網(wǎng)絡(luò)安全策略研究

[摘要] 當(dāng)前網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性開始成為世界各國共同關(guān)注的焦點(diǎn)。計(jì)算機(jī)網(wǎng)絡(luò)安全不僅影響了網(wǎng)絡(luò)穩(wěn)定運(yùn)行和用戶的正常使用，還有可能造成重大的經(jīng)濟(jì)損失，威脅到國家安全。文章分析了幾種常見的網(wǎng)絡(luò)入侵方法以及在此基礎(chǔ)上探討了網(wǎng)絡(luò)安全的幾點(diǎn)策略。

[關(guān)鍵詞] 網(wǎng)絡(luò)安全 計(jì)算機(jī)網(wǎng)絡(luò) 入侵檢測

引言

計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)開放和自由的網(wǎng)絡(luò)，它在大大增強(qiáng)了網(wǎng)絡(luò)信息服務(wù)靈活性的同時(shí)，也給黑客攻擊和入侵敞開了方便之門。不僅傳統(tǒng)的病毒借助互聯(lián)網(wǎng)加快了其傳播速度并擴(kuò)大了其傳播范圍，而且各種針對網(wǎng)絡(luò)協(xié)議和應(yīng)用程序漏洞的新型攻擊方法層出不窮。這些黑客把先進(jìn)的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)，當(dāng)成一種新式犯罪工具和手段，不僅影響了網(wǎng)絡(luò)穩(wěn)定運(yùn)行和用戶的正常使用，造成重大經(jīng)濟(jì)損失，而且會威脅到國家安全。如何更有效地保護(hù)重要的信息數(shù)據(jù)、提高計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為影響一個(gè)國家的政治、經(jīng)濟(jì)、軍事和人民生活的重大關(guān)鍵問題。近年來，網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性開始成為世界各國共同關(guān)注的焦點(diǎn)。文章分析了幾種常見的網(wǎng)絡(luò)入侵方法以及在此基礎(chǔ)上探討了網(wǎng)絡(luò)安全的幾點(diǎn)策略。

一、常見的幾種網(wǎng)絡(luò)入侵方法

由于計(jì)算機(jī)網(wǎng)絡(luò)的設(shè)計(jì)初衷是資源共享、分散控制、分組交換，這決定了互聯(lián)網(wǎng)具有大跨度、分布式、無邊界的特征。這種開放性使黑客可以輕而易舉地進(jìn)入各級網(wǎng)絡(luò)，并將破壞行為迅速地在網(wǎng)絡(luò)中傳播。同時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)還有著自然社會中所不具有的隱蔽性：無法有效識別網(wǎng)絡(luò)用戶的真實(shí)身份；由于互聯(lián)網(wǎng)上信息以二進(jìn)制數(shù)碼，即數(shù)字化的形式存在，所以操作者能比較容易地在數(shù)據(jù)傳播過程中改變信息內(nèi)容。計(jì)算機(jī)網(wǎng)絡(luò)的傳輸協(xié)議及操作系統(tǒng)也存在設(shè)計(jì)上的缺陷和漏洞，從而導(dǎo)致各種被攻擊的潛在危險(xiǎn)層出不窮，這使網(wǎng)絡(luò)安全問題與傳統(tǒng)的各種安全問題相比面臨著更加嚴(yán)峻的挑戰(zhàn)，黑客們也正是利用這樣的特征研發(fā)出了各種各樣的攻擊和入侵方法：

1.通過偽裝發(fā)動攻擊

利用軟件偽造IP包，把自己偽裝成被信任主機(jī)的地址，與目標(biāo)主機(jī)進(jìn)行會話，一旦攻擊者冒充成功，就可以在目標(biāo)主機(jī)并不知曉的情況下成功實(shí)施欺騙或入侵；或者，通過偽造IP地址、路由條目、DNS解析地址，使受攻擊服務(wù)器無法辨別這些請求或無法正常響應(yīng)這些請求，從而造成緩沖區(qū)阻塞或死機(jī)；或者，通過將局域網(wǎng)中的某臺機(jī)器IP地址設(shè)置為網(wǎng)關(guān)地址，導(dǎo)致網(wǎng)絡(luò)中數(shù)據(jù)包無法正常轉(zhuǎn)發(fā)而使某一網(wǎng)段癱瘓。

2.利用開放端口漏洞發(fā)動攻擊

利用操作系統(tǒng)中某些服務(wù)開放的端口發(fā)動緩沖區(qū)溢出攻擊。這主要是由于軟件中邊界條件、函數(shù)指針等方面設(shè)計(jì)不當(dāng)或缺乏限制，因而造成地址空間錯(cuò)誤的一種漏洞。利用軟件系統(tǒng)中對某種特定類型的報(bào)文或請求沒有處理，導(dǎo)致軟件遇到這種類型的報(bào)文時(shí)運(yùn)行出現(xiàn)異常，從而導(dǎo)致軟件崩潰甚至系統(tǒng)崩潰。

3.通過木馬程序進(jìn)行入侵或發(fā)動攻擊

木馬是一種基于遠(yuǎn)程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點(diǎn)，一旦被成功植入到目標(biāo)主機(jī)中，計(jì)算機(jī)就成為黑客控制的傀儡主機(jī)，黑客成了超級用戶。木馬程序可以被用來收集系統(tǒng)中的重要信息，如口令、賬號、密碼等。此外，黑客可以遠(yuǎn)程控制傀儡主機(jī)對別的主機(jī)發(fā)動攻擊，如DDoS攻擊就是大量傀儡主機(jī)接到攻擊命令后，同時(shí)向被攻擊目標(biāo)發(fā)送大量的服務(wù)請求數(shù)據(jù)包。

4.嗅探器和掃描攻擊

嗅探器是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種技術(shù)。網(wǎng)絡(luò)嗅探器通過被動地監(jiān)聽網(wǎng)絡(luò)通信、分析數(shù)據(jù)來非法獲得用戶名、口令等重要信息，它對網(wǎng)絡(luò)安全的威脅來自其被動性和非干擾性，使得網(wǎng)絡(luò)嗅探具有很強(qiáng)的隱蔽性，往往讓網(wǎng)絡(luò)信息泄密變得不容易被發(fā)現(xiàn)。掃描，是指針對系統(tǒng)漏洞，對系統(tǒng)和網(wǎng)絡(luò)的遍歷搜尋行為。由于漏洞普遍存在，掃描手段往往會被惡意使用和隱蔽使用，探測他人主機(jī)的有用信息，作為實(shí)施下一步攻擊的前奏。

為了應(yīng)對不斷更新的網(wǎng)絡(luò)攻擊手段，網(wǎng)絡(luò)安全技術(shù)也經(jīng)歷了從被動防護(hù)到主動檢測的發(fā)展過程。主要的網(wǎng)絡(luò)安全技術(shù)包括：防火墻、VPN、防毒墻、入侵檢測、入侵防御、漏洞掃描。其中防病毒、防火墻和VPN屬早期的被動防護(hù)技術(shù)，入侵檢測、入侵防御和漏洞掃描屬主動檢測技術(shù)，這些技術(shù)領(lǐng)域的研究成果已經(jīng)成為眾多信息安全產(chǎn)品的基礎(chǔ)。

二、網(wǎng)絡(luò)的安全策略分析

早期的網(wǎng)絡(luò)防護(hù)技術(shù)的出發(fā)點(diǎn)是首先劃分出明確的網(wǎng)絡(luò)邊界，然后通過在網(wǎng)絡(luò)邊界處對流經(jīng)的信息利用各種控制方法進(jìn)行檢查，只有符合規(guī)定的信息才可以通過網(wǎng)絡(luò)邊界，從而達(dá)到阻止對網(wǎng)絡(luò)攻擊、入侵的目的。主要的網(wǎng)絡(luò)防護(hù)技術(shù)包括：

1.防火墻

防火墻是一種隔離控制技術(shù)，通過預(yù)定義的安全策略，對內(nèi)外網(wǎng)通信強(qiáng)制實(shí)施訪問控制，常用的防火墻技術(shù)有包過濾技術(shù)、狀態(tài)檢測技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)。包過濾技術(shù)是在網(wǎng)絡(luò)層中對數(shù)據(jù)包實(shí)施有選擇的通過，依據(jù)系統(tǒng)事先設(shè)定好的過濾邏輯，檢查數(shù)據(jù)據(jù)流中的每個(gè)數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、以及包所使用的端口確定是否允許該類數(shù)據(jù)包通過；狀態(tài)檢測技術(shù)采用的是一種基于連接的狀態(tài)檢測機(jī)制，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個(gè)連接狀態(tài)因素加以識別，與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比，它具有更好的靈活性和安全性；應(yīng)用網(wǎng)關(guān)技術(shù)在應(yīng)用層實(shí)現(xiàn)，它使用一個(gè)運(yùn)行特殊的“通信數(shù)據(jù)安全檢查”軟件的工作站來連接被保護(hù)網(wǎng)絡(luò)和其他網(wǎng)絡(luò)，其目的在于隱蔽被保護(hù)網(wǎng)絡(luò)的具體細(xì)節(jié)，保護(hù)其中的主機(jī)及其數(shù)據(jù)。

2.VPN

VPN（Virtual Private Network）即虛擬專用網(wǎng)絡(luò)，它是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)連接而成的邏輯上的虛擬子網(wǎng)。它可以幫助異地用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商與內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。為了保障信息的安全，VPN技術(shù)采用了鑒別、訪問控制、保密性和完整性等措施，以防止信息被泄露、篡改和復(fù)制。VPN技術(shù)可以在不同的傳輸協(xié)議層實(shí)現(xiàn)，如在應(yīng)用層有SSL協(xié)議，它廣泛應(yīng)用于Web瀏覽程序和Web服務(wù)器程序，提供對等的身份認(rèn)證和應(yīng)用數(shù)據(jù)的加密；在會話層有Socks協(xié)議，在該協(xié)議中，客戶程序通過Socks客戶端的1080端口透過防火墻發(fā)起連接，建立到Socks服務(wù)器的VPN隧道；在網(wǎng)絡(luò)層有IPSec協(xié)議，它是一種由IETF設(shè)計(jì)的端到端的確保IP層通信安全的機(jī)制，對IP包進(jìn)行的IPSec處理有AH（Authentication Header）和ESP（Encapsulating Security Payload）兩種方式。

3.防毒墻

防毒墻是指位于網(wǎng)絡(luò)入口處，用于對網(wǎng)絡(luò)傳輸中的病毒進(jìn)行過濾的網(wǎng)絡(luò)安全設(shè)備。防火墻能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)流連接的合法性進(jìn)行分析，但它對從允許連接的電腦上發(fā)送過來的病毒數(shù)據(jù)流卻是無能為力的，因?yàn)樗鼰o法識別合法數(shù)據(jù)包中是否存在病毒這一情況；防毒墻則是為了解決防火墻這種防毒缺陷而產(chǎn)生的一種安全設(shè)備。防毒墻使用簽名技術(shù)在網(wǎng)關(guān)處進(jìn)行查毒工作，阻止網(wǎng)絡(luò)蠕蟲(Worm)和僵尸網(wǎng)絡(luò)(BOT)的擴(kuò)散。此外，管理人員能夠定義分組的安全策略，以過濾網(wǎng)絡(luò)流量并阻止特定文件傳輸、文件類型擴(kuò)展名、即時(shí)通信信道、批量或單獨(dú)的IP/MAC地址，以及TCP/UDP端口和協(xié)議。

三、網(wǎng)絡(luò)檢測技術(shù)分析

人們意識到僅僅依靠防護(hù)技術(shù)是無法擋住所有攻擊，于是以檢測為主要標(biāo)志的安全技術(shù)應(yīng)運(yùn)而生。這類技術(shù)的基本思想是通過監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動來識別針對計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，或者更廣泛意義上的信息系統(tǒng)的非法攻擊。包括檢測外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法活動。主要的網(wǎng)絡(luò)安全檢測技術(shù)有：

1.入侵檢測

入侵檢測系統(tǒng)（Intrusion Detection System，IDS）是用于檢測任何損害或企圖損害系統(tǒng)的保密性、完整性或可用性行為的一種網(wǎng)絡(luò)安全技術(shù)。它通過監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動來識別針對計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，包括檢測外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法活動。作為防火墻的有效補(bǔ)充，入侵檢測技術(shù)能夠幫助系統(tǒng)對付已知和未知網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、攻擊識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

2.入侵防御

入侵防御系統(tǒng)（Intrusion Prevention System，IPS）則是一種主動的、積極的入侵防范、阻止系統(tǒng)。IPS是基于IDS的、建立在IDS發(fā)展的基礎(chǔ)上的新生網(wǎng)絡(luò)安全技術(shù)，IPS的檢測功能類似于IDS，防御功能類似于防火墻。IDS是一種并聯(lián)在網(wǎng)絡(luò)上的設(shè)備，它只能被動地檢測網(wǎng)絡(luò)遭到了何種攻擊，它的阻斷攻擊能力非常有限；而IPS部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它檢測到攻擊企圖后，會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。可以認(rèn)為IPS就是防火墻加上入侵檢測系統(tǒng)，但并不是說IPS可以代替防火墻或入侵檢測系統(tǒng)。防火墻是粒度比較粗的訪問控制產(chǎn)品，它在基于TCP/IP協(xié)議的過濾方面表現(xiàn)出色，同時(shí)具備網(wǎng)絡(luò)地址轉(zhuǎn)換、服務(wù)代理、流量統(tǒng)計(jì)、VPN等功能。

3.漏洞掃描

漏洞掃描技術(shù)是一項(xiàng)重要的主動防范安全技術(shù)，它主要通過以下兩種方法來檢查目標(biāo)主機(jī)是否存在漏洞：在端口掃描后得知目標(biāo)主機(jī)開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測試弱勢口令等，若模擬攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。發(fā)現(xiàn)系統(tǒng)漏洞的一種重要技術(shù)是蜜罐(Honeypot)系統(tǒng)，它是故意讓人攻擊的目標(biāo)，引誘黑客前來攻擊。通過對蜜罐系統(tǒng)記錄的攻擊行為進(jìn)行分析，來發(fā)現(xiàn)攻擊者的攻擊方法及系統(tǒng)存在的漏洞。

四、結(jié)語

盡管傳統(tǒng)的安全技術(shù)在保障網(wǎng)絡(luò)安全方面發(fā)揮了重要作用，但在一個(gè)巨大、開放、動態(tài)和復(fù)雜的互聯(lián)網(wǎng)中技術(shù)都存在著各種各樣的局限性。安全廠商在疲于奔命的升級產(chǎn)品的檢測數(shù)據(jù)庫，系統(tǒng)廠商在疲于奔命的修補(bǔ)產(chǎn)品漏洞，而用戶也在疲于奔命的檢查自己到底還有多少破綻暴露在攻擊者的面前。傳統(tǒng)的防病毒軟件只能用于防范計(jì)算機(jī)病毒，防火墻只能對非法訪問通信進(jìn)行過濾，而入侵檢測系統(tǒng)只能被用來識別特定的惡意攻擊行為。在一個(gè)沒有得到全面防護(hù)的計(jì)算機(jī)設(shè)施中，安全問題的炸彈隨時(shí)都有爆炸的可能。用戶必須針對每種安全威脅部署相應(yīng)的防御手段，這樣使信息安全工作的復(fù)雜度和風(fēng)險(xiǎn)性都難以下降。為了有效地解決日益突出的網(wǎng)絡(luò)安全問題，網(wǎng)絡(luò)安全研究人員和網(wǎng)絡(luò)安全企業(yè)也不斷推出新的網(wǎng)絡(luò)安全技術(shù)和安全產(chǎn)品。

參考文獻(xiàn):

[1]周碧英:淺析計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[J].甘肅科技，2008，24(3):18～19

[2]潘號良:面向基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全措施探討[J].軟件導(dǎo)刊， 2008，(3):74～75

[3]劉愛國李志梅談:電子商務(wù)中的網(wǎng)絡(luò)安全管理[J].商場現(xiàn)代化，2007，(499):76～77

[4]孫曉南:防火墻技術(shù)與網(wǎng)絡(luò)安全[J].科技信息，2008，(3): 199～120

[5]趙立志林偉:淺析網(wǎng)絡(luò)安全技術(shù)[J].民營科技，2008，(3):193