一、背景
信息是客觀事物狀態和運動特征的一種普遍形式,是事物在相互作用中所“刻畫”出的記錄。作為一種無形的物質資源。它以物質介質為載體,傳遞和反映世界各種事物存在的方式和運動狀態的表征。近年來,隨著計算機技術、數字通信技術以及網絡技術的飛速發展.信息在人類社會活動、經濟活動中起著越來越重要的作用。計算機能對各種信息進行海量和快速的采集、存儲、處理和交換,替代傳統的低效人工處理;互聯網把社會中的個體連接成一個整體,對信息進行快速有效的傳輸,實現世界范圍內的信息共享,人類社會已經邁入信息時代,其發展也離不開豐富快捷的網絡信息。
與此同時,網絡安全問題也伴隨著計算機、信息和網絡技術在政府機關、金融、商業等眾多領域的不斷推廣應用而逐步凸現出來,網絡自身的復雜性和脆弱性為“黑客”能夠以后進行不法活動留下可能的空間,以侵犯為目的的計算機犯罪案件不斷發生,據計算機緊急響應組織CERT(Computer EmergencyResponse Team)的統計,從1998年到2002年第二季度,CERT共接到143505起安全事件報告,其中在1988年到1998年這十年間,安全事件只有16096起,占總數的11.2%;而自1999年起,該數字則以每年超過100%的速度猛增,2001年已達~52658起,占總數的36.6%。等到2002年的前兩季度,這一數字就已達到了43136起。因此,網絡安全問題必須得到全社會的高度重視,人們需要保護私有信息,使其在存儲、處理或傳輸過程中不被非法訪問或刪改,以確保自己的利益不受損害。
網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷。網絡安全的目標就是保護網絡的程序、數據或設備,使其免受未授權的使用或訪問,以保護信息和資源的保密性、完整性、可用性、可控性和可審查性。
網絡安全問題是一個綜合性問題,它涉及到諸多因素,包括技術、產品和管理等。從研究內容的角度,網絡安全問題包括網絡的物理安全、管理安全和邏輯安全等。網絡的物理安全是整個網絡系統安全的前提,它包含在網絡運行過程中環境事故、電源故障、設備被竊被毀、電磁輻射等等潛在的風險防范。網絡的管理安全涉及內部工作人員和機房的安全管理。網絡的邏輯安全包含鏈路傳輸安全、網絡拓撲結構安全、操作系統安全、應用安全等。下面我們僅重點從網絡邏輯安全的角度介紹網絡安全信息技術。
二、技術現狀
目前在網絡信息安全技術領域處于領先地位的國家主要有美國、法國、以色列、英國、丹麥、瑞士等,這些國家在技術上特別是在芯片技術和操作系統上有著一定的歷史沉積。同時他們在信息安全技術的應用上起步較早,應用比較廣泛,其領先優勢主要集中在防火墻、入侵監測、漏洞掃描、防殺毒、身份認證等傳統的安全產品上。
我國的網絡信息安全技術研究與產業規模在過去幾年中取得了不小的進步,然而在系統安全的研究與應用方面與先進國家和地區存在很大差距,加之發展時間短,需求變化大,響應要求快等原因,致使我國的網絡信息安全產業整體布局缺乏頂層設計,沒有形成布局合理的、體系化的信息安全產業鏈。
我國目前普遍使用的操作系統無論是大家熟知的Windows桌面操作系統還是商用UNIX操作系統,其開發廠商必然在操作系統中留有“后門”,而且系統本身也不可避免存在很多安全漏洞。網絡中采用的TCP/IP協議族軟件,本身缺乏安全性,不能對來自Internet中夾帶的病毒及Web瀏覽可能存在的惡意Java/ActiveX控件進行有效控制。網絡中一旦有一臺主機受病毒感染,則病毒程序就完全有可能在極短的時間內迅速擴散,傳播到網絡上的所有主機,可能造成信息泄漏、文件丟失、機器死機等不安全因素。防火墻產品自身是否安全,則缺乏有效的手段加以監視、評估。
三、關鍵技術和協議
為了維護網絡信息的安全,構建一個完整安全的網絡安全系統,人們已經開始探索并使用了各種網絡安全信息技術,這些技術的主要目標是為維護兩個層面的安全,即信息自身安全的信息層面和信息載體安全運行的網絡層面。此外,為保障網絡系統的安全性,網絡中需要使用一些安全協議和安全技術,下面就對它們進行簡單的介紹。
1.數據加密技術
數據加密技術比較靈活,主要針對動態信息的保護,適用于開放網絡,它可以抵擋無從知曉的被動攻擊,避免重要信息被竊取或者篡改。數據加密技術實質上是對以符號為基礎的數據進行移位和置換的變換算法,這種變換稱為密鑰的符號串控制,加密和解密算法通常是在密鑰控制下進行的。目前的數據加密技術密碼體制分為對稱密鑰密碼技術和非對稱密鑰密碼技術。
對稱密鑰密碼技術要求加密解密雙方擁有相同的密鑰,加密方和解密方都要掌握密鑰才能夠完成加、解密過程。在對稱密鑰密碼技術中,最具代表性的就是美國的DES(數據加密標準)和IDEA(國際數據加密算法)。DES主要采用替換和移位的方法加密,主要應用在計算機網絡通信、電子資金傳輸系統、保護用戶文件、用戶識別等;國際數據加密算法(IDEA)是在DES算法的基礎上發展出來的,類似于三重DES加密,它既可用于加密,也可用于解密。
非對稱密鑰算法也稱公鑰加密算法,用兩對密鑰:一個公共密鑰和一個專用密鑰。用戶要保障專用密鑰的安全;公共密鑰則可以發布出去。公共密鑰與專用密鑰有著緊密的關系,用公共密鑰加密的信息只能用專用密鑰解密。除加密功能外,公鑰系統還可以提供數字簽名。公共密鑰加密算法使用最廣泛的是RSA算法。RSA是由麻省理工學院的Rivest、以色列魏茨中心的Shamir和南加州大學的Adelman-人在1978年提出的一種用數論構造的,也是迄今為止理論上最為成熟完善的公鑰密碼技術。
RSA與DES,它們的優缺點正好互補。RSA的密鑰很長,加密速度慢,而采用DES正好彌補了RSA的缺點。即DES用于明文加密,RSA用于DES密鑰的加密。由于DES加密速度快,適合加密較長的報文;而RSA可解決DES密鑰分配的問題。
2.身份認證技術
類似于三重DES加密,它既可用于加密,也可用于解密。
非對稱密鑰算法也稱公鑰加密算法,用兩對密鑰:一個公共密鑰和一個專用密鑰。用戶要保障專用密鑰的安全;公共密鑰則可以發布出去。公共密鑰與專用密鑰有著緊密的關系,用公共密鑰加密的信息只能用專用密鑰解密。除加密功能外,公鑰系統還可以提供數字簽名。公共密鑰加密算法使用最廣泛的是RSA算法。RSA是由麻省理工學院的Rivest、以色列魏茨中心的Shamir和南加州大學的Adelman-人在1978年提出的一種用數論構造的,也是迄今為止理論上最為成熟完善的公鑰密碼技術。
RSA與DES,它們的優缺點正好互補。RSA的密鑰很長,加密速度慢,而采用DES正好彌補了RSA的缺點。即DES用于明文加密,RSA用于DES密鑰的加密。由于DES加密速度快,適合加密較長的報文;而RSA可解決DES密鑰分配的問題。
2.身份認證技術
身份認證是指可靠地驗證某個通信參與方的身份是否與他所聲稱的身份一致的過程,是建立安全通信的前提條件,只有通信雙方相互確認對方身份后才能通過加密等手段建立安全信道。目前常用的身份認證技術是數字簽名和數字證書技術。
數字簽名就是只有信息發送者使用公開密鑰算法的主要技術產生的別人無法偽造的一段數字串,它是實現交易安全的核心技術之一。發送者用自己的私有密鑰加密數據傳給接收者,接收者用發送者的公鑰解開數據后,就可確定消息來自于誰,同時也是對發送者所發送信息真實性的一個驗證。
數字證書又叫“數字身份證”、“網絡身份證”,采用公鑰體制,即利用一對相互匹配的密鑰進行加密、解密,是由認證中心(CertificationAuthority,CA)發放并經認證中心數字簽名的,包含公開密鑰擁有者及公開密鑰相關信息的一種電子文件,可以用來證明數字證書持有者的真實身份,它是電子商務交易過程中廣泛使用的技術之一。
3.防火墻技術
防火墻(Firewall)技術是針對信息載體安全運行的網絡層面的網絡安全技術。防火墻是建立在內外網絡邊界上的過濾封鎖機制,是目前網絡系統實現網絡安全策略應用最廣泛的工具之一。根據防火墻所采用的技術,總體上可以分為數據包過濾防火墻、應用網關防火墻、代理型防火墻三大類型。
數據包過濾(PacketFiltering)防火墻速度快而且易于維護,通常作為第一道防線。它在網絡層中對數據包實施有選擇的通過,依據系統事先設定好的過濾邏輯,檢查數據流中的每個數據包,根據數據包的源地址、目標地址、以及包所使用端口確定是否允許該類數據包通過。應用級網關(Application LevelGateways)防火墻通常安裝在專用工作站上,它是在網絡應用層上建立協議過濾和轉發功能,針對特定的網絡應用服務協議使用指定的數據過濾邏輯,并在過濾的同時,對數據包進行必要的分析、登記和統計,形成報告。代理型防火墻中,代理服務(Proxy Service)也稱鏈路級網關或TCP通道(Circuit Level Gateways orTCP Tunnels),也有人將它歸于應用級網關一類。它是針對數據包過濾和應用網關技術存在的缺點而引入的防火墻技術,其特點是將所有跨越防火墻的網絡通信鏈路分為兩段。
4.網絡入侵檢測技術
入侵檢測系統(IDS-IntrusionDetection System)是網絡安全系統中不可缺少的部分,它對防火墻系統中的不足之處有很大彌補作用,可以彌補防火墻相對靜態防御的不足,其通用結構如圖1所示。
圖l入侵檢測系統通用結構
根據入侵檢測系統的檢測對象和工作方式不同,入侵檢測系統主要分為基于主機的入侵檢測系統、基于網絡的入侵檢測系統、基于內核的高性能入侵檢測系統和兩大類相結合的入侵檢測系統等。
基于主機的入侵檢測系統用于保護單臺主機不受網絡攻擊行為的侵害,需要安裝在被保護的主機上。基于網絡的入侵檢測系統通常是作為一個獨立的個體放置于被保護的網絡上,它使用原始的網絡分組數據包作為進行攻擊分析的數據源,一般利用一個網絡適配器來實時監視和分析所有通過網絡進行傳輸的通信。基于內核的入侵檢測系統是一種較新的技術,目前在Linux上可用的基于內核的入侵檢測系統主要有OpenWall和LIDS兩種,這些系統采取措施防止緩沖區溢出,增加文件系統的保護,封閉系統,從而使得入侵者破壞系統更加困難。
目前入侵檢測系統一般采用集中式模式,在被保護網絡的各個網段中分別放置檢測器進行數據包收集和分析。各個檢測器將檢測信息傳送給中央控制臺進行統一處理,中央控制臺還會向各個檢測器發送命令。這種模式的缺點是對于在復雜網絡上發起的分布式攻擊不僅難以及時進行數據分析以至于無法完成檢測任務,而且入侵檢測系統本身所在的主機還可能面臨因為負荷過重而崩潰的危險。對于這種情況,分布式入侵檢測系統需要采用分布式智能代理的結構,由一個或者多個中央智能代理和大量分布在網絡各處的本地代理組成,檢測工作通過全部代理相互協作共同完成。
入侵檢側系統與防火墻有很強的互補性。在網絡安全系統的設計過程中,入侵檢測系統經常與防火墻實現聯動。目前實現入侵檢測系統與防火墻之間的互動有兩種方式:一種是把入侵檢測系統嵌入到防火墻中,即入侵檢測系統的數據不再來源于所抓的包,而是流經防火墻的數據流,所有通過的數據包不僅要接受防火墻規則的判斷,還要檢測是否具有攻擊行為;第二種方式是通過開放接口來實現與防火墻的互動,但由于技術上仍有許多難點沒有突破,因此,與實際應用仍有一定的距離。在入侵檢測系統與防火墻實現聯動具體實現中,聯動控制客戶機/服務器模式通過擴展防火墻功能和IDS的功能在防火墻中駐留一個服務器端的程序,在IDS中駐留一個客戶端程序。客戶端在發現攻擊行為后產生控制信息。信息一般包括攻擊者的IP地址、端口、控制類型和時間,以及被攻擊主機lP地址或端口等信息,并將控制信息傳遞給服務器端(防火墻端),服務器端接收來自客戶機端(1DS端)的控制信息,然后在動態生成防火墻的過濾規則,最終實現聯動。一旦攔截攻擊停止后,添加的動態規則超時自動刪除。
5.虛擬專用網技術
虛擬專用網技術(Virtual PrivateNetwork,簡稱VPN)是借助于公用網的物理線路,在局域網和局域網之間或者是遠程客戶與局域網之間創建數據傳輸的網絡隧道,將傳輸的數據經過加密封裝后,透過虛擬的公網隧道進行傳輸,結構如圖2所示:
圖2 VPN結構圖
目前比較經典的VPN有AccessVPN、Intranet VPN和Extranel VPN三種類型,它們主要采用密碼技術、身份認證技術、隧道技術和密鑰管理技術四項技術。密碼技術是實現VPN中的關鍵核心技術之一;身份認證技術是VPN的功能實現的保證;隧道技術是VPN的基本技術,是通過對數據的封裝,在公共網絡上建立一條數據通道,讓數據包在這條隧道上傳輸;密鑰管理技術是VPN的重點技術。
6.訪問控制技術
訪問控制是網絡安全防范和保護的主要核心策略,它的主要任務是保證網絡資源不被非法使用和訪問。訪問控制規定了主體對客體訪問的限制,在身份識別的基礎上,根據身份對提出資源訪問的請求加以控制。它是對信息系統資源進行保護的重要措施,也是計算機系統最重要的安全機制。
訪問控制主要有網絡訪問控制和系統訪問控制兩種類型。網絡訪問控制限制外部對主機網絡服務的訪問和系統內部用戶對外部的訪問,通常由防火墻實現。系統訪問控制為不同的用戶賦予不同的主機資源訪問權限,操作系統提供一定的功能實現系統訪問控制。
實現網絡訪問控制的技術是AT&TBell實驗室的Dennis M.RitChie于1984年設計的流(STREAMS)技術,現在幾乎所有的UNlX操作系統都支持機制流,流是內核空間中的流驅動程序與用戶空間中的進程之間的一種全雙工的處理和數據傳輸通路。實現系統訪問控制的技術是系統調用捕獲和控制,系統調用是應用程序和操作系統內核之間的功能接口。通過截獲和控制系統調用實現系統的訪問控制。
7.網絡安全協議
在網絡的安全協議中,使用比較廣泛的包括IPSec(IP Security)、SSL(Secure Socket Layer)SET(Secure Electronic Transaction)3-1-協議。IP Sec是隨著IPv6的制定而產生的,是lPv6的一個組成部分,也是IPv4的一個可選擇的擴展協議。IP Sec協議已經成為工業標準的網絡安全協議。SSL是使用公鑰和私鑰技術組合的安全網絡通信協議,它是由Netscape公司推出的基于WEB應用的安全協議。SSL最常用來保護Web的安全。SET是由美國Visa和MasterCard兩大信用卡組織提出的應用于Internet上的以信用卡為基礎的電子支付系統協議。它采用公鑰密碼體制和X509數字證書標準,主要應用于BtoC模式中保障支付信息的安全性。
四、存在的問題
入侵檢測系統往往被認為是保護網絡系統的“最后一道安全防線”。但今天的網絡黑客已經學會將真正的攻擊動作隱藏在大量虛假報警之中,近年來針對網絡系統發起的攻擊技術大有水漲船高之勢,入侵檢測系統的開發者正在面臨一個兩難選擇:發現異常現象時,是報警,還是不報警?不報警,擔心有漏網之魚,報警,則有可能正中攻擊者的圈套。目前主流的入侵檢測系統大都存在以下問題:
(1)缺乏對于攻擊的精確描述能力是現有的IDS產生誤報與漏報的主要原因之一。現有的一些攻擊描述方法不嚴密導致對攻擊的描述有可能覆蓋某些正常的網絡行為,而且根據這些攻擊描述不能檢測出新的攻擊或已知攻擊的交種,從而引起誤報和漏報。
(2)相關攻擊可能產生大量相關報警信息,但目前IDS無法識別其相關性。雖然入侵檢測系統之間有邏輯上的連接,但他們只關注低級的攻擊和異常,并且各自產生自己的報警信息,彼此之間缺乏協調規范,不能撲捉到隱藏在這些攻擊背后的邏輯步驟和策略。
五、結束語
網絡安全是一個系統的工程,不能僅僅靠單個安全系統或者技術來實現,而需要仔細考慮系統的安全需求。并將各種安全技術結合在一起,才能生成一個高效、通用、安全的網絡系統。對于入侵檢測系統存在的誤報、漏報、報警信息難管理、報警信息層次低等問題,可以開展入侵檢測系統報警信息融合技術的研究,用于提高網絡預警能力。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:網絡安全信息技術應用與發展
本文網址:http://www.guhuozai8.cn/html/consultation/1083952230.html