网络安全策略研究

1、网络平安策略研究摘要当前网络系统的平安性和可靠性开场成为世界各国共同关注的焦点。计算机网络平安不仅影响了网络稳定运行和用户的正常使用，还有可能造成重大的经济损失，威胁到国家平安。文章分析了几种常见的网络入侵方法以及在此根底上讨论了网络平安的几点策略。关键词网络平安计算机网络入侵检测引言计算机网络是一个开放和自由的网络，它在大大增强了网络信息效劳灵敏性的同时，也给黑客攻击和入侵敞开了方便之门。不仅传统的病毒借助互联网加快了其传播速度并扩大了其传播范围，而且各种针对网络协议和应用程序破绽的新型攻击方法层出不穷。这些黑客把先进的计算机网络技术，当成一种新式犯罪工具和手段，不仅影响了网络稳定运行和用户

2、的正常使用，造成重大经济损失，而且会威胁到国家平安。如何更有效地保护重要的信息数据、进步计算机网络系统的平安性已经成为影响一个国家的政治、经济、军事和人民生活的重大关键问题。近年来，网络系统的平安性和可靠性开场成为世界各国共同关注的焦点。文章分析了几种常见的网络入侵方法以及在此根底上讨论了网络平安的几点策略。一、常见的几种网络入侵方法由于计算机网络的设计初衷是资源共享、分散控制、分组交换，这决定了互联网具有大跨度、分布式、无边界的特征。这种开放性使黑客可以轻而易举地进入各级网络，并将破坏行为迅速地在网络中传播。同时，计算机网络还有着自然社会中所不具有的隐蔽性：无法有效识别网络用户的真实身份；由

3、于互联网上信息以二进制数码，即数字化的形式存在，所以操作者能比拟容易地在数据传播过程中改变信息内容。计算机网络的传输协议及操作系统也存在设计上的缺陷和破绽，从而导致各种被攻击的潜在危险层出不穷，这使网络平安问题与传统的各种平安问题相比面临着更加严峻的挑战，黑客们也正是利用这样的特征研发出了各种各样的攻击和入侵方法：1.通过假装发动攻击利用软件伪造ip包，把自己假装成被信任主机的地址，与目的主机进展会话，一旦攻击者冒充成功，就可以在目的主机并不知晓的情况下成功施行欺骗或入侵；或者，通过伪造ip地址、路由条目、dns解析地址，使受攻击效劳器无法区分这些恳求或无法正常响应这些恳求，从而造成缓冲区阻塞

4、或死机；或者，通过将局域网中的某台机器ip地址设置为网关地址，导致网络中数据包无法正常转发而使某一网段瘫痪。2.利用开放端口破绽发动攻击利用操作系统中某些效劳开放的端口发动缓冲区溢出攻击。这主要是由于软件中边界条件、函数指针等方面设计不当或缺乏限制，因此造成地址空间错误的一种破绽。利用软件系统中对某种特定类型的报文或恳求没有处理，导致软件遇到这种类型的报文时运行出现异常，从而导致软件崩溃甚至系统崩溃。3.通过木马程序进展入侵或发动攻击木马是一种基于远程控制的黑客工具，具有隐蔽性和非受权性的特点，一旦被成功植入到目的主机中，计算机就成为黑客控制的傀儡主机，黑客成了超级用户。木马程序可以被用来搜集

5、系统中的重要信息，如口令、账号、密码等。此外，黑客可以远程控制傀儡主机对别的主机发动攻击，如dds攻击就是大量傀儡主机接到攻击命令后，同时向被攻击目的发送大量的效劳恳求数据包。4.嗅探器和扫描攻击嗅探器是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。网络嗅探器通过被动地监听网络通信、分析数据来非法获得用户名、口令等重要信息，它对网络平安的威胁来自其被动性和非干扰性，使得网络嗅探具有很强的隐蔽性，往往让网络信息泄密变得不容易被发现。扫描，是指针对系统破绽，对系统和网络的遍历搜寻行为。由于破绽普遍存在，扫描手段往往会被恶意使用和隐蔽使用，探测别人主机的有用信息，作为施行下一步攻击

6、的前奏。为了应对不断更新的网络攻击手段，网络平安技术也经历了从被动防护到主动检测的开展过程。主要的网络平安技术包括：防火墙、vpn、防毒墙、入侵检测、入侵防御、破绽扫描。其中防病毒、防火墙和vpn属早期的被动防护技术，入侵检测、入侵防御和破绽扫描属主动检测技术，这些技术领域的研究成果已经成为众多信息平安产品的基矗二、网络的平安策略分析早期的网络防护技术的出发点是首先划分出明确的网络边界，然后通过在网络边界处对流经的信息利用各种控制方法进展检查，只有符合规定的信息才可以通过网络边界，从而到达阻止对网络攻击、入侵的目的。主要的网络防护技术包括：1.防火墙防火墙是一种隔离控制技术，通过预定义的平安策

7、略，对内外网通信强迫施行访问控制，常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。包过滤技术是在网络层中对数据包施行有选择的通过，根据系统事先设定好的过滤逻辑，检查数据据流中的每个数据包，根据数据包的源地址、目的地址、以及包所使用的端口确定是否允许该类数据包通过；状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流对待，构成连接状态表，通过规那么表与状态表的共同配合，对表中的各个连接状态因素加以识别，与传统包过滤防火墙的静态过滤规那么表相比，它具有更好的灵敏性和平安性；应用网关技术在应用层实现，它使用一个运行特殊的“通信数据平安检查软件的工作站来

8、连接被保护网络和其他网络，其目的在于隐蔽被保护网络的详细细节，保护其中的主机及其数据。2.vpnvpnvirtualprivatenetrk即虚拟专用网络，它是将物理分布在不同地点的网络通过公用骨干网连接而成的逻辑上的虚拟子网。它可以帮助异地用户、公司分支机构、商业伙伴及供给商与内部网建立可信的平安连接，并保证数据的平安传输。为了保障信息的平安，vpn技术采用了鉴别、访问控制、保密性和完好性等措施，以防止信息被泄露、篡改和复制。vpn技术可以在不同的传输协议层实现，如在应用层有ssl协议，它广泛应用于eb阅读程序和eb效劳器程序，提供对等的身份认证和应用数据的加密；在会话层有sks协议，在该协

9、议中，客户程序通过sks客户端的1080端口透过防火墙发起连接，建立到sks效劳器的vpn隧道；在网络层有ipse协议，它是一种由ietf设计的端到端确实保ip层通信平安的机制，对ip包进展的ipse处理有ahauthentiatinheader和espenapsulatingseuritypaylad两种方式。3.防毒墙防毒墙是指位于网络入口处，用于对网络传输中的病毒进展过滤的网络平安设备。防火墙可以对网络数据流连接的合法性进展分析，但它对从允许连接的电脑上发送过来的病毒数据流却是无能为力的，因为它无法识别合法数据包中是否存在病毒这一情况；防毒墙那么是为理解决防火墙这种防毒缺陷而产生的一种平

10、安设备。防毒墙使用签名技术在网关处进展查毒工作，阻止网络蠕虫(r)和僵尸网络(bt)的扩散。此外，管理人员可以定义分组的平安策略，以过滤网络流量并阻止特定文件传输、文件类型扩展名、即时通信信道、批量或单独的ip/a地址，以及tp/udp端口和协议。三、网络检测技术分析人们意识到仅仅依靠防护技术是无法挡住所有攻击，于是以检测为主要标志的平安技术应运而生。这类技术的根本思想是通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统，或者更广泛意义上的信息系统的非法攻击。包括检测外界非法入侵者的恶意攻击或试探，以及内部合法用户的超越使用权限的非法活动。主要的网络平安检测技术有：1.入侵检测入侵检

11、测系统intrusindetetinsyste,ids是用于检测任何损害或企图损害系统的保密性、完好性或可用性行为的一种网络平安技术。它通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统，包括检测外界非法入侵者的恶意攻击或试探，以及内部合法用户的超越使用权限的非法活动。作为防火墙的有效补充，入侵检测技术可以帮助系统对付和未知网络攻击，扩展了系统管理员的平安管理才能包括平安审计、监视、攻击识别和响应，进步了信息平安根底构造的完好性。2.入侵防御入侵防御系统intrusinpreventinsyste,ips那么是一种主动的、积极的入侵防范、阻止系统。ips是基于ids的、建立在ids开

12、展的根底上的新生网络平安技术，ips的检测功能类似于ids，防御功能类似于防火墙。ids是一种并联在网络上的设备，它只能被动地检测网络遭到了何种攻击，它的阻断攻击才能非常有限；而ips部署在网络的进出口处，当它检测到攻击企图后，会自动地将攻击包丢掉或采取措施将攻击源阻断。可以认为ips就是防火墙加上入侵检测系统，但并不是说ips可以代替防火墙或入侵检测系统。防火墙是粒度比拟粗的访问控制产品，它在基于tp/ip协议的过滤方面表现出色，同时具备网络地址转换、效劳代理、流量统计、vpn等功能。3.破绽扫描破绽扫描技术是一项重要的主动防范平安技术，它主要通过以下两种方法来检查目的主机是否存在破绽：在端

13、口扫描后得知目的主机开启的端口以及端口上的网络效劳，将这些相关信息与网络破绽扫描系统提供的破绽库进展匹配，查看是否有满足匹配条件的破绽存在；通过模拟黑客的攻击手法，对目的主机系统进展攻击性的平安破绽扫描，如测试弱势口令等，假设模拟攻击成功，那么说明目的主机系统存在平安破绽。发现系统破绽的一种重要技术是蜜罐(hneypt)系统，它是成心让人攻击的目的，引诱黑客前来攻击。通过对蜜罐系统记录的攻击行为进展分析，来发现攻击者的攻击方法及系统存在的破绽。四、结语尽管传统的平安技术在保障网络平安方面发挥了重要作用，但在一个宏大、开放、动态和复杂的互联网中技术都存在着各种各样的局限性。平安厂商在疲于奔命的晋级产品的检测数据库，系统厂商在疲于奔命的修补产品破绽，而用户也在疲于奔命的检查自己到底还有多少破绽暴露在攻击者的面前。传统的防病毒软件只能用于防范计算机病毒，防火墙只能对非法访问通信进展过滤，而入侵检测系统只能被用来识别特定的恶意攻击行为。在一个没有得到全面防护的计算机设施中，平安问题的炸弹随时都有爆炸的可能。用户必须针对每种平安威胁部署相应的防御手段，这样使信息平安工作的复杂度和风险性都难以下降。为了有效地解决日益突出的网络平安问题，网络平安研究人员和网络平安企业