论文部分内容阅读
摘要现代社会的信息化程度越来越高,对于规模急剧扩大,复杂程度不断提高的现代网络系统,其安全性所受到的威胁也越来越高,研究提高网络管理系统性能,维护网络环境的安全是十分必要的。本文探讨了网络安全的含义,网络攻击和入侵的主要途径,网络安全缺陷及产生的原因,并介绍了一些有效的网络安全措施。
关键词计算机网络;安全;缺陷;措施
中图分类号TP393文献标识码A文章编号1673-9671-(2010)011-0013-01
随着Internet的迅速发展 , 信息化已经扩展到整个社会,各类网络版应用软件被推广应用,计算机网络在提高数据传输效率,实现数据集中、数据共享等方面发挥着越来越重要的作用,网络与信息系统建设已逐步成为各项工作的重要基础设施。同时电子商务已成为一种潮流,人们可以通过互联网进行网上购物、银行转账等许多商业活动。随着电子商务的不断发展和普及,全球电子交易一体化将成为可能。然而,开放的信息系统必然存在众多潜在的安全隐患,为了确保各项工作的安全高效运行,计算机网络和系统安全建设就显得尤为重要。
1 网络安全缺陷
1.1开放性
开放性是网络本身特有的属性,因此,网络天生就是脆弱的。在网络应用过程中,每时每刻都面对无数威胁,可以说世界上任何一个计算机网络都不是绝对安全的。(1)软件本身的问题。在现实中有很多安全问题是因为软件的问题而发生的,比如:系统崩溃是因为软件的可靠性出现问题;安全性不够,软件的运行对用户系统造成损害;软件本身被攻击或被利用,是因为软件本身存在脆弱性,从而为他人的攻击敞开了大门;软件生存性不好,缺少紧急状态下自保护、可恢复的能力,软件自身很容易崩溃,甚至不可崩溃后恢复。(2)网络系统在稳定性和可扩充性方面存在隐患。由于系统设计不规范、不合理以及缺乏安全性考虑所致。
1.2黑客攻击后果严重
近几年,黑客猖狂肆虐,四面出击,很多国家的机密计算机网络都曾经被攻击甚至被瘫痪,造成了难以估量的损失。
1.3网络杀手集团化
信息时代的来临造就了先进的网络社会,同时也使网络黑手越来越发达,网络安全战争已经成为正规战,集团战。网络杀手已经从散兵游勇变成 “专业杀手”,更发展成 “网络恐怖集团”。
1.4破坏手段多元化
目前,网络杀手所使用的武器也越来越精密,其攻击的隐蔽性和破坏力也越来越大,所采取的破坏手段也越来越多,使网络安全防不胜防。从最初的制造、传播病毒、设置“邮箱炸弹”,到利用软件和漏洞,无所不能其极。更严重的是盗用服务器,“假司令”成了“真指挥”,利用“拒绝服务”程序,如TFN和与之相近的程序等,此时服务程序已经受杀手指挥,可以令其向目标网站传输远远超出其带宽容量的垃圾数据,使网络运行中断。
2安全策略
2.1防火墙技术
防火墙的作用是实施访问控制。防火墙是指设置在不同网络或网络安全域之间的一系列部件组合成的惟一出入口。
常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。
防火墙技术的改进 Web交换技术被人们普遍认为是扩展防火墙容量、提高防火墙设备总体可用性的解决方案。在实现防火墙负载平衡时,需要使用两台Web 交换机:一台安装在防火墙的清洁端,另一台安装在不洁端。每台Web交换机都将输入的IP流通过防火墙发向另一端的对应Web交换机。这样就实现了在几个防火墙上的负载平衡,因此,使防火墙可以并行运行,扩展了防火墙的性能,并且消除了防火墙成为单故障点的可能。Web交换机被配置为允许或拒绝对DMZ服务器访问的过滤器,以这种方式实现了两级水平的安全性:一级利用配置在Web交换机上的过滤器对访问进行限制,另一级通过由防火墙进行的状态检查限制访问。
2.2数据传输加密技术
目的是对传输中的数据流加密,常用的有线路加密和端到端加密两种。当这些信息一旦到达目的地,将被自动重组、解密,成为可读数据。数据加密在许多场合集中表现为密钥的应用。密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节上的保密措施。在网络通讯中,信息通过密码加密进行传输已经不再是过去那种点对点的通讯方式,而是面向整个网络经由多个结点,特别是通讯模式不再是以比特为单位进行,而是一个包一个包为单位形式的传递。特别要指出的是光纤通讯成为现实,这些都对密码通讯的安全性提出了很大挑战。很多时候理论上的密码安全不代表在实际应用中安全,理论上不可破,实际中居然易于破解。
2.3部署防毒网关
在网络边界部署KILL防病毒网关,它可以对所有经过的网络流量和数据进行分析过滤,通过对网络层、传输层、应用层数据进行识别和关联分析处理,拦截病毒及可疑网络行为,切断病毒的传播途径。在网络层,KILL防病毒网关可以基于IP地址、端口号和连接行为实现防火墙访问控制;在传输层,基于TCP/UPD/ICMP协议及数据包特征进行分析识别,阻断蠕虫、黑客、DoS/DdoS攻击;在应用层,对多种常用协议(HTTP、SMTP、POP3、FTP等)进行深度分析,进行病毒检查、蠕虫检查、垃圾邮件检查和违规内容检查,保障正常网络数据的传递。
防毒网关不但可以拦截病毒,阻挡病毒,特别是蠕虫的传播,它还可以记录病毒的传播途径。例如:通过查看KILL防病毒网关的过滤日志,网管员可以了解有哪些已感染病毒的IP地址在企图攻击我们的内网,内网中是否已经有机器感染了病毒,并在企图向其他节点进行病毒的传播。这样,网络管理者可以尽快隔离被感染的机器,进一步切断病毒在内网的传播。
2.4防毒墙
防毒墙是为了解决防火墙在防毒方面的缺陷而采取的一种安全措施。防火墙是为了控制访问,但不能防毒,因此将防毒墙设计在网络入口处,对网络传输中的病毒进行过滤。
3网络安全的思考
奥巴马公布美国关于网络安全政策审议报告以来,以美国为首的西方国家,先后成立了网络战司令部、国家信息与网络安全局等机构,发布了网络安全的战略计划,美国国防部甚至规定了网络战司令部今年10月要具备初步作战能力,并在明年10月具备全面的网络战能力,将网络安全上升到了战略的作战领域。以现有的科学技术来看,网络攻击的领域已经不仅仅局限于因特网,卫星、无线电等基础设施网络和舰载、机载的移动设备都有可能成为发动网络攻击的平台。美国已经提出陆、海、空、天和网络空间的五维作战理念。由此可见,网络安全已经提到战争的高度,成为国家安全的重中之重。未来信息安全问题面临许多挑战:日益增强的计算能力和快速变化的计算模式;计算环境日益复杂多样;信息技术发展本身带来的问题;网络与系统攻击的复杂性和动态性;我国信息安全保障工作困难重重。面对这些挑战,应该建立以密码技术为核心的信息安全基础技术体系、构建以监控技术为基础的网络空间安全保障技术体系、构筑以测评技术为基础的信息安全服务技术体系。
4结语
计算机网络安全问题是非常复杂的系统工程,由于网络是一把双刃剑,既要满足开放性的应用要求,又要保证应用中的安全,我们只能不断地去研究和探索,来维护动态的安全。
关键词计算机网络;安全;缺陷;措施
中图分类号TP393文献标识码A文章编号1673-9671-(2010)011-0013-01
随着Internet的迅速发展 , 信息化已经扩展到整个社会,各类网络版应用软件被推广应用,计算机网络在提高数据传输效率,实现数据集中、数据共享等方面发挥着越来越重要的作用,网络与信息系统建设已逐步成为各项工作的重要基础设施。同时电子商务已成为一种潮流,人们可以通过互联网进行网上购物、银行转账等许多商业活动。随着电子商务的不断发展和普及,全球电子交易一体化将成为可能。然而,开放的信息系统必然存在众多潜在的安全隐患,为了确保各项工作的安全高效运行,计算机网络和系统安全建设就显得尤为重要。
1 网络安全缺陷
1.1开放性
开放性是网络本身特有的属性,因此,网络天生就是脆弱的。在网络应用过程中,每时每刻都面对无数威胁,可以说世界上任何一个计算机网络都不是绝对安全的。(1)软件本身的问题。在现实中有很多安全问题是因为软件的问题而发生的,比如:系统崩溃是因为软件的可靠性出现问题;安全性不够,软件的运行对用户系统造成损害;软件本身被攻击或被利用,是因为软件本身存在脆弱性,从而为他人的攻击敞开了大门;软件生存性不好,缺少紧急状态下自保护、可恢复的能力,软件自身很容易崩溃,甚至不可崩溃后恢复。(2)网络系统在稳定性和可扩充性方面存在隐患。由于系统设计不规范、不合理以及缺乏安全性考虑所致。
1.2黑客攻击后果严重
近几年,黑客猖狂肆虐,四面出击,很多国家的机密计算机网络都曾经被攻击甚至被瘫痪,造成了难以估量的损失。
1.3网络杀手集团化
信息时代的来临造就了先进的网络社会,同时也使网络黑手越来越发达,网络安全战争已经成为正规战,集团战。网络杀手已经从散兵游勇变成 “专业杀手”,更发展成 “网络恐怖集团”。
1.4破坏手段多元化
目前,网络杀手所使用的武器也越来越精密,其攻击的隐蔽性和破坏力也越来越大,所采取的破坏手段也越来越多,使网络安全防不胜防。从最初的制造、传播病毒、设置“邮箱炸弹”,到利用软件和漏洞,无所不能其极。更严重的是盗用服务器,“假司令”成了“真指挥”,利用“拒绝服务”程序,如TFN和与之相近的程序等,此时服务程序已经受杀手指挥,可以令其向目标网站传输远远超出其带宽容量的垃圾数据,使网络运行中断。
2安全策略
2.1防火墙技术
防火墙的作用是实施访问控制。防火墙是指设置在不同网络或网络安全域之间的一系列部件组合成的惟一出入口。
常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。
防火墙技术的改进 Web交换技术被人们普遍认为是扩展防火墙容量、提高防火墙设备总体可用性的解决方案。在实现防火墙负载平衡时,需要使用两台Web 交换机:一台安装在防火墙的清洁端,另一台安装在不洁端。每台Web交换机都将输入的IP流通过防火墙发向另一端的对应Web交换机。这样就实现了在几个防火墙上的负载平衡,因此,使防火墙可以并行运行,扩展了防火墙的性能,并且消除了防火墙成为单故障点的可能。Web交换机被配置为允许或拒绝对DMZ服务器访问的过滤器,以这种方式实现了两级水平的安全性:一级利用配置在Web交换机上的过滤器对访问进行限制,另一级通过由防火墙进行的状态检查限制访问。
2.2数据传输加密技术
目的是对传输中的数据流加密,常用的有线路加密和端到端加密两种。当这些信息一旦到达目的地,将被自动重组、解密,成为可读数据。数据加密在许多场合集中表现为密钥的应用。密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节上的保密措施。在网络通讯中,信息通过密码加密进行传输已经不再是过去那种点对点的通讯方式,而是面向整个网络经由多个结点,特别是通讯模式不再是以比特为单位进行,而是一个包一个包为单位形式的传递。特别要指出的是光纤通讯成为现实,这些都对密码通讯的安全性提出了很大挑战。很多时候理论上的密码安全不代表在实际应用中安全,理论上不可破,实际中居然易于破解。
2.3部署防毒网关
在网络边界部署KILL防病毒网关,它可以对所有经过的网络流量和数据进行分析过滤,通过对网络层、传输层、应用层数据进行识别和关联分析处理,拦截病毒及可疑网络行为,切断病毒的传播途径。在网络层,KILL防病毒网关可以基于IP地址、端口号和连接行为实现防火墙访问控制;在传输层,基于TCP/UPD/ICMP协议及数据包特征进行分析识别,阻断蠕虫、黑客、DoS/DdoS攻击;在应用层,对多种常用协议(HTTP、SMTP、POP3、FTP等)进行深度分析,进行病毒检查、蠕虫检查、垃圾邮件检查和违规内容检查,保障正常网络数据的传递。
防毒网关不但可以拦截病毒,阻挡病毒,特别是蠕虫的传播,它还可以记录病毒的传播途径。例如:通过查看KILL防病毒网关的过滤日志,网管员可以了解有哪些已感染病毒的IP地址在企图攻击我们的内网,内网中是否已经有机器感染了病毒,并在企图向其他节点进行病毒的传播。这样,网络管理者可以尽快隔离被感染的机器,进一步切断病毒在内网的传播。
2.4防毒墙
防毒墙是为了解决防火墙在防毒方面的缺陷而采取的一种安全措施。防火墙是为了控制访问,但不能防毒,因此将防毒墙设计在网络入口处,对网络传输中的病毒进行过滤。
3网络安全的思考
奥巴马公布美国关于网络安全政策审议报告以来,以美国为首的西方国家,先后成立了网络战司令部、国家信息与网络安全局等机构,发布了网络安全的战略计划,美国国防部甚至规定了网络战司令部今年10月要具备初步作战能力,并在明年10月具备全面的网络战能力,将网络安全上升到了战略的作战领域。以现有的科学技术来看,网络攻击的领域已经不仅仅局限于因特网,卫星、无线电等基础设施网络和舰载、机载的移动设备都有可能成为发动网络攻击的平台。美国已经提出陆、海、空、天和网络空间的五维作战理念。由此可见,网络安全已经提到战争的高度,成为国家安全的重中之重。未来信息安全问题面临许多挑战:日益增强的计算能力和快速变化的计算模式;计算环境日益复杂多样;信息技术发展本身带来的问题;网络与系统攻击的复杂性和动态性;我国信息安全保障工作困难重重。面对这些挑战,应该建立以密码技术为核心的信息安全基础技术体系、构建以监控技术为基础的网络空间安全保障技术体系、构筑以测评技术为基础的信息安全服务技术体系。
4结语
计算机网络安全问题是非常复杂的系统工程,由于网络是一把双刃剑,既要满足开放性的应用要求,又要保证应用中的安全,我们只能不断地去研究和探索,来维护动态的安全。