网络信息安全技术综述

2009年9月

甘肃科技

GansuScienceandTechnology

Vol.25　No.17Sep.　2009

网络信息安全技术综述

周卫民

(甘肃信息工程技术中等专业学校,甘肃兰州730000)

摘　要:近年来,随着计算机应用技术,如,Internet技术的迅速发展,一方面,基于网络的计算机系统在现代社会中的地位越来越重要,越来越多的用户可以足不出户地访问到全球网络系统丰富的信息资源。网络信息技术的应用也日益的普及和推广,各种商务、金融机构以及国家政府机构在电子商务热潮中纷纷连入Internet;另一方面,伴随着网络不断增强的信息共享和业务处理,这些关键的业务越来越多的成为黑客的攻击目标,网络的安全问题也显得越来越突出,而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全也提出了更高的要求。网络安全的一个主要威胁是来自于非法用户或黑客通过网络信息系统进行的入侵。而传统的安全方法是采用尽可能多的禁止策略对入侵进行防御,但是这种策略无法防止隐信道的产生以及系统所认定的授权用户的非法操作,对于来自内部非法操作、口令和密码的泄漏、软件缺陷以及拒绝服务型攻击(Dos)则更是无能为力。关键词:网络信息安全;防火墙技术;访问控制;入侵检测;攻击检测;ARP欺骗中图分类号:TP311

1　网络信息安全的概述

1.1　网络安全技术研究的目地和意义

近年来,互联网络以其简捷、方便以及费用低廉

等优点,已经越来越深入地渗透到人们的生活之中,成为人们信息交流的重要手段。原来传统的信息媒体诸如纸张、胶卷、磁带等纷纷让位与电子媒体。人们可以在网上通过网络门户如Yahoo、Sohu查询资料,或者通过电子邮箱以及BBS等在网上交流信息,这一切都大大的提高了人们的工作效率。互联网络不仅能够给人们提供信息资源,还使得网上电子商务的开展如网上购物、网上书店成为可能,大大地影响了人们的生活。同时电子商务的出现标志着互联网络的建设之中,从而更大的促进网络的发[1]

展。

网络的发展给人们带来了前所未有的便利,同时也给人们提出了新的挑战。每天互联网上都有大量的数据在传输,这其中既有对安全性要求相对较低的网页内容,也有安全要求相对较高的电子邮件以及ICQ信息,还有要求高度保密的电子商务交易数据。所以这一切,都对互联网上的数据安全提出了更高的要求。由于Internet网络本身的开放性,使每一个上网的用户既成为网络的受益者也可能成为网络的破坏者。同样由于目前Internet网络的无序化使得网络秩序基本上处于无法可依的状态。因此就要求对网上用户传来的数据进行加密检验、阻止等工作,以保证自己的网络安全。

目前所在的互联网络上的通信都使用TCP/IP协议,由于互联网络本身特点以及TCP/IP协议的弱点,TCP/IP协议在信息到达终点之前可能要通过许多中间计算机和单独的网络,这使得它的传输信息容易受到第三方的干扰,因此使得在网络上传输的数据面临着各种安全问题。在网络上传输的数据对于数据的安全性也有不同的要求,例如,传输的网页数据仅仅要求不被篡改即可,而电子邮件则要求不能被窃听或者篡改,而电子商务中传输的敏感数据,如订货单等则要求相当高的安全性,其数据不能被窃听、篡改,同时接受方和发送方必须不能被假冒。同时网上还有一些数据,如个人信用卡密码、个人档案、政府公文等都对数据传输的安全性提出了

[2]

更高的要求。针对网上数据传输安全性提出了以下的要求。

(1)机密性:数据不会被未授权的窃听者所窃听。

(2)可认证性:文件是真正的原文,并未被无意或者恶意的篡改。

(3)不可否认性:发送方在发送文件之后,不可否认他曾送出这份文件。

要解决这些问题唯一的方法就是网络信息安全的各种技术

[3]

1.2　网络信息安全的概念

网络信息安全是一个系统性概念,它包括设备安全,自动化管理系统安全,各种数据安全,网络通

[4]

信安全,人员管理安全,环境安全几个方面。网

© 1994-2009 China Academic Journal Electronic Publishing House. All rights reserved. http://www.cnki.net

30　　　　　　　　　　　甘　肃　科　技　　　　　　　　　　　　　　　　第25卷

2.1.3　操作失误,意外疏漏

络信息安全有下列三个目标。

1.2.1　完整性

信息在存储,传递和提取的过程中没有残缺,丢失等现象的出现,这就要求信息的存储介质,存储方式,传播媒体,传播方法,读取方式等要完全可靠,因为信息总是以一定的方式来记录,传递与提取的,它以多种多样的形式存储于多样的物理介质中,并随时可能通过一定的方式来传递。1.2.2　机密性

就是信息不被泄露或窃取。这也是一般人们所理解的安全概念。人们总希望有些信息不被自己不信任的人所知晓,因而采取一些方法来防止,比如把秘密的信息进行加密就是实现信息机密性的方法。1.2.3　有效性

一种是对信息的存取有效性的保证,即以规定的方法能够准确无误地存取特定的信息资源;一种是信息的时效性,指信息在特定的时间段内能被有权存取该信息的主体所存取等。

此类不安全因素的特点是:人为实施的无意性和非针对性。主要破坏了网络信息的完整性和可用性,而对保密性影响不大。主要采用状态检测,报警确认,应急恢复等来防范。2.2　安全控制

安全控制是指在网络信息系统中对存储和传输辐射信息的操作和进程进行控制和管理。在网络信息处理层次上对信息进行安全保护。2.2.1　操作系统的安全控制包括对用户合法身份的核实,对文件读写权限的控制等。此类控制主要是保护被存储数据的安全。2.2.2　网络接口模块的安全控制

在网络环境下对来自其他机器的网络通信进程进行安全控制。此类控制主要包括身份认证,客户权限设置与判别,日志审计等手段。2.2.3　网络互联设备的安全控制

2　网络信息安全所要解决的问题

全,安全控制,安全服务三个方面。2.1　物理安全

[2,3]

计算机网络安全的层次上大致可分为:物理安

对整个子网内的所有主机的传输信息和运行状态进行安全检测和控制。此类控制主要通过网管软件或路由器配置实现。2.3　安全服务安全服务是指在应用程序层对网络信息的保密性,完整性和真实性进行保护和鉴别,防止各种安全威胁和攻击,其可以在一定程度上弥补和完善现有操作系统和网络信息系统的安全漏洞。安全服务主要包括。

安全机制,安全连接,安全协议,安全策略等。(1)安全机制是利用密码算法对重要而敏感的数据进行处理。以保护网络信息的保密性为目的的数据加密和解密;以保证网络信息来源的真实性和合法性为目标的数字签名和签名验证;以保护网络信息的完整性,防止和检测数据被修改,插入,删除和改变的信息认证等。

(2)安全连接是在安全处理前与网络通信方之间的连接过程。安全连接为安全处理进行了必要的准备工作。安全连接主要包括身份验证等。

(3)安全协议使网络环境下互不信任的通信方能够相互配合,并通过安全连接和安全机制的实现来保证通信过程的安全性,可靠性,公平性。

(4)安全策略是安全机制,安全连接和安全协议的有机组合方式,是网络信息安全性完整的解决方案。不同的网络信息系统和不同的应用环境需要不同的安全策略。

物理安全是指在物理介质层次上对存储和传递的网络信息的安全保护。对于计算机网络设备,设施等等免于遭受自然或人为的破坏。主要有环境安全,是指自然环境对计算机网络设备与设施的影响;设备安全,是指防止设备被盗窃,毁坏,电磁辐射,电磁干扰,窃听等;媒体安全,是指保证媒体本身以及媒体所载数据的安全性。该层次上的不安全因素包括三大类:

2.1.1　自然灾害,物理损坏,设备故障

此类不安全因素的特点是:突发性,自然性,非针对性。这种不安全因素对网络信息的完整性和可用性威胁最大,而对网络信息的保密性影响却较小,因为在一般情况下,物理上的破坏将销毁网络信息本身。解决此类不安全隐患的有效方法是采取各种防护措施,制定安全规章,随时备份数据等。2.1.2　电磁辐射,痕迹泄露等

此类不安全因素的特点是:隐蔽性,人为实施的故意性,信息的无意泄露性。这种不安全因素主要破坏网络信息的保密性,而对网络信息的完整性和可用性影响不大。解决此类不安全隐患的有效方法是采取辐射防护,屏幕口令,隐患销毁等手段。

© 1994-2009 China Academic Journal Electronic Publishing House. All rights reserved. http://www.cnki.net

第17期　　　　　　　　　　　　　　周卫民:网络信息安全技术综述31

3　常见安全控制技术

3.1　防火墙技术3.1.1　防火墙技术概述

代理防火墙的原理:所谓代理服务器,是指代表

客户处理在服务器连接请求的程序。当代理服务器得到一个客户的连接意图时,它将核实客户请求,并用特定的安全化的代理应用程序来处理连接请求,将处理后的请求传递到真实的服务器上,然后接受服务器应答,并做尽一步处理后,将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接和隔离内,外部网络的作用,所以又叫代理防火墙。代理防火墙工作于应用层,且针对特定的应用层协议。3.2　访问控制技术3.2.1　访问控制的内容访问控制技术起源于70年代,当时是为了满足管理大型主机系统上共享数据授权访问的需要。但随着计算机技术和应用的发展,特别是网络应用的发展,这一技术的思想和方法迅速应用于信息系统的各个领域。在30年的发展过程中,先后出现了多种重要的访问控制技术,它们的基本目标都是为了防止非法用户进入系统和合法用户对系统资源的非法使用。为了达到这个目标,访问控制常以用户身分证为前提,在此基础上实施各种访问控制策略来控制和规范合法用户在系统中的行为。

访问控制(AccessControl),就是通过某种途径显式地准许或限制访问能力及范围,以限制对关键资源的访问,防止非法用户的侵入或合法用户的不慎操作所造成的破坏。访问控制系统一般包括三个要素,主体(Subject)、客体(Object)和安全访问规则

。

(1)主体S(Subject)是指一个提出请求或要求的实体,是动作的发起者,但不一定是动作的执行者。主体可以是一个用户,也可以是用户启动的进程,服务和设备。

(2)客体O(Object)是接受其它实体访问的被动实体。客体的概念也很广泛,凡是可以被操作的信息,资源,对象都可以认为是客体。

(3)安全访问规则:用以确定一个主体对某个客体是否拥有访问权限的判断策略。

访问控制的实质是通过安全访问规则限制访问主体(用户、进程、服务)对客体(程序、文件等)的访问权限,从而使计算机系统在合法范围内使用。只有经过授权的用户向系统正确提交并验证通过了自己的身份后,在允许访问特定的系统资源。3.2.2　访问控制策略

控制策略(Attribution)是主体对客体的访问规

[6]

防火墙并不是真正的墙,它是一类防范措施的总称。是一种有效的网络安全模型,是机构总体安全策略的一部分。防火墙是位于内部网络与外部网络之间或两个信任程度不同的网络之间(如企业内部网络和Internet之间)的软件或硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,限制外界用户对内部网络的访问及管理内部用户访问外部网络的权限的系统,防止对重要信息资源的非法存取和访问,以达到保护系统安全的目的。防火墙是把安全的网络连接到不安全的网络上、保护安全网络最大程度地访问不安全[4]

网络、将不安全网络转变为安全网络。3.1.2　防火墙安全技术分类尽管防火墙的发展经过了上述的几代,但是按照防火墙对内外来往数据的处理方法,大致可以将防火墙分为两大体系:包过滤防火墙和代理防火墙(应用层网关防火墙)[5]。

(1)包过滤防火墙

数据包过滤(PacketFiltering)技术是防火墙为系统提供安全保障的主要技术,它通过设备对进出

[6]

网络的数据流进行有选择地控制与操作。包是网络上信息流动的其本单位,它由数据负载和协议头两个部分组成。包过滤操作一般都是在选择路由的同时在网络层对数据包进行选择或过滤(通常是对从Internet进入到内部网络的包进行过滤)。选择的依据是系统内设置的过滤逻辑,被称为访问控制表(AccessControlTable)或规则表。规则表指定允许哪些类型的数据包可以流入或流出内部网络,例如:只接收来自从指定的IP地址的数据包或者内部网络的数据包可以流向某些指定的端口等;哪些类型的数据包的传输应该被拦截。防火墙的IP包过滤规则以IP包信息为基础,对IP包源地址,目标地址,传输方向,分包,IP包封装协议(TCP/UDP/ICMP/IPTunnel),TCP/UDP目标端口号等进行筛选,过滤。通过检查数据流中每个数据包的源地址,目的地址,所有的端口号,协议状态等因素,或它们的组合来确定是否允许该数据包通过。

(2)代理防火墙代理防火墙是一种较新型的防火墙技术,它分为应用层网关和电路层网关。

© 1994-2009 China Academic Journal Electronic Publishing House. All rights reserved. http://www.cnki.net

32　　　　　　　　　　　甘　肃　科　技　　　　　　　　　　　　　　　　第25卷

很好地适应实际组织的安全策略,具有很好的灵活

性,能够减轻系统安全管理的负担,因此必将得到更加广泛的应用

[9]

则集,既属性集合。访问策略实际上体现了一种授权行为,也就是客体对主体的权限允许。采用可靠的访问控制机制是数据库系统安全的必要保证。根据访问控制策略的不同,目前主流的访问控制技术有自主访问控制(DiscretionaryAccessControlDAC)、强制访问控制(MandatoryAccessControlMAC)、基于角色的访问控制(Role-BasedAccessControlRBAC)等,而UCON作为新兴的访问控制技术已成为研究的热点。

(1)自主访问控制

自主访问控制(DACDiscretionaryAccessCon2trol)的基本思想是系统中的主体(用户或用户进程)可以自主地将其拥有的对客体的访问权限全部或部分地授予给其它主体。实现方法一般是建立系统访问控制矩阵,矩阵的行对应系统的主体,列对应系统的客体,元素表示主体对客体的访问权限。为了提高系统性能,在实际应用中常常是建立基于行(主体)或列(客体)的访问控制方法。

(2)强制访问控制

MAC(MandatoryAccessControl)源于对信息机密性的要求以及防止特洛伊木马之类的攻击。MAC通过无法回避的存取限制来阻止直接或间接的非法入侵。系统中的主/客体都被分配一个固定的安全属性,利用安全属性决定一个主体是否可以访问某个客体。安全属性是强制性的,由安全管理员(SecurityOfficer)分配,用户或用户进程不能改变自身或其它主/客体的安全属性。MAC的本质是基于格的非循环单向信息流政策。系统中每个主体都被授予一个安全证书,而每个客体被指定为一定的敏感级别。访问控制的两个关键规则是:不向上读和不向下写,即信息流只能从低安全级向高安全级流动。任何违反非循环信息流的行为都是被禁止的。

(3)基于角色的访问控制

。

4　计算机病毒防范技术

4.1　计算机病毒的定义

指编制或者在计算机程序中插入的破坏计算机的功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。简单来说计算机病毒是一种特殊的计算机程。4.2　病毒的分类4.2.1　按感染方式分为引导型,文件型和混合型病毒

　　(1)引导型病毒利用软盘或硬盘的启动原理工作,修改系统的引导扇区。病毒感染引导扇区后,在操作系统启动之前病毒就会被读入内存,并首先取得控制权。在这种状态下,只要在计算机中插入其他软盘等外部存储介质,就都会被感染。

(2)文件型病毒一般只感染磁盘上的可执行文件.COM,EXE等。在用户调用染毒的执行文件时,病毒首先运行,然后病毒驻留内存,伺机感染给其他可感染文件。其特点是附着于正常程序文件中,成为程序文件的一个外壳或部件。

(3)混合型病毒兼有上两种病毒特点,既感染引导区又感染文件,因此这种病毒更易感染。4.2.2　按连接方式分为源码型,入侵型,操作系统

型和外壳型病毒

　　(1)源码型病毒较为少见,亦难编写,传播。因为它要攻击高级语言编写的源程序,在源程序编译之前插入其中,并随源程序一起编译,连接成可执行文件。

(2)入侵型病毒可用自身代替正常程序中的部分模块或堆栈区。

(3)操作系统病毒可用其自身部分加入或替代操作系统的部分功能。

(4)外壳型病毒将自身附在正常程序的开头或结尾,相当于给正常程序加了个外壳。

[10,11]

4.3　病毒防治技术4.3.1　实时监视技术

这个为计算机构筑起一道动态,实时的反病毒防线,通过修改操作系统,使操作系统本身具备反病毒功能,拒病毒于计算机系统之门外。4.3.2　全平台反病毒技术

它的基本思想是:授权给用户的访问权限,通常

由用户在一个组织中担当的角色来确定。RBAC根据用户在组织内所处的角色作出访问授权与控制。但用户不能自主地将访问权限传给他人。这一点是RBAC和DAC最基本的区别。用户和角色是多对

[7,8]

多的关系,角色与客体间也是多对多的关系。3.2.3　访问控制的发展

网络技术的发展使访问控制技术的研究成为热点;应用系统的多样性又决定了访问控制的复杂性,很难统一到一个简单的标准之内。由于RBAC能够

目前病活跃的平台有DOSWindowsNT,Net2

© 1994-2009 China Academic Journal Electronic Publishing House. All rights reserved. http://www.cnki.net

第17期　　　　　　　　　　　　　　周卫民:网络信息安全技术综述WareUNIX等。为了将反病毒软件与系统的底层无

33

缝连接,可靠地实时检查和杀除病毒,必须在不同的平台上使用相应平台的反病毒软件,在每一个点上都安装相应的反病毒模块,才能做到网络的真正安全和可靠。

本文着重论述以上的两点即常见安全控制技术和计算机病毒防范技术,以及日常必备的防范措施注意如下。

(1)不要随便从Internet上下载软件,尤其是不可靠的FTP站点和非授权的软件分发点。即使从知名的网站下载的软件也要及时用最新的杀毒软件进行扫描。

(2)及时下载安装系统补丁程序。(3)使用能防病毒,防黑客的防火墙软件。(4)设置代理服务器,隐藏自己的IP地址。

(5)安装过滤器路由器,防止IP欺骗。该路由

安全文化,这三者涵盖了网络安全的各个方面。作为一种文化,通过对它的受体—人的网络行为的影响与制约来影响网络的安全,它的作用主要通过对网络价值观、网络法律法规、网络技术和网络组织机构的影响来体现。

5)构建优秀的网络安全文化是一项复杂的系统工程,它必须考虑到各个方面,有正确的方针来指导,有科学的构建方法与途径,同时要正确地处理现实中的各种挑战,构建优秀的网络安全文化对保障和促进网络的安全、健康、持续发展有着重大的实际意义。不足:由于人们对网络安全文化的研究时间尚短,现在对网络安全文化的研究与建设尚处于起步阶段,对网络安全文化的研究还不够深入。如网络安全文化对网络安全的影响的定量评价,对各种网络安全文化的区别与衡量,及网络安全文化在适应范围上的拓展以及在更细的层面上的网络安全文化影响因素等问题的研究都还很不深入,值得人们去进一步探讨和学习。

参考文献:

[1]　江全平.浅谈网络信息安全技术[J].现代情报,2004

(12):1252126.

[2]　俞承抗.计算机网络信息与安全技术[M].北京:机械

器限制本站点外部接口的输入,监视数据包,可发现IP欺骗。应不允许那些以本站点内部网为源地址

的包通过,还应当滤去那些以不同于内部网为源地

址的包输出。

(6)建立完善的访问控制策略。(7)采用加密技术。(8)做好备份工作。

工业出版社,2008:1892190.

[3]　蔡立军.计算机网络安全技术[M].北京:中国:水利

5　结论

1)网络发展迫切需要一种行之有效地解决网

水点出版社,2006.

[4]　王蓉.网络安全与防火墙技术[M].清华大学出版社,

2000.

[5]　楚狂.网络安全与防火墙[M].北京:人民邮电出版

络安全的理论与方法—网络安全文化。人们的网络安全活动为网络安全文化的产生提供了物质基础;

安全文化理论与网络文化理论为网络安全文化的产生提供了理论基础。

2)网络安全文化是人们对网络安全的普遍心理和评判准则,是人们在共同的网络活动中形成的、遵循人们传统安全价值观的同时又具有自己鲜明特色的一种文化,是安全文化和网络文化的交集。其产生与发展是网络社会发展的必然规律。

3)网络安全系统是由人、机和环境构成的人机系统。在该人机系统中,人是主体,人的安全是网络安全的核心,是网络安全的核心,信息安全是网络安全的重要因素,环境安全是网络安全的保障。

4)网络安全文化可以分为关于人的网络安全文化、关于信息的网络安全文化和关于环境的网络

社,2000.

[6]　刘宏月.访问控制技术研究进展[J].小型微型计算机

系统,2004,25(1):56259.

[7]　毛碧波,孙玉芳.角色访问控制[J].计算机科学,

2003,30(1):1212123.

[8]　刘宏月,范九伦,马建峰.访问控制技术研究进展[J].

小型微型计算机系统,2004(1):56259.

[9]　刘怀宇,李伟琴.浅谈访问控制技术[J].电子展望与

决策,1999(1):42245.

[10]　白硕.网络条件下计算机病毒的防范[J].网络安全

技术与应用,2002.

[11]　张震国.构建完善的病毒防护体系[J].网络安全技

术与应用,2002.

© 1994-2009 China Academic Journal Electronic Publishing House. All rights reserved. http://www.cnki.net