李長(zhǎng)紅

(中電投江西核電有限公司,江西九江 332000)

淺析計(jì)算機(jī)網(wǎng)絡(luò)安全

李長(zhǎng)紅

(中電投江西核電有限公司,江西九江 332000)

本文介紹了網(wǎng)絡(luò)環(huán)境下信息安全技術(shù)和所要解決的問(wèn)題,重點(diǎn)對(duì)網(wǎng)絡(luò)安全策略和幾種常見(jiàn)的安全技術(shù)進(jìn)行了談?wù)?如數(shù)據(jù)加密、防火墻技術(shù)、入侵檢測(cè)技術(shù)、身份認(rèn)證技術(shù)等),并對(duì)網(wǎng)絡(luò)信息安全技術(shù)的發(fā)展趨勢(shì)進(jìn)行了展望。

網(wǎng)絡(luò)安全技術(shù)

1 計(jì)算機(jī)網(wǎng)絡(luò)安全概述

隨著現(xiàn)代網(wǎng)絡(luò)中的應(yīng)用越來(lái)越復(fù)雜，安全問(wèn)題以出人意料的速度增長(zhǎng)，并且在攻擊方式、攻擊目標(biāo)上呈現(xiàn)多樣化發(fā)展趨勢(shì)。對(duì)近兩年來(lái)黑客和病毒對(duì)網(wǎng)絡(luò)所造成的威脅進(jìn)行總結(jié)，可以看出三個(gè)特點(diǎn)：

(1)攻擊手段多樣化。(2)混合攻擊主流化。(3)零日漏洞趨勢(shì)化。

復(fù)雜的網(wǎng)絡(luò)應(yīng)用，伴隨而來(lái)的是不斷出現(xiàn)的是應(yīng)用漏洞，借助于這些無(wú)法規(guī)避的漏洞，黑客可通過(guò)多種手段入侵網(wǎng)絡(luò)，而且這種從漏洞發(fā)現(xiàn)到被黑客利用的時(shí)間間隔越來(lái)越短，呈現(xiàn)“零日漏洞”狀態(tài)，如何做好中小型企業(yè)信息安全工作將顯得至關(guān)重要。

2 網(wǎng)絡(luò)安全因素

2.1 客觀因素

(1)網(wǎng)絡(luò)資源的共享性。資源共享在為我們提供方便的同時(shí)，也為系統(tǒng)安全的攻擊者通過(guò)共享資源進(jìn)行破壞提供了機(jī)會(huì)。(2)網(wǎng)絡(luò)操作系統(tǒng)的漏洞。操作系統(tǒng)漏洞是計(jì)算機(jī)操作系統(tǒng)本身所存在的問(wèn)題或技術(shù)缺陷。由于網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的復(fù)雜性，決定了操作系統(tǒng)必然存在各種的缺陷和漏洞。(3)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的缺陷。網(wǎng)絡(luò)設(shè)計(jì)是指拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)和各種網(wǎng)絡(luò)設(shè)備的選擇等。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會(huì)直接帶來(lái)安全隱患。(4)網(wǎng)絡(luò)的開(kāi)放性。任何一個(gè)用戶都可以通過(guò)互聯(lián)網(wǎng)找到自己想要獲取的信息。(5)惡意攻擊。惡意攻擊就是人們常見(jiàn)的黑客攻擊及網(wǎng)絡(luò)病毒，是最難防范的網(wǎng)絡(luò)安全威脅。隨著電腦的大眾化，這類攻擊越來(lái)越多，影響也越來(lái)越大。現(xiàn)在黑客攻擊方式雖然千變?nèi)f化，但都有一個(gè)共同點(diǎn)，就是使受害主機(jī)或網(wǎng)絡(luò)無(wú)法及時(shí)接收并處理外界請(qǐng)求。具體表現(xiàn)方式有以下幾種：

(1)制造大流量無(wú)用數(shù)據(jù)，造成通往被攻擊主機(jī)的網(wǎng)絡(luò)擁塞，使被攻擊主機(jī)無(wú)法正常和外界通信。(2)利用被攻擊主機(jī)提供服務(wù)或傳輸協(xié)議上處理重復(fù)連接的缺陷，反復(fù)高頻的發(fā)出攻擊性的重復(fù)服務(wù)請(qǐng)求，使被攻擊主機(jī)無(wú)法及時(shí)處理其它正常的請(qǐng)求。(3)利用被攻擊主機(jī)所提供服務(wù)程序或傳輸協(xié)議的本身實(shí)現(xiàn)缺陷，反復(fù)發(fā)送畸形的攻擊數(shù)據(jù)引發(fā)系統(tǒng)錯(cuò)誤而分配大量系統(tǒng)資源，使主機(jī)處于掛起狀態(tài)甚至死機(jī)。

2.2 主觀因素

主要是計(jì)算機(jī)系統(tǒng)網(wǎng)絡(luò)管理人員缺乏安全防范意識(shí)和必備技術(shù)能力。

3 常用的網(wǎng)絡(luò)安全技術(shù)

由于網(wǎng)絡(luò)所帶來(lái)的諸多不安全因素，使得網(wǎng)絡(luò)使用者必須通過(guò)采取相應(yīng)的網(wǎng)絡(luò)安全技術(shù)來(lái)堵塞安全漏洞。網(wǎng)絡(luò)安全技術(shù)能從不同角度來(lái)保護(hù)網(wǎng)絡(luò)不受侵犯，保證網(wǎng)絡(luò)信息系統(tǒng)的安全運(yùn)行，網(wǎng)絡(luò)安全基本技術(shù)主要包括網(wǎng)絡(luò)加密技術(shù)、防火墻技術(shù)、身份驗(yàn)證技術(shù)、網(wǎng)絡(luò)防病毒技術(shù)、UTM技術(shù)、桌面管理技術(shù)和入侵檢測(cè)技術(shù)IDS。

3.1 網(wǎng)絡(luò)加密技術(shù)

網(wǎng)絡(luò)加密的目的是保證數(shù)據(jù)傳輸?shù)陌踩?。加密技術(shù)是保證網(wǎng)絡(luò)安全最有效的技術(shù)之一，加密不但可以防止非授權(quán)用戶竊聽(tīng)，而且還是對(duì)付惡意軟件的有效方法之一。數(shù)據(jù)加密可以通過(guò)在通信的三個(gè)層次來(lái)實(shí)現(xiàn)：鏈路加密、節(jié)點(diǎn)加密和端到端加密。

3.1.1 鏈路加密

鏈路加密的目的是保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路信息安全。鏈路加密是所有消息在被傳輸之前均需進(jìn)行加密，并對(duì)每一個(gè)節(jié)點(diǎn)接收到的消息進(jìn)行解密，再使用下一個(gè)鏈路的密鑰對(duì)消息進(jìn)行加密并進(jìn)行傳輸，直到在到達(dá)目的地之前，一條消息可能要經(jīng)過(guò)許多通信鏈路的傳輸。 鏈路加密通常用在點(diǎn)對(duì)點(diǎn)的同步或異步線路上，它要求先對(duì)在鏈路兩端的加密設(shè)備進(jìn)行同步，然后使用一種鏈模式對(duì)鏈路上傳輸?shù)臄?shù)據(jù)進(jìn)行加密。

3.1.2 節(jié)點(diǎn)加密

節(jié)點(diǎn)加密的目的是對(duì)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供加密保護(hù)。節(jié)點(diǎn)加密是指節(jié)點(diǎn)處采用一個(gè)與節(jié)點(diǎn)機(jī)相連的密碼裝置，密文在該裝置中被解密并被重新加密。節(jié)點(diǎn)加密要求報(bào)頭和路由信息以明文形式傳輸，以便中間節(jié)點(diǎn)能得到如何處理消息的信息。

3.1.3 端對(duì)端加密

端點(diǎn)加密的目的是對(duì)源端用戶到目的端用戶的數(shù)據(jù)提供加密保護(hù)，端到端加密是數(shù)據(jù)從源點(diǎn)到終點(diǎn)的傳輸過(guò)程中始終以密文形式存在。采用端到端加密，消息在被傳輸?shù)竭_(dá)終點(diǎn)前的整個(gè)傳輸過(guò)程中均受到保護(hù)不再進(jìn)行解密，即使出現(xiàn)節(jié)點(diǎn)被損壞也不會(huì)發(fā)生消息泄露事件。

3.2 防火墻技術(shù)

防火墻技術(shù)是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，用來(lái)保護(hù)網(wǎng)絡(luò)的安全，防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。防火墻本身具有較強(qiáng)的抗攻擊能力，它是提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻的組成可以表示為：防火墻=過(guò)濾器+安全策略+網(wǎng)關(guān)+驗(yàn)證工具，在網(wǎng)絡(luò)中它可對(duì)信息進(jìn)行分析、隔離、限制，既可限制非授權(quán)用戶訪問(wèn)敏感數(shù)據(jù)，又可允許合法用戶自由的訪問(wèn)網(wǎng)絡(luò)資源，從而保護(hù)網(wǎng)絡(luò)的安全。

3.3 身份驗(yàn)證技術(shù)

身份驗(yàn)證技術(shù)是用戶向系統(tǒng)出示自己身份證明的過(guò)程，身份認(rèn)證是系統(tǒng)查核用戶身份證明的過(guò)程，這兩個(gè)過(guò)程是判明和確認(rèn)通信雙方真實(shí)身份的兩個(gè)重要環(huán)節(jié)，這兩項(xiàng)工作統(tǒng)稱為身份驗(yàn)證。它的安全機(jī)制在于首先對(duì)發(fā)出請(qǐng)求的用戶進(jìn)行身份驗(yàn)證，確認(rèn)其是否為合法的用戶，如是合法用戶，再審核該用戶是否有權(quán)對(duì)他所請(qǐng)求的服務(wù)或主機(jī)進(jìn)行訪問(wèn)。

3.4 網(wǎng)絡(luò)防病毒技術(shù)

病毒預(yù)防技術(shù)就是通過(guò)一定的技術(shù)手段防止計(jì)算機(jī)病毒對(duì)系統(tǒng)的傳染和破壞。計(jì)算機(jī)病毒具有不可估量的威脅性和破壞力，針對(duì)現(xiàn)在大多數(shù)中小型企業(yè)采用的“Client-Server”的工作模式，如何做好網(wǎng)絡(luò)防病毒方法和技術(shù)是將是一件非常重要的事情。

3.5 UTM技術(shù)

UTM是將多種安全能力(尤其是傳統(tǒng)上講的防火墻能力、防病毒能力、攻擊保護(hù)能力)融合在一個(gè)產(chǎn)品之中，實(shí)現(xiàn)全面立體一體化防御的安全解決方案。UTM產(chǎn)品作為安全的多面手，其基礎(chǔ)應(yīng)用不可忽視，目前在技術(shù)上，UTM主要從兩個(gè)方面來(lái)提高網(wǎng)絡(luò)安全的：

一類是以高性能防火墻為基礎(chǔ)的UTM設(shè)備。這類設(shè)備一般都集成了全功能的防火墻，并在此基礎(chǔ)上加入VPN、IDS、防病毒等功能，并取代防火墻。另一類是以高端IPS為基礎(chǔ)，不斷演化出UTM設(shè)備，包括防火墻、VPN、帶寬管理、網(wǎng)頁(yè)內(nèi)容過(guò)濾等安全模塊都會(huì)被安放到IPS的平臺(tái)之上。這種方法對(duì)于IPS的性能、誤報(bào)率、可靠性的要求都相當(dāng)高，但是帶來(lái)的好處也是顯而易見(jiàn)，鑒于IPS的優(yōu)勢(shì)，可以對(duì)日益增多的系統(tǒng)滲透與復(fù)合攻擊進(jìn)行阻斷與控制。對(duì)于以IPS為基礎(chǔ)的UTM產(chǎn)品，所集成的防火墻必須是全功能產(chǎn)品，特別是像NAT、動(dòng)態(tài)端口等功能都要支持。如果僅僅集成了精簡(jiǎn)版的防火墻，那么延伸到高端應(yīng)用的UTM就會(huì)不合適。

3.6 桌面管理技術(shù)

與19世紀(jì)意大利經(jīng)濟(jì)學(xué)者帕累托得出的80/20法則相反，目前80%的安全隱患來(lái)自網(wǎng)絡(luò)內(nèi)部，因此對(duì)于企業(yè)網(wǎng)絡(luò)來(lái)說(shuō)，管理內(nèi)部網(wǎng)絡(luò)成為了首要任務(wù)。桌面管理技術(shù)就是這樣一種針對(duì)企業(yè)網(wǎng)絡(luò)內(nèi)部終端管理的技術(shù)，這種管理技術(shù)引入了多種安全手段，從終端的桌面管理入手，對(duì)終端的操作系統(tǒng)、應(yīng)用軟件、外圍設(shè)備進(jìn)行管理。它可以直接控制終端運(yùn)行的應(yīng)用軟件，使用的硬件，通過(guò)配合殺毒系統(tǒng)、補(bǔ)丁系統(tǒng)等，它能夠自動(dòng)對(duì)終端進(jìn)行全面體檢，自動(dòng)殺毒、自動(dòng)打補(bǔ)?。怀酥?，通過(guò)桌面管理技術(shù)，還可以實(shí)現(xiàn)終端之間端到端的訪問(wèn)控制，從而達(dá)到防止非法終端入侵內(nèi)部網(wǎng)絡(luò)的可能性。

3.7 入侵檢測(cè)技術(shù)IDS

IDS通過(guò)抓取網(wǎng)絡(luò)上的所有報(bào)文，分析處理后，形成異常報(bào)告，并提供重要的數(shù)據(jù)和行為模式分析報(bào)告，使網(wǎng)絡(luò)安全管理員清楚地了解網(wǎng)絡(luò)上發(fā)生的事件，并能夠采取行動(dòng)阻止可能的破壞。它既是一種實(shí)時(shí)檢測(cè)系統(tǒng)，也是記錄審計(jì)系統(tǒng)，可以做到實(shí)時(shí)保護(hù)，事后分析取證，同時(shí)它通過(guò)與防火墻的聯(lián)動(dòng)，可以更有效的阻止非法入侵和破壞。

4 網(wǎng)絡(luò)信息安全技術(shù)發(fā)展趨勢(shì)

隨著網(wǎng)絡(luò)技術(shù)的日益普及，以及人們對(duì)網(wǎng)絡(luò)安全意識(shí)的增強(qiáng)，許多用于網(wǎng)絡(luò)的安全技術(shù)得到強(qiáng)化并不斷有新的技術(shù)得以實(shí)現(xiàn)。不過(guò)，從總的看來(lái)，信息安全問(wèn)題并沒(méi)有得到所有單位領(lǐng)導(dǎo)的重視，致使很多單位的網(wǎng)絡(luò)信息安全的保護(hù)還處于初級(jí)階段，有的甚至不設(shè)防。所以，在安全技術(shù)提高的同時(shí)，提高人們對(duì)網(wǎng)絡(luò)信息安全的認(rèn)識(shí)是非常必要的。隨著信息安全技術(shù)的發(fā)展，基于UTM、IDS和桌面管理安全產(chǎn)品將成為今后市場(chǎng)的主流。

5 結(jié)語(yǔ)

計(jì)算機(jī)網(wǎng)絡(luò)的安全問(wèn)題，不是通過(guò)一兩種設(shè)備、幾套方案就能一勞永逸解決的，對(duì)于企業(yè)網(wǎng)絡(luò)系統(tǒng)來(lái)說(shuō)，要想很好的保證計(jì)算機(jī)網(wǎng)絡(luò)的安全運(yùn)行，有必要采用以下幾條建議：

(1)以人為本，建立完善的管理規(guī)范，從制度上保障網(wǎng)絡(luò)安全。(2)遵從2/8原則，明確80%的安全威脅來(lái)自企業(yè)網(wǎng)絡(luò)內(nèi)部，加強(qiáng)內(nèi)部終端桌面安全，保障終端之間點(diǎn)對(duì)點(diǎn)通信安全。(3)借助當(dāng)今先進(jìn)的IPS、IDS、UTM等技術(shù)，建立完善的過(guò)慮、防范、預(yù)警機(jī)制，快速分析各種網(wǎng)絡(luò)攻擊，用快速反應(yīng)來(lái)降低攻擊帶來(lái)的損失。(4)采用必要的冗余機(jī)制，保障關(guān)鍵網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)應(yīng)用不會(huì)因某一攻擊全面癱瘓。

[1]陶陽(yáng).計(jì)算機(jī)與網(wǎng)絡(luò)安全.重慶：重慶大學(xué)出版社,2005.

[2]陳斌.《計(jì)算機(jī)網(wǎng)絡(luò)安全與防御》.信息技術(shù)與網(wǎng)絡(luò)服務(wù),2006.

This article describes the information security technology and the problems should be solved under the network environment. .It focuses on the network security tactics and common network information security technology, such as data encryption firewall technology, instrution detection,authentication technology. It also researches on the development trend of the information safe practice of the network.

Network Security Technology