论文部分内容阅读
【摘要】文章介绍了黑客对计算机信息系统进行攻击的手段和计算机网络面临的威胁,重点阐述了计算机网络的安全策略。
【关键词】网络;安全;黑客;威胁
Network safety strategy and black guest attack threat
Zhao Shangshu
【Abstract】The thesis introduces the means to attack computer information system by hacker and the threat which computer network faced. The focus is discussing the security strategy of computer network.
【Key Words】Network; Security; Hacker; Threat
1.计算机网络面临的威胁
计算机网络所面临的威胁大体可分为2种:对网络中信息的威胁和对网络中设备的威胁。影响计算机网络的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;可能是外来黑客对网络系统资源的非法使用。归结起来,针对网络安全的威胁主要有以下3方面。
1.1人为的无意失误如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会给网络安全带来威胁。
1.2人为的恶意攻击这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下2种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一种是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这2种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。
1.3网络软件的漏洞和“后门”网络软件不可能毫无缺陷和漏洞,而这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。曾出现过黑客攻入网络内部的事件,这些事件大部分是由于安全措施不完善所招致。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。
2.黑客攻击企业信息系统的手段
2.1TCP/IP协议存在安全漏洞:目前使用最广泛的网络协议是TCP/IP协议,而TCP/IP协议恰恰存在安全漏洞。如IP层协议就有许多安全缺陷。IP地址可以软件设置,这就造成了地址假冒和地址欺骗2类安全隐患;再如应用层协议Telnet、FTP、SMTP等协议缺乏认证和保密措施,这就为否认、拒绝等欺瞒行为打开了方便之门。运行TCP/IP协议的网络系统存在如下5种类型的威胁和攻击:欺骗攻击、否认服务、拒绝服务、数据截取和数据纂改。
2.2黑客攻击网络信息系统的手段:黑客攻击的目标不同,但采用的攻击方式和手段却有一定的共同性。黑客攻击一般有如下3个步骤。
2.2.1信息收集:信息收集的目的是为了进入所要攻击的目标网络的数据库。黑客会利用一些公开协议或工具如SNMP协议、Trace Route程序、DNS服务器、Ping实用程序等收集驻留在网络系统中的各个主机系统的相关信息。
2.2.2系统安全弱点的探测与分析:在收集到攻击目标的一批网络信息后,黑客会探测网络上的每台主机,以寻求该系统的安全漏洞或安全弱点,黑客可能使用自编程序和公开工具象Internet的电子安全扫描程序ISS (Internet Security Scanner)、审计网络用的安全分析工具SATAN(Security Analysis Tool for Auditing Network)等自动扫描驻留网络上的主机。
2.2.3实施网络攻击:黑客使用上述方法收集或探测到一些“有用”信息后,就可能会对目标系统实施攻击。
3.计算机网络的安全策略
3.1物理安全策略:该策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
抑制和防止电磁泄漏(即TEMPEST技术)是物理安全策略的主要问题。
3.2访问控制策略:访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。
3.2.1入网访问控制:入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。
3.2.2网络的权限控制:网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。根据访问权限可将用户分为以下几类:特殊用户(即系统管理员);一般用户,系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。
3.2.3目录级安全控制:网络应允许控制用户对目录、文件、设备的访问。
3.2.4属性安全控制:当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。
3.2.5网络服务器安全控制:网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
3.2.6网络监测和锁定控制:网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形、文字或声音等形式报警,以引起网络管理员的注意。
3.2.7网络端口和节点的安全控制:网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。网络还常对服务器端和用户端采取控制,用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)。在对用户的身份进行验证之后,才允许用户进入用户端。然后,用户端和服务器端再进行相互验证。
3.2.8防火墙控制:防火墙有助于提高主系统总体安全性。防火墙系统可以是路由器,也可以是个人机、主系统或者是一批主系统,专门用于把网点或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。防火墙可以从通信协议的各个层次以及应用中获取、存储并管理相关的信息,以便实施系统的访问安全决策控制。
4.信息加密策略
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密的常用方法有链路加密、端点加密和节点加密3种。链路加密的目的是保护网络节点之间的链路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。
5.网络安全管理策略
在网络安全中,除采用上述技术措施外,加强网络安全管理,制定有关规章制度,对于确保网络安全、可靠运行将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。
当前,第三代智能网络已在酝酿, 以Internet为代表和主体的信息网络必将在21世纪成为人类生产、生活自下而上的一个基本方式。世界各国都以战略眼光注视着其发展, 并在积极谋取网上优势和主动权,随之而来的信息安全问题更加突出。我们应当充分相信我国的制度优越性和人民的智慧与觉悟, 积极寻求解决中国特色的Internet安全问题的办法。
参考文献
[1]精英科技.企业级网络建设实务[M].北京:中国电力出版社,2003
收稿日期:2008-04-24
【关键词】网络;安全;黑客;威胁
Network safety strategy and black guest attack threat
Zhao Shangshu
【Abstract】The thesis introduces the means to attack computer information system by hacker and the threat which computer network faced. The focus is discussing the security strategy of computer network.
【Key Words】Network; Security; Hacker; Threat
1.计算机网络面临的威胁
计算机网络所面临的威胁大体可分为2种:对网络中信息的威胁和对网络中设备的威胁。影响计算机网络的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;可能是外来黑客对网络系统资源的非法使用。归结起来,针对网络安全的威胁主要有以下3方面。
1.1人为的无意失误如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会给网络安全带来威胁。
1.2人为的恶意攻击这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下2种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一种是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这2种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。
1.3网络软件的漏洞和“后门”网络软件不可能毫无缺陷和漏洞,而这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。曾出现过黑客攻入网络内部的事件,这些事件大部分是由于安全措施不完善所招致。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。
2.黑客攻击企业信息系统的手段
2.1TCP/IP协议存在安全漏洞:目前使用最广泛的网络协议是TCP/IP协议,而TCP/IP协议恰恰存在安全漏洞。如IP层协议就有许多安全缺陷。IP地址可以软件设置,这就造成了地址假冒和地址欺骗2类安全隐患;再如应用层协议Telnet、FTP、SMTP等协议缺乏认证和保密措施,这就为否认、拒绝等欺瞒行为打开了方便之门。运行TCP/IP协议的网络系统存在如下5种类型的威胁和攻击:欺骗攻击、否认服务、拒绝服务、数据截取和数据纂改。
2.2黑客攻击网络信息系统的手段:黑客攻击的目标不同,但采用的攻击方式和手段却有一定的共同性。黑客攻击一般有如下3个步骤。
2.2.1信息收集:信息收集的目的是为了进入所要攻击的目标网络的数据库。黑客会利用一些公开协议或工具如SNMP协议、Trace Route程序、DNS服务器、Ping实用程序等收集驻留在网络系统中的各个主机系统的相关信息。
2.2.2系统安全弱点的探测与分析:在收集到攻击目标的一批网络信息后,黑客会探测网络上的每台主机,以寻求该系统的安全漏洞或安全弱点,黑客可能使用自编程序和公开工具象Internet的电子安全扫描程序ISS (Internet Security Scanner)、审计网络用的安全分析工具SATAN(Security Analysis Tool for Auditing Network)等自动扫描驻留网络上的主机。
2.2.3实施网络攻击:黑客使用上述方法收集或探测到一些“有用”信息后,就可能会对目标系统实施攻击。
3.计算机网络的安全策略
3.1物理安全策略:该策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
抑制和防止电磁泄漏(即TEMPEST技术)是物理安全策略的主要问题。
3.2访问控制策略:访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。
3.2.1入网访问控制:入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。
3.2.2网络的权限控制:网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。根据访问权限可将用户分为以下几类:特殊用户(即系统管理员);一般用户,系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。
3.2.3目录级安全控制:网络应允许控制用户对目录、文件、设备的访问。
3.2.4属性安全控制:当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。
3.2.5网络服务器安全控制:网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
3.2.6网络监测和锁定控制:网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形、文字或声音等形式报警,以引起网络管理员的注意。
3.2.7网络端口和节点的安全控制:网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。网络还常对服务器端和用户端采取控制,用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)。在对用户的身份进行验证之后,才允许用户进入用户端。然后,用户端和服务器端再进行相互验证。
3.2.8防火墙控制:防火墙有助于提高主系统总体安全性。防火墙系统可以是路由器,也可以是个人机、主系统或者是一批主系统,专门用于把网点或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。防火墙可以从通信协议的各个层次以及应用中获取、存储并管理相关的信息,以便实施系统的访问安全决策控制。
4.信息加密策略
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密的常用方法有链路加密、端点加密和节点加密3种。链路加密的目的是保护网络节点之间的链路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。
5.网络安全管理策略
在网络安全中,除采用上述技术措施外,加强网络安全管理,制定有关规章制度,对于确保网络安全、可靠运行将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。
当前,第三代智能网络已在酝酿, 以Internet为代表和主体的信息网络必将在21世纪成为人类生产、生活自下而上的一个基本方式。世界各国都以战略眼光注视着其发展, 并在积极谋取网上优势和主动权,随之而来的信息安全问题更加突出。我们应当充分相信我国的制度优越性和人民的智慧与觉悟, 积极寻求解决中国特色的Internet安全问题的办法。
参考文献
[1]精英科技.企业级网络建设实务[M].北京:中国电力出版社,2003
收稿日期:2008-04-24