四、 网络安全问题和解决方案
以下五种是网络中最长用到的网络攻击手段。
口令攻击:即弱口令的猜测和暴力破解。
解决方法:设置复杂的密码,建议使用大小写字母加数字和特殊符号。
木马攻击: 即利用合法的用户身份植入后门程序来实现其背后不可告人的目的。 解决方法:使用木马检测工具;更新病毒库;经常查看系统日志
Unicode编码漏洞攻击: 利用版本缺陷以匿名身份通过浏览器远程等到陆服务器上,肆意破坏数据等。
解决方法:定期下载补丁程序。
源码泄漏攻击 攻击者对源码分析,找出漏洞并加以利用,最后达到不可告人的目的。
解决方法:进行源码加密。
DDos 攻击: 拒绝服务攻击;破坏信息的正常传播,使其他合法用户得不到服务器的服务。
解决方法:配备放火墙,入侵检测系统。
网络安全的关键技术
主机安全技术:加强网络上结点计算机的安全;包括:系统防火墙的规则设置、更新。系统漏洞补丁升级更新,在人们的潜意识里增加安全防范意识等等。
身份认证技术: 身份验证技术可以阻止或减少由于非法用户的登陆对系统的恶意或非法操作。在用户访问服务器上任何信息之前,可以要求用户提供有效的 Microsoft? Windows? 用户帐户、用户名和密码。该标识过程称为“身份验证”。可以在网站或 FTP 站点、目录或文件级别设置身份验证。可以使用 Internet 信息服务(IIS 提供的)身份验证方法来控制对网站和 FTP 站点的访问。 ( 包括下列信息:网站验证:介绍符合您验证用户网站访问要求的身份验证方法。 FTP 站点身份验证:介绍符合您验证用户 FTP 站点访问要求的身份验证方法。)
访问控制技术: 对信息的权限的控制,阻止了非授权用户进行的信息的浏览,修改甚至破坏。适当地控制对 Web 和 FTP 内容的访问是安全运行 Web 服务器的关键。使用 Windows 和 IIS 中的安全功能,您可以有效地控制用户访问您 Web 和 FTP 内容的方式。可以控制多级访问,从整个网站和 FTP 站点到单独的文件。 每个帐户均被授予用户特权和权限。用户特权是指在计算机或网络上执行特定操作的权力。权限是与对象(如文件或文件夹)关联的规则,用于控制哪些帐户可以获得对象的访问权限。
防火墙技术: 主要的技术有数据包过滤技术、应用网关和代理服务等;防火墙体系结构在网络中的设置应用。例如屏蔽子网型防火墙。它是由两个包过滤路由器和两个堡垒机组成。堡垒主机和服务器放置在一个处于内外网的小型网络(Dmz 非军事区)中。如图示:
连接外网的包过滤路由器主要用来防止外网的攻击并管理外网对dmz的访问,负责管理Dmz和内网之间的访问。这样,对外网来讲,内部网是不可见的。同理对于内网外网是不可见的,内网眼通过代理服务才能访问外网。对于入侵者必须通过外部路由器和堡垒主机,内部路由器才能入侵到内网中。到目前可以认为是最安全的。
安全审计技术:安全策略的订制和授权信息的验证技术是该技术的重点部分。可以使用安全审核技术跟踪用户活动并检测对 NTFS 目录和文件的未经授权的访问。(可供审核的活动包括:用户成功和失败的登录。 用户试图访问受到限制的帐户。 用户试图执行受到限制的命令。)
安全管理技术: 新的安全管理技术的研发应用可以代替人们常规的操作减少可能由于疏忽导致的人为错误;提高管理员的安全意和管理水平,定期的安全综合培训必不可少。
当然,即使做好了上述的几种技术网络也不一定是安全的。只有在网络上的计算机实施了好的安全技术其中所要面临的危险就会少一些,安全的级别就会高一些。具体的网络安全等级标准(参见附录)。
随着新的漏洞的发现和公布,随着新技术的发展,随着新工具的出现,只有不断的更新系统补丁,实施新的安全技术,提高网络管理水平,才能将网络变的“固若金汤”。为了实现安全的网络,我们应进行深入的研究,开发出自己的网络安全产品,以适应我国的需要,避免外国的网络安全产品在我们的网络中植入
病毒或木马,把我们自己的网络变的不安全。
安全的防火墙技术从整体上看是网络安全管理的一把利器,我们不妨展望一下未来防火墙的发展趋势!Internet 发展速度日新月异,各种网络攻防技术不断推陈出新,对于下一代防火墙是一个挑战,从防火墙的功能上推算应该具有:
(1)过滤功能不断的增强和扩展,从目前的地址、服务的过滤到对数据片,内容,连接状态的检查;从静态包过滤到动态包过滤,还有过滤规则的设定更加快速、灵活、智能、增加对病毒。url 、关键字的过滤和扫描。
(2)防火墙从技术上更加综合,不仅结合了包过滤和网关过滤技术,还采用数据加密技术,强化身份验证等控制访问措施。利用防火墙构建虚拟专用网将是主流,将充分利用安全协议。
(3)增加网络攻击预警功能,完善安全管理工具。
下一代防火墙将控制更多应用要素
总之,未来的防火墙技术将会全面的考虑网络安全,操作系统的安全,应用程序的安全,用户安全,数据安全等等多方面的,成为包过滤技术,代理服务技术,入侵检测技术,病毒检测防护技和数据加密技术等多技术的综合体。
我们也有理由相信,随着下一代防火墙的出炉,我们的网络安全会有更好的保障,我们的信息安全问题终能够得到很好的解决。当然,掌握下一代防火墙的核心技术,是我国网络安全研究工作人员最迫切的任务和责任,也是我们工作的重中之重。
总结:
网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了网络安全威胁的客观存在。信息安全是涉及国家经济发展、社会发展和国家安全的重大问题。
近年来,随着国际政治形势的发展,以及经济全球化过程的加快,人们越来越清楚,信息时代所引发的信息安全问题不仅涉及国家的经济安全、金融安全,同时也涉及国家的国防安全、政治安全和文化安全。因此,可以说,在信息化社会里,没有信息安全的保障,国家就没有安全的屏障,信息安全的重要性怎么强调也不过分。
举例说明,2011年5月17日,美国白宫发布了题为《网络空间国际策略》的纲要型文件,集中阐述美国的国际互联网安全计划的内容。这份文件长达25页,划分为三个部分,分别是网络空间策略、网络空间的未来以及政策重点。文件的前言由美国总统奥巴马亲自撰写,他在前言中说:“集合力量,我们能使网络空间有一个开放、互动、安全和可靠的未来。”
奥巴马把互联网安全问题列为外交事务的重点之一。他说,这份文件除了列出目标,还包括了达到目标的行动方案。他说:“它让我们在国内和国外的伙伴有所依据,明了我们的重点,知道要如何协力维护未来空间的特性,并减少我们所面对的威胁。”
文件中,美国政府也首次提及,若美国面对危及其国家安全的网络袭击,美国政府将不惜以军事力量反击。网络安全专家刘易斯说,这些策略是美国要推动国际协议重要的第一步,美国人甚至把互联网安全和内部自由“相提并论”。
美国作为互联网强国和唯一的超级大国,对网络安全的问题如此重视,足可让我们深思,网络安全问题已是信息化社会的今天最值得注意的问题之一。中国的网络安全面临着比美国更严重的威胁,主要在于软件核心技术的不成熟和运营管理机制的缺陷,因此我们更应该学习和了解我国的网络安全现状并尽可能早的解除可能出现的网络安全威胁。
当然,解决网络安全问题不是短期的事情,很可能经历了几代人的努力也无法根除网络中存在的隐患和威胁。但我们必须为此而努力,即便无法达到网络安全事故0发生,也要以此为追求,努力掌握最核心的网络安全技术,提高我们的网络防护能力。
作为中国的专业网络安全研究人员,竭尽全力去维护我国网络环境的稳定和健康是其义不容辞的责任。网络安全问题可大到国家信息安全乃至主权安危,维护网络安全,避免网络安全事故的发生,成为每一个网民、每一个公民的义务。因此,文明上网,遵守中国的互联网相关制度,是我们每个人需要注意的,也是必须做到的。
致谢:
感谢高辉老师提供的论文写作相关资料、格式、说明等等,感谢在本文写作过程中给予指导和帮助的网络08A1的老师和同学们,特别感谢杨潇潇、侯苹、张颖三位同学提供了大量的研究资料和写作意见。谢谢!
附录 : 网络安全等级标准:(可信任计算机评价标准准则)
类 别 名 称 主要特点 A
可验证得安全标准
形式化得最高描述和验证 B3
安全域机制
安全内核,高抗渗透能力 B2
结构化安全保护
设计过得合理得总体设计方案,面向安全得体系结构 B1
标号安全保护
除了C2的需求还增加了安全策略模型 C2
受控得访问环境
存取控制以用户为单位广泛地审计 C1
选择的安全保护
有选择地存取控制,用户与数据分离 D
最少保护
措施少,没有安全功能
参考文献:
[01]黑客X档案2006下卷 杨东柱
[02]中国网络安全报告 第57期 许兴 和田慕司 [03]《计算机安全技术》 刘萌铭、李金海 [04]《信息对抗》 蒋平、李冬静 [05]《网络安全(第2版)》 徐国爱、张淼、彭俊好 [06] 《Internet防火墙与网络安全》 黑尔 [07]《身边的网络安全》 史艳艳
[08]《防火墙与网络安全——入侵检测和VPNs》 (美)Greg Holden [09]《计算机安全概论》 焦树海、李勤、李宏力
[10]《计算机网络安全》 林海、杨晨光、顾巧论、许彦