【 摘 要 】 随着计算机网络技术和互联网的飞速发展,网络安全事件与日俱增,对计算机网络安全的研究已成为当前的焦点问题。文章主要介绍常见的网络安全漏洞,然后针对这些漏洞做了相应的分析,并给出了一种以安全策略为核心,以安全技术作为支撑,以安全管理作为落实手段的抵御网络安全威胁的网络安全防御体系。
【 关键词 】 安全漏洞;防火墙;入侵检测;防御体系
【 Abstract 】 With the computer network technology and the rapid development of Internet, network security incidents increasing, the research on computer network security has become the focal point. This article describes common network security vulnerabilities, giving the corresponding analysis for these vulnerabilities, and gives a kind of network security defense system with the security policy as the core, security and technology as support, security management as a means to defense against network security threats.
【 Keywords 】 security vulnerabilities; firewall; intrusion detection; defense system
1 引言
随着计算机网络的普及和Internet的迅速发展,网络已完全融入到人们的生活和工作。电子商务的进一步发展,也使网络作为商务平台的地位也越来越突出,计算机网络的规模也越来越大,体系结构也越来越复杂。
开放的网络也存在着众多潜在的安全隐患,随之而来的,是针对计算机网络的攻击也越来越多,由此,计算机信息与网络的安全问题引起了大家的重视和广泛研究。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。它主要是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。互联网技术的发展,使黑客攻击手段日益先进,对于网络安全,攻击者可以只攻一点,而我们需要处处设防。因此,网络安全是一个系统的概念,为了保证网络的相对安全,必须在安全策略的指导下,建立一套有机的、智能化的网络安全防范体系。
本文对网络安全的常见的安全漏洞进行了分析整理,然后针对这些威胁做了相应的对策分析,并给出了一种抵御网络安全威胁的网络安全防御体系。
2 常见的网络安全漏洞
网络需要与外界联系、同时也受到各个不同方面的威胁,这些威胁都会造成网络安全上的漏洞,主要有管理上的安全漏洞、网络系统的安全漏洞、身份识别的漏洞、线缆连接漏洞和有害程序入侵漏洞等五个方面。
2.1 管理上的漏洞
网络安全体系的建立其实涉及到了管理和技术两个层面,而管理层面的体系建设是首当其冲的。特别对于一个企业来说,很多网络安全的案例都充分向我们说了管理上的漏洞给我们带来的损失要比技术上的漏洞的所带来的损失大得多。管理上的漏洞主要存在于网络安全管理体系不健全、网络行为管理不规范和网络安全意识差等方面。比如企业员工安全意识低,不严格执行网络安全的规章制度,不按时备份系统数据、及时更新系统补丁,对一些有价值的信息随手丢弃,包括存储信息的设备被盗失窃等情况都会给企业造成巨大的威胁。
2.2 网络系统的安全漏洞
这些漏洞是操作系统本身和网络协议本身的安全缺陷所引起的,正是有网络协议的开放性才会出现形形色色的网络安全问题。利用这些原有的漏洞可以对网络安全形成比较大的冲击。例如可以利用TCP/IP协议中的三次握手协议不严密性,一个黑客可以很容易地冒名另外一个用户而不必进行安全检查;一些服务器文件的配置和初始化错误可以留下安全漏洞而让人利用,操作系统的安全服务存在的bug也可以被蠕虫等病毒轻易绕过。
2.3 身份识别的漏洞
为了使系统的安全性能达到一定的要求,我们常常使用访问控制技术,通过身份鉴别技术授权不同的人以不同的权限。然而身份鉴别源于现在的技术限制仍然会出现口令被圈套、口令被破解、口令算法考虑不周等情况而出现漏洞。例如,为了标明该用户是被授权的用户,大多数情况下我们会以其输入口令的正确性进行判断,然而一旦该用户的口令被黑客破解或者被圈套,这都会对整个网络安全造成很大威胁。而现实情况中,口令被破解或被编辑的情况会经常发生。
2.4 线缆连接漏洞
由于线缆连接的漏洞造成的威胁主要包括三个方面:窃听、拨号进入和冒名顶替,所有这些威胁对网络安全来说都是致命的。通过对通信过程进行窃听可达到收集机密信息的目的,如果机密信息一旦被破解就会被黑客冒名顶替,其可以轻松地绕过网络的安全检查,轻易地窃取信息和破坏网络系统。尤其是在今天,无线网络硬件设备越来越便宜和普及,加之人们的安全意识不高,这给网络安全留下了更大的隐患。这给远程数据传输的保密性又多加了一层威胁,重要信息在传输途中遭受非法窃取可能性更大了。
2.5 有害程序入侵漏洞
有害程序或者恶意程序的入侵又是网络安全的一大漏洞。有害程序主要包括三种类型:病毒、代码炸弹和特洛伊木马,这三种有害程序都可以对网络安全构成威胁。病毒是一种把自己的拷贝附着于机器中的另一程序上的一段代码。通过这种方式病毒可以进行自我复制,并随着它所附着的程序在网络间传播,造成网络安全性能下降。而代码炸弹是一种比病毒更具杀伤力的恶意程序,代码炸弹一旦被触发,不会像病毒一样四处传播,但会开始产生破坏性操作,使整个网络和网络上的资源遭受毁灭性的打击。特洛伊木马是一种间谍程序,一旦网络上感染了特洛伊木马,黑客便可通过木马了解网络内部的情况,木马也会按照编制者的意图行事,可以摧毁数据,可以伪装成系统上已有的程序,甚至创建新的用户名和口令等。
3 网络安全的防御体系
保障网络安全有两个支柱,一个是技术、一个是管理。而我们日常提及网络安全时,多是在技术相关的领域,例如IDS入侵检测技术、Firewall防火墙技术、Anti-Virus防病毒技术、加密技术、CA认证技术等。但正如“木桶原理”所示,网络安全的防范能力是由最短的那块木板决定的。我们在制定网络安
全防御体系时,也应该从上述两个方面全面考量,而不能只偏重其中的某一个部分。
在实践工作的基础上,本文提出了一种动态的、多方位的网络安全防御体系。网络安全防御体系构建是以安全策略为核心,以安全技术作为支撑,以安全管理作为落实手段,并通过安全培训加强所有人的安全意识,完善安全体系赖以生存的大环境。安全体系的示意图如图1所示。
3.1 安全策略
安全策略是一个成功的网络安全体系的基础与核心,描述了网络安全的整体目标(包括近期目标和长期目标),以及网络能够承受的最大风险,保护对象的安全优先级等方面的内容。
安全策略的制定一定要与实际的情况相结合。比如某企业信息化水平比较高,有独立的网络部门,公司所有的数据都存放在自己的服务器上,而且数据对公司来说都是机密的,那么安全体系的近期目标就必须保证所有的机器都要求是设防的,并能够抵御一般水平的黑客进攻;远期目标是实现完善的安全审计和取证机制,保证受到入侵后有证可查,严格监管管理员对于安全事件的操作,审计安全事故处理流程等;长期目标是建立安全预警系统,能够抵御较高水平的黑客攻击,明确数据服务器的安全级别等。
3.2 安全技术
常见的安全技术和工具主要包括防火墙技术、入侵检测、安全漏洞扫描、信息加密技术、网络安全状态监控、备份恢复和病毒防范等。这些工具和技术手段是网络安全体系中直观的部分,缺少任何一种都会有巨大的危险,因为网络安全防御是一个整体概念。这些安全技术手段和工具,经常会应用在网络安全体系中,但它们并不是简单地堆砌,而是要合理部署,互联互动,形成一个有机的整体。
3.2.1防火墙技术
防火墙是一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。目前的防火墙主要有三种类型。
包过滤防火墙:包过滤防火墙设置在网络层,可以在路由器上实现包过滤。首先应建立一定数量的信息过滤表,信息过滤表是以其收到的数据包头信息为基础而建成的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型(TCP、UDP、ICMP等)、协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等。当一个数据包满足过滤表中的规则时,则允许数据包通过,否则禁止通过。这种防火墙可以用于禁止外部不合法用户对内部的访问,也可以用来禁止访问某些服务类型。但包过滤技术不能识别有危险的信息包,无法实施对应用级协议的处理,也无法处理UDP、RPC或动态的协议。
代理防火墙:代理防火墙又称应用层网关级防火墙,它由代理服务器和过滤路由器组成,是目前较流行的一种防火墙。它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互连,并对数据进行严格选择,然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果接受,它就向内部网络转发这项请求。代理防火墙无法快速支持一些新出现的业务(如多媒体)。
双穴主机防火墙:该防火墙是用主机来执行安全控制功能。一台双穴主机配有多个网卡,分别连接不同的网络。双穴主机从一个网络收集数据,并且有选择地把它发送到另一个网络上。网络服务由双穴主机上的服务代理来提供。内部网和外部网的用户可通过双穴主机的共享数据区传递数据,从而保护了内部网络不被非法访问。
3.2.2入侵检测技术
入侵检测技术能在不影响网络性能的情况下对网络进行监听,从而提供了对内部攻击、外部攻击和误操作的实时防护,是对防火墙的合理补充。入侵检测的目标是通过对行为、安全日志、审计数据或网络数据包进行检测,发现对系统的闯入或者对系统的威胁,以此来保证信息系统的资源不受攻击。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测技术所采用的方法通常可分为特征检测与异常检测两种。
特征检测:特征检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达入侵现象又不会将正常的活动包含进来。
异常检测:异常检测的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的活动简档,将当前主体的活动状况与活动简档相比较,当违反其统计规律时,认为该活动可能是入侵行为。异常检测的难题在于如何建立活动简档以及如何设计统计算法。从而不把正常的操作作为入侵或忽略真正的入侵行为。
3.2.3信息加密技术
数据加密技术就是对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息的真实内容的一种技术手段。数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要手段之一。
数据加密技术按作用不同可分为数据存储、数据传输、数据完整性的鉴别以及密钥管理技术四种。数据存储加密技术是以防止在存储环节上的数据失密为目的,可分为密文存储和存取控制两种;数据传输加密技术的目的是对传输中的数据流加密,常用的有线路加密和端口加密两种方法;数据完整性鉴别技术的目的是对介入信息的传送、存取、处理人的身份和相关数据内容进行验证,达到保密的要求,系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对数据的安全保护。数据加密在许多场合集中表现为密钥的应用,密钥管理技术事实上是为了数据使用方便。密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节上的保密措施。
数据加密技术主要是通过对网络数据的加密来保障网络的安全可靠性,能够有效地防止机密信息的泄漏。另
外,它也广泛地被应用于信息鉴别、数字签名等技术中,用来防止电子欺骗,这对信息处理系统的安全起到极其重要的作用。
3.2.4网络安全状态监控技术
网络状态监控技术普遍被认为是下一代的网络安全技术。传统的网络状态监控技术对网络安全正常的工作完全没有影响的前提下,采用捕捉网络数据包的方法对网络通信的各个层次实行监测,并作安全决策的依据。监视模块支持多种网络协议和应用协议,可以方便地实现应用和服务扩充。状态监视服务可以监视RPC(远程过程调用)和UDP(用户数据包)端口信息,而包过滤和代理服务则都无法做到。
3.3 安全管理
安全管理贯穿整个安全防范体系,是安全防范体系的核心。代表了安全防范体系中人的因素。例如最终用户的安全意识也是信息系统是否安全的重要因素,加强对用户的安全培训和安全服务是整个安全体系中重要、不可或缺的一部分。安全不是简单的技术问题,不落实到管理,再好的技术、设备也是徒劳的。一个有效的安全防范体系应该是以安全策略为核心,以安全技术为支撑,以安全管理为落实。安全管理不仅包括行政意义上的安全管理,更主要的是对安全技术和安全策略的管理。
安全体系的建立涉及到了管理和技术两个层面,而管理层面的体系建设是首当其冲的。技术上的建设和加强只是网络安全的一方面,构建一个健全的网络安全管理体系是构建网络安全防范体系中最重要一环。我们要把网络安全提升到管理的高度上实施,然后落实到技术层次上做好保障。安全管理体系包括几个方面。
(1) 明确岗位职责,规范化网络行为,保障网络安全。网络安全的根本政策,一定要包含内部的安全管理规范。职责上明确规定负责安全协调,确保影响网络安全的职能是集成在业务流程过程中而不是独立的任务。同时要进行评估网络安全受到危及或有受到危及之嫌的每一个事件,并把网络安全的质量、健全性和可靠性通知和报告高层管理人员。
网络行为的根本立足点,不是对设备的保护,也不是对数据的看守,而是规范企业员工网络行为,这已经上升到了对人的管理的阶段,通过技术设备和规章制度的结合来指导、规范员工正确使用单位的网络资源。人员才是网络安全最大的关键。必须为网络安全建立一套监督与使用的管理程序,并且彻底实行。
(2) 注重对用户安全意识的培训。面对不断袭来的安全威胁,除了购买安全产品以外,这里最需要的就是:“安全意识最重要”。
安全设施的建立只是企业网络安全的第一步,如何在安全体系中有效彻底的贯彻安全制度,以及不断深化全员安全意识才是关键。光依靠技术不能完全解决安全问题,因为过了一段时间,一些先进的技术可能就过时了,所以应该有安全意识,重视自己企业的安全措施。加强安全意识的培训,首先企业的领导要认识到网络安全问题的重要性,另外也要对技术人员加强培训,统一认识。
这些安全意识的培训包括,培养员工的安全意识,养成良好的上网习惯,比如及时打好系统补丁、不要浏览不良网站、不随意下载安装来历不明的软件等等;对相关的技术管理人员进行技能培训,对于重要数据一定要做好数据备份,否则会导致灾难性的后果。
(3)定期进行网络安全检讨会议。在明确了网络安全目标之后,还应当就网络安全问题定期地举行检讨会议。一旦安全会议检查到现有的业务运作存在网络安全问题,或评估以往安全措施的执行情况存在问题时,就需要设立一个解决网络安全的时间框架。每月进行安全讨论听上去好像很多,尤其当公司各安全团队是散布在不同的地区,但是我们从中所获得的回报是在当月接下来的日子中可以确保整个网络安全,以确保企业业务能正常运转。
4 结束语
安全是网络中不可缺少的一门技术,随着网络的突飞猛进,网络中的安全问题也越来越突出,即便已有高性能的防火墙、入侵检测和信息加密等安全技术手段,依然抵挡不住对网络和系统的破坏。为此,本文针对实际网络安全问题的实际情况,不但采用防火墙等网络安全技术和工具,还配以切实可行的安全策略,加之以具体落实的安全管理手段,构筑一个完善的网络安全的防御体系,共同抵御由于网络安全漏洞而存在安全威胁。
参考文献
[1] 石志国.计算机网络安全教程[M].北京:清华大学出版社.2007.
[2] 李华飚.防火墙核心技术精解[M].北京:中国水利水电出版社.2005.
[3] 郑成兴.网络入侵防范的理论与实践[M].北京:机械工业出版社.2006.
[4] 吕良福.网络安全可视化研究综述[J].计算机应用.2008.
作者简介:
秦强(1980-),男,广西人,广西师范大学,研究生,助理工程师;主要研究方向和关注领域:互联网技术。
