網絡安全技術的探讨

　　摘要：随着計算機技術的發展，在計算機上處理業務已由基于單機的數學運算、檔案處理，基于簡單連結的内部網絡的内部業務處理、辦公自動化等發展到基于企業複雜的内部網、企業外部網、全球網際網路的企業級計算機處理系統和世界範圍内的資訊共享和業務處理。在資訊處理能力提高的同時，系統的連結能力也在不斷的提高。但在連結資訊能力、流通能力提高的同時，基于網絡連接配接的安全問題也日益突出。不論是外部網還是内部網的網絡都會受到安全的問題。

　　關鍵字：網絡、防火牆（firewall）、黑客、Internet

　　網絡安全技術的探讨

　　過去兩個世紀來對工業技術的控制，代表了一個國家的軍事實力和經濟實力，今天，對資訊技術的控制将是上司21世紀的關鍵。有人說，資訊安全就像茫茫宇宙中閃爍的星星一樣無序，看得見摸不着，具有混沌特征。

　　随着計算機技術的發展，在計算機上處理業務已由基于單機的數學運算、檔案處理，基于簡單連結的内部網絡的内部業務處理、辦公自動化等發展到基于企業複雜的内部網、企業外部網[W1] 、全球網際網路的企業級計算機處理系統和世界範圍内的資訊共享和業務處理。在資訊處理能力提高的同時，系統的連結能力也在不斷的提高。但在連結資訊能力、流通能力提高的同時，基于網絡連接配接的安全問題也日益突出。本文主要從以下幾個方面進行探讨：

　　一、網絡的開放性帶來的安全問題 

　　Internet的開放性以及其他方面因素導緻了網絡環境下的計算機系統存在很多安全問題。為了解決這些安全問題，各種安全機制、政策和工具被研究和應用。然而，即使在使用了現有的安全工具和機制的情況下，網絡的安全仍然存在很大隐患，這些安全隐患主要可以歸結為以下幾點：

    (1) 每一種安全機制都有一定的應用範圍和應用環境。防火牆是一種有效的安全工具，它可以隐蔽内部網絡結構，限制外部網絡到内部網絡的通路。但是對于内部網絡之間的通路，防火牆往往是無能為力的。是以，對于内部網絡到内部網絡之間的入侵行為和内外勾結的入侵行為，防火牆是很難發覺和防範的。

　　(2)安全工具的使用受到人為因素的影響。一個安全工具能不能實作期望的效果，在很大程度上取決于使用者，包括系統管理者和普通使用者，不正當的設定就會産生不安全因素。例如，NT在進行合理的設定後可以達到C2級的安全性，但很少有人能夠對NT本身的安全政策進行合理的設定。雖然在這方面，可以通過靜态掃描工具來檢測系統是否進行了合理的設定，但是這些掃描工具基本上也隻是基于一種預設的系統安全政策進行比較，針對具體的應用環境和專門的應用需求就很難判斷設定的正确性。

　　(3)系統的後門是傳統安全工具難于考慮到的地方。防火牆很難考慮到這類安全問題，多數情況下，這類入侵行為可以堂而皇之經過防火牆而很難被察覺；比如說，衆所周知的ASP源碼問題，這個問題在IIS伺服器4.0以前一直存在，它是IIS服務的設計者留下的一個後門，任何人都可以使用浏覽器從網絡上友善地調出ASP程式的源碼，進而可以收集系統資訊，進而對系統進行攻擊。對于這類入侵行為，防火牆是無法發覺的，因為對于防火牆來說，該入侵行為的通路過程和正常的WEB通路是相似的，唯一差別是入侵通路在請求連結中多加了一個字尾。

　　(4)隻要有程式，就可能存在BUG。甚至連安全工具本身也可能存在安全的漏洞。幾乎每天都有新的BUG被發現和公布出來，程式設計者在修改已知的BUG的同時又可能使它産生了新的BUG。系統的BUG經常被黑客利用，而且這種攻擊通常不會産生日志，幾乎無據可查。比如說現在很多程式都存在記憶體溢出的BUG，現有的安全工具對于利用這些BUG的攻擊幾乎無法防範。

　　(5)黑客的攻擊手段在不斷地更新，幾乎每天都有不同系統安全問題出現。然而安全工具的更新速度太慢，絕大多數情況需要人為的參與才能發現以前未知的安全問題，這就使得它們對新出現的安全問題總是反應太慢。當安全工具剛發現并努力更正某方面的安全問題時，其他的安全問題又出現了。是以，黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。

　　二、網絡安全的防護力漏洞，導緻黑客在網上任意暢行

　　● 根據Warroon Research的調查，1997年世界排名前一千的公司幾乎都曾被黑客闖入。

　　● 據美國FBI統計，美國每年因網絡安全造成的損失高達75億美元。

　　● Ernst和Young報告，由于資訊安全被竊或濫用，幾乎80%的大型企業遭受損失

　　●在最近一次黑客大規模的攻擊行動中，雅虎網站的網絡停止運作3小時，這令它損失了幾百萬美金的交易。而據統計在這整個行動中美國經濟共損失了十多億美金。由于業界人心惶惶，亞馬遜(Amazon.com)、AOL、雅虎(Yahoo!)、eBay的股價均告下挫，以科技股為主的那斯達克指數(Nasdaq)打破過去連續三天創下新高的升勢，下挫了六十三點，杜瓊斯工業平均指數周三收市時也跌了二百五十八點。看到這些令人震驚的事件，不禁讓人們發出疑問：“網絡還安全嗎？”

　　據不完全統計目前，我國網站所受到黑客的攻擊，還不能與美國的情況相提并論，因為我們在使用者數、使用者規模上還都處在很初級的階段，但以下事實也不能不讓我們深思：

    1993年底，中科院高能所就發現有“黑客”侵入現象，某使用者的權限被更新為超級權限。當系統管理者跟蹤時，被其報複。1994年，美國一位14歲的小孩通過網際網路闖入中科院網絡中心和清華的主機，并向我方系統管理者提出警告。  

　　1996年，高能所再次遭到“黑客”入侵，私自在高能所主機上建立了幾十個帳戶，經追蹤發現是國内某撥号上網的使用者。

　　同期，國内某ISP發現“黑客”侵入其主伺服器并删改其帳号管理檔案，造成數百人無法正常使用。

　　1997年，中科院網絡中心的首頁面被“黑客”用魔鬼圖替換。

　　進入1998年，黑客入侵活動日益猖獗，國内各大網絡幾乎都不同程度地遭到黑客的攻擊：

　　2月，廣州視聆通被黑客多次入侵，造成4小時的系統失控；

　　4月，貴州資訊港被黑客入侵，首頁被一幅淫穢圖檔替換；

　　5月，大連ChinaNET節點被入侵，使用者密碼被盜；

　　6月，上海熱線被侵入，多台伺服器的管理者密碼被盜，數百個使用者和從業人員的賬号和密碼被竊取；

　　7月，江西169網被黑客攻擊，造成該網3天内中斷網絡運作2次達30個小時，工程驗收推遲20天；同期，上海某證券系統被黑客入侵；

　　8月，印尼事件激起中國黑客集體入侵印尼網點，造成印尼多個網站癱瘓，但與此同時，中國的部分站點遭到印尼黑客的報複；同期，西安某銀行系統被黑客入侵後，提走80.6萬元現金。

　　9月，揚州某銀行被黑客攻擊，利用虛存帳号提走26萬元現金。

　　10月，福建省圖書館首頁被黑客替換。

　　三、網絡安全體系的探讨

　　現階段為了保證網絡工作順通常用的方法如下：

　　1、網絡病毒的防範。在網絡環境下，病毒 傳播擴散快，僅用單機防病毒産品已經很難徹底清除網絡病毒，必須有适合于區域網路的全方位防病毒産品。校園網絡是内部區域網路，就需要一個基于伺服器作業系統平台的防病毒軟體和針對各種桌面作業系統的防病毒軟體。如果與網際網路相連，就需要網關的防病毒軟體，加強上網計算機的安全。如果在網絡内部使用電子郵件進行資訊交換，還需要一套基于郵件伺服器平台的郵件防病毒軟體，識别出隐藏在電子郵件和附件中的病毒。是以最好使用全方位的防病毒産品，針對網絡中所有可能的病毒攻擊點設定對應的防病毒軟體，通過全方位、多層次的防病毒系統的配置，通過定期或不定期的自動更新，使網絡免受病毒的侵襲。

　　2、配置防火牆。利用防火牆，在網絡通訊時執行一種通路控制尺度，允許防火牆同意通路的人與資料進入自己的内部網絡，同時将不允許的使用者與資料拒之門外，最大限度地阻止網絡中的黑客來通路自己的網絡，防止他們随意更改、移動甚至删除網絡上的重要資訊。防火牆是一種行之有效且應用廣泛的網絡安全機制，防止Internet上的不安全因素蔓延到區域網路内部，是以，防火牆是網絡安全的重要一環。

　　3、采用入侵檢測系統。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未 授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全政策行為的技術。在入侵檢測系統中利用審計記錄，入侵檢測系統能夠識别出任何不希望有的活動，進而達到限制這些活動，以保護系統的安全。在校園網絡中采用入侵檢測技術，最好采用混合入侵檢測，在網絡中同時采用基于網絡和基于主機的入侵檢測系統，則會構架成一套完整立體的主動防禦體系。

　　4、Web，Email，BBS的安全監測系統。在網絡的www伺服器、Email伺服器等中使用網絡安全監測系統，實時跟蹤、監視網絡， 截獲Internet網上傳輸的内容，并将其還原成完整的www、Email、FTP、Telnet應用的内容 ，建立儲存相應記錄的資料庫。及時發現在網絡上傳輸的非法内容，及時向上級安全網管中 心報告，采取措施。

　　5、漏洞掃描系統。解決網絡層安全問題，首先要清楚網絡中存在哪些安全隐患、脆弱點。面對大型網絡的複雜性和不斷變化的情況，僅僅依靠網絡管理者的技術和經驗尋找安全漏洞、做出風險評估，顯然是不現實的。解決的方案是，尋找一種能查找網絡安全漏洞、評估并提出修改建議的網絡 安全掃描工具，利用優化系統配置和打更新檔等各種方式最大可能地彌補最新的安全漏洞和消除安全隐患。在要求安全程度不高的情況下，可以利用各種黑客工具，對網絡模拟攻擊進而暴露出網絡的漏洞。

　　6、IP盜用問題的解決。在路由器上捆綁IP和MAC位址。當某個IP通過路由器通路Internet時，路由器要檢查發出這個IP廣播包的工作站的MAC是否與路由器上的MAC位址表相符，如果相符就放行。否則不允許通過路由器，同時給發出這個IP廣播包的工作站傳回一個警告資訊。

　　7、利用網絡監聽維護子網系統安全。對于網絡外部的入侵可以通過安裝防火牆來解決，但是對于網絡内部的侵襲則無能為力。在這種情況下，我們可以采用對各個子網做一個具有一定功能的審計檔案，為管理人員分析自己的網絡運作狀态提供依據。設計一個子網專用的監聽程式。該軟體的主要功能為長期監聽子網絡内計算機間互相聯系的情況，為系統中各個伺服器的審計檔案提供備份。

　　總之，網絡安全是一個系統的工程，不能僅僅依靠防火牆等單個的系統，而需要仔細考慮系統的安全需求，并将各種安全技術，如密碼技術等結合在 一起，才能生成一個高效、通用、安全的網絡系統。