網絡安全技術的探討

 
　　摘要：隨着計算機技術的發展，在計算機上處理業務已由基於單機的數學運算、文件處理，基於簡單連結的內部網絡的內部業務處理、辦公自動化等發展到基於企業複雜的內部網、企業外部網、全球互聯網的企業級計算機處理系統和世界範圍內的信息共享和業務處理。在信息處理能力提升的同時，系統的連結能力也在不斷的提升。但在連結信息能力、流通能力提升的同時，基於網絡鏈接的安全問題也日益突出。不管是外部網仍是內部網的網絡都會受到安全的問題。

　　關鍵字：網絡、防火牆（firewall）、***、Internet

　　網絡安全技術的探討

　　過去兩個世紀來對工業技術的控制，表明了一個國家的軍事實力和經濟實力，今天，對信息技術的控制將是領導21世紀的關鍵。有人說，信息安全就像茫茫宇宙中閃爍的星星同樣無序，看得見摸不着，具備混沌特徵。

　　隨着計算機技術的發展，在計算機上處理業務已由基於單機的數學運算、文件處理，基於簡單連結的內部網絡的內部業務處理、辦公自動化等發展到基於企業複雜的內部網、企業外部網[W1] 、全球互聯網的企業級計算機處理系統和世界範圍內的信息共享和業務處理。在信息處理能力提升的同時，系統的連結能力也在不斷的提升。但在連結信息能力、流通能力提升的同時，基於網絡鏈接的安全問題也日益突出。本文主要從如下幾個方面進行探討：

　　1、網絡的開放性帶來的安全問題 

　　Internet的開放性以及其餘方面因素致使了網絡環境下的計算機系統存在不少安全問題。爲了解決這些安全問題，各類安全機制、策略和工具被研究和應用。然而，即便在使用了現有的安全工具和機制的狀況下，網絡的安全仍然存在很大隱患，這些安全隱患主要能夠歸結爲如下幾點：
    (1) 每一種安全機制都有必定的應用範圍和應用環境。防火牆是一種有效的安全工具，它能夠隱蔽內部網絡結構，限制外部網絡到內部網絡的訪問。可是對於內部網絡之間的訪問，防火牆每每是無能爲力的。所以，對於內部網絡到內部網絡之間的***行爲和內外勾結的***行爲，防火牆是很難發覺和防範的。
　　(2)安全工具的使用受到人爲因素的影響。一個安全工具能不能實現指望的效果，在很大程度上取決於使用者，包括系統管理者和普通用戶，不正當的設置就會產生不安全因素。例如，NT在進行合理的設置後能夠達到C2級的安全性，但不多有人可以對NT自己的安全策略進行合理的設置。雖然在這方面，能夠經過靜態掃描工具來檢測系統是否進行了合理的設置，可是這些掃描工具基本上也只是基於一種缺省的系統安全策略進行比較，針對具體的應用環境和專門的應用需求就很難判斷設置的正確性。
　　(3)系統的後門是傳統安全工具難於考慮到的地方。防火牆很難考慮到這類安全問題，多數狀況下，這類***行爲能夠冠冕堂皇通過防火牆而很難被察覺；好比說，衆所周知的ASP源碼問題，這個問題在IIS服務器4.0之前一直存在，它是IIS服務的設計者留下的一個後門，任何人均可以使用瀏覽器從網絡上方便地調出ASP程序的源碼，從而能夠收集系統信息，進而對系統進行***。對於這類***行爲，防火牆是沒法發覺的，由於對於防火牆來講，該***行爲的訪問過程和正常的WEB訪問是類似的，惟一區別是***訪問在請求連接中多加了一個後綴。
　　(4)只要有程序，就可能存在BUG。甚至連安全工具自己也可能存在安全的漏洞。幾乎天天都有新的BUG被發現和公佈出來，程序設計者在修改已知的BUG的同時又可能使它產生了新的BUG。系統的BUG常常被***利用，並且這種***一般不會產生日誌，幾乎無據可查。好比說如今不少程序都存在內存溢出的BUG，現有的安全工具對於利用這些BUG的***幾乎沒法防範。
　　(5)***的***手段在不斷地更新，幾乎天天都有不一樣系統安全問題出現。然而安全工具的更新速度太慢，絕大多數狀況須要人爲的參與才能發現之前未知的安全問題，這就使得它們對新出現的安全問題老是反應太慢。當安全工具剛發現並努力更正某方面的安全問題時，其餘的安全問題又出現了。所以，***老是可使用先進的、安全工具不知道的手段進行***。

　　2、網絡安全的防禦力漏洞，致使***在網上任意暢行

　　● 根據Warroon Research的調查，1997年世界排名前一千的公司幾乎都曾被***闖入。

　　● 據美國FBI統計，美國每一年因網絡安全形成的損失高達75億美圓。

　　● Ernst和Young報告，因爲信息安全被竊或濫用，幾乎80%的大型企業遭受損失

　　●在最近一次***大規模的***行動中，雅虎網站的網絡中止運行3小時，這令它損失了幾百萬美金的交易。而據統計在這整個行動中美國經濟共損失了十多億美金。因爲業界人心惶惶，亞馬遜(Amazon.com)、AOL、雅虎(Yahoo!)、eBay的股價均告下挫，以科技股爲主的那斯達克指數(Nasdaq)打破過去連續三天創下新高的升勢，下挫了六十三點，杜瓊斯工業平均指數週三收市時也跌了二百五十八點。看到這些使人震驚的事件，不由讓人們發出疑問：「網絡還安全嗎？」

　　據不徹底統計目前，我國網站所受到***的***，還不能與美國的狀況相提並論，由於咱們在用戶數、用戶規模上還都處在很初級的階段，但如下事實也不能不讓咱們深思：

    1993年末，中科院高能所就發現有「***」侵入現象，某用戶的權限被升級爲超級權限。當系統管理員跟蹤時，被其報復。1994年，美國一位14歲的小孩經過互聯網闖入中科院網絡中心和清華的主機，並向我方系統管理員提出警告。  

　　1996年，高能所再次遭到「***」***，私自在高能所主機上創建了幾十個賬戶，經追蹤發現是國內某撥號上網的用戶。

　　同期，國內某ISP發現「***」侵入其主服務器並刪改其賬號管理文件，形成數百人沒法正常使用。

　　1997年，中科院網絡中心的主頁面被「***」用魔鬼圖替換。

　　進入1998年，******活動日益猖獗，國內各大網絡幾乎都不一樣程度地遭到***的***：

　　2月，廣州視聆通被***屢次***，形成4小時的系統失控；

　　4月，貴州信息港被******，主頁被一幅淫穢圖片替換；

　　5月，大連ChinaNET節點被***，用戶口令被盜；

　　6月，上海熱線被侵入，多臺服務器的管理員口令被盜，數百個用戶和工做人員的帳號和密碼被竊取；

　　7月，江西169網被******，形成該網3天內中斷網絡運行2次達30個小時，工程驗收推遲20天；同期，上海某證券系統被******；

　　8月，印尼事件激起中國***集體***印尼網點，形成印尼多個網站癱瘓，但與此同時，中國的部分站點遭到印尼***的報復；同期，西安某銀行系統被******後，提走80.6萬元現金。

　　9月，揚州某銀行被******，利用虛存賬號提走26萬元現金。

　　10月，福建省圖書館主頁被***替換。

　　3、網絡安全體系的探討

　　現階段爲了保證網絡工做順一般用的方法以下：

　　一、網絡病毒的防範。在網絡環境下，病毒 傳播擴散快，僅用單機防病毒產品已經很難完全清除網絡病毒，必須有適合於局域網的全方位防病毒產品。校園網絡是內部局域網，就須要一個基於服務器操做系統平臺的防病毒軟件和針對各類桌面操做系統的防病毒軟件。若是與互聯網相連，就須要網關的防病毒軟件，增強上網計算機的安全。若是在網絡內部使用電子郵件進行信息交換，還須要一套基於郵件服務器平臺的郵件防病毒軟件，識別出隱藏在電子郵件和附件中的病毒。因此最好使用全方位的防病毒產品，針對網絡中全部可能的病毒***點設置對應的防病毒軟件，經過全方位、多層次的防病毒系統的配置，經過按期或不按期的自動升級，使網絡免受病毒的侵襲。

　　二、配置防火牆。利用防火牆，在網絡通信時執行一種訪問控制尺度，容許防火牆贊成訪問的人與數據進入本身的內部網絡，同時將不容許的用戶與數據拒之門外，最大限度地阻止網絡中的***來訪問本身的網絡，防止他們隨意更改、移動甚至刪除網絡上的重要信息。防火牆是一種行之有效且應用普遍的網絡安全機制，防止Internet上的不安全因素蔓延到局域網內部，因此，防火牆是網絡安全的重要一環。

　　三、採用***檢測系統。***檢測技術是爲保證計算機系統的安全而設計與配置的一種可以及時發現並報告系統中未 受權或異常現象的技術，是一種用於檢測計算機網絡中違反安全策略行爲的技術。在***檢測系統中利用審計記錄，***檢測系統可以識別出任何不但願有的活動，從而達到限制這些活動，以保護系統的安全。在校園網絡中採用***檢測技術，最好採用混合***檢測，在網絡中同時採用基於網絡和基於主機的***檢測系統，則會構架成一套完整立體的主動防護體系。

　　四、Web，Email，BBS的安全監測系統。在網絡的www服務器、Email服務器等中使用網絡安全監測系統，實時跟蹤、監視網絡， 截獲Internet網上傳輸的內容，並將其還原成完整的www、Email、FTP、Telnet應用的內容 ，創建保存相應記錄的數據庫。及時發如今網絡上傳輸的非法內容，及時向上級安全網管中 心報告，採起措施。

　　五、漏洞掃描系統。解決網絡層安全問題，首先要清楚網絡中存在哪些安全隱患、脆弱點。面對大型網絡的複雜性和不斷變化的狀況，僅僅依靠網絡管理員的技術和經驗尋找安全漏洞、作出風險評估，顯然是不現實的。解決的方案是，尋找一種能查找網絡安全漏洞、評估並提出修改建議的網絡 安全掃描工具，利用優化系統配置和打補丁等各類方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的狀況下，能夠利用各類***工具，對網絡模擬***從而暴露出網絡的漏洞。

　　六、IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當某個IP經過路由器訪問Internet時，路由器要檢查發出這個IP廣播包的工做站的MAC是否與路由器上的MAC地址表相符，若是相符就放行。不然不容許經過路由器，同時給發出這個IP廣播包的工做站返回一個警告信息。

　　七、利用網絡監聽維護子網系統安全。對於網絡外部的***能夠經過安裝防火牆來解決，可是對於網絡內部的侵襲則無能爲力。在這種狀況下，咱們能夠採用對各個子網作一個具備必定功能的審計文件，爲管理人員分析本身的網絡運做狀態提供依據。設計一個子網專用的監聽程序。該軟件的主要功能爲長期監聽子網絡內計算機間相互聯繫的狀況，爲系統中各個服務器的審計文件提供備份。

　　總之，網絡安全是一個系統的工程，不能僅僅依靠防火牆等單個的系統，而須要仔細考慮系統的安全需求，並將各類安全技術，如密碼技術等結合在 一塊兒，才能生成一個高效、通用、安全的網絡系統。