l … d Pn=,(I 信息技术 关于计算机网络安全技术分析 唐兰娟 (中国石油呼和浩特石化公司项目经理部,内蒙古呼和浩特010070) 摘要:随着计算机技术的发展,在计算机上处理业务已由基于单机的数学运算、文件处理转向基于全球互联网的企业级计算机处 理。在信息处理能力提高的同时,系统的连结能力、流通能力也在不断的提高。但基于网络连接的安全问题也日益突出,不论是外部 网还是内部网的网络都会受到安全的问题。 关键词:网络;防火墙(ifrew ̄1);黑客;lnternet 随着计算机技术的发展,在计算机上处理 业务已由基于单机的数学运算、文件处理,基于 简单连结的内部网络的内部业务处理、办公自 防火墙的应用配置。在传统边界防火墙应 用配置中,最主要体现在DMZ( ̄军事区)、VPN (虚拟专用网)、DNs 沼服务器)和入侵检测配置 凶素就是从一个源来的信息有可能看不出疑 点,但从几个源来的信息的不一致性却是可疑 行为或入侵的最好标识。 动化等发展到基于企业复杂的内部网、企业外 部网、全球互联网的企业级计算机处理系统和 世界范围内的信息共享和业务处理。在信息处 理能力提高的同时,系统的连结能力也在不断 的提高。但在连结信息能力、流通能力提高的同 时,基于网络连接的安全问题也日益突出。本文 主要从以下几个方面进行探讨: I计算机网络安全的现状 据美国金融时报报道,世界上平均每2O分 钟就发生一次入侵国际互联网络的计算机安全 事件,l/3的防火墙被突破。美国联邦调查局计 算机犯罪组负责人吉姆・塞特尔称:给我精选1O 名“黑客”,组成小组,90天内,我将使美国趴下。 一位计算机专家毫不夸张地说:如果给我一台 普通计算机、一条电话线和一个调制解调器,就 可以令某个地区的网络运行失常。从1997年底 至今,我国的政府部门、证券公司、银行等机构 的计算机网络相继遭到多次攻击。公安机关受 理各类信息网络违法犯罪案件逐年剧增,尤其 以电子邮件、特洛伊木马、文件共享等为传播途 径的混合型病毒愈演愈烈。面对形势日.益严峻 的现状,很多单位都缺乏必要的技术设施和相 关处理经验,很多时候都显得有些力不从心。也 正足由于受技术条件的限制,很多人埘网络安 全的意识仅停留在如何防范病毒阶段,对网络 安全缺乏整体意识。 2网络安全脆弱性原 lnternet所用底层TCP/IP网络协议本身易 受到攻击,该协议本身的安全问题极大地影响 到』二层应用的安全。 lnternet上广为传插的易用黑客和解密1二 具使很多网络用广】轻易地获得了攻击网络的方 法和手段。 快速的软件升级周期,会造成问题软件的 出现,经常会出现操作系统和应用程序存在新 的攻击漏洞。 现行法规政策和管理方面存在不足。目前 我闫针埘计算机及网络信息保护的条款不细 致,网上保密的法规制度可操作性不强,执行不 力。同时,不少 位没有从管理制度、人员和技 术 建立相应的安全防范机制。 3网络安全的主要技术 3.1应用防火墙技术,实现网络安全集中管 理 防火墙技术。网络防火墙技术是一种用来 加强网站之间访问控制,防止外部网络用户以非 法手段通过外部网络进入内部网络舫问内部网 络资源,保护内部网络操作环境的特殊网络互 联设备。目前的防火墙产品主要有俸垒主机、包 过滤路由器、应用层网关fft理服务器)以及电路 层网关、屏蔽主机防火墙、双宿主机等类型。 一46一 中国新技术新产品 等几个方面。下面具体介绍。 DMZ( ̄E军事区)应用配置:DMZ是作为内外 网都可以访问的公共计算机系统和资源的连接 点,在其中放置的都是一些可供内、外部用户宽 松访问的服务器,或提供通信基础服务的服务 器及设备。DMZ区通常放置在带包过滤功能的 边界路由器与防火墙之间。其典型网络结构如 图1所示。 :旁““I 。 —呻r i 厂 "——。'‘…m 下  ̄ ———’i—一—r 豫 卜蓐‘ JI 工作站、L 目镕 服务舞J 图1 VPN(虚拟企业专网)是目前最新的网络技 术之一,它的主要优点通过公网,利用隧道技术 进行虚拟连接,相比专线连接来说可以大幅降 低企业通信成本(降低幅度在7o%7E右),加上随 上VPN技术的发展,VPN通信的安全问题已基 本得到解决,所以目前它是一种企业首选通信 方式,得到了广大用户的认可和选择。 3-2应用防病毒技术,建立全面的网络防病 毒体系 在所有计算机安全威胁中,计算机病毒是 最为严重的,它不仅发生的频率高、损失大,而 且潜伏f生强、覆盖面广。目前防病毒措施如下: 制定系统的防病毒策略。为了正确选择、配 置和维护病毒防护解决方案,您的系统必须明 确地规定保护的级别和所需采取的对策。 部署多层防御战略。其中包括网关防病毒、 服务器及群件防病毒、个人桌面计算机防病毒 以及所有防病毒产品的统一管理等。 定期更新防病毒定义文件和引擎。一般隋 况下,更新是自动进行的,但更重要的是应定期 榆查日志文件以确保正确地执行了更新。 定期备份文件。建议您制订一个标准程序 来定期检查从备份中恢复的数据。 预订可发布新病毒威胁警告的电子邮件警 报服务。有许多不同的机构提供这种服务,侗是 最关键的应该是您的防病毒服务供应商。 为全体职员提供伞面的防病毒培训。这种 方法可以最大程度地降低系统内大多数病毒的 发作。 33应用人侵检测技术保护主机资源,防止 内外网攻击 入侵检测的第一步是信息收集,内容包括 系统、网络、数据及用户活动的状态和行为。而 且,需要在 算机网络系统中的若干不同关键 点(不 网段和不同主机)收集信息,这除了尽 可能扩大检测范同的因素外,还有一个重要的 入侵检测的第二步是信号分析,一般通过 三种技术手段进行分析:模式匹配,统计分析和 完整性分析。其中前两种方法用于实时的入侵 检测,而完整l生分析则用于事后分析。 3A应用安全漏洞扫描技术主动探测网络 安全漏洞 漏洞扫描主要通过以下两种方法来检查目 标主机是否存在漏洞:在端口扫描后得知目标 主机开肩的端口以及端口上的网络服务,将这 些相关信息与网络漏洞扫描系统提供的漏洞库 进行匹配,查看是否有满足匹配条件的漏洞存 在;通过模拟黑客的攻击手法,对目标主机系统 进行攻击l生的安全漏洞扫描,如测试弱势口令 等。若模拟攻击成功,则表明日标主机系统存在 安全漏洞。目前主要采用的漏洞扫描技术方法 有漏洞库的匹配方法和插件(功能模块技术)技 术。 3.5应用网站实时监控与恢复系统,实现网 络安全可靠的运行 实时监控。实时监控、阻断响应系统和闯入 警告系统两个实时动态的防黑客组合,既可防 外,也可防内。一般说来,入侵榆测的两大信息 源是网络传输数据和系统审计数据。实时监控、 阻断响应系统的信息源足网络传输数据,通过 监视和分析网络上传输的数据包米发现入侵; 闯入警告系统的信息源是系统审计数据,通过 分析系统审计日忐中人量的跟踪心户活动的细 节记录来发现入侵,分别在网络级和系统级共 同探测黑客的攻击并及时做出反应和阻断,可 以通过email,给系统管理员传呼文件记录,断 掉进程,封锁账户等方式来防止黑客进行更深 一步的破坏,两者是不可或缺的。系统级的闯入 警告系统可以检查出网络级的实时监控、阻断 响应系统查不出的攻击,反之亦然。 多重引导系统的备份与恢复。为减小系统 重装的复杂程度,节省安装时间,建议在使用之 前对整个硬盘(包括所有分区)进行备份,为其 制作一个映像文什,放在另一硬盘或光盘上;当 系统出现故障时,冉用这个映像文件进行恢复。 这种方法对多重引导硬盘这样的复杂系统尤其 适用。 总之,网络安全是一个系统的 I二程,不能仪 仅依靠防火墙等单个的系统,而需要仔细考虑 系统的安全需求,并将各种安全技术,如密码技 术等结合在一起,才能生成一个高效、通用、安 全的网络系统。 参考文献 l】1余建斌.《黑客的攻击手段及用户对策》(北京 人民邮电出版社.1998) 【21蔡立军:《计算机网络安全技术》(中国水利水 电出版社.2002)