過程中,數據被篡改和復制,以及攔截和查看,甚至遭受惡意的病毒攻擊等。這些安全問題嚴重影響著計算機網絡的正常運行,出現系統癱瘓或重要數據的泄漏,造成不可挽回的嚴重后果。
網絡安全的主要威脅有:竊聽、網絡嗅探、拒絕服務、假冒、授權侵犯、計算機病毒。
1.2研究意義
為了有效解決網絡安全問題和威脅,構建安全可靠的網絡安全環境,我國有必要從技術方面對防火墻進行完善。基于網絡內部和外部環境的特殊性,防火墻技術是目前保護網絡安全最為有效地技術,不僅能夠對網絡傳輸的數據進行檢查,還能對整個網絡進行監控。
2.防火墻技術的概述
2.1防火墻技術的定義
防火墻是設置在被保護網絡和外部網絡之間的一道屏障,主要用來保護安全網絡免受來自不安全網絡的入侵,實際上是一種隔離技術。簡單地說就是,防火墻是在兩個網絡間進行訪問控制,它能允許你“同意”的人和數據進入你的網絡, 同時將你“不同意”的人和數據拒之門外, 最大限度地阻止網絡中的黑客來訪問你的網絡,防止他們更改、拷貝、毀壞你的重要
信息。不同的防火墻,配置的方法也不同,這取決于安全策略,預算以及全面規劃等。
它是不同網絡或網絡安全域之間信息的唯一出入口,有效地加強網絡之間訪問控制。它是提供信息安全服務,實現網絡和信息安全的基礎設施,是一種非常有效的網絡安全模型。
如圖1:
2.2防火墻技術的發展史及分類
縱觀防火墻近年來的發展,可以將其劃分為如下四個階段(即四代)及相應的分類。
2.2.1 第一代防火墻:基于路由器的防火墻
第一代防火墻技術幾乎與路由器同時出現,采用了包過濾(Packetfilter)技術,從而使具有分組過濾功能的路由器成為第一代防火墻產品。簡單地說,第一代防火墻產品一般是基于源地址和目的地址、應用或協議以及每個IP包的端口來作為出通過與否的判斷。一個路由器便是一個“傳統”的網絡級防火墻,大多數的路由器都能通過檢查這些信息來決定是否將所收到的包轉發,但它不能判斷出一個IP包自哪里,即將去哪里。
特點:
(1)網絡級防火墻簡潔、速度快、費用低,并且對用戶透明;
(2)可利用路由器實現對分組的過濾;
(3)把地址、端口號、IP旗標及其他網絡特征作為判斷依據
不足:
(1)本身具有安全漏洞,外部網絡要探尋內部網絡十分容易。
(2)分組過濾規則的設置和配置存在安全隱患。對路由器中過濾規則的設置和配置十分復雜,它涉及到規則的邏輯一致性、作用端口的有效性和規則集的正確性,一般的網絡系統管理員難于勝任,加之一旦出現新的協議,管理員就得加上更多的規則去限制,這往往會帶來很多錯誤。
(3)路由器防火墻的最大隱患是:攻擊者可以“假冒”地址。由于信息在網絡上是以明文方式傳送的,黑客(Hacker)可以在網絡上偽造假的路由信息欺騙防火墻。
(4)路由器防火墻的本質缺陷是:由于路由器的主要功能是為網絡訪問提供動態的、靈活的路由,而防火墻則要對訪問行為實施靜態的、固定的控制,這是一對難以調和的矛盾,防火墻的規則設置會大大降低路由器的性能。
2.2.2第二代防火墻:用戶防火墻工具套
1989年,貝爾實驗室的DavePresotto和HowardTrickey推出了第二代防火墻,即電路層防火墻。為了彌補路由器防火墻的不足,很多大型用戶紛紛要求以專門開發的防火墻系統來保護自己的網絡,從而推動了用戶防火墻工具套的出現。
他能夠檢查進出的數據包,通過網關復制傳遞數據,防止在受信任服務器和客戶機與不受信任的主機間直接建立聯系。他并且能夠理解應用層上的協議,能夠做復雜一些的訪問控制,并做精細的注冊和稽核。
特點:
(1)將過濾功能從路由器中獨立出來,并加上審計和告警功能;
(2)針對用戶需求,提供模塊化的軟件包;
(3)軟件可以通過網絡發送,用戶可以自己動手構造防火墻;
(4)與第一代防火墻相比,安全性提高了,價格也降低了。
不足:
(1)無論在實現上還是在維護上都對系統管理員提出了相當復雜的要求;
(2)對用戶的技術要求高;
(3)全軟件實現,安全性和處理速度均有局限,使用中出現差錯的情況很多。
2.2.3 第三代防火墻:建立在通用操作系統上的防火墻
基于軟件的防火墻在銷售、使用和維護上的問題迫使防火墻開發商很快推出了建立在通用操作系統上的商用防火墻產品。近年來市場上廣泛使用的就是這一代產品
特點:
(1)是批量上市的專用防火墻產品;
(2)包括分組過濾或者借用路由器的分組過濾功能;
(3)裝有專用的代理系統,監控所有協議的數據和指令;
(4)保護用戶編程空間和用戶可配置內核參數的設置;
(5)安全性和速度大大提高。
不足:
(1)缺乏安全保障,因為作為基礎的操作系統及其內核往往不為防火墻管理者所知;
(2)由于大多數防火墻廠商并非通用操作系統的廠商,通用操作系統廠商不會對操作系統的 安全性負責;
(3)從本質上看,第三代防火墻既要防止來自外部網絡的攻擊,還要防止來自操作系統廠商的攻擊。
2.2.4第四代防火墻:具有安全操作系統的防火墻
1992年,USC信息科學院的BobBraden開發出了基于動態包過濾(Dynamicpacketfilter)技術的第四代防火墻,后來演變為目前所說的狀態監視(Statefulinspection)技術。1994年,以色列的CheckPoint公司開發出了第一個基于這種技術的商業化的產品。
特點:
(1)防火墻廠商具有操作系統的源代碼,并可實現安全內核。
(2)對安全內核實現加固處理:即去掉不必要的系統特性,加上內核特性,強化安全保護。
(3)對每個服務器、子系統都作了安全處理,一旦黑客攻破了一個服務器,它將會被隔離在此服務器內,不會對網絡的其他部分構成威脅。
(4)在功能上包括了分組過濾、應用網關、電路級網關,且具有加密與鑒別功能。
(5)透明性好,易于使用。
2.3 防火墻技術的功能
(1)訪問控制功能。是一種簡單、有效的安全控制技術,也是防火墻最基本也是最重要的功能,通過禁止或允許特定用戶訪問特定的資源,保護網絡的內部資源和數據。需要禁止非授權的訪問,防火墻需要識別哪個用戶可以訪問何種資源。
(2)防止內部信息外泄。根據數據內存進行控制,如防火墻可以從電子郵件中過濾掉垃圾郵件,可以過濾掉內部用戶訪問外部服務的圖片信息,也可以限制外部訪問,使它們只能訪問本地Web服務器中一部分信息。
(3)集中管理功能。防火墻是一個安全設備,針對不同的網絡情況和安全需要,需要制定不同的安全策略,然后在防火墻上實施,使用中還需要根據情況改變安全策略,因此防火墻應具備集中管理功能。
(4)阻擋外部攻擊。如果用戶發送的信息是防火墻設置所不允許的,防火墻會立即將其阻斷,避免其進入防火墻之后的網絡中。
(5)自身的安全和可用性。防火墻要保證自身的安全不被非法侵入,保證正常的運作。如果防火墻被侵入,防火墻的安全策略被修改,這樣內網就變得不安全。
(6)數據包的透明轉發。由于防火墻一般部署在提供某些服務或應用的服務器前。用戶對服務器的訪問的請求與服務器反饋給用戶的信息,都需要經過防火墻的轉發。因此,防火墻具備網關功能,方便數據包的轉發。
3防火墻技術在計算機網絡安全中的運用
從整體上來說,計算機網絡安全是通過網絡的管理控制,以及技術的解決辦法,確保在網絡的環境中,保護數據進行使用和保密,及完整性。計算機網絡安全主要有物理和邏輯安全。但是根據使用者的不一樣,對網絡安全的理解也就會不一樣。如:一般的使用者認為,計算機網絡安全就是在網絡上傳自己的隱私或者是重要的信息時,能夠保護信息不能被竊聽和篡改,以及偽造。而網絡的供應商們則認為,除了保證網絡信息的安全,還要考慮各種對網絡硬件破壞因素的保護,以及在出現異常時恢復網絡通信的保護。
(1)加密技術。即信息的發送方先對信息做加密處理,密碼由和接收方掌握,接收方接收到經過加密處理的信息后,用解密密鑰對信息進行解密,從而完成一次安全的信息傳輸。加密措施利用密鑰來保障信息傳輸的安全性。
(2)身份驗證。通過對網絡用戶的使用授權,在信息的發送方和接收方之間通過身份認證,建立起相對安全的信息通道,這樣可以有效防止未經授權的非法用戶的介入。
(3)防病毒技術。主要涉及對病毒的預防、檢測以及清除三方面。
其一,在網絡建設中,安裝防火墻對互聯網之間的交換信息按照某種規則進行控制,構
成一道安全屏障來保護內網與外網間的信息和數據傳輸,確保網絡不被其他未經授權的第三方侵入。
其二,網絡的連接如果是由路由器和互聯網相連,服務器有www.tmdps.cnmon firewall technology
Deluxe Zhang
Abstract:
It’s well known that computer network is a double-edged sword.It can not only provide us with great openness and convenience, but also increase the possibility of damaged or violated private information and data.To begin with,this article will relate the current risks of network security and explain main reasons of the network security problems.Then, the firewall emerged due to the threats of network security, what’s more, it’s the key technology to network security.In essence, firewall the isolation technique, while its main idea is creating a relative safety sub-network environment in an unsafety network environment.This article analyses several important aspects of firewall from thebasic security functions, architecture and the main means of achieving the firewall with configuration.Key words:Network security,Firewall,The type of firewall
第四篇:網絡安全技術論文
從360和騰訊事件看網絡信息安全
李婭楠
(中國民航大學 理學院 090243116)
摘要:闡述了網絡信息安全的內涵,網絡安全的組成,威脅網絡安全的因素及相應應對措施。在此基礎上論文指出對于網絡安全教育和管理的加強是十分必要的,因此應加強信息安全學科建設和人才培養,確保我國的信息安全。
關鍵詞:網絡信息安全威脅因素 網絡安全技術
最近,360殺毒軟件和QQ聊天軟件的爭斗在網絡上掀起了滔天巨浪。為此,有關QQ涉嫌窺探個人電腦隱私、奇虎360、金山等安全軟件公司紛紛發布電腦隱私保護器軟件,旨在應對或保護個人電腦隱私,一場由信息安全、個人隱私引發的“企業恩怨”正在上演。在這次事件中,360認為騰訊掃描用戶硬盤,查看用戶隱私;騰訊則認為360影響其程序運行,為此引發兩者一系列爭斗,并且斗爭愈演愈烈,最終殃及用戶。作為第三方,我并不關心這兩家公司誰輸誰贏,重要的是,透過這個現象,讓我意識到,這場利益爭奪戰帶來的影響,已經遠遠超出了這兩家公司業務的范疇。我們應該跳出360與騰訊的恩怨,清醒意識并正確認識到網絡信息安全的重要性。
計算機網絡安全(Network Security)是一門涉及計算機科學,網絡技術,通信技術,密碼技術,信息安全技術,應用數學,數論,信息論等多種學科的綜合性科學。國際標準化組織(ISO)將“計算機網絡安全”定義為:“為數據處理系統建立和采取的技術和管理的安全保護,保護網絡系統的硬件、軟件及其系統中的數據不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠、正常地運行,網絡服務不中斷。”上述計算機安全的定義包含物理安全和邏輯安全兩方面的內容,其邏輯安全的內容可理解為我們常說的網絡上的信息安全,是指對信息的保密性、完整性和可用性的保護,而網絡安全性的含義是信息安全的引申,即網絡安全是對網絡信息保密性、完整性和可用性的保護。從廣義來說,凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。當然,網絡安全的具體含義會隨著“角度”的變化而變化。比如:從用戶(個人、企業等)角度,他們希望涉及個人隱私或商業利益的信息在網絡上傳輸時受到機密性、完整性和真實性的保護,避免其他人利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私。從網絡運行和管理者角度說,他們希望對本地網絡信息的訪問、讀寫等操作受到保護和控制,避免出現“陷門”、病毒、非法存取、拒絕服務和網絡資源非法占用和非法控制等威脅,制止和防御網絡黑客的攻擊。對安全保密部門來說,他們希望對非法的、有害的或涉及國家機密的信息進行過濾和防堵,避免機要信息泄露,避免對社會產生危害,對國家造成巨大損失。從社會教育和意識形態角度來講,網絡上不健康的內容,會對社會的穩定和人類的發展造成阻礙,必須對其進行控制。
計算機網絡安全從技術上來說,主要由防病毒、防火墻、入侵檢測等多個安全組件組成,一個單
獨的組件無法確保網絡信息的安全性。早期的網絡防護技術的出發點是首先劃分出明確的網絡邊界,然后通過在網絡邊界處對流經的信息利用各種控制方法進行檢查,只有符合規定的信息才可以通過網絡邊界,從而達到阻止對網絡攻擊、入侵的目的。計算機和網絡技術具有的復雜性和多樣性,使得計算機和網絡安全成為一個需要持續更新和提高的領域。目前黑客的攻擊方法已超過了計算機病毒的種類,而且許多攻擊都是致命的。
近年來隨著Internet的飛速發展,計算機網絡的資源共享進一步加強,隨之而來的信息安全問題日益突出。據美國FBI統計,美國每年網絡安全問題所造成的經濟損失高達75億美元。而全球平均每20秒鐘就發生一起Internet計算機侵入事件。在Internet/Intranet的大量應用中,Internet/Intranet安全面臨著重大的挑戰,事實上,資源共享和安全歷來是一對矛盾。在一個開放的網絡環境中,大量信息在網上流動,這為不法分子提供了攻擊目標。而且計算機網絡組成形式多樣性、終端分布廣和網絡的開放性、互聯性等特征更為他們提供便利。他們利用不同的攻擊手段,獲得訪問或修改在網中流動的敏感信息,闖入用戶或政府部門的計算機系統,進行窺視、竊取、篡改數據。不受時間、地點、條件限制的網絡詐騙,其“低成本和高收益”又在一定程度上刺激了犯罪的增長。使得針對計算機信息系統的犯罪活動日益增多。
計算機的安全體系是一個層次對的體系,從高到低的層次關系如下圖所示:
其中網絡安全是最高級的安全,它是指保護網絡系統的硬件,軟件及其數據不受惡意或偶然的導致破壞,更改或泄漏,使系統連續可靠正常運行,使網絡服務不中斷。
而從人為(黑客)角度來看,常見的計算機網絡安全威脅主要有:信息泄露、完整性破壞、拒絕服務、網絡濫用。
信息泄露:信息泄露破壞了系統的保密性,他是指信息被透漏給非授權的實體。常見的,能夠導致信息泄露的威脅有:網絡監聽、業務流分析、電磁、射頻截獲、人員的有意或無意、媒體清理、漏洞利用、授權侵犯、物理侵入、病毒、木馬、后門、流氓軟件、網絡釣魚。
完整性破壞:可以通過漏洞利用、物理侵犯、授權侵犯、病毒,木馬,漏洞來等方式實現。拒絕服務攻擊:對信息或資源可以合法的訪問卻被非法的拒絕或者推遲與時間密切相關的操作。
網絡濫用:合法的用戶濫用網絡,引入不必要的安全威脅,包括非法外聯、非法內聯、移動風險、設備濫用、業務濫用。
常見的計算機網絡安全威脅的表現形式主要有:竊聽、重傳、偽造、篡改、拒絕服務攻擊、行為否認、電子欺騙、非授權訪問、傳播病毒。
竊聽:攻擊者通過監視網絡數據的手段獲得重要的信息,從而導致網絡信息的泄密。重傳:攻擊者事先獲得部分或全部信息,以后將此信息發送給接收者。
篡改:攻擊者對合法用戶之間的通訊信息進行修改、刪除、插入,再將偽造的信息發送給接收者,這就是純粹的信息破壞,這樣的網絡侵犯者被稱為積極侵犯者。積極侵犯者的破壞作用最大。拒絕服務攻擊:攻擊者通過某種方法使系統響應減慢甚至癱瘓,阻止合法用戶獲得服務。行為否認:通訊實體否認已經發生的行為。
電子欺騙:通過假冒合法用戶的身份來進行網絡攻擊,從而達到掩蓋攻擊者真實身份,嫁禍他人的目的.非授權訪問:沒有預先經過同意,就使用網絡或計算機資源被看作非授權訪問。
傳播病毒:通過網絡傳播計算機病毒,其破壞性非常高,而且用戶很難防范。
當然,除了人為因素,網絡安全還在很大部分上由網絡內部的原因或者安全機制或者安全工具本身的局限性所決定,他們主要表現在:每一種安全機制都有一定的應用范圍和應用環境、安全工具的使用受到人為因素的影響、系統的后門是傳統安全工具難于考慮到的地方、只要是程序,就可能存在BUG。而這一系列的缺陷,更加給想要進行攻擊的人以方便。所以,網絡安全問題可以說是由人所引起的。因此,對于網絡安全教育和管理的加強是十分必要的,與此相關的加強計算機網絡安全的對策措施有:1.對工作人員結合機房、硬件、軟件、數據和網絡等各個方面安全問題,進行安全教育,提高工作人員的安全觀念和責任心;加強業務、技術的培訓,提高操作技能;教育工作人員嚴格遵守操作規程和各項保密規定,防止人為事故的發生。同時,要保護傳輸線路安全。對于傳輸線路,應有露天保護措施或埋于地下,并要求遠離各種輻射源,以減少各種輻__射引起的數據錯誤;線纜鋪設應當盡可能使用光纖,以減少各種輻射引起的電磁泄漏和對發送線路的干擾。要定期檢查連接情況,以檢測是否有搭線竊聽、非法外連或破壞行為。
2.運用網絡加密技術:網絡信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。加密數據傳輸主要有三種:①鏈接加密。在網絡節點間加密,在節點間傳輸加密的信息,傳送到節點后解密,不同節點間用不同的密碼。②節點加密。與鏈接加密類似,不同的只是當數據在節點間傳送時,不用明碼格式傳送,而是用特殊的加密硬件進行解密和重加密,這種專用硬件通常放置在安全保險箱中。③首尾加密。對進入網絡的數據加密,然后待數據從網絡傳送出后再進行解密。網絡的加密技術很多,在實際應用中,人們通常根據各種加密算法結合在一起使用,這樣可以更加有效地加強網絡的完全性。網絡加密技術也是網絡安全最有效的技術之一。既可以對付惡意軟件攻
擊,又可以防止非授權用戶的訪問。
3.加強計算機網絡訪問控制:訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和非正常訪問,也是維護網絡系統安全、保護網絡資源的重要手段。訪問控制技術主要包括入網訪問控制、網絡的權限控制、目錄級安全控制、屬性安全控制、網絡服務器安全控制、網絡監測和鎖定控制、網絡端口和節點的安全控制。根據網絡安全的等級、網絡空間的環境不同,可靈活地設置訪問控制的種類和數量。
4.使用防火墻技術:采用防火墻技術是解決網絡安全問題的主要手段。防火墻技術是建立在現代通信網絡技術和信息技術基礎上的應用性安全技術,越來越多地應用于專用網絡與公用網絡的互聯環境之中。防火墻是在網絡之間執行訪問控制策略的系統,通過監測、限制、更改跨越防火墻的數據流,盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況。具備檢查、阻止信息流通過和允許信息流通過兩種管理機制,并且本身具有較強的抗攻擊能力。在邏輯上,防火墻可以有效地監控內部網和Internet 之間的任何活動,保證內部網絡的安全。防火墻的應用可最大限度地保障網絡的正常運行,它可以起著提高內部網絡的安全性、強化網絡安全策略、防止內部信息泄漏、網絡防毒、信息加密、存儲通信、授權、認證等重要作用。
對于此次360騰訊事件,且不論騰訊是否窺探了我們的隱私,透過此次騰訊與360之間的爭奪戰,我們應該正確認識到信息安全與隱私保護的必要性。現今計算機及網絡已成為我們不可或缺的工具,然而計算機及網絡在給我們帶來極大方便的同時,也隱藏著巨大的危機和漏洞。即使對于計算機專業人士來講,如果不是頂層設計人員,都很難搞清屏幕之下,到底有多少代碼在悄悄地窺視。這次兩個國產軟件商的紛爭,可以說把神秘的網絡風險揭開了一角。在計算機網絡系統中,絕對安全是不存在的,而計算機網絡信息安全的工作貫穿于計算機網絡建設、發展的始終,這就需要我們時刻重視,不斷學習,才能確保計算機網絡的安全、可靠地運行。總之,網絡安全是一個綜合性的課題,涉及技術、管理、使用等許多方面,既包括信息系統本身的安全問題,也有物理的和邏輯的技術措施,一種技術只能解決一方面的問題,而不是萬能的。為此建立有中國特色的網絡安全體系,需要國家政策和法規的支持及集團聯合研究開發。安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產業將來也是一個隨著 新技術發展而不斷發展的產業。
參考文獻:
[1]朱理森,張守連.計算機網絡應用技術[M].北京:專利文獻出版社,2001.[2]謝希仁.計算機網絡(第4版)[M].北京:電子工業出版社,2003
[3]張民,徐躍進.網絡安全實驗教程,清華大學出版社,2007,6.
第五篇:網絡安全與技術
網 絡 安 全 與 技 術
計算機網絡安全之防火墻概述
隨著計算機網絡技術的普及和越來越廣泛地應用于工業、農業、交通等國民經濟各個領域和國防建設和軍事領域,計算機網絡時常出現的安全問題日益增多,存在的安全隱患,促使人們采取各種方案保護計算機網絡的安全。21世紀全世界的計算機都將通過Internet聯到一起,信息安全的內涵也就發生了根本的變化。它不僅從一般性的防衛變成了一種非常普通的防范,而且還從一種專門的領域變成了無處不在。當人類步入21世紀這一信息社會、網絡社會的時候,我們將建立起一套完整的網絡安全體系,特別是從政策上和法律上建立起有中國自己特色的網絡安全體系。
一個國家的信息安全體系實際上包括國家的法規和政策,以及技術與市場的發展平臺。我國在構建信息防衛系統時,應著力發展自己獨特的安全產品,我們要想真正解決網絡安全問題,最終的辦法就是通過發展民族的安全產業,帶動我國網絡安全技術的整體提高。
網絡安全產品有以下幾大特點:第一,網絡安全來源于安全策略與技術的多樣
于(Checkpoint)。使用這類防火墻,需要網管對所工作的操作系統平臺比較熟悉。
2.硬件防火墻
這里說的硬件防火墻是指“所謂的硬件防火墻”。之所以加上所謂二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數防火墻都是這種所謂的硬件防火墻,他們都基于PC架構,就是說,它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統,最常用的有老版本的(Unix、Linux和FreeBSD)系統。值得注意的是,由于此類防火墻采用的依然是別人的內核,因此依然會受到OS操作系統本身的安全性影響。
傳統硬件防火墻一般至少應具備三個端口,分別接(內網,外網和DMZ區)非軍事化區,現在一些新的硬件防火墻往往擴展了端口,常見四端口防火墻一般將第四個端口做為配置口、管理端口。很多防火墻還可以進一步擴展端口數目。
3.芯片級防火墻
“芯片級”防火墻基于專門的硬件平臺,沒有操作系統。專有的ASIC芯片促使它們比其他種類的防火墻速度更快,處理能力更強,性能更高。做這類防火墻最出名的廠商有(NetScreen、FortiNet、Cisco)等。這類防火墻由于是專用OS操作系統,因此防火墻本身的漏洞比較少,不過價格相對比較高昂。
根據防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型、網絡地址轉換—NAT、代理型和監測型。
1.包過濾型
包過濾型產品是防火墻的初級產品,其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個
4.監測型
監測型防火墻是新一代的產品,這一技術實際已經超越了最初的防火墻定義。監測型防火墻能夠對各層的數據進行主動的、實時的監測,在對這些數據加以分析的基礎上,監測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產品一般還帶有分布式探測器,這些探測器安置在各種應用服務器和其他網絡的節點之中,不僅能夠檢測來自網絡外部的攻擊,同時對來自內部的惡意破壞也有極強的防范作用。據權威機構統計,在針對網絡系統的攻擊中,有相當比例的攻擊來自網絡內部。因此,監測型防火墻不僅超越了傳統防火墻的定義,而且在安全性上也超越了前兩代產品
雖然監測型防火墻安全性上已超越了包過濾型和代理服務器型防火墻,但由于監測型防火墻技術的實現成本較高,也不易管理,所以目前在實用中的防火墻產品仍然以第二代代理型產品為主,但在某些方面也已經開始使用監測型防火墻。基于對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術。這樣既能夠保證網絡系統的安全性需求,同時也能有效地控制安全系統的總擁有成本。
實際上,作為當前防火墻產品的主流趨勢,大多數代理服務器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢。由于這種產品是基于應用的,應用網關能提供對協議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應用,應用網關能夠有效地避免內部網絡的信息外泄。正是由于應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網絡應用協議的有效支持和對網絡整體性能的影響上。
當前信息安全技術發展迅速,但沒有任一種解決方案可以防御所有危及信息安全的攻擊,這是“矛”與“盾”的問題,需要不斷吸取新的技術,取眾家所長,才能使“盾”更堅,以防御不斷鋒利的“矛”,因此,要不斷跟蹤新技術,對所采用的信息安全技術進行升級完善,以確保相關利益不受侵犯。
我國信息網絡安全技術的研究和產品開發尚處于起步階段,就更需要我們去研究、開發和探索,以走有中國特色的產學研聯合發展之路,趕上或超過發達國家的水平,以此保證我國網絡信息的安全,推動我國圍民經濟的高速發展。
點擊咨詢 