计算机网络安全技术
计算机网络安全技术
Computer Network Security Technology
李冬梅
(总后勤部油料研究所,北京 102300)
摘 要分析了计算机网络安全技术的最新发展,介绍了计算机安全体系可采用的各种加强手段,包括身份认证、防火墙、VPN、入侵检测、入侵防御以及反病毒技术。
关键词网络安全身份认证防火墙入侵检测
Abstract This article analyzes latest developments of the computer network security technology, and describes various enhancements that can be used in the computer security system, including identity authentication, firewall, VPN, intrusion detection, intrusion prevention and antivirus technology etc.
Keywords Network security Identity authentication Firewall Intrusion detection
0 引言
以Internet为代表的信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型的如行政部门业务系统、金融业务系统、企业商务系统等。伴随网络的普及,安全日益成为影响网络性能的重要问题,而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。网络安全问题越来越为世人所关注,如何有效地防止或检测对网络的攻击也成为当务之急。
1 身份认证技术
身份认证是对通信方进行身份确认的过程,用户向系统请求服务时要出示自己的身份证明。身份认证一般以电子技术、生物技术或电子技术与生物技术相结合来阻止非授权用户进入。常用的身份认证方法有口令认证法、基于“可信任的第三方”的认证机制和智能卡技术等。
口令认证法是通信双方事先约定的一个认证凭据,比如UserID 和Password,根据对方提供的凭据是否正确来判断对方的身份,这是最常用的认证方式。为了使口令更加安全,可以使用一次性口令认证,通过加密口令或修改加密口令的方法来提供更为强壮的口令认证机制。
“可信任的第三方”一般被称为CA(Certification Authority)。CA负责为用户注册证书和颁发证书,并保证其颁发的数字证书的有效性,以及当证书过期时宣布其不再有效。CA 执行用户或网络服务的安全确认。
智能卡技术是密钥的一种形式,由授权用户所持有并由该用户赋予它一个口令或密码,该密码与网络服务器上注册的密码一致。
一般来讲,身份认证往往和授权机制联系在一起,提供服务的一方,对申请服务的客户身份确认之后就需要向他授予相应的访问权限,规定客户可以访问的服务范围。
1
2 防火墙
防火墙可以对内外网络或者内部网络的不同信任域之间进行隔离,使所有经过防火墙的网络通信接受设定的访问控制。目前,防火墙技术主要分为包过滤、应用级网关、代理服务器和状态监测等。
包过滤防火墙是一种传统的访问控制技术,它是在网络层和传输层实现的。它根据分组包的源、宿地址、端口号、协议类型以及标志位来确定对分组包的控制规则,所有过滤依据的信息均源于IP、TCP或UDP协议的包头,数据包等信息首先进入防火墙,经过防火墙过滤后再进入目标网络。
应用级网关型防火墙在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时对数据包进行必要的分析,实现过滤控制应用层通信的功能。
代理服务器型防火墙使用一个软件包与中间节点连接,然后中间节点再与内部网络服务器直接相连,软件包完成客户程序代理服务功能。使用这种类型的防火墙,外部网络和内部网络之间不存在直接连接,而是通过防火墙连接和隔离。
状态监测防火墙是新一代的防火墙技术,监视并记录每一个有效连接的状态,根据这些信息决定网络数据包是否允许通过防火墙。
3 VPN——数据加密通道
VPN(虚拟专网)技术是指在公共网络中建立专用网络,数据通过安全的“加密管道”在公共网络中传播。VPN技术的核心是隧道技术,将专用网络的数据加密后,透过虚拟的公用网络隧道进行传输,建立一个虚拟通道,让两者感觉是在同一个网络上,可以安全且不受拘束地互相存取,从而防止敏感数据被窃。
4 数据加密
与防火墙配合使用的数据加密技术是为提高信息系统及数据的安全性和保密性,防止绝密信息被外部破坏所采用的主要技术手段之一。计算机网络的传输加密与通信加密类似,加密方式分为链路层加密、网络层加密、传输层加密和应用层加密等。
链路层加密通常采用硬件在网络层以下的物理层或数据链路层上实现。链路加密对报文的每一个比特进行加密,不但对报文正文加密,而且对报文中的路由信息、校验和控制信息等全部加密。它使用专用的链路加密设备,或通过使用一些链路层VPN技术如L2F、PPTP、L2TP,起到点对点加密通信的效果。
网络层加密通过网络层VPN技术来实现,最典型的就是IPSec。网络层VPN也需要对原始数据包进行多层包装,但最终形成的数据包是依靠第三层协议来进行传输的,本质上是端到端的数据通信。
传输层加密通道通常采用SSL技术,它介于应用协议和TCP/IP之间,为传输层提供安全性保证。
应用层加密与具体的应用类型结合紧密,典型的有SHTTP、SMIME等。SHTTP是面向消息的安全通信协议,可以为Web页面提供加密措施。SMIME则是一种电子邮件加密和数字签名技术。
5 入侵检测系统
2
入侵检测技术通过在计算机网络或计算机系统的关键点采集信息进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统(IDS,Intrusion Detection System一般分为基于主机的、基于网络的和基于网关的入侵检测系统。
基于主机的入侵检测系统(HIDS)通过监视与分析主机的审计记录来检测入侵。能否及时采集到审计是这些系统的弱点之一,入侵者会将主机审计子系统作为攻击目标以避开入侵检测系统。
基于网络的入侵检测系统通过在共享网段上对通信数据的侦听采集数据,分析可疑现象。这类系统不需要主机提供严格的审计,对主机资源消耗少,并可以提供对网络通用的保护而无需顾及异构主机的不同架构。
基于网关的入侵检测系统将新一代的高速网络与高速交换技术结合起来,通过对网关中相关信息的提取提供对整个信息基础设施的保护。
6 入侵防御系统
从功能上来看,IDS是一种并联在网络上的设备,绝大多数 IDS 系统都是被动的,只能被动地检测网络遭到了何种攻击,阻断攻击能力非常有限,一般只能通过发送TCP reset 包或联动防火墙来阻止攻击。也就是说,在攻击实际发生之前,它们往往无法预先发出警报。入侵防御系统(IPS, Intrusion Prevention System,也可称为IDP)则是一种主动积极的入侵防范、阻止系统,旨在预先对入侵活动和攻击性网络流量进行拦截,避免其造成任何损失,而不是简单地在恶意流量传送时或传送后才发出警报。它部署在网络的进出口处,当它检测到攻击企图后会自动地将攻击包丢掉或采取措施将攻击源阻断。入侵防御系统一般分为基于主机的、基于网络的和基于应用的入侵防护系统。
基于主机的入侵防护系统(HIPS) 通过在主机/服务器上安装软件代理程序,防止网络攻击入侵操作系统以及应用程序,从而保护服务器的安全弱点不被不法分子所利用。HIPS与具体的主机/服务器操作系统平台紧密相关,不同的平台需要不同的软件代理程序。
基于网络的入侵防护系统(NIPS)通过检测流经的网络流量提供对网络系统的安全保护。由于它采用在线连接方式,所以一旦辨识出入侵行为就可以取消整个网络会话,而不仅仅是复位会话。同样由于实时在线,NIPS需要具备很高的性能,以免成为网络的瓶颈,因此通常被设计成类似于交换机的网络设备,提供线速吞吐速率以及多个网络端口。
基于应用的入侵防护系统(AIP)是把基于主机的入侵防护扩展成为位于应用服务器之前的网络设备。AIP被设计成一种高性能的设备,配置在应用数据的网络链路上。
7 反病毒技术
从反病毒技术的发展逻辑讲,早期DOS操作系统的简单性导致了计算机病毒也相对简单,病毒一般只会感染文件或引导区,针对病毒的这种情况就出现了特征码杀毒技术。由于安全性较高和界面友好的Windows操作系统的出现,人们更加依赖电脑,这时,病毒也开始进化,变得更复杂,于是,反病毒产品中出现了实时监控系统。CIH病毒技术成熟后,越来越多的病毒作者开始编写能破坏硬件的病毒,而CIH病毒本身也出现了多个版本。为了解决病毒的善后问题,反病毒产品中就又融合进了硬盘备份恢复系统,在用户硬盘受到毁灭后仍能恢复关键数据。后来,邮件病毒产生了,大量的垃圾邮件使人们的工作受到了很大的影响。为了对付这种情况,邮件系统出现了,它会在人们收邮件的时候直接对邮件进行扫描,只要发现病毒就会直接删除病毒邮件。网络的发展使得黑客攻击变得普遍,于是,反病毒产品中
3
就又融合了能够防止黑客的个人防火墙功能。反病毒产品就是这样根据病毒的发展一步步地进行功能融合,造就了今天多功能融合的产品。
8 结束语
所谓网络的安全是一种相对的安全,并没有绝对的安全网络。一般来说,安全性越高,其实现就越复杂,费用也相应地越高。新的安全问题的出现需要新的技术和手段来解决,因此用户应该选择那些能够正视网络现存问题的技术。
参考文献
1 张耀疆编.聚焦黑客——攻击手段与防护策略.人民邮电出版社,2002.9
2 戴有炜.Windows 2000网络实用指南.清华大学出版社,2000.11
作者李冬梅,女,1966年1月生,高级工程师,硕士研究生,工作总后勤部油料研究所。
4