|
|
|
在网络安全的防护方面,主要的技术手段包括防火墙、入侵检测、病毒扫描、安全扫描、日志审计、网页防篡改、私自拨号检测、PKI技术和服务等。下面就几个主要的方面进行进一步说明。
|
|
|
|
|
|
防火墙是一种综合性的技术,涉及到计算机网络技术、密码技术、安全技术、软件技术、安全协议、网络标准化组织的安全规范,以及安全操作系统等方面。防火墙的主要目标是控制出入一个网络的权限,并迫使所有的连接都经过这样的检查,它主要可以分为以下5种类型。
|
|
|
|
(1)包过滤防火墙。也称为访问控制表。它根据定义好的过滤规则审查每个数据包,并根据是否与规则匹配来决定是否能够通过。
|
|
|
|
(2)应用网关防火墙。是指在网关上执行一些特定的应用程序和服务器程序,以实现协议过滤和转发功能。
|
|
|
|
(3)代理服务器防火墙。主要使用代理技术来阻断内部网络和外部网络之间的通信,达到隐蔽内部网络的目的。
|
|
|
|
(4)状态检测防火墙。也称为自适应防火墙、动态包过滤防火墙,通过状态检测技术记录、维护各个连接的协议状态,并对IP包进行分析,决定是否能够通过,它具有很高的效率。
|
|
|
|
(5)自适应代理技术。自适应代理根据用户的安全策略,动态地适应传输中的分组流量。它整合了动态包过滤防火墙和应用代理技术,本质上是状态检测防火墙。
|
|
|
|
由于防火墙主要用于限制保护的网络和因特网之间或与其他网络之间进行相互的信息存取、传递操作,它处于内部网络和外部网络之间,因此网络应用受到结构性限制,内部安全隐患仍然存在,效率较低,而故障率较高。这些问题导致了:
|
|
|
|
|
|
|
|
(3)不能防止内部用户因误操作而造成的口令失密及受到的攻击;
|
|
|
|
|
|
|
|
入侵检测是指监视或在可能的情况下,阻止入侵者试图控制自己的系统或网络资源的各种努力。它是用于检测任何损害或企图损害系统的机密性、完整性或可用性的行为的一种网络安全技术。它通过监视受保护系统的状态和活动,采用异常检测或误用检测的方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段。
|
|
|
|
入侵检测系统要解决的最基本的两个问题是如何充分并可靠地提取描述行为特征的数据,以及如何根据特征数据,高效并准确地判断行为的性质。由系统的构成来说,通常包括数据源(原始数据)、分析引擎(通过异常检测或误用检测进行分析)和响应(对分析结果采用必要和适当的措施)三个模块。
|
|
|
|
入侵检测系统所采用的技术可分为特征检测与异常检测两种。
|
|
|
|
(1)特征检测。假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象,又不会将正常的活动包含进来。
|
|
|
|
(2)异常检测。假设入侵者活动异常于正常主体的活动,根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。
|
|
|
|
入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。据公安部计算机信息系统安全产品质量监督检验中心的报告,国内送检的入侵检测产品中95%是属于使用入侵模板进行模式匹配的特征检测产品,其他5%是采用概率统计的统计检测产品与基于日志的专家知识库系统产品。
|
|
|
|
(1)特征检测。对已知的攻击或入侵的方式做出确定性的描述,形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时,即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高,但对于无经验知识的入侵与攻击行为无能为力。
|
|
|
|
(2)统计检测。统计模型常用于异常检测,在统计模型中常用的测量参数包括审计事件的数量、间隔时间及资源消耗情况等。常用的入侵检测5种统计模型为操作模型、方差、多元模型、马尔柯夫过程模型和时间序列分析。统计方法的最大点是它可以“学习”用户的使用习惯,从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律,从而穿过入侵检测系统。
|
|
|
|
(3)专家系统。用专家系统对入侵进行检测,经常针对的是有特征入侵行为。所谓的规则,即是知识,不同的系统与设置具有不同的规则,且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性,知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达是入侵检测专家系统的关键。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。
|
|
|
|
|
|
病毒是指一段可执行的程序代码,通过对其他程序进行修改来感染这些程序,使其含有该病毒的一个备份,并且可以在特定的条件下进行破坏。因此在其整个生命周期中包括潜伏、繁殖(也就是复制、感染阶段)、触发和执行4个阶段。
|
|
|
|
对于病毒的防护而言,最彻底的方法是不允许其进入系统,但这是很困难的,因此大多数情况下,采用“检测—标识—清除”的策略来应对。在病毒防护的发展史上,共经历了以下几个阶段。
|
|
|
|
|
|
(2)启发式扫描程序。不依赖专门的签名,而使用启发式规则来搜索可能被病毒感染的程序,还包括诸如完整性检查等手段。
|
|
|
|
(3)行为陷阱。即用一些存储器驻留程序,通过病毒的动作来识别病毒。
|
|
|
|
(4)全方位保护。结合以上反病毒技术组织的软件包,包括扫描和行为陷阱。
|
|
|
|
特洛伊木马(Trojans)是指一个正常的文件被修改成包含非法程序的文件。特洛伊木马通常包含具有管理权限的指令,它们可以隐藏自己的行踪(没有普通的窗口等提示信息),而在后台运行,并将重要的账号、密码等信息发回给黑客,以便进一步攻击系统。
|
|
|
|
木马程序一般由两部分组成,分别是Server(服务)端程序和Client(客户)端程序。其中Server端程序安装在被控制计算机上,Client端程序安装在控制计算机上,Server端程序和Client端程序建立起连接就可以实现对远程计算机的控制了。
|
|
|
|
首先,服务器端程序获得本地计算机的最高操作权限,当本地计算机连入网络后,客户端程序可以与服务器端程序直接建立起连接,并可以向服务器端程序发送各种基本的操作请求,并由服务器端程序完成这些请求,也就实现了对本地计算机的控制。
|
|
|
|
因为木马发挥作用必须要求服务器端程序和客户端程序同时存在,所以必须要求本地机器感染服务器端程序,服务器端程序是可执行程序,可以直接传播,也可以隐含在其他的可执行程序中传播,但木马本身不具备繁殖性和自动感染的功能。
|
|
|
|
反病毒技术的最新发展方向是类属解密和数字免疫系统。与入侵检测技术一样,现在的反病毒技术只能够对已有病毒及已有病毒的部分变种有良好的防护作用,而对于新型病毒还没有有效的解决方式,需要升级特征库才行。另外,它只对病毒、黑客程序和间谍软件这些恶意代码有防护作用,其他网络安全问题不属于其关注的领域。
|
|
|
|
|
|
安全扫描是指对计算机系统及网络端口进行安全性检查,它通常需要借助一个被称为“扫描器”的软件。扫描器并不是一个直接攻击网络漏洞的程序,它仅仅能够帮助管理员发现目标机的某些内在弱点,一个好的扫描器能够对得到的数据进行分析,帮助管理员查找目标主机的漏洞。它能够自动查找主机或网络,找到运行的服务及其相关属性,并发现这些服务潜在的漏洞。
|
|
|
|
从上面的描述中,可以发现安全扫描技术是一个帮助管理员找到网络隐患的工具,并不能直接解决安全问题,而且对未被业界发现的隐患也无法完全找到。
|
|
|
|
|
|
日志文件是包含关于系统消息的文件,这些消息通常来自于操作系统内核、运行的服务,以及在系统上运行的应用程序。日志文件包括系统日志、安全日志和应用日志等。现在的Windows和UNIX(包括Linux)系统都提供了较完善的日志系统。
|
|
|
|
日志审计系统通过一些特定的、预先定义的规则来发现日志中潜在的问题,它可以用来事后亡羊补牢,也可以用来对网络安全攻击进行取证。显然它是一种被动式的、事后的防护或事中跟踪的手段,很难在事前发挥作用。
|
|
|
|
|
|
公共密钥基础设施(Public Key Infrastructure,PKI)是CA安全认证体系的基础,是一种网络安全技术和安全规范,为安全认证体系进行密钥管理提供了一个平台。它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。PKI由认证中心、证书库、密钥备份及恢复系统、证书作废处理系统和客户端证书处理系统这5大系统组成。
|
|
|
|
PKI可以实现CA和证书的管理,密钥的备份与恢复,证书、密钥对的自动更换,交叉认证,加密密钥和签名密钥的分隔,支持对数字签名的不可抵赖性及密钥历史的管理等功能。PKI技术的应用可以在认证、机密性、完整性和抗抵赖性方面发挥重要的作用。
|
|
|
|
PKI技术主要借助于数字签名技术实现以上方面的功能,数字签名是维护网络信息安全的一种重要方法和手段,在身份认证、数据完整性、抗抵赖性方面都有重要应用,特别是在大型网络安全通信中的密钥分配、认证和电子商务、电子政务系统中有重要作用。而且,它通过密码技术对电子文档进行电子形式的签名,是实现认证的重要工具。数字签名是只有信息发送方才能够进行的签名,是任何人无法伪造的一段数字串,这段特殊的数字串同时也是对相应的文件和信息真实性的一个证明。
|
|
|
|
采用数字签名能够确认以下两点:一是信息是由签名者发送的;二是信息自签发到收到为止,没做任何修改。数字签名的特点是它代表了文件的特征。如果文件发生变化,数字签名的值也会发生变化,不同的文件会得到不同的数字签名。数字签名是通过Hash函数与公开密钥算法来实现的,其原理如下。
|
|
|
|
(1)发送者首先将原文用Hash函数生成128位的数字摘要。
|
|
|
|
(2)发送者用自己的私钥对摘要进行加密形成数字签名,并且把加密后的数字签名附加在要发送的原文后面。
|
|
|
|
|
|
(4)接收者把收到的信息用Hash函数生成新的摘要,同时用发送者的公开密钥对信息摘要进行解密。
|
|
|
|
(5)将解密后的摘要与新的摘要对比,两者一致则说明传送过程中信息没有被破坏或篡改。
|
|
|
|
如果第三方冒充发送方发送了一个文件,由于接收方在对数字签名进行解密时使用的是发送方的公开密钥,因此只要第三方不知道发送方的私用密钥,解密后的数字摘要与计算机计算的新摘要必然是不同的。这就提供了一个安全的确认发送方身份的方法。
|
|
|
|
数字签名有两种:一种是对整体信息的签名,它是指经过密码变换的被签名信息整体;另一种是对压缩信息的签名,它是附加在被签名信息后或某一特定位置上的一段签名图样。若按照明文和密文的对应关系划分,每一种又可以分为两个子类:一类是确定性数字签名,即明文与密文一一对应,它对一个特定信息的签名不变化,如RSA签名;另一类是随机化或概率化数字签名,它对同一信息的签名是随机变化的,取决于签名算法中随机参数的取值。一个明文可能有多个合法数字签名。
|
|
|
|
一个签名体制一般包含两个组成部分,即签名算法和验证算法。签名算法(也称签名密钥)是秘密的,只有签名人掌握。而验证算法是公开的,便于他人进行验证。
|
|
|
|
另外,如果要基于PKI实现数据的保密性,可以用对方的公钥对“原文+数字签名”所构成的信息包进行加密,这样就可以保证对方只能使用自己的私钥进行解密,从而达到保密性的要求。
|
|
|
|
数字信封是PKI在实际中的一个应用,是用加密技术来保证只有规定的收信人才能阅读通信的内容。数字信封中采用了对称密码体制和公钥密码体制。信息发送者首先利用随机产生的对称密码加密信息,再利用接收方的公钥加密对称密码,被公钥加密后的对称密码被称为数字信封。在传递信息时,信息接收方若要解密信息,必须先用自己的私钥解密数字信封,得到对称密码,才能利用对称密码解密所得到的信息。这样就保证了数据传输的真实性和完整性。数字信封主要包括数字信封打包和数字信封拆解,数字信封打包是使用对方的公钥将加密密钥进行加密的过程,只有对方的私钥才能将加密后的数据(通信密钥)还原;数字信封拆解是使用私钥将加密过的数据解密的过程。
|
|
|
