網路安全技術探討論文

【導語】網際網路的開放性以及其他方面因素導致了網路環境下的計算機系統存在很多安全問題。為了解決這些安全問題，各種安全機制、策略和工具被研究和應用。 以下關於 網路安全技術探討論文，希望您駐足閱讀!

　摘要  隨著計算機技術的快速普及和發展,在計算機上處理業務已由傳統單機內部網路業務處理、辦公自動化等發展到基於企業複雜的內部網、企業外部網、全球網際網路的企業級計算機處理系統和世界範圍內的資訊共享和業務處理。在資訊處理能力提高的同時,系統的連結能力也在不斷的提高。但在連結資訊能力、流通能力提高的同時,基於網路連線的安全問題也日益突出。不論是外部網還是內部網都會安全問題。

　關鍵詞   網路;防火牆(firewall);黑客;Internet

有人說,資訊保安就像茫茫宇宙中閃爍的星星一樣無序,看得見摸不著,具有混沌特徵。過去兩個世紀來對工業技術的控制,代表了一個國家的軍事實力和經濟實力,今天,對資訊科技的控制將是領導21世紀的關鍵。

隨著計算機技術的發展,在計算機上處理業務已由基於單機的數學運算、檔案處理,基於簡單連結的內部網路的內部業務處理、辦公自動化等發展到基於企業複雜的內部網、企業外部網、全球網際網路的企業級計算機處理系統和世界範圍內的資訊共享和業務處理。在資訊處理能力提高的同時,系統的連結能力也在不斷的提高。但在連結資訊能力、流通能力提高的同時,基於網路連線的安全問題也日益突出。本文主要從以下幾個方面進行探討。

1網路的開放性帶來的安全問題

Internet的開放性以及其他方面因素導致了網路環境下的計算機系統存在很多安全問題。為了解決這些安全問題,各種安全機制、策略和工具被研究和應用。然而,即使在使用了現有的安全工具和機制的情況下,網路的安全仍然存在很大隱患,這些安全隱患主要可以歸結為以下幾點:

(1)每一種安全機制都有一定的應用範圍和應用環境。防火牆是一種有效的安全工具,它可以隱蔽內部網路結構,限制外部網路到內部網路的訪問。但是對於內部網路之間的訪問,防火牆往往是無能為力的。因此,對於內部網路到內部網路之間的入侵行為和內外勾結的入侵行為,防火牆是很難發覺和防範的。

(2)安全工具的使用受到人為因素的影響。一個安全工具能不能實現期望的效果,在很大程度上取決於使用者,包括系統管理者和普通使用者,不正當的設定就會產生不安全因素。而且安全工具也存在著自身的漏洞,不及時的更新很容易被別人利用漏洞成為攻擊的工具。

(3)系統的後門是傳統安全工具難於考慮到的地方。防火牆很難考慮到這類安全問題,多數情況下,這類入侵行為可以堂而皇之經過防火牆而很難被察覺;比如說,眾所周知的ASP原始碼問題,這個問題在IIS伺服器4.省略)、AOL、雅虎(Yahoo!)、eBay的股價均告下挫,以科技股為主的那斯達克指數(Nasdaq)、杜瓊斯工業平均指數因此雙雙下挫。看到這些令人震驚的事件,不禁讓人們發出疑問:“網路還安全嗎?” 

這是web程式的漏洞,是由於程式設計師的疏乎所造成。這次僅僅是被人換成個“工行倒閉”,然後發給別人看,這算不了什麼大不了的,也就是好玩而已。但是這個地方竟然可以嵌入html程式碼,這可就太糟糕了。一旦可以用html程式碼,就不是修改一點點文字,而是可以改變頁面的功能了。比如說,我們在另外一個站點放一個輸入使用者名稱密碼的對話方塊,然後用 iframe把這個頁面嵌入到工行的網站上,然後用“新年禮品”之類的方式騙別人輸入網上銀行的賬號密碼,有多少人會上當?其實問題很容易解決,一是,廣大公司能請一些精通安全程式設計的高階程式設計師來為自己量身打造web程式,二是請安全檢測公司對上線前的.web程式進行安全檢測,以確保安全。

2網路安全體系的探討

現階段為了保證網路工作順通常用的方法如下:

(1)網路病毒的防範。在網路環境下,病毒傳播擴散快,僅用單機防病毒產品已經很難徹底清除網路病毒,必須有適合於區域網的全方位防病毒產品。內部區域網需要一個基於伺服器作業系統平臺的防病毒軟體和針對各種桌面作業系統的防病毒軟體。如果與網際網路相連,就需要閘道器的防病毒軟體,加強上網計算機的安全。如果在網路內部使用電子郵件進行資訊交換,還需要一套基於郵件伺服器平臺的郵件防病毒軟體,識別出隱藏在電子郵件和附件中的病毒。所以最好使用全方位的防病毒產品,針對網路中所有可能的病毒攻擊點設定對應的防病毒軟體,通過全方位、多層次的防病毒系統的配置,通過定期或不定期的自動升級,使網路免受病毒的侵襲。

(2)配置防火牆。利用防火牆,在網路通訊時執行一種訪問控制尺度,允許防火牆同意訪問的人與資料進入自己的內部網路,同時將不允許的使用者與資料拒之門外,最大限度地阻止網路中的黑客來訪問自己的網路,防止他們隨意更改、移動甚至刪除網路上的重要資訊。防火牆是一種行之有效且應用廣泛的網路安全機制,防止Internet上的不安全因素蔓延到區域網內部,所以,防火牆是網路安全的重要一環。

(3)採用入侵檢測系統。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現並報告系統中未授權或異常現象的技術,是一種用於檢測計算機網路中違反安全策略行為的技術。在入侵檢測系統中利用審計記錄,入侵檢測系統能夠識別出任何不希望有的活動,從而達到限制這些活動,以保護系統的安全。在校園網路中採用入侵檢測技術,最好採用混合入侵檢測,在網路中同時採用基於網路和基於主機的入侵檢測系統,則會構架成一套完整立體的主動防禦體系。

(4)Web,Email,BBS的安全監測系統。在網路的www伺服器、Email伺服器等中使用網路安全監測系統,實時跟蹤、監視網路,截獲Internet網上傳輸的內容,並將其還原成完整的www、Email、FTP、Telnet應用的內容,建立儲存相應記錄的資料庫。及時發現在網路上傳輸的非法內容,及時向上級安全網管中心報告,採取措施。

(5)漏洞掃描系統。解決網路層安全問題,首先要清楚網路中存在哪些安全隱患、脆弱點。面對大型網路的複雜性和不斷變化的情況,僅僅依靠網路管理員的技術和經驗尋找安全漏洞、做出風險評估,顯然是不現實的。解決的方案是,尋找一種能查詢網路安全漏洞、評估並提出修改建議的網路?安全掃描工具,利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下,可以利用各種黑客工具,對網路模擬攻擊從而暴露出網路的漏洞。

(6)IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時,路由器要檢查發出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,如果相符就放行。否則不允許通過路由器,同時給發出這個IP廣播包的工作站返回一個警告資訊。

(7)利用網路監聽維護子網系統安全。對於網路外部的入侵可以通過安裝防火牆來解決,但是對於網路內部的侵襲則無能為力。在這種情況下,我們可以採用對各個子網做一個具有一定功能的審計檔案,為管理人員分析自己的網路運作狀態提供依據。設計一個子網專用的監聽程式。該軟體的主要功能為長期監聽子網路內計算機間相互聯絡的情況,為系統中各個伺服器的審計檔案提供備份。

總之,網路安全是一個系統的工程,不能僅僅依靠防火牆等單個的系統,而需要仔細考慮系統的安全需求,並將各種安全技術,如密碼技術等結合在一起,才能生成一個高效、通用、安全的網路系統。

參考文獻

[1]盧開澄.計算機密碼學――計算機網路中的資料預安全[J].清華大學出版社,1998.

[2]餘建斌.黑客的攻擊手段及使用者對策[M].北京:北京人民郵電出版社,1998.

[3]蔡立軍.計算機網路安全技術[M].北京:中國水利水電出版社,2002.

[4]鄧文淵,陳惠貞,陳俊榮.ASP與網路資料庫技術[M].北京:中國鐵道出版社,2003,(4).