個人計算機的網(wǎng)絡安全研究
摘要:隨著計算機技術,以及網(wǎng)絡技術的發(fā)展,人們的學習、工作、生活等各個方面,越來越離不開計算機的幫助,尤其是電子商務大大改變?nèi)藗兊纳?,然而用戶的個人安全卻是目前非常嚴峻的問題,本文分析了造成計算機安全威脅的主要原因,以及一些防御措施。
關鍵詞:個人計算機網(wǎng)絡安全研究
0引言
網(wǎng)絡已經(jīng)成為了人類所構(gòu)建的最豐富多彩的虛擬世界,網(wǎng)絡的迅速發(fā)展,給我們的工作和學習生活帶來了巨大的改變。我們通過網(wǎng)絡獲得信息,共享資源。隨著網(wǎng)絡的延伸,安全問題受到人們越來越多的關注。在網(wǎng)絡日益復雜化,多樣化的今天,如何保護各類網(wǎng)絡和應用的安全,如何保護信息安全,成為了社會關注的重點。
1網(wǎng)絡的開放性帶來的安全問題
Internet的開放性以及其他方面因素導致了網(wǎng)絡環(huán)境下的計算機系統(tǒng)存在很多安全問題。為了解決這些安全問題,各種安全機制、策略和工具被研究和應用。然而,即使在使用了現(xiàn)有的安全工具和機制的情況下,網(wǎng)絡的安全仍然存在很大隱患,這些安全隱患主要可以歸結(jié)為以下幾點:
1.1每一種安全機制都有一定的應用范圍和應用環(huán)境
防火墻是一種有效的安全工具,它可以隱蔽內(nèi)部網(wǎng)絡結(jié)構(gòu),限制外部網(wǎng)絡到內(nèi)部網(wǎng)絡的訪問。但是對于內(nèi)部網(wǎng)絡之間的訪問,防火墻往往是無能為力的。因此,對于內(nèi)部網(wǎng)絡到內(nèi)部網(wǎng)絡之間的入侵行為和內(nèi)外勾結(jié)的入侵行為,防火墻是很難發(fā)覺和防范的。
1.2安全工具的使用受到人為因素的影響
一個安全工具能不能實現(xiàn)期望的效果,在很大程度上取決于使用者,包括系統(tǒng)管理者和普通用戶,不正當?shù)脑O置就會產(chǎn)生不安全因素。例如,NT在進行合理的設置后可以達到C2級的安全性,但很少有人能夠?qū)T本身的安全策略進行合理的設置。雖然在這方面,可以通過靜態(tài)掃描工具來檢測系統(tǒng)是否進行了合理的設置,但是這些掃描工具基本上也只是基于一種缺省的系統(tǒng)安全策略進行比較,針對具體的應用環(huán)境和專門的應用需求就很難判斷設置的正確性。
1.3系統(tǒng)的后門是傳統(tǒng)安全工具難于考慮到的地方
防火墻很難考慮到這類安全問題,多數(shù)情況下,這類入侵行為可以堂而皇之經(jīng)過防火墻而很難被察覺;比如說,眾所周知的ASP源碼問題,這個問題在IIS服務器4.0以前一直存在,它是IIS服務的設計者留下的一個后門,任何人都可以使用瀏覽器從網(wǎng)絡上方便地調(diào)出ASP程序的源碼,從而可以收集系統(tǒng)信息,進而對系統(tǒng)進行攻擊。對于這類入侵行為,防火墻是無法發(fā)覺的,因為對于防火墻來說,該入侵行為的訪問過程和正常的WEB訪問是相似的,唯一區(qū)別是入侵訪問在請求鏈接中多加了一個后綴。
1.4只要有程序,就可能存在BUG
甚至連安全工具本身也可能存在安全的漏洞。幾乎每天都有新的BUG被發(fā)現(xiàn)和公布出來,程序設計者在修改已知的BUG的同時又可能使它產(chǎn)生了新的BUG。系統(tǒng)的BUG經(jīng)常被黑客利用,而且這種攻擊通常不會產(chǎn)生日志,幾乎無據(jù)可查。比如說現(xiàn)在很多程序都存在內(nèi)存溢出的BUG,現(xiàn)有的安全工具對于利用這些BUG的攻擊幾乎無法防范。
1.5黑客的攻擊手段在不斷地更新,幾乎每天都有不同系統(tǒng)安全問題出現(xiàn)
然而安全工具的更新速度太慢,絕大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問題,這就使得它們對新出現(xiàn)的安全問題總是反應太慢。當安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時,其他的安全問題又出現(xiàn)了。因此,黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。
2計算機網(wǎng)絡安全防范策略
計算機網(wǎng)絡安全是一個復雜的系統(tǒng),國際上普遍認為,它不僅涉及到技術、設備、人員管理等范疇,還應該以法律規(guī)范作保證,只有各方面結(jié)合起來,相互彌補,不斷完善,才能有效地實現(xiàn)網(wǎng)絡信息安全。保障網(wǎng)絡信息系統(tǒng)的安全必須構(gòu)建一個全方位、立體化的防御系統(tǒng)。這個防御體系應包括技術因素和非技術因素,其中技術防范措施主要包括:對計算機實行物理安全防范、防火墻技術、加密技術、密碼技術和數(shù)字簽名技術、完整性檢查、反病毒檢查技術、安全通信協(xié)議等等。非技術性因素則包括:管理方面的SSL安全措施、法律保護、政策引導等等。這里我們僅從主要技術的角度探討網(wǎng)絡信息安全的策略。
2.1防火墻技術
防火墻是近期發(fā)展起來的一種保護計算機網(wǎng)絡安全的技術性措施。它是一種將內(nèi)部網(wǎng)絡和外部網(wǎng)絡分開的方法,實際上是一種隔離控制技術。用專業(yè)言來說,所謂防火墻就是一個或一組網(wǎng)絡設備計算機或路由器等。從理論上講,防火墻是由軟件和硬件兩部分組成。防火墻是在某個機構(gòu)的內(nèi)部網(wǎng)絡和不安全的外部網(wǎng)絡之間設置障礙,阻止對信息資源的非法訪問,也可以阻止保密信息從受保護的網(wǎng)絡上非法輸出。防火墻最有效的網(wǎng)絡安全措施之一。防火墻的是已成為實現(xiàn)安全策略的最有效工具之一,并被廣泛應用在Internet上。防火墻的基本實現(xiàn)技術主要有3種:包括過濾技術,應用層網(wǎng)關(代理服務)技術和狀態(tài)監(jiān)視器技術。
2.2數(shù)據(jù)加密與用戶授權(quán)訪問控制技術
與防火墻相比,數(shù)據(jù)加密與用戶授權(quán)訪問控制技術比較靈活,更加適用于開放的網(wǎng)絡。用戶授權(quán)訪問控制主要用于對靜態(tài)信息的保護,需要系統(tǒng)級別的支持,一般在操作系統(tǒng)中實現(xiàn)。
2.3入侵檢測技術
入侵檢測系統(tǒng)(IntrusionDetectionSystem簡稱IDS)是從多種計算機系統(tǒng)及網(wǎng)絡系統(tǒng)中收集信息,再通過這此信息分析入侵特征的網(wǎng)絡安全系統(tǒng)。IDS被認為是防火墻之后的第二道安全閘門,它能使在入侵攻擊對系統(tǒng)發(fā)生危害前,檢測到入侵攻擊,并利用報警與防護系統(tǒng)驅(qū)逐入侵攻擊;在入侵攻擊過程中,能減少入侵攻擊所造成的損失;在被入侵攻擊后,收集入侵攻擊的相關信息,作為防范系統(tǒng)的知識,添加入策略集中,增強系統(tǒng)的防范能力,避免系統(tǒng)再次受到同類型的入侵。入侵檢測技術的功能主要體現(xiàn)在以下方面:監(jiān)視分析用戶及系統(tǒng)活動,查找非法用戶和合法用戶的越權(quán)操作;檢測系統(tǒng)配置的正確性和安全漏洞,并提示管理員修補漏洞;識別反映已知進攻的活動模式并向相關人士報警;對異常行為模式的統(tǒng)計分析;能夠?qū)崟r地對檢測到的入侵行為進行反應;評估重要系統(tǒng)和數(shù)據(jù)文件的完整性;可以發(fā)現(xiàn)新的攻擊模式。
2.4防病毒技術
隨著計算機技術的不斷發(fā)展,計算機病毒變得越來越復雜和高級,對計算機信息系統(tǒng)構(gòu)成極大的威脅。在病毒防范中普遍使用的防病毒軟件,從功能上可以分為網(wǎng)絡防病毒軟件和單機防病毒軟件兩大類。單機防病毒軟件一般安裝在單臺PC上,即對本地和本地工作站連接的遠程資源采用分析掃描的方式檢測、清除病毒。網(wǎng)絡防病毒軟件則主要注重網(wǎng)絡防病毒,一旦病毒入侵網(wǎng)絡或者從網(wǎng)絡向其它資源傳染,網(wǎng)絡防病毒軟件會立刻檢測到并加以刪除。
參考文獻:
[1]祁明.電子商務實用教程.北京:高等教育出版社.2000.
[2]蔡皖東.網(wǎng)絡與信息安全.西安:西北工業(yè)大學出版社.2004.
[3]李海泉.李健.計算機系統(tǒng)安全技術.北京.人民郵電出版社.2001.
[4]李安平.防火墻的安全性分析.[J].計算機安全.2007年07期.
[5]閆宏生,王雪莉,楊軍.計算機網(wǎng)絡安全與防護IM].2007.
[6]劉占全.網(wǎng)絡管理與防火墻IM].北京.人民郵電出版社.1999.
[7]夏志向,張洪克.網(wǎng)絡安全性的研究與實現(xiàn).[J].計算機安全.2006年08期.