摘要(详见正文)
引言
正文
1、计算机网络安全的内涵
2、影响网络安全的因素
3、计算机网络安全的表现形式
3.1 不良信息的传播
3.2 病毒的危害
3.3 遭受非法入侵及恶意破坏
3.4 设备、线路损坏
4.1在管理方面的安全防范对策
4.2在物理安全方面的防范对策
4.3.在技术防范措施方面的安全对策
4.3.1 采用高性能的防火墙技术
4.3.2 采用双宿主机方法
4.3.3采用严格的加密技术
4.3.4身份识别和验证技术
4.3.5 授权与访问控制
4.3.6完整性检验
4.3.7 反病毒技术
5、常见的网络安全系统
5.1防火墙
5.2 IDS(Intrusion Detection System入侵检测系统)
5.3 IPS (Intrusion Prevention System入侵防御系统)
5.4对三者进行比较
结论
参考文献
致 谢
以下是论文正文
摘 要:本文阐述了计算机网络安全的管理及控制和影响计算机网络安全的主要因素,提出了计算机网络安全的表现形式并从技术方面和非技术方面提出了相应的安全对策.对当前应用较为广泛的几类网络安全系统:防火墙,IDS(入侵检测系统)lips(入侵防御系统)进行分析.详细阐明了三类安全技术的基本原理及其当前的应用状况.
关键字:网络安全,信息安全,防火墙,IDS(入侵检测系统),IPS(入侵防御系统)
前 言
计算机网络作为现代社会的基础设施,越来越多地出现在人们的工作、学习、生活中,其作用越来越重要,并且不可替什.但由于人们的安全意识与资金方面的原因,在信息网络的安全方面往往没有太多的投人与设置.在信息网络形成的初期,由于信息资源和用户数量不多,信息网络的安全问题显得还不突出.
随着应用的深人及用户数量的不断增加,各种各样的安全问题开始困扰网络管理人员,信息资源数据的丢失、系统运行效率下降、系统瘫痪的事情时有发生.因此,如何建立一个安全、稳定、高效的计算机信息网络系统,就显得十分迫切并成为重要的问题.本文主要针对计算机网络安全的基本知识进行了说明,并就当前常见的网络安全系统进行了对比.
1、计算机网络安全的内涵
计算机网络安全包涵"网络安全"和"信息安全"两部分[1]."网络安全"(Network Security)和"信息安全"(Information Security)是指确保网络上的硬件资源、软件资源和信息资源不被非法用户破坏和使用.网络安全涉及的内容众多、范围广泛,如合理的安全策略和安全机制.网络安全技术包括访问控制和口令、加密、数字签名、认证、内容过滤、包过滤、防(杀)毒软件以及防火墙等.网络安全,特别是信息安全,强调的是网络中信息或数据的完整性、可用性、可控性、不可否认性以及保密性.信息安全的内涵也已发展为"攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)"等多方面的基础理论和实施技术.网络安全防范的内容也不再仅仅局限于硬件安全,具体说主要包含了物理安全、链路安全、网络安全、系统安全、应用安全及管理安全6个方面.
网络物理安全是整个网络系统安全的前提;链路传输安全主要保障数据在网络上传输的真实性、可靠性、机密性、完整性;网络结构的安全则体现在内部网络与外部网络互联时来自外部网络的安全威胁及来自内部网络自身的安全威胁二个方面;系统安全指的是网络操作系统、应用系统的安全;应用的安全不是一成不变的,要随时针对不同的应用检测安全漏洞,采取相应的安全措施,降低应用的安全风险;管理安全指的是通过安全管理制度的制定、责权的制定、管理工作的执行来降低安全的风险.
2、影响网络安全的因素
作为全球使用范围最大的信息网,Internet自身协议的开放性极大地方便了各种计算机连网,拓宽了共享资源.Internet的迅速发展得益于它的开放性,但由此带来的安全问题也绝对不可忽视,在Internet网上,总统和平民百姓地位平等,信息资源和垃圾数据同样存在,网络管理员和网络攻击者进行着殊死的较量.
影响计算机网络安全的因素很多,有人为因素,也有自然因素,人为因素的危害更大.主要表现为:非授权访问、特洛伊木马、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、端口侦探等方面[2].归结起来,针对网络安全的威胁主要有6个方面: 1.人为的无意失误;2.人为恶意攻击;3.网络软件的漏洞和"后门";4.网络本身的保护机制不健全;5.病毒问题:;6.信息污染.
3、计算机网络安全的表现形式
3.1 不良信息的传播
随着网络范围的不断扩大,应用水平的不断加深,越来越多的人进人到了Internet这个大家庭.目前,Internet上各种信息良芳不齐,其中有些不良信息违反人类的道德标准和有关法律法规,对世界观和人生观正在形成的年轻人来说危害非常大.如果不采取安全措施,会导致这些信息在网络上传播,侵蚀年轻人的心灵.
3.2 病毒的危害
计算机病毒是一种人为制造的,寄生于计算机应用程序或操作系统中的可执行部分,并且能够自我复制、传播的程序.通过网络传播的病毒在传播速度、破坏性和传播范围等方面都远远超过单机病毒.网络中的计算机在运行、下载程序和电子邮件时都有可能感染病毒,一旦感染病毒,就有可能造成主机系统的瘫痪或者崩溃.
3.3 遭受非法入侵及恶意破坏
一些人因为好奇心、功力心或者恶意心的驱使,利用网络设备、网络协议和操作系统的安全漏洞以及管理上的疏漏,使用各种非法手段访问资源、删改数据、破坏系统.对这些行为如不及时加以控制,也有可能造成主机系统的瘫痪或者崩溃,给用户带来严重的不良后果及损失.
3.4 设备、线路损坏
主要是指对网络硬件设备的稳定性.网络设备包括服务器、交换机、集线器、路由器、工作站、电源等.线路包括光纤线路、电缆线路、卫星线路等.它们分布在整个网络内,管理起来非常困难.由于人为或者不可抗力(如天气、自然灾害等原因)的因素,设备、线路会发生损坏或故障,这样会造成网络全部或部分瘫痪.
4、网络信息的安全对策
针对网络信息存在的主要问题,我们在进行网络设计时从管理人手,在授权、物理、技术方面采取了多层防范措施并举,根本上克服了网络中存在的安全问题[3]:
4.1在管理方面的安全防范对策
制定严格的规章制度和措施,加强对人员的审查和管理,结合软硬件及数据方面的安全问题进行安全教育,提高工作人员的保密观念和责任心,严守操作规则和各项保密规定,防止人为事故的发生;加强对信息的安全管理,对各种信息进行等级分类,有绝密、机密、秘密和非秘密信息等,对保密数据从采集、传输、处理、储存和使用等整个过程,都要对数据采取安全措施,防止数据有意或无意泄露.
4.2在物理安全方面的防范对策
指计算机及通信设备的安全,如设备的温度、湿度、防静电、防磁场、防电子辐射等性能.保护传输线路的安全,集中器和调制解调器应置于受监视的地方,以防外连的企图,并定期检查,以防搭线窃听、外连或破坏行为发生;对于储存数据的磁带、磁盘和光盘等进行安全维护,数据定期备份,重要硬件也应双备份.
4.3.在技术防范措施方面的安全对策
4.3.1 采用高性能的防火墙技术
防火墙技术是维护网络安全最重要的手段.防火墙在两个网络之间实施相应的访问控制和过滤策略,同时它又是部件和系统的汇集器,在两个网络之间通过对网络作拓朴结构和服务类型上的隔离来加强网络安全的保护.我们在实现防火墙的技术方面主要有以下两种:
包过滤技术通过包过滤路由器对进出内部网络的P数据包按信息过滤规则进行监视、过滤和筛选,允许授权信息通过,拒绝非授权或可疑信息通过.信息过滤
规则按其所收到的P包信息为基础,如源地址、目的地址、TCP/IP端口号、封装协议类型,TCP链路状态等,当一个IP数据包满足过滤规则时,则被允许通过,否则拒绝通过,从而起到保护内部网络的作用.
应用网关技术由一台专用计算机来实现,是内外网络连接的桥梁,又称代理服务,在网关上运行代理程序,一方面代替原来的服务器程序,与客户程序建立连
接;另一方面又代替原来的客户程序与服务器连接,使得合法用户可以通过应用网关,安全地使用因特网服务,对于非法用户则加以拒绝.
4.3.2 采用双宿主机方法
又称保堡主机,是一台配有多个网络接口的主机,通常应用网关也会放在双宿主机上,对所传递的服务请求做出响应,如果认为是安全的,代理就会将消息传到相应主机上,而用户只能使用代理服务器支持的服务.双宿主机还有日志的功能,记录网络上的所有事件,系统管理员可以监控任何可疑的活动并进行相应处理.
4.3.3采用严格的加密技术
当非法用户采用地址欺骗等方法绕过了防火墙,安全网络功能就会丧失殆尽.加密技术是网络信息安全的主动的、开放型防范手段.通过对网络传输的信息进行加密,使信息传输在全封闭状态下运行,传输的信息不会被第三者识别、修改、盗取和伪造,保证信息的完整性和统一性.使用加密技术不仅具有保密性能好,使用方便等优点,而且还融人了防篡改、抗否认的数字签名技术,成本低,功能强.
4.3.4身份识别和验证技术
身份识别和验证的核心是识别访问者是否属本系统的合法用户,以防止非法用户进人系统.最常见的是在用户接人和用户登录到主机时,用户需要输人用户名和口令字,系统在完成与系统中保存的用户名和口令字对比后,判断该访问者是否合法用户,从而决定是否让其进人系统,这就要求用户保护好口令,以防泄露.
4.3.5 授权与访问控制
授权是指分配给用户一定的获得服务的权力或操作管理的权力,主要是通过对用户的分类和分级来防止一个用户进行其不应拥有的系统操作能力和服务.访问控制是一种访问者对特定网络资源是否能访问或者访问的深度和广度的控制.通过提取访问者的户名、地址以及所要求访问的网络资源或服务等信息,然后核对系统访问控制表,让符合条件的访问者进行网络资源的访问或得到网络服务,不合条件的拒绝访问.访问控制技术可以控制用户访问网络资源和获得网络服务,保护网络资源和重要数据不被盗用.
4.3.6完整性检验
完整性检验技术是通过系统对重要文件或数据进行完整性的检查,来确认文件或数据是否被篡改[4].信息的完整性检验表现为:信息来自正确的发送方而非假冒,信息送到了正确的接收方没有丢失或误送,接收信息的内容和发送时一致,没有重复接收,信息接收的时序和发送时一致.完整性检验技术主要是避免使用被动的不完整的和错误的信息,及时发现系统中的问题,以便及时采取措施.
4.3.7 反病毒技术
包括病毒预防、病毒检测、病毒清除.实现方法是对网络服务器中的文件进行频繁地扫描和监测,在工作站上采用防病毒芯片和对网络目录用文件设置访问权限等.
5、常见的网络安全系统
随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势.但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击.那么,我们如何防止和避免遭受攻击和人侵,以确保网上信息的安全呢?本文将对当前应用较为广泛的三类常见网络安全系统- 防火墙,IDS(网络人侵检测系统),IPS(人侵防御系统)进行分析[5].
5.1防火墙
防火墙是目前最成熟的网络安全技术,也是市场上最常见的网络安全产品,在互联网上是一种非常有效的网络安全工具.它主要是通过对外界屏蔽,以保护内部网络的信息和结构.它是设置在内部可信网络和外部不可信网络之间的屏障,可以通过实施比较广泛的安全策略来控制信息流人可信网络,防止不可预料的潜在的入侵破坏;它也能限制可信网络中的用户对外部网络的非授权访问,也因此削弱了网络的功能.
一般的防火墙都可以达到以下目的:一是可以限制他人进人内部网络,过滤掉不安全服务和非法用户;二是防止人侵者接近你的防御设施;三是限定用户访问特殊站点;四是为监视Internet安全提供方便.由于防火墙假设了网络边界和服务,因此适合于相对独立的网络.目前防火墙已经在Internet上得到了广泛的应用,而且由于防火墙不限于TCP/IP协议的特点,也使其逐步在Internet之外更具生命力.
面对当前如此多的防火墙产品,如何选择最符合自身需要的产品呢?通常应从安全策略考虑:首先,是防火墙自身的安全性,如果不能确保自身安全,自然也不能安全保护内部网络;其次,考虑特殊的需求,每个企业应根据自身的特殊需求来选择,并不是每一个防火墙都能满足客户需求;最后,一个好的防火墙还应提供完善的售后服务.
防火墙不是万能的,它具有如下缺点:一是防火墙可以阻断攻击,但不能消灭攻击源;二是防火墙不能抵抗最新的未设置策略的攻击漏洞;三是防火墙对服务器合法开放的端口的攻击大多无法阻止;四是防火墙不能解决来自内部网络的攻击和安全问题;五是防火墙本身也会出现问题和受到攻击;六是防火墙不处理病毒,不能防止受病毒感染的文件的传输;等等.因此,客观地讲,防火墙并不是解决网络安全问题的万能药方,而只是网络安全政策和策略中的一个组成部分.
5.2 IDS(Intrusion Detection System入侵检测系统)
IDS是继"防火墙"、"信息加密"等传统安全保护方法之后的新一代安全保障技术[6].入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术.它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象.IDS一般位于内部网的人口处,安装在防火墙的后面,用于检测人侵和内部用户的非法活动,提供对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前进行拦截和响应人侵处理.它可在不影响网络性能的情况下对网络进行监听,从而实现对网络的保护.
IDS能检测到的攻击类型常见的是:系统扫描(System Scanning)、拒绝服务(Deny of Service)和系统渗透(System Penetration)o I DS对攻击的检测方法主要有:被动、非在线地发现和实时、在线地发现计算机网络中的攻击者.IDS的主要优势是监听网络流量,但又不会影响网络的性能.作为对防火墙的有益补充,IDS能够帮助网络系统快速发现网络攻击的发生,可扩展系统管理员的安全管理能力,包括安全审计、监视、进攻识别和响应等,从而提高了信息安全基础结构的完整性,被认为是继防火墙之后的第二道安全闸门.
IDS技术的一大优点是只需收集相关的数据集合,可显着减少系统负担,且技术已相当成熟.它与防火墙采用的方法一样,检测准确率和效率都相当高.I DS的缺点是需要不断升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段,同时其本身的抗攻击能力差.
由于 I DS 和防火墙分别用于不同的目的,因此通常情况下可以同时选择使用IDS和防火墙,以便更好地保护系统.但是IDS和防火墙联动后,其稳定性并不是很理想,特别是攻击者有可能利用伪造的包信息,让IDS错误判断,进而错误指挥防火墙,从而将合法的地址屏蔽掉.
5.3 IPS (Intrusion Prevention System入侵防御系统)
IPS 是 一 种主动的、智能的人侵检测、防范、阻止系统,不但能检测人侵的发生,而且能通过一定的响应方式,实时地终止入侵行为的发生和发展,实时地保护信息系统不受实质性攻击的一种智能化的安全产品.IPS不仅能实现检测攻击,还能有效阻断攻击,它提供深层防护,注重主动防御,可以说IPS是基于IDS的、建立在IDS发展基础上的新生网络安全产品.
IPS 实现实时检查和阻止人侵的原理是:IPS拥有数目众多的过滤器,能够防止各种攻击.针对不同的攻击行为,IP设计不同的过滤器.每一种过滤器设置其相应的过滤规则,从而确保其准确性.当有新的攻击手段被发现,IPS就会创建一个新的过滤器,同时设置其相应的过滤规则.IPS数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容.依据数据包中报头信息,所有流经IPS的数据包将被分类,如源IP地址和目的护地址、端口号和应用域等.每种过滤器负责分析相对应的数据包.通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查.过滤器引擎集合了流水和大规模并行处理硬件,能够同时执行数千次的数据包过滤检查,从而确保数据包能够不间断地快速通过系统,不会对速度造成影响.IPS的关键技术是:主动防御技术、防火墙与IPS互动技术、集成多种检测技术和硬件加速系统.其主要技术特征是:嵌入式运行模式、完善的安全策略、高质量的入侵特征库、高效处理数据包的能力和强大的响应功能.
IPS 在很多方面融合了其他产品的一些特点,并作了很多方面的改进,但目前IPS的技术还不是很成熟,它所面临的挑战主要有:单点故障、性能瓶颈、误报和漏报等.其存在的最大隐患是有可能引起误操作,这种"主动性"误操作会阻塞合法的网络事件,最终影响到商务操作和客户信任度.它比较适合于组织大范围的、针对性不是很强的攻击.
5.4对三者进行比较
三者相比,防火墙是外围警戒,充当着防护的第一层,可根据指定的策略决定哪些流量可以通过,哪些不能;IPS的功能则比较单一,它是防护的第二层,它可以检测出在网络中自由流动的通信中存在的攻击信息,可对防火墙所不能过滤的攻击进行过滤,是防火墙的有效补充.IPS与IDS相比较,在入侵检测技术上它们都采用特征库、基于协议分析和异常检测等方式进行检测.不同的是,IDS只是在恶意流量传送时或传送后才发出报警,其系统的策略更新需要大量的人的参与;而IPS则可提供前瞻性的防护,其设计的宗旨在于预先拦截入侵活动和攻击性网络流量.IPS增加了在线连接和网络数据阻断两个新的特征,因此IPS的安全策略更新可以是在线的、自动的,类似于通常所说的网桥式防火墙.强大的响应功能即进行主动防御的保障是IPS区别与IDS的最显着的特点.
结论
总的来说 ,目前,防火墙和IDS在网络安全市场中占主导地位.防火墙是网关形式,要求高性能和高可靠性.因此防火墙注重吞吐率、延时、HA等方面的要求,并且其传输要求也非常高.但是防火墙不能避免蠕虫的泛滥、垃圾邮件、病毒传播、拒绝服务等,在新出现的安全攻击事件中,显得无能为力.IDS是主流的人侵检测技术.它是一个以检测和发现为特征的技术行为,其追求的是漏报率和误报率的降低,具有较高的技术特征,但其最大的问题在于只能检测攻击,不能阻止攻击.而IPS可以说是将防火墙,IDS,防病毒和脆弱性评估等技术的优点与自动防止攻击的功能融为一体的安全产品,其最显着的特征是具有主动防御功能.但由于当前其技术发展的不成熟,因此将IPS与防火墙,IDS等网络安全技术相结合才能有效保证网络的安全.
参 考 文 献
[1]谢希仁.计算机网络.大连:大连理工大学出版社,2003 .
[2]戚文静.网络安全与管理.北京:中国水利水电出版社,2003 .
[3]袁家政.计算机网络.西安:西安电子科技大学出版社,2001 .
[4]周海刚.网络安全技术基础.北京:清华大学出版社,北京交通大学出版社,2004.
[5]邵波,王其和.计算机网络安全技术及应用.北京:电子工业出版社,2005.
[6]裘锋 .IDS,IPS技术研究.计算机与现代化,2004,(1 2).
致 谢
在指导老师帮助下,我完成了论文写作.在论文写作过程中,得到各位老师的精心帮助,并得到学校网站管理人员的协助,我和本专业的若干同学在论文写作和修改过程中进行了多次探讨.在此,我诚挚地向指导老师和所有帮助我写作论文的老师、同学致谢!
