網(wǎng)絡(luò)安全策略研究

1、網(wǎng)絡(luò)平安策略研究摘要當(dāng)前網(wǎng)絡(luò)系統(tǒng)的平安性和可靠性開場(chǎng)成為世界各國(guó)共同關(guān)注的焦點(diǎn)。計(jì)算機(jī)網(wǎng)絡(luò)平安不僅影響了網(wǎng)絡(luò)穩(wěn)定運(yùn)行和用戶的正常使用，還有可能造成重大的經(jīng)濟(jì)損失，威脅到國(guó)家平安。文章分析了幾種常見的網(wǎng)絡(luò)入侵方法以及在此根底上討論了網(wǎng)絡(luò)平安的幾點(diǎn)策略。關(guān)鍵詞網(wǎng)絡(luò)平安計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)引言計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)開放和自由的網(wǎng)絡(luò)，它在大大增強(qiáng)了網(wǎng)絡(luò)信息效勞靈敏性的同時(shí)，也給黑客攻擊和入侵敞開了方便之門。不僅傳統(tǒng)的病毒借助互聯(lián)網(wǎng)加快了其傳播速度并擴(kuò)大了其傳播范圍，而且各種針對(duì)網(wǎng)絡(luò)協(xié)議和應(yīng)用程序破綻的新型攻擊方法層出不窮。這些黑客把先進(jìn)的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)，當(dāng)成一種新式犯罪工具和手段，不僅影響了網(wǎng)絡(luò)穩(wěn)定運(yùn)行和用戶

2、的正常使用，造成重大經(jīng)濟(jì)損失，而且會(huì)威脅到國(guó)家平安。如何更有效地保護(hù)重要的信息數(shù)據(jù)、進(jìn)步計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的平安性已經(jīng)成為影響一個(gè)國(guó)家的政治、經(jīng)濟(jì)、軍事和人民生活的重大關(guān)鍵問題。近年來，網(wǎng)絡(luò)系統(tǒng)的平安性和可靠性開場(chǎng)成為世界各國(guó)共同關(guān)注的焦點(diǎn)。文章分析了幾種常見的網(wǎng)絡(luò)入侵方法以及在此根底上討論了網(wǎng)絡(luò)平安的幾點(diǎn)策略。一、常見的幾種網(wǎng)絡(luò)入侵方法由于計(jì)算機(jī)網(wǎng)絡(luò)的設(shè)計(jì)初衷是資源共享、分散控制、分組交換，這決定了互聯(lián)網(wǎng)具有大跨度、分布式、無邊界的特征。這種開放性使黑客可以輕而易舉地進(jìn)入各級(jí)網(wǎng)絡(luò)，并將破壞行為迅速地在網(wǎng)絡(luò)中傳播。同時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)還有著自然社會(huì)中所不具有的隱蔽性：無法有效識(shí)別網(wǎng)絡(luò)用戶的真實(shí)身份；由

3、于互聯(lián)網(wǎng)上信息以二進(jìn)制數(shù)碼，即數(shù)字化的形式存在，所以操作者能比擬容易地在數(shù)據(jù)傳播過程中改變信息內(nèi)容。計(jì)算機(jī)網(wǎng)絡(luò)的傳輸協(xié)議及操作系統(tǒng)也存在設(shè)計(jì)上的缺陷和破綻，從而導(dǎo)致各種被攻擊的潛在危險(xiǎn)層出不窮，這使網(wǎng)絡(luò)平安問題與傳統(tǒng)的各種平安問題相比面臨著更加嚴(yán)峻的挑戰(zhàn)，黑客們也正是利用這樣的特征研發(fā)出了各種各樣的攻擊和入侵方法：1.通過假裝發(fā)動(dòng)攻擊利用軟件偽造ip包，把自己假裝成被信任主機(jī)的地址，與目的主機(jī)進(jìn)展會(huì)話，一旦攻擊者冒充成功，就可以在目的主機(jī)并不知曉的情況下成功施行欺騙或入侵；或者，通過偽造ip地址、路由條目、dns解析地址，使受攻擊效勞器無法區(qū)分這些懇求或無法正常響應(yīng)這些懇求，從而造成緩沖區(qū)阻塞

4、或死機(jī)；或者，通過將局域網(wǎng)中的某臺(tái)機(jī)器ip地址設(shè)置為網(wǎng)關(guān)地址，導(dǎo)致網(wǎng)絡(luò)中數(shù)據(jù)包無法正常轉(zhuǎn)發(fā)而使某一網(wǎng)段癱瘓。2.利用開放端口破綻發(fā)動(dòng)攻擊利用操作系統(tǒng)中某些效勞開放的端口發(fā)動(dòng)緩沖區(qū)溢出攻擊。這主要是由于軟件中邊界條件、函數(shù)指針等方面設(shè)計(jì)不當(dāng)或缺乏限制，因此造成地址空間錯(cuò)誤的一種破綻。利用軟件系統(tǒng)中對(duì)某種特定類型的報(bào)文或懇求沒有處理，導(dǎo)致軟件遇到這種類型的報(bào)文時(shí)運(yùn)行出現(xiàn)異常，從而導(dǎo)致軟件崩潰甚至系統(tǒng)崩潰。3.通過木馬程序進(jìn)展入侵或發(fā)動(dòng)攻擊木馬是一種基于遠(yuǎn)程控制的黑客工具，具有隱蔽性和非受權(quán)性的特點(diǎn)，一旦被成功植入到目的主機(jī)中，計(jì)算機(jī)就成為黑客控制的傀儡主機(jī)，黑客成了超級(jí)用戶。木馬程序可以被用來搜集

5、系統(tǒng)中的重要信息，如口令、賬號(hào)、密碼等。此外，黑客可以遠(yuǎn)程控制傀儡主機(jī)對(duì)別的主機(jī)發(fā)動(dòng)攻擊，如dds攻擊就是大量傀儡主機(jī)接到攻擊命令后，同時(shí)向被攻擊目的發(fā)送大量的效勞懇求數(shù)據(jù)包。4.嗅探器和掃描攻擊嗅探器是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種技術(shù)。網(wǎng)絡(luò)嗅探器通過被動(dòng)地監(jiān)聽網(wǎng)絡(luò)通信、分析數(shù)據(jù)來非法獲得用戶名、口令等重要信息，它對(duì)網(wǎng)絡(luò)平安的威脅來自其被動(dòng)性和非干擾性，使得網(wǎng)絡(luò)嗅探具有很強(qiáng)的隱蔽性，往往讓網(wǎng)絡(luò)信息泄密變得不容易被發(fā)現(xiàn)。掃描，是指針對(duì)系統(tǒng)破綻，對(duì)系統(tǒng)和網(wǎng)絡(luò)的遍歷搜尋行為。由于破綻普遍存在，掃描手段往往會(huì)被惡意使用和隱蔽使用，探測(cè)別人主機(jī)的有用信息，作為施行下一步攻擊

6、的前奏。為了應(yīng)對(duì)不斷更新的網(wǎng)絡(luò)攻擊手段，網(wǎng)絡(luò)平安技術(shù)也經(jīng)歷了從被動(dòng)防護(hù)到主動(dòng)檢測(cè)的開展過程。主要的網(wǎng)絡(luò)平安技術(shù)包括：防火墻、vpn、防毒墻、入侵檢測(cè)、入侵防御、破綻掃描。其中防病毒、防火墻和vpn屬早期的被動(dòng)防護(hù)技術(shù)，入侵檢測(cè)、入侵防御和破綻掃描屬主動(dòng)檢測(cè)技術(shù)，這些技術(shù)領(lǐng)域的研究成果已經(jīng)成為眾多信息平安產(chǎn)品的基矗二、網(wǎng)絡(luò)的平安策略分析早期的網(wǎng)絡(luò)防護(hù)技術(shù)的出發(fā)點(diǎn)是首先劃分出明確的網(wǎng)絡(luò)邊界，然后通過在網(wǎng)絡(luò)邊界處對(duì)流經(jīng)的信息利用各種控制方法進(jìn)展檢查，只有符合規(guī)定的信息才可以通過網(wǎng)絡(luò)邊界，從而到達(dá)阻止對(duì)網(wǎng)絡(luò)攻擊、入侵的目的。主要的網(wǎng)絡(luò)防護(hù)技術(shù)包括：1.防火墻防火墻是一種隔離控制技術(shù)，通過預(yù)定義的平安策

7、略，對(duì)內(nèi)外網(wǎng)通信強(qiáng)迫施行訪問控制，常用的防火墻技術(shù)有包過濾技術(shù)、狀態(tài)檢測(cè)技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)。包過濾技術(shù)是在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包施行有選擇的通過，根據(jù)系統(tǒng)事先設(shè)定好的過濾邏輯，檢查數(shù)據(jù)據(jù)流中的每個(gè)數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目的地址、以及包所使用的端口確定是否允許該類數(shù)據(jù)包通過；狀態(tài)檢測(cè)技術(shù)采用的是一種基于連接的狀態(tài)檢測(cè)機(jī)制，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流對(duì)待，構(gòu)成連接狀態(tài)表，通過規(guī)那么表與狀態(tài)表的共同配合，對(duì)表中的各個(gè)連接狀態(tài)因素加以識(shí)別，與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)那么表相比，它具有更好的靈敏性和平安性；應(yīng)用網(wǎng)關(guān)技術(shù)在應(yīng)用層實(shí)現(xiàn)，它使用一個(gè)運(yùn)行特殊的“通信數(shù)據(jù)平安檢查軟件的工作站來

8、連接被保護(hù)網(wǎng)絡(luò)和其他網(wǎng)絡(luò)，其目的在于隱蔽被保護(hù)網(wǎng)絡(luò)的詳細(xì)細(xì)節(jié)，保護(hù)其中的主機(jī)及其數(shù)據(jù)。2.vpnvpnvirtualprivatenetrk即虛擬專用網(wǎng)絡(luò)，它是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)連接而成的邏輯上的虛擬子網(wǎng)。它可以幫助異地用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供給商與內(nèi)部網(wǎng)建立可信的平安連接，并保證數(shù)據(jù)的平安傳輸。為了保障信息的平安，vpn技術(shù)采用了鑒別、訪問控制、保密性和完好性等措施，以防止信息被泄露、篡改和復(fù)制。vpn技術(shù)可以在不同的傳輸協(xié)議層實(shí)現(xiàn)，如在應(yīng)用層有ssl協(xié)議，它廣泛應(yīng)用于eb閱讀程序和eb效勞器程序，提供對(duì)等的身份認(rèn)證和應(yīng)用數(shù)據(jù)的加密；在會(huì)話層有sks協(xié)議，在該協(xié)

9、議中，客戶程序通過sks客戶端的1080端口透過防火墻發(fā)起連接，建立到sks效勞器的vpn隧道；在網(wǎng)絡(luò)層有ipse協(xié)議，它是一種由ietf設(shè)計(jì)的端到端確實(shí)保ip層通信平安的機(jī)制，對(duì)ip包進(jìn)展的ipse處理有ahauthentiatinheader和espenapsulatingseuritypaylad兩種方式。3.防毒墻防毒墻是指位于網(wǎng)絡(luò)入口處，用于對(duì)網(wǎng)絡(luò)傳輸中的病毒進(jìn)展過濾的網(wǎng)絡(luò)平安設(shè)備。防火墻可以對(duì)網(wǎng)絡(luò)數(shù)據(jù)流連接的合法性進(jìn)展分析，但它對(duì)從允許連接的電腦上發(fā)送過來的病毒數(shù)據(jù)流卻是無能為力的，因?yàn)樗鼰o法識(shí)別合法數(shù)據(jù)包中是否存在病毒這一情況；防毒墻那么是為理解決防火墻這種防毒缺陷而產(chǎn)生的一種平

10、安設(shè)備。防毒墻使用簽名技術(shù)在網(wǎng)關(guān)處進(jìn)展查毒工作，阻止網(wǎng)絡(luò)蠕蟲(r)和僵尸網(wǎng)絡(luò)(bt)的擴(kuò)散。此外，管理人員可以定義分組的平安策略，以過濾網(wǎng)絡(luò)流量并阻止特定文件傳輸、文件類型擴(kuò)展名、即時(shí)通信信道、批量或單獨(dú)的ip/a地址，以及tp/udp端口和協(xié)議。三、網(wǎng)絡(luò)檢測(cè)技術(shù)分析人們意識(shí)到僅僅依靠防護(hù)技術(shù)是無法擋住所有攻擊，于是以檢測(cè)為主要標(biāo)志的平安技術(shù)應(yīng)運(yùn)而生。這類技術(shù)的根本思想是通過監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)來識(shí)別針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，或者更廣泛意義上的信息系統(tǒng)的非法攻擊。包括檢測(cè)外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法活動(dòng)。主要的網(wǎng)絡(luò)平安檢測(cè)技術(shù)有：1.入侵檢測(cè)入侵檢

11、測(cè)系統(tǒng)intrusindetetinsyste,ids是用于檢測(cè)任何損害或企圖損害系統(tǒng)的保密性、完好性或可用性行為的一種網(wǎng)絡(luò)平安技術(shù)。它通過監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)來識(shí)別針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，包括檢測(cè)外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法活動(dòng)。作為防火墻的有效補(bǔ)充，入侵檢測(cè)技術(shù)可以幫助系統(tǒng)對(duì)付和未知網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的平安管理才能包括平安審計(jì)、監(jiān)視、攻擊識(shí)別和響應(yīng)，進(jìn)步了信息平安根底構(gòu)造的完好性。2.入侵防御入侵防御系統(tǒng)intrusinpreventinsyste,ips那么是一種主動(dòng)的、積極的入侵防范、阻止系統(tǒng)。ips是基于ids的、建立在ids開

12、展的根底上的新生網(wǎng)絡(luò)平安技術(shù)，ips的檢測(cè)功能類似于ids，防御功能類似于防火墻。ids是一種并聯(lián)在網(wǎng)絡(luò)上的設(shè)備，它只能被動(dòng)地檢測(cè)網(wǎng)絡(luò)遭到了何種攻擊，它的阻斷攻擊才能非常有限；而ips部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它檢測(cè)到攻擊企圖后，會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷?？梢哉J(rèn)為ips就是防火墻加上入侵檢測(cè)系統(tǒng)，但并不是說ips可以代替防火墻或入侵檢測(cè)系統(tǒng)。防火墻是粒度比擬粗的訪問控制產(chǎn)品，它在基于tp/ip協(xié)議的過濾方面表現(xiàn)出色，同時(shí)具備網(wǎng)絡(luò)地址轉(zhuǎn)換、效勞代理、流量統(tǒng)計(jì)、vpn等功能。3.破綻掃描破綻掃描技術(shù)是一項(xiàng)重要的主動(dòng)防范平安技術(shù)，它主要通過以下兩種方法來檢查目的主機(jī)是否存在破綻：在端

13、口掃描后得知目的主機(jī)開啟的端口以及端口上的網(wǎng)絡(luò)效勞，將這些相關(guān)信息與網(wǎng)絡(luò)破綻掃描系統(tǒng)提供的破綻庫(kù)進(jìn)展匹配，查看是否有滿足匹配條件的破綻存在；通過模擬黑客的攻擊手法，對(duì)目的主機(jī)系統(tǒng)進(jìn)展攻擊性的平安破綻掃描，如測(cè)試弱勢(shì)口令等，假設(shè)模擬攻擊成功，那么說明目的主機(jī)系統(tǒng)存在平安破綻。發(fā)現(xiàn)系統(tǒng)破綻的一種重要技術(shù)是蜜罐(hneypt)系統(tǒng)，它是成心讓人攻擊的目的，引誘黑客前來攻擊。通過對(duì)蜜罐系統(tǒng)記錄的攻擊行為進(jìn)展分析，來發(fā)現(xiàn)攻擊者的攻擊方法及系統(tǒng)存在的破綻。四、結(jié)語盡管傳統(tǒng)的平安技術(shù)在保障網(wǎng)絡(luò)平安方面發(fā)揮了重要作用，但在一個(gè)宏大、開放、動(dòng)態(tài)和復(fù)雜的互聯(lián)網(wǎng)中技術(shù)都存在著各種各樣的局限性。平安廠商在疲于奔命的晉級(jí)產(chǎn)品的檢測(cè)數(shù)據(jù)庫(kù)，系統(tǒng)廠商在疲于奔命的修補(bǔ)產(chǎn)品破綻，而用戶也在疲于奔命的檢查自己到底還有多少破綻暴露在攻擊者的面前。傳統(tǒng)的防病毒軟件只能用于防范計(jì)算機(jī)病毒，防火墻只能對(duì)非法訪問通信進(jìn)展過濾，而入侵檢測(cè)系統(tǒng)只能被用來識(shí)別特定的惡意攻擊行為。在一個(gè)沒有得到全面防護(hù)的計(jì)算機(jī)設(shè)施中，平安問題的炸彈隨時(shí)都有爆炸的可能。用戶必須針對(duì)每種平安威脅部署相應(yīng)的防御手段，這樣使信息平安工作的復(fù)雜度和風(fēng)險(xiǎn)性都難以下降。為了有效地解決日益突出的網(wǎng)絡(luò)平安問題，網(wǎng)絡(luò)平安研究人員和網(wǎng)絡(luò)平安企業(yè)