互聯網安全及對策研討

導語：互聯網安全及對策研討一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

隨著Intrnet技術及應用的不斷發展，人們在其上所進行的工作也越來越多，總的可以歸納為:通信、信息、資源共享三類.但無論哪一類，都一方面要求網絡提供相應服務，另一方面要求人們在主機存放一定的信息(稱之為靜態信息)，并在網上.傳播一定的信息(稱之為動態信息)，而這些靜態或動態的信息有的是開放的，如:廣告、公共信息等，而有的是保密的，如:私人間的通信、政府及軍事部門、商業機密等.所以人們關注兩點:一是人們能夠方便、高效地使用網絡，二是信息不被破壞，即信息的保密性、完整性及準確性。這些也是互聯網絡安全性提出的根本原因。

一、網絡信息安全的內涵

由于計算機網絡最重要的資源是它向用戶提供的服務及所擁有的信息，因而，計算機網絡的安全性可以定義為:保障網絡服務的可用性(Availability)和網絡信息的完整性(Integrity)?；ヂ摼W絡信息安全的傳統提法一般是指信息的保密性(seeurity)、完整性(Integrity)和可靠性(Reliability)。保密性是指靜態信息防止非授權訪問和動態信息防止被截取解密。完整性是指信息在存儲或傳輸時不被修改、破壞，或信息包的丟失、亂序等。信息的完整性是信息安全的基本要求，破壞信息的完整性是影響信息安全的常用手段。目前，對于動態傳輸的信息，許多協議確保信息完整性的方法大多是收錯重傳、丟棄后續包的方法，但黑客的攻擊可以改變信息包內部的內容?？煽啃允侵感畔⒌目尚哦龋ㄐ畔⒌耐暾?、準確性和發送人的身份證實等方面，可靠性也是信息安全性的基本要素。前不久，美國計算機安全專家又提出了一種新的安全框架，包括:保密性(eonfidentialiy)、完整性(Integrity)、可用性(Availability)、實用性(utility)、真實性(Authentieity)、占有性(Possession)，在原來的基礎上增加了實用性、可用李三運性、占有性，認為這樣才能解釋各種網絡安全問題:實用性即信息加密密鑰不可丟失(不是泄密)，丟失了密鑰的信息也就丟失了信息的實用性，成為垃圾?？捎眯砸话闶侵钢鳈C存放靜態信息的可用性和可操作性。病毒就常常破壞信息的可用性，使系統不能正常運行，數據文件面目全非。占有性是指存儲信息的主機、磁盤等信息載體被盜用，導致對信息的占用權的喪失。保護信息占有性的方法有使用版權、專利、商業秘密性，提供物理和邏輯的存取限制方法，維護和檢查有關盜竊文件的審記記錄、使用標簽等。

二、影響互聯網絡安全性的因素

互聯網絡由于網絡結構無常、協議復雜、地域廣闊、用戶眾多、主機品種繁多，安全問題尤為突出.網絡結構因素網絡的基本拓撲結構是:星型、總線和環型，而互聯網絡則包含以下三種網絡結構，網絡主干是環型或總線，而連接主干的眾多子網則異構紛呈，子網往下還可能連著多層網.結構的復雜，無疑給網絡系統管理、拓撲設計帶來很多問題。為了實現異構網絡間信息的通信，往往要犧牲一些安全機制的設置和實現，從而提出更高的網絡開放性的要求。開放性與安全性正是一對相生相克的矛盾。網絡協議因素網絡的發展使之早已不再處于單一的網絡協議環境中。隨著國際互聯網絡的發展，一方面用戶為保護原有的網絡基礎設施投資，一方面眾網絡技術公司共同尋求生存的機會，對網絡協議的兼容性要求越來越高，使眾多家廠商的協議能夠互聯、互相通信、互相兼容。這在給廠商和用戶帶來方便和利益的同時，也帶來了安全性的問題。在一種協議下運行的有害程序能很快傳播到整個互聯網，而某些用戶也可以在一種網絡結構和協議下實現以多種結構和協議的訪問，給信息的安全帶來隱患.地域因素互聯網絡往往跨越城際、國際，地理位置錯綜復雜，通信線路質量難以得保證，一方面會給其上傳輸的信息造成損壞、丟失，也給那些“搭線竊聽”的黑客以可乘之機，增加更多的安全隱患。用戶因素Internet用戶達數億，分布170多個國家和地區，形形式式的用戶都有，其中有政治、軍事、商業、科技間諜，也有專門以攻擊網絡、搜詢、破壞信息為樂的“黑客”(Hacker)，正是由于這些人的存在，才給網絡安全提出了更高要求，因為用戶更多擔心的是信息的保密性。主機因素連入互聯網絡的主機品種繁多，有大型計算機、小型計算機、工作站、服務器、微機，廠商眾多，使用的操作系統和網絡操作系統也很多，這要求不同廠商要堅持相同或相這的標準，也要求各種標準具備很好的開放性。除上述諸因素給網絡的設計、安裝、配置、管理提出更復雜的難題外，涉及網絡安全因素還有:單位的安全政策、人員素質、安全設備投資和自然災害等。

三、攻擊互聯網絡安全性的方法和類型

假冒欺編一般采用源IP地址欺騙攻擊，人侵者偽裝成源自一臺內部主機的一個外部地點傳送信息包，這些信息包中包含有內部系統的源IP地址.另外在E一mail服務器，使用報文傳輸(MIA，MessageTransferAgent)，冒名他人，竊取信息。指定路由發送方指定一信息包到達目的站點的路由，而這條路由是經過精心設計的，繞過設有安全控制的路由。否認服務通常是指不承認對信息的、接收。數據截收這是一種常見的方法，很多網上間諜、黑客正是截取大量的信息包，加以分析解密，還原信息得到合法的密碼。慕改數據改變信息的內容。四、安全機制功能150在其安全框架文件中，定義了開放環境下系統安全功能，對系統內部各對象的保護方法，保證系統間通信規則，都作了詳細說明?！鞍踩北唤忉尀椤耙环N使資產和資源遭受攻擊的可能性減少到最小的方法”.可見，互聯網絡的安全是相對的，并沒有絕對安全的網絡實體，但一個安全系統應具備以下功能:身份識別是驗證通信雙方身份有效手段，用戶向其系統請求服務時，要出示自己的身份證明，最簡單的方法是輸人Use:ID和Password.而系統應具備查驗用戶的身份證明的能力。身份判別是安全系統最重要功能之一，UserID和Password是最常用也最方便的身份認證方法，也是最不安全的。原因是用戶為了便于記憶而使用了生日、電話號碼等Password，使得Password很容易猜出。因此Pass-word的管理也成了安全系統非常重要的工作。關于Password更先進的技術有:系統不接收易破譯的Password、Password的期限性、同步即時Password等，但有些方法需要特殊的軟、硬件投資。存取權限控制防止非法用戶進人系統及防止合法用戶對系統資源的非法使用是存取控制的基本任務。在開放系統中，網上資源的使用應制訂一些規定:一是定義哪些用戶可以訪問哪些資源，二是定義可以訪問的用戶各自具備的權限，這是存取權限控制的主要任務。數字簽名如用RSA等公開密鑰算法，生成一對公鑰和私鑰。信息發送需用發送者私人密鑰加密信息，即簽名，信息的接收者利用信息發送者的公鑰對簽名信息解密，以驗證發送者身份。在實際應用中，一般是對傳送的多個數據包中的一個IP包進行一次簽名驗證，以提高網絡運行效率。保護數據完整性Internet通信協議在數據傳輸過程中，通常使用數據包排序、控制包、校驗碼等差錯控制機制，防止傳輸過程中的突發錯誤，但對網上黑客們的主動攻擊(如對信息的惡意增刪、修改)則顯得無能為力。通過加人一些驗證碼等冗余信息，用驗證函數進行處理，以發現信息是否被非法修改，避免用戶或主機被偽信息欺騙。跟蹤審計和信息過濾網絡管理員或系統管理員應不斷地收集和積累有關的安全事件記錄加以分析，有選擇地對其中的某些站點或用戶進行跟蹤審計，以便對發現或可能產生的破壞性行為提供有力的證據，并定期向互聯網相關的安全系統秘密發送有關消息(一般是有害站點地址)，其它系統則根據這些消息，更新各自的路由過濾列表，通過信息過濾機制，拒絕接收一切來自過濾列表上IP地址的信息，以杜絕網上的某些站點產生的信息垃圾(如淫穢圖片、政治傾向性宜傳等)對用戶進行信息干擾和信息轟炸。

密鑰管理信息加密是保障信息安全的重要途徑，以密文方式在相對安全的信道上傳遞信息，可以讓用戶比較放心地使用網絡，如果密鑰匯露或居心不良者通過積累大量密文而增加密文的破譯機會，都會對通信安全造成威脅。因此，對密鑰的產生、存儲、傳遞和定期更換進行有效地控制而引人密鑰管理機制，對增加網絡的安全性和抗攻擊性也是非常重要的。五、常用安全技術通常保障網絡安全的方法有兩大類:以“防火墻”技術為代表的被動防衛型和建立在數據加密、用戶授權確認機制上的開放型網絡安全保障技術。防火墻技術“防火墻”(Firewall)安全保障技術假設被保護網絡具有明確定義的邊界和服務。它通過監測限制、更改通過“防火墻”的數據流，一方面盡可能地對外部網絡屏蔽被保護網絡的信息、結構，實現對內部網絡的保護，以防“賊人放火”，另一方面對內屏蔽外部某些危險站點，防止“引火燒身”。因而，比較適合于相對獨立、與外部網絡互聯單一、明確并且網絡服務種類相對集中統一的互聯網絡系統。在建立與Internet互聯的單位內部網絡系統中，Firewen己經得到廣泛的應用。通常為了維護內部的信息系統安全，單位內部網安全系統對于來自Internet的訪問，采取有選擇的接收方式。它可以允許或禁止一系列具體IP地址站點的訪問，也可以接收或拒絕互聯網絡某一類具體的應用。如果在某一臺IP主機上有需要禁止的信息或危險的用戶，則可以通過設置使用Firewell過濾掉從該主機發出的IP包。如果內部用戶只是使用Internet的電子郵件和WWW服務器向外部提供信息，那么就可以在Firewell上設置只有這兩類應用的數據包通過。這對于路由器來說，不僅要分析伊層的信息，而且還要進一步了解ICP傳輸層甚至應用層的信息以地取舍。Firewell一般安裝在路由器上以保護一個子網，也可以安裝在一臺主機上，保護這臺主機不受侵犯.建立Firewen主要技術有:數據包過濾、應用層網關和服務器等。在此基礎上合理的網絡拓撲結構及有關技術的適度使用也是保證防火墻有效使用的重要手段。防火墻是連接內部網絡和外部網絡的橋梁。內部網絡和外部網絡都可以訪問這臺主機，但內部網絡上的主機不可以直接和外部網絡通信。作為一種網絡安全技術。Firewell具有簡單實用的特點，并且透明度高，可以在不修改原有網絡應用系統的情況下達到一定的安全要求。但是，如果防火墻系統被攻破，則被保護的網絡處于無保護狀態。并且如果一個企業希望在Internet上開展商業活動，與眾多的客戶進行通信，則僅僅依靠Firewell不能滿足要求。

密碼編碼技術以數據加密和用戶確認為基礎的開放型安全保障技術使用比較普遍，且是對網絡服務影響較小的途徑，可望成為網絡安全問題的最終的一體化解決途徑。這一類技術的特征是利用現代的數據加密技術來保護網絡系統中包括用戶數據在內的所有數據流。只有指定的用戶或網絡設備才能夠破譯加密數據。從而在不對網絡環境作特殊要求前提下根本上解決網絡安全的兩大要求(網絡服務的可用性和信息的完整性).這一類技術一般不需要特殊的拓撲結構的支持，因而實施代價主要體現在加密算法的設計、實現和系統運行維護等方面。這類方法在數據傳輸的過程中不對所經過的網絡的安全程度作要求，從而真正實現網絡通信過程的端到端的安全保障。保證信息的安全保密性和可靠保險性，通常主要是依靠密碼編碼技術。采用密碼編碼技術，首先要選擇先進的加密編碼算法，并要充分了解自己要保護什么，要在什么地方進行保護，還要確定保密的級別、保密的程度、保密的時間、保密的周期以及對哪些人保密和保密范圍等問題。在七層網絡協議中，密碼編碼可以放在任一層中，通常是放在第七層即應用層上。這樣可以對每個應用戶都能起到保密作用，因為每個應用信息都被密碼編碼修改過。

在網絡通信的信息安全保密技術中，密鑰的作用非常重要。密鑰有專用密鑰和公用密鑰兩種。一種解密密鑰只能解一種加密密碼的密鑰是專用密鑰.加密時將原來信息中的一段信息改為一段數字信息，解密時將加密的一段數字信息恢復為原來的一段信息。這種專用密鑰采用對稱編碼技術，所以也叫對稱密鑰，專用密鑰的加密算法很多。利用專用密鑰的最大好處就是加密和密都非?？?，最大的問題就是不容易把這把專用密鑰交給使用此密碼人的手里，因為很可能在密碼編碼傳送過程中發生失密事件。公用密鑰采用與專用密鑰不同的數學算法。一把加密密鑰對應多把解密密鑰的密鑰稱為公用密鑰。這種密鑰的好處在于每人都有屬于自己的解密密鑰，而加密密鑰只有一把，因此，安全性比較好。不足之處是使用公用密鑰時，加密和解密花費時間都很多，影響網絡服務的性能。