网络安全问题的分析及解决 54090502 刘壮

1、网络安全问题的分析及解决学号：5409052 姓名：刘壮当今社会进入以网络计算为中心的信息时代，网络互联化的速度也越来越快。计算机网络的发展，给人们的工作和生活带来了极大的方便，但是，由于网络系统的开放性、信息资源的共享性、通信信道的公用性、连接形式的多样性等，使网络存在很多严重的脆弱点。随着信息技术的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。此时，它关心的对象是那些无权使用，但却试图获得远程服务的人。安全性也处理合法消息被截获

2、和重播的问题，以及发送者是否曾发送过该条消息的问题。那么到底什么是网络安全呢？8i9K,?s0KY6;imscbsc 移动通信论坛拥有30万通信专业人员，超过50万份GSM/3G等通信技术资料，是国内领先专注于通信技术和通信人生活的社区。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术

3、、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。以下详细概述了网络安全主要问题，并对常见网络攻击从技术层面提出了解决方案，希望通过网络安全建设逐步消除网络安全的隐患。一、网络安全问题有很多，概括起来主要有：网络拓扑的安全问题：总线形拓扑结构（故障诊断困难：总线故障很难定位；故障隔离困难：如果故障发生在总线上，则要断开总线；中继配置、电缆长度更改、终端端子的配置复杂；终端必须具有一定的智能，即具有介质访问控制功能）；星形拓扑结构（电缆较长，施工困难；扩展困难；网络对中央节点的依赖大）；环形拓扑结构（节点的故障会引起全网故障；故障诊断困难；网络重新配置困难；访问协议复杂）；树形拓扑结

4、构（与星形网络相类似，对跟节点依赖大，根节点的负载也大）网络协议安全：TCP/IP先天不足，当初设计的目标是美国军队及科研机构使用，目标网络是封闭网络。将INTERNET分为两个部分，一部分是付费的，提供足够的安全保障；另一部分是免费的，没有安全保障网络软件缺陷：操作系统漏洞（如WINDOWS的PACK）；数据库安全（PACK等）；系统软件（中间件Middleware）缺陷、JBOSS等；应用软件缺陷（设计及开发过程的问题）网络设备安全：网桥的安全隐患（广播风暴，内、外网络无法隔离，丢数据）；路由器的安全隐患（路由表被恶意修改，影响全网；无法识别IP盗用）（5）人为因素用户安全意识不强，用户口

5、令密码选择不慎，或将自己的账号随意转接他人或与别人共享等都会给网络安全带来威胁。（6）电磁辐射电磁辐射物能够破坏网络中传输的数据，甚至可以将这些数据接收下来，并且能够重新恢复，造成泄密。（7）病毒病毒是编制或者在计算机程序中插入的破坏计算机功能或数据，影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。它具有传染性、寄生性、隐蔽性、触发性、破坏性等几大特点。（8）黑客黑客利用系统中的安全漏洞非法进入他人计算机系统，黑客使用一些方法收集或探测到一些有用信息后，就可能会对目标系统进行攻击。如果黑客获得了特许访问权，那么他就可以读取邮件，搜索和盗窃私人文件，毁坏重要数据，破坏整

6、个系统的信息，造成不堪设想的后果。黑客的攻击程序危害性非常大。 二、常用的攻击手段：(1)内部窃密和破坏内部人员有意或无意的泄密、更改记录信息或者破坏网络系统。(2)截收攻击者可能通过搭线或在电磁辐射的范围内安装截收装置等方式，截获机密信息，或通过对信息流和流向、通信频度和长度等参数的分析，推出有用的信息。它不破坏传输信息的内容，所以不易察觉。(3)非法访问非法访问指的是未经授权使用网络资源或以未授权的方式使用网络资源，它包括：非法用户如黑客进入网络或系统，进行违法操作；合法用户以未授权的方式进行操作。(4)TCP/IP协议上的某些不安全因素目前广泛使用的TCP/IP协议存在安全漏洞。如IP层

7、协议就有许多安全缺陷。IP地址可以软件设置，这就造成了地址假冒和地址欺骗两类安全隐患；IP协议支持源路由方式，即源点可以指定信息包传送到目的节点的中间路由，这就提供了源路由攻击的条件。再如应用层协议Telnet,FTP,SMTP等协议缺乏认证和保密措施，这就为否认、拒绝等欺骗行为开了方便之门。常见的网络欺骗包括MAC欺骗、ARP欺骗、ICMP欺骗、RIP路由欺骗、IP源路由欺骗等。(5)有害程序计算机病毒：计算机病毒虽是一个小小程序，但它和通的计算机程序不同。感染病毒可能导致系统无法正常工作或数据破坏等损失。网络病毒的传播主要通过一些应用服务器来传播的病毒，拥挤了有限的网络带宽，可能导致网络瘫

8、痪。病毒还可能破坏群组服务器，让这些服务器充斥大量垃圾，导致数据性能降低。对整个网络而言，任何正常的文件信息通道都有遭受计算机病毒攻击的危险，且病毒在网络中大面积传播所造成的破坏是巨大的特洛伊木马：一个C/S系统，包括主控端和被控端两个程序。其中主控端安装在攻击者自己的计算机上，用于远程控制被攻击系统。被控端则需要通过各种隐秘手段植入到被攻击系统中。典型的特洛伊木马有灰鸽子、冰河等。蠕虫：蠕虫病毒与一般的计算机病毒不同，它不采用将自身拷贝附加到其他程序中的方式来复制自己，所以在病毒中它也算是一个“另类”。蠕虫病毒的破坏性很强，部分蠕虫病毒不仅可以在因特网上兴风作浪，局域网也成了它们“施展身手”

9、的舞台蠕虫病毒可以潜伏在基于客户机/服务机模式的局域网的服务机上的软件内，当客户机访问服务机，并对有毒的软件实施下载后，病毒就神不知、鬼不觉地从服务机上“拷贝”到客户机上了。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形。蠕虫病毒是自包含的程序(或是一套程序)，它能传播自身功能的拷贝或自身（蠕虫病毒）的某些部分到其他的计算机系统中(通常是经过网络连接)。两种类型的蠕虫：主机蠕虫与网络蠕虫。主计算机蠕虫完全包含在它们运行的计算机中，并且使用网络的连接仅将自身拷贝到其他的计

10、算机中，主计算机蠕虫在将其自身的拷贝加入到另外的主机后，就会终止它自身(因此在任意给定的时刻，只有一个蠕虫的拷贝运行)，这种蠕虫有时也叫野兔，蠕虫病毒一般是通过1434端口漏洞传播。 比如近几年危害很大的“尼姆亚”病毒就是蠕虫病毒的一种，2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。这一病毒利用了微软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。逻辑炸弹：计算机中的“逻辑炸弹”是指在特定逻辑条件满足时，实施破坏的计算机程序，该程序触发后造成计算机数据丢失、计算机不能从硬盘或者软盘引导，甚至会使整

11、个系统瘫痪，并出现物理损坏的虚假现象。 “逻辑炸弹”引发时的症状与某些病毒的作用结果相似，并会对社会引发连带性的灾难。与病毒相比，它强调破坏作用本身，而实施破坏的程序不具有传染性。 逻辑炸弹是一种程序，或任何部分的程序，这是冬眠，直到一个具体作品的程序逻辑被激活。 在这样一个逻辑炸弹是非常类似的一个真实世界的地雷。 最常见的激活一个逻辑炸弹是一个日期。 该逻辑炸弹检查系统日期，并没有什么，直到预先编程的日期和时间是达成共识。 在这一点上，逻辑炸弹被激活并执行它的代码。 逻辑炸弹也可以被编程为等待某一个讯息，从程序员。 该逻辑炸弹例如，可以检查一个网站，每周一次为某一个讯息。 当逻辑炸弹看到的讯

12、息时，或逻辑炸弹站看到的讯息，它激活并执行它的代码。陷门（后门）：是一个程序模块的秘密的未记入文档的入口，是在程序开发时插入的一小段程序。往往是为了方便测试、修改、升级等。常见种类：遥控旁路、远程维护、非法监听等。(6)其他网络攻击方式攻击者可能破坏网络系统的可用性，使合法用户不能正常访问网络资源；拒绝服务；甚至摧毁系统。破坏系统信息的完整性；还可能冒充主机欺骗合法用户，欺骗系统占用资源。三、网络安全体系结构网络的安全涉及到系统软、硬件平台的两个方面。针对实际运行的TCP/IP协议，网络安全贯穿于信息系统的四个层次，涉及到物理层、数据链路层、网络层、操作系统、应用平台及应用系统的安全等几个方面

13、。物理层安全，主要从网络设备和物理链路上对存储和传输的网络信息进行维护。防止物理通路的破坏、物理通路的窃听、对物理通路的攻击（干扰等）。数据链路层安全，需要保证网络中各系统之间交换的数据不被截获，或对某个连接上所有用户数据提供保密，或通过广域网传送的数据不被窃听。网络层的安全，需要保证网络只给授权的客户使用授权的服务，保证网络路由正确，避免被拦截或监听。操作系统的安全，要求分析信息系统安全级别，选用相应的操作系统并进行合理配置以保证客户资料、操作系统访问控制的安全，同时能够对该操作系统上的应用进行审计。应用平台的安全，应用平台指建立在网络系统之上的应用软件服务，如数据服务器、电子邮件服务器、W

14、eb服务器等的安全。由于应用平台的系统非常复杂，通常采用多种技术来增强其安全性。应用系统的安全，应用系统完成网络系统的最终目的是为用户服务。应用系统的安全与系统设计和实现关系密切。应用系统使用平台提供的安全服务来保证基本安全，如通讯内容安全、通讯双方的认证、审计等手段。四、解决这些问题的主要方法和途径从根本上讲，绝对安全的网络是不存在的，所以我们讨论的实际上是指一定程度上的网络安全。为了保证网络的正常运行，我们必须首先要保证其安全性。1、网络身份认证-存取控制和加密技术：存取控制：存取控制是对用户的身份进行鉴别和识别，对用户利用资源的权限和范围进行核查，是数据保护的前沿屏障。它可以分为身份认证

15、、存取权限控制、数据库保护等几个层次。(1)身份认证：身份认证的目的是确定系统或网络的访问者是否是合法用户。主要采用三种认证方式：使用口令、使用代表用户身份的物品、使用反映用户生理特征的标志。使用口令是一种最普遍的认证方式，但这种方法的严重弊病就是口令很容易被窃取和破译，并且只能实现用户到系统的单项认证，用户无法对系统进行认证。人体特征具有不可复制的特征，可以依赖人体的身体特征来进行身份的验证，如：指纹识别、声音识别、手迹识别、视网膜扫描、笔迹动态辨识等。(2)存取权限控制：存取权限控制的目的是防止合法用户越权访问系统和网络资源。因此,系统要确定用户对哪些资源享有使用权,可进行何种类型的访问操

16、作。为此,系统要赋予用户不同的权限。(3)数据库的存取控制对数据库信息,按存取属性划分的授权有:允许或禁止运行;允许或禁止阅读、检索;允许或禁止写入;允许或禁止修改(增、删、改);允许或禁止清除。加密技术：网络信息加密的目的是保护网内的数据、文件、口令和控制信息，保障网络的安全可靠性。加密作为一种主动的防卫手段，其优势明显，它可以有效的对抗截收、非法访问等威胁。现代密码算法不仅可以实现加密，还可以实现数字签名、鉴别等功能。因此要保障网络信息的安全，应用加密技术是一个重要手段。在网络应用中一般采用两种加密形式：秘密密钥和公开密钥，在秘密密钥中，加密者和解密者使用相同的密钥，也被称为对称密钥加密，

17、这类算法有DES和IDEA。另一类是公开密钥，它使用相互关联的一对密钥，一个是公用密钥，任何人都知道，另一个是私有密钥，只有拥有该对密钥的人知道。采用何种加密算法则要结合具体应用环境和系统，而不能简单的根据其加密强度来做出判断。因为除了加密算法本身之外，密钥合理分配、加密效率与现有系统的结合性，以及投入产出分析都应在实际环境中具体考虑。网络加密常用的方法有链路加密、端点加密和节点加密三种。(1)链路加密链路加密对网络中相邻节点之间在线路上传送的数据进行加密保护。加解密由线路上的密码设备。密码设备放置在接点与调制解调器之间，并使用相同的密码。(2) 端对端端对端加密对用户间的传送数据提供连续保护

18、。数据在源端被加密，在中间节点永不以明文形式出现，只在目的端才被解密。(3)节点对节点加密采用链路加密，数据在通过中间节点时是明的形式，而采用节点对节点加密，数据在通过中间节点时却仍是密的形式。(4)混合加密形式由于端对端加密和链路加密各有优点，因此一个完善的网络系统应当采用两种加密方式，即混和加密方式。端对端过程中未加密的报头部分可被链路加密过程所加密。用作隐蔽信息的密码系统可以从不同角度进行分类。最常用的分类方法是按照是否公开加密算法来分的，因此有不公开加密算法和公开加密算法的密码系统。2、网络访问控制防火墙技术：防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来

19、越多地应用于专用网络与公用网络的互联环境之中，尤其以接入 Internet 网络为最甚。防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。由于防火墙是一种被动技术，它假设了网络边界和服务，因此，对内部的非法访问难以有效的控制，因此，防火墙适合于相对独立的网络。防火墙能阻止外面的人对网络进行访问。所有的防火墙都具有一个共同的特性，即根据源IP来决定允许或拒绝某些

20、访问的能力。防火墙作为网络安全的一种防护手段，有多种实现方式，但是，正确选用、合理配置防火墙是不容易的。建立合理的防护系统，配置有效的防火墙应遵循这样四个基本步骤：风险分析、需求分析、确立安全政策和选择准确的防护手段，并使之与安全政策保持一致。还要正确的评价防火墙的失效状态，看它能否阻挡或捕捉到恶意的攻击和非法访问的蛛丝马迹，而且要能对其失效状态进行测试或验证，否则网络必然存在很大的隐患。防火墙投入使用后，必须对它进行跟踪和维护，要与上家保持密切联系，时刻注视商家的动态，因为商家一旦发现漏洞，就会尽快发布补救产品，并对防火墙进行定期更新。按照工作层次,防火墙可以分为以下几类:第一，包过滤防火墙

21、:工作于网络层,包过滤防火墙一般含有一个包检查模块，通过包过滤路由器中的访问控制策略,检测进出内部网络的数据,允许符合过滤规则的包通过,否则丢弃。第二，状态防火墙：工作于应用层，采用状态检测包过滤的技术，是传统包过滤上的功能扩展。状态检测防火墙在网络层有一个检查引擎截获数据包并抽取出与应用层状态有关的信息，并以此为依据决定对该连接是接受还是拒绝。克服了包过滤防火墙和应用代理服务器的局限性，不仅仅检测“to”和“from”的地址，而且不要求每个访问的应用都有代理。第三，电路层网关:工作于应用层,可简单地用作连接的中继点,在内外部连接之间来回拷贝字节,从而隐蔽了受保护网络的有关信息。第四，应用网关

22、（代理防火墙）:工作于应用层,在网关上对每个应用程序进行管理,如果某一特定服务未被代理,就意味着该服务被禁止。第五，NAT技术：NAT英文全称是Network Address Translation，就是网络地址转换，它是一个IETF标准，允许一个机构以一个地址出现在Internet上。NAT将每个局域网节点的地址转换成一个IP地址，反之亦然。它也可以应用到防火墙技术里，把个别IP地址隐藏起来不被外界发现，使外界无法直接访问内部网络设备。同时，它还帮助网络可以超越地址的限制，合理地安排网络中的公有Internet 地址和私有IP地址的使用。防火墙能提供的保护能力主要有:拒绝未经授权的用户进入内

23、部网络、禁止易受攻击的服务进出受保护的网络、防止各类路由攻击、允许合法用户不受妨碍地访问网络资源、执行日志和审计功能、对非法入侵的跟踪和报警等。从理论上讲，防火墙是系统管理员能够采取的最严格的安全措施。但是防火墙也有一些缺陷和不足。1）限制有用的网络服务；2）无法防护内部网络用户攻击;3)防火墙无法防范通过防火墙以外的其他途径的攻击；4）不能完全阻止传送已感染病毒的软件和文件；5）防火墙无法防范数据驱动型的攻击；6）不能防备新的网络安全问题。而且防火墙的使用也带来不利影响；一方面防火墙严格的安全性削弱了网络的功能。例如在分布式应用大量使用的情况下，使用防火墙是不切实际的。另一方面，防火墙容易使

24、你孤注一掷，一旦防火墙被攻破。内部网络的安全性将轻易被破坏。因此，为了保护重要数据，建议不要使用单一的安全措施。3、网络通讯安全-安全机制：针对不同的网络层次，提供不同的安全机制。链路层安全机制：PPTP,L2F,L2TP；网络层安全机制：IPSEC；传输层安全机制：SSL；应用层安全机制：SHTTP,S/MIME。VPN技术：通常称网络层或网络层以下实现的安全通信协议为虚拟专用网（VPN：Virtual Private Network）。常用的VPN协议包括IPSec,PPTP等。VPN利用这些协议，在公众网络中建立安全隧道，提供专用网络的功能和作用。由于使用互联网进行传输，相对于租用专线来

25、说，其费用极为低廉，所以VPN的出现使企业通过互联网安全经济地传输私有数据成为可能。VPN技术采用认证、存取控制、机密性、数据完整性等措施，保证信息在传输中不被偷看、篡改和复制。4、网络入侵检测与安全审计：只从防御的角度构造安全系统是不够的,还应该寻求其他途径来补充保护网络的安全。入侵检测是对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程。它不仅检测来自外部的入侵行为,同时也指出内部用户的未授权活动。入侵检测通过收集计算机网络或计算机系统中若干关键点的信息，并对其加以分析，从中发现网络中或系统中是否有违反安全策略的行为和被攻击的迹象。（1）入侵监测系统（IDS）：入侵检测的软件与硬件

26、的组合便是入侵监测系统（IDS）。入侵监测系统是一种主动的网络安全防护措施，是用于检测任何损害或企图损害系统的保密性、完整性或可用性行为的一种网络安全技术。入侵检测是对防火墙的合理补充或补偿。它提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。目前有基于网络和主机的入侵检测系统，最新的入侵检测系统产品有了互动功能，发现网络系统或设备问题，可以及时自动修改其策略设置，提高网络效率和安全系数。 （2）入侵防护系统 (IPS)：入侵检测技术(IDS)通过监视网络或系统资源，寻找违反安全策略的行为或攻击迹象，并发出报警。传统的防火墙旨在拒绝那些明显可疑的网络流量，但仍

27、然允许某些流量通过，因此防火墙对于很多入侵攻击仍然无计可施。绝大多数 IDS系统都是被动的，而不是主动的。也就是说，在攻击实际发生之前，它们往往无法预先发出警报。入侵防护系统 (IPS)则倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。IPS是通过直接嵌入到网络流量中实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样一来，有问题的数据包，以及所有来自同一数据流的后续数据包，都能在 IPS 设备中被清除掉。（3）蜜

28、罐技术：蜜罐系统最为重要的功能是对系统中所有操作和行为进行监视和记录，网络安全专家通过精心的伪装，使得攻击者在进入到目标系统后仍不知道自己所有的行为已经处于系统的监视下。为了吸引攻击者，通常在蜜罐系统上留下一些安全后门以吸引攻击者上钩，或者放置一些网络攻击者希望得到的敏感信息，当然这些信息都是虚假的信息。另外一些蜜罐系统对攻击者的聊天内容进行记录，管理员通过研究和分析这些记录，可以得到攻击者采用的攻击工具、攻击手段、攻击目的和攻击水平等信息，还能对攻击者的活动范围以及下一个攻击目标进行了解。同时在某种程度上，这些信息将会成为对攻击者进行起诉的证据。蜜罐仅仅是一个对其他系统和应用的仿真，可以创建一个监禁环境将攻击者困在其中，还可以是一个标准的产品系统。无论使用者如何建立和使用蜜罐，只有它受到攻击，它的作用才能发挥出来。信息系统的安全审计就是在记录一切(或部分)与系统安全有关活动的基础上,对其进行分析、识别、记录和存储,分析一切可疑事件,发现系统中的安全隐患,或者追查导致安全事故的原因,然后采取相应的安全措施。5、保