论文部分内容阅读
摘?要 本文探讨了当前因特网安全问题的成因,简述了因特网安全防范常用技术。
关键词 因特网安全;恶意攻击;防火墙
中图分类号 TP393 文献标识码 A 文章编号 1673-9671-(2012)111-0147-01
随着因特网的广泛普及和应用,政府、军队大量的机密文件和重要数据,企业的商业秘密乃至个人信息都存储在计算机中,一些不法之徒千方百计地“闯入”因特网,窃取和破坏机密材料和个人信息。据统计,现在全球平均每20秒钟就发生一次网上入侵事件,一旦黑客找到系统的薄弱环节,所有用户均会遭殃。从国内情况来看,目前我国95%的与因特网相联的网络管理中心都遭到过境内外黑客的攻击或侵入。也许当前由于这样或那样的原因,对网络的攻击很难完全遏制,但是探讨因特网安全是网络时代永恒的任务。
1 影响因特网安全的原因
1.1 网络资源的共享性
因特网的重要特征就是网络资源共享。很多时候,在将自己的重要资料共享给因特网中的其他用户访问时,我们往往有很大的随意性,这种做法带来了安全隐患。美国情报部门认为,现在很多极有价值的情报都可以在因特网上找到,网络搜寻几乎能够取代费尽人力物力且风险极大的传统间谍手段。美国军方研究中国军情的权威文件——《中国军事与安全态势发展报告》中,有相当一部分信息取自中国军迷们发布的网络信息。
1.2 网络的开放性
开放性是因特网最根本的特性,整个因特网就是建立在自由开放的基础之上的。开放性意味着任何人都能够得到发表在网络上的任何事物,意味着任何个人、任何组织包括国家和政府,都不能完全控制因特网。这实质上意味着个体权利和能力的扩张及其对传统的金字塔模式的社会政治经济结构和体制的消解,为个体对国家和社会的基于实力平等的挑战提供了可能。
1.3 网络操纵系统的漏洞
网络漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。具体举例来说,比如在Inter Pentium芯片中存在的逻辑错误,在Send mail早期版本中的编程错误,在NFS协议中认证方式上的弱点,在Unix系统管理员设置匿名Ftp服务时配置不当的问题都可能被攻击者使用,威胁到系统的安全。因而这些都可以认为是系统中存在的安全漏洞。
1.4 恶意攻击
网络恶意攻击通常有以下几种方式:一是用户某些网站时会遭到恶意攻击,特别是登录色情、赌博等不良网站时。二是黑客趁用户下载某些软件之际悄悄发动攻击,令用户难以识别。三是黑客利用第三方的广告将恶意软件侵入用户系统,比如黑客会利用某个广告提醒用户,其系统已感染病毒,当用户根据广告提示去链接某个据说能杀病毒的网站时,这时“潜伏”在这个网站的恶意软件便会侵入用户系统。四是黑客会设计用户信任的银行等网站的标识,当用户放松警惕登录这一网站时,便会遭到恶意软件的攻击。
2 因特网安全防范常用技术
当前常用的因特网安全技术有五种:防火墙(Fire Wal1)技术,数据加密技术,系统容灾技术,漏洞扫描技术和物理安全技术。
2.1 防火墙技术
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起—个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。防火墙也并非人们想象的那样不可渗透。在过去的统计中曾遭受过黑客入侵的网络用户有三分之一是有防火墙保护的,也就是说要保证网络信息的安全还必须有其他一系列措施,例如对数据进行加密处理。
2.2 数据加密技术
数据加密就是对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息的一种技术手段。数据加密技术按作用不同可分为数据存储、数据传输、数据完整性的鉴别以及密匙管理技术4种。数据存储加密技术是以防止在存储环节上的数据失密为目的,可分为密文存储和存取控制两种;数据传输加密技术的目的是对传输中的数据加密,常用的有线路加密和端口加密两种方法;数据完整性鉴别技术的目的是对介入信息的传送、存取、处理人的身份和相关数据内容进行验证,达到保密的要求,系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对数据的安全保护。数据密匙管理技术包括密匙的产生、分配保存、更换与销毁等各环节上的保密措施。
2.3 系统容灾技术
一个完整的网络安全体系还必须具有灾难容忍和系统恢复能力。这就要求即使发生系统灾难,也能快速地恢复系统和数据。现阶段主要有基于数据备份和基于系统容错的系统容灾技术。数据备份是数据保护的最后屏障,不允许有任何闪失。但离线介质不能保证安全。数据容灾通过IP容灾技术来保证数据的安全。数据容灾使用两个存储器,在两者之间建立复制关系,一个放在本地,另一个放在异地。本地存储器供本地备份系统使用,异地容灾备份存储器实时复制本地备份存储器的关键数据。二者通过IP相连,构成完整的数据容灾系统,也能提供数据库容灾功能。
2.4 漏洞扫描技术
漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞:一是漏洞库的匹配方法,基于网络系统漏洞库的漏洞扫描的关键部分就是它所使用的漏洞库。通过采用基于规则的匹配技术,即根据安全专家对网络系统安全漏洞、黑客攻击案例的分析和系统管理员对网络系统安全配置的实际经验,可以形成一套标准的网络系统漏洞库,然后再在此基础之上构成相应的匹配规则,由扫描程序自动的进行漏洞扫描的工作。这样,漏洞库信息的完整性和有效性决定了漏洞扫描系统的性能,漏洞库的修订和更新的性能也会影响漏洞扫描系统运行的时间。二是插件(功能模块技术)技术,插件是由脚本语言编写的子程序,扫描程序可以通过调用它来执行漏洞扫描,检测出系统中存在的一个或多个漏洞。 添加新的插件就可以使漏洞扫描软件增加新的功能,扫描出更多的漏洞,因而使漏洞扫描软件具有强的扩展性。
2.5 物理安全
物理安全主要是指通过物理隔离实现网络安全。所谓“物理隔离”是指内部网不直接或间接地连接公共网。物理安全的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。只有使内部网和公共网物理隔离,才能真正保证内部信息网络不受来自因特网的黑客攻击。因此,我们要保证涉密网的信息不被泄露和破坏,就必须有一道绝对安全的大门,这就是物理隔离所起的作用。
3 结束语
随着互联网技术的飞速发展,新的安全问题不断产生和变化,因此只有不断创新的技术进步与应用、加强自身管理制度和提高网络工作人员素质,才能够切实保障网络信息的安全。
参考文献
[1]徐国爱,张森,彭俊好.网络安全[M].北京:北京邮电大学出版社,2007.
[2]苗晓锋.网络传输安全技术研究[J].安康学院学报,2008,4.
作者简介
薛斌(1978—),男,陕西蒲城人,硕士,九江学院实验中心实验师,研究方向:计算机技术与应用(计算机网络)。
关键词 因特网安全;恶意攻击;防火墙
中图分类号 TP393 文献标识码 A 文章编号 1673-9671-(2012)111-0147-01
随着因特网的广泛普及和应用,政府、军队大量的机密文件和重要数据,企业的商业秘密乃至个人信息都存储在计算机中,一些不法之徒千方百计地“闯入”因特网,窃取和破坏机密材料和个人信息。据统计,现在全球平均每20秒钟就发生一次网上入侵事件,一旦黑客找到系统的薄弱环节,所有用户均会遭殃。从国内情况来看,目前我国95%的与因特网相联的网络管理中心都遭到过境内外黑客的攻击或侵入。也许当前由于这样或那样的原因,对网络的攻击很难完全遏制,但是探讨因特网安全是网络时代永恒的任务。
1 影响因特网安全的原因
1.1 网络资源的共享性
因特网的重要特征就是网络资源共享。很多时候,在将自己的重要资料共享给因特网中的其他用户访问时,我们往往有很大的随意性,这种做法带来了安全隐患。美国情报部门认为,现在很多极有价值的情报都可以在因特网上找到,网络搜寻几乎能够取代费尽人力物力且风险极大的传统间谍手段。美国军方研究中国军情的权威文件——《中国军事与安全态势发展报告》中,有相当一部分信息取自中国军迷们发布的网络信息。
1.2 网络的开放性
开放性是因特网最根本的特性,整个因特网就是建立在自由开放的基础之上的。开放性意味着任何人都能够得到发表在网络上的任何事物,意味着任何个人、任何组织包括国家和政府,都不能完全控制因特网。这实质上意味着个体权利和能力的扩张及其对传统的金字塔模式的社会政治经济结构和体制的消解,为个体对国家和社会的基于实力平等的挑战提供了可能。
1.3 网络操纵系统的漏洞
网络漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。具体举例来说,比如在Inter Pentium芯片中存在的逻辑错误,在Send mail早期版本中的编程错误,在NFS协议中认证方式上的弱点,在Unix系统管理员设置匿名Ftp服务时配置不当的问题都可能被攻击者使用,威胁到系统的安全。因而这些都可以认为是系统中存在的安全漏洞。
1.4 恶意攻击
网络恶意攻击通常有以下几种方式:一是用户某些网站时会遭到恶意攻击,特别是登录色情、赌博等不良网站时。二是黑客趁用户下载某些软件之际悄悄发动攻击,令用户难以识别。三是黑客利用第三方的广告将恶意软件侵入用户系统,比如黑客会利用某个广告提醒用户,其系统已感染病毒,当用户根据广告提示去链接某个据说能杀病毒的网站时,这时“潜伏”在这个网站的恶意软件便会侵入用户系统。四是黑客会设计用户信任的银行等网站的标识,当用户放松警惕登录这一网站时,便会遭到恶意软件的攻击。
2 因特网安全防范常用技术
当前常用的因特网安全技术有五种:防火墙(Fire Wal1)技术,数据加密技术,系统容灾技术,漏洞扫描技术和物理安全技术。
2.1 防火墙技术
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起—个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。防火墙也并非人们想象的那样不可渗透。在过去的统计中曾遭受过黑客入侵的网络用户有三分之一是有防火墙保护的,也就是说要保证网络信息的安全还必须有其他一系列措施,例如对数据进行加密处理。
2.2 数据加密技术
数据加密就是对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息的一种技术手段。数据加密技术按作用不同可分为数据存储、数据传输、数据完整性的鉴别以及密匙管理技术4种。数据存储加密技术是以防止在存储环节上的数据失密为目的,可分为密文存储和存取控制两种;数据传输加密技术的目的是对传输中的数据加密,常用的有线路加密和端口加密两种方法;数据完整性鉴别技术的目的是对介入信息的传送、存取、处理人的身份和相关数据内容进行验证,达到保密的要求,系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对数据的安全保护。数据密匙管理技术包括密匙的产生、分配保存、更换与销毁等各环节上的保密措施。
2.3 系统容灾技术
一个完整的网络安全体系还必须具有灾难容忍和系统恢复能力。这就要求即使发生系统灾难,也能快速地恢复系统和数据。现阶段主要有基于数据备份和基于系统容错的系统容灾技术。数据备份是数据保护的最后屏障,不允许有任何闪失。但离线介质不能保证安全。数据容灾通过IP容灾技术来保证数据的安全。数据容灾使用两个存储器,在两者之间建立复制关系,一个放在本地,另一个放在异地。本地存储器供本地备份系统使用,异地容灾备份存储器实时复制本地备份存储器的关键数据。二者通过IP相连,构成完整的数据容灾系统,也能提供数据库容灾功能。
2.4 漏洞扫描技术
漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞:一是漏洞库的匹配方法,基于网络系统漏洞库的漏洞扫描的关键部分就是它所使用的漏洞库。通过采用基于规则的匹配技术,即根据安全专家对网络系统安全漏洞、黑客攻击案例的分析和系统管理员对网络系统安全配置的实际经验,可以形成一套标准的网络系统漏洞库,然后再在此基础之上构成相应的匹配规则,由扫描程序自动的进行漏洞扫描的工作。这样,漏洞库信息的完整性和有效性决定了漏洞扫描系统的性能,漏洞库的修订和更新的性能也会影响漏洞扫描系统运行的时间。二是插件(功能模块技术)技术,插件是由脚本语言编写的子程序,扫描程序可以通过调用它来执行漏洞扫描,检测出系统中存在的一个或多个漏洞。 添加新的插件就可以使漏洞扫描软件增加新的功能,扫描出更多的漏洞,因而使漏洞扫描软件具有强的扩展性。
2.5 物理安全
物理安全主要是指通过物理隔离实现网络安全。所谓“物理隔离”是指内部网不直接或间接地连接公共网。物理安全的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。只有使内部网和公共网物理隔离,才能真正保证内部信息网络不受来自因特网的黑客攻击。因此,我们要保证涉密网的信息不被泄露和破坏,就必须有一道绝对安全的大门,这就是物理隔离所起的作用。
3 结束语
随着互联网技术的飞速发展,新的安全问题不断产生和变化,因此只有不断创新的技术进步与应用、加强自身管理制度和提高网络工作人员素质,才能够切实保障网络信息的安全。
参考文献
[1]徐国爱,张森,彭俊好.网络安全[M].北京:北京邮电大学出版社,2007.
[2]苗晓锋.网络传输安全技术研究[J].安康学院学报,2008,4.
作者简介
薛斌(1978—),男,陕西蒲城人,硕士,九江学院实验中心实验师,研究方向:计算机技术与应用(计算机网络)。