1.網(wǎng)絡(luò)上的不安全因素
隨著全球信息化的飛速發(fā)展,大量建設(shè)的各種信息化系呢經(jīng)成為國家和政府的關(guān)鍵基礎(chǔ)設(shè)施,其中許多業(yè)務(wù)都是國際性的,諸如電信、電子商務(wù)、金融網(wǎng)絡(luò)等。網(wǎng)絡(luò)信息安全已成為亟待解決、影響國家全局和長遠(yuǎn)利益的重大關(guān)鍵問題。
計(jì)算機(jī)犯罪是一種高技術(shù)型犯罪,由于其犯罪的隱蔽性,因此對計(jì)算機(jī)網(wǎng)絡(luò)安全構(gòu)成了很大的威脅。計(jì)算機(jī)犯罪已經(jīng)引起全社會(huì)的普遍關(guān)注。隨著Internet的廣泛應(yīng)用,采用瀏覽器假務(wù)器模式的Intranet紛紛建成,這使網(wǎng)絡(luò)用戶可以方便地訪問和共享網(wǎng)絡(luò)資源。但同時(shí)對企業(yè)的重要信息,如貿(mào)易秘密、產(chǎn)品開發(fā)計(jì)劃、市場策略、財(cái)務(wù)資料等的安全無疑埋下了致命的威脅。必須認(rèn)識(shí)到,對于大到整個(gè)Internet小到各Intranet及各校園網(wǎng),都存在著來自網(wǎng)絡(luò)內(nèi)部與外部的威脅。對Internet構(gòu)成的威脅可分為兩類:故意危害和無意危害。
故意危害Internet安全的主要有三種人:故意破壞者又稱黑客(Hackers)、不遵守規(guī)貝。E者(vandals)和刺探秘密者(Crackers)。故意破壞者企圖通過各種手段去破壞網(wǎng)絡(luò)資源與信息,例如涂抹別人的主頁、修改系統(tǒng)配置、造成系統(tǒng)癱瘓;不遵守規(guī)則者企圖訪問不允許訪問的系統(tǒng),這種人可能僅僅是到網(wǎng)中看看、找些資料,也可能想盜用別人的計(jì)算機(jī)資源(如CPU時(shí)間);刺探秘密者的企圖是通過非法手段侵入他人系統(tǒng),以竊取重要秘密和個(gè)人資料。
除了泄露信息對企業(yè)網(wǎng)構(gòu)成威脅之外,還有一種危險(xiǎn)是有害信息的侵入。有人在網(wǎng)上傳,同播一些不健康的圖片、文字或散布不負(fù)責(zé)任的消息;另一些不遵守網(wǎng)絡(luò)使用規(guī)則的用戶可能如通過玩一些電子游戲?qū)⒉《編胂到y(tǒng),輕則造成信息出錯(cuò),嚴(yán)重時(shí)將會(huì)造成網(wǎng)絡(luò)癱瘓。
下面介紹幾種主要的網(wǎng)絡(luò)安全措施。
2.防火墻(Firewall)技術(shù)
防火墻是在被保護(hù)的Intranet與Internet之間豎起的一道安全屏障,用于增強(qiáng)Intranet的安全性。Internet/Intranet防火墻,用以確定哪些服務(wù)可以被Internet上的用戶訪問,部的哪些人可以訪問內(nèi)部的哪些服務(wù)以及哪些外部服務(wù)可以被內(nèi)部人員訪問。目前的防火墻技術(shù)可以起到以下安全作用:
(1)集中的網(wǎng)絡(luò)安全。防火墻允許網(wǎng)絡(luò)管理員定義一個(gè)中心(阻塞點(diǎn))來防止非法用戶(如黑客、網(wǎng)絡(luò)破壞者等)進(jìn)入內(nèi)部網(wǎng)絡(luò),禁止存在不安全因素的訪問進(jìn)出網(wǎng)絡(luò),并抗擊來自各種線路的攻擊。防火墻技術(shù)能夠簡化網(wǎng)絡(luò)的安全管理、提高網(wǎng)絡(luò)的安全性。
(2)安全警報(bào)。通過防火墻可以方便地監(jiān)視網(wǎng)絡(luò)的安全性,并產(chǎn)生報(bào)警信號(hào)。網(wǎng)絡(luò)管理員必須審查并記錄所有通過防火墻的重要信息。
(3)重新部署網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)。Internet的迅速發(fā)展使得有效的未被申請的IP地址越來越少,這意味著想進(jìn)入Internet的機(jī)構(gòu)可能申請不到足夠的IP地址來滿足內(nèi)部網(wǎng)絡(luò)用戶的需要。為了接人Internet,可以通過網(wǎng)絡(luò)地址轉(zhuǎn)換NAT (Network Administrator)來完成內(nèi)部私有地址到外部注冊地址的映射。防火墻是部署NAT的理想位置。
(4)監(jiān)視Internet的使用。防火墻也是審查和記錄內(nèi)部人員對Internet使用的一個(gè)最佳位置,可以在此對內(nèi)部訪問Internet的情況進(jìn)行記錄。
(5)向外發(fā)布信息。防火墻除了起到安全屏障作用之外,也是部署WWW服務(wù)器和Ftp服務(wù)器的理想位置。允許對防火墻進(jìn)行配置,允許Internet訪問上述服務(wù)器,而禁止對內(nèi)部受保護(hù)的其它系統(tǒng)進(jìn)行訪問。
但是,防火墻也有自身的局限性,它無法防范來自防火墻以外的其它途徑所進(jìn)行的攻擊。例如在一個(gè)被保護(hù)的網(wǎng)絡(luò)上有一個(gè)沒有限制的撥號(hào)訪問存在,這樣就為從后門進(jìn)行攻擊留下了可能性;另外,防火墻也不能防止來自內(nèi)部變節(jié)者或不經(jīng)心的用戶所帶來的威脅;同時(shí)防火墻也不能解決進(jìn)入防火墻的數(shù)據(jù)帶來的所有安全問題,如果用戶抓來一個(gè)程序在本地運(yùn)行,那個(gè)程序可能就包含一段惡意代碼,可能會(huì)導(dǎo)致敏感信息泄露或遭到破壞。
典型的防火墻系統(tǒng)可以由一個(gè)或多個(gè)構(gòu)件組成,其主要部分是:包過濾路由器也稱分組過濾路由器(Packet Filtering Router)、應(yīng)用層網(wǎng)關(guān)(Application Gateway,也稱代理服務(wù)器)、電路層網(wǎng)關(guān)。
包過濾路由器對IP地址、TCP或UDP分組頭信息進(jìn)行檢查與過濾,以確定是否與設(shè)備的過濾規(guī)則匹配,繼而決定該數(shù)據(jù)包按照路由表中的信息被轉(zhuǎn)發(fā)或被丟棄。包過濾方式的主要優(yōu)點(diǎn)是僅一個(gè)關(guān)鍵位置設(shè)置一個(gè)包過濾路由器就可以保護(hù)整個(gè)網(wǎng)絡(luò),而且包過濾對用戶是透明的,不必在用戶機(jī)上再安裝特定的軟件。包過濾也有它的缺點(diǎn)和局限性,如包過濾的規(guī)則配置比較復(fù)雜,而且?guī)缀鯖]有什么工具能對過濾規(guī)則的正確性進(jìn)行測試;包過濾也元法查出具有數(shù)據(jù)驅(qū)動(dòng)攻擊這一類潛在危險(xiǎn)的數(shù)據(jù)包;另外,隨著過濾器數(shù)目的增加,路由器的吞吐量會(huì)下降,從而影響網(wǎng)絡(luò)性能。
應(yīng)用層網(wǎng)關(guān)也就是通常所說的代理服務(wù)器。代理服務(wù)器運(yùn)行在Internet和Intranet之間,當(dāng)收到用戶對某站點(diǎn)的訪問請求后,會(huì)檢查該請求是否符合規(guī)定。若規(guī)則允許用戶訪問該站的話,代理服務(wù)器便以客戶身份去那個(gè)站點(diǎn)取回所需信息再轉(zhuǎn)發(fā)給客戶o因此代理服務(wù)器會(huì)像一堵墻一樣擋在內(nèi)部用戶和外界之間,從外部只能看到該代理服務(wù)器而無法獲知任何內(nèi)部資料,諸如用戶的IP地址等。應(yīng)用層網(wǎng)關(guān)比單一的包過濾更為可靠,而且會(huì)詳細(xì)記錄所有的訪問狀態(tài)信息。但是應(yīng)用層網(wǎng)關(guān)也存在一些不足之處,首先因?yàn)樗辉试S用戶直接訪問網(wǎng)絡(luò),會(huì)使訪問速度變慢;而且應(yīng)用層網(wǎng)關(guān)需要對每一個(gè)特定的Internet服務(wù)器安裝相應(yīng)的代理服務(wù)軟件,用戶不能使用未被服務(wù)器支持的服務(wù),對每一類服務(wù)要使用特殊的客戶端軟件;更不幸的是,并不是所有的Internet應(yīng)用軟件都可以使用代理服務(wù)器。
電路層網(wǎng)關(guān)是一種特殊的功能,它也可以由應(yīng)用層網(wǎng)關(guān)來完成。電路層網(wǎng)關(guān)只依賴于TCP連接,并不進(jìn)行任何附加的包處理或過濾。在Telnet的連接中,電路層網(wǎng)關(guān)簡單地進(jìn)行了中繼,并不做任何審查、過濾或協(xié)議管理。它只在內(nèi)部連接和外部連接之間來回拷貝字節(jié),但隱藏受保護(hù)網(wǎng)絡(luò)的有關(guān)信息。電路層網(wǎng)關(guān)常用于對外連接,此時(shí)假設(shè)網(wǎng)絡(luò)管理員對其內(nèi)部用戶是信任的。它的優(yōu)點(diǎn)是主機(jī)可以被設(shè)置成混合網(wǎng)關(guān),對于內(nèi)連接它支持應(yīng)用層或代理服務(wù),而對于外連接它支持電路層功能。這樣,使得防火墻系統(tǒng)對于要訪問Internet服務(wù)的內(nèi)部用戶來說使用起來很方便,同時(shí)又能提供保護(hù)內(nèi)部網(wǎng)絡(luò)免于外部攻擊的防火墻功能。