计算机网络安全问题与对策探讨.pdf

第 3 1 卷第6 期 西南民族大学学报 自 然科学版 J o u r n a l o f S o u t h we s t Un i v e r s i t y f o r Na t i o n a l i t i e s Na t u r a l S c i e n c e E d i t i o n 文革编号 1 0 0 3 2 8 4 3 2 0 0 5 0 6 0 9 7 7 0 5 计算机网络安全问题与对策探讨 王世伦 林江莉 杨小平 1 四川师范大学信息技术学院 成都 6 1 0 0 6 8 2 四川大学3 7 3 信箱生物医学工程系 成都 6 1 0 0 6 5 摘要 计算机网络安全问题是广泛的 又是复杂的 从其涉及的范围 影响力的大小 使用的手段或技术 产生的 原因等不同角度可以划分出很多研究分支 具体的研究方式 研究手段又有所不同 从硬件环境 网络协议 操作系 统 应用软件 人为管理几个方面来对 目前的计算机网络安全问题进行了初步探讨 并在此基础上讨论了相应的解决 策略 最后 简要介绍了当前解决篆略中的几项关键技术 关键词 计算机网络 安全 策略 关键技术 中图分类号 T P 3 9 3 文献标识码 A 随着以I n te m e t 为代表的信息网络技术应用在全球范围内的正日益推广和深入 全球性信息化浪潮 日益深 刻 其应用领域从传统的 小型业务系统逐渐向大型 关键业务系统扩展 典型的如党政部门信息系统 金融 业务系统 企业商务系统 教育教学系统等 而l n t e m e t 所具有的开放性 国际性和自由性在增加应用自由度的 同时 存在着先天的安全缺陷 开放的网络标准 开放的协议 重效率轻安全的T C P I P 协议簇等让安全攻击可 以来自 全球的任何角落 恶意攻击可以发生在网络硬件设施上 也可以针对软件系统进行攻击 被攻击的对象 既可能是政府部门 金融系统或商务系统中的敏感数据 也包括每一个普通的网络用户 从本质上讲网络安全 就是网络上的信息安全 是指网络系统的硬件 软件及其系统中的数据受到保护 不受偶然的或者恶意的原因 而遭到破坏 更改 泄露 系统连续可靠正常地运行 网络服务不中断 l J 网络安全涉及的内容既有技术方面 的问题 也有管理方面的问题 技术方面主要侧重于防范外部非法用户的攻击 管理方面则侧重于内部人为因 素的管理 从研究领域来看 凡是涉及到网络上信息的保密性 完整性 可用性 真实性和可控性等的相关技 术和理论都是这方面研究人员所关心的 它涉及到计算机科学 网络技术 通信技术 密码技术 信息安全技 术 应用数学 数论 信息论等多种学科 是一项非常复杂的系统工程 今天 如何更有效地保护重要的信息数据 提高计算机网络系统的安全性已经成为一个关系国家安全和主 权 社会的稳定 民族文化的继承和发扬的重要问题 1 计算机网络的主要安全问题 计算机网络安全包括五个基本要素 机密性 完整性 可用性 可控性与可审查性 3 1 机密性是确保信息 不暴露给未授权的实体或进程 完整性是指只有得到允许的用户才能修改数据 并且能够判别出数据是否已被 篡改 可用性指的是得到授权的实体在需要时可访问数据 即攻击者不能占用所有的资源而阻碍授权者的工作 可控性则是可以控制授权范围内的信息流向及行为方式 可审查性是对出现的网络安全问题提供调查的依据和 手段 下面从五个方面来分析网络安全问题产生的原因 1 1 硬件环境引致的安全问题 这重要包括由于网络规划 设计不合理导致的安全问题 如防火墙位置不正确将降低其防护作用 内部网 络划分不合理会让某些关键部位暴露在攻击者面前等 硬件设备或传输线路上的信息泄漏引起的安全问题 如 收稿 日期 2 0 0 5 0 7 1 4 作者简介 王世伦 1 9 6 9 男 四川师范大学信息技术学院院长 副教授 通讯联系人 维普资讯 9 7 8 西南民族大学学报 自然科学版 第3 1 卷 信息在传输中丢失或泄漏 信息在存储介质中丢失或泄漏 通过建立隐蔽隧道等窃取敏感信息等 设备或者数 据存放的位置 环境不安全造成的安全问题如非授权访问等 1 2 计算机网络协议的安全问题 T C P I P 协议簇是l n t e me t 中的关键协议 也是目 前全球广泛采用的协议簇 由于最初设计时在安全方面考虑 不足造成了今天I P 网在安全问题上的先天缺陷 是当前网络安全问题的核心因素 典型的如D o s D e n y o f S e r v ic e 攻击 D D o S D is t r i b u t e D e n y o f S e r v i c e 攻击 I P 地址盗用 S Y N F l o o d 攻击 I C MP 攻击 源路由攻击 截取连 接攻击等等 1 3 操作系统的安全 问题 无论是WI N D O WS 还是L I N U X 或U NI X 在设计上都不可避免地存在着大量的网络安全漏洞 这是系统问 题 但可以通过及时升级系统 如应用软件厂商提供的补丁程序 来降低安全风险 而大量的安全案例和文献报 告都指出 针对操作系统方面的安全问题在很大程度上都源 自用户的不正确设置或应用 服务开得越多或者分 配的权限越大则引起的安全隐患越大 正如大家熟知的 最少的服务 最小的权限 最大的安全 目前在操作系统方面主要的安全问题集中在 端口 p o r t 设置 J J s 配置 系统帐户管理 系统安全策略设 置 系统服务的开设 系统访问控制策略 如目录与文件的访问权限 系统安全 E t 志设置等 1 4 应用软件的安全问题 部分网络应用程序由于在设计上的缺陷有可能会引起网络安全隐患 最典型的恶意攻击如缓冲区溢出攻击 它利用应用程序在接受参数缓冲区的设置没有进行周密的限制和检查 通过往程序的缓冲区写超出其长度的内 容 造成缓冲区的溢出 从而破坏程序的堆栈 使程序转入预先殖入的攻击代码 被殖入的攻击代码以一定的 权限运行有缓冲区溢出漏洞的程序 从而得到被攻击主机的控制权 进而达到攻击系统的目的 据统计 通过 缓冲区溢出进行的攻击占所有系统攻击总数的8 0 以上 另外 网络中存在大量的恶意代码 它们通过E m a i l 系统 浏览器或F T P 等方式进行大范围的病毒传播 消 耗网络资源 在目标机中设置后门等 影响极大 这主要是由于部分网络用户没有 软件提供商信任度 的思 想 随意使用网上不受信任的软件所致 1 5 人为安全问题 除了技术层面上的原因外 人为的因素也构成了目前较为突出安全问题 无论系统的功能是多么强大或者 配备了多少安全设施 如果管理人员不按规定正确设置和使用 甚至人为泄露网络或系统的关键信息 则其造 成的安全后果是难t J 4 i 量的 这方面的主要表现是管理措施不完善 安全意识淡薄 管理人员的误操作等 2 目前主要的安全策略 安全策略是指在一个特定的环境里 为保证提供一定级别的安全保护所必须遵守的规则l4 J 安全策略模型 包括建立安全环境的三个重要组成部分 即 1 先进的网络安全技术这是是网络安全的根本保证 用户对自 身面临的威胁进行风险评估 决定其所需要的安全服务种类 选择相应的安全机制 然后集成先进的安全技术 形成一个全方位的安全系统 2 严格的安全管理 各网络使用机构 企业和单位应建立相宜的信息安全管理办 法 加强内部管理 建立审计和跟踪体系 提高整体信息安全意识 3 制订严格的法律 法规安全的基石是 社会法律 法规 与手段 面对日趋严重的网络犯罪 必须尽快建立建立与信息安全相关的法律 法规 使非 法分子慑于法律的威严而不能为所欲为 2 1 系统安全策略 维普资讯 第6 期 王世伦等 计算机网络安全问题与对策探讨 9 7 9 系统安全策略是在系统级上采取的控制策略 主要包括物理安全策略和访问控制策略 2 1 1 物理安全策略 包括保护计算机系统 特别是各种网络服务器 网络设备和通信链路免受自然灾害 人为破坏和物理手段 攻击 对系统帐户的管理 用户的分级管理 用户权限的控制 提高整个系统特别是关键部位的电磁保护等级 抑制和防止电磁泄漏 建立完备的安全管理制度 防止非法进入计算机控制室和各种偷窃 破坏活动的发生 2 1 2 访 问控制策略 访问控制是网络安全防范和保护的核心策略之一 其主要任务是保证网络资源不被非法使用和非授权访问 是维护网络系统安全 保护网络资源的重要手段 访问控制策略主要由以下几部分构成 4 J 1 入网访问控制通 过用户名的识别与验证 用户口令的识别与验证 用户帐号的缺省限制检查控制用户是否可以使用特定网络资 源 并在物理位置上 使用时间上 资源种类等方面限制用户的行为 2 网络权限控制为用户和用户组赋予 一 定的权限 限制他们访问或使用网络资源的种类 数量 方式及行为等 受托者指派和继承权限屏蔽0 R M 可作为其两种实现方式 3 目录级安全控制 网络应允许控制用户对 目录 文件 设备的访问 通过对用户在 目 录级访问权限的限定 可以让用户有效地完成工作 同时又能有效地控制用户对服务器资源的访问 从而加 强了网络和服务器的安全性 4 属性安全控制属性安全控制可以将给定的属性与网络服务器的文件 目录和 网络设备联系起来 它为网络资源在权限安全的基础上提供更进一步的安全性 5 网络服务器安全控制控制 允许在服务器控制台上执行的操作 包括合法用户的指定 系统口令安全策略 各用户合法操作集的指定等 6 网络监测和锁定控制在安全监控系统的辅助下 网管人员能够记录 分析 跟踪网络使用状态 能够给出各 种适 当的警告级别直至锁定可疑应用 7 网络端 口和节点的安全控制服务器的端 口常使用 自动回呼设备用于 防止假冒合法用户 静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击 并以加密的形式来识别 节点的身份 加强系统安全 8 防火墙控制防火墙在网络边界上通过建立起来的相应网络通信监控系统来隔 离内部和外部网络 在阻挡外部网络非法入侵的同时也限制了内部用户可能的信息泄露 2 2 软件安全策略 为了尽量减 J l 应用软件设计缺陷而引发的网络安全问题 应该从软件的需求计划 订购 测试 使用等 各阶段进行有效的控制 下面是几条具体的措施 1 坚持最小原则 即可以不用的软件系统绝对不用 可以不 用的功能绝对不提供 2 使用正版软件 3 尽量使用信誉良好 实力强大的公司设计的产品 4 对关键软件必须 通过相应级别的系统评审或鉴定 5 软件在正式使用前应该经过正规的测试 漏洞扫描甚至模拟攻击测试以评 估其安全级别 6 与软件开发商保持联系 及时升级系统或者修改缺陷 提高系统可靠性 2 3 信息安全策略 信息安全是网络安全的核心 其目的是保护网内的数据 文件 口令和控制信息 保护网上传送数据的安 全 信息加密是信息安全策略中的重要策略 目前常用的策略有链路加密 端一端加密和节点加密三种 链路 加密的目的是保护网络节点之间的链路信息安全 端一端加密的目的是对源端用户到目的端用户的数据提供保 护 节点加密的目的是对源节点到目的节点之间的传输链路提供保护 根据具体的安全目的不同 常见的安全 体制有如下几种 1 加密机制 提供数据保密性 防止信息被非法获取 2 数字签名机制 确保数据真实性和 进行身份验证 防欺骗 抵赖 3 数据完整性机制 保证数据不被篡改 确保数据完整 4 认证机制 为网络 中的用户 站点 进程等提供身份确认 防止非法访问 5 信息流填充机制 通过往有效数据中填充干扰信息 流 增强系统抗信息流分析攻击的能力 6 公证机制 主要是在发生纠纷时进行公证仲裁用 2 4 管理策略 即网络安全管理策略 它主要包括 确定安全管理等级和安全管理范围 制订有关网络操作使用规程和人 维普资讯 9 8 0 西南民族大学学报 自然科学版 第3 1 卷 员出入机房管理制度 制定网络系统的维护制度和应急措施等 各种文献数据和实践经验表明 在网络安全中 除了采用有效技术安全措施之外 切实加强网络的安全管 理 制定相关规章制度 对于确保网络的安全 可靠地运行 保护网络数据的安全将起到十分有效的作用 关键技术研究 3 1 密码技术 密码技术是保护信息安全的主要手段之一 它是结合数学 计算机科学 电子与通信等诸多学科于一身的 交叉学科 它不仅具有保证信息机密性的信息加密功能 而且具有数字签名 身份验证 秘密分存 系统安全 等功能 所以 使用密码技术不仅可以保证信息的机密性 而且可以保证信息的完整性和确证性 防止信息被 篡改 伪造和假 冒 对于一个确定系统的安全性而言 选择一个强壮的加密算法是至关重要的 此外 安全系统的体系结构 算法的实现方法以及系统间使用的通信协议也会影响到系统的安全性 如今常用如下几种方法来提高信息系统 的安全 1 强壮的加密算法 一个好的加密算法往往只有用穷举法 暴力攻击 才能得到破解 所以只要密钥足够 长就会很好的保护加密信息的安全 2 动态会话密钥每次会话的密钥不同 或者经常变换密钥 即使一次会 话通信被破解 不会因本次密钥被破解而殃及其它通信 3 保护关键密钥 K e y E n c r y p t i o n K e y K E K 定期变 换加密会话密钥的密钥 因为这些密钥是用来加密会话密钥的 泄漏会引起灾难性后果 密码学包括密码编码学和密码分析学 密码体制的设计是密码编码学的主要内容 密码体制的破译是密码 分析学的主要内容 密码编码技术和密码分析技术是相互依存 互相支持 密不可分的两个方面 对密码体制方面而言 可分为对称密钥体制 私钥密码体制 和非对称密钥体制 公钥密码体制 对称密钥体 制要求加密解密双方拥有相同的密钥 而非对称密钥体制是加密解密双方拥有不同的密钥 私钥和公钥 在不 知道陷门信息的情况下 加密密钥和解密密钥在计算上是不能相互算出的 6 3 2 安全协议 针对T C P I P 协议栈存在的安全问题 在各协议层增加相应的安全协议是一种易实现又有效的方法 1 链路层安全保护 主要是链路加密协议 设备对数据加密保护 它对所有用户数据一起加密 用户数据通过通信 线路送到另一节点后解密 典型应用 IJ V P N 中的P P T P L 2 T P 和L 2 F 2 网络层安全防护 对I P 层上的应用 协议 来说 网络层安全协议利用加密技术 隧道技术等提供了主机到主机的安全通道 网络层的安全协议有多种方 案 如 S P 3 NL S P I N L S P I P S e c 等 3 传输层安全防护 传输层安全协议提供基于进程的安全服务 它允 许在同一个主机上为不同的应用程序设置相应的安全性 在获得适当安全的同时也减少了不必要的系统开销 具体的协议有S S L P C T 等 传输层提供的安全服务可分为 对等实体认证服务 访问控制服务 数据保密服务 数据完整性服务和数据源点认证服务 4 应用层安全防护 理论上所有安全服务均可在应用层提供 应用层的 安全防护是面向用户和应用程序的 因此可以实施细粒度的安全控制 如基于用户的身份认证 数据加密 访 问控制 数据的备份和恢复等 具体协议如s H T T P S E P P s T T 协议 S E T 协议 3 3 防火墙技术 防火墙是通过在网络边界上建立起相应网络通信监控系统来隔离内部和外部网络 以阻档外部网络的入侵 同时防止内网中的非法操作 目前的防火墙主要有以下两种类型 1 包过滤防火墙 设置在网络层 典型如路由器 它通过建立一定数量的信息过滤表 对数据包源I P 地址 目的I P 地址 协议类型 协议源端口号 协议目的端口号 连接请求方向 I C MP 报文类型等参数来判断其是否 维普资讯 第6 期 王世伦等 计算机网络安全问题与对策探讨 9 8 l 满足过滤表中的规则 以决定是否允许数据包通过 包过滤技术可以用于禁止外部非法用户对内网的访问 或 限制访问某些服务类型 但不能分析信息包的内容 无法实施对应用级协议的处理 2 代理防火墙 又称应用层网关防火墙 它由代理服务器和过滤路 由器组成 它将过滤路 由器和软件代理 技术结合在一起 过滤路由器在实现内外网连接的同时 对数据包进行严格筛选 代理服务器作为内外网间的 数据转发设备 向外网屏蔽了内网细节 也承担访问控制和服务类型控制的功能 但代理防火墙目前还难以支 持部分大流量 高实时性的业务 如流媒体服务 今天 隐蔽智能网关防火墙是技术较为复杂而且安全级别很高的一种防火墙 它是相对于隐蔽主机网关防 火墙技术的 它将网关隐藏在公共系统之后使其免遭直接攻击 也提供了对互联网服务进行几乎透明的访问 4 结语 计算机网络在全球范围内得到了迅速发展 其应用几乎包括了人类生活 工作的全部领域 它在带给我们 前所未有的高效 方便 功能强大等的同时 也给我们制造了大量的问题 网络安全问题就是其中的一个主要 问题 也是核心问题 根源问题 如何有效地提高计算机网络的安全级别 确保网络数据的安全 信息的安全 网络系统的安全 是各国专家潜心研究的课题 今天的网络安全问题种类繁多 各种攻击技术层出不穷 而相 应的网络防范策略 网络安全技术也发展极快 要想全面涉及到几乎是不可能的 本文希望在这方面做些探讨 为今后的研究提供一点借鉴 参考文献 1 董良喜 计算机网络威胁发生可能性评价指标研究 J 计算机工程与应用 2 0 0 4 2 6 1 4 3 1 4 4 2 陈龙 网络信息系统安全技术研究 J 光通信研究 2 0 0 5 2 4 2 4 5 3 魏亮 网络安全策略研究 J 电信网技术 2 0 0 4 1 2 1 8 2 2 4 冯登国 国内外信息安全研究现状及发展趋势 E B O L h t t p w w w n s t a p c o m c n l i u l a n 2 0 0 1 z j I t 1 h t m 2 0 0 1 5 卿斯汉 安全协议2 0 年研究进展 J 软件学报 2 0 0 3 1 0 1 4 1 7 4 0 l 7 5 2 Re s e a r c h o n c o mp u t e r n e t wo r k s e c u r i t y i s s u e s a n d s o l u t i o n s WANG S hi 1 un l LI N J i a n g 1 i Y ANG Xi a o p i n g l 1 Co l l e g e o f I n f o r ma t i o n T e c h n o l o g y S i c h u a n No r ma l Un i v e r s i t y Ch e n g d u 61 0 0 6 8 P R C 2 De p a r t me n t o f Bi o m e d i c a l E n g i n e e r i n g S i c h u a n U n i v e r s i ty C h e n g d u 6 1 0 0 6 5 P R C Ab s t r a c t Th e i s s u e o f c o mp u t e r n e t wo r k s e c u r i t y i n v o l v e s ma n y t o p i c s a n d t h e y a r e c o mp l i