1.網(wǎng)絡(luò)上的不安全因素
隨著全球信息化的飛速發(fā)展���,大量建設(shè)的各種信息化系統(tǒng)已經(jīng)成為國家和政府的關(guān)鍵基礎(chǔ)設(shè)施,其中許多業(yè)務(wù)都是國際性的�����,諸如電信����、電子商務(wù)����、金隔網(wǎng)絡(luò)等。網(wǎng)絡(luò)信息安全已成為亟待解決����、影響國家全局和長(zhǎng)遠(yuǎn)利益的重大關(guān)鍵問題。
計(jì)算機(jī)犯罪是一種高技術(shù)型犯罪��,由于其犯罪的隱蔽性�,因此對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全構(gòu)成了很大的威脅�����。計(jì)算機(jī)犯罪已經(jīng)引起全社會(huì)的普遍關(guān)注。隨著Internet的廣泛應(yīng)用�����,采用瀏覽器/服務(wù)器模式的Intranet紛紛建成���,這使網(wǎng)絡(luò)用戶可以方便地訪問和共享網(wǎng)絡(luò)資源����。但同時(shí)對(duì)企業(yè)的重要信息�,如貿(mào)易秘密、產(chǎn)品開發(fā)計(jì)劃��、市場(chǎng)策略�、財(cái)務(wù)資料等的安全無疑埋下了致命的威脅。必須認(rèn)識(shí)到����,對(duì)于大到整個(gè)Internet,小到各Intranet及各校園網(wǎng)��,都存在著來自網(wǎng)絡(luò)內(nèi)部與外部的威脅。對(duì)Inetrnet的構(gòu)成威脅可分為兩類:故意危害和無意危害��。
故意危害Internet安全的主在有三種人:故意破壞者又稱黑客(Hackers)�、不遵守規(guī)則者(Vandals)和刺探秘密者(Crackers)。故意破壞者企圖通過各種手段去破壞網(wǎng)絡(luò)資源與信息��,例如涂抹別人的主頁��、修改系統(tǒng)配置�����、造成系統(tǒng)癱瘓���;不遵守規(guī)則者企圖訪問不允許訪問的系統(tǒng),這種人可能僅僅是到網(wǎng)中看看��、找些資料���,也可能想盜用別人的計(jì)算機(jī)資源(如CPU時(shí)間);刺探秘密者的企圖是通過非法手段侵入他人系統(tǒng)��,以竊取重要秘密和個(gè)人資料��。
除了泄露信息對(duì)企業(yè)網(wǎng)構(gòu)成威脅之外,還有一種危險(xiǎn)是有害信息的侵入���。有人在網(wǎng)上傳播一些不健康的圖片��、文字或散布不負(fù)責(zé)任的消息;另一種不遵守網(wǎng)絡(luò)使用規(guī)則的用戶可能通過玩一些電子游戲?qū)⒉《編胂到y(tǒng)���,輕則造成信息出誤�����,嚴(yán)重時(shí)將會(huì)造成網(wǎng)絡(luò)癱瘓�����。
2.防火墻(Firewall)技術(shù)
防火墻是有被保護(hù)的Intranet與Internet之間豎起的一道安全屏障���,用于增強(qiáng)Intranet的安全性。Internet/Intranet防火墻���,用以確定哪些服務(wù)可以被Interneth上的用戶訪問�����,外部的哪些人可以訪問內(nèi)部的嗖服務(wù)以及外部服務(wù)可以被內(nèi)部人員訪問��,目前的防火墻技術(shù)可以起到以下安全作用:
(1)集中的網(wǎng)絡(luò)安全��。防火墻允許網(wǎng)絡(luò)管理員定義一個(gè)中心(阻塞點(diǎn))來防止非法用戶(如黑客��、網(wǎng)絡(luò)破壞者等)進(jìn)入內(nèi)部網(wǎng)絡(luò)�����,禁止存在不安全因素的訪問進(jìn)出網(wǎng)絡(luò)�����,并抗擊來自各種線路的攻擊�����。防火墻技術(shù)能夠簡(jiǎn)化網(wǎng)絡(luò)的安全管理�、提高網(wǎng)絡(luò)的安全性。
(2)安全警報(bào)����。通過防火墻可以方便地監(jiān)視網(wǎng)絡(luò)的安全性��,并產(chǎn)生報(bào)警信號(hào)�����。網(wǎng)絡(luò)管理員必須審查并記錄所有通過防火墻的重要信息��。
(3)重新部署網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)���。Internet的迅速發(fā)展使得有效的未被申請(qǐng)的IP地址越來越少�����,這意味著想進(jìn)入Internet的機(jī)構(gòu)可能申請(qǐng)不到足夠的IP地址來滿足內(nèi)部網(wǎng)絡(luò)用戶的需要��。為了接入Internet�,可以通過網(wǎng)絡(luò)地址轉(zhuǎn)換NAT(Network Address Translator)來完成內(nèi)部私有地址到外部注冊(cè)地址的映射�。防火墻是部署NAT的理想位置。
(4)監(jiān)視INTERNET的使用���。防火墻也是審查和記錄內(nèi)部人員對(duì)INTERNET使用的一個(gè)最佳位置,可以在此對(duì)內(nèi)部訪問INTERNET的情況進(jìn)行記錄��。
(5)向外發(fā)布信息�。防火墻除了起到安全屏障作用外�,也是部署WWW服務(wù)器和FTP服務(wù)器的理想位置���。允許INTERNET訪問上述服務(wù)器,而禁止對(duì)內(nèi)部受保護(hù)的其它系統(tǒng)進(jìn)行訪問��。
但是��,防火墻也是自身的局限性�����,它無法防范來自防火墻以外的其它途徑所進(jìn)行的攻擊���。例如在一個(gè)被保護(hù)的的網(wǎng)絡(luò)上有一個(gè)沒有限制的撥號(hào)訪問存在�,這樣就為從后門進(jìn)行攻擊留下了可能性���;另外,防火墻也不能防止來自內(nèi)部變節(jié)者或不經(jīng)心的用戶帶來的威脅��;同時(shí)防火墻也不能解決進(jìn)入防火墻的數(shù)據(jù)帶來的所有安全問題��,如果用戶抓來一個(gè)程序在本地運(yùn)行���,那個(gè)程序可能就包含一段惡意代碼�����,可能會(huì)導(dǎo)致敏感信息泄露或遭到破壞��。
典型的防火墻系統(tǒng)可以由一個(gè)或多個(gè)構(gòu)件組成���,其主要部分是:包過濾路由器也稱分組過濾路由器、應(yīng)用層網(wǎng)關(guān)��,電路層網(wǎng)關(guān)�����。
包過濾路由器對(duì)IP地址��,TCP或UDP分組頭信息進(jìn)行檢查與過濾���,以確定是否與設(shè)備的過濾規(guī)則匹配繼而決定此數(shù)據(jù)包按照由表中的信息被轉(zhuǎn)發(fā)或被丟棄���。包過濾方式的主要優(yōu)點(diǎn)是僅一個(gè)關(guān)健位置設(shè)置一個(gè)包過濾路由器就可以保護(hù)整個(gè)網(wǎng)絡(luò),而且包過濾對(duì)用戶是透明的���,不必在用戶機(jī)上再安裝特定的軟件����。包過濾也有它的缺點(diǎn)和局限性,如包過濾規(guī)則配置比較復(fù)雜�,而且?guī)缀鯖]有什么工具能對(duì)過濾規(guī)則的正確性進(jìn)行測(cè)試;包過濾也沒法查出具有數(shù)據(jù)驅(qū)動(dòng)攻擊這一類潛在危險(xiǎn)的數(shù)據(jù)包���;另外�����,隨著過濾數(shù)目的增加�����,路由器的吞吐量會(huì)下降,從而影響網(wǎng)絡(luò)性能�����。
應(yīng)用層網(wǎng)關(guān)也就是通常所說的代理服務(wù)器��。代理服務(wù)器運(yùn)行在INTERNET和INTRANET之間,當(dāng)收到用戶對(duì)某站點(diǎn)的訪問請(qǐng)求后�����,會(huì)檢查請(qǐng)求是否符合規(guī)則。若規(guī)則允許用戶訪問該站的話��,代理服務(wù)器便會(huì)經(jīng)客戶身份去那個(gè)站點(diǎn)取回所需的信息再發(fā)回給客戶�����。因此代理服務(wù)器會(huì)像一堵墻一樣擋在內(nèi)部用戶和外界之間�����,從外部只能看到該代理服務(wù)器而無法獲知任何內(nèi)部資料�����,諸如用戶的IP地址等�����。應(yīng)用層網(wǎng)關(guān)比單一的包過濾更為可靠���,而且會(huì)詳細(xì)記錄所有的訪問狀態(tài)但是應(yīng)用層網(wǎng)關(guān)也存在一些不足之外�����,首先因?yàn)樗辉试S用戶直接訪問網(wǎng)絡(luò)�,會(huì)使訪問速度變慢�����;而且應(yīng)用層網(wǎng)關(guān)需要對(duì)每一個(gè)特定的Internet服務(wù)器安裝相應(yīng)的代理服務(wù)軟件���,用戶不能使用未被服務(wù)器支持的服務(wù)�,對(duì)每一類服務(wù)要使用特殊的客戶端軟件����;更不幸的是���,并不是所有的Internet應(yīng)用軟件都可以使用代理服務(wù)理。
電路層網(wǎng)關(guān)是一種特殊的功能����,它也可以由應(yīng)用層網(wǎng)關(guān)來完成。電路層網(wǎng)關(guān)只依賴于TCP連接,并不進(jìn)行任何的包處理或過濾�����。在Telnet的連接中��,電路層網(wǎng)關(guān)簡(jiǎn)單地進(jìn)行了中繼�����,并不做任何審查���、過濾或協(xié)議管理。它只在內(nèi)部連接和外部連接之間來回拷貝字節(jié)�,但隱藏受保護(hù)網(wǎng)絡(luò)的有關(guān)信息���。電路層網(wǎng)關(guān)常用于對(duì)外連接�,此時(shí)假設(shè)網(wǎng)絡(luò)管理員對(duì)其內(nèi)部用戶是信任的�。它的優(yōu)點(diǎn)是主機(jī)可以被設(shè)置成混合網(wǎng)關(guān)�����,對(duì)于內(nèi)連接它支持應(yīng)用層或代理服務(wù),而對(duì)于外連接煞費(fèi)苦心支持的電路層功能�����。這樣�,使得防火墻系統(tǒng)對(duì)于要訪問Internet服務(wù)的內(nèi)部用戶來說使用起來很方便,同時(shí)又能提供保護(hù)內(nèi)部網(wǎng)絡(luò)免于外部攻擊的防火墻功能�。
