试论网络安全技术的探讨与管理

试论网络安全技术的探讨与管理1.网络的开放性带来的安全问题Internet的开放性以及其他方面因素导致了网络环境下的计算机系统存在许多安全问题。为了解决这些安全问题，各种安全机制、策略和工具被研究和应用。然而，即便在使用了现有的安全工具和机制的情况下，网络的安全仍然存在很大隐患，这些安全隐患重要能够归结为下面几点：1.1每一种安全机制都有一定的应用范围和应用环境。防火墙是一种有效的安全工具，它能够隐蔽内部网络构造，限制外部网络到内部网络的访问。但是对于内部网络之间的访问，防火墙往往是无能为力的。因而，对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为，防火墙是很难发现觉察和防备的。1.2安全工具的使用遭到人为因素的影响。一个安全工具能不能实现期望的效果，在很大水平上取决于使用者，包含系统管理者和普通用户，不正当的设置就会产生不安全因素。例如，NT在进行合理的设置后能够到达C2级的安全性，但很少有人能够对NT自己的安全策略进行合理的设置。固然在这方面，能够通过静态扫描工具来检测系统能否进行了合理的设置，但是这些扫描工具基本上也只是基于一种缺省的系统安全策略进行比较，针对详细的应用环境和专门的应用需求就很难判定设置的正确性。1.3系统的后门是传统安全工具难于考虑到的地方。防火墙很难考虑到这类安全问题，多数情况下，这类入侵行为能够堂而皇之地经过防火墙而很难被发觉；比方说，众所周知的ASP源码问题，这个问题在IIS效劳器4.0以前一直存在，它是IIS效劳的设计者留下的一个后门，任何人都能够使用浏览器从网络上方便地调出ASP程序的源码，进而能够采集系统信息，进而对系统进行攻击。对于这类入侵行为，防火墙是无法发现觉察的，由于对于防火墙来说，该入侵行为的访问经过和正常的WEB访问是类似的，唯一区别是入侵访问在恳求链接中多加了一个后缀。1.4只要有程序，就可能存在BUG。以至连安全工具自己可以能存在安全的漏洞。几乎天天都有新的BUG被发现和公布出来，程序设计者在修改已经知道的BUG的同时又可能使它产生了新的BUG。系统的BUG经常被黑客利用，而且这种攻击通常不会产生日志，几乎无据可查。比方说如今许多程序都存在内存溢出的BUG，现有的安全工具对于利用这些BUG的攻击几乎无法防备。1.5黑客的攻击手段在不断地更新，几乎天天都有不同系统安全问题出现。然而安全工具的更新速度太慢，绝大多数情况需要人为的参与能力发现以前未知的安全问题，这就使得它们对新出现的安全问题老是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时，其他的安全问题又出现了。因而，黑客老是能够使用先进的、安全工具不知道的手段进行攻击。2.网络安全的缺陷，导致网络被攻击和入侵网络安全缺陷产生的原因重要有：第一，TCP/IP的软弱性。因特网的基石是TCP/IP协议。但不幸的是该协议对于网络的安全性考虑得并不多。而且，由于TCP/IP协议是公布于众的，假如人们对TCP/IP很熟悉，就能够利用它的安全缺陷来施行网络攻击。第二，网络构造的不安全性。因特网是一种网间网技术。它是由无数个局域网所连成的一个宏大网络。当人们用一台主机和另一局域网的主机进行通信时，通常情况下它们之间相互传送的数据流要经过许多机重视重转发，假如攻击者利用一台处于用户的数据流传输路径上的主机，他就能够劫持用户的数据包。第三，易被窃听。由于因特网上大多数数据流都没有加密，因而人们利用网上免费提供的工具就很容易对网上的邮件、口令和传输的文件进行窃听。这些安全的缺陷让网络攻击者容易地通过非法的手段〔如破译口令、电子欺骗等〕获得非法的权限，并通过使用这些非法的权限对被攻击的主机进行非受权的操作。3.网络安全体系的讨论现前阶段为了保证网络工作顺利进行通常采取下面的方法：3.1网络病毒的防备。在网络环境下，病毒传播扩散快，仅用单机防病毒产品已经很难彻底去除网络病毒，必需有合适于局域网的全方位防病毒产品。这就需要一个基于效劳器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。假如与互联网相连，就需要网关的防病毒软件，加强上网计算机的安全。假如在网络内部使用电子邮件进行信息交换，还需要一套基于邮件效劳器平台的邮件防病毒软件，辨别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品，针对网络中所有可能的病毒攻击点设置对应的防病毒软件，通过全方位、多条理的防病毒系统的配置，通过定期或不定期的自动升级，使网络免受病毒的侵袭。3.2配置防火墙。利用防火墙，在网络通讯时履行一种访问控制标准，允许防火墙同意访问的人与数据进入自己的内部网络，同时将不允许的用户与数据拒之门外，最大限度地阻拦网络中的黑客来访问自己的网络，防止他们随意更改、移动以至删除网络上的主要信息。防火墙是一种行之有效且应用广泛的网络安全机制，防止Internet上的不安全因素蔓延到局域网内部，所以，防火墙是网络安全的主要一环。3.3采取入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未受权或异常现象的技术，是一种用于检测计算机网络中违背安全策略行为的技术。在入侵检测系统中利用审计记录，入侵检测系统能够辨别出任何不希望有的活动，进而到达限制这些活动，以保卫系统的安全。3.4Web，Email，BBS的安全监测系统。在网络的www效劳器、Email效劳器等中使用网络安全监测系统，实时跟踪、监视网络，截获Internet网上传输的内容，并将其复原成完好的www、Email、FTP、Telnet应用的内容，建立保存相应记录的数据库。及时发如今网络上传输的非法内容，及时向上级安全网管中心报告，采用办法。3.5漏洞扫描系统。解决网络层安全问题，首先要清楚网络中存在哪些安全隐患、软弱点。面对大型网络的复杂性和不断变化的情况，仅仅依靠网络管理员的技术和经历体验寻找安全漏洞、做出风险评估，显然是不现实的。解决的方案是，寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具，利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全水平不高的[1][2]下一页情况下，能够利用各种黑客工具，对网络模仿攻击进而暴露出网络的漏洞。3.6IP盗用问题的解决。在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时，路由器要检查发出这个IP广播包的工作站的MAC能否与路由器上的MAC地址表相符，假如相符就放行。否则不允许通过路由器，同时给发出这个IP广播包的工作站返回一个警告信息。3.7利用网络监听维护子网系统安全。对于网络外部的入侵能够通过安装防火墙来解决，但是对于网络内部的侵袭则无能为力。在这种情况下，我们能够采取对各个子网做一个具有一定功能的审计文件，为管理人员分析自己的网络运作状况提供根据。设计一个子网专用的监听程序。该软件的重要