网络安全技术

《网络安全技术》由会员分享，可在线阅读，更多相关《网络安全技术（7页珍藏版）》请在金锄头文库上搜索。

1、 网络安全技术网络安全技术指致力于解决诸如如何有效进行介入控制，以及何如保证数据传输的安 全性的技术手段，主要包括物理安全分析技术，网络结构安全分析技术，系统安全分析技术， 管理安全分析技术，及其它的安全服务和安全机制策略。21 世纪全世界的计算机都将通过 Internet 联到一起,信息安全的内涵也就发生了根本 的变化.它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了 无处不在.当人类步入 21 世纪这一信息社会,网络社会的时候,我国将建立起一套完整的网络 安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系. 一个国家的信息安全体系实际上包括国家的法

2、规和政策,以及技术与市场的发展平台.我 国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最 终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高. 网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采 用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随 着网络在社会个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复 杂的系统工程.为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合 研究开发.安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安

3、全产业将来也是 一个随着新技术发展而不断发展的产业. 网络安全产品的自身安全的防护技术网络安全设备安全防护的关键，一个自身不安全的 设备不仅不能保护被保护的网络而且一旦被入侵，反而会变为入侵者进一步入侵的平台信息安全是国家发展所面临的一个重要问题.对于这个问题,我们还没有从系统的规划上 去考虑它,从技术上,产业上,政策上来发展它.政府不仅应该看见信息安全的发展是我国高科 技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部 分,甚至应该看到它对我国未来电子化,信息化的发展将起到非常重要的作用. 技术分类 一. 虚拟网技术虚拟网技术主要基于近年发展的局域网交换技术(

4、ATM 和以太网交换） 。交换技术将传 统的基于广播的局域网技术发展为面向连接的技术。因此，网管系统有能力限制局域网通讯 的范围而无需通过开销很大的路由器。由以上运行机制带来的网络安全的好处是显而易见的：信息只到达应该到达的地 点。因此、防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制，使在虚拟 网外的网络节点不能直接访问虚拟网内节点。但是，虚拟网技术也带来了新的安全问题：执行虚拟网交换的设备越来越复杂，从而成为被攻击的对象。基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。基于 MAC 的 VLAN 不能防止 MAC 欺骗攻击。以太网从本质上基于广播机制，但应用了交换

5、器和 VLAN 技术后，实际上转变为点到点 通讯，除非设置了监听口，信息交换也不会存在监听和插入（改变）问题。但是，采用基于 MAC 的 VLAN 划分将面临假冒 MAC 地址的攻击。因此，VLAN 的划分最好 基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属 于相同的 VLAN。网络层通讯可以跨越路由器，因此攻击可以从远方发起。IP 协议族各厂家实现的不完 善，因此，在网络层发现的安全漏洞相对更多，如 IP sweep, teardrop, sync-flood, IP spoofing 攻击等。 二.防火墙枝术网络防火墙技术是一种用来加强网络之间访问控制,防

6、止外部网络用户以非法手段通过 外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它 对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网 络之间的通信是否被允许,并监视网络运行状态. 防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(代理服务器)以及电路层网关, 屏蔽主机防火墙,双宿主机等类型. 虽然防火墙是保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙 以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全 防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击. 自从 1986

7、 年美国 Digital 公司在 Internet 上安装了全球第一个商用防火墙系统,提出 了防火墙概念后,防火墙技术得到了飞速的发展.国内外已有数十家公司推出了功能各不相同 的防火墙产品系列. 防火墙处于 5 层网络安全体系中的最底层,属于网络层安全技术范畴.在这一层上,企业 对安全系统提出的问题是:所有的 IP 是否都能访问到企业的内部网络系统 如果答案是“是“, 则说明企业内部网还没有在网络层采取相应的防范措施. 作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安 全产品之一.虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输, 但随着网络安

8、全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络 层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相 应的安全服务.另外还有多种防火墙产品正朝着数据安全与用户认证,防止病毒与黑客侵入等 方向发展. 三.病毒防护技术病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联，病毒的传播途径和速度 大大加快。 我们将病毒的途径分为：(1 ) 通过 FTP，电子邮件传播。(2) 通过软盘、光盘、磁带传播。(3) 通过 Web 游览传播，主要是恶意的 Java 控件网站。(4) 通过群件系统传播。病毒防护的主要技术如下：(1) 阻止病毒的传播。在防火墙

9、、代理服务器、SMTP 服务器、网络服务器、群件服务器上安装病毒过滤软件。 在桌面 PC 安装病毒监控软件。(2) 检查和清除病毒。使用防病毒软件检查和清除病毒。(3) 病毒数据库的升级。病毒数据库应不断更新，并下发到桌面系统。(4) 在防火墙、代理服务器及 PC 上安装 Java 及 ActiveX 控制扫描软件，禁止未经许可 的控件下载和安装。 四.入侵检测技术利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了 网络安全风险。但是，仅仅使用防火墙、网络安全还远远不够：(1) 入侵者可寻找防火墙背后可能敞开的后门。(2) 入侵者可能就在防火墙内。(3) 由于性能的

10、限制，防火焰通常不能提供实时的入侵检测能力。入侵检测系统是近年出现的新型网络安全技术，目的是提供实时的入侵检测及采取相应 的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击，其次它能够缩短 hacker 入侵的时间。入侵检测系统可分为两类： 基于主机 基于网络基于主机的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连接、系统日志 检查，非法访问的闯入等，并且提供对典型应用的监视如 Web 服务器应用。基于网络的入侵检测系统用于实时监控网络关键路径的信息，其基本模型如右图示：上述模型由四个部分组成：入侵检测系统的基本模型 (1)

11、 Passive protocol Analyzer 网络数据包的协议分析器、将结果送给模式匹部分并根据 需要保存。(2) Pattern-Matching Signature Analysis 根据协议分析器的结果匹配入侵特征，结 果传送给 Countermeasure 部分。(3) countermeasure 执行规定的动作。(4) Storage 保存分析结果及相关数据。基于主机的安全监控系统具备如下特点：(1) 精确，可以精确地判断入侵事件。(2) 高级，可以判断应用层的入侵事件。(3) 对入侵时间立即进行反应。(4) 针对不同操作系统特点。 (5) 占用主机宝贵资源。基于网络的安全

12、监控系统具备如下特点：(1) 能够监视经过本网段的任何活动。(2) 实时网络监视。(3) 监视粒度更细致。(4) 精确度较差。(5) 防入侵欺骗的能力较差。(6) 交换网络环境难于配置。基于主机及网络的入侵监控系统通常均可配置为分布式模式：(1) 在需要监视的服务器上安装监视模块(agent)，分别向管理服务器报告及上传证据， 提供跨平台的入侵监视解决方案。(2) 在需要监视的网络路径上，放置监视模块(sensor),分别向管理服务器报告及上传 证据，提供跨网络的入侵监视解决方案。选择入侵监视系统的要点是：(1) 协议分析及检测能力。(2) 解码效率(速度)。(3) 自身安全的完备性。(4)

13、精确度及完整度，防欺骗能力。(5) 模式更新速度。 五.安全扫描技术网络安全技术中，另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控 系统互相配合能够提供很高安全性的网络。安全扫描工具源于 Hacker 在入侵网络系统时采用的工具。商品化的安全扫描工具为网 络安全漏洞的发现提供了强大的支持。安全扫描工具通常也分为基于服务器和基于网络的扫描器。基于服务器的扫描器主要扫描服务器相关的安全漏洞，如 password 文件，目录和文件 权限，共享文件系统，敏感服务，软件，系统漏洞等，并给出相应的解决办法建议。通常与 相应的服务器操作系统紧密相关。基于网络的安全扫描主要扫描设定网络内的服务器

14、、路由器、网桥、变换机、访问服务 器、防火墙等设备的安全漏洞，并可设定模拟攻击，以测试系统的防御能力。通常该类扫描 器限制使用范围(IP 地址或路由器跳数)。网络安全扫描的主要性能应该考虑以下方面：(1) 速度。在网络内进行安全扫描非常耗时。(2) 网络拓扑。通过 GUI 的图形界面，可迭择一步或某些区域的设备。(3) 能够发现的漏洞数量。(4) 是否支持可定制的攻击方法。通常提供强大的工具构造特定的攻击方法。因为网络 内服务器及其它设备对相同协议的实现存在差别，所以预制的扫描方法肯定不能满足客户的 需求。(5) 报告，扫描器应该能够给出清楚的安全漏洞报告。(6) 更新周期。提供该项产品的厂商

15、应尽快给出新发现的安生漏洞扫描特性升级，并给 出相应的改进建议。安全扫描器不能实时监视网络上的入侵，但是能够测试和评价系统的安全性，并及时发 现安全漏洞。 六. 认证和数字签名技术认证技术主要解决网络通讯过程中通讯双方的身份认可，数字签名作为身份认证技术中 的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。认证技术将应用到企业网络中的以下方面：(1) 路由器认证，路由器和交换机之间的认证。(2) 操作系统认证。操作系统对用户的认证。(3) 网管系统对网管设备之间的认证。(4) VPN 网关设备之间的认证。(5) 拨号访问服务器与客户间的认证。(6) 应用服务器(如 Web S

16、erver)与客户的认证。(7) 电子邮件通讯双方的认证。数字签名技术主要用于：(1) 基于 PKI 认证体系的认证过程。(2) 基于 PKI 的电子邮件及交易(通过 Web 进行的交易)的不可抵赖记录。认证过程通常涉及到加密和密钥交换。通常，加密可使用对称加密、不对称加密及两种 加密方法的混合。UserName/Password 认证该种认证方式是最常用的一种认证方式，用于操作系统登录、telnet、rlogin 等，但由于此种认证方式过程不加密，即 password 容易被监听和解密。使用摘要算法的认证Radius(拨号认证协议)、路由协议(OSPF)、SNMP Security Protocol 等均使用共享的 Security Key，加上摘要算法(MD5)进行认证，由于摘要算法是一个不可逆的过程，因此， 在认证过程中，由摘要信息不能计算出共享的 security key，敏感信息不在网络上传输。 市场上主要采用的摘要算法有 MD5 和 SHA-1。基于 PKI 的认证使用公开密钥体系进行认证和加密。该种方法安全程度较