网络安全研究.doc

网络平安研究 网络平安计算机网络平安防范 随着计算机技术的开展，在计算机上处理业务已由单机处理功能开展到面向内部局域网 、全球互联网的世界范围内的信息共享和业务处理功能。在信息处理能力提高的同时， 基于网络连接的平安问题也日益突出，探讨了网络平安的现状及问题由来以及几种主要 网络平安技术。 随着计算机网络的开展，其开放性，共享性，互连程度扩大，网络的重要性和对社会的 影响也越来越大。而网络平安问题显得越来越重要了。国际标准化组织〔ISO〕将"计算 机平安〞定义为："为数据处理系统建立和采取的技术和管理的平安保护，保护计算机硬 件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏〞，上述计算机平安的定 义包含物理平安和逻辑平安两方面的内容，其逻辑平安的内容可理解为我们常说的信息 平安，是指对信息的保密性、完整性和可用性的保护，而网络平安性的含义是信息平安 的引申，即网络平安是对网络信息保密性、完整性和可用性的保护。 一、网络的开放性带来的平安问题 众所周知，Internet是开放的，而开放的信息系统必然存在众多潜在的平安隐患，黑客 和反黑客、破坏和反破坏的斗争仍将继续。在这样的斗争中，平安技术作为一个独特的 领域越来越受到全球网络建设者的关注。为了解决这些平安问题，各种平安机制、策略 和工具被研究和应用。然而，即使在使用了现有的平安工具和机制的情况下，网络的平 安仍然存在很大隐患，这些平安隐患主要可以归结为以下几点： 〔一〕每一种平安机制都有一定的应用范围和应用环境 防火墙是一种有效的平安工具，它可以隐蔽内部网络结构，限制外部网络到内部网络的 访问。但是对于内部网络之间的访问，防火墙往往是无能为力的。因此，对于内部网络 到内部网络之间的入侵行为和内外勾结的入侵行为，防火墙是很难觉察和防范的。 〔二〕平安工具的使用受到人为因素的影响 一个平安工具能不能实现期望的效果，在很大程度上取决于使用者，包括系统管理者和 普通用户，不正当的设置就会产生不平安因素。例如，NT在进行合理的设置后可以到达 C2级的平安性，但很少有人能够对NT本身的平安策略进行合理的设置。虽然在这方面， 可以通过静态扫描工具来检测系统是否进行了合理的设置，但是这些扫描工具根本上也 只是基于一种缺省的系统平安策略进行比拟，针对具体的应用环境和专门的应用需求就 很难判断设置的正确性。 〔三〕系统的后门是传统平安工具难于考虑到的地方 防火墙很难考虑到这类平安问题，多数情况下这类入侵行为可以堂而皇之经过防火墙而 很难被觉察。比方说，众所周知的ASP源码问题，这个问题在IIS效劳器4.0以前一直存在 ，它是IIS效劳的设计者留下的一个后门，任何人都可以使用浏览器从网络上方便地调出 ASP程序的源码，从而可以收集系统信息，进而对系统进行攻击。对于这类入侵行为，防 火墙是无法觉察的，因为对于防火墙来说，该入侵行为的访问过程和正常的WEB访问是相 似的，唯一区别是入侵访问在请求链接中多加了一个后缀。 〔四〕只要有程序，就可能存在BUG 甚至连平安工具本身也可能存在平安的漏洞。几乎每天都有新的BUG被发现和公布出来， 程序设计者在修改的BUG的同时又可能使它产生了新的BUG。系统的BUG经常被黑客利用， 而且这种攻击通常不会产生日志，几乎无据可查。比方说现在很多程序都存在内存溢出 的BUG，现有的平安工具对于利用这些BUG的攻击几乎无法防范。 〔五〕黑客的攻击手段在不断地更新，几乎每天都有不同系统平安问题出现 然而平安工具的更新速度太慢，绝大多数情况需要人为的参与才能发现以前未知的平安 问题，这就使得它们对新出现的平安问题总是反响太慢。当平安工具刚发现并努力更正 某方面的平安问题时，其他的平安问题又出现了。因此，黑客总是可以使用先进的、平 安工具不知道的手段进行攻击。 二、网络平安的主要技术 平安是网络赖以生存的保障，只有平安得到保障，网络才能实现自身的价值。网络平安 技术随着人们网络实践的开展而开展，其涉及的技术面非常广，主要的技术如认证、加 密、防火墙及入侵检测是网络平安的重要防线。 〔一〕认证 对合法用户进行认证可以防止非法用户获得对公司信息系统的访问，使用认证机制还可 以防止合法用户访问他们无权查看的信息。 〔二〕数据加密 加密就是通过一种方式使信息变得混乱，从而使未被授权的人看不懂它。主要存在两种 主要的加密类型：私匙加密和公匙加密。 1.私匙加密。私匙加密又称对称密匙加密，因为用来加密信息的密匙就是解密信息所使 用的密匙。私匙加密为信息提供了进一步的紧密性，它不提供认证，因为使用该密匙的 任何人都可以创立、加密和平共处送一条有效的消息。这种加密方法的优点是速度很快 ，很容易在硬件和软件中实现。 2.公匙加密。公匙加密比私匙加密出现得晚，私匙加密使用同一个密匙加密和解密，