計算機網絡的安全威脅及其防御機制研究

摘要:計算機網絡正面臨著嚴重的安全威脅，這些威脅主要有端口掃描、網頁軟件漏洞、拒絕服務攻擊、IP欺騙等，而現行的防火墻技術、入侵檢測系統、加密技術、虛擬專用網技術等在防范計算機安全威脅方面都有其自身的弱點，因此，必須進一步改進和加強計算機網絡安全技術，完善計算機網絡安全的有效管理。

關鍵詞:計算機網絡;安全威脅;安全技術

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)24-6907-03

TheSecurity Threats and the Defense Mechanism Resarch about Computer Network

TAN Ying

(Yunnan University of Finannce Economics， Kunming 650221， China)

Abstract: Computer networks are facing with a serious security threat. These threats are mainly about port scanning， web software vulnerabilities， denial of service attacks， IP fraud and so on， and the current Firewall technology， Intrusion Detection System， Encryption， Virtual private network technology in prevention of threats to computer security have their own weaknesses. Therefore， we must further improve and strengthen the security of computer network technology， and we should perfect the effective security management of computer network.

Key words: computer networks; security threats; security technology

人類已經步入了網絡化的新信息時代，計算機網絡正在影響和改變著我們的工作方式與生活方式。隨著科技的進步，計算機網絡技術已經取得了巨大的發展，但同時我們也應當看到，計算機網絡還存在一系列的問題，特別是在網絡的安全保障性方面所表現的脆弱性及其所面臨的威脅，已經嚴重影響了計算機網絡的安全使用。

1 計算機網絡面臨的威脅

1.1 威脅的目標

網絡安全意味著什么?意味著網絡不被攻擊、不受威脅、正常使用，而攻擊和威脅網絡的目的主要是對網絡信息的機密性、完整性及網絡可用性的破壞。目前，計算機網絡安全所面臨威脅主要表現在:

1) 網絡通信機密性(confidentiality)所面臨的威脅。機密性是指網絡通信僅被授權人訪問，非授權人或機構無權使用。攻擊者避開網絡的訪問控制，以非法用戶身份訪問網絡資源，泄露敏感數據，這些泄露的數據很容易被人截獲并分析從而得到有價值的信息。

2) 網絡通信完整性(integrity)所面臨的威脅。完整性是指網絡通信僅被授權人修改，包括刪除、修改、插入、創建等操作。攻擊者通常以非法手段獲得數據的使用權，惡意修改、添加、刪除數據，從而對通信中的信息完整性構成威脅。

3) 網絡可用性(availability)所面臨的威脅。可用性是指網絡信息可被授權人正確訪問，當網絡遭受攻擊或破壞時，能迅速恢復并能投入使用。換句話說，如果某些人或機構有訪問的權限時，訪問不能被拒絕。

1.2 攻擊網絡安全的主要技術手段

1.2.1 端口掃描

攻擊者在攻擊網絡前，都會盡可能多地了解攻擊目標的相應信息，而端口掃描就是收集信息的一種簡單方法。攻擊者通過端口掃描可以在對方毫不知情的情況下知道:目標系統上有哪些標準端口或者服務正在運行并響應請求;目標系統上安裝了哪種操作系統;目前都有哪些應用程序在提供服務及其版本是什么。 一旦攻擊者掌握了這些信息，將很容易找到目標系統或其中某種軟件的漏洞，從而實施攻擊。

1.2.2 網頁軟件漏洞

網頁是赤裸裸地暴露在用戶面前的，攻擊者可以很容易獲得網站設計代碼，甚至代碼的注解也是一覽無余，攻擊者只需向其中輸入大量的數據，就可以使網頁出現緩沖區溢出;或者修改代碼，使網站被黑或出現問題。

1.2.3 拒絕服務攻擊(Denial-of-Service，DOS攻擊)

攻擊者向目標服務器發送大量的數據包，消耗該服務器的網絡寬帶，從而使其無法對正常的服務請求進行響應，從而破壞系統的正常運行，最終導致網絡速度降低甚至服務器癱瘓，實際上就是對網絡可用性的攻擊。實施DOS攻擊的難度不大，因為這些攻擊主要是利用網絡協議本身的缺陷而進行的。DOS攻擊主要包括死亡之Ping、Smurf攻擊及SYN Flood等。

1)死亡之Ping(Ping of Death)

死亡之Ping利用ICMP發起的攻擊，ICMP即互聯網控制報文協議(Internet Control Message Protocol)，它是TCP/IP協議的一部分，用于診斷網絡是否運轉正常。當我們使用Ping命令來檢查網絡是否連通時，ICMP將產生應答。攻擊者只需不斷地向攻擊目標發送Ping，一旦ICMP數據包超過最大上限時，就會出現內存分配錯誤，導致TCP/IP堆棧崩潰，致使攻擊的目標死機。

2)Smurf攻擊

Smurf攻擊是攻擊者假冒受害者的主機，以廣播模式向網絡發送Ping請求，這將導致網絡中所有計算機響應，從而造成受害者被數量極多的響應信息所淹沒。

3)SYN Flood

SYNFlood是一種利用TCP缺陷，發送大量偽造的TCP連接請求，從而使被攻擊方資源耗盡的攻擊方式。為了在服務端和客戶端傳送TCP數據，須通過三次握手來建立連接，而SYNFlood拒絕服務攻擊就是通過三次握手而實現的。首先，攻擊者發送一個設置了SYN(Synchronize即同步報文)標記的包，即第一次握手;受害者在收到SYN報文后，將返回一個設置了SYN和ACK(Acknowledgment即確認)標記的包進行應答，即第二次握手;最后攻擊者返回一個ACK給受害者，這樣完成一個TCP連接，三次握手完成。

攻擊者可以發送很多SYN請求而不以ACK響應，服務器端將為了維護這個非常大的半連接列表而消耗非常多的資源，最終將對正常的請求失去響應。

1.2.4 IP欺騙

攻擊者冒充某個可信節點的IP地址，以獲得對受害者主機非法授權訪問的一種攻擊方式。

2 現行的計算機網絡安全技術及其所暴露的弱點

2.1 防火墻(Firewall)技術

防火墻是指隔離在本地網絡與外界網絡之間的一道執行控制策略的防御系統。它對網絡之間傳輸的數據包依照一定的安全策略進行檢查，以決定通信是否被允許，對外屏蔽內部網絡的信息、結構和運行狀況，并提供單一的安全和審計的安裝控制點，從而達到保護內部網絡的信息不被外部非授權用戶訪問和過濾不良信息目的。 目前防火墻技術主要有:包過濾技術、應用代理技術、狀態檢測技術。可以實現:強化網絡安全策略、對輸入進行篩選、防止內部信息的外泄、限制內部用戶活動、對網絡使用情況進行記錄、監控等?？梢姺阑饓υ诰W絡安全防護中起著舉足輕重的作用，但在使用過程中它仍然存在局限性和不足:防火墻不能防范不經過它的攻擊;防火墻不能防范來自內部網絡的攻擊;防火墻不能有效防范加密信息;防火墻只能識別與其數據庫中已有的特征數據匹配的信息，如果攻擊者將惡意代碼或攻擊指令轉換成其他形式隱藏起來，這種加密后的代碼，只要成功避開防火墻數據庫中的特征匹配，就能成功通過防火墻;防火墻不能防范受到病毒感染的文件、軟件;防火墻的檢測功能是有限的。

2.2 入侵檢測系統(Intrusion Detection System，IDS)

入侵檢測，顧名思義是對入侵行為的檢測，它通過對網絡行為、安全日志、審計數據或其它網絡上可以獲得的信息進行收集和分析，檢查網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象。它通常位于防火墻之后，被認為是防火墻之后的第二道安全閘門。從入侵檢測系統所采用的分析技術可分為誤用檢測與異常檢測兩種;根據入侵檢測系統不同的數據來源，可分為:基于主機的入侵檢測系統、基于網絡的入侵檢測系統和分布式的入侵檢測系統。 它們提供了對內、外部攻擊的實時保護，在網絡受到威脅之初攔截和響應入侵。但入侵檢測系統的不足在于:它只能檢測攻擊，而不能阻止攻擊;它不能在入侵行為發生之前預報警;它的規則和模型的管理和維護較難。

2.3 加密技術

加密技術是最常用的安全保密手段，其原理是將原明文加密以隱藏其原義后再傳送，到達目的地后解密以恢復原文，其目的是防止傳送信息的泄露。廣泛應用的加密技術有兩種，即對稱加密(私人密鑰加密)和非對稱加密(公開密鑰加密)。

2.3.1 對稱加密技術

對稱加密技術是指加密密鑰和解密密鑰是相同的，如圖1所示。

對稱加密技術的加密密鑰也可以用作解密密鑰，因此這種加密技術的算法計算量小、迅速快;但是如果網絡中有多個用戶需要兩兩通信，則需要的密鑰數將成平方的增長。

2.3.2 非對稱加密技術

非對稱加密技術是指加密密鑰和解密密鑰是一對的，如果用加密密鑰(也稱公鑰)加密，則只有用解密密鑰(也稱私鑰)才能解密;如果用解密密鑰加密，則只有用加密密鑰才能解密，如圖2所示。

由于非對稱加密技術必須兩個密鑰配合使用，因此安全性更高，但是這種算法速度慢。

2.3.3 加密技術的應用

數字簽名技術是加密技術的典型應用。數字簽名(Digital Signature)的目的是達到和真實簽名相同的效果，使其他人可以輕易辨認出它是否是屬于發送者。它主要采用“數據摘要”技術，即將一段任意長度的報文通過單向HASH函數(哈希函數)轉換為一個固定長度的密文，這段密文稱為數據摘要。發送方使用自己的私鑰對數據摘要進行加密處理，就形成了“數字簽名”，并將其附在原文之后一起發送;接收方則使用發送方的公鑰對數字簽名進行解密，同時采用單向HASH函數對收到的報文進行轉換，將解密后生成的摘要與轉換后生成的摘要進行對比，如果相同，則證明有效，否則無效。

2.4 虛擬專用網(Virtual Private Network，VPN)技術

虛擬專用網(VPN)指的是通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。在虛擬網中，任意兩個節點之間的連接并沒有傳統專用網所需的端到端的物理鏈路，而是架構在公用網絡服務商所提供的網絡平臺上的邏輯網絡，用戶數據在邏輯鏈路中傳輸。目前VPN實現的主要技術包括隧道技術、加密技術、密鑰管理技術和使用者與設備身份認證技術，可以實現對數據加密、信息認證和身份認證以及提供訪問控制。但如果是VPN內的人員發起網絡攻擊，我們將束手無策。

3 計算機網絡安全需進一步改進和加強的技術與非技術領域

3.1 可加強的技術改進

3.1.1 加強防火墻的智能技術和分布式技術的改進

目前的防火墻只是識別一些已知的攻擊行為，對于未知的攻擊或未列出的攻擊防火墻顯得有些無力，將來的防火墻應在智能方面進一步發展。

分布式技術將是未來的趨勢，不僅保證了在大型網絡中安全策略的一致，而且集中管理大大降低了經濟、人力及管理成本。

3.1.2 進一步改進入侵檢測技術

入侵檢測是對網絡攻擊的檢測，它的最高境界是對網絡行為的分析，未來入侵檢測技術發展的趨勢將是使網絡行為分析逐步成熟;此外我們不希望入侵檢測只是被動分析，因此我們可以考慮將入侵檢測集成到掃描器、嗅探器等產品，以實現主動分析;另外加強入侵檢測的統計分析能力也是我們有待研究的方向。

3.1.3 防火墻與入侵檢測的聯動

防火墻和入侵檢測系統是目前主流的網絡安全技術，但是它們都存在不足，單獨采用防火墻或入侵檢測系統都不能很好地解決網絡安全問題。因此我們可以考慮將它們的優勢集中起來，通過二者的聯動，防火墻可以通過入侵檢測系統及時發現策略之外的攻擊行為，入侵檢測也可以通過防火墻對來自外部網絡的攻擊行為進行阻斷，從而實現一個較為有效的安全防護體系，大大提高整體防護性能。

3.1.4 形成以防火墻為核心的網絡安全體系

防火墻是網絡安全的“核心”，但僅僅依靠防火墻來維護網絡安全是遠遠不夠的，還必須借助其他手段，如安裝病毒防護系統、使用入侵檢測系統、數據加密等，建立以防火墻為核心，多個安全系統配合使用的防御體系，才能達到滿意的效果。

3.2 加強和完善計算機網絡安全的非技術領域的管理

網絡面臨的威脅絕大部分來自人為的或自然的災難，因此加強網絡安全管理是十分重要的。網絡安全管理者必須對網絡基礎設備、人員、物理與環境、系統開發與維護、訪問控制等方面加強管理，建立一套全面、詳盡的網絡安全管理體系。

參考文獻:

[1] Charles P.Pfleeger.信息安全原理與應用[M].李毅超，等譯.北京:電子工業出版社，2007.11:290.

[2] Steven M Bellovin，William R Cheswick.Network Firewalls[J].IEEE Communications，1994:50-57.

[3] 唐正軍.網絡入侵檢測系統的設計與實現[M].北京:電子工業出版社，2002.

[4] 王鐳.防火墻與入侵檢測聯運響應策略研究[M].信息技術，2008.9(17).