1.網絡上的不安全因素
隨著全球信息化的飛速發展,大量建設的各種信息化系統已經成為國家和政府的關鍵基礎設施,其中許多業務都是國際性的�,諸如電信�、電子商務、金隔網絡等。網絡信息安全已成為亟待解決�、影響國家全局和長遠利益的重大關鍵問題�。
計算機犯罪是一種高技術型犯罪�,由于其犯罪的隱蔽性,因此對計算機網絡安全構成了很大的威脅�。計算機犯罪已經引起全社會的普遍關注。隨著Internet的廣泛應用�,采用瀏覽器/服務器模式的Intranet紛紛建成,這使網絡用戶可以方便地訪問和共享網絡資源�。但同時對企業的重要信息,如貿易秘密�、產品開發計劃、市場策略�、財務資料等的安全無疑埋下了致命的威脅�。必須認識到�,對于大到整個Internet,小到各Intranet及各校園網�,都存在著來自網絡內部與外部的威脅。對Inetrnet的構成威脅可分為兩類:故意危害和無意危害�。
故意危害Internet安全的主在有三種人:故意破壞者又稱黑客(Hackers)、不遵守規則者(Vandals)和刺探秘密者(Crackers)�。故意破壞者企圖通過各種手段去破壞網絡資源與信息,例如涂抹別人的主頁�、修改系統配置、造成系統癱瘓�;不遵守規則者企圖訪問不允許訪問的系統,這種人可能僅僅是到網中看看�、找些資料,也可能想盜用別人的計算機資源(如CPU時間)�;刺探秘密者的企圖是通過非法手段侵入他人系統,以竊取重要秘密和個人資料�。
除了泄露信息對企業網構成威脅之外,還有一種危險是有害信息的侵入�。有人在網上傳播一些不健康的圖片、文字或散布不負責任的消息�;另一種不遵守網絡使用規則的用戶可能通過玩一些電子游戲將病毒帶入系統,輕則造成信息出誤�,嚴重時將會造成網絡癱瘓。
2.防火墻(Firewall)技術
防火墻是有被保護的Intranet與Internet之間豎起的一道安全屏障�,用于增強Intranet的安全性�。Internet/Intranet防火墻�,用以確定哪些服務可以被Interneth上的用戶訪問,外部的哪些人可以訪問內部的嗖服務以及外部服務可以被內部人員訪問�,目前的防火墻技術可以起到以下安全作用:
(1)集中的網絡安全。防火墻允許網絡管理員定義一個中心(阻塞點)來防止非法用戶(如黑客�、網絡破壞者等)進入內部網絡,禁止存在不安全因素的訪問進出網絡�,并抗擊來自各種線路的攻擊。防火墻技術能夠簡化網絡的安全管理�、提高網絡的安全性。
(2)安全警報�。通過防火墻可以方便地監視網絡的安全性,并產生報警信號�。網絡管理員必須審查并記錄所有通過防火墻的重要信息。
(3)重新部署網絡地址轉換(NAT)�。Internet的迅速發展使得有效的未被申請的IP地址越來越少,這意味著想進入Internet的機構可能申請不到足夠的IP地址來滿足內部網絡用戶的需要�。為了接入Internet�,可以通過網絡地址轉換NAT(Network Address Translator)來完成內部私有地址到外部注冊地址的映射。防火墻是部署NAT的理想位置�。
(4)監視INTERNET的使用。防火墻也是審查和記錄內部人員對INTERNET使用的一個最佳位置�,可以在此對內部訪問INTERNET的情況進行記錄。
(5)向外發布信息�。防火墻除了起到安全屏障作用外�,也是部署WWW服務器和FTP服務器的理想位置�。允許INTERNET訪問上述服務器,而禁止對內部受保護的其它系統進行訪問�。
但是,防火墻也是自身的局限性�,它無法防范來自防火墻以外的其它途徑所進行的攻擊。例如在一個被保護的的網絡上有一個沒有限制的撥號訪問存在�,這樣就為從后門進行攻擊留下了可能性;另外�,防火墻也不能防止來自內部變節者或不經心的用戶帶來的威脅;同時防火墻也不能解決進入防火墻的數據帶來的所有安全問題�,如果用戶抓來一個程序在本地運行,那個程序可能就包含一段惡意代碼�,可能會導致敏感信息泄露或遭到破壞。
典型的防火墻系統可以由一個或多個構件組成�,其主要部分是:包過濾路由器也稱分組過濾路由器、應用層網關�,電路層網關。
包過濾路由器對IP地址�,TCP或UDP分組頭信息進行檢查與過濾,以確定是否與設備的過濾規則匹配繼而決定此數據包按照由表中的信息被轉發或被丟棄�。包過濾方式的主要優點是僅一個關健位置設置一個包過濾路由器就可以保護整個網絡,而且包過濾對用戶是透明的�,不必在用戶機上再安裝特定的軟件。包過濾也有它的缺點和局限性�,如包過濾規則配置比較復雜�,而且幾乎沒有什么工具能對過濾規則的正確性進行測試�;包過濾也沒法查出具有數據驅動攻擊這一類潛在危險的數據包;另外�,隨著過濾數目的增加,路由器的吞吐量會下降�,從而影響網絡性能。
應用層網關也就是通常所說的代理服務器�。代理服務器運行在INTERNET和INTRANET之間,當收到用戶對某站點的訪問請求后�,會檢查請求是否符合規則。若規則允許用戶訪問該站的話�,代理服務器便會經客戶身份去那個站點取回所需的信息再發回給客戶。因此代理服務器會像一堵墻一樣擋在內部用戶和外界之間�,從外部只能看到該代理服務器而無法獲知任何內部資料,諸如用戶的IP地址等�。應用層網關比單一的包過濾更為可靠,而且會詳細記錄所有的訪問狀態但是應用層網關也存在一些不足之外�,首先因為它不允許用戶直接訪問網絡,會使訪問速度變慢�;而且應用層網關需要對每一個特定的Internet服務器安裝相應的代理服務軟件,用戶不能使用未被服務器支持的服務�,對每一類服務要使用特殊的客戶端軟件�;更不幸的是,并不是所有的Internet應用軟件都可以使用代理服務理�。
電路層網關是一種特殊的功能�,它也可以由應用層網關來完成�。電路層網關只依賴于TCP連接,并不進行任何的包處理或過濾�。在Telnet的連接中,電路層網關簡單地進行了中繼�,并不做任何審查、過濾或協議管理�。它只在內部連接和外部連接之間來回拷貝字節,但隱藏受保護網絡的有關信息�。電路層網關常用于對外連接,此時假設網絡管理員對其內部用戶是信任的�。它的優點是主機可以被設置成混合網關,對于內連接它支持應用層或代理服務�,而對于外連接煞費苦心支持的電路層功能。這樣�,使得防火墻系統對于要訪問Internet服務的內部用戶來說使用起來很方便,同時又能提供保護內部網絡免于外部攻擊的防火墻功能�。
