摘要:眾所周知,作為全球使用範圍最大的信息網,Internet自身協議的開放性極大地方便了各種聯網的計算機,拓寬了***享資源。但是,由於在早期網絡協議設計上對安全問題的忽視,以及在管理和使用上的無政府狀態,逐漸使Internet自身安全受到嚴重威脅,與它有關的安全事故屢有發生。對網絡信息安全的威脅主要表現在:非授權訪問,冒充合法用戶,破壞數據完整性,幹擾系統正常運行,利用網絡傳播病毒,線路竊聽等方面。
本文主要介紹了有關網絡信息安全的基礎知識:網絡信息安全的脆弱性體現、網絡信息安全的關鍵技術、常見攻擊方法及對策、安全網絡的建設。並提出和具體闡述自己針對這些問題的對策。隨著網絡技術的不斷發展,網絡信息安全問題終究會得到解決。
關鍵詞:網絡信息安全 防火墻 數據加密 內部網
隨著計算機技術的飛速發展,信息網絡已經成為社會發展的重要保證。信息網絡涉及到國家的政府、軍事、文教等諸多領域,存儲、傳輸和處理的許多信息是政府宏觀調控決策、商業經濟信息、銀行資金轉賬、股票證券、能源資源數據、科研數據等重要的信息。其中有很多是敏感信息,甚至是國家機密,所以難免會吸引來自世界各地的各種人為攻擊(例如信息泄漏、信息竊取、數據篡改、數據刪添、計算機病毒等)。通常利用計算機犯罪很難留下犯罪證據,這也大大刺激了計算機高技術犯罪案件的發生。計算機犯罪率的迅速增加,使各國的計算機系統特別是網絡系統面臨著很大的威脅,並成為嚴重的社會問題之壹。
網絡信息安全是壹個關系國家安全和主權、社會穩定、民族文化繼承和發揚的重要問題。其重要性,正隨著全球信息化步伐的加快越來越重要。網絡信息安全是壹門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。它主要是指網絡系統的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷。
本文從網絡信息安全的脆弱性、網絡安全的主要技術、常見網絡攻擊方法及對策、網絡安全建設等方面剖析了當前網絡信息安全存在的主要問題,並對常見網絡攻擊從技術層面提出了解決方案,希望通過網絡安全建設逐步消除網絡信息安全的隱患。
壹、網絡信息安全的脆弱性
因特網已遍及世界180多個國家,為億萬用戶提供了多樣化的網絡與信息服務。在因特網上,除了原來的電子郵件、新聞論壇等文本信息的交流與傳播之外,網絡電話、網絡傳真、靜態及視頻等通信技術都在不斷地發展與完善。在信息化社會中,網絡信息系統將在政治、軍事、金融、商業、交通、電信、文教等方面發揮越來越大的作用。社會對網絡信息系統的依賴也日益增強。各種各樣完備的網絡信息系統,使得秘密信息和財富高度集中於計算機中。另壹方面,這些網絡信息系統都依靠計算機網絡接收和處理信息,實現相互間的聯系和對目標的管理、控制。以網絡方式獲得信息和交流信息已成為現代信息社會的壹個重要特征。網絡正在逐步改變人們的工作方式和生活方式,成為當今社會發展的壹個主題。
然而,伴隨著信息產業發展而產生的互聯網和網絡信息的安全問題,也已成為各國政府有關部門、各大行業和企事業領導人關註的熱點問題。目前,全世界每年由於信息系統的脆弱性而導致的經濟損失逐年上升,安全問題日益嚴重。面對這種現實,各國政府有關部門和企業不得不重視網絡安全的問題。
互聯網安全問題為什麽這麽嚴重?這些安全問題是怎麽產生的呢?綜合技術和管理等多方面因素,我們可以歸納為四個方面:互聯網的開放性、自身的脆弱性、攻擊的普遍性、管理的困難性。
(壹)互聯網是壹個開放的網絡,TCP/IP是通用的協議
各種硬件和軟件平臺的計算機系統可以通過各種媒體接入進來,如果不加限制,世界各地均可以訪問。於是各種安全威脅可以不受地理限制、不受平臺約束,迅速通過互聯網影響到世界的每壹個角落。
(二)互聯網的自身的安全缺陷是導致互聯網脆弱性的根本原因
互聯網的脆弱性體現在設計、實現、維護的各個環節。設計階段,由於最初的互聯網只是用於少數可信的用戶群體,因此設計時沒有充分考慮安全威脅,互聯網和所連接的計算機系統在實現階段也留下了大量的安全漏洞。壹般認為,軟件中的錯誤數量和軟件的規模成正比,由於網絡和相關軟件越來越復雜,其中所包含的安全漏洞也越來越多。互聯網和軟件系統維護階段的安全漏洞也是安全攻擊的重要目標。盡管系統提供了某些安全機制,但是由於管理員或者用戶的技術水平限制、維護管理工作量大等因素,這些安全機制並沒有發揮有效作用。比如,系統的缺省安裝和弱口令是大量攻擊成功的原因之壹。
(三)互聯網威脅的普遍性是安全問題的另壹個方面
隨著互聯網的發展,攻擊互聯網的手段也越來越簡單、越來越普遍。目前攻擊工具的功能卻越來越強,而對攻擊者的知識水平要求卻越來越低,因此攻擊者也更為普遍。
(四)管理方面的困難性也是互聯網安全問題的重要原因
具體到壹個企業內部的安全管理,受業務發展迅速、人員流動頻繁、技術更新快等因素的影響,安全管理也非常復雜,經常出現人力投入不足、安全政策不明等現象。擴大到不同國家之間,雖然安全事件通常是不分國界的,但是安全管理卻受國家、地理、政治、文化、語言等多種因素的限制。跨國界的安全事件的追蹤就非常困難。
二、網絡安全的主要技術
(壹)防火墻技術
“防火墻”是壹種形象的說法,其實它是壹種由計算機硬件和軟件的組合,使互聯網與內部網之間建立起壹個安全網關(securitygateway),從而保護內部網免受非法用戶的侵入,它其實就是壹個把互聯網與內部網(通常指局域網或城域網)隔開的屏障。
1.防火墻的技術實現
防火墻的技術實現通常是基於所謂“包過濾”技術,而進行包過濾的標準通常就是根據安全策略制定的。在防火墻產品中,包過濾的標準壹般是靠網絡管理員在防火墻設備的訪問控制清單中設定。訪問控制壹般基於的標準有:包的源地址、包的目的地址、連接請求的方向(連入或連出)、數據包協議(如TCP/IP等)以及服務請求的類型(如ftp、www等)等。
防火墻還可以利用代理服務器軟件實現。早期的防火墻主要起屏蔽主機和加強訪問控制的作用,現在的防火墻則逐漸集成了信息安全技術中的最新研究成果,壹般都具有加密、解密和壓縮、解壓等功能,這些技術增加了信息在互聯網上的安全性。現在,防火墻技術的研究已經成為網絡信息安全技術的主導研究方向。
2.防火墻的特性
從物理上說,防火墻就是放在兩個網絡之間的各種系統的集合,這些組建具有以下特性:
(1)所有從內到外和從外到內的數據包都要經過防火墻;
(2)只有安全策略允許的數據包才能通過防火墻;
(3)防火墻本身應具有預防侵入的功能,防火墻主要用來保護安全網絡免受來自不安全的侵入。
3.防火墻的使用
網絡的安全性通常是以網絡服務的開放性、便利性、靈活性為代價的,對防火墻的設置也不例外。防火墻的隔斷作用壹方面加強了內部網絡的安全,壹方面卻使內部網絡與外部網絡的信息系統交流受到阻礙,因此必須在防火墻上附加各種信息服務的代理軟件來代理內部網絡與外部的信息交流,這樣不僅增大了網絡管理開銷,而且減慢了信息傳遞速率。針對這個問題,近期,美國網屏(NetScreen)技術公司推出了第三代防火墻,其內置的專用ASIC處理器用於提供硬件的防火墻訪問策略和數據加密算法的處理,使防火墻的性能大大提高。
需要說明的是,並不是所有網絡用戶都需要安裝防火墻。壹般而言,只有對個體網絡安全有特別要求,而又需要和Internet聯網的企業網、公司網,才建議使用防火墻。另外,防火墻只能阻截來自外部網絡的侵擾,而對於內部網絡的安全還需要通過對內部網絡的有效控制和管理來實現。
(二)數據加密技術
1.數據加密技術的含義
所謂數據加密技術就是使用數字方法來重新組織數據,使得除了合法受者外,任何其他人想要恢復原先的“消息”是非常困難的。這種技術的目的是對傳輸中的數據流加密,常用的方式有線路加密和端對端加密兩種。前者側重在線路上而不考慮信源與信宿,是對保密信息通過各線路采用不同的加密密鑰提供安全保護。後者則指信息由發送者端通過專用的加密軟件,采用某種加密技術對所發送文件進行加密,把明文(也即原文)加密成密文(加密後的文件,這些文件內容是壹些看不懂的代碼),然後進入TCP/IP數據包封裝穿過互聯網,當這些信息壹旦到達目的地,將由收件人運用相應的密鑰進行解密,使密文恢復成為可讀數據明文。
2.常用的數據加密技術
目前最常用的加密技術有對稱加密技術和非對稱加密技術。對稱加密技術是指同時運用壹個密鑰進行加密和解密,非對稱加密技術就是加密和解密所用的密鑰不壹樣,它有壹對密鑰,分別稱為“公鑰”和“私鑰”,這兩個密鑰必須配對使用,也就是說用公鑰加密的文件必須用相應人的私鑰才能解密,反之亦然。
3.數據加密技術的發展現狀
在網絡傳輸中,加密技術是壹種效率高而又靈活的安全手段,值得在企業網絡中加以推廣。目前,加密算法有多種,大多源於美國,但是會受到美國出口管制法的限制。現在金融系統和商界普遍使用的算法是美國的數據加密標準DES。近幾年來我國對加密算法的研究主要集中在密碼強度分析和實用化研究上。
(三)訪問控制
1.身份驗證
身份驗證是壹致性驗證的壹種,驗證是建立壹致性證明的壹種手段。身份驗證主要包括驗證依據、驗證系統和安全要求。身份驗證技術是在計算機中最早應用的安全技術,現在也仍在廣泛應用,它是互聯網信息安全的第壹道屏障。
2.存取控制
存取控制規定何種主體對何種客體具有何種操作權力。存取控制是網絡安全理論的重要方面,主要包括人員限制、數據標識、權限控制、類型控制和風險分析。存取控制也是最早采用的安全技術之壹,它壹般與身份驗證技術壹起使用,賦予不同身份的用戶以不同的操作權限,以實現不同安全級別的信息分級管理。
三、常見網絡攻擊方法及對策
網絡中的安全漏洞無處不在。即便舊的安全漏洞補上了,新的安全漏洞又將不斷湧現。網絡攻擊正是利用這些存在的漏洞和安全缺陷對系統和資源進行攻擊。
(壹)網絡攻擊的步驟
1.隱藏自己的位置
普通攻擊者都會利用別人的電腦隱藏他們真實的IP地址。老練的攻擊者還會利用800電話的無人轉接服務聯接ISP,然後再盜用他人的帳號上網。
2.尋找目標主機並分析目標主機
攻擊者首先要尋找目標主機並分析目標主機。在Internet上能真正標識主機的是IP地址,域名是為了便於記憶主機的IP地址而另起的名字,只要利用域名和IP地址就可以順利地找到目標主機。此時,攻擊者們會使用壹些掃描器工具,輕松獲取目標主機運行的是哪種操作系統的哪個版本,系統有哪些帳戶,WWW、FTP、Telnet、SMTP等服務器程序是何種版本等資料,為入侵作好充分的準備。
3.獲取帳號和密碼,登錄主機
攻擊者要想入侵壹臺主機,首先要有該主機的壹個帳號和密碼,否則連登錄都無法進行。這樣常迫使他們先設法盜竊帳戶文件,進行破解,從中獲取某用戶的帳戶和口令,再尋覓合適時機以此身份進入主機。當然,利用某些工具或系統漏洞登錄主機也是攻擊者常用的壹種技法。
4.獲得控制權
攻擊者們用FTP、Telnet等工具利用系統漏洞進入目標主機系統獲得控制權之後,就會做兩件事:清除記錄和留下後門。他會更改某些系統設置、在系統中置入特洛伊木馬或其他壹些遠程操縱程序,以便日後可以不被覺察地再次進入系統。大多數後門程序是預先編譯好的,只需要想辦法修改時間和權限就可以使用了,甚至新文件的大小都和原文件壹模壹樣。攻擊者壹般會使用rep傳遞這些文件,以便不留下FTB記錄。清除日誌、刪除拷貝的文件等手段來隱藏自己的蹤跡之後,攻擊者就開始下壹步的行動。
5.竊取網絡資源和特權
攻擊者找到攻擊目標後,會繼續下壹步的攻擊。如:下載敏感信息;實施竊取帳號密碼、信用卡號等經濟偷竊;使網絡癱瘓。
(二)網絡攻擊的常見方法
1.口令入侵
所謂口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機,然後再實施攻擊活動。這種方法的前提是必須先得到該主機上的某個合法用戶的帳號,然後再進行合法用戶口令的破譯。
2.放置特洛伊木馬程序
特洛伊木馬程序可以直接侵入用戶的電腦並進行破壞,它常被偽裝成工具程序或者遊戲等誘使用戶打開帶有特洛伊木馬程序的郵件附件或從網上直接下載,壹旦用戶打開了這些郵件的附件或者執行了這些程序之後,它們就會象古特洛伊人在敵人城外留下的藏滿士兵的木馬壹樣留在自己的電腦中,並在自己的計算機系統中隱藏壹個可以在windows啟動時悄悄執行的程序。當您連接到因特網上時,這個程序就會通知攻擊者,來報告您的IP地址以及預先設定的端口。攻擊者在收到這些信息後,再利用這個潛伏在其中的程序,就可以任意地修改妳的計算機的參數設定、復制文件、窺視妳整個硬盤中的內容等,從而達到控制妳的計算機的目的。
3.WWW的欺騙技術
在網上用戶可以利用IE等瀏覽器進行各種各樣的WEB站點的訪問,如閱讀新聞組、咨詢產品價格、訂閱報紙、電子商務等。然而壹般的用戶恐怕不會想到有這些問題存在:正在訪問的網頁已經被黑客篡改過,網頁上的信息是虛假的!例如黑客將用戶要瀏覽的網頁的URL改寫為指向黑客自己的服務器,當用戶瀏覽目標網頁的時候,實際上是向黑客服務器發出請求,那麽黑客就可以達到欺騙的目的了。