1.网络上的不安全因素
随着全球信息化的飞速发展,大量建设的各种信息化系呢经成为国家和政府的关键基础设施,其中许多业务都是国际性的,诸如电信、电子商务、金融网络等。网络信息安全已成为亟待解决、影响国家全局和长远利益的重大关键问题。
计算机犯罪是一种高技术型犯罪,由于其犯罪的隐蔽性,因此对计算机网络安全构成了很大的威胁。计算机犯罪已经引起全社会的普遍关注。随着Internet的广泛应用,采用浏览器假务器模式的Intranet纷纷建成,这使网络用户可以方便地访问和共享网络资源。但同时对企业的重要信息,如贸易秘密、产品开发计划、市场策略、财务资料等的安全无疑埋下了致命的威胁。必须认识到,对于大到整个Internet小到各Intranet及各校园网,都存在着来自网络内部与外部的威胁。对Internet构成的威胁可分为两类:故意危害和无意危害。
故意危害Internet安全的主要有三种人:故意破坏者又称黑客(Hackers)、不遵守规贝。E者(vandals)和刺探秘密者(Crackers)。故意破坏者企图通过各种手段去破坏网络资源与信息,例如涂抹别人的主页、修改系统配置、造成系统瘫痪;不遵守规则者企图访问不允许访问的系统,这种人可能仅仅是到网中看看、找些资料,也可能想盗用别人的计算机资源(如CPU时间);刺探秘密者的企图是通过非法手段侵入他人系统,以窃取重要秘密和个人资料。
除了泄露信息对企业网构成威胁之外,还有一种危险是有害信息的侵入。有人在网上传,同播一些不健康的图片、文字或散布不负责任的消息;另一些不遵守网络使用规则的用户可能如通过玩一些电子游戏将病毒带入系统,轻则造成信息出错,严重时将会造成网络瘫痪。
下面介绍几种主要的网络安全措施。
2.防火墙(Firewall)技术
防火墙是在被保护的Intranet与Internet之间竖起的一道安全屏障,用于增强Intranet的安全性。Internet/Intranet防火墙,用以确定哪些服务可以被Internet上的用户访问,部的哪些人可以访问内部的哪些服务以及哪些外部服务可以被内部人员访问。目前的防火墙技术可以起到以下安全作用:
(1)集中的网络安全。防火墙允许网络管理员定义一个中心(阻塞点)来防止非法用户(如黑客、网络破坏者等)进入内部网络,禁止存在不安全因素的访问进出网络,并抗击来自各种线路的攻击。防火墙技术能够简化网络的安全管理、提高网络的安全性。
(2)安全警报。通过防火墙可以方便地监视网络的安全性,并产生报警信号。网络管理员必须审查并记录所有通过防火墙的重要信息。
(3)重新部署网络地址转换(NAT)。Internet的迅速发展使得有效的未被申请的IP地址越来越少,这意味着想进入Internet的机构可能申请不到足够的IP地址来满足内部网络用户的需要。为了接人Internet,可以通过网络地址转换NAT (Network Administrator)来完成内部私有地址到外部注册地址的映射。防火墙是部署NAT的理想位置。
(4)监视Internet的使用。防火墙也是审查和记录内部人员对Internet使用的一个最佳位置,可以在此对内部访问Internet的情况进行记录。
(5)向外发布信息。防火墙除了起到安全屏障作用之外,也是部署WWW服务器和Ftp服务器的理想位置。允许对防火墙进行配置,允许Internet访问上述服务器,而禁止对内部受保护的其它系统进行访问。
但是,防火墙也有自身的局限性,它无法防范来自防火墙以外的其它途径所进行的攻击。例如在一个被保护的网络上有一个没有限制的拨号访问存在,这样就为从后门进行攻击留下了可能性;另外,防火墙也不能防止来自内部变节者或不经心的用户所带来的威胁;同时防火墙也不能解决进入防火墙的数据带来的所有安全问题,如果用户抓来一个程序在本地运行,那个程序可能就包含一段恶意代码,可能会导致敏感信息泄露或遭到破坏。
典型的防火墙系统可以由一个或多个构件组成,其主要部分是:包过滤路由器也称分组过滤路由器(Packet Filtering Router)、应用层网关(Application Gateway,也称代理服务器)、电路层网关。
包过滤路由器对IP地址、TCP或UDP分组头信息进行检查与过滤,以确定是否与设备的过滤规则匹配,继而决定该数据包按照路由表中的信息被转发或被丢弃。包过滤方式的主要优点是仅一个关键位置设置一个包过滤路由器就可以保护整个网络,而且包过滤对用户是透明的,不必在用户机上再安装特定的软件。包过滤也有它的缺点和局限性,如包过滤的规则配置比较复杂,而且几乎没有什么工具能对过滤规则的正确性进行测试;包过滤也元法查出具有数据驱动攻击这一类潜在危险的数据包;另外,随着过滤器数目的增加,路由器的吞吐量会下降,从而影响网络性能。
应用层网关也就是通常所说的代理服务器。代理服务器运行在Internet和Intranet之间,当收到用户对某站点的访问请求后,会检查该请求是否符合规定。若规则允许用户访问该站的话,代理服务器便以客户身份去那个站点取回所需信息再转发给客户o因此代理服务器会像一堵墙一样挡在内部用户和外界之间,从外部只能看到该代理服务器而无法获知任何内部资料,诸如用户的IP地址等。应用层网关比单一的包过滤更为可靠,而且会详细记录所有的访问状态信息。但是应用层网关也存在一些不足之处,首先因为它不允许用户直接访问网络,会使访问速度变慢;而且应用层网关需要对每一个特定的Internet服务器安装相应的代理服务软件,用户不能使用未被服务器支持的服务,对每一类服务要使用特殊的客户端软件;更不幸的是,并不是所有的Internet应用软件都可以使用代理服务器。
电路层网关是一种特殊的功能,它也可以由应用层网关来完成。电路层网关只依赖于TCP连接,并不进行任何附加的包处理或过滤。在Telnet的连接中,电路层网关简单地进行了中继,并不做任何审查、过滤或协议管理。它只在内部连接和外部连接之间来回拷贝字节,但隐藏受保护网络的有关信息。电路层网关常用于对外连接,此时假设网络管理员对其内部用户是信任的。它的优点是主机可以被设置成混合网关,对于内连接它支持应用层或代理服务,而对于外连接它支持电路层功能。这样,使得防火墙系统对于要访问Internet服务的内部用户来说使用起来很方便,同时又能提供保护内部网络免于外部攻击的防火墙功能。