论文部分内容阅读
【摘要】本文就目前网络信息安全的脆弱性、网络信息安全的关键技术、常见攻击方法及对策、安全网络的建设等知识要点进行了概述。并结合自身在企业内部网建立过程中发现的实际问题,提出了相应的解决对策。
【关键词】网络信息安全;防火墙;数据加密;内部网
新余钢铁股份有限公司检测中心(以下简称:新钢检测中心)是获中国合格评定国家认可委员会(CNAS)认可的实验室,检测工作具有相对的独立性,可为社会提供冶金产品原燃料,中间产品,铁、钢、材产品的理化检测及环境监测等检测(监测)服务。其公正性措施中声明:“客户可对新钢检测中心的检测服务提出任何保密的要求”,而新钢检测中心各种检测工作信息均需通过计算机内部网进行沟通。作者等身为新钢检测中心计算机内部网的管理员,如何确保本检测中心计算机内部网信息安全也就成为应该思考的重要问题。
1、网络信息安全的概念与知识要点
1.1网络信息安全涉及到的技术领域及其概念
网络信息安全主要是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
1.2网络信息安全的知识要点
网络信息安全的知识要点大致包括:网络信息安全的脆弱性、网络安全的主要技术、常见网络攻击方法及对策、网络安全建设等方面。
2、当前需要解决的问题
为什么说当前网络安全问题严重?这些安全问题是怎么产生的呢?综合技术和管理等多方面因素,笔者就互联网的开放性、局域网自身的脆弱性、攻击的普遍性和管理的困难性四个方面结合新钢检测中心内部网络的实际情况进行如下讨论。
2.1互联网是一个开放的网络,TCP/IP是通用的协议
计算机系统可以通过各种媒体接入进来,如果不加限制,世界各地均可以访问。
2.2互联网的自身的安全缺陷是导致互联网脆弱性的根本原因
网络的脆弱性体现在设计、实现、维护的各个环节。设计阶段,由于最初的互联网只是用于少数可信的用户群体,因此设计时没有充分考虑安全威胁,互联网和所连接的计算机系统在实现阶段也留下了大量的安全漏洞。互联网和软件系统维护阶段的安全漏洞也是安全攻击的重要目标。尽管系统提供了某些安全机制,但是由于管理员或者用户的技术水平限制等因素,这些安全机制并没有发挥有效作用。
2.3互联网威胁的普遍性是安全问题的另一个方面
随着互联网的发展,攻击网络的手段也越来越简单、越来越普遍。目前攻击工具的功能却越来越强,而对攻击者的知识水平要求却越来越低,因此攻击者也更为普遍。
2.4管理方面的困难性也是互联网安全问题的重要原因
由于企业内部的对网络传输的需求越来越高,受业务发展迅速、人员流动频繁、技术更新快等因素的影响,安全管理也非常复杂,经常出现人力投入不足、安全措施不到位等现象。
3、网络安全的主要技术
3.1防火墙技术
3.1.1防火墙技术的概念。“防火墙”就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。
3.1.2防火墙的技术实现。①防火墙的技术实现通常是基于所谓“包过滤”技术,而进行包过滤的标准通常就是根据安全策略制定的。在防火墙产品中,包过滤的标准一般是靠网络管理员在防火墙设备的访问控制清单中设定;②防火墙还可以利用代理服务器软件实现。早期的防火墙主要起屏蔽主机和加强访问控制的作用,现在的防火墙则逐渐集成了信息安全技术中的最新研究成果,一般都具有加密、解密和压缩、解压等功能,这些技术增加了信息在互联网上的安全性。
3.1.3防火墙的特性。防火墙具有以下特性:①所有从内到外和从外到内的数据包都要经过防火墙;②只有安全策略允许的数据包才能通过防火墙;③防火墙本身应具有预防侵入的功能,防火墙主要用来保护安全网络免受来自不安全的侵入。
3.1.4防火墙的使用。个体网络安全有特别要求,需要和Internet联网的企业网、公司网,才建议使用防火墙。
3.2数据加密技术
3.2.1数据加密技术的含义。所谓数据加密技术就是使用数字方法来重新组织数据,使得除了合法受者外,任何其他人想要恢复原先的“消息”变得非常困难。
3.2.2常用的数据加密技术。目前最常用的加密技术有对称加密技术和非对称加密技术。对称加密技术是指同时运用一个密钥进行加密和解密,非对称加密技术就是加密和解密所用的密钥不一样,它有一对密钥,分别称为“公钥”和“私钥”,这两个密钥必须配对使用,也就是说用公钥加密的文件必须用相应人的私钥才能解密,反之亦然。
3.2.3数据加密技术的发展现状。在网络传输中,加密技术是一种效率高而又灵活的安全手段,已不断地在企业网络管理中得到推广。
3.3访问控制
3.3.1身份验证。身份验证是一致性验证的一种,验证是建立一致性证明的一种手段。身份验证主要包括验证依据、验证系統和安全要求。
3.3.2存取控制。存取控制规定何种主体对何种客体具有何种操作权力。主要包括人员限制、数据标识、权限控制、类型控制和风险分析。存取控制也是最早采用的安全技术之一。
4、常见网络攻击方法及对策
4.1网络攻击的常见方法
①口令入侵:是指使用某些合法用户的帐号和口令登录到目的主机,然后实施攻击活动。
②放置特洛伊木马程序:特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中,并在自己的计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。
③WWW的欺骗技术:用户网上阅读新闻、咨询产品价格、订阅报纸、电子商务等,一般恐怕不会想到正在访问的网页已经被黑客篡改过,网页上的信息是虚假的。 ④电子邮件攻击:攻击者可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。
⑤网络监听:网络监听是主机的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而攻击者就能在两端之间进行数据监听。
⑥安全漏洞攻击:许多系统都有这样或那样的安全漏洞(Bugs)。如缓冲区溢出攻击,由于很多系统在不检查程序与缓冲之间变化的情况,就接受任意长度的数据输入,把溢出的数据放在堆栈里,系统还照常执行命令。若攻击者特别配置一串准备用作攻击的字符,他甚至可以访问根目录,从而拥有对整个网络的絕对控制权。
4.2网络攻击应对策略
我们应当在上述分析与识别的基础上,结合企业内部网的实际情况,认真制定出有针对性的策略。
4.2.1提高网络的安全意识。不要随意打开来历不明的电子邮件及文件,不要随便运行不太了解的人给你的程序;尽量避免从Internet下载不知名的软件、游戏程序;密码设置尽可能使用字母数字混排;及时下载安装系统补丁程序;不随便运行黑客程序,不少这类程序运行时会发出你的个人信息。
4.2.2使用防毒、防黑等防火墙软件。防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。
4.2.3设置代理服务器,隐藏自己的IP地址。代理服务器能起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。
4.2.4将防毒、防黑当成日常例性工作。定时更新防毒组件,将防毒软件保持在常驻状态,以彻底防毒。由于黑客经常会针对特定的日期发动攻击,计算机用户在此期间应特别提高警戒。
4.2.5备份资料。对于重要的个人资料做好严密的保护,并养成资料备份的习惯。
5、如何逐步消除网络安全隐患
5.1规范网络空间秩序
建立规范的网络秩序,要在道德和文化层面确定每个使用网络者的义务,每个人必须对其网络行为承担法律和道德责任是规范网络秩序的一个重要准则。
5.2查找引发网络安全事件的原因
我们从实际工作中分析得知:因“利用未打补丁或未受保护的软件漏洞”,占49.6%;对员工不充分的安全操作流程培训占38.2%;缺乏全面的网络安全意识教育,占27.2%。
6、实例
6.1 +ARP病毒的攻击和防范
①ARP攻击的识别:ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。基于ARP协议的这一工作特性,黑客向对方计算机不断发送有欺诈性质的ARP数据包,数据包内包含有与当前设备重复的MAC地址,使对方在回应报文时,由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下,受到ARP攻击的计算机会出现两种现象:一是不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框;二是计算机不能正常上网,出现网络中断的症状。因为这种攻击是利用ARP请求报文进行“欺骗”的,所以防火墙会误以为是正常的请求数据包,不予拦截。
②消除措施:在局域网中受影响的计算机上执行ARP —A,在回溃信息中会发现重复MAC地址.该MAC地址对应的即为中毒的计算机.而重复的地址就是被ARP欺骗后的网关地址.此时可根据MAC地址前的IP地址查找该计算机并采取有效手段关闭程序.如果在运行该程序前,该机IP地址已经被更改,则需通过对应的MAC列表查找该物理网卡所存在的计算机。
③预防措施:在采用xp/2000操作系统的计算机上,可逐台执行“ARP—S网关IP 网关MAC”来绑定网关的IP地址。一是在网关上生成MAC列表,并设置网关上内网网卡防止ARP欺骗;二是使用具有IP—MAC绑定功能的智能交换机,绑定网关IP—MAC;三是安装防ARP病毒攻击的防火墙,如360安全卫士.金山杀毒软件。
结束语
我们在信息网络安全系统建设的过程中,应该设法从被动防守的做法逐渐向网络主动检测与防御的技术方向发展。我们在现代信息化的潮流中,只有更好的让信息化建设安全可靠的为企业管理服务,才能真正的体现出我们企业计算机内部网管理人员的工作价值。
【关键词】网络信息安全;防火墙;数据加密;内部网
新余钢铁股份有限公司检测中心(以下简称:新钢检测中心)是获中国合格评定国家认可委员会(CNAS)认可的实验室,检测工作具有相对的独立性,可为社会提供冶金产品原燃料,中间产品,铁、钢、材产品的理化检测及环境监测等检测(监测)服务。其公正性措施中声明:“客户可对新钢检测中心的检测服务提出任何保密的要求”,而新钢检测中心各种检测工作信息均需通过计算机内部网进行沟通。作者等身为新钢检测中心计算机内部网的管理员,如何确保本检测中心计算机内部网信息安全也就成为应该思考的重要问题。
1、网络信息安全的概念与知识要点
1.1网络信息安全涉及到的技术领域及其概念
网络信息安全主要是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
1.2网络信息安全的知识要点
网络信息安全的知识要点大致包括:网络信息安全的脆弱性、网络安全的主要技术、常见网络攻击方法及对策、网络安全建设等方面。
2、当前需要解决的问题
为什么说当前网络安全问题严重?这些安全问题是怎么产生的呢?综合技术和管理等多方面因素,笔者就互联网的开放性、局域网自身的脆弱性、攻击的普遍性和管理的困难性四个方面结合新钢检测中心内部网络的实际情况进行如下讨论。
2.1互联网是一个开放的网络,TCP/IP是通用的协议
计算机系统可以通过各种媒体接入进来,如果不加限制,世界各地均可以访问。
2.2互联网的自身的安全缺陷是导致互联网脆弱性的根本原因
网络的脆弱性体现在设计、实现、维护的各个环节。设计阶段,由于最初的互联网只是用于少数可信的用户群体,因此设计时没有充分考虑安全威胁,互联网和所连接的计算机系统在实现阶段也留下了大量的安全漏洞。互联网和软件系统维护阶段的安全漏洞也是安全攻击的重要目标。尽管系统提供了某些安全机制,但是由于管理员或者用户的技术水平限制等因素,这些安全机制并没有发挥有效作用。
2.3互联网威胁的普遍性是安全问题的另一个方面
随着互联网的发展,攻击网络的手段也越来越简单、越来越普遍。目前攻击工具的功能却越来越强,而对攻击者的知识水平要求却越来越低,因此攻击者也更为普遍。
2.4管理方面的困难性也是互联网安全问题的重要原因
由于企业内部的对网络传输的需求越来越高,受业务发展迅速、人员流动频繁、技术更新快等因素的影响,安全管理也非常复杂,经常出现人力投入不足、安全措施不到位等现象。
3、网络安全的主要技术
3.1防火墙技术
3.1.1防火墙技术的概念。“防火墙”就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。
3.1.2防火墙的技术实现。①防火墙的技术实现通常是基于所谓“包过滤”技术,而进行包过滤的标准通常就是根据安全策略制定的。在防火墙产品中,包过滤的标准一般是靠网络管理员在防火墙设备的访问控制清单中设定;②防火墙还可以利用代理服务器软件实现。早期的防火墙主要起屏蔽主机和加强访问控制的作用,现在的防火墙则逐渐集成了信息安全技术中的最新研究成果,一般都具有加密、解密和压缩、解压等功能,这些技术增加了信息在互联网上的安全性。
3.1.3防火墙的特性。防火墙具有以下特性:①所有从内到外和从外到内的数据包都要经过防火墙;②只有安全策略允许的数据包才能通过防火墙;③防火墙本身应具有预防侵入的功能,防火墙主要用来保护安全网络免受来自不安全的侵入。
3.1.4防火墙的使用。个体网络安全有特别要求,需要和Internet联网的企业网、公司网,才建议使用防火墙。
3.2数据加密技术
3.2.1数据加密技术的含义。所谓数据加密技术就是使用数字方法来重新组织数据,使得除了合法受者外,任何其他人想要恢复原先的“消息”变得非常困难。
3.2.2常用的数据加密技术。目前最常用的加密技术有对称加密技术和非对称加密技术。对称加密技术是指同时运用一个密钥进行加密和解密,非对称加密技术就是加密和解密所用的密钥不一样,它有一对密钥,分别称为“公钥”和“私钥”,这两个密钥必须配对使用,也就是说用公钥加密的文件必须用相应人的私钥才能解密,反之亦然。
3.2.3数据加密技术的发展现状。在网络传输中,加密技术是一种效率高而又灵活的安全手段,已不断地在企业网络管理中得到推广。
3.3访问控制
3.3.1身份验证。身份验证是一致性验证的一种,验证是建立一致性证明的一种手段。身份验证主要包括验证依据、验证系統和安全要求。
3.3.2存取控制。存取控制规定何种主体对何种客体具有何种操作权力。主要包括人员限制、数据标识、权限控制、类型控制和风险分析。存取控制也是最早采用的安全技术之一。
4、常见网络攻击方法及对策
4.1网络攻击的常见方法
①口令入侵:是指使用某些合法用户的帐号和口令登录到目的主机,然后实施攻击活动。
②放置特洛伊木马程序:特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中,并在自己的计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。
③WWW的欺骗技术:用户网上阅读新闻、咨询产品价格、订阅报纸、电子商务等,一般恐怕不会想到正在访问的网页已经被黑客篡改过,网页上的信息是虚假的。 ④电子邮件攻击:攻击者可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。
⑤网络监听:网络监听是主机的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而攻击者就能在两端之间进行数据监听。
⑥安全漏洞攻击:许多系统都有这样或那样的安全漏洞(Bugs)。如缓冲区溢出攻击,由于很多系统在不检查程序与缓冲之间变化的情况,就接受任意长度的数据输入,把溢出的数据放在堆栈里,系统还照常执行命令。若攻击者特别配置一串准备用作攻击的字符,他甚至可以访问根目录,从而拥有对整个网络的絕对控制权。
4.2网络攻击应对策略
我们应当在上述分析与识别的基础上,结合企业内部网的实际情况,认真制定出有针对性的策略。
4.2.1提高网络的安全意识。不要随意打开来历不明的电子邮件及文件,不要随便运行不太了解的人给你的程序;尽量避免从Internet下载不知名的软件、游戏程序;密码设置尽可能使用字母数字混排;及时下载安装系统补丁程序;不随便运行黑客程序,不少这类程序运行时会发出你的个人信息。
4.2.2使用防毒、防黑等防火墙软件。防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。
4.2.3设置代理服务器,隐藏自己的IP地址。代理服务器能起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。
4.2.4将防毒、防黑当成日常例性工作。定时更新防毒组件,将防毒软件保持在常驻状态,以彻底防毒。由于黑客经常会针对特定的日期发动攻击,计算机用户在此期间应特别提高警戒。
4.2.5备份资料。对于重要的个人资料做好严密的保护,并养成资料备份的习惯。
5、如何逐步消除网络安全隐患
5.1规范网络空间秩序
建立规范的网络秩序,要在道德和文化层面确定每个使用网络者的义务,每个人必须对其网络行为承担法律和道德责任是规范网络秩序的一个重要准则。
5.2查找引发网络安全事件的原因
我们从实际工作中分析得知:因“利用未打补丁或未受保护的软件漏洞”,占49.6%;对员工不充分的安全操作流程培训占38.2%;缺乏全面的网络安全意识教育,占27.2%。
6、实例
6.1 +ARP病毒的攻击和防范
①ARP攻击的识别:ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。基于ARP协议的这一工作特性,黑客向对方计算机不断发送有欺诈性质的ARP数据包,数据包内包含有与当前设备重复的MAC地址,使对方在回应报文时,由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下,受到ARP攻击的计算机会出现两种现象:一是不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框;二是计算机不能正常上网,出现网络中断的症状。因为这种攻击是利用ARP请求报文进行“欺骗”的,所以防火墙会误以为是正常的请求数据包,不予拦截。
②消除措施:在局域网中受影响的计算机上执行ARP —A,在回溃信息中会发现重复MAC地址.该MAC地址对应的即为中毒的计算机.而重复的地址就是被ARP欺骗后的网关地址.此时可根据MAC地址前的IP地址查找该计算机并采取有效手段关闭程序.如果在运行该程序前,该机IP地址已经被更改,则需通过对应的MAC列表查找该物理网卡所存在的计算机。
③预防措施:在采用xp/2000操作系统的计算机上,可逐台执行“ARP—S网关IP 网关MAC”来绑定网关的IP地址。一是在网关上生成MAC列表,并设置网关上内网网卡防止ARP欺骗;二是使用具有IP—MAC绑定功能的智能交换机,绑定网关IP—MAC;三是安装防ARP病毒攻击的防火墙,如360安全卫士.金山杀毒软件。
结束语
我们在信息网络安全系统建设的过程中,应该设法从被动防守的做法逐渐向网络主动检测与防御的技术方向发展。我们在现代信息化的潮流中,只有更好的让信息化建设安全可靠的为企业管理服务,才能真正的体现出我们企业计算机内部网管理人员的工作价值。