网络安全现状及发展趋势

...v.网络平安现状及开展趋势——网络化是必然的考号：4**：甘元强【内容提要】随着网络技术的迅猛开展和在各行各业应用的日益广泛，网络平安问题已成为信息时代人类共同面临的挑战，计算机系统受病毒感染情况相当严重，电脑黑客活动日益猎撅，本文从分析计算机网络所面临的威胁入手，探讨了网络平安防护的主要技术和开展趋势，并着重强调加强管理是提高网络平安不可或缺的一个环节。【关键词】网络平安计算机病毒黑客开展趋势管理一计算机网络所面临的威胁〔一〕计算机病毒计算机病毒自它出现时起即引起人们极大地关注，特别是随着计算机网络技术的高速开展和Interne的全球化进程，计算机病毒成为信息系统最大的平安隐患之一。据资料显示，目前世界上存在着至少上万种病毒，并且每天都至少有10多种新的病毒的产生，计算机病毒技术也正朝着智能化、网络化和可控制化的方向开展。美军认为未来将用鼠标、键盘和计算机病毒进展战争，在研制防止计算机病毒的方法的同时也在大力开发攻击性计算机病毒。〔二〕黑客的破坏黑客是指具有计算机专长的行家里手，他们利用计算机网络构造、系统软件或管理的缺陷，闯人计算机网络，窃取、修改或破坏网络中的信息，或散布对敌方不利的信息。黑客是计算机网络一个最危险的敌人。常用的手段有：漏洞：许多的网络系统都存在着这样那样漏洞，这些漏洞有可能是系统本身所有的也有可能是由于网管的疏忽而造成的。黑客就是针对这些漏洞瘫痪系统或网络。人侵：黑客最常用的手段，通过木马或后门侵入到别人的计算机取得系统用户权限后实施破坏或窃取文件。欺骗：通过软件盗用别人的**和密码来冒充授权用户登录重点进展破坏。拒绝效劳：在黑客无法侵人系统后，利用大量肉鸡通过发送海量数据报堵塞网络或通过正常连接占用系统资源从而使系统效劳失效的一种破坏方式。对象包括效劳、主机、网络以及网络设备等。二网络平安防护的主要技术〔一〕隔离技术隔离技术包括物理隔离技术和逻辑隔离技术，物理隔离就是将本单位的主机或网络从物理上与因特网断开，涉密文件存放在单独的计算机上，上网采用专用计算机，单位与单位之间的远距离通信亦采用专线，此时，网络平安问题变为管理问题了。但这种隔离技术消耗较大，特别是单位之间的专线建立本钱较高，当距离较远时，为敌方在脆弱节点非法接人提供了可能。采用逻辑隔离时被隔离的两端仍然存在物理上数据通道连线，但通过技术手段保证被隔离的两端没有数据通道。一般使用协议转换、数据格式剥离和数据流控制的方法，在两个逻辑隔离区域中传输数据。并且传输的方向是可控状态下的单向，不能在两个网络之间直接进展数据交换。〔二〕病毒监控和防火墙技术病毒监控是我们见得最多、用得最普遍的平安技术方案，这种技术主要针对病毒，随着病毒监控技术的不断开展，目前主流杀毒软件还可以预防木马及其它的一些黑客程序的人侵。网络防火墙技术是一种用来加强网络之间控制，防止外部网络用户以非法手段进人内部网络，内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如方式按照一定的平安策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。〔三〕入侵检测和网络监控技术人侵检测(IDS-IntrusionDetectionSystem)是近年来开展起来的一种防范技术，综合采用了统计技术、规那么方法、网络通信技术、人工智能、密码学、推理等技术和方法，其作用是监控网络和计算机系统是否出现被人侵或滥用的征兆。1987年，DerothyDenning首次提出T一种检测入侵的思想，经过不断开展和完善，作为监控和识别攻击的标准解决方案，IDS系统已经成为平安防御系统的重要组成局部。根据采用的分析技术可分为签名分析法和统计分析法：签名分析法：主要用来监测对系统的弱点进展人侵的行为。人们从攻击模式中归纳出它的签名，编写到IDS系统的代码里，签名分析实际上是一种模板匹配操作。统计分析法：以统计学为理论根底，以系统正常使用情况下观察到的动作模式为依据来判别某个动作是否偏离了正常轨道。〔四〕文件加密和数字签名技术文件加密与数字签名技术是为提高信息系统及数据的平安**性，防止秘密数据被外部窃取、侦听或破坏所采用的主要技术手段之一。根据作用不同，文件加密和数字签名技术主要分为数据传输、数据存储、数据完整性的鉴别三种.数据传输加密技术主要用来对传输中的数据流加密，通常有线路加密和端对端加密两种。前者侧重在线路上而不考虑信源与信宿，是对**信息通过的各线路采用不同的加密密钥提供平安保护。后者那么指信息由发送者通过专用的加密软件，采用某种加密技术对所发送文件进展加密，把明文(原文)加密成密文(一些看不懂的代码)，当这些信息到达目的地时，由收件人运用相应的密钥进展解密，使密文恢复成为可读数据明文。数据存储加密技术的目的是防止在存储环节上的数据失密，可分为密文存储和存取控制两种。前者一般是通过加密法转换、附加密码、加密模块等方法对本地存储的文件进展加密和数字签名。后者那么是对用户资格、权限加以审查和限制，防止非法用户存取数据或合法用户越权存取数据。数据完整性鉴别技术主要对介人信息的传送、存取、处理的人的身份和相关数据内容进展验证，到达**的要求，一般包括口令、密钥、身份、数据等项的鉴别，系统通过比照验证对象输人的特征值是否符合预先设定的参数，实现对数据的平安保护。三网络平安技术的开展趋势〔一〕加强病毒监控随着病毒技术的开展，病毒的宿主也越来越多，在上世纪90年代初的海湾战争中，美国中情局得悉伊拉克从法国购置了供防空系统使用的新型打印机，准备通过约旦首都安曼偷运到巴格达，美方即派特工在安曼机场用一块固化病毒芯片与打印机中的同类芯片作了调包，美军在战略空袭发起前，以遥控手段激活病毒，使其从打印机窜人主机。造成伊拉克防空指挥系统程序错乱，工作失灵，致使整个防空系统中的预警和C41系统瘫痪，为美军的空袭创造了有利的态势。在宿主增多的同时，传播途径也越来越广，目前较受关注的一项病毒注人技术是利用电磁波注人病毒技术。这种技术的根本思想是把计算机病毒调制在电磁信号并向敌方计算机网络系统所在方向辐射，电磁信号通过网络中某些适当的节点进人网络，计算机病毒开场在网络中传播，产生破坏作用。所以，加强病毒监控成为网络平安的一项重要内容。〔二〕建立平安可靠的虚拟专用网虚拟专用网(VPN)系统采用复杂的算法来加密传输的信息，使分布在不同地方的专用网络在不可信任的公共网络上平安地通信。其工作流程大致如下:①要保护的主机发送不加密信息到连接公共网络的虚拟专网设备;②虚拟专网设备根据网络管理员设置的规那么，确认是否需要对数据进展加密或让数据直接通过;③对需要加密的数据，虚拟专网设备对整个数据包(包括要传送的数据、发送端和接收端的IP地址)进展加密和附上数字签名;④虚拟专网设备加上新的数据**，其中包括目的地虚拟专网设备需要的平安信韩立宁等网络平安现状及开展趋势息和一些初始化参数;⑤虚拟专网设备对加密后数据、鉴别包以及源IP地址、目标虚拟专网设备IP地址进展重新封装，重新封装后数据包通过虚拟通道在公网上传输;⑥当数据包到达目标虚拟专网设备时，数字签名被核对无误后数据包被解密。在VPN上实施了三种数据平安措施:加密，即对数据进展扰码操作，以便只有预期的接收者才能获得真实数据;鉴别，即接收者与发送者间的识别;集成，即确保数据在传输过程中不被改变。3.3IDS向IMD过渡随着黑客技术不断的开展，IDS的一些缺点开场暴露:误报漏报率高、没有主动防御能力，缺乏准确定位和处理机制等，人侵检测技术必将从简单的事件报警逐步向趋势预测和深人的行为分析方向过渡，有人提出了人侵防御系统(IPS,IntrusionPreventionSystem)，在IDS监测的功能上增加了主动响应的功能，力求做到一旦发现有攻击行为，立即响应，主动切断连接。而随着人侵检测技术的进一步开展，具有大规模部署、人侵预警、准确定位以及监管结合四大典型特征的人侵管理系统(IMS,IntrusionManagementSystem)将逐步成为平安检测技术的开展方向。IMS体系的一个核心技术就是对漏洞生命周期和机理的研究，在配合平安域良好划分和规模化部署的条件下，IMS将可以实现快速的人侵检测和预警，进展准确定位和快速响应，从而建立起完整的平安监管体系，实现更快、更准、更全面的平安检测和事件预防。〔四UTM技术的出现在攻击向混合化、多元化开展的今天，单一功能的防火墙或病毒防护已不能满足网络平安的要求，而基于应用协议层防御、低误报率检测、高可靠高性能平台和统一组件化管理的技术，集防火墙,VPN、网关防病毒、IDS等多种防护手段于一体的统一威胁管理(UTM,UnifiedThreatManagement,)技术应运而生具体功能见图1,对协议栈的防护，防火墙只能简单的防护第二到第四层，主要针对像IP,端口等静态的信息进展防护和控制，而UTM的目标是除了传统的控制之外，还需要对垃圾、拒绝效劳、黑客人侵等外部威胁起到综合检测和治理的作用，把防护上升到应用层，实现七层协议的保护。四从管理角度加强网络平安网络平安不只是一个单纯的技术间题，而且也是一个十分重要的管理问题。平安审计是对计算机系统的平安事件进展收集、记录、分析、判断，并采取相应的平安措施进展处理的过程。其根本功能是:审计对象(如用户、文件操作、操作命令等)的选择:对文件系统完整性的定期检测;审计信息的格式和输出媒体;逐出系统及报警闭值的设置与选择;审计日志及数据的平安保护等。行政管理即成立专门负责计算机网络信息平安的行政管理机构，以制订和审查计算机网络的信息平安措施。确定平安措施实施的方针、政策和原那么;具体组织、协调、监视、检查信息平安措施的执行。在人为造成的对信息平安的危害当中，很多是来自计算机网络信息系统内部。由于思想的懈怠和平安意识不强，给了敌方可乘之机，加强单位人员的思想教育，培养责任感也是网络平安不可或缺的一个环节。五完毕语网络平安开展