浅析计算机网络安全的风险及防范技术

浅析计算机网络安全的风险及防范技术浅析计算机网络安全的风险及防范技术 汤祖军汤祖军 摘要 摘要 随着计算机的飞速发展 计算机网络的应用已经涉及到了社会的方 方面面 在带来了前所未有的海量信息的同时 网络的开放性和自由性也产生 了私有信息和数据被破坏或侵犯的可能性 人们可以通过互联网进行网上购物 银行转账等许多商业活动 开放的信息系统必然存在众多潜在的安全隐患 木 马程序攻击 电子邮件欺骗 间谍恶意代码软件 安全漏洞和系统后门等 本 文针对目前计算机网络存在的主要威胁和隐患进行了分析 并重点阐述了几种 常用的网络安全防范技术 关键词 关键词 网络安全 网络攻击 安全风险 防范技术 1 1 引言引言 计算机的广泛应用把人类带入了一个全新的时代 特别是计算机网络的普 及化 已经成为了信息时代的主要推动力 开放性的网络 导致网络所面临的 破坏和攻击可能是多方面的 例如 可能来自物理传输线路的攻击 可能来自对 电磁泄漏的攻击 可能来自对网络通信协议实施的攻击 可能对系统软件漏洞 实施的攻击等等 在诸多不安全因素的背景下 安全技术作为一个独特的领域 越来越受到全球网络建设者的关注 进入 21 世纪以来 网络安全的重点放在了保护信息 确保信息在存储 处 理 传输过程中及信息系统不被破坏 确保对合法用户的服务和限制非授权用 户的服务 以及必要的防御攻击的措施 确保信息的保密性 完整性 可用性 可控性就成了关键因素 为了解决这些安全问题 各种安全机制 安全策略 和安全工具被开发和应用 2 2 网络安全网络安全 由于早期网络协议对安全问题的忽视 以及在平时运用和管理上的不重视 态度 导致网络安全造到严重的风险 安全事故频频发生 网络安全是对网络 系统的硬件 软件和系统中的数据受到保护 不受偶然的或者恶意的原因而遭 到破坏 更改 泄露 系统连续可靠正常地运行 目前影响网络安全的因素主 要包括病毒软件 蠕虫病毒 木马软件和间谍软件等 病毒软件 病毒软件 是可执行代码 它们可以破坏计算机系统 通常伪装成合法附 件通过电子邮件发送 有的还通过即时信息网络发送 蠕虫病毒 蠕虫病毒 与病毒软件类似 但比病毒更为普遍 蠕虫经常利用受感染系 统的文件传输功能自动进行传播 从而导致网络流量大幅增加 木马程序木马程序 可以捕捉密码和其它个人信息 使未授权远程用户能够访问安 装了特洛伊木马的系统 间谍软件间谍软件 则是恶意病毒代码 它们可以监控系统性能 并将用户数据发 送给间谍软件开发者 网络信息安全分为网络安全和信息安全两个层面 网络安全包括系统安全 即硬件平台 操作系统 应用软件 运行服务安全 即保证服务的连续性 高 效率 信息安全则主要是指数据安全 包括数据加密 备份 程序等 目前 操作系统和应用软件中通常都会存在一些 BUG 别有心计的员工或客户都可能 利用这些漏洞向网络发起进攻 导致某个程序或网络丧失功能 有甚者会盗窃 机密数据 直接威胁网络和数据的安全 即便是安全防范设备也会存在这样的 问题 几乎每天都有新的 BUG 被发现和公布 程序员在修改已知 BUG 的同时还 可能产生新的 BUG 系统 BUG 经常被黑客利用 而且这种攻击通常不会产生日 志 也无据可查 现有的软件和工具 BUG 的攻击几乎无法主动防范 3 3 网络安全的风险因素网络安全的风险因素 网络安全是一个非常关键而又复杂的问题 计算机网络安全指计算机信息 系统资产的安全 即计算机信息系统资源 硬件 软件和信息 不受自然和人为 有害因素的威胁和危害 计算机网络之所以存在着脆弱性 主要是由于技术本身存在着安全弱点 系统的安全性差 缺乏安全性实践等 计算机网络受到的威胁和攻击除自然灾 害外 主要来自软件漏洞 计算机病毒 黑客攻击 配置不当和安全意识不强 等 计算机网络的安全威胁主要来自于以下几个方面 1 软件漏洞 每一版本的操作系统或网络软件的出现都不可能是完美无 缺和无漏洞的 大多数 IT 安全事件 如补丁程序或网络攻击等 都与软件漏洞有 关 黑客利用编程中的细微错误或者上下文依赖关系 让它做任何他们想让它 做的事情 缓冲区溢出是一种常见的软件漏洞 也是一种牵扯到复杂因素的错 误 开发人员经常预先分配一定量的临时内存空间 称为一个缓冲区 用以保 存特殊信息 如果代码没有仔细地把要存放的数据大小同应该保存它的空间大 小进行对照检查 那么靠近该分配空间的内存就有被覆盖的风险 熟练的黑客 输入仔细组织过的数据就能导致程序崩溃 数据丢失 2 黑客的威胁和攻击 由于用户越来越多地依赖计算机网络提供各种服 务 完成日常业务 计算机网络上的黑客攻击事件越演越烈 造成的破坏影响 越来越大 由于攻击技术的进步 攻击者可以较容易地利用分布式攻击工具能 够有效地发动拒绝服务攻击 扫描潜在的受害者 危害存在安全隐患的系统 黑客攻击的技术根源是软件和系统的安全漏洞 正是一些别有用心的人利 用了这些漏洞 才造成了网络安全问题 因为操作系统 应用软件等安全漏洞 每年都会被发现 需要网络管理员不断的用最新的软件补丁修复这些漏洞 然 而黑客经常能够抢在厂商修补这些漏洞之前发现这些漏洞并发起攻击 非法侵 入重要信息系统 窃听 获取 攻击侵人网的有关敏感性重要信息 修改和破 坏信息网络的正常使用状态 造成数据丢失或系统瘫痪 给社会造成重大影响 和经济损失 3 计算机病毒 是一种在人为或非人为的情况下产生的 在用户不知情 或未批准下 能自我复制或运行的计算机程序 计算机病毒往往会影响受感染 计算机的正常运作 病毒一般会自动利用电子邮件传播 利用对象为某个漏洞 将病毒自动复制并群发给存储的通讯录名单成员 计算机感染上病毒后 轻则使系统上作效率下降 重则造成系统死机或毁 坏 使部分文件或全部数据丢失 甚至造成计算机主板等部件的损坏 4 垃圾邮件和间谍软件 一些有心人会从网上多个 BBS 论坛 新闻组等 收集网民的计算机地址 再售予广告商 从而把自己的电子邮件强行 推入 别人的电子邮箱 强迫他人接受赚钱信息 商业或个人网站广告 电子杂志 连环信息等 垃圾邮件可以分为良性和恶性的 良性垃圾邮件是各种宣传广告 等对收件人影响不大的信息邮件 恶性垃圾邮件是指具有破坏性的电子邮件 例如具有攻击性的广告 夸张不实 包括情色 钓鱼网站 间谍软件是一种能够在在用户不知情或未经用户准许的情况下收集用户的 个人数据 间谍软件采用一系列技术来纪录用户的个人信息 例如键盘录制 录制用户访问 Internet 的行为 以及扫描用户计算机上的文件 间谍软件的用 途也多种多样 从盗窃用户的网上账户 主要是银行信用卡账户 和密码到统 计用户的网络行为意作为广告用途 间谍软件的功能繁多 它可以监视用户行 为 或是发布广告 修改系统设置 威胁用户隐私和计算机安全 并尽可能小 的程度影响系统性能 以免被发现 5 配置不当 安全产品防护策略配置不当造成安全隐患 例如 防火墙 设备的访问控制策略配置不正确 那么它根本起不到安全防护作用 再如有些 特定的网络应用程序 当它启动运行时 就同步会打开一系列的安全缺口 许 多与该软件捆绑在一起的应用软件也会被同时启用 这样就造成在不知情的情 况下给不法分子留下 后门 或漏洞 除非用户禁止该程序或对其进行正确配 置 否则 安全隐患无法避免 6 安全意识不强 人为的无意失误是造成网络不安全的重要原因之一 网络管理员在这方面不但肩负重任 还面临越来越大的压力 稍有考虑不周 安全配置不当 就会造成安全漏洞 另外 用户安全意识不强 不按照安全规 定操作 如口令选择不慎 将自己的账户随意转借他人或与别人共享 都会对 网络安全带来威胁用户口令选择不慎 或将自己的账号随意转借他人或与别人 共享等都会对网络安全带来威胁 4 4 网络安全防范技术网络安全防范技术 计算机网络安全从技术上来说 主要由防病毒 VPN 网关 防火墙 入侵 检测等多个安全产品组件组成 一个单独的组件无法确保网络信息的安全性 目前广泛运用和比较成熟的网络安全技术主要有 防火墙技术 数据加密技术 入侵检测技术 防病毒技术 漏洞扫描技术等 以下就针对此几项技术分别进 行简要分析 防火墙技术防火墙技术 防火墙技术是指网络之间通过预定义的安全策略 对内外网通信强制实施 访问控制的安全应用措施 它对两个或多个网络之间传输的数据包按照一定的 安全策略来实施检查 以决定网络之间的通信是否被允许 并监视网络运行状 态 根据环境不同 主要接入部署方式分三类 1 核心数据区安全防护 2 网络边界安全防护 3 网络出口安全防护 图 1 防火墙部署位置 防火墙对流经它的网络通信进行扫描 这样能够过滤掉一些攻击 以免其 在目标计算机上被执行 防火墙还可以关闭不使用的端口 而且它还能禁止特 定端口的流出通信 封锁特洛伊木马 最后 它可以禁止来自特殊站点的访问 从而防止来自不明入侵者的所有通信 防火墙技术可以起到如下防护作用 网络安全的屏障网络安全的屏障 防火墙在一个内部网络和外部网络间建立一个检查点 这种实现要求所有的流量都要通过这个检查点 一旦这些检查点清楚地建立 防火墙设备就可以监视 过滤和检查所有进来和出去的流量 通过强制所有进 出流量都通过这些检查点 网络管理员可以集中在较少的地方来实现安全目的 监控审计 监控审计 防火墙可以对内 外部网络存取和访问进行监控审计 如果所 有的访问都经过防火墙 那么 防火墙就能记录下这些访问并进行日志记录 同时也能提供网络使用情况的统计数据 当发生可疑动作时 防火墙能进行适 当的报警 并提供网络是否受到监测和攻击的详细信息 防止内部信息的外泄 防止内部信息的外泄 通过利用防火墙对内部网络的划分 可实现内部网 重点网段的隔离 从而限制了局部重点或敏感网络安全问题对全局网络造成的 影响 企业秘密是大家普遍非常关心的问题 一个内部网络中不引人注意的细 节可能包含了有关安全的线索而引起外部攻击者的兴趣 甚至因此而暴漏了内 部网络的某些安全漏洞 使用防火墙就可以隐蔽那些透漏内部细节如 Finger DNS 等服务 数据包过滤 数据包过滤 包过滤是防火墙所要实现的最基本功能 现在的防火墙已经 由最初的地址 端口判定控制 发展到判断通信报文协议头的各部分 以及通 信协议的应用层命令 内容 用户认证 用户规则甚至状态检测等等 网络上 的数据都是以包为单位进行传输的 每一个数据包中都会包含一些特定的信息 如数据的源地址 目标地址 源端口号和目标端口号等 地址转换 地址转换 通过此项功能可以很好地屏蔽内部网络的 IP 地址 对内部网络 用户起到了保护作用 NAT 又分 SNAT 和 DNAT SNAT 就是改变转发数 据包的源地址 对内部网络地址进行转换 对外部网络是屏蔽的 使得外部非 常用户对内部主机的攻击更加困难 同时可以节省有限的公网 IP 资源 通过少 数一个或几个公网 IP 地址共享上网 而 DNAT 就是改变转发数据包的目的地址 外部网络主机向内部网络主机发出通信连接时 防火墙首先把目的地址转换为 自己的地址 然后再转发外部网络的通信连接 这样实际上外部网络主机与内 部网络主机的通信变成了防火墙与内部网络主机的通信 入侵检测技术入侵检测技术 入侵检测系统 Intrusion Detection System 简称 IDS 作为对计算机和网 络资源的恶意使用行为进行识别和相应处理的系统 包括系统外部的入侵和内 部用户的非授权行为 是为保证计算机系统的安全而设计与配置的一种能够及 时发现并报告系统中未授权或异常现象的技术 是一种用于检测计算机网络中 违反安全策略行为的技术手段 部署的方法有很多种 如基于专家系统入侵检测方法 基于神经网络的入 侵检测方法等 入侵检测通过执行如下任务来实现 1 监视 分析用户及系统活动 2 系统构造和弱点的审计 3 识别反映已知进攻的活动模式并向相关人士报警 4 异常行为模式的统计分析 5 评估重要系统和数据文件的完整性 6 操作系统的审计跟踪管理 并识别用户违反安全策略的行为 图 2 入侵检测攻防示意图 入侵检测技术的主要功能 监视分析用户及系统活动 查找非法用户和合 法用户的越权操作 检测系统配置的正确性和安全漏洞 并提示管理员修补漏 洞 识别反映已知进攻的活动模式并向相关人士报警 对异常行为模式的统计 分析 能够实时地对检测到的入侵行为进行反应 评估重要系统和数据文件的 完整性 可以发现新的攻击模式 入侵检测系统所采用的技术可分为误用检测模型与异常检测模型两种 误用检测误用检测模型模型 Misuse Misuse detection detection 检测与已知的不可接受行为之间的匹 配程度 如果可以定义所有的不可接受行为 那么每种能够与之匹配的行为都 会引起报警 收集非正常操作的行为特征 监理相关的特征库 当监测的用户 或系统行为与库中的记录相匹配时 系统就认为这种行为是入侵 异常检测异常检测模型模型 Anomaly Anomaly detection detection 检测与可接受行为之间的偏差 如 果可以定义每项可接受的行为 那么每项不可接受的行为就应该是入侵 首先 总结正常操作应该具有的特征 用户轮廓 当用户活动与正常行为有重大偏 离是即被认为是入侵 数据加密技术数据加密技术 数据加密就是将数据通过一定的加密技术转换成为表面上杂乱无章的数据 只有合法的使用者才能恢复数据的原来面目 而对于非法窃取使用者来说 转 换后的数据是一些毫无意义的数据 我们把原始数据称为明文 将经过加密的 数据称为密文 把从明文变成密文的过程叫做加密 而把密文还原成明文的过 程叫做解密 加密过程和解密过程都是需要有密钥和相对应的算法 一般密钥 是一串数字 加解密算法是作用于明文或密文以及相对应密钥的一个数学函数 图 3 数据加密与解密技术的工作流程图 密码算法是作用于加密和解密的数学函数 一般情况下有两个相关的函数 一个用于加密 另一个用于解密 这些算法的安全性都基于密钥的安全性 而 不是基于算法细节的安全性 就意味着算法可以公开 可以被分析 也可以大 量生产使用算法的产品 即使窃听者知道算法也没有关系 只要他不知道你使 用的具体密钥 就不可能阅读你的数据 基于密钥的算法通常有两类 对称密 码算法和非对称密码算法 对称算法又叫传统密码算法 对称算法又叫传统密码算法 是指加密和解密使用相同的密钥 即使不同 也可以由一个经过计算推导出另一个来 反过来也是成立的 但在大多数对称 算法中 加密解密密钥是相同的 这些算法也叫单密钥算法或秘密密钥算法 它要求发送者和接收者在安全通信之前 确定一个密钥 当需给对方发送信息 时 用自己的加密密钥进行加密得到密文 而在接受方收到数据后 用对方所 给的密钥进行解密得到明文 非对称密码算法也被称之为公开密码体制 非对称密码算法也被称之为公开密码体制 密钥是由公开密钥和私有密钥 两部分组成的密钥对 分别用于对数据的加密工作和解密工作 即如果使用私 有密钥对数据进行加密 那么只有用相对应的公开密钥才能够解密 反之 使 用公开密钥对数据进行加密 那么只有用相对应的私有密钥才能够进行解密 如图 2 3 所示 公开密钥无须保密 可以公开 因为由公开密钥是无法推算出 私有密钥 所以公开的密钥并不会损害私有密钥的安全性 但私有密钥就必须 进行保密 防病毒技术防病毒技术 防病毒技术就是通过一定的技术手段防止计算机病毒对系统的传染和破坏 但是随着 Internet 技术的发展 以及 E mail 和一批网络工具的出现 在改变 人类信息传播方式的同时也使计算机病毒的种类迅速增加 扩散速度也大大加 快 计算机病毒的传播方式迅速突破地域的限制 由以往的单机之间的介质传 染转换为网络系统间的传播 现在 计算机病毒已经可以通过移动磁盘 光盘 局域网 WWW 浏览 E Mail FTP 下载等多种方式传播 只有通过将病毒检测产品部署在网络的入口或整个网络中 才能真正将病 毒抵御于网络之外 保证数据的真正安全 常见的病毒检测产品有防毒墙 网 络防病毒软件等 防毒墙 防毒墙 通过防毒墙对数据包进行状态检测过滤 不但能够根据数据包的 源地址 目标地址 协议类型 源端口 目标端口以及网络接口等数据包进行 控制 而且能够记录通过防毒墙的连接状态 直接对分组里的数据进行处理 具有完备的状态检测表追踪连接会话状态 并且结合前后分组里的关系进行综 合判断决定是否允许该数据包通过 通过连接状态进行更迅速更安全的过滤 同时防毒墙能拦截攻击操作系统和应用软件安全漏洞的新型蠕虫 而传统 的防火墙集成的防病毒功能是无法检测和清除该类蠕虫的 在新病毒的传播事 件中 病毒检测产品能够有效防止网络攻击 不会消耗大部分资源用于拦截病 毒 防病毒软件 防病毒软件 防病毒软件则主要注重网络防病毒 一旦病毒入侵网络或者 从网络向其它资源传染 网络防病毒软件会立刻检测到并加以删除 可有效地 保障内部网络不受病毒侵扰 产品由以下几部分组成 系统中心 管理员控制台 杀毒软件服务器端 杀毒软件客户端 系统中心可以很容易地在整个网络内实现远程管理 智能升级 自动分发 远程报警等多种功能 有效的管理 严密的保护 杜绝病毒的入侵 管理员控制台 管理员可以在网络中的任意一台计算机上对整个网络进行 集中控制管理 清楚地掌握整个网络环境中各个节点的病毒监测状态 既方便 了管理员 又最大程度的减少了整个网络中的安全漏洞 有效保障了整个网络 的系统安全 图 4 分布式部署结构 漏洞扫描技术漏洞扫描技术 每年都有数以千计的网络安全漏洞被发现和公布 加上攻击者手段的不断 变 化 网络安全状况也在随着安全漏洞的增加变得日益严峻 寻根溯源 绝大多 数用户缺乏一套完整 有效的漏洞管理工作流程 未能落实定期评估与漏洞修 补工作 只有比攻击者更早掌握自己网络安全漏洞并且做好预防工作 才能够 有效地避免由于攻击所造成的损失 漏洞扫描就是通过针对常见黑客攻击手法的检查策略 定期对网络系统进 行扫描分析 及时发现问题 给出相关安全措施和建议并进行相应的修补和配 置 这项技术的具体实现就是安全扫描程序 在很短的时间内查出现存的安全 脆弱点 智能识别 智能识