网络信息安全与防范.docx
《网络信息安全与防范.docx》由会员分享,可在线阅读,更多相关《网络信息安全与防范.docx(7页珍藏版)》请在冰豆网上搜索。
网络信息安全与防范
网络信息安全与防范
摘要
随着Internet技术不断的进步,网络已经深入社会的各个领域、各个方面。
人们在享受极大的便利的同时,也逐渐对开放互联的网络系统产生依赖。
然而,信息资源共享与信息安全天生是一对矛盾,所以更为有必要加强自己的安全意识。
试论计算机网络安全问题是本着实现系统安全为目的,按照实践中的程序和方法,对网络中的“危险”要素进行了定量分析、并给出相应的解决方案。
安全需求正经历着从信息安全到信息保障的转变。
传统的被动防护已不能适应当前的安全形势,主动性网络安全理论应运而生.
关键词
密码学,入侵,漏洞,安全,木马
一、网络与信息安全技术的目标
1.网络信息安全的概念
由于互联的开放性、连通性和自由性,用户在享受各类共有信息资源的同时也存在着自己的机密信息可能被侵犯或者被恶意破坏的危险。
信息安全的目标就是保护有可能被侵犯或破坏的机密信息不受外来非法操作者的控制。
需要保护的内容有:
信息与数据,信息与数据的处理服务,通信设备和通信设施。
具体要达到以下目标:
(1)保密性:
不能向非授权用户或过程泄露信息和数据。
(2)完整性:
信息和数据不能被非授权用户或过程利用、修改和删除。
(3)可用性:
当授权用户或过程使用时,保证信息和数据可以合法地被使用。
(4)可控性:
信息和数据被合法使用时,保证可以控制授权用户或过程的使用方法和权限。
2.网络系统安全
当信息在网络上传输和共享时,还要做到网络系统的安全。
要保证系统的安全正常运行,避免因为网络系统的崩溃和损坏而造成信息和数据的丢失;要保证信息和数据在网络上的安全传输,避免非法用户的窃听和入侵,避免传输中的电磁泄漏而造成的信息外泄;要保证网络上所传输的信息内容的安全,实施信息过滤技术,避免有害信息在网络上的传输。
二、网络信息安全问题的成因及其表现
信息网络安全的威胁可能来自:
系统自身、内部人员泄密、网络黑客、计算机病毒等。
这些因素都可以造成非常严重的安全问题,如商业、军事等重要信息的失窃;有用数据被恶意破坏,网上犯罪的频频发生;病毒的传播,甚至机器软、硬件的损坏等等。
1.其原因可能造成
(1)网络协议存在漏洞。
通信协议和通信软件系统不完善,给各种不安全因素的入侵留下了隐患。
(2)网络的开放性和广域性设计使得数据的保密难度增大。
这其中还包括由网络自身的布线以及通信质量而引起的安全问题。
(3)无线系统中的电磁泄露。
无线通信系统中的数据以电磁波的形式在空中进行传播,存在电磁波泄露,且易被截获。
(4)计算机病毒的存在。
大量涌现的病毒在网上极快地传播,对全球范围的网络安全带来了巨大灾难。
(5)网络黑客。
侵入网络的黑客恶意窃取、篡改和损坏数据,对网络构成极大威胁。
(6)网络内部人员泄密。
其中有安全意识缺乏无意识的泄密人员,也有利用自己的合法身份进入网络,进行有目的破坏的人员。
(7)网上犯罪人员对网络的非法使用及破坏。
(8)信息安全防范技术和管理制度的不健全。
(9)自然灾害以及意外事故的损害等。
2.对因特网安全构成威胁的常见破坏方法表现为以下几个方面
(1)利用TCP/IP直接破坏。
利用TCP连接时提供的服务器序列号来非法入侵;捕获网络传输时的IP数据包,进行恶意篡改后重新发送,达到破坏的目的。
(2)利用操作系统间接登陆入侵。
利用主机上操作系统的漏洞,取得非法管理的特权,从而登陆到远程计算机上进行数据破坏。
如利用Unix中开放的Telent服务器进行非法远程登陆。
(3)对用户计算机中的系统内置文件进行有目的的更改,通过黑客软件非法获取用户的有用数据。
如臭名昭著的“特洛伊木马”程序。
(4)利用路径可选实施欺骗。
网络中的源计算机发送信息时,利用IP源路径的选项,通过特定的路径,强制把非法数据传送到远程计算机,进行恶意破坏。
(5)使用窃听装置或监视工具对所传播的信息进行非法检测和监听。
三、网络信息安全的防范技术
随着网络规模越来越大,越来越开放,其安全性将随之变得难以控制。
目前普通采用的防范技术有:
利用操作系统、数据库、电子邮件、应用系统本身的安全性,对用户进行权限控制;在局域网的桌面工作站上部署防毒软件;在Internet系统与Internet连接处部署防火墙;在广域网上采用加密传输某些行业的关键业务,而其它业务采用明文传输等。
1.火墙控制
作为Internet环境下的一种特有网络技术,防火墙是指在两个网络之间访问控制的一整套装置,也可以说,防火墙是在内部和外网之间构造一个保护层,强制所有的访问或连接都必须经过这一保护层,并在此进行检查和连接。
防火墙按其工作方式可分为包过滤防火墙和应用代理防火墙。
包过滤防火墙的优点是易于实现,配置容易,对用户透明,缺点是审计日志记录能力差,规则表大而杂,容易出现差错且不便测试,适用于小型不太复杂的站点过滤,一般不单独用于防火墙系统。
应用代理防火墙,它作用在应用层,其特点是完全隔断了网络通信流,通过对每种应用服务编制专门的代理程序,实现监制和控制应用层通信流的作用。
传统应用代理防火墙的基本策略是:
(1)不许外部主机主动连接到内部安全网络;
(2)允许内部主机使用代理服务器访问Internet主机。
由于将内部子网与Internet物理隔离,在网络层不转发数据包,内外网的主机不能直接通信,因此防火墙存在的漏洞的可能性最小,被认为是目前最安全的防火墙。
然而,它缺乏灵活性,不利于网络新业务的开展。
2.络的权限控制
网络的权限控制是指对网络非法操作所提出的一种安全保护措施。
用户和用户组被赋予一定的权限。
网络控制用户和用户组可以访问哪些目录、子目录、文件和其它资源。
根据访问权限将用户分为以下几类:
(1)特殊用户(即系统管理员);
(2)一般用户,系统管理员根据他们的实际需要为他们分配操作权限;
(3)审计用户,负责网络的安全控制与资源使用情况的审计。
用户对资源的访问权限可以用一个访问控制表来描述。
3.录安全控制
用户对文件或目录的有效权限取决于以下两个因素:
用户的受托者指派,用户所在组的受托者指派、继承权限屏蔽取消的用户权限。
用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。
访问权限能有效的控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。
4.性安全控制
使用文件、目录和网络设备时,网络系统管理员给文件、目录等指定访问属性。
属性安全控制将给定的属性与网络服务器的文件、目录和网络设备联系起来。
属性安全在权限安全的基础上提供进一步的安全性。
网络上的资源预先标出一组安全性。
用户对网络资源的访问对应一张访问控制表,用以表明用户对网络资源的访问能力。
属性设置可以覆盖已经指定的任何受托指派和有效权限。
属性往往能控制以下几个方面的权限:
向某个文件写数据、拷贝一个文件、删除目录和文件、查看目录和文件等。
网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。
5.络服务器安全控制
网络可以在控制台上执行一系列操作。
用户用控制台可以装载模块与软件。
网络服务器的安全控制包括设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;设置服务器登陆时间、非法访问者检测和关闭的时间间隔。
6.据加密控制
数据加密是指将明文信息采取数学方法进行函数转换成为密文,只有特定接收方才能将其解密还原成为明文的过程,它是以密钥为基础的。
常用的方法有:
一种是对称加密,即用户使用同一个密钥加密和解密;典型的加密算法有数据加密标准美国的DES以及各种变形、欧洲的IDEA、RC4、RC5以及代换密码和转轮密码为代表的古典密码等。
对称密码的优点是有很强的保密性,且能接受时间的考验和非法攻击,但其密钥必须通过安全的途径传送。
因此,密钥管理成为系统安全的重要因素。
另一种是不对称加密,即用户使用两个不同的密钥分别进行加密和解密。
公开密钥密码算法是RAS。
它能抵抗到目前为止已知的所有密码攻击。
公钥密码的优点是可以适应网络的开放性要求,且密钥管理问题也较为简单,尤其可方便的实现数字签名和验证。
但其算法复杂。
加密数据的速率低。
7.网访问控制
入网访问控制为网络访问提供了第一层访问控制。
他控制哪些用户能够登录到服务器并获取网络资源,控制允许用户入网的时间以及在哪台工作站上入网。
用户的入网访问控制分为三个步骤:
用户名识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。
三道关卡中任意一关未过该用户便不能进入该网络。
8.字签名控制
数字签名是用来证实被认证对象是否名副其实,事件是否有效的一种过程。
并核实对象是否变化,以确保数据的真实性和完整性。
防止入侵者主动式攻击,如假冒、非法伪造、篡改信息。
接收者能够核实发送者,以防假冒;发送者无法抵赖自己所发的信息;除合法发信者外,其他人无法伪造信息;发生争执时,可由第三方做出仲裁。
目前,大多数电子交易采用这种安全技术。
9.络反病毒
由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力,因此计算机病毒的防范是网络安全性建设中重要的一环。
网络反病毒技术包括防病毒、检测病毒和消毒三种技术:
(1)预防病毒技术:
它通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。
这类技术有加密可执行程序、引导区保护、系统监控与读写控制。
(2)检测病毒控制:
它是通过计算机病毒的特征来进行判断的技术,如自身校验、关键字、文件长度的变化等。
(3)消毒技术:
它通过对计算机病毒的分析,开发出具有删除病毒程序并恢复原文件的软件。
网络反病毒技术的具体实现方法包括对网络服务器中的文件进行频繁的扫描和监测;在工作站中用防病毒芯片和对网络目录及文件设置访问权限等。
10.进的认征技术
先进的认证措施,如智能卡、认证令牌、生物统计学和基于软件的工具已被用来克服传统口令的弱点。
尽管认证技术各不相同,但它们产生的认证信息不能让通过非法监视连接的攻击者重新使用。
在目前黑客智能程度越来越高的情况下,访问Internet的防火墙,如果不使用先进认证装置或者不包含使用先进验证装置的挂接工具的话,这样的防火墙几乎是没有意义的。
当今使用的一些比较流行的先进认证令牌产生一个主系统可以用来取代传统口令的响应信号,由于智能卡或认证令牌是与系统上的软件或硬件协同工作的,因此,所产生的响应对每次注册都是独一无二的。
其结果是产生一种一次性口令。
这种口令即使被入侵者获得,也不可能被入侵者重新使用来获得某一帐户,非常有效的保护了Internet网络。
由于防火墙可以集中并控制网络的访问,因而防火墙是安全先进认证系统的合理场所。
。
四、网络安全的含义
网络安全从其本质来讲就是网络上信息安全,它涉及的领域相当广泛,这是因为目前的公用通信网络中存在着各式各样的安全漏洞和威胁。
广义上讲,凡是涉及到网络上信息的保密性、完整性、可用性和可控性的相关技术和理论,都是网络安全的研究领域。
网络安全是指网络系统的硬件,软件及数据受到保护,不遭受偶然或恶意的破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
且在不同环境和应用中又不同的解释。
1.运行系统安全
即保证信息处理和传输系统的安全,包括计算机系统机房环境和传输环境的法律保护、计算机结构设计的安全性考虑、硬件系统的安全运行、计算机操作系统和应用软件的安全、数据库系统的安全、电磁信息泄露的防御等。
2.网络上系统信息的安全
包括用户口令鉴别、用户存取权限控制、数据存取权限、方式控制、安全审计、安全问题跟踪、计算机病毒防治、数据加密等。
3.网络上信息传输的安全
即信息传播后果的安全、包括信息过滤、不良信息过滤等。
4.网络上信息内容的安全
即我们讨论的狭义的“信息安全”;侧重于保护信息的机密性、真实性和完整性。
本质上是保护用户的利益和隐私。
五、网络安全技术机制
1.网络安全技术机制包含以下内容
(1)加密和隐藏。
加密使信息改变,攻击者无法了解信息的内容从而达到保护;隐藏则是将有用信息隐藏在其他信息中,使攻击者无法发现。
(2)认证和授权。
网络设备之间应互认证对方的身份,以保证正确的操作权力赋予和数据的存取控制;同时网络也必须认证用户的身份,以授权保证合法的用户实施正确的操作。
(3)审计和定位。
通过对一些重要的事件进行记录,从而在系统中发现错误或受到攻击时能定位错误并找到防范失效的原因,作为内部犯罪和事故后调查取证的基础。
(4)完整性保证。
利用密码技术的完整性保护可以很好地对付非法篡改,当信息源的完整性可以被验证却无法模仿时,可提供不可抵赖服务。
(5)权限和存取控制:
针对网络系统需要定义的各种不同用户,根据正确的认证,赋予其适当的操作权力,限制其越级操作。
(6)任务填充:
在任务间歇期发送无用的具有良好模拟性能的随机数据,以增加攻击者通过分析通信流量和破译密码获得信息难度。
六、安全策略的实现流程
1.安全策略的实现涉及到以下及个主要方面
(1)证书管理。
主要是指公开密银证书的产生、分配更新和验证。
(2)密银管理。
包括密银的产生、协商、交换和更新,目的是为了在通信的终端系统之间建立实现安全策略所需的共享密银。
(3)安全协作。
是在不同的终端系统之间协商建立共同采用的安全策略,包括安全策略实施所在层次、具体采用的认证、加密算法和步骤、如何处理差错。
(4)安全算法实现:
具体算法的实现,如PES、RSA.
(5)安全策略数据库:
保存与具体建立的安全策略有关的状态、变量、指针
七、当前网络安全技术的发展趋势主要表现为:
1.由静态安全向动态安全转变
由于环境条件的不断变化,网络攻击技术也不断提高,也在时常更新。
因此,网络安全系统应具备快速反应能力和快速处理能力。
2.由组件安全向整体安全转变
信息网络安全是由多个安全组件来保证的,单个安全组件只能完成信息网络安全的部分功能。
信息网络的整体安全性并非由这些安全组件的简单堆砌而形成,必须将各种功能融为一体,才能确保网络安全。
3.注重安全速检环境建设
目前对安全产品的性能缺乏统一的标准,大多数测试方法均存在测试网络结构简单、操作复杂、无法重现、因素过少等缺点。
因此,需要加强测试环境的建设,建立一整套性能测试方案
参考文献
[1]信息与因特网安全防范技术.宽带网络与传输,2003;
[2]刘宏毅.分析与探讨网络防范技术.现代情报,2004;
[3]刘衍行.计算机安全技术[M].长春:
吉林科学技术出版杜,1997.
[4]徐济仁.谈计算机网络的安全[J].广播电视与教育,2002.1.
[5]贾晶.信息系统的安全与保密[M].北京:
清华大学出版杜,1999.
[6]网络信息资源的安全威胁与对策.情报学报,2001
[7]谢永强.国内信息网络安全技术发展现状与趋势.军队指挥自动化,2001;
[8]沈昌样.信息安全工程技术[J].计算机工程与科学,2002;24
[9]杨波编著.网络安全理论与应用[M].电子工业出版社,2002-01.
注释
1.安全套接字层(SSL):
由NetcapeCommunications公司开发的,用来向英特网会话提供具有安全性保密性的握手协议。
SSL支持服务器和客户机认证,能够协商加密密钥,并在交换任何数据之前认证服务器。
SSL使用加密、认证和消息认证码来维护传输新道德完整性。
虽然SSL最适用于HTTP,但是它也可以用于文件传输协议(FTP)或者其他相关协议。
2.加密:
密文=加密算法(明文),
解密:
明文=解密算法(密文)。