1、浅析网络安全技术摘 要:随着 Internet 的迅速发展、广泛应用,网络的触角深入到政治、经济、文化、军事和社会生活等各个方面,其影响与日俱增、无处不在,在我们享受网络带来的快捷、便利服务的同时,全球范围内针对重要信息资源和网络基础设施的入侵行为和企图入侵行为的数量也在持续不断增加,对国家安全、经济和社会生活造成了极大的威胁。因此,网络安全已成为当今世界各国共同关注的焦点。 下载 关键词:防火墙;计算机病毒;访问控制;认证 作者简介:罗丽(1984),女,江西南昌人,广州华商职业学院教师,研究方向:计算机科学与技术。 中图分类号:TP393 文献标识码:A doi:10.3969/j.i 文
2、章编号:1672-3309(2011)12-137-03 随着 Internet 和 Internet 技术的广泛应用,计算机网络资源共享进一步加强,但与此同时,网络安全问题(既有来自外部的黑客攻击,也有来自内部的威胁)也变得日益突出,网络安全面临重大挑战。事实上资源共享和信息安全历来就是一对矛盾,而计算机网络的开放性决定了网络安全问题是先天存在的,TCP/IP 框架基本上是不设防的。那么如何切实有效地保护计算机网络安全呢? 一、防火墙技术 防火墙是位于内部网络与外部网络之间或两个信任程度不同的网络之间的软件和硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,限制外界
3、用户对内部网络的访问及管理内部用户访问外部网络的权限的系统,防止对重要信息资源的非法存取和访问,以达到保护系统安全的目的。 1、防火墙的作用。在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域(即 Internet 或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信量,从而完成看似不可能的任务:仅让安全和已核准的信息进入,同时又抵制对企业构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍,对网络的入侵不仅来自高超的攻击手段,也有可能来自配置上的低级错误或不适合的口令选择。因此,防火墙的作用是防治不希望的、未授权的
4、通信进出被保护的网络,迫使单位强化自己的网络安全政策。 2、防火墙的功能。防火墙能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问、外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过,而且防火墙本身也必须能够免于渗透。防火墙具有以下几种功能:允许网络管理员定义一个中心点来防止非法用户进入内部网络;可以很方便地见识网络的安全,并报警;可以作为部署 NAT(网络地址变换)的地点,利用 NAT 技术,将有限的 IP 地址动态或静态地与内部的 IP 地址对应起来,用来缓解地址空间短缺的问题;是审计和记录 Internet 使用费用的一个
5、最佳地点,网络管理员可以在此向管理部门提供 Internet 连接的费用情况,查出潜在的带宽瓶颈位置,并能够依据本机构的核算模式提供部门级的计费;可以连接到一个单独的网段上,从物理上和内部网段隔开,并在此部署 WWW 服务器和 FTP 服务器,将其作为向外部发布内部信息的地点,从技术角度来讲,就是所谓的停火区(DMZ)。 3、防火墙的分类。按照防火墙对内外来往数据的处理方法,大致可以将防火墙分为两大体系:包过滤防火墙和代理防火墙(应用层网关防火墙)。前者以以色列的 Checkpoint 防火墙和 Cisco 公司的 PIX 防火墙为代表,后者以美国 NAI 公司的 Gauntlet 防火墙为代
6、表。包过滤防火墙使防火墙能够根据特定的服务允许或拒绝流动的数据,因为多数的服务收听者都在已知的 TCP/UDP 端口号上。包过滤防火墙又可以分为静态包过滤和动态包过滤,静态包过滤的防火墙根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配,过滤规则基于数据包的报头信息进行制定。动态包过滤的防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题,采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目。 4、防火墙技术发展动态和趋势。考虑到 Internet 发展的凶猛势头和防火墙产品的更新步伐,要全面展望防火墙技术的发
7、展几乎是不可能的。但是,从产品及功能上,却可以看出一些动向和趋势,防火墙产品正向以下趋势发展。优良的性能。未来的防火墙会把高速的性能和最大限度的安全性有机结合在一起,有效地消除制约传统防火墙的性能瓶颈。可扩展的结构和功能。简化的安装与管理。主动过滤。防病毒与防黑客。未来的防火墙技术会全面考虑网络的安全、操作系统的安全、应用程序的安全、用户的安全和数据的安全 5 个方面。此外防火墙产品还将把网络前沿技术,如 Web 页面超高速缓存、虚拟网络和带宽管理等与其自身结合起来。 二、病毒防治技术 从广义上讲,凡是能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。最早使用“计算机病毒”一词的美国计
8、算机病毒研究专家Fcohen 博士对计算机病毒的定义是:计算机病毒是一种能够通过修改程序,并把自己的复制品包括在内去感染其他程序的程序,计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。 1、计算机病毒的特点。(1)可执行性。计算机病毒与其他合法程序一样,是一段可执行程序,计算机病毒只有当它在计算机内得以运行时,才具有传染性和破坏性,也就是说计算机 CPU 的控制权是关键。(2)传染性。计算机病毒具有把自身的副本放入其他程序的特性,通过传染,病毒就可以扩散。(3)潜伏性。一般病毒在感染文件后并不是立即发作
9、,而是隐藏在系统中,在满足条件时才激活。(4)破坏性。任何病毒侵入计算机后,都会或大或小的对计算机的正常使用造成一定的影响,轻则降低计算机的性能,占用系统资源,重则破坏数据导致系统崩溃,甚至破坏硬件。(5)隐蔽性。制作病毒者总是想方设法隐藏病毒自身,目的是不让用户发现,如果不经过代码分析,病毒程序与正常程序是不容易区别开来的。(6)不可预见性。病毒程序的每条具体指令的语句和语法都是规范的,是系统所支持的,因此仅仅从程序的语句和语法是不能判断哪个程序是合法的,哪个程序是非法的。 2、计算机病毒的主要危害。计算机病毒危害性是指某种计算机病毒爆发流行的时间、影响范围、传播途径、破坏特点、破坏后果等情
10、况。计算机病毒的主要危害有:病毒激发对计算机数据信息的直接破坏作用;占用磁盘空间和对信息破坏;抢占系统资源;影响计算机运行速度;计算机病毒错误与不可预见的危害,计算机病毒错误所产生的后果往往是不可预见的,人们不可能花费大量时间去分析数万种病毒的错误所在,大量含有未知错误的病毒扩散传播,其后果是难以预料的。 3、计算机病毒的传播途径。通过不可移动的计算机硬件设备进行传播;通过移动存储设备来传播;通过网络进行传播;通过点对点通信系统和无线通道传播。 4、计算机病毒新动向。黑客、木马和间谍软件数量大幅度增加,Botnet 日益严重,IM 和 P2P 软件成为传播病毒的主要途径,病毒的目的性越来越强,
11、警惕利用 IM 等应用软件漏洞自动传播的病毒。近期困扰计算机用户比较多的计算机病毒是木马、黑客和后门程序,利用各类即时通信工具软件(如 MSN,P2P 等)为传播途径的计算机病毒数量日渐增多,木马、黑客和后门程序主要用于窃取 QQ、网络游戏等帐号信息。黑客可以对中毒机器进行远程操作,并利用屏幕监控和视频、键盘监控等手段获取计算机用户进行网上银行交易的情况,这些黑客、木马程序可以采用邮件蠕虫传播技术通过电子邮件进行传播。 5、计算机病毒预防的主要技术。将大量的消毒/杀毒软件汇集于一体,检查是否存在已知病毒,检测一些病毒经常要改变的系统信息,如引导区、中断向量表、可用内存空间等,以确定是否存在病毒
12、行为,监测写盘操作,对引导区 BR 或主引导区 MBR 的写操作报警。对计算机系统中的文件形成一个密码检验码和实现对程序完整性的验证,在程序执行前或定期对程序进行密码校验,如有不匹配现象即报警。智能判断设计病毒行为过程判定知识库,应用人工智能技术。智能监察,设计病毒特征库、病毒行为知识库、受保护程序存取行为知识库等多个知识库及相应的可变推理机。 三、访问控制技术 访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。网络的访问控制技术是通过对访问的申请、批准和撤销的全过程进行有效的控制,从而确保只有合法用户的合法访问才能给予批准,而且相应的访问只能执行授权的操作。访问控制是计算
13、机网络系统的安全防范和保护的重要手段,是保证网络安全最重要的核心策略之一,也是计算机网络安全理论基础的重要组成部分。 1、访问控制的定义。访问控制是指主体依据某些控制策略或权限对客体本身或其资源进行的不同授权访问。访问控制包括 3 个要素,即:主体、客体和控制策略。主体是指一个提出请求或要求的实体,是动作的发起者,但不一定是动作的执行者。主体可以是某个用户,也可以是用户启动的进程、服务和设备。客体是接受其他实体访问的被动实体。客体的概念也很广泛,凡是可以被操作的信息、资源、对象都可以被认为是客体。在信息社会中,客体可以是信息、文件、记录等的集合体,也可以是网络上的硬件设施、无线通信中的终端,甚
14、至一个客体可以包含另外一个客体。控制策略是主体对客体的访问规则集,即属性集合。访问控制的目的是为了限制访问主体对访问客体的访问权限,从而使计算机网络系统在合法范围内使用;它决定用户能做什么,也决定代表一定用户身份的进程能做什么。具体的访问控制策略有如下几种:入网访问控制、网络的权限设置、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测与锁定控制、网络端口和节点的安全控制。 2、访问控制的内容。访问控制的实现首先要考虑对合法用户进行验证,然后是对控制策略的选用与管理,最后要对没有非法用户或越权操作进行管理。所以访问控制包括认证、控制策略实现和审计 3 个方面的内容。认证:包括主体对客体
15、的识别认证和客体对主体检验认证。主体和客体的认证关系是相互的,当一个主体受到另外一个客体的访问时,这个主体也就变成了客体。一个实体可以在某一时刻是主体,而在另一时刻是客体,这取决于当前实体的功能是动作的执行者还是动作的被执行者。控制策略的具体实现:设定规则集合从而确保正常用户对信息资源的合法使用,既要防止非法用户也要考虑敏感资源的泄漏,对于合法用户而言,更不能越权行使控制策略所赋予其权利以外的功能。安全审计:安全审计使系统自动记录网络中的“正常”操作、“非正常”操作以及使用时间、敏感信息等。审计类似于飞机上的“黑匣子”,它为系统进行事故原因查询、定位、事故发生前的预测、报警以及为事故发生后的实
16、时处理提供可靠的依据和支持。 3、访问控制的安全策略与安全级别。访问控制的安全策略有两种实现方式:基于身份的安全策略和基于规则的安全策略。这两种策略建立的基础都是授权行为。基于身份的安全策略是过滤对数据或资源的访问,只有能通过认证的那些主体才有可能正常使用客体的资源。基于身份的安全策略包括基于个人的策略和基于组的策略,主要有两种基本的实现方法,分别为能力表和访问控制表。安全级别有两个含义,一个是主、客体系统资源的安全级别,分为有层次的安全级别和无层次的安全级别两种;另一个是访问控制系统实现的安全级别,这和可信计算机系统评估标准的安全级别是一样的,分为 D、C(C1、C2)、B(B1、B2、B3
17、)和 A 共 4 类 7 级,由低到高。 四、认证技术 认证是证实实体身份的过程,是保证系统安全的重要措施之一。 1、身份认证。身份认证是计算机网络系统的用户在进入系统或访问不同保护级别的系统资源时,系统确认该用户的身份是否真实、合法和唯一,以防止非法人员进入系统,防止非法人员通过违法操作获取不正当利益、访问受控信息、恶意破坏系统数据完整性的情况的发生。一个系统的身份认证方案,必须根据各种系统的不同平台和安全性要求进行设计,身份认证要尽可能的方便、可靠并尽可能地降低成本。 2、消息认证。消息的保密性可以由密码技术来保证,但消息的完整性和抗否认性也是消息安全的重要内容。保证消息的完整性和抗否认性
18、主要通过消息认证和数字签名来实现。一般来说,产生认证符的方法有 3 种,消息加密,将明文加密后以密文作为认证符;消息认证码(MAC),用一个密钥控制的公开函数作用后,产生固定长度的数值作为认证符;散列函数,定义一个函数将任意长度的消息映射为定长的散列值,以散列值作为认证符。消息认证通常需要与散列函数结合起来使用。 3、数字签名。采用加密技术进行通信,可保证信息的安全传输,即使被第三方非法窃取,也无法了解信息的内容。数字签名就是用数字代替手工签名,用来证明消息发送者的身份和消息的真实性。公钥密码体制最重要的一种应用是数字签名。数字签名通常需要与散列函数结合起来使用。 五、结束语 计算机网络信息安
19、全是一项复杂的系统工程,防御网络入侵与攻击只是保障网络信息安全的一部分。随着计算机网络的快速应用和普及,网络信息安全的不确定因素也越来越多。我们必须综合考虑各种安全因素,认真分析各种可能的入侵和攻击形式,采取有效的技术措施,制定合理的网络安全策略和配套的管理办法,防止各种可能的入侵和攻击行为,避免因入侵和攻击造成的各种损失。 参考文献: 蔡立军.网络安全技术M.北京:清华大学出版社,2006. 林涛、耿壮.计算机网络安全技术M. 北京:人民邮电出版社,2009. William Stallings.网络安全基础应用与标准M. 北京:清华大学出版社,2008. 张千里.网络安全基础与应用M. 北京:人民邮电出版社,2007. 谢冬青、冷健、熊伟.计算机网络安全技术教程M. 北京:机械工业出版社,2007. 卢昱、王宇.计算机网络安全与控制技术M. 北京:科学出版社,2005. 杨永川、黄淑华、魏春光.网络安全技术M. 北京:机械出版社,2010. 雷渭侣.计算机网络安全技术与应用M. 北京:清华大学出版社,2010.
