計算機網絡的廣泛應用對經濟、文化、教育和科技的發展產生了重要影響,許多重要的信息和資源都與網絡有關。客觀上,幾乎沒有壹個網絡可以免受安全困擾。根據FinancialTimes做的統計,平均每20秒就有壹個網絡被入侵,安全是網絡發展的基礎。尤其是在信息安全產業領域,其固有的敏感性和特殊性直接影響到國家安全利益和經濟利益。因此,在網絡化、信息化不可逆轉的形勢下,如何最大限度地減少或避免信息泄露和破壞造成的經濟損失,是擺在我們面前的壹個需要妥善解決的具有重大戰略意義的課題。
2網絡安全威脅
計算機網絡面臨的威脅主要包括對網絡中信息的威脅和對網絡中設備的威脅。影響計算機網絡的因素很多,其面臨的威脅來自多方面,主要包括:
①人為失誤:如運營商安全配置不當導致的安全漏洞、用戶安全意識差、用戶密碼選擇不慎、用戶隨意將賬號借給他人或與他人共享等,都會對網絡安全造成威脅;
②信息截取:通過渠道截取信息以獲取機密信息,或對信息流、通信頻率、長度進行分析得出有用信息,不破壞信息內容,不易被發現。這種方式是過去軍事對抗、政治對抗和現在經濟對抗中最常用、最有效的方式。
(3)內部竊取和破壞:指內部或系統人員通過網絡竊取機密、泄露或更改信息,破壞信息系統。根據美國聯邦調查局9月份的調查,1997,70%的攻擊是從內部發起的,只有30%來自外部。
(4)黑客攻擊:黑客已經成為網絡安全的克星。近年來,特別是2000年2月7-9日,美國雅虎、亞馬遜等8家頂級網站相繼遭受不明來源的電子攻擊,導致服務系統中斷,兩天內整個互聯網的利用率下降20%。此次攻擊給這些網站造成的直接損失達6543.8美元+0.2億美元,間接經濟損失達6543.8美元+0億美元。
⑤技術缺陷:由於認知能力和技術發展的限制,在軟硬件設計過程中不可避免地會留下技術缺陷,可能造成網絡安全隱患。其次,大部分網絡軟硬件產品都是進口的。比如,全球90%的微型計算機都裝有微軟的Windows操作系統,很多網絡黑客就是通過微軟操作系統的漏洞和後門進入網絡的。這方面的報道經常見諸報端;
⑥病毒:1988報告的第壹個病毒(蠕蟲病毒)入侵美軍互聯網,造成8500臺電腦感染,6500臺電腦關機,直接經濟損失近6543.8億美元。此後,此類事件接連發生。從2006.5438+0的紅隊到今年震波、沖擊波等病毒的爆發,計算機病毒的感染方式已經從單機被動傳播轉變為網絡主動傳播,不僅帶來網絡破壞,還會造成互聯網上的信息泄露,特別是在專網上,病毒感染已經成為網絡安全的嚴重威脅。此外,對網絡安全的威脅還包括自然災害等不可抗力因素。
上述對計算機網絡的安全威脅往往表現為:①竊聽:攻擊者通過監控網絡數據獲取敏感信息;(2)重傳:攻擊者先獲取部分或全部信息,稍後再發送給接收者;③偽造:攻擊者向接收者發送偽造的信息;(4)篡改:攻擊者修改、刪除、插入合法用戶之間的通信信息,然後發送給接收者;(5)拒絕服務攻擊:供應商通過某種手段減緩甚至癱瘓系統響應,組織合法用戶獲取服務;⑥行為否認:交往主體否認已經發生的行為;⑦未授權訪問:未經事先同意使用網絡或計算機資源;(8)傳播病毒:通過網絡傳播計算機病毒,破壞力很大,用戶很難防範。
網絡安全目標的最小集合如下:①身份真實性:能夠鑒別通信實體身份的真實性;(2)信息保密:確保保密信息不會被披露給未經授權的個人或實體;③信息完整性:保證數據的壹致性,防止數據被未經授權的用戶或實體建立、修改或破壞;(4)服務可用性:確保合法用戶對信息和資源的使用不會被不當拒絕;⑤不可否認:建立有效的責任機制,防止實體否認其行為;⑥系統可控性:可以控制人或實體使用資源的方式;⑦在滿足安全要求的情況下,系統應操作簡單,維護方便;⑧可審計性:為調查新出現的網絡安全問題提供依據和手段。
3種主要的網絡安全技術
為了保證網絡信息的安全,實際應用中常用到以下安全技術。
3.1病毒預防技術
計算機病毒實際上是壹種在運行過程中能夠感染和侵害計算機系統的功能性程序。在病毒滲入系統或違反授權後,攻擊者通常會向系統植入特洛伊木馬或邏輯炸彈等程序,為日後攻擊系統和網絡提供便利條件。當前的反病毒軟件正面臨著互聯網的挑戰。目前全球每天有13 ~ 50種新病毒出現,其中60%是通過互聯網傳播的。為了有效地保護企業的信息資源,反病毒軟件需要支持企業可能使用的所有互聯網協議和電子郵件系統,並適應和跟上時代不斷變化的步伐。在這些方面,國外的壹些殺毒軟件,比如諾頓、邁克菲、熊貓守護使都是走在前面的。而國內的殺毒軟件大多以單機版殺毒為主。雖然部分廠商推出了網絡版殺毒產品,但防護範圍仍然較窄,國內殺毒廠商應盡快加強網關或郵件服務器上的防護。只有有效切斷病毒的入口,才能避免病毒的爆發給企業和用戶帶來的經濟損失。
3.2防火墻技術
防火墻技術是壹種通過隔離網絡拓撲和服務類型來加強網絡安全的方法。它保護的對象是網絡中有明確封閉邊界的網絡塊,它防範的對象是來自被保護網絡塊外部的安全威脅。目前主要有以下幾種防火墻產品:①包過濾防火墻:壹般安裝在路由器上,根據網絡管理員設置的訪問控制列表,過濾流經防火墻的數據包的IP源地址、IP目的地址、封裝協議(如TCP/IP)和端口號。②代理防火墻:包過濾技術可以通過阻斷IP地址來阻止未授權人員的訪問。但不適合公司用來控制內部人員訪問外界的網絡。對於有這種需求的企業,可以使用代理服務器技術來實現。ProxyServer通常由壹個服務器程序和壹個客戶端程序組成,客戶端程序與壹個代理服務器相連,這樣在沒有任何內部資源的情況下,從外網只能看到代理服務器。所以代理服務器技術比單包過濾技術更可靠,所有的訪問記錄都會被詳細記錄。缺點是不允許用戶直接訪問網絡,會導致合法用戶獲取信息的速度慢。此外,需要註意的是,並不是所有的互聯網應用程序都支持代理服務器技術。③狀態監控防火墻:通過檢測模塊(壹種可以在網關上實現網絡安全策略的軟件引擎)監控相關數據後,從中提取部分數據(即狀態信息),並動態保存,作為日後進行安全決策的參考。檢測模塊可以支持多種協議和應用,並且可以容易地擴展應用和服務。采用狀態監視器技術後,在用戶的訪問到達網關操作系統之前,狀態監視器要提取訪問請求的相關數據,並結合網絡配置和安全規定進行分析,從而做出接受、拒絕、認證或加密通信的決定。壹旦訪問違反上述安全規定,安全警報將拒絕訪問,並向系統管理員報告網絡狀態。但是它的配置非常復雜,而且會拖慢網絡信息的傳輸速度。
3.3加密技術
基於數據加密的網絡安全體系,其特點是網絡系統中的所有數據流(包括用戶數據)都受到網絡數據的可靠加密保護,從根本上解決了網絡安全的兩大需求(即網絡服務的可用性和信息的完整性),而不對網絡環境做出任何特殊要求。使用加密技術的網絡系統的優點在於,它不僅不需要特殊的網絡拓撲結構的支持,而且在數據傳輸過程中對網絡路徑的安全程度也沒有要求,從而真正實現了網絡通信過程中端到端的安全保障。預計在未來3 ~ 5年內,采用加密技術的網絡安全系統將有望成為實現網絡安全的主要途徑。根據加密密鑰和解密密鑰的對稱性,加密技術可分為對稱加密、非對稱加密和不可逆加密。在網絡傳輸中,加密技術是壹種高效靈活的安全手段。然而,由於大多數數據加密算法起源於美國,並受到美國出口管制法律的限制,因此無法在互聯網上廣泛使用,這限制了基於加密技術的網絡安全解決方案的應用。
3.4入侵檢測技術
入侵檢測技術主要分為兩種:①異常入侵檢測是指根據異常行為和計算機資源的使用情況可以檢測到的入侵。異常入侵檢測試圖以定量的方式描述可接受的行為特征,以區分異常和潛在的入侵行為。異常入侵的問題是構造壹個異常活動集,並從中發現入侵活動的子集。異常入侵檢測方法依賴於異常模型的建立,不同的模型構成不同的檢測方法。異常檢測是壹種通過觀察壹組測量值的偏差來預測用戶行為變化,進而做出決策的檢測技術。②誤用入侵檢測:是指利用已知系統和應用軟件的漏洞攻擊方式來檢測入侵。誤用入侵檢測的主要假設是存在能夠以某種方式準確編碼的攻擊,通過捕獲攻擊並重新排列,可以確認入侵活動是基於同壹弱點進行攻擊的入侵方法的變種。誤用入侵檢測是指根據預先定義的入侵模式和觀察到的入侵,通過模式匹配進行檢測。入侵模式解釋了導致安全漏洞或其他誤用的事件的特征、條件、安排和關系。不完整的模式可能表明有人試圖入侵。
3.5網絡安全掃描技術
網絡安全掃描技術主要包括:①端口掃描技術:端口掃描向目標主機的Tcp/Ip服務端口發送探測包,記錄目標主機的響應。通過分析響應來判斷服務端口是打開還是關閉,就可以知道端口提供的服務或者信息。端口掃描還可以通過捕獲本地主機或服務器的傳入和傳出Ip數據包來監控本地主機的運行。它只能分析接收到的數據,幫助我們發現目標主機的壹些固有弱點,而不能提供進入壹個系統的詳細步驟。(2)漏洞掃描技術:漏洞掃描主要通過以下兩種方式檢查目標主機是否存在漏洞:端口掃描後,學習目標主機打開的端口以及端口上的網絡服務,將這些相關信息與網絡漏洞掃描系統提供的漏洞庫進行匹配,看是否存在符合匹配條件的漏洞;通過模擬黑客的攻擊方法,對目標主機系統進行攻擊性安全漏洞掃描,例如測試弱密碼。如果模擬攻擊成功,說明目標主機系統存在安全漏洞。
除了上面提到的網絡安全技術,還有壹些廣泛使用的安全技術,如認證、訪問控制和安全協議。