浅谈网络安全的技术控制
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
T 技
术
出二 汇M) 三乙 TEC净 入以 OG Y 俐r o 日州AT } N ()
浅谈网络安全 的技术0 ) 0
摘 要: 随着计算机技术的发展, 在计算机上处理业务已由基干单机的数学运算、文件处理。 墓千简单连结的内 部网 络的内部业务处理、 办 动化等发 公自 展到基于企业 复杂的内 部网、 业外部网、 企 全球互 联网 的企业 级计算机处理系 统和世界范围 内的信息共享和业务处理。 在信息处理能力 提高的同 系 时, 统的连结能力也在不断的提高。但在连结信息能力、流通能力提高的同时, 基于网络连接的安全问题也 日 益突出。不论是外部网还是内部网的网络都会受到安全的问题。 关键词: 网络 防火墙 黑客 中图分类号: TP 393 文献株识码: A 文章编号: 1672一 3791(2007)06(c)一 9 1一 00 01 随着计算机技术的发展, 在计算机上处理 业务已由基于单机的数学运算、文件处理, 基 于简单连结的内部网络的内部业务处理、办 公自 动化等发展到基于企业复杂的内部网、 企业外部网 w l l 、 【 全球互联网的企业级计算 机处理系统和世界范围内的信息共享和业务 处理。在信息处理能力提高的同时, 系统的连 结能力 也在不 断的提高。但在连结信息能力、 流通能力提高的同时, 基干网络连接的安全问 题也日 益突出。本文主要从以下几个方面进 向是相似的, 唯一区别是人侵访问在请求链接 中多加了 一个后缀。 黑客的攻击手段在不断地更新, 几乎每天 都有不同系统安全问题出现. 然而安全工 具 的更新速度太慢, 绝大多 数情况需要人为的参 与才能发现以前未知的安全问题, 这就使得它 们对新出现的安全问题总是反应太慢。当安 全工具刚发现并努力更正某方面的安全向题 时. 其他的安全问题又出现了。因此, 黑客总 是可以使用先进的、安全工具不知道的手段
允许的用户与数 据拒之门外, 最大限度地阻止 网 络中的黑客来访问自 己的网络, 防止他们随
意更改、 移动甚至删除网络上的重要信息。 防 火墙是一种行之有效且应用广泛的网络安全 机制, 防止Inter et 上的不安全因素蔓延到局 n 城网内部, 所以, 防火墙是网络安全的重要一
环。
漏洞扫描系统。解决网络层安全问题, 首先要清楚网络中存在哪些安全隐患、脆弱 点。面对大型网络的复杂性和不断变化的情 行探讨 : 进行攻击。 况, 仅仅依靠网 络管理员 的技术和经验寻找安 全漏洞、做出风险评估, 显然是不现实的。解 寻找一种能查找网络安全漏洞、 2网 络安全的防护力诵洞, 导致黑客在网 上 决的方案是, 1 网络带来的安全问题 评估并提出修改建议的网络安全扫描工具, 利 ne n I t r t的 e 开放性以及 其他方面因 致 任意畅行 素导 了网络环境下的计算机系统存在很多安全问 据不完全统计目 我国网站所受到黑客 用优化系统配置和打补丁等各种方式最大可 前, 题。为了解决这些安全问题, 各种安全机制、 的攻击, 还不能与美国的情况相提并论, 因为 能地弥补最新的安全漏洞和消除安全隐患。 可以利用各种 策略和工具被研究和应用。然而, 即使在使用 我们在用户 数、用户规模上还都处在很初级 在要求安全程度不高的情况下, 黑客工 对网 具, 络模拟攻击从而暴露出网络的 了 现有的安全工具和机制的情况下, 络的安 的阶段, 网 但以下事实也不能不让我们深思: 全仍然存在很大隐患, 这些安全隐患主要可以 1993 年底, 科院高能所就发现有 “ 中 黑 漏洞。 P I 盗用问题的解决。在路由器上捆绑I P 归结为以下几点: 客”侵人现象, 某用户的权限被升级为超级权 每一种安全机制都有一定的应用范围和 限。 统管理员 踪时, 其报复。9 4年, 和 MA C 地址。当某个 I P 通过路由器访问 当系 跟 被 19 t 路由 这个I 广播包 P 应用环境。防火墙是一种有效的安全工具, 它 美国 一位 1 岁的小孩通过互联网闯人中科院 Inteme 时, 器要检查发出 4 可以隐蔽内部网络结构, 限制外部网络到内部 网络中 心和清华的主机, 并向我方系统管理员 的工作站的MAC 是否与路由器上的MAC 地 如果相符就放行。否则不允许通过 网 络的访问。 但是对干内部网络之间的访问, 提出警告。1998 年, 黑客入侵活动日 益猖撅, 址表相符, 路由器, 同时给发出这个I 广播包的工作站返 P 防火墙往往是无能为力的,因此, 对于内部网 国内各大网络几乎都不同程度地遭到黑客的 回一个带告信息. 络到内部网络之间的入侵行为和内外勾结的 攻击。 利用网络监听维护子网系统安全。对于 入侵行为, 防火墙是很难发觉和防范的。 网络外部的人侵可以通过安装防火墙来解决, 安全工具的使用受到人为因素的影响。 3 网络安全体系的探讨 一个安全工具能不能实现期望的效果, 在很大 现阶段为了保证网络工作顺通常用的方 但是对于网络内部的侵袭则无能为力。在这 种情况下, 我们可以采用对各个子网 做一个具 程度上取决于使用者, 包括系统管理者和普通 法如下: 为管理人员分析自 己 用户, 不正当的设置就会产生不安全因素。例 网络病毒的防范。在网络环境下, 病毒 有一定功能的审计文件, 的网 络运作状态提供依据。设计一个子网专 如, 在进行合理的设置后可以达到 CZ级 传播扩散快, NT 仅用单机防病毒产品已经很难彻 的安全性, 但很少有人能够对NT 本身的安全 底清除网 络病毒, 必须有适合干局域网的全方 用的监听程序。该软件的主要功能为长期监 听子网 络内计算机间相互联系的情况, 为系统 策略进行合理的设置。虽然在这方面, 可以通 位防病毒产品。校园网络是内部局域网, 就需 过静态扫描工具来检测系统是否进行了合理 要一个基于服务器操作系统平台的防病毒软 中各个服务器的审计文件提供备份。 总之, 络安全是一个系 网 统的工程, 不能 的设置, 是这些扫 但 描工具基本上也只 是基于 件和针对各种桌面操作系统的防病毒软件。 仅仅依靠防火墙等单个的系 而需要仔细考 统, 一种缺省的系统安全策略进行比较, 针对具体 如果与互联网相连, 就需要网关的防病毒软 统的安全需求, 并将各种安全技术, 如密 的应用环境和专门的应用需求就很难判断设 件, 加强上网计算机的安全。如果在网络内部 虑系 码技术等结合 在一起, 才能生成一个高效、 通 置的正确性. 使用电子邮件进行信息交换, 还需要一套基干 用、安全的网络系统。 系统的后门 是传统安全工具难于考虑到 邮件服务器平台的邮件防病毒软件, 识别出隐 的地方。 防火墙很难考虑到这类安全问题, 多 藏在电子邮件和附件中的病毒。所以最好使 参考文献 数情况下, 这类人侵行为可以堂而皇之经过防 用全方位的防病毒产品, 针对网络中所有可能 ] 1 火墙而很难被察觉。 比如说, 众所周知的ASP 的病毒攻击点设置对应的防病毒软件, 通过全 【 秦立军.计算机网络安全技术. 中国水利水 电出版社, , 2002 源码向题, 这个问题在 HS 服务器4 . 0 以前一 方位、多层次的防病毒系统的配置, 通过定期 直存 它是HS 服务的设计者留 的一个后 。 在, 下 或不定期的自 动升级, 使网络免受病毒的侵 门, 何人都可以使用浏览器从网络 任 上方便地 袭。 调出ASP 程序的源码, 从而可以收集系统信 配置防火墙。利用防火墙, 络通讯 在网 息, 进而对系统进行攻击。对于这类入侵行 时执行一种访问控制尺度, 允许防火墙同意访 为, 防火墙是无法发觉的, 因为对于防火墙来 问的人与数据进人自己 的内部网络, 同时将不
术
出二 汇M) 三乙 TEC净 入以 OG Y 俐r o 日州AT } N ()
浅谈网络安全 的技术0 ) 0
摘 要: 随着计算机技术的发展, 在计算机上处理业务已由基干单机的数学运算、文件处理。 墓千简单连结的内 部网 络的内部业务处理、 办 动化等发 公自 展到基于企业 复杂的内 部网、 业外部网、 企 全球互 联网 的企业 级计算机处理系 统和世界范围 内的信息共享和业务处理。 在信息处理能力 提高的同 系 时, 统的连结能力也在不断的提高。但在连结信息能力、流通能力提高的同时, 基于网络连接的安全问题也 日 益突出。不论是外部网还是内部网的网络都会受到安全的问题。 关键词: 网络 防火墙 黑客 中图分类号: TP 393 文献株识码: A 文章编号: 1672一 3791(2007)06(c)一 9 1一 00 01 随着计算机技术的发展, 在计算机上处理 业务已由基于单机的数学运算、文件处理, 基 于简单连结的内部网络的内部业务处理、办 公自 动化等发展到基于企业复杂的内部网、 企业外部网 w l l 、 【 全球互联网的企业级计算 机处理系统和世界范围内的信息共享和业务 处理。在信息处理能力提高的同时, 系统的连 结能力 也在不 断的提高。但在连结信息能力、 流通能力提高的同时, 基干网络连接的安全问 题也日 益突出。本文主要从以下几个方面进 向是相似的, 唯一区别是人侵访问在请求链接 中多加了 一个后缀。 黑客的攻击手段在不断地更新, 几乎每天 都有不同系统安全问题出现. 然而安全工 具 的更新速度太慢, 绝大多 数情况需要人为的参 与才能发现以前未知的安全问题, 这就使得它 们对新出现的安全问题总是反应太慢。当安 全工具刚发现并努力更正某方面的安全向题 时. 其他的安全问题又出现了。因此, 黑客总 是可以使用先进的、安全工具不知道的手段
允许的用户与数 据拒之门外, 最大限度地阻止 网 络中的黑客来访问自 己的网络, 防止他们随
意更改、 移动甚至删除网络上的重要信息。 防 火墙是一种行之有效且应用广泛的网络安全 机制, 防止Inter et 上的不安全因素蔓延到局 n 城网内部, 所以, 防火墙是网络安全的重要一
环。
漏洞扫描系统。解决网络层安全问题, 首先要清楚网络中存在哪些安全隐患、脆弱 点。面对大型网络的复杂性和不断变化的情 行探讨 : 进行攻击。 况, 仅仅依靠网 络管理员 的技术和经验寻找安 全漏洞、做出风险评估, 显然是不现实的。解 寻找一种能查找网络安全漏洞、 2网 络安全的防护力诵洞, 导致黑客在网 上 决的方案是, 1 网络带来的安全问题 评估并提出修改建议的网络安全扫描工具, 利 ne n I t r t的 e 开放性以及 其他方面因 致 任意畅行 素导 了网络环境下的计算机系统存在很多安全问 据不完全统计目 我国网站所受到黑客 用优化系统配置和打补丁等各种方式最大可 前, 题。为了解决这些安全问题, 各种安全机制、 的攻击, 还不能与美国的情况相提并论, 因为 能地弥补最新的安全漏洞和消除安全隐患。 可以利用各种 策略和工具被研究和应用。然而, 即使在使用 我们在用户 数、用户规模上还都处在很初级 在要求安全程度不高的情况下, 黑客工 对网 具, 络模拟攻击从而暴露出网络的 了 现有的安全工具和机制的情况下, 络的安 的阶段, 网 但以下事实也不能不让我们深思: 全仍然存在很大隐患, 这些安全隐患主要可以 1993 年底, 科院高能所就发现有 “ 中 黑 漏洞。 P I 盗用问题的解决。在路由器上捆绑I P 归结为以下几点: 客”侵人现象, 某用户的权限被升级为超级权 每一种安全机制都有一定的应用范围和 限。 统管理员 踪时, 其报复。9 4年, 和 MA C 地址。当某个 I P 通过路由器访问 当系 跟 被 19 t 路由 这个I 广播包 P 应用环境。防火墙是一种有效的安全工具, 它 美国 一位 1 岁的小孩通过互联网闯人中科院 Inteme 时, 器要检查发出 4 可以隐蔽内部网络结构, 限制外部网络到内部 网络中 心和清华的主机, 并向我方系统管理员 的工作站的MAC 是否与路由器上的MAC 地 如果相符就放行。否则不允许通过 网 络的访问。 但是对干内部网络之间的访问, 提出警告。1998 年, 黑客入侵活动日 益猖撅, 址表相符, 路由器, 同时给发出这个I 广播包的工作站返 P 防火墙往往是无能为力的,因此, 对于内部网 国内各大网络几乎都不同程度地遭到黑客的 回一个带告信息. 络到内部网络之间的入侵行为和内外勾结的 攻击。 利用网络监听维护子网系统安全。对于 入侵行为, 防火墙是很难发觉和防范的。 网络外部的人侵可以通过安装防火墙来解决, 安全工具的使用受到人为因素的影响。 3 网络安全体系的探讨 一个安全工具能不能实现期望的效果, 在很大 现阶段为了保证网络工作顺通常用的方 但是对于网络内部的侵袭则无能为力。在这 种情况下, 我们可以采用对各个子网 做一个具 程度上取决于使用者, 包括系统管理者和普通 法如下: 为管理人员分析自 己 用户, 不正当的设置就会产生不安全因素。例 网络病毒的防范。在网络环境下, 病毒 有一定功能的审计文件, 的网 络运作状态提供依据。设计一个子网专 如, 在进行合理的设置后可以达到 CZ级 传播扩散快, NT 仅用单机防病毒产品已经很难彻 的安全性, 但很少有人能够对NT 本身的安全 底清除网 络病毒, 必须有适合干局域网的全方 用的监听程序。该软件的主要功能为长期监 听子网 络内计算机间相互联系的情况, 为系统 策略进行合理的设置。虽然在这方面, 可以通 位防病毒产品。校园网络是内部局域网, 就需 过静态扫描工具来检测系统是否进行了合理 要一个基于服务器操作系统平台的防病毒软 中各个服务器的审计文件提供备份。 总之, 络安全是一个系 网 统的工程, 不能 的设置, 是这些扫 但 描工具基本上也只 是基于 件和针对各种桌面操作系统的防病毒软件。 仅仅依靠防火墙等单个的系 而需要仔细考 统, 一种缺省的系统安全策略进行比较, 针对具体 如果与互联网相连, 就需要网关的防病毒软 统的安全需求, 并将各种安全技术, 如密 的应用环境和专门的应用需求就很难判断设 件, 加强上网计算机的安全。如果在网络内部 虑系 码技术等结合 在一起, 才能生成一个高效、 通 置的正确性. 使用电子邮件进行信息交换, 还需要一套基干 用、安全的网络系统。 系统的后门 是传统安全工具难于考虑到 邮件服务器平台的邮件防病毒软件, 识别出隐 的地方。 防火墙很难考虑到这类安全问题, 多 藏在电子邮件和附件中的病毒。所以最好使 参考文献 数情况下, 这类人侵行为可以堂而皇之经过防 用全方位的防病毒产品, 针对网络中所有可能 ] 1 火墙而很难被察觉。 比如说, 众所周知的ASP 的病毒攻击点设置对应的防病毒软件, 通过全 【 秦立军.计算机网络安全技术. 中国水利水 电出版社, , 2002 源码向题, 这个问题在 HS 服务器4 . 0 以前一 方位、多层次的防病毒系统的配置, 通过定期 直存 它是HS 服务的设计者留 的一个后 。 在, 下 或不定期的自 动升级, 使网络免受病毒的侵 门, 何人都可以使用浏览器从网络 任 上方便地 袭。 调出ASP 程序的源码, 从而可以收集系统信 配置防火墙。利用防火墙, 络通讯 在网 息, 进而对系统进行攻击。对于这类入侵行 时执行一种访问控制尺度, 允许防火墙同意访 为, 防火墙是无法发觉的, 因为对于防火墙来 问的人与数据进人自己 的内部网络, 同时将不