探求网络密码破解安全隐患
2016-06-16朱则刚
朱则刚
探求网络密码破解安全隐患
朱则刚
To Search after the Network Code & Break the Spell of Security Hidden Danger
Zhu Zegang
随着Internet的飞速发展与全球性信息高速公路的建设,信息和计算机网络系统现在己成为社会发展的重要保证。网络安全技术指致力于解决诸如如何有效进行介入控制,以及何如保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。在网络技术高速发展的今天,对网络安全技术的研究意义重大,它关系到小至个人的利益,大至国家的安全。信息与网络给人类社会科学与技术的发展带来了巨大的推动与冲击,同时也引发了许多异想不到的问题,Internet的安全就是其中之一,在网络上如何保证合法用户对资源的合法访问以及如何防止网络黑客攻击,成为网络安全的主要内容,因此受到了全社会的广泛关注。
1、网络信息安全关系到国家的安全和个人利益
人类社会已经进入信息时代,或称网络化时代,因特网、计算机网和各种通信网的飞速发展,使得网络已经成为人们新的社会生活空间。网络的出现不仅改变了生产方式和生活方式,还导致了传统意义上军事安全界线的消失,战争形态的变化,战场空间的拓展。网络,继空、地、海、天、电之后,成为“第六维”空间战场。
在信息时代里,网络化的信息系统已经成为国家经济建设和国防力量的重要标志和支柱,国家和军队的大部分信息活动都是在网络中进行的,通过互联网和局域网来处理各项业务,脱离网络的电脑单机几乎已经不复存在。从某种意义上讲,网络系统,成为军队建设由机械化向信息化转型的核心和关键。网络的崛起和广泛应用,使得信息网络安全问题变得日益突出,成为国家和军队安全所需关注的重要领域。对网络的高度依赖,使网络正在成为各个国家和军队之间争夺的重要战场空间,对计算机网络和通信网络进行信息攻击和物理攻击,已经成为一种重要的作战手段。
计算机自产生之初发展迅速,随着各种网络技术的发展和应用的普及,网络信息化浪潮席卷全球,如今人们的生活、办公、娱乐再也离不开网络,网络在很大程度上改变着人们的生活习惯。相比于国外在网络安全上做的很多工作,我国的网络信息安全管理还存在很多问题,信息泄露、安全隐患的存在给相关机构造成巨大的经济损失,一些重要信息的泄露还可能产生无法挽回的损失,所以网络信息安全管理成为我们必须直面和解决的问题。
由于一切重要信息的产生、传递和存储几乎无例外地都采用了数字形式,一个完整的信息系统更可能成为电子间谍、破坏者和盗窃者入侵的对象。以窃取、篡改和破坏数据与软件的方式,对网络和计算机系统进行攻击,具有很大的破坏性。一个国家和军队的物理基础设施越是依赖信息系统,信息网络安全问题也就愈突出。军队对民用技术与系统日益强烈的依赖,军用与民用网络的互联、互通和互操作性的增强,以及越来越大量的军事信息寄驻于民用基础设施中等,使军事和民用网络都面临着严重的信息攻击威胁和物理攻击威胁。计算机网、因特网和各种通信网发展的速度越快,社会与军队信息化程度越高,通信、计算机和信息网的安全就愈显得重要,网络信息安全问题就变得日益突出和迫切。
瓶颈突破之后,宽带上网进入高速发展时期,速度快就是宽带最大的优势,可以预见,宽带接入必将成为人们上网的主导方式。近几年来,宽带上网在我国发展极为迅猛,ADsL、光纤+LAN、光纤到户(FTTH)依次逐渐成为高速上网的主导方式,人们在享受宽带互联网所带来的方便快捷和娱乐新体验的同时,信息安全问题也逐渐成为人们关注的重点。目前,计算机病毒泛滥成灾,网络攻击造成重大损失的事件经常发生,信息安全问题出现了新的态势,黑客们越来越热衷于窃取人们的宽带上网帐号等重要的个人信息,时常会造成个人财物的重大损失。
以因特网为代表和主体的信息网络将成为人类21世纪生产、生活的基本方式,世界各国都以战略眼光注视着它的发展,并积极谋取网上的优势和主动权。但是因特网的信息安全问题也较突出。病毒感染事件增加,病毒种类增多;网上窃密活动猖獗;网上经济诈骗增长;网上赌博盛行,色情泛滥,通过浏览器,电子邮件等方式大量扩散;带有政治性的网上攻击增加。人们对于私人信息安全的担忧严重阻碍电子商务、网上交易等互联网新式服务的发展,宽带接入方式的普及使得个人信息更加无私密性可言,人们经常处于个人信息安全的恐慌之中。
随着互联网技术的不断发展和广泛应用,计算机网络在现代生活中的作用越来越重要,如今,个人、企业以及政府部门,国家军事部门,不管是天文的还是地理的都依靠网络传递信息,这已成为主流,人们也越来越依赖网络。网络的开放性与共享性容易使它受到外界的攻击与破坏,网络信息的各种入侵行为和犯罪活动接踵而至,信息的安全保密性受到严重影响。因此,网络安全问题已成为世界各国政府、企业及广大网络用户最关心的问题之一。
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。
网络受到攻击的原因有许多,但大致可分为以下种类:电子系统管理员的安全意识不够强,暴露出明显的安全漏洞。如系统管理员口令设置不对,系统设置了许多权限控制不严的“信任主机”等;软件系统存在错误或漏洞;TCP/IP本身的运行机制不完善,虽然目前网络不断受到攻击,但是信息安全技术水平也在不断提高。一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台。对网络安全技术的研究就是为了尽最大的努力为个人、国家创造一个良好的网络环境,让网络安全技术更好的为广大用户服务。我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。信息安全是国家发展所面临的一个重要问题,对此我们还没有从系统的规划上去考虑它,从技术上,产业上,政策上来发展它,政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化,信息化的发展将起到非常重要的作用。
2、网络信息安全隐患分析
信息安全包括信息系统的安全和系统中信息的安全。随着科技的快速发展,计算机技术的日新月异推动了时代信息化的脚步。数字化、信息化产品和技术逐渐渗透到人们生活的方方面面,为人类社会的进步做出了巨大的贡献。电脑、手机、互联网等等一系列科学技术改变了人们的日常生活。但与此同时,随着信息技术的提高和快速发展,其弊端也显现出来。
由于信息系统自身的脆弱性和来自内外部的各种威胁及攻击,使得信息安全问题变得十分突出。越来越多的网络安全问题威胁着广大计算机用户的正常生活,诸如病毒、黑客的侵袭、网络数据的窃取等等恶性行为给网络信息安全带来极大的威胁,虽然一些防范网络安全的技术和软件已广泛运用到计算机网络中,但层出不穷的网络信息安全问题仍值得重视。
网络信息安全问题的由来。计算机系统由计算机软件系统和硬件系统构成,是计算机正常运行的关键。任何计算机都存在着由于操作失误,硬件、软件、网络本身出现故障,而导致系统数据丢失甚至瘫痪的风险。系统故障会造成网络漏洞,为不法分子提供可趁之机,侵入系统内部窃取数据或重要信息。另外,系统故障也使得计算机失去了安全保护的屏障,使病毒等恶性程序更容易侵入计算机,为计算机系统安全带来威胁。随着现代网络通信技术的发展和应用,过去各自独立运行的单机或单个系统通过网络相互连接起来,实现了跨系统、跨区域的资源共享和信息交换。然而,随着计算机网络的广泛应用和网络空间的逐步开放,为自身系统的安全运行埋下了隐患,使网络极易受黑客、恶意软件和计算机病毒的攻击。事实上,自互联网问世以来,一场网络安全防范与入侵攻击之间的战争就已拉开帷幕。
信息和网络安全问题所造成的后果严重:一是网络不安全,国家信息就不安全。国家信息系统往往成为敌对国家和不法分子攻击和窃取国家信息情报的重要途径;二是网络不安全,经济信息就不安全。信息技术与信息产业已成为当今世界经济与社会发展的主要驱动力。但网络是把“双刃剑”,世界各国的经济每年都因信息安全问题遭受巨大损失。目前美国、德国、英国、法国每年由于网络安全问题而遭受的经济损失达数百亿美元。其中2005年,英国有500万人仅被网络诈骗就造成经济损失达5亿美元;三是,网络不安全,军事信息就不安全。
信息系统自身固有的脆弱性,主要有:数据的可访问性---资源的共享性和分散性,增加了网络受攻击的可能性;电磁辐射泄漏---网络与计算机存在的电磁信息泄漏提供了失密、泄密和窃密的可能性;计算机系统的硬件组成及其操作系统的脆弱性,为系统的滥用提供了方便;在操作运行环境中的硬件故障和人为失误,会造成概率类脆弱性;算法上的脆弱性---主要是系统设计和实现上的一些显而易见的安全缺陷所造成的漏洞等。
对信息安全的主要威胁有:非人为因素造成的威胁,主要指种种自然灾害等;人为因素造成的威胁,主要指偶发性威胁、故意性威胁,包括网络攻击、蓄意入侵、计算机病毒等。
虽然人为因素和非人为因素都对系统安全构成威胁,但精心设计的人为攻击威胁最大。人为攻击可分为被动攻击和主动攻击。被动攻击不改变系统中的任何信息,也不改变系统的操作和状态,但它威胁信息的保密性。主动攻击则威胁信息的完整性、真实性和可用性。
现今互联网环境正在发生着一系列的变化,安全问题也出现了相应的变化。主要反映在以下方面:网络犯罪成为集团化、产业化的趋势。从灰鸽子病毒案例可以看出,木马从制作到最终盗取用户信息甚至财物,渐渐成为了一条产业链;无线网络、移动手机成为新的攻击区域,新的攻击重点。随着无线网络的大力推广,3G网络使用人群的增多,使用的用户群体也在不断的增加;垃圾邮件依然比较严重。虽然经过这么多年的垃圾邮件整治,垃圾邮件现象得到明显的改善,例如在美国有相应的立法来处理垃圾邮件。但是在利益的驱动下,垃圾邮件仍然影响着每个人邮箱的使用;漏洞攻击的爆发时间变短。从这几年的攻击来年,不难发现漏洞攻击的时间越来越短,系统漏洞、网络漏洞、软件漏洞被攻击者发现并利用的时间间隔在不断的缩短。很多攻击者都通过这些漏洞来攻击网络;攻击方的技术水平要求越来越低。
DoS攻击更加频繁。对于DoS攻击更加隐蔽,难以追踪到攻击者。大多数攻击者采用分布式的攻击方式,以及跳板攻击方法。这种攻击更具有威胁性,攻击更加难以防治。
针对浏览器插件的攻击。插件的性能不是由浏览器来决定的,浏览器的漏洞升级并不能解决插件可能存在的漏洞;网站攻击,特别是网页被挂马。大多数用户在打开一个熟习的网站,比如自己信任的网站,但是这个网站被告挂马,这在不经意之间木马将会安装在自己的电脑内。这是现在网站攻击的主要模式。
内部用户的攻击。现今企事业单位的内部网与外部网联系的越来越紧密,来自内部用户的威胁也不断地表现出来。来自内部攻击的比例在不断上升,变成内部网络的一个防灾重点。
网络是一个共享的空间,每个人都可以自由的访问网络,获取网络上的公共资源,网络资源的开放性降低了信息安全系数,随着终端设备数量的增加,信息交互变得频繁和密切,一台电脑的安全事故可以在短时间内扩散给其他用户,这种安全事故的来源是多方面的。黑客或间谍通过网络技术私自扩大自己的信息访问限权,在没有授权的情况下访问受限信息,非法使用受限的网络软件,并对网络数据进行修改。网络信息必须按照预先设置好的运行次序传输,网络黑客或间谍通过技术手段改变运行次序,导致信息错误甚至出现流向错误。黑客通过修改重要信息,达到有利于他的非法目的。典型的网络攻击方式如下:病毒的侵袭计算机病毒是喜欢搞恶作剧的人或黑客们编写的一种短程序,通常不超过100个字节。计算机病毒一经进人计算机系统,就会在适当的环境下自动运行,破坏和瘫痪计算机的存储和记忆系统,并自我复制和传播,使计算机系统或网络陷于瘫痪而无法正常工作。目前几乎每天都有新的计算机病毒产生,加上计算机病毒机理的不断演变和变种的出现,从而使计算机网络的信息安全保障问题日益复杂。黑客的非法闯入是指黑客利用企业网络的安全漏洞,不经允许非法访问企业内部网络或数据资源从事删除复制甚至毁坏数据的活动。“黑客”目前已成为精通计算机网络而从事情报窃取、制造事端、散布病毒、毁坏数据者的代名词。
利用网络与计算机系统的脆弱性,开发信息入侵和信息攻击技术,发展网络空间和电脑主体情报获取能力已成为世界各国情报界和国际情报活动扩展新领域、补充新手段的主攻方向。据不完全统计,全世界已经有120多个国家拥有这样的能力。另据美国审计局调查表明,美国每年政府机构有47%的网络受到攻击,美军方则声称,国防部和军队网络受攻击的危险正在以每年120%的速度增长,我国的网络系统也多次受到攻击。可以预见,随着网络技术的进一步发展,以及网络社会化程度的提高,信息网络安全面临的挑战将会更大,各种攻击破坏手段将会更多、更为复杂。信息网络安全保密技术,在系统的设计中之所以成为不可忽视的重要组成部分,越来越引起人们的重视,是因为网络化信息系统的地域广泛性和通信协议的开放性,决定了它的易损性,使它成为信息战中最重要的打击对象和最好的情报来源。
3、信息网络安全技术的研究和产品开发走出有中国特色的发展之路
信息属于众多资源的一类,对于人们而言意义重大,其特点为:共享性、增值性、可处理性、常见性.信息安全指的是,采取特殊的手段,以保证信息的完整,降低各种潜在的危害.对于信息安全的具体含义,国家组织曾给出非常准确的解释,即信息的完整、可靠、可用。随着互联网和网络应用飞快地不断发展,网络应用日趋普及和复杂,信息安全问题成为互联网和网络应用发展中面临的重要问题。手机、掌上电脑等无线终端的处理能力和功能通用性提高,使其逐渐具备小型计算机的功能,越来越多的网络攻击开始向这类产品倾斜,并将进一步发展.同时网络攻击行为也日趋复杂并且各种方法也相互融合,使得保证网络的安全困难重重.与以前相比,攻击行为更具有组织性,而进行攻击的目的也出现较大变化,原来进行攻击主要是为了表现个人的能力,而现在则更多地是为了获得收益.另外,在互联网上,各种恶意网站、木马病毒、恶意软件层出不穷,发展较快;总之,安全问题已经摆在了非常重要的位置上,网络安全必须加以防范,否则会严重地影响到网络的应用。
自从网络技术运用的20多年以来,全世界网络得到了持续快速的发展,中国的网络安全技术在近几年也得到快速的发展,这一方面得益于从中央到地方政府的广泛重视,另一方面因为网络安全问题日益突出,网络安全企业不断跟进最新安全技术,不断推出满足用户需求、具有时代特色的安全产品,进一步促进了网络安全技术的发展。
从技术层面来看,目前网络安全产品在发展过程中面临的主要问题是:以往人们主要关心系统与网络基础层面的防护问题,而现在人们更加关注应用层面的安全防护问题,安全防护已经从底层或简单数据层面上升到了应用层面,这种应用防护问题已经深入到业务行为的相关性和信息内容的语义范畴,越来越多的安全技术已经与应用相结合。据中国互联网信息中心报道:中国网民人数达4.57亿,宽带普及率接近100%,互联网普及率达28.9%,超过世界平均水平,使用手机上网的网民达到2.33亿人.与此同时,网络安全形势不容乐观,以僵尸网络、间谍软件、身份窃取等为代表的各类恶意代码逐渐成为最大威胁,拒绝服务攻击、网络仿冒、垃圾邮件等安全事件仍然猖獗。网络安全事件在保持整体数量显著上升的同时,也呈现出技术复杂化、动机趋利化、政治化的特点。
在信息时代,网络安全逐渐成为一个潜在的巨大问题。网络安全主要研究的是计算机病毒的防治和系统的安全。在计算机网络日益扩展和普及的今天,计算机安全的要求更高,涉及面更广。不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性。具体而言,网络安全主要是保护个人隐私;控制对有权限限制的网络资源的访问;保证商业秘密在网络上传输的保密性、数据的完整性和真实性;控制不健康的内容或危害社会稳定的言论;避免国家机密泄漏等,由此可见网络安全的重要性。由于网络已经深入到人们生活和工作的各个方面,所以,对网络安全的要求也提升到了更高层次。
随着互联网的飞速发展,网络安全成为一个潜在的巨大问题,也是涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其它接收者的信息。此时,它关心的对像是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和回放的问题,以及发送者是否曾发送过该条消息的问题。大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说收效甚微。网络安全性可以被粗略地分为四个相互交织的部分:保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问,这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关;保密和完整性通过使用注册过的邮件和档锁来实现。
我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。
21世纪人类步入信息社会后,信息这一社会发展的重要战略资源需要网络安全技术的有力保障,才能形成社会发展的推动力。在我国信息网络安全技术的研究和产品开发仍处于起步阶段,仍有大量的工作需要我们去研发和探索,以走出有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。
4、网络信息安全技术的解决方案
网络安全性与每一层都有关系:在物理层可通过把传输线封装在包含压氩气的封装管中来挫败偷听。任何钻管的尝试都会导致漏气、减压,并能触发警报装置。一些军用系统就采用了他,在数据链路层,点点线上的分组在离开一台机器时被编上密码,到达另一台时再解码。在网络层可安装防火墙来限制分组的进出。在传输层整个连接都能被加密(过程到过程)。在应用层可想办法采用一种通用的方法有效地解决身份认证或反拒认问题。网络信息安全技术通常从防止信息窃密和防止信息破坏2方面来考虑。防止信息窃密的技术通常采用通信反侦察、防电磁泄露、防火墙技术、密钥管理、通信保密、文件保密、报文鉴别、数字签名、存储加密等。针对于众多的网络安全问题,在技术上都提出了如下相应的解决方案:
(1)网络防火墙技术
所谓防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合,使Internet与Internet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,防火墙是设置在两个或多个网络之间的安全阻隔,用于保证本地网络资源的安全,通常是包含软件部分和硬件部分的一个系统或多个系统的组合。防火墙技术是通过允许、拒绝或重新定向经过防火墙的数据流,防止不希望的、未经授权的通信进出被保护的内部网络,并对进、出内部网络的服务和访问进行审计和控制,本身具有较强的抗攻击能力,并且只有授权的管理员方可对防火墙进行管理,通过边界控制来强化内部网络的全。
(2)VPN技术
VPN(虚拟专用网络)是指利用公共网络建立私有专用网络。虚拟专用网络功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式,主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现。VPN具有成本低,并且易于使用的特点。数据通过安全的“加密隧道”在公共网络中传播,连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通信线路。VPN利用公共网络基础设施为企业各部门提供安全的网络互联服务,能够使运行在VPN之上的商业应用享有几乎和专用网络同样的安全性、可靠性、优先级别和可管理性。
(3)IDS(入侵检测系统)技术
作为一种积极主动的安全防护工具,提供了对内部攻击、外部攻击和误操作的实时防护,在计算机网络和系统受到危害之前进行报警、拦截和响应。目前基本上分为以下两种:主机入侵检测系统;网络入侵检测系统。主机入侵检测系统分析对象为主机审计日志,所以需要在主机上安装软件,针对不同的系统、不同的版本需安装不同的主机引擎,安装配置较为复杂,同时对系统的运行和稳定性造成影响,目前在国内应用较少。网络入侵监测分析对象为网络数据流,只需安装在网络的监听端口上,对网络的运行无任何影响,目前国内使用较为广泛。IDS常用的检测方法有特征检测、异常检测、状态检测、协议分析等,而这些检测方式都存在缺陷。入侵检测误报和漏报的解决最终依靠分析技术的改进。
(4)IPS(入侵防御系统)技术
入侵防御系统(IPS)是电脑网络安全设施,是对防病毒软件和防火墙的补充。入侵预防系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。入侵防御系统提供主动、实时的防护,其设计旨在对网络流量中的恶意数据包进行检测,对攻击性的流量进行自动拦截,使它们无法造成损失。入侵防御系统如果检测到攻击企图,就会自动地将攻击包丢掉或采取措施阻断攻击源,而不把攻击流量放进内部网络。
(5)网络隔离技术
是指两个或两个以上的计算机或网络在断开连接的基础上,实现信息交换和资源共享,也就是说,通过网络隔离技术既可以使两个网络实现物理上的隔离,又能在安全的网络环境下进行数据交换。面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求,全新安全防护防范理念的网络安全技术“网络隔离技术”应运而生。网络隔离技术的目标是确保隔离有害的攻击,在可信网络之外和保证可信网络内部信息不外泄的前提下,完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的,它弥补了原有安全技术的不足,突出了自己的优势。
(6)加密技术
是电子商务采取的主要安全保密措施,是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。加密技术的应用是多方面的,但最为广泛的还是在电子商务和VPN上的应用,深受广大用户的喜爱。加密技术是有效解决网络文件窃取、篡改等攻击的有效手段。对于网络应用大多数层次都有相应的加密方法。SSLITLS是因特网中访问Web服务器最重要的安全协议。IPSec是IETF制定的IP层加密协议,为其提供了加密和认证过程的密钥管理功能。应用层就更多加密的方式,最典型的有电子签名、公私钥加密方式等。
(7)访问控制技术
防止对任何资源进行未授权的访问,从而使计算机系统在合法的范围内使用。意指,用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用的一种技术,如UniNAC网络准入控制系统的原理就是基于此技术之上。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。访问控制的主要功能包括:保证合法用户访问受权保护的网络资源,防止非法的主体进入受保护的网络资源,或防止合法用户对受保护的网络资源进行非授权的访问。访问控制首先需要对用户身份的合法性进行验证,同时利用控制策略进行选用和管理工作。当用户身份和访问权限验证之后,还需要对越权操作进行监控。访问控制需要完成两个任务:识别和确认访问系统的用户、决定该用户可以对某一系统资源进行何种类型的访问。
(8)安全审计技术
即通过对系统事件的记录和检查,能够有效地防范和发现内部违规行为。通俗地说,网络安全审计就是在一个特定的企事业单位的网络环境下,为了保障网络和数据不受来自外网和内网用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件,以便集中报警、分析、处理的一种技术手段。安全审计包括识别、记录、存储、分析与安全相关行为的信息,审计记录用于检查与安全相关的活动和负责人。安全审计是指将系统的各种安全机制和措施与预定的安全目标和策略进行一致性比较,确定各项控制机制是否存在和得到执行,对漏洞的防范是否有效,评价系统安全机制的可依赖程度。例如,对网络设备的安全审计需要从中收集日志,以便对网络流量和运行状态进行实时监控和事后查询;对服务器的安全审计,审计服务器的安全漏洞,监控对服务器的任何合法和非法操作,以便发现问题后查找原因等等。
5、计算机网络信息安全及对策
人类已进入信息社会,以INTERNET网为基础的网络技术发展,给人们的工作与生活带来巨大的变化,尤其在现代金融领域信息交流十分方便、快捷,如:网上银行、网上证券及电子商务的支付结算系统等已逐步普及。然而,伴随着便利的网上商业活动,其信息的安全已受到人们的重视和关心。如何保证商业活动的安全,如何保证企业和个人的商业秘密,已成为大家的共识。信息安全不仅是老百姓关心的事,而且已成为世界各国政府安全层面的头等大事。事实证明:信息系统是当今最活跃的生严力之一,它可以创造精神财富和物质财富.然而,没有安全保障的信息系统是十分危险的。我国的网站90%不安全都存在不同程度的安全问题,我国与先进国家相比,基础信息产业相对落后,信息安全防护能力较薄弱,许多应用系统处于不设防状态,没有安全设备,使得计算机犯罪呈上升趋势。
互联网是一个开放的网络,TCP/IP是通用的协议各种硬件和软件平台的计算机系统可以通过各种媒体接入进来,如果不加限制,世界各地均可以访问。于是各种安全威胁可以不受地理限制、不受平台约束,迅速通过互联网影响到世界的每一个角落。互联网的自身的安全缺陷是导致互联网脆弱性的根本原因互联网的脆弱性体现在设计、实现、维护的各个环节。设计阶段,由于最初的互联网只是用于少数可信的用户群体,因此设计时没有充分考虑安全威胁,互联网和所连接的计算机系统在实现阶段也留下了大量的安全漏洞。一般认为,软件中的错误数量和软件的规模成正比,由于网络和相关软件越来越复杂,其中所包含的安全漏洞也越来越多。互联网和软件系统维护阶段的安全漏洞也是安全攻击的重要目标。尽管系统提供了某些安全机制,但是由于管理员或者用户的技术水平限制、维护管理工作量大等因素,这些安全机制并没有发挥有效作用。比如,系统的缺省安装和弱口令是大量攻击成功的原因之一。
计算机网络安全策略是关于网络安全问题的总的原则、对安全使用的要求及怎样保障网络的安全运行。在制定安全策略时,首先需要确定的原则为:准许访问除明确拒绝以外的全部服务还是拒绝访问明确准许以外的所有服务。前者由于用户可能使用不安全的服务而危及网络安全,只有在网络的实验阶段才可采用,后者一般被选择作为总的原则,总的原则确定后还应考虑的问题有:将系统资源分类,确定需保护的资源及其保护的级别。规定可以访问资源的实体和能够执行的动作;根据网络使用单位的实际需要确定内部网的服务类型,规定内部用户和外部用户能够使用的服务种类;规定审计功能,记录用户的活动及资源使用情况。
随着计算机技术的发展,信息网络已经成为社会发展的重要保证,有很多敏感信息,甚至是国家机密难免会吸引来自世界各地的各种人为攻击。在当前复杂的应用环境下信息网络面临的安全形势非常严峻。网络信息安全的含义从用户(个人、企业等)的角度来说,个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私,这是网络信息安全的基本定义。
网络信息的安全问题成为我们共同担忧的问题。为维护网络安全,仅靠法规、条例是远远不够,不仅要从思想上重视,严格按照条例和规则办事,要从软硬件的设施和技术防范上着手,才能防患于未然。网络信息面临严重威胁,只要我们采取有效措施,就能保证网络信息安全。采用不同的网络信息安全技术直接影响到网络的使用性和网络的速度。例如网络中采用防火墙技术会影响网络的使用性,使用数据加密技术会显著地影响网络的运行效率。不同的网络环境影响数据加密技术的选择。
要确保信息的完整性、可用性和保密性,当前最为紧要的是各级都要确立信息网络安全战略意识。必须从保证信息安全,就是保证国家主权安全,掌握和打赢信息化战争主动权的高度,来认识信息网络安全的重要性。应当着重强调:在进行国家信息化建设时,要大力开发各种信息安全技术,普及和运用强有力的安全技术手段。技术的不断创新和进步,才是信息安全的关键,才是实现信息安全最重要、最有力的武器。要坚决克服那种先把网络建起来,解决了“有”的问题之后,再去考虑信息安全保密问题的错误认识。注意从系统的整体性出发,统筹考虑,同步进行,协调发展。须知一个没有信息安全技术屏护的网络,一个完全开放透明和裸露的网络,有不如无。没有安全优势,就没有网络优势,没有网络优势,就没有信息优势,没有信息优势,建设信息化就将成为一句空话。
6、结束语
随着科学技术的飞速发展,人们生活在信息时代。计算机技术和网络技术深入到社会的各领域。Intemet的广泛应用,把“地球村”的居民紧密地连在一起;电子商务的兴起,对网络安全提出了迫切的要求。人们在得益于信息革命所带来的新的巨大机遇的同时,也不得不面对信息安全问题的严峻考验。网络安全审计作为一个新兴的概念和发展方向,表现出强大的生命力,围绕着该概念产生了许多新产品和解决方案,如桌面安全、员工上网行为监控、内容过滤等,能在这些产品中独领风骚,就能跟上这一轮网络安全的发展潮流。
