摘要 随着网络信息化的发展,信息安全不仅仅关系着个人利益,也关系着国家利益。如何规避网络风险、创建安全的网络环境已经成为社会强烈关注的问题。本文将对计算机网络安全进行初步的论述。
关键字 网络安全 信息安全 网络风险
一、网络安全的威胁
(一)攻击方式
网络安全事件的发生通常是攻击者为了达到某种目的进行实施。他们可能来自网络上任何地方,虽然一些攻击必须从特定的系统或网络进行实施,但是攻击者发起网络攻击的后果可能会非常严重。攻击者能够使用多种攻击方式威胁网络安全,目前主要威胁网络安全的攻击方式如下:
1 扫描。简单地说,扫描就是使用智能化的工具进行大范围的嗅探,观察和分析协议数据。常见的扫描类型包括协议扫描和端口扫描。扫描常常是攻击者的初期攻击行为,这就意味着攻击者正在识别攻击目标。
2 嗅探。嗅探本来是通过捕获网络中传输的数据,提供网络管理员分析和检查网络状态的一种管理手段。攻击者很可能通过嗅探器捕获成百上千的数据,这些数据可能包括明文方式的用户名、口令或特定信息。攻击者可以有针对性地发动攻击。嗅探器并不是很难获得,网络上有大量免费开源的嗅探器工具。
3 拒绝服务。攻击者可以向网络上发送大量无用的数据或故意消耗某些稀缺或有限的资源,例如网络带宽攻击或连接性攻击。从而干扰和破坏数据信息的传输,即便是加密数据,也无法保障数据信息的安全传输。其最终目标并不是为了非法获取数据信息,而是让合法用户无法使用网络服务。
4 伪装。计算机网络中存在着信任关系。在某些信任关系下才能建立合法网络连接,如果攻击者将其身份进行伪造,再利用伪造的合法身份实施攻击,攻击者就有可能获得建立合法连接的授权。
5 恶意代码。恶意代码是计算机程序。当执行程序时,将导致计算机无法正常工作。计算机用户通常不会意识到自己被接种了恶意代码,直到发现计算机程序受到了破坏,他们才会对计算机进行全面检查。恶意代码主要包含特洛伊木马、病毒和蠕虫。这些恶意代码能导致重要数据的丢失、系统停止工作以及其他类型的故障现象。
(二)发展趋势
现在的攻击者会将自己的实战经验和工具程序放到社区与其他攻击者进行分享交流。已不再是简单的利用众所周知的漏洞实施攻击,他们能够通过检测源代码来发现某些程序中存在的缺陷,并制定攻击方案。不少专家级的攻击者已经有能力对网络基础设施(如路由器和防火墙)实施攻击,并且能够遮掩自己的行为。攻击者还能够使用解密工具或编写程序对捕获的加密信息进行分析,再利用特洛伊木马隐藏自己的活动。即使受害人发现嗅探日志,也难以确定哪些信息已经被篡改。
另一方面,随着网络技术的成熟,攻击所使用的工具变得越来越智能化。能够快速地收集成千上万网络主机的信息。这些工具可以扫描整个网络的任意位置,对网络漏洞进行识别。攻击者可以通过工具收集大量有用的信息,并与其他攻击者进行分享或立即实施攻击。这就意味着攻击者不需要具备较多的计算机知识就能够实施简单的网络攻击。
二、网络安全防范
(一)管理方面
1 管理流程。安全管理流程基于计算机安全标准进行制定,为用户和系统管理员安全管理提供实践依据。安全标准是由各国以及国际标准化组织关于计算机安全和信息安全而制定的纲领性文件。它提供了安全框架,作为安全项目的指导方针和规范。由于网络技术的发展,安全标准也需要不断地进行修订,从而避免只是针对特定技术。
2 管理实践。管理实践在网络安全中发挥着重要的作用,国际上公认作为“最佳实践”的安全解决方案很多。下面是常见的建议措施:确保账户都设置密码,密码避免过于简单;安全级别要求高的系统建议使用一次性密码;使用工具确保系统的完整性;使用安全标准进行程序设计;定期升级,保证系统处在最新版本;定期查看系统安全信息,识别潜在安全问题;定期检测、记录评估系统和网络的安全状况。
(二)技术方面
安全技术研究通常涉及两大核心领域:操作技术和密码编码学。操作技术是为了维护数据资源的可用性。密码编码学是为了保障数据资源的保密性,完整性和真实性。
1 操作技术。没有一种单一的技术能够防御所有的攻击。为了保证数据资源的安全,我们必须对可疑活动进行及时的探测和评估,并给出适当的响应方案处理安全事件。
(1)防火墙。攻击者常常使用欺诈手段试图建立与认证系统的连接,并实施拒绝服务攻击或进入目标系统。为了避免网络欺诈攻击,通常部署防火墙对所有进出网络的数据流实施过滤。防火墙是第一道防范网络攻击的防线。它的目的是审查网络的数据流和服务请求,过滤不符合安全解决方案的应用。简单的防火墙可以由过滤路由器构成,丢弃从未经授权的地址或服务端口发来的数据,实现包过滤功能。复杂的防火墙使用代理机制运作,通过代理机制核实认证请求的形式和内容,并将经授权的请求传递到合法用户,如应用网关防火墙。
(2)监控工具。监控网络活动是必需的。监控工具可以安装在网络中用于收集信息和检测可疑行为。当出现可疑行为时,自动报警系统将会通知管理员进行处理。例如攻击者使用拒绝服务或有非法用户进入了未经授权的区域。监控工具可以针对网络中的多种应用服务进行监控。甚至能够断开和阻止可疑的网络活动,限制或禁用受影响的服务继续工作,将其隔离。同时,监控工具还能识别并摧毁主机系统可能无意识传送到网络的恶意程序。由于恶意程序的潜在伤害范围很广,而且技术更新快,因此,监控工具必须保持最新的知识库。
(3)安全分析工具。随着网络攻击方法的日益成熟,定期评估网络安全状况是必要的。现在不少漏洞分析工具可以从网站或社区上获得,系统管理员可以使用这些工具对网络安全漏洞进行识别。当然,攻击者也能使用这些工具发现网络漏洞,并实施攻击。因此,安全分析工具既能帮助增强安全,也能被利用于威胁安全。
2 密码编码学。密码编码学是密码学中一门分支学科,主要研究加密领域。其作用是保护数据的机密性、完整性、不可否认性。
(1)机密性:提供授权用户访问和阅读信息,非授权用户对信息都不理解的服务。每天有数以百万计的数据通过网络传输,攻击者能够轻易地捕获和揭示信息内容,并伪装合法用户实施非法活动。为了防止攻击者利用这些捕获到信息,我们可以使用数据加密来解决这个问题。
(2)完整性:提供确保数据在存储和传输过程中不被未授权修改(篡改、删除、插入和重写等)的服务。例如,使用MD5校验和来检查数据块的完整性。校验和是从文件的内容提取出来的,可以用来确定内容是否完整。攻击者可以修改数据块后再伪造校验和信息。除非校验和是被保护的,这样的修改也许不会被发现。在某种程度上,加密校验和有助于检测出被修改的信息。
(3)不可否认性:提供阻止用户否认先前的行为的服务。通过对称加密或非对称加密,以及数字签名等技术提供服务。例如,通过电子邮件发送信息。首先,加密信息和附上数字签名来保护其机密性。当接收时,接收者使用密匙验证信息的真实性,验证发送者的数字签名和使用相应的密匙解密信息。为了避免信息在传输过程中被修改或伪造,使用数字签名保护信息安全。数字签名是由加密校验的信息和发送者的私有密匙组成。数字签名不但保证了信息的真实性和完整性,还涉及到另一个概念就是不可否认性。当使用数字签名签署电子文件,签署人将不能宣称没有签署过’理论上数字签名是唯一的。
参考文献
[1]谢希仁,计算机网络(第5版)[M],北京:电子工业出版社,2008
[2]姚顾波等编著,黑客终结一网络安全完全解决方案[M],北京:电子工业出版社,2003
