1 引言
??
??? 計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用已經(jīng)對(duì)經(jīng)濟(jì)、文化、教育、科技的發(fā)展產(chǎn)生了重要影響，許多重要的信息、資源都與網(wǎng)絡(luò)相關(guān)?？陀^上，幾乎沒有一個(gè)網(wǎng)絡(luò)能夠免受安全的困擾。依據(jù)FinancialTimes曾經(jīng)做過(guò)的統(tǒng)計(jì)，平均每20秒鐘就有一個(gè)網(wǎng)絡(luò)遭到入侵，而安全又是網(wǎng)絡(luò)發(fā)展的根本。尤其是在信息安全產(chǎn)業(yè)領(lǐng)域，其固有的敏感性和特殊性，直接影響著國(guó)家的安全利益和經(jīng)濟(jì)利益。因此，在網(wǎng)絡(luò)化、信息化進(jìn)程不可逆轉(zhuǎn)的形勢(shì)下，如何最大限度地減少或避免因信息泄漏、破壞所造成的經(jīng)濟(jì)損失，是擺在我們面前亟需妥善解決的一項(xiàng)具有重大戰(zhàn)略意義的課題。
??
??
??
??? 2 網(wǎng)絡(luò)面臨的安全威脅
??
??? 計(jì)算機(jī)網(wǎng)絡(luò)所面臨的威脅主要有對(duì)網(wǎng)絡(luò)中信息的威脅和對(duì)網(wǎng)絡(luò)中設(shè)備的威脅兩種。影響計(jì)算機(jī)網(wǎng)絡(luò)的因素有很多，其所面臨的威脅也就來(lái)自多個(gè)方面，主要有：
??
??? ①人為的失誤：如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識(shí)不強(qiáng)，用戶口令選擇不慎，用戶將自己的帳號(hào)隨意轉(zhuǎn)借他人或與別人共享都會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅；
??
??? ②信息截取:通過(guò)信道進(jìn)行信息的截取，獲取機(jī)密信息，或通過(guò)信息的流量分析，通信頻度、長(zhǎng)度分析，推出有用信息，這種方式不破壞信息的內(nèi)容，不易被發(fā)現(xiàn)。這種方式是在過(guò)去軍事對(duì)抗、政治對(duì)抗和當(dāng)今經(jīng)濟(jì)對(duì)抗中最常用的,也是最有效的方式；
??
??? ③內(nèi)部竊密和破壞：是指內(nèi)部或本系統(tǒng)的人員通過(guò)網(wǎng)絡(luò)竊取機(jī)密、泄漏或更改信息以及破壞信息系統(tǒng)。據(jù)美國(guó)聯(lián)邦調(diào)查局1997年9月進(jìn)行的一項(xiàng)調(diào)查顯示，70%的攻擊是從內(nèi)部發(fā)動(dòng)的，只有30%是從外部攻進(jìn)來(lái)的；
??
??? ④黑客攻擊：黑客已經(jīng)成為網(wǎng)絡(luò)安全的克星.近年來(lái)，特別是2000年2月7-9日,美國(guó)著名的雅虎、亞馬遜等8大頂級(jí)網(wǎng)站接連遭受來(lái)歷不明的電子攻擊，導(dǎo)致服務(wù)系統(tǒng)中斷，整個(gè)因特網(wǎng)使用率2d時(shí)間內(nèi)下降20%，這次攻擊給這些網(wǎng)站的直接損失達(dá)12億美元，間接經(jīng)濟(jì)損失高達(dá)10億美元；
??
??? ⑤技術(shù)缺陷:由于認(rèn)識(shí)能力和技術(shù)發(fā)展的局限性，在硬件和軟件設(shè)計(jì)過(guò)程中，難免留下技術(shù)缺陷，由此可造成網(wǎng)絡(luò)的安全隱患。其次，網(wǎng)絡(luò)硬件、軟件產(chǎn)品多數(shù)依靠進(jìn)口，如全球90%的微機(jī)都裝微軟的Windows操作系統(tǒng)，許多網(wǎng)絡(luò)黑客就是通過(guò)微軟操作系統(tǒng)的漏洞和后門而進(jìn)入網(wǎng)絡(luò)的,這方面的報(bào)道經(jīng)常見諸于報(bào)端；
??
??? ⑥病毒:從1988年報(bào)道的第一例病毒(蠕蟲病毒)侵入美國(guó)軍方互聯(lián)網(wǎng),導(dǎo)致8500臺(tái)計(jì)算機(jī)染毒和6500臺(tái)停機(jī),造成直接經(jīng)濟(jì)損失近1億美元,此后這類事情此起彼伏,從2001年紅色代碼到今年的沖擊波和震蕩波等病毒發(fā)作的情況看，計(jì)算機(jī)病毒感染方式已從單機(jī)的被動(dòng)傳播變成了利用網(wǎng)絡(luò)的主動(dòng)傳播，不僅帶來(lái)網(wǎng)絡(luò)的破壞，而且造成網(wǎng)上信息的泄漏，特別是在專用網(wǎng)絡(luò)上，病毒感染已成為網(wǎng)絡(luò)安全的嚴(yán)重威脅。另外，對(duì)網(wǎng)絡(luò)安全的威脅還包括自然災(zāi)害等不可抗力因素。
??
??? 以上對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安全威脅歸納起來(lái)常表現(xiàn)為一下特征:①竊聽:攻擊者通過(guò)監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)獲得敏感信息；②重傳:攻擊者先獲得部分或全部信息,而以后將此信息發(fā)送給接受者；③偽造:攻擊者將偽造的信息發(fā)送給接受者；④篡改:攻擊者對(duì)合法用戶之間的通訊信息進(jìn)行修改、刪除、插入，再發(fā)送給接受者；⑤拒絕服務(wù)攻擊：供給者通過(guò)某種方法使系統(tǒng)響應(yīng)減慢甚至癱瘓，組織合法用戶獲得服務(wù)；⑥行為否認(rèn)：通訊實(shí)體否認(rèn)已經(jīng)發(fā)生的行為；⑦非授權(quán)訪問(wèn)：沒有預(yù)先經(jīng)過(guò)同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源；⑧傳播病毒：通過(guò)網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒，其破壞性非常高，而且用戶很難防范。
??
??? 網(wǎng)絡(luò)安全目標(biāo)的最小集合為以下幾個(gè)方面：①身份真實(shí)性：能對(duì)通訊實(shí)體身份的真實(shí)性進(jìn)行鑒別；②信息機(jī)密性：保證機(jī)密信息不會(huì)泄露給非授權(quán)的人或?qū)嶓w；③信息完整性：保證數(shù)據(jù)的一致性，能夠防止數(shù)據(jù)被非授權(quán)用戶或?qū)嶓w建立、修改、破壞；④服務(wù)可用性：保證合法用戶對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)木芙^；⑤不可否認(rèn)型：建立有效的責(zé)任機(jī)制，防止實(shí)體否認(rèn)其行為；⑥系統(tǒng)可控性：能夠控制使用資源的人或?qū)嶓w的使用方式；⑦在滿足安全要求的條件下，系統(tǒng)應(yīng)當(dāng)操作簡(jiǎn)單、維護(hù)方便；⑧可審查性：對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題提供調(diào)查的依據(jù)和手段。
??
??? 3 主要網(wǎng)絡(luò)安全技術(shù)
??
??? 為了確保網(wǎng)絡(luò)信息的安全，在實(shí)際應(yīng)用中通常采用的安全技術(shù)有如下幾種。
??
??? 3.1 病毒防范技術(shù)
??
??? 計(jì)算機(jī)病毒實(shí)際上就是一種在計(jì)算機(jī)系統(tǒng)運(yùn)行過(guò)程中能夠?qū)崿F(xiàn)傳染和侵害計(jì)算機(jī)系統(tǒng)的功能程序。病毒經(jīng)過(guò)系統(tǒng)穿透或違反授權(quán)攻擊成功后，攻擊者通常要在系統(tǒng)中植入木馬或邏輯炸彈等程序，為以后攻擊系統(tǒng)、網(wǎng)絡(luò)提供方便條件。當(dāng)前的殺毒軟件正面臨著互聯(lián)網(wǎng)的挑戰(zhàn)。目前，世界上每天有13～50種新病毒出現(xiàn)，并且 60％的病毒都是通過(guò)互聯(lián)網(wǎng)來(lái)進(jìn)行傳播。為了能有效保護(hù)企業(yè)的信息資源，要求殺毒軟件能支持所有企業(yè)可能用到的互聯(lián)網(wǎng)協(xié)議及郵件系統(tǒng)，能適應(yīng)并及時(shí)跟上瞬息萬(wàn)變的時(shí)代步伐。在這些方面，國(guó)外的一些殺毒軟件如Norton、McAfee、熊貓衛(wèi)士等走在了前面。而國(guó)內(nèi)的大部分殺毒軟件大都專注在單機(jī)版殺毒上，雖然有部分廠商推出了網(wǎng)絡(luò)版的殺毒產(chǎn)品，只是在桌面端及文件服務(wù)器上進(jìn)行防護(hù)，防護(hù)范圍依然較窄，所以國(guó)內(nèi)殺毒廠商應(yīng)及早加強(qiáng)在網(wǎng)關(guān)或郵件服務(wù)器上的防護(hù)。只有有效截?cái)嗖《镜娜肟冢拍鼙苊馄髽I(yè)及用戶由于病毒的爆發(fā)而引起的經(jīng)濟(jì)損失。
??
??? 3.2 防火墻技術(shù)
??
??? 防火墻技術(shù)是通過(guò)對(duì)網(wǎng)絡(luò)作拓?fù)浣Y(jié)構(gòu)和服務(wù)類型上的隔離來(lái)加強(qiáng)網(wǎng)絡(luò)安全的一種手段。它所保護(hù)的對(duì)象是網(wǎng)絡(luò)中有明確閉合邊界的一個(gè)網(wǎng)塊，而它所防范的對(duì)象是來(lái)自被保護(hù)網(wǎng)塊外部的安全威脅。目前防火墻產(chǎn)品主要有如下幾種：①包過(guò)濾防火墻：通常安裝在路由器上，根據(jù)網(wǎng)絡(luò)管理員設(shè)定的訪問(wèn)控制清單對(duì)流經(jīng)防火墻信息包的IP源地址，IP目標(biāo)地址、封裝協(xié)議（如TCP/IP等）和端口號(hào)等進(jìn)行篩選。②代理服務(wù)器防火墻：包過(guò)濾技術(shù)可以通過(guò)對(duì)IP地址的封鎖來(lái)禁止未經(jīng)授權(quán)者的訪問(wèn)。但是它不太適合于公司用來(lái)控制內(nèi)部人員訪問(wèn)外界的網(wǎng)絡(luò)。對(duì)于有這樣要求的企業(yè)，可以采用代理服務(wù)器技術(shù)來(lái)加以實(shí)現(xiàn)。代理服務(wù)器通常由服務(wù)端程序和客戶端程序兩部分構(gòu)成，客戶端程序與中間節(jié)點(diǎn)（ProxyServer）連接，這樣，從外部網(wǎng)絡(luò)就只能看到代理服務(wù)器而看不到任何的內(nèi)部資源。因此，采用代理服務(wù)器技術(shù)要比單一的包過(guò)濾技術(shù)更為可靠，同時(shí)還會(huì)詳細(xì)地記錄下所有的訪問(wèn)記錄。不足之處在于由于它不允許用戶直接訪問(wèn)網(wǎng)絡(luò)，會(huì)導(dǎo)致合法用戶訪問(wèn)信息的速度變慢，此外要說(shuō)明的一點(diǎn)就是并非所有的互聯(lián)網(wǎng)應(yīng)用軟件都支持代理服務(wù)器技術(shù)。③狀態(tài)監(jiān)視防火墻：通過(guò)檢測(cè)模塊（一個(gè)能夠在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎）對(duì)相關(guān)數(shù)據(jù)的監(jiān)測(cè)后，從中抽取部分?jǐn)?shù)據(jù)（即狀態(tài)信息），并將其動(dòng)態(tài)地保存起來(lái)作為以后制定安全決策的參考。檢測(cè)模塊能支持多種協(xié)議和應(yīng)用程序，并可容易地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。采用狀態(tài)監(jiān)視器技術(shù)后，當(dāng)用戶的訪問(wèn)到達(dá)網(wǎng)關(guān)操作系統(tǒng)之前，狀態(tài)監(jiān)視器要對(duì)訪問(wèn)請(qǐng)求抽取有關(guān)數(shù)據(jù)結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定進(jìn)行分析，以做出接納、拒絕、鑒定或給該通信加密等的決定。一旦某個(gè)訪問(wèn)違反了上述安全規(guī)定，安全報(bào)警器就會(huì)拒絕該訪問(wèn)，并向系統(tǒng)管理器報(bào)告網(wǎng)絡(luò)狀態(tài)。但它的配置非常復(fù)雜，而且會(huì)降低網(wǎng)絡(luò)信息的傳輸速度。
??
??? 3.3 加密型技術(shù)
??
??? 以數(shù)據(jù)加密為基礎(chǔ)的網(wǎng)絡(luò)安全系統(tǒng)的特征是：通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的可靠加密來(lái)保護(hù)網(wǎng)絡(luò)系統(tǒng)中（包括用戶數(shù)據(jù)在內(nèi)）的所有數(shù)據(jù)流，從而在不對(duì)網(wǎng)絡(luò)環(huán)境作任何特殊要求的前提下，從根本上解決了網(wǎng)絡(luò)安全的兩大要求（即網(wǎng)絡(luò)服務(wù)的可用性和信息的完整性）。采用加密技術(shù)網(wǎng)絡(luò)系統(tǒng)的優(yōu)點(diǎn)在于：不僅不需要特殊網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的支持，而且在數(shù)據(jù)傳輸過(guò)程中也不會(huì)對(duì)所經(jīng)過(guò)網(wǎng)絡(luò)路徑的安全程度作出要求，從而真正實(shí)現(xiàn)了網(wǎng)絡(luò)通信過(guò)程端到端的安全保障。預(yù)計(jì)在未來(lái)3～5年內(nèi)，采用加密技術(shù)的網(wǎng)絡(luò)安全系統(tǒng)有希望成為網(wǎng)絡(luò)安全的主要實(shí)現(xiàn)方式。加密技術(shù)按加密密鑰與解密密鑰的對(duì)稱性可分為對(duì)稱型加密、不對(duì)稱型加密、不可逆加密。在網(wǎng)絡(luò)傳輸中，加密技術(shù)是一種效率高而又靈活的安全手段，但是由于大部分?jǐn)?shù)據(jù)加密算法都源于美國(guó)，且受到美國(guó)出口管制法的限制，無(wú)法在互聯(lián)網(wǎng)上大規(guī)模使用，從而限制了以加密技術(shù)為基礎(chǔ)網(wǎng)絡(luò)安全解決方案的應(yīng)用。
??
??? 3.4 入侵檢測(cè)技術(shù)
??
??? 入侵檢測(cè)技術(shù)主要分成兩大類型:①異常入侵檢測(cè)：是指能夠根據(jù)異常行為和使用計(jì)算機(jī)資源情況檢測(cè)出來(lái)的入侵.異常入侵檢測(cè)試圖用定量方式描述可接受的行為特征,以區(qū)分非正常的、潛在的入侵性行為。異常入侵要解決的問(wèn)題就是構(gòu)造異常活動(dòng)集并從中發(fā)現(xiàn)入侵性活動(dòng)子集。異常入侵檢測(cè)方法依賴于異常模型的建立,不同模型構(gòu)成不同的檢測(cè)方法。異常檢測(cè)是通過(guò)觀測(cè)到的一組測(cè)量值偏離度來(lái)預(yù)測(cè)用戶行為的變化,然后作出決策判斷的檢測(cè)技術(shù)②誤用入侵檢測(cè):是指利用已知系統(tǒng)和應(yīng)用軟件的弱點(diǎn)攻擊模式來(lái)檢測(cè)入侵。誤用入侵檢測(cè)的主要假設(shè)是具有能夠被精確地按某種方式編碼的攻擊,并可以通過(guò)捕獲攻擊及重新整理,確認(rèn)入侵活動(dòng)是基于同一弱點(diǎn)進(jìn)行攻擊的入侵方法的變種.誤用入侵檢測(cè)指的是通過(guò)按預(yù)先定義好的入侵模式以及觀察到入侵發(fā)生的情況進(jìn)行模式匹配來(lái)檢測(cè).入侵模式說(shuō)明了那些導(dǎo)致安全突破或其他誤用的事件中的特征、條件、排列和關(guān)系。一個(gè)不完整的模式可能表明存在入侵的企圖。
??
??? 3.5 網(wǎng)絡(luò)安全掃描技術(shù)
??
??? 網(wǎng)絡(luò)安全掃描技術(shù)主要包含：①端口掃描技術(shù)：端口掃描向目標(biāo)主機(jī)的Tcp/Ip服務(wù)端口發(fā)送探測(cè)數(shù)據(jù)包，并記錄目標(biāo)主機(jī)的響應(yīng)。通過(guò)分析響應(yīng)來(lái)判斷服務(wù)端口是打開還是關(guān)閉，就可以得知端口提供的服務(wù)或信息。端口掃描也可以通過(guò)捕獲本地主機(jī)或服務(wù)器的流入流出Ip數(shù)據(jù)包來(lái)監(jiān)視本地主機(jī)的運(yùn)行情況，它僅能對(duì)接收到的數(shù)據(jù)進(jìn)行分析，幫助我們發(fā)現(xiàn)目標(biāo)主機(jī)的某些內(nèi)在的弱點(diǎn)，而不會(huì)提供進(jìn)入一個(gè)系統(tǒng)的詳細(xì)步驟；②漏洞掃描技術(shù)：漏洞掃描主要通過(guò)以下兩種方法來(lái)檢查目標(biāo)主機(jī)是否存在漏洞：在端口掃描后得知目標(biāo)主機(jī)開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫(kù)進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在；通過(guò)模擬黑客的攻擊手法，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測(cè)試弱勢(shì)口令等。若模擬攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。
??
??? 除了以上介紹的幾種網(wǎng)絡(luò)安全技術(shù)之外，還有一些被廣泛應(yīng)用的安全技術(shù)，如身份驗(yàn)證、存取控制、安全協(xié)議等。
0
| 評(píng)論

?