网络安全现状分析及应对措施
2009-12-11吕江
吕 江
摘要:随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。信息网络中存储、传输和处理的信息有许多是重要的政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要信息,这些信息难免会吸引来自世界各地的各种人为攻击(例如信息泄露、信息窃取、数据篡改、数据删添、计算机病毒等)。同时,网络实体还要经受自然灾害。网络安全已经成为严重的社会问题之一。
关键词:网络安全;对策;黑客;防火墙
1 国内网络安全现状分析
随着网络尤其是因特网在我国的迅速普及,针对我国境内信息系统的攻击正在呈现快速增长的势头,利用网络传播有害信息的手段日益翻新,据了解,从1997年底到现在,我国的政府部门、证券公司、银行、ISP、ICP 等机构的计算机网络相继遭到多次攻击.仅2001年四月份我国有记录在案的被来自境外黑客攻击的案例就多达443次。我国公安机关2002年共受理各类信息网络违法犯罪案件6633起,比2001年增长45.9%,其中利用计算机实施的违法犯罪案件5301起,占案件总数的80%。
我国互联网安全的状况可以分为几部分:信息和网络的安全防护能力差;基础信息产业严重以来国外;信息安全管理机构权威性不够;网络安全人才短缺;全社会的信息安全意识淡薄。
2 网络面临的安全威胁
网络的安全威胁主要来自以下几个方面:
实体摧毁。实体摧毁是计算机网络安全面对的“硬杀伤”威胁。主要有电磁攻击、兵力破坏和火力打击3种。
无意失误。如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。
黑客攻击。没有预先经过同意,就使用网络或计算机资源被看作非授权访问。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。某些新的信息技术在大大方便使用者的同时,也为“黑客”的入侵留下了大大小小的系统安全漏洞,令系统内部或外部人员可以轻易地对系统进行恶意入侵。比如,黑客可以使用一种称为“IP spoofing”的技术,假冒用户IP地址,从而进入内部IP 网络,对网页及内部数据库进行破坏性修改或进行反复的大量的查询操作,使服务器不堪重负直至瘫痪。
病毒破坏。大量的来自于互联网上的病毒。通过网络传播计算机病毒,其破坏性非常高, 而且用户很难防范。如众所周知的CIH、“爱虫”,以及“冲击波”、“震荡波”等病毒都具有极大的破坏性。这些病毒在互联网上以几何级数进行自我繁殖,在短时间内导致大量的计算机系统瘫痪,损失惨重。现在,互联网上病毒的种类五花八门, 不计其数,其对计算机系统的危害更是令所有的互联网用户以及网络安全专家面临巨大的挑战。
TCP/IP 协议上的某些不安全因素。目前广泛使用的TCP/IP协议存在安全漏洞。如IP层协议就有许多安全缺陷。IP地址可以软件设置,这就造成了地址假冒和地址欺骗两类安全隐患;IP协议支持源路由方式,即源点可以指定信息包传送到目的节点的中间路由,这就提供了源路由攻击的条件。再如应用层协议Telnet,FTP,SMTP等协议缺乏认证和保密措施,这就为否认、拒绝等欺骗行为开了方便之门。
网络软件的漏洞和“后门”。网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”被打开,其造成的后果将不堪设想。
网络滥用。在一些企业的内部网上,对不恰当的WEB站点进行访问、收发垃圾邮件、利用网络与其他员工或网络用户进行非正当通讯等情况普遍存在,导致大量网络资源的无谓消耗,使网络的使用效率和安全性能大大降低,甚至影响正常的网络通讯。
3 网络安全问题的对策
网络安全所采用的关键技术和措施有:
保密工作。对工作人员结合机房、硬件、软件、数据和网络等各个方面安全问题,进行安全教育,提高工作人员的保密观念和责任心;加强业务、技术的培训,提高操作技能;教育工作人员严格遵守操作规程和各项保密规定,防止人为事故的发生。
保护传输线路安全。对于传输线路,应有露天保护措施或埋于地下,并要求远离各种辐射源,以减少各种辐射引起的数据错误;电缆铺设应当使用金属导管,以减少各种辐射引起的电磁泄露和对发送线路的干扰。对连接要定期检查,以检测是否有搭线窃听、外连或破坏行为。
目前主要防护措施有两类:一类是对外围辐射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合;给网络加装电磁屏蔽网,防止敌方电磁武器的攻击。另一类是对自身辐射的防护,这类防护措施又可分为两种:一是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;二是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。
防御黑客攻击。黑客攻击是黑客自己开发或利用已有的工具寻找计算机系统和网络的缺陷和漏洞,并对这些缺陷实施攻击。在计算机网络飞速发展的同时,黑客技术也日益高超,目前黑客能运用的攻击软件已有1000多种。从网络防御的角度讲,计算机黑客是一个挥之不去的梦魇。借助黑客工具软件,黑客可以有针对性地频频对敌方网络发动袭击令其瘫痪,多名黑客甚至可以借助同样的软件在不同的地点“集中火力”对一个或者多个网络发起攻击。而且,黑客们还可以把这些软件神不知鬼不觉地通过互联网按到别人的电脑上,然后在电脑主人根本不知道的情况下“借刀杀人”,以别人的电脑为平台对敌方网站发起攻击!美军认为,在未来计算机网络进攻战中,“黑客战”将是其基本战法之一。
理论上开放系统都会有漏洞的,正是这些漏洞被一些拥有很高技术水平和超强耐性的黑客所利用。黑客们最常用的手段是获得超级用户口令,他们总是先分析目标系统正在运__行哪些应用程序,目前可以获得哪些权限,有哪些漏洞可加以利用,并最终利用这些漏洞获取超级用户权限,再达到他们的目的。因此,对黑客攻击的防御,主要从访问控制技术、防火墙技术和信息加密技术入手。
访问控制。访问控制是网络安全防范和保护的主要策略,他的主要任务是保证网络资源不被非法使用和非常访问。他也是维护网络系统安全、保护网络资源的重要手段。可以说是保证网络安全最重要的核心策略之一。访问控制技术主要包括7种:入网访问控制;网络的权限控制;目录级安全控制;属性安全控制;网络服务器安全控制;网络监测和锁定控制;网络端口和节点的安全控制。
根据网络安全的等级,网络空间的环境不同,可灵活地设置访问控制的种类和数量。
防火墙技术。防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,他是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。一个防火墙系统通常由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的IP路由器,他通过对每一个到来的IP包依据一组规则进行检查来判断是否对之进行转发。代理服务器是防火墙系统中的一个服务器进程,他能够代替网络用户完成特定的TCP/IP功能。一个代理服务器本质上是一个应用层的网关,一个为特定网络应用而连接两个网络的网关。目前的防火墙主要有包过滤防火墙、代理防火墙和双穴主机防火墙3种类型,并在计算机网络得到了广泛的应用。防火墙的确是一种重要的新型安全措施。但是,防火墙也不能解决进入防火墙的数据带来的所有安全问题。如果用户抓来一个程序在本地运行,那个程序很可能就包含一段恶意的代码,或泄露敏感信息,或对之进行破坏。防火墙的另一个缺点是很少有防火墙制造商推出简便易用的“监狱看守”型的防火墙,大多数的产品还停留在需要网络管理员手工建立的水平上。
信息加密技术。信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密3种。
①链路加密的目的是保护网络节点之间的链路信息安全;
②端-端加密的目的是对源端用户到目的端用户的数据提供保护;
③节点加密的目的是对源节点到目的节点之间的传输链路提供保护。
用户可根据网络情况酌情选择上述加密方式。信息加密过程是由形形色色的加密算法来具体实施,他以很小的代价提供很大的安全保护。在多数情况下,信息加密是保证信息机密性的惟一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。
在常规密码中,收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。在公钥密码中,收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导出解密密钥。当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用,比如:利用DES或者IDEA来加密信息,而采用RSA来传递会话密钥。密码技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。
防御计算机病毒。如果说,黑客们入侵计算机网络事件是从计算机网络中向外窃取信息情报的话。那么计算机病毒则是人们向内攻击计算机网络的方法了。目前计算机病毒已经搅得世界不得安宁,并且他将继续逞凶在未来的信息战场之上,成为各国军队不得不认真对付的一种高技术武器。
由于计算机病毒的传染性、潜伏性和巨大的破坏性。计算机病毒作为信息战的武器,其攻防对抗的焦点和关键技术是病毒的制作技术、注入技术、激活技术和隔离技术,其中实施病毒战难度最大的是注入、激活和隔离技术。防御计算机病毒,首先要进行计算机病毒的种类、性能、干扰机理的研究,加强计算机病毒注入、激活、耦合技术的研究和计算机病毒的防御技术的研究。但是要从根本上解决问题,就必须要用我国自己的安全设备加强信息与网络的安全性,大力发展基于自主技术的信息安全产业。这样才能从根本上摆脱引进国外的关键信息系统难以安全利用、有效监控的被动局面。
4 结束语
网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。它主要是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。