汤祖军
(江苏国瑞信安科技有限公司,江苏南京 210009)
计算机的广泛应用把人类带入了一个全新的时代,计算机网络的普及化已经成为了信息时代的主要推动力。网络的开放性导致网络所面临的破坏和攻击来自多方面,例如:对物理传输线路的攻击,对电磁泄漏的攻击,对网络通信协议实施的攻击,对系统软件漏洞实施的攻击等。在诸多不安全因素存在的背景下,安全技术作为一个独特的领域越来越受到全球网络建设者的关注。
21世纪以来,网络安全的重点放在了保护信息,确保信息在存储、处理、传输过程中信息系统不被破坏,确保对合法用户的服务,限制非授权用户的服务以及必要的防御攻击措施上。因此确保信息的保密性、完整性、可用性、可控性就成了关键因素。为了解决这些安全问题,各种安全机制、安全策略和安全工具被广泛开发和应用。
早期网络协议对安全问题的忽视,以及在平时运用和管理上的不重视,导致网络安全存在巨大风险,安全事故频频发生。网络安全是指对网络系统的硬件、软件和系统中的数据进行保护,不因偶然或者恶意的因素而遭到破坏、更改、泄露,系统连续可靠正常地运行。目前影响网络安全的因素主要包括病毒软件、蠕虫病毒、木马软件和间谍软件等。
病毒软件:可执行代码,它们可以破坏计算机系统,通常伪装成合法附件,通过电子邮件发送,有的还通过即时信息网络发送。
蠕虫病毒:与病毒软件类似,但比病毒更为普遍,蠕虫经常利用受感染系统的文件传输功能自动进行传播,从而导致网络流量大幅增加。
木马程序:可以捕捉密码和其它个人信息,使未授权远程用户能够访问安装了特洛伊木马的系统。
间谍软件:恶意病毒代码,它们可以监控系统性能,并将用户数据发送给间谍软件开发者。
网络信息安全分为网络安全和信息安全2个层面。网络安全包括系统安全,即硬件平台、操作系统、应用软件。运行服务安全,即保证服务的连续性、高效率。信息安全则主要是指数据安全,包括数据加密、备份、程序等。目前,操作系统和应用软件中通常都会存在一些BUG,别有心计的员工或客户都可能利用这些漏洞向网络发起进攻,导致某个程序或网络丧失功能。有甚者会盗窃机密数据,直接威胁网络和数据的安全,即便是安全防范设备也会存在这样的问题。几乎每天都有新的BUG被发现和公布,程序员在修改已知BUG的同时还可能产生新的BUG。系统BUG经常被黑客利用,而且这种攻击通常不会产生日志,也无据可查。现有的软件和工具对BUG的攻击几乎无法主动防范。
计算机网络的安全威胁主要来自于以下几个方面:
每一版本的操作系统或网络软件的出现都不可能完美无缺。大多数IT安全事件(如补丁程序或网络攻击等)都与软件漏洞有关,黑客利用编程中的细微错误或者上下文依赖关系,让它做任何他们想让它做的事情。缓冲区溢出是一种常见的软件漏洞,也是一种牵扯到复杂因素的错误。开发人员经常预先分配一定量的临时内存空间,称为一个缓冲区,用以保存特殊信息。如果代码没有仔细地把要存放的数据大小同应该保存它的空间大小进行对照检查,那么靠近该分配空间的内存就有被覆盖的风险。熟练的黑客输入仔细组织过的数据就能导致程序崩溃、数据丢失。
由于用户越来越多地依赖计算机网络提供各种服务,完成日常业务,计算机网络上的黑客攻击事件越演越烈,造成的破坏越来越大。由于攻击技术的进步,攻击者可以较容易地利用分布式攻击工具,有效地发动拒绝服务攻击,扫描潜在的受害者,危害存在安全隐患的系统。
黑客攻击的技术根源是软件和系统的安全漏洞。正是一些别有用心的人利用了这些漏洞,才造成了网络安全问题。因为操作系统、应用软件等安全漏洞每年都会被发现,网络管理员必须不断用最新的软件补丁修复这些漏洞。然而黑客经常能够抢在厂商修补这些漏洞之前发现这些漏洞并发起攻击,非法侵入重要信息系统,窃听、获取、攻击侵人网的敏感性信息,修改和破坏信息网络的正常使用状态,造成数据丢失或系统瘫痪,给社会造成巨大的经济损失。
它是一种在人为或非人为的情况下产生、在用户不知情或未批准下,能自我复制或运行的计算机程序。计算机病毒往往会影响受感染计算机的正常运作。病毒一般会自动利用电子邮件传播,利用对象为某个漏洞,将病毒自动复制并群发给存储的通讯录名单成员。
计算机感染上病毒后,轻则使系统工作效率下降,重则造成系统死机或毁坏,使部分文件或全部数据丢失,甚至造成计算机主板等部件的损坏。
一些有心人会从网上多个BBS论坛、新闻组等收集网民的计算机地址,再售予广告商,从而把自己的电子邮件强行“推入”别人的电子邮箱,强迫他人接受赚钱信息、商业或个人网站广告、电子杂志、连环信息等。垃圾邮件可以分为良性和恶性。良性垃圾邮件是如宣传广告等对收件人影响不大的信息邮件。恶性垃圾邮件是指具有破坏性的电子邮件,例如具有攻击性的广告情色网站、钓鱼网站。
间谍软件是一种能够在用户不知情或未经用户准许的情况下收集用户个人数据的软件。间谍软件采用一系列技术来纪录用户的个人信息,例如键盘录制用户访问Internet的行为,以及扫描用户计算机上的文件。间谍软件的功能繁多,它可以监视用户行为,或是发布广告,修改系统设置,威胁用户隐私和计算机安全,并尽可能小地影响系统性能,以免被发现。
安全产品防护策略配置不当造成安全隐患。例如,防火墙设备的访问控制策略配置不正确,那么它根本起不到安全防护作用;再如有些特定的网络应用程序,当它启动运行时,就同步会打开一系列的安全缺口,许多与该软件捆绑在一起的应用软件也会被同时启用,这样就会在不知情的情况下给不法分子留下“后门”或漏洞。除非用户禁止该程序或对其进行正确配置,否则安全隐患无法避免。
人为的无意失误是造成网络不安全的重要原因之一。网络管理员在这方面不但肩负重任,还面临越来越大的压力。稍有考虑不周,安全配置不当,就会造成安全漏洞。另外,用户安全意识不强,不按照安全规定操作,如口令选择不慎,将自己的账户随意转借他人或与别人共享,都会给网络安全带来威胁。
计算机网络安全从技术上来说,主要由防病毒、VPN网关、防火墙、入侵检测等多个安全产品组件组成,一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、入侵检测技术、防病毒技术、漏洞扫描技术等。以下就针对此几项技术分别进行简要分析:
防火墙技术是指网络之间通过预定义的安全策略,对内外网通信强制实施访问控制的安全应用措施。它对2个或多个网络之间传输的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。根据环境不同,主要接入部署方式分3类:(1)核心数据区安全防护;(2)网络边界安全防护;(3)网络出口安全防护。防火墙部署位置如图1所示。
图1 防火墙部署位置
防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行;可以关闭不使用的端口;可以禁止特定端口的流出通信,封锁特洛伊木马;可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
防火墙技术可以起到如下防护作用:
网络安全的屏障:防火墙在1个内部网络和外部网络间建立1个检查点。这种实现要求所有的流量都要通过这个检查点。一旦这些检查点清楚地建立,防火墙设备就可以监视、过滤和检查所有进来和出去的流量。通过强制所有进出流量都通过这些检查点,网络管理员可以集中在较少的地方来实现安全目的。
监控审计:防火墙可以对内、外部网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么防火墙就能记录下这些访问并进行日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
防止内部信息的外泄:通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制局部重点或敏感网络安全问题对全局网络造成的影响。企业秘密是大家普遍关心的问题,1个内部网络中不引人注意的细节可能包含了有关安全的线索。这会引起外部攻击者的兴趣,甚至因此而暴漏内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节的如Finger、DNS等服务。
数据包过滤:包过滤是防火墙所要实现的最基本功能。现在的防火墙已经由最初的地址、端口判定控制,发展到判断通信报文协议头的各部分,以及通信协议的应用层命令、内容、用户认证、用户规则甚至状态检测等。网络上的数据都以包为单位进行传输,每一个数据包中都会包含一些特定的信息,如数据的源地址、目标地址、源端口号和目标端口号等。
地址转换:通过此项功能可以很好地屏蔽内部网络的IP地址,对内部网络用户起到保护作用。NAT又分“SNAT”和“DNAT”。SNAT就是改变转发数据包的源地址,对内部网络地址进行转换。对外部网络屏蔽,使得外部用户对内部主机的攻击更加困难,同时可以节省有限的公网IP资源,仅通过少数1个或几个公网IP地址共享上网。而DNAT就是改变转发数据包的目的地址,外部网络主机向内部网络主机发出通信连接时,防火墙首先把目的地址转换为自己的地址,然后再转发外部网络的通信连接,这样实际上外部网络主机与内部网络主机的通信变成了防火墙与内部网络主机的通信。
入侵检测系统(Intrusion Detection System简称IDS)是对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。恶意使用行为包括系统外部的入侵和内部用户的非授权行为。IDS是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术手段。
部署的方法有很多种,如基于专家系统入侵的检测方法、基于神经网络的入侵检测方法等。入侵检测攻防示意图如图2所示。入侵检测通过执行如下任务来实现:
图2 入侵检测攻防示意图
(1)监视、分析用户及系统活动;
(2)审计系统构造和弱点;
(3)识别反映已知进攻的活动模式并向相关人士报警;
(4)统计分析异常行为模式;
(5)评估重要系统和数据文件的完整性;
(6)审计跟踪管理操作系统,并识别用户违反安全策略的行为。
入侵检测技术的主要功能:监视分析用户及系统活动;查找非法用户和合法用户的越权操作;检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞;识别反映已知进攻的活动模式并向相关人士报警;对异常行为模式的统计分析;能够实时地对检测到的入侵行为进行反应;评估重要系统和数据文件的完整性;发现新的攻击模式。
入侵检测系统所采用的技术可分为误用检测模型与异常检测模型2种。
误用检测模型(Misuse detection):检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为,那么每种能够与之匹配的行为都会引起报警。收集非正常操作的行为特征,监理相关的特征库。当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。
异常检测模型(Anomaly detection):检测与可接受行为之间的偏差。如果可以定义每项可接受的行为,那么每项不可接受的行为就应该是入侵。首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时,即被认为是入侵。
数据加密就是将数据通过一定的加密技术转换成为表面上杂乱无章,只有合法的使用者才能恢复原来面目的技术。而对于非法窃取使用者来说,转换后的数据是一些毫无意义的数据。我们把原始数据称为明文,将经过加密的数据称为密文,把从明文变成密文的过程叫做加密,而把密文还原成明文的过程叫做解密。加密过程和解密过程都需要有密钥和相对应的算法,一般密钥是一串数字,加解密算法是作用于明文或密文以及相对应密钥的一个数学函数。数据加密与解密技术的工作流程图如图3所示。
图3 数据加密与解密技术的工作流程图
密码算法是作用于加密和解密的数学函数,一般情况下有2个相关的函数:一个用于加密,另一个用于解密。这些算法的安全性都基于密钥的安全性,而不是基于算法细节的安全性。这就意味着算法可以公开,可以被分析,也可以大量生产使用算法的产品,即使窃听者知道算法也没有关系。只要他不知道你使用的具体密钥,就不可能阅读你的数据。基于密钥的算法通常有2类:对称密码算法和非对称密码算法。
图4 对称密码算法
对称密码算法:又叫传统密码算法,是指加密和解密使用相同的密钥。即使不同,也可以由一个经过计算推导出另一个来,反过来也成立。但在大多数对称算法中,加密解密密钥是相同的。这些算法也叫单密钥算法或秘密密钥算法。它要求发送者和接收者在安全通信之前,确定一个密钥。当需给对方发送信息时,用自己的加密密钥进行加密得到密文,而在接受方收到数据后,用对方所给的密钥进行解密得到明文。对称密码算法如图4所示。非对称密码算法:也被称之为公开密码体制。是由公开密钥和私有密钥2部分组成的密钥对,分别用于对数据的加密工作和解密工作。即如果使用私有密钥对数据进行加密,那么只有用相对应的公开密钥才能够解密;反之,使用公开密钥对数据进行加密,那么只有用相对应的私有密钥才能够进行解密,如图5所示。公开密钥无须保密,可以公开,因为由公开密钥是无法推算出私有密钥,所以公开的密钥并不会损害私有密钥的安全性。但私有密钥就必须进行保密。
图5 非对称密码算法
防病毒技术就是通过一定的技术手段防止计算机病毒对系统传染和破坏的技术。但是Internet技术的发展,以及E-mail和一批网络工具的出现,在改变人类信息传播方式的同时也使计算机病毒的种类迅速增加,扩散速度也大大加快。计算机病毒的传播方式迅速突破地域限制,由以往的单机之间的介质传染转换为网络系统间的传播。现在,计算机病毒已经可以通过移动磁盘、光盘、局域网、WWW浏览、E-Mail、FTP下载等多种方式传播。
只有通过将病毒检测产品部署在网络的入口或整个网络中,才能真正将病毒抵御于网络之外,保证数据的真正安全。常见的病毒检测产品有防毒墙、网络防病毒软件等。
防毒墙:通过防毒墙对数据包进行状态检测过滤,不但能够根据数据包的源地址、目标地址、协议类型、源端口、目标端口以及网络接口等数据包进行控制,而且能够记录通过防毒墙的连接状态,直接对分组里的数据进行处理。防毒墙具有完备的状态检测表追踪连接会话状态,并且结合前后分组里的关系进行综合判断决定是否允许该数据包通过,它可通过连接状态进行更迅速更安全的过滤。
同时防毒墙能拦截攻击操作系统和应用软件安全漏洞的新型蠕虫,而传统的防火墙集成的防病毒功能是无法检测和清除该类蠕虫的。在新病毒的传播事件中,病毒检测产品能够有效防止网络攻击,不会消耗资源用于拦截病毒。
防病毒软件:防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其它资源传染,网络防病毒软件会立刻检测到并加以删除,可有效地保障内部网络不受病毒侵扰。产品由以下几部分组成:
>系统中心
>管理员控制台
>杀毒软件服务器端
>杀毒软件客户端
系统中心可以很容易地在整个网络内实现远程管理、智能升级、自动分发、远程报警等多种功能,有效管理、严密保护、杜绝病毒的入侵。
管理员控制台:管理员可以在网络中的任意一台计算机上对整个网络进行集中控制管理,清楚地掌握整个网络环境中各个节点的病毒监测状态。这既方便了管理员,又最大程度地减少了整个网络中的安全漏洞,有效保障了整个网络的系统安全。控制台部署结构如图6所示。
图6 分布式部署结构
每年都有数以千计的网络安全漏洞被发现和公布,加上攻击者手段的不断变化,网络安全状况也在随着安全漏洞的增加变得日益严峻。寻根溯源,绝大多数用户缺乏一套完整、有效的漏洞管理工作流程来落实定期评估与漏洞修补工作。只有比攻击者更早掌握自己网络安全漏洞并且做好预防工作,才能够有效地避免攻击所造成的损失。
漏洞扫描就是通过针对常见黑客攻击手法的检查策略,定期对网络系统进行扫描分析,及时发现问题、给出相关安全措施和建议并进行相应的修补和配置。示意图如图7所示。
这项技术的具体实现就是安全扫描程序,帮助在很短的时间内查出现存的安全脆弱点。
智能识别:能够对扫描结果数据进行在线分析,能够根据端口、漏洞、BANNER信息、IP地址等关键字对主机信息进行查询并能将查询结果保存。
高效快捷:支持高级数据分析,能够进行历史数据查询、汇总查看、对比分析等,方便进行多个扫描任务或多个IP风险对比,能够在多个历史任务中,很快地检索到需要关注的资产IP点。
脚本依赖:扫描模块会自动根据其逻辑依赖关系执行而不是无目的地盲目执行,从而提高了扫描准确性。
信息输出:漏洞分析报告应提供在线浏览报告和离线打印报告。离线报表提供针对不同角色的默认模板,允许用户定制报告的内容、报告的格式等。
断点恢复:在扫描程序运行到一半的时候如果系统意外掉电等,可以通过查看扫描状态进行重新扫描或者继续扫描。如果选择继续扫描的话,前面扫描到的结果会保留下来和后面的结果一起合并生成结果文件。
图7 漏洞扫描技术示意图
计算机网络的安全问题越来越受到大家的关注,文章简要分析了计算机网络存在的几点常见的安全隐患,并探讨了计算机网络的几种安全防范技术。总得来说,网络安全不仅是技术问题,同时也是一个安全管理问题。我们必须综合考虑各种安全因素,制定合理的建设目标、设计方案、管理制度和相关的配套法规文献等。
计算机网络安全是个综合性和复杂性的问题。面对网络安全行业的飞速发展以及整个社会越来越快的信息化进程,各种新技术将会不断出现和应用。
网络安全孕育着无限的机遇和挑战,作为一个热门的研究领域,其拥有重要的战略意义,相信未来网络安全技术将会取得更加长足的发展。
[1]孙健敏.计算机网络技术与应用[M].西安:西安电子科技大学出版社,2010.
[2]蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社,2005.
[3]陈斌.计算机网络安全于防御[J].信息技术与网络服务,2006(4).
[4]阎慧.防火墙原理与技术[M].北京:机械工业出版社,2004.
[5]梅杰,许榕生.Internet防火墙技术新发展[J].微电脑世界,1996(6).
[6]王宏伟.网络安全威胁与对策[J].应用技术,2006(5).