doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。
网络安全方面的新发展、新技术、新方法及其应用论 在计算机上处理业务已由单机处理功能发展到面向内部局域网、 全 随着计算机技术的发展, 球互联网的世界范围内的信息共享和业务处理功能。 在信息处理能力提高的同时, 基于网络 连接的安全问题也日益突出,探讨了网络安全的现状及问题由来以及几种主要网络安全技 术。 随着计算机网络的发展,其开放性,共享性,互连程度扩大,网络的重要性和对社会的 影响也越来越大。而网络安全问题显得越来越重要了。国际标准化组织(ISO)将“计算机 安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软 件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”,上述计算机安全的定义包含物理 安全和逻辑安全两方面的内容, 其逻辑安全的内容可理解为我们常说的信息安全, 是指对信 息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全 是对网络信息保密性、完整性和可用性的保护。 一、网络的开放性带来的安全问题 众所周知,Internet 是开放的,而开放的信息系统必然存在众多潜在的安全隐患,黑客 和反黑客、破坏和反破坏的斗争仍将继续。在这样的斗争中,安全技术作为一个独特的领域 越来越受到全球网络建设者的关注。为了解决这些安全问题,各种安全机制、策略和工具被 研究和应用。然而,即使在使用了现有的安全工具和机制的情况下,网络的安全仍然存在很 大隐患,这些安全隐患主要可以归结为以下几点: (一)每一种安全机制都有一定的应用范围和应用环境 防火墙是一种有效的安全工具, 它可以隐蔽内部网络结构, 限制外部网络到内部网络的 访问。但是对于内部网络之间的访问,防火墙往往是无能为力的。因此,对于内部网络到内 部网络之间的入侵行为和内外勾结的入侵行为,防火墙是很难发觉和防范的。 (二)安全工具的使用受到人为因素的影响 一个安全工具能不能实现期望的效果, 在很大程度上取决于使用者, 包括系统管理者和 普通用户,不正当的设置就会产生不安全因素。例如,NT 在进行合理的设置后可以达到 C2 级的安全性,但很少有人能够对 NT 本身的安全策略进行合理的设置。虽然在这方面,可以 通过静态扫描工具来检测系统是否进行了合理的设置, 但是这些扫描工具基本上也只是基于 一种缺省的系统安全策略进行比较, 针对具体的应用环境和专门的应用需求就很难判断设
置 的正确性。 (三)系统的后门是传统安全工具难于考虑到的地方 防火墙很难考虑到这类安全问题, 多数情况下这类入侵行为可以堂而皇之经过防火墙而 很难被察觉。 比如说, 众所周知的 ASP 源码问题, 这个问题在 IIS 服务器 4.0 以前一直存在, 它是 IIS 服务的设计者留下的一个后门, 任何人都可以使用浏览器从网络上方便地调出 ASP 程序的源码,从而可以收集系统信息,进而对系统进行攻击。对于这类入侵行为,防火墙是 无法发觉的,因为对于防火墙来说,该入侵行为的访问过程和正常的 WEB 访问是相似的, 唯一区别是入侵访问在请求链接中多加了一个后缀。 (四)只要有程序,就可能存在 BUG
甚至连安全工具本身也可能存在安全的漏洞。几乎每天都有新的 BUG 被发现和公布出 来,程序设计者在修改已知的 BUG 的同时又可能使它产生了新的 BUG。系统的 BUG 经常 被黑客利用,而且这种攻击通常不会产生日志,几乎无据可查。比如说现在很多程序都存在 内存溢出的 BUG,现有的安全工具对于利用这些 BUG 的攻击几乎无法防范。 (五)黑客的攻击手段在不断地更新,几乎每天都有不同系统安全问题出现 然而安全工具的更新速度太慢, 绝大多数情况需要人为的参与才能发现以前未知的安全 问题, 这就使得它们对新出现的安全问题总是反应太慢。 当安全工具刚发现并努力更正某方 面的安全问题时,其他的安全问题又出现了。因此,黑客总是可以使用先进的、安全工具不 知道的手段进行攻击。 二、网络安全的主要技术 安全是网络赖以生存的保障,只有安全得到保障,网络才能实现自身的价值。网络安全 技术随着人们网络实践的发展而发展,其涉及的技术面非常广,主要的技术如认证、加密、 防火墙及入侵检测是网络安全的重要防线。 (一)认证 对合法用户进行认证可以防止非法用户获得对公司信息系统的访问, 使用认证机制还可 以防止合法用户访问他们无权查看的信息。 (二)数据加密 加密就是通过一种方式使信息变得混乱, 从而使未被授权的人看不懂它。 主要存在两种 主要的加密类型:私匙加密和公匙加密。 1.私匙加密。私匙加密又称对称密匙加密,因为用来加密信息的密匙就是解密信息所使 用的密匙。私匙加密为信息提供了进一步的紧密性,它不提供认证,因为使用该密匙的任何 人都可以创建、加密和平共处送一条有效的消息。这种加密方法的优点是速度很快,很容易 在硬件和软件中实现。 2.公匙加密。公匙加密比私匙加密出现得晚,私匙加密使用同一个密匙加密和解密,而 公匙加密使用两个密匙,一个用于加
密信息,另一个用于解密信息。公匙加密系统的缺点是 它们通常是计算密集的,因而比私匙加密系统的速度慢得多,不过若将两者结合起来,就可 以得到一个更复杂的系统。 (三)防火墙技术 防火墙是网络访问控制设备, 用于拒绝除了明确允许通过之外的所有通信数据, 它不同 于只会确定网络信息传输方向的简单路由器, 而是在网络传输通过相关的访问站点时对其实 施一整套访问策略的一个或一组系统。 大多数防火墙都采用几种功能相结合的形式来保护自 己的网络不受恶意传输的攻击,其中最流行的技术有静态分组过滤、动态分组过滤、状态过 滤和代理服务器技术,它们的安全级别依次升高,但具体实践中既要考虑体系的性价比,又 要考虑安全兼顾网络连接能力。此外,现今良好的防火墙还采用了 VPN、检视和入侵检测 技术。 防火墙的安全控制主要是基于 IP 地址的,难以为用户在防火墙内外提供一致的安全策 略;而且防火墙只实现了粗粒度的访问控制,也不能与企业内部使用的其他安全机制(如访 问控制)集成使用;另外,防火墙难于管理和配置,由多个系统(路由器、过滤器、代理服
务器、网关、保垒主机)组成的防火墙,管理上难免有所疏忽。 (四)入侵检测系统 入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系 统中未 授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。 在入侵检测系统中利用审计记录, 入侵检测系统能够识别出任何不希望有的活动, 从而达到 限制这些活动,以保护系统的安全。在校园网络中采用入侵检测技术,最好采用混合入侵检 测, 在网络中同时采用基于网络和基于主机的入侵检测系统, 则会构架成一套完整立体的主 动防御体系。 (五)虚拟专用网(VPN)技术 VPN 是目前解决信息安全问题的一个最新、最成功的技术课题之一,所谓虚拟专用网 (VPN)技术就是在公共网络上建立专用网络,使数据通过安全的“加密管道”在公共网络中 传播。用以在公共通信网络上构建 VPN 有两种主流的机制,这两种机制为路由过滤技术和 隧道技术。目前 VPN 主要采用了如下四项技术来保障安全:隧道技术(Tunneling)、加解密 技术(Encryption & Decryption)、密匙管理技术(Key Management)和使用者与设备身份认证 技术(Authentication)。其中几种流行的隧道技术分别为 PPTP、L2TP 和 Ipsec。VPN 隧道机 制应能技术不同层次的安全服务, 这些安全服务包括不同强度的源鉴别、 数据加密和数据完 整性等。VPN 也有几种分类方法,如按接入方式分成专线 VPN 和拨
号 VPN;按隧道协议可 分为第二层和第三层的;按发起方式可分成客户发起的和服务器发起的。 (六)其他网络安全技术 1.智能卡技术,智能卡技术和加密技术相近,其实智能卡就是密匙的一种媒体,由授 权用户持有并由该用户赋与它一个口令或密码字, 该密码字与内部网络服务器上注册的密码 一致。智能卡技术一般与身份验证联合使用。 2.安全脆弱性扫描技术,它为能针对网络分析系统当前的设置和防御手段,指出系统 存在或潜在的安全漏洞,以改进系统对网络入侵的防御能力的一种安全技术。 3.网络数据存储、备份及容灾规划,它是当系统或设备不幸遇到灾难后就可以迅速地 恢复数据,使整个系统在最短的时间内重新投入正常运行的一种安全技术方案。 4.IP 盗用问题的解决。在路由器上捆绑 IP 和 MAC 地址。当某个 IP 通过路由器访问 Internet 时,路由器要检查发出这个 IP 广播包的工作站的 MAC 是否与路由器上的 MAC 地 址表相符,如果相符就放行。否则不允许通过路由器,同时给发出这个 IP 广播包的工作站 返回一个警告信息。 5.Web,Email,BBS 的安全监测系统。在网络的 www 服务器、Email 服务器等中使 用网络安全监测系统,实时跟踪、监视网络, 截获 Internet 网上传输的内容,并将其还原 成完整的 www、Email、FTP、Telnet 应用的内容 ,建立保存相应记录的数据库。及时发现 在网络上传输的非法内容,及时向上级安全网管中心报告,采取措施。