搜索
2008—2009学年第二学期网络技术与应用大作业题目:网络安全的探讨专业:印刷工程班级:一班学号:080210125姓名:伍洲教师:李桐日期:2009年6月8日网络安全的探讨现代人的生活离不开计算机网络,网络所带给人们的便利不言而喻。而随着计算机的普及、网络技术的高速发展,以向用户提供信息服务及其拥有的信息资源为功能的计算机网络的安全备受人们的关注。针对计算机网络的攻击事件不断增加,网络攻击与入侵行为从小的方面说,对个人生活、工作造成极大影响,对企业利益造成巨大损失;从大的方面来讲,对国家安全、经济和社会生活造成了极大的威胁。网络安全也因此成为当今网络社会的焦点中的焦点,对网络安全的保护也愈发显得重要。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而受到破坏、更改、泄露,系统可以连续可靠而正常地运行,网络服务不中断。网络安全应该具有以下4方面特征:保密性指信息不泄露给非授权的用户、实体或过程,或供其利用的特性。完整性指数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。可用性指可被授权实体访问并按需求使用的特性,即当需要时应能存取所需的信息,网络环境下拒绝服务、破坏网络和有关系统的正常运行等,都属于对可用性的攻击。可控性指对信息的传播及其内容具有控制能力。而网络安全的最终目标就是通过各种技术与管理手段实现网络信息系统的保密性、完整性、可用性、可控性。威胁网络安全的因素多种多样,如雷电、地震、火灾等各种自然灾害,硬盘损坏、设备使用寿命到期等物理损坏,停电等设备故障,电磁泄漏,信息泄漏,痕迹泄露(如口令密钥等保管不善),意外疏漏以及其他意外事故等造成的物理安全隐患。当然,最常见的安全隐患还是网络攻击。常见的网络攻击有以下几种:1.拒绝服务攻击,是一种破环性攻击,虽然入侵者得不到任何好处,却能给正常用户和站点的形象带来较大的影响。2.邮件炸弹,即反复受到大量而又无用的电子邮件。3.过载攻击,是使一个共享资源或者服务处理大量的请求,会导致无法满足其它用户的请求,一般包括进程攻击和磁盘攻击。4.入侵,包括缓冲区入侵,口令破译,利用上层服务配置问题入侵和网络入侵欺骗等。5.信息窃取,包括IP欺骗、ARP欺骗、DNS欺骗、欺骗四种方式。6.病毒,可分为文件类病毒,操作系统类病毒,宏病毒三种。其中,黑客攻击和病毒是我们最常见、最普遍的网络安全隐患。我们所见的安全事件大多数都属于这两种类型。同时,这两种安全隐患爆发的概率也是最大的。如何防范这两种安全隐患是我们所应考虑的。所谓“知己知彼,百战不殆”,那让我们先来了解一下这两种网络安全隐患。病毒的历史悠久,在DOS时期就非常盛行,它的危害极大而且种类繁多,新病毒的种类在不断出现,危害性也在不断加强。它有以下特点,未经授权而执行,具有传染性,隐蔽性,潜伏性,破坏性及不可预见性。世界上到底有多少种病毒,没有人说得清,对它们做一下分类有助于我们更好的了解和有针对性地查杀他们,按破坏程度分,有良性、恶性、极恶性、灾难性病毒,按传染方式分,有引导型、文件型、混合型病毒,按入侵方式分,有源代码嵌入攻击型、代码取代攻击型、系统修改型、外壳附加型病毒。它们的传播途径是多种多样的,可以是文件传播,如从网上下载文件时,该文件就带有病毒,当下载运行后,这些病毒就会从下载的文件中脱离,感染其他文件。还有一种典型的传播途径,就是邮件传播,通过在邮件附件(如Office文档)中带有病毒的文件来传播。黑客程序比之病毒就只能算后辈了,虽然它的出现比病毒晚许多年,其盛行也是近几年随着网络的普及才开始的,但是其威胁性和破坏性比病毒更大。木马程序(如特洛伊木马)就是一种典型的黑客程序,黑客们可以通过它们获取目标系统中的重要数据。据统计,全球6000多个大型网站都遭受过大型的黑客攻击,其中就包括微软、Google等著名公司的官方网站。黑客攻击的基本步骤是,踩点信息收集,扫描漏洞侦测,攻击;常见的攻击手段有,网络报文嗅探,IP地址欺骗,密码攻击,拒绝服务攻击,应用层攻击。黑客程序的传播和病毒类似,同样有着丰富的传播途径,网上出现了这样一种木马传播方式,当用户点击某些图片时,木马程序就会自动连接到一个网址,然后下载木马程序到用户的计算机系统中。了解了病毒和黑客程序的特点之后,我们便能有的放矢,更好的去应对这些网络安全隐患,更好的去保护我们的计算机系统。我们可以采用以下一些安全技术去保护我们的网络系统。首先自然是防火墙。防火墙作为一种有效的网络安全机制,是保证机主机和网络安全必不可少的工具。所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头,根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图,两个网段之间隔了一个防火墙,防火墙的一端有台UNIX计算机,另一边的网段则摆了台PC客户机。当PC客户机向UNIX计算机发起telnet请求时,PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来,协议栈将这个TCP包“塞”到一个IP包里,然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。在这个例子里,这个IP包必须经过横在PC和UNIX计算机中的防火墙才能到达UNIX计算机。我们配制防火墙把所有发给UNIX计算机的数据包都给拒了,完成这项工作以后,防火墙会通知客户程序。既然发向目标的IP数据没法转发,那么只有和UNIX计算机同在一个网段的用户才能访问UNIX计算机了。还有一种情况,也是防火墙最基本的功能:根据IP地址做转发判断。根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是,不要用DNS主机名建立过滤表,应为对黑客来说,对DNS的伪造比IP地址欺骗要容易得多。仅仅依靠地址进行数据过滤在实际运用中是不可行的,在地址之外我们还要对服务器的TCP/UDP端口进行过滤。UDP包没有ACK位,所以不能进行ACK位过滤。UDP是发出去不管的“不可靠”通信,这种类型的服务通常用于广播、路由、多媒体等广播形式的通信任务。NFS、DNS、WINS、NetBIOS-over-TCP/IP和NetWare/IP都使用UDP。防火墙设置为只许转发来自内部接口的UDP包,来自外部接口的UDP包则不转发。有些新型路由器有“记忆”出站UDP包的能力:如果入站UDP包匹配最近出站UDP包的目标地址和端口号就让它进来,如果在内存中找不到匹配的UDP包就只好拒绝它了!但是,如果黑客诈称DNS服务器的地址,那么他在理论上当然可以从附着DNS的UDP端口发起攻击。只要你允许DNS查询和反馈包进入网络,这个问题就必然存在。办法是采用代理服务器:代理服务器不允许存在任何网络内外的直接连接,它本身就提供公共和专用的DNS、邮件服务器等多种功能。代理服务器重写数据包而不是简单地将其转发了事,这样,网络内部的主机就能躲在代理的后面,降低受到入侵的可能。防火墙的基本类型有以下几种:(1)包过滤型包过滤型防火墙工作在网络层,以IP包为对象,对IP源/目的地址、封装协议、端口号等进行筛选,组织或允许IP包通过。包过滤型防火墙通常安装在路由器上,目前大多数路由器都提供了包过滤功能。另外,在PC机上也可以安装包过滤软件,即所谓的个人防火墙。(2)代理服务器型代理型防火墙包括两部分:服务器端程序和客户端程序。服务器端程序作为客户与远程机器的中介,接受客户端的请求,并对请求进行认证。客户端程序实际上是与代理服务器通信,在客户与远程目标机器之间没有建立直接的连接。服务器提供日志和审计服务。(3)堡垒主机将包过滤和代理服务器两种方法结合起来,构造堡垒主机,将包进行过滤,并负责提供代理服务。审计和入侵检测也是一种重要而行之有效的方法。审计实际上是通过事后侦查的手段来保证系统的安全,审计对涉及系统安全的操作做了一个完整的记录,当有违反系统安全策略的事件发生时,能够有效的追查事件发生的地点和过程。审计是操作系统的一个独立的过程,它保留的记录包括事件发生的日期和时间、产生这一事件的用户、操作的对象、事件的类型以及该事件成功与否等项。而入侵检测是对入侵行为的检测,它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。通常它是与系统的审计功能结合使用的,能够监视系统中的多种时间,包括对系统资源的访问操作、登录系统、修改用户特权文件、改变超级用户或其他用户的口令等。入侵检测系统的工作可以分为两个部分:一是收集系统和非系统的信息,二是对收集到的数据进行分析,并采取相应措施。1.信息收集信息收集包括收集系统、网络、数据及用户活动的状态和行为。入侵检测在很大程度上依赖于收集的信息的正确性和可靠性,入侵检测利用的信息一般来自于以下三个方面:(1)系统和网络日志:黑客经常在系统日志文件中留下他们的踪迹,因此可以充分利用系统和网络日志文件信息。通过查看日志文件,能够发现成功的入侵和入侵企图,并很快地启动相应的应急响应程序。(2)非正常的目录和文件改变:网络环境中的文件系统包括很多软件和数据文件,他们经常是黑客修改和破坏的目标。目录和文件中的非正常改变(包括修改、创建和删除),很可能就是一种入侵产生的指示和信号。(3)非正常的程序执行:网上执行的程序一般包括操作系统、网络服务、用户启动的程序和特定目的的应用。操作执行的方式不同,利用的系统资源也就不同。一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。2.信息分析对收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。(1)模式匹配:将收集到的信息与根据已知的网络入侵和系统建立的模式数据库进行比较,从而发现违背安全策略的行为。此方法检测的准确率和效率都相当高,但是该方法的缺点在于需要不断升级以应对不断出现的黑客攻击手段,而且不能检测从未出现过的黑客的攻击手段。(2)统计分析:统计分析方法献给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。(3)完整性分析:完整性分析主要关注某个文件或对象是否被修改,通常包括文件和目录的内容及属性。完整性分析利用强有力的保密机制,能识别哪怕是微小的变化。其优点是只要是成功的攻击导致了文件或其他对象的任何改变,它都能发现,但其缺点也很明显,它一般是以批处理方式实现,用与事后分析而不用于实时响应。当然,当前入侵技术也有明显不足,如误报率高、产品适应力差、大型网络管理能力差、缺少防御能力及处理性能差。为了应对以上这些不足,入侵检测技术应朝这些方向发展:改进分析技术、内容恢复和网络审计功能的引入、集成网络分析和管理功能、检测技术的分布化、转移检测的对象、智能化入侵检测、安全性和易用性的提高、改进对大数据量网络的处理方法和全面的安全防御方案。文件加密和数字签名技术是目前应用的最广泛的安全技术。文件加密技术是用来阻止非法用户阅读文件的技术,尽管非法用户可能通过各种各样的途径获得我们的文件,但是如果我们的文件采取了加密,那么他们即使得到我们的文件也毫无用处。在整个数据加密的发展过程中,加密标准非常多,但最主要的有三种:DES、MD5和SHA-1。在各种各样的文件加密方式中,应用最多的是基于静态文件的保护。所谓“数字签名”就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名,来代替书写签名或印章。数字签名主要的功能是保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生