网络安全问题的研究与探讨
2021-05-30
来源:世旅网
维普资讯 http://www.cqvip.com 科技情报开发与经济 SCI/TECH INFORMATION DEVELOPMENT&ECONOMY 2002年第12卷第5期 文章编号:1005—6033(2002)05—0129—03 收稿日期:2002—07—09 网络安全问题的研究与探讨 耿麦香 摘要:随着lnternet的日益普及,计算机网络安全问题越来越受到社会各界的广泛关注。文章阐述 了计算机网络安全的特征,对威胁计算机网络安全的主要因素进行了分析,并对网络信息安全的主 要策略进行了研究与探讨。 关键词:网络安全;防火墙;加密技术;访问控制;安全策略 中图分类号:TP393 文献标识码:^ 近年来.随着全球性的网络浪潮的兴起,我国以Intemet技术为核心的 黑客,是英文“Hacher”的译音,是指利用不正当的手段窃取计算机网 网络系统得到快速发展。电子商务、信息服务、网络交流等技术手段广泛应 络系统的口令和密码,从而非法进人计算机网络的人。黑客攻击早在主 机/终端时代就已出现,主要手段有:窃取口令、强行闻人、窃取额外特权、 植人“特洛伊木马”、植人非法命令过程或程序“儒虫”、清理磁盘等。随着因 特网的发展。现代黑客从系统攻击为主转为网络攻击为主,主要手法有:通 用。与此同时,伴随而来的网络安全问题也日益突出。实际上。计算机安全 问题现在已经成为影响Intemet进一步发展的重要因素,已引起世界各国 政府及计算机网络专家的极大关注。因此,加强我国网络安全系统建设和 安全应用模式研究已成为我们面临的一件大事。 过网络监听获取网上用户账号和密码后对其进行攻击;监听密钥分配过 程。得到密钥或认证码,盗取合法资格;利用文件传送协议(rap)。采用匿名 1 网络信息安全的特征 计算机网络安全特征主要表现在系统的保密性、真实性、完整性、可靠 性、可用性、不可否认性、可控性等方面。 保密性是指网络信息不向非授权的用户、实体或过程泄露,即信息只 为授权用户使用。 用户访问进行攻击;利用UNIX操作系统提供的守护过程的缺省账户进行 攻击;突破防火墙等。 2.2计算机病毒 计算机病毒本质上是一种具有自我复制能力的程序。与生物病毒相 似,计算机病毒具有破坏性、传播性、潜伏性和扩散面广等特点。计算机病 毒将自己的代码写人宿主程序的代码中。以感染宿主程序,每当运行受感 染的宿主程序时也将运行计算机病毒。此时病毒就自我复制,然后其副本 真实性是指信息的可信度,主要是对信息所有者或发送者身份的确认。 完整性是网络信息未经授权不能进行改变的特性。即网络信息在存储 或传输过程中保持不被偶然或蓄意地添加、删除、修改、伪造、乱序、重放等 破坏和丢失的特性。保证信息的完整性是信息安全的基本要求。 可靠性是指系统能够在规定的条件和规定的时间内完成规定功能的 就感染其他程序,如此周而复始。随着lntemet的发展,网页技术被广泛使 用,将文件附于电子邮件的能力也不断提高,计算机病毒的种类急剧增加, 扩散速度大大加快。而且破坏性越来越大,受感染的范围也越来越广。 2.3 中断服务 特性。可靠性是系统安全的最基本要求之一,是所有网络信息系统建设和 运行的基本目标。 威胁源使系统的资源受损或不能使用,从而使数据的流动或服务的提 供暂停。 2.4 窃取 可用性是网络信息可被授权用户或实体访问并按需求使用的特性,或 者网络部分受损或降级使用时,仍能为授权用户提供有效服务的特性。可 用性是网络信息系统面向用户的安全特性。 不可否认性也称作不可抵赖性,在网络系统的信息交互过程中,所有 指某个威胁源未经许可,却成功地获取了对一个资源的访问,从中盗 窃了有用的信息。 2.5 伪造 参与者都不可能否认或者抵赖曾经完成的操作和承诺。数字签名技术是解 决不可否认性的手段之一。 指某个威胁源未经许可,但成功地在系统中制造出了假源,从而产生 了虚假的信息。 2.6 信息乱序 可控性是对网络信息的传播及内容具有控制能力的特性。不允许不良 内容通过公共网络进行传播。 用非法修改、删除、重排序等手段。使正常传送的信息乱序。 以上种种威胁轻则造成局部操作失效,重则造成系统瘫痪。网络信息 系统的共享程度越高,信息安全的保障措施就越有必要。但也将变得更加 难于实施。 2 威胁计算机网络安全的因素 计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威 胁;二是对网络中设备的威胁。 3 网络系统的主要安全策略 从根本意义上讲,绝对安全的计算机是根本不存在的,绝对安全的网 络也是不可能有的。我们在讨论安全问题的时候。实际上是指一定程度的 网络安全。一般来说:网络越安全。就越意味着对网络使用的不方便,即网 络安全性通常是以网络的开放性、便利性和灵活性为代价的。计算机网络 安全是一个复杂的系统,国际上普遍认为,它不仅涉及到技术、设备、人员 造成计算机网络信息不安全的因素很多。主要可以分为人为的和非人 为的两种。非人为的威胁因素主要是指自然灾害造成的不安全因素,如地 震、水灾、火灾、战争等原因造成了网络的中断、系统的破坏、数据的丢失 等。对于人为的威胁因素。往往是由威胁源(人侵者或人侵程序)利用系统 资源中的脆弱环节进行入侵而产生的。常见的网络安全威胁有以下几种: 2.1 计算机黑客 第一作者简介:耿麦香,女,1954年5月生,山西省洪洞县人,1978年毕业于太原工学院电子系,高级工程师,太原理工大学信息工程学院,山西省太原 市迎泽西大街79号,030024. 129 维普资讯 http://www.cqvip.com 耿麦香 网络安全问题的研究与探讨 管理等范畴,还应该以法律规范作保证,只有各方丽结合起来,相互弥补, 不断完薄,才能有效地实现网络信息安全 保障网络信息系统的安全必须 构建一个全方位、 体化的防御系统。这个防御体系应包括技术因素和非 技术凼素、其r 技术防范措施主要包括:对计算机实行物理安全防范、防火 墙技术、加密技术(密码技术和数字签名技术)、完整性检查、反病毒检查技 术、安全通信协议一ssL协议等等 非技术性因素则包括:管理方面的安 全措施、法律保护、政策引导等等。这里我们仅从技术的角度探讨网络信 息安全的策略。 3.1 防火墙技术 防火墙是近期发展起来的一种保护计算机网络安全的技术性措施。 它是一种将内部网络和外部网络分开的方法,实际上是一种隔离控制技 术。用专业语言来说,所谓防火墙就是一个或一组网络设备(计算机或路 由器等) 从理论t-AJt:,防火墙是由软件和硬件两部分组成。防火墙是在某 个机构的内部网络和不安全的外部网络之间设置障碍,阻止对信息资源的 {E法访 .电可以 止保密信息从受保护的网络上非法输出 从某种意义 i‘来蜕,防火墙实际卜代表j,一个网络的访问原则。如果某个网络决定配 覆防火墙,那么首先需要由网络决策人员及网络专家共同决定网络的安全 策略.即确定哪些类型的信息允许通过防火墙,哪些类型的信息不允许通 过防火墙 防火墙的职责就是根据本单位的安全策略,x,J-#b部网络与内部 网络交流的信息进行检查,符合的通过,不符合的拒绝。防火墙已成为实 现安全策略的最有效工具之一,并被广泛应用在Internet上。防火墙的基 本实现技术主要有3种:包过滤技术.应用层网关(代理服务)技术和状态 监视器技术。各种类型都有其特有的优点,也有其难以克服的缺点。 (1)包过滤技术。在Internet这样的TCP/IP网络上,所有往来的信息 都被分割成许许多多一定长度的信息包,包中包含发送者的IP地址和接 收者的IP地址信息。当这些信息包被送上Intern'et时,路由器会读取接收 者的IP地址并选择一条合适的物理线路发送出去。信息包可能经由不同 的路线抵达Fi的地,当所有的包抵达目的地后会重新组装还原。数据包过 滤防火端的技术核心是对流经防火墙的每个数据包进行审查,分析其包头 【f1所包含的源地址 目的地址.封装协议( FCP、UDP、ICMP、IP Tunnel等)、 rcp/uDP源端 号和日的端r=【号、输入输出接VA等信息,确定其是否与系 统预先设定的安全策略相匹配,以决定允许或拒绝该数据包的通过,从而 起到保护内部网络的作用,这一过程就称为数据包过滤。 当数据包进人数据包过滤防火墙,首先需要进行的是数据包完整性检 查,以确定包在传输中是否有误,由于防火墙只根据包头t}】所包含的信息 来匹配过滤规则表,因此有时一些畸形包会使防火墙产生迷惑。故那些被 怀疑是不完整的数据包在此之前应被抛弃。这一检查常用于对付黑客的 碎片攻击 、被认为是完整的数据包才能接受防火墙的输入过滤规则表的 检查,如不允许该数据包通过,该数据包将被抛弃,反之,数据包将进一步 接受路由检查。防火墙内的路由表根据数据包中包含的目的信息决定数 据包是否需要转发,如需要转发,数据包还需要接受转发规则表的检查。 这一过程是用于防范黑客的路由攻击。最后,所有的数据包(无论是否需 要转发)在离开防火墙前均还需要接受输出过滤规则表的检查。 从I 述分析不难看出,制定严谨的过滤规则表是建立有效的数据包过 滤防火墙的关键。包过滤防火墙一般用一台过滤路由器来实现安全控制 功能一 (2)应厢网关技术。应用网关技术实际一f 是一种基于代理服务器的防 火墙技术,代理服务器适应于特定的lntemet服务,如H1TrP、FTrP等等。在 一般的情况下,代理服务器可同时用作应用网关来保护内部网络的安全。 代理服务器通常运行在两个网络之间,来自外部的入侵者必须首先突破代 理服务器的防线侵入到代理服务器中,然后才有可能对lniemei内部网的 计算机进行人侵。因此只需要在代理服务器上严密地监控和防守,就可以 比较容易地防止来自外部的入侵者侵入内部计算机系统。这时代理服务 器收成为将|ntranet内部网和外部Iniernei隔离开的一堵防御入侵的防火 墙。代理服务器既作为内部网客户机的服务器主机,又作为外部网服务器 的一台客rl机 计 坪H瞳务器接收至Il用户对某站点的访问请求时,会检查 I 3() 信息产业 该请求是否符合规定,如果规则允许用户访问该站点的话,代理服务器会 到被用户访问的站点取回所需信息再转发给用户。代理服务器会像一堵墙 一样挡在内部用户和外界之间,从外部只能看到该代理服务器而无法获知 任何的内部资源,诸如用户的IP地址等。应用级网关型防火墙的优点是: 较为可靠,可以产生比较详尽的访问13志以便于抓获黑客;缺点是:使网络 速度变慢,不允许用户 接访问网络,对于H'ITP、丌-P等不同网络服务要 有不同的客户端软件来支持,否则不能正常工作: (3)状态监测技术。状态监测技术是基于状态检查的动态包过滤防火 墙技术,它是一种新型的防火墙技术。这种防火墙具有非常好的安全特性, 它使用了一个在网关上执行网络安全策略的软件模块,称之为监测引擎。 监测引擎在不影响网络正常运行的前提下,采用抽取有关数据的方法对网 络的各层实施监测,抽取状态信息,并动态地保存起来作为以后执行安全 策略的参考。监测引擎支持多种协议和应用程序,并可以很容易地实现应 用和服务的扩充。与前两种防火墙不同,当用户访问请求到达网关的操作 系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定 做出接纳、拒绝、身份认汪、报警或给浚通信加密等处理动作。这种类型防 火墙的优点是:会主动拒绝违规访问、产生访问日志;缺点是:配置较为复 杂.使网络速度降低。 3.2 加密技术 网络安全的另一个非常重要的手段就是加密技术。防火墙技术是一种 被动的防卫技术,对内部的非法访问难以有效地控制,加密技术则是一种 主动的防卫手段。因此要保障网络信息的安全,就应当用现代密码学来助 阵。加密型网络安全技术的基本思想是通过对网络数据的加密来保障网络 的安全可靠。数据加密技术可以分为三类:对称型加密、不对称型加密和不 可逆加密。加密的目的是保护网内的数据、文件、口令和控制信息,保护网 上传送的数据。网络加密常用的方法有链路加密、端端加密和节点加密三 种。链路加密的目的是保护网络节点之间的链路信息安全;端一端加密的 目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源 节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择 上述加密方式。数据加密过程由各种加密算法实现,它以很小的代价提供 很大的安全保护。据不完全统计,到目前为止,已公开发表的加密算法多达 数百种。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分 为常规密码算法(对称密码算法)和公钥密码算法(非对称密码算法)。在常 规密码中,收信方和发信方使用相同的密码,UlIDo密密钥和解密密钥是相 同和等价的。比较著名的常规密码算法有:美国的DES及其各种变形。比 如,Triple DES、GDES、New DES和DES的前身Lucifer;欧洲的IDEA;日本 的FEAL—N、LOKI一91、Skipjack、Rc4、RC5以及以代换密¨和,;位密码为 代表的古典密码等。在众多的常规密码中影响最大的是DF S 马。对称密 码的优点是有很强的保密强度,且能经受住时间的检验和攻 ,但其密钥 必须通过安全的途径传送,密钥管理困难。 在公钥密码中,收信方和发信方使用的密钥互不相同,而且几乎不可 能从加密密码推导出解密密码。比较著名的公钥密码算法有:RSA、背包密 码McEliece、Diife—Hellman、Rabin、Ong—Fiat—Shamir、零知识证明的算 法、椭圆曲线、EIGamal算法等等。最有影响的公钥密码算法是RSA,它能 抵抗到目前为止已知的密码攻击。公钥密码的优点是可以适应网络的开放 性要求,且密钥管理问题也较为简单,尤其可方便地实现数字签名和验 证。但其算法复杂,加密数据的速率较低。尽管如此,随着现代电子技术和 密码技术的发展,公钥密码算法将是一种很有前途的网络安全加密体制。 在实际应用中人们通常将常规密码和公钥密码结合在一起使用。 小町逆加密使崩单向散列函数将任何可变长的输入转换成固定长度 的散列值,主要用于数字签名。著名的散列算法有:MD2,rod4.rod5,SHA. 这种算法对任意长度的输入报文都产生一个128一bit的“指纹”或“报文摘 要”作为输出。 密码技术是网络安全最有效的技术之一。一个加密网络,不但可以防 止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之 维普资讯 http://www.cqvip.com 耿麦香 网络安全问题的研究与探讨 信息产业 3 3 访问控制策略 访问控制是网络安全防范和保护的主要策略,它的作用是对想访问系 (如指纹、声音、视网膜纹等)进行认证的安全性很高,但实现这种技术的成 本较高而难于普及。基于智能卡的身份认证则被认为是现阶段较为合适的 一统和其数据的人进行识别,并检验其身分,以保证网络资源不被非法使用 和非法访问,它也是维护网络系统安全、保护网络资源的重要手段。 各种安全策略必须相互配合才能起到保护作用,但访问控制可以说是 保证网络安全最重要的核心策略之一。一般地,访问控制的实现可分为3 种方法:一是基于口令的访问控制技术。口令是进行访问控制的简单而有 种认证技术。 3.5入侵检测技术 八侵检测技术是一种新型网络安全技术,目的是提供实时的入侵检测 及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。实 时入侵检测能力之所以重要,首先是它能够作为防火墙技术的补充,弥补 防火墙技术的不足,能对付来自内部网络的攻击。 3 6 反病毒技术 效的方法,它控制哪些用, ,能够登陆到服务器并获取网络资源,控制允许 用户入网的时间及允许它们在哪台工作站入网。用户的入网访问控制可分 为3步:用户名的识别与验证、用户13令的识别与验证、用户帐号的缺省限 反病毒技术包括病毒预防、病毒检测、病毒消除三种。具体实现方法是 对网络服务器中的文件进行频繁地扫描和监测,但面对因特网上不断出现 制检查,三道关卡中只要任何一道未过,该用户便不能进入该网络。对网络 用户的用户名和口令进行验证是防止非法访问的第一道防线。二是选择性 的新型病毒,传统的反病毒软件显得苍白无力,为此,许多网络安全专家和 计算机公司纷纷推出新的病毒防范产品,这些产品能够及时监视通过因特 访问控制。选择性访问控制通常内置于许多操作系统中,它是根据授予个 人或组的权限来进行访问控制的。网络的权限控制是针对网络非法操作所 提出的一种安全保护措施。用户和用户组被赋予一定的权限,网络系统控 网传人计算机的数据,正确判断数据携带的病毒并将病毒杀除,有效地防 止病毒从因特网感染到计算机上。 制用户和用户组可以访问哪些目录、子目录、文件和其他资源,以及指定用 户对这些文件、目录、设备能够执行哪些操作。三是强制性访问控制。对于 高安全等级的系统,除l『指定访问控制的权限外,还规定了强制访问控制 权限、分配给用户一个安全属性,强制性地规定了该属性下可以做的事情。 3.4 认证技术 随着计算机技术和通信技术的发展,计算机网络已渗透到社会生活的 各个领域,计算机网络安全与我国的经济安全、社会安全、国家安全紧密相 连.其综合性强,涉及面广,因此,认清网络的脆弱性及潜在威胁,及时采取 强有力的安全措施,对于保障网络安全十分重要。 参考文献 【l】张公忠、现代网络技术教程【M】、北京:电子工业出版社,2001 【2】 陈兵,王立松.网络安全体系结构研究【J】.计算机工程与应用, 2002(7):l38—140 认证也是一种基本的安全技术.用来汪实被认证的对象(人或事)是否 名符其实或是否有效的一种过程。即用来确保数据的真实性,防止入侵者 主动攻击,如假冒、篡改等。 认证技术是通过验证被认证对象的一个或多个参数的真实性和有效 性来实现的。因此,被认证对象与要验证的参数之间应存在严格的对应关 【3】 陈幼雷,王张宣,张焕国、个人防火墙技术的研究与探讨【J】.计算 机工程与应用,2002(8):136—139 系,最好是唯一的。目前,计算机通讯中采用的参数有13令、标识符、密钥、 随机数等.而且使用基于密码的认证技术。一般来说,用人的生理特征参数 【4】 黄瑞华.朱莉欣.问向荣.论保护信息网络安全的技术性和管理性法 规【J】'情报学报,2001(10):521—526 Research on the Problem of Network Security GENG Mai-xiang ABSTRACT:Along with that the Internet is becoming more and more popular day by day,all circles of the society pay greater attentions to the problem of network security.This paper deals with the characteristics of the network security and analyzes the main factors threatening network security,and researches the security policy for network system. KEY WORDS:network security;firewall;cryptography;access control;security policy (上接第85页)部门进行_r充分的论证,决定用一年时间将迎泽公园以上 至坞城公园段2 250m明渠,坞城公园,坞城公园至北张公园段l 100m, 北张公园。园林水系建成后,太原市城区的绿地面积将在原来的基础上 未完部分工程全部完成。至2001年,已完工程有:程家村至黑龙潭段,黑 龙潭,动物园,饮马河,南海子(基本完成),迎泽公园。未完工程有:太钢 新增54.2hm ,同时,太原市的园林绿化总体水平将会有一个突飞猛进的 提高,使太原市进入国家级园林化城市成为可能。 分水闸至森林公园段2.05km明渠,森林公园至程家村段1.叭km管道, 西海子公园,双塔西街至王村公园段l 900m明渠,王村公园,王村公园 Programme and Construction of Comprehensive Tackling of Parks’Water System of Taiyuan City WANG Wan.zhen ABSTRACT:This paper briefly introduces the history,development,present situation and signiifcance of the West Water System of Taiyuan City,and analyses on the principles and contents of this project’S programme and construction and the construction situation. KEY WORDS:construction of municipal water system;parks’water system;comprehensive tackling;Taiyuan City l3l