网络信息安全的威胁与防范技术研究甘群文,李好文(广西中医学院,广西南宁530001)摘要:阐述了网络信息安全的威胁种类及常见安全威胁手段,着重讨论了目前广泛研究与应用的几种网络信息安全防范技术。关键词:网络信息安全;威胁分类;威胁手段,防范技术TheStudyonMenacestoNetworkInformationSecurityandPrecautionaryTechnologyGANqun-wen.LIHao-wenCOITIBOIi鹏nace(Guandx/Oo沈geAbstract:Tl'dsarticleof7/'ad/t/o.,'盟/Ol砌osoMe幽:枷/rlfoPrlBI/O#andWcOpo/og'yffe嬲rtfaentoflibrary,auaagxiNanning55000;)menacestoexpoundedthekindsofmtworkinformationsecurityatandt;hems&ns.ItmainlydiscussedsomenetworEinformationprecautionarytechnologieswhich&rewidelystudiedandappliedKeywords:NetworkInformationSecurity,msnac,8classification;me唿cepresent.technologyme&ns;precautionary1序言随着现代网络通讯技术和信息技术的发展、应用与普及,网络为信息的获取、传输、处理与利用提供了先进的手段。但随着互联网规模和容量的迅猛增加,引起了设备的复杂化和管理的复杂化,为开放式的网络带来了层出不穷的安全隐患,信息安全问题也如影随形,近几年表现出更为恶化的趋势,对世界各国产生了巨大的经济威胁,故信息安全巳成为当今世界各国日益重视研究的一个重要课题。直接破坏各种设备、窃取及盗用有价值的数据信息、制造及敖播计算机病毒或改变系统功能等口1。另外,有意识威胁又分为被动威胁和主动威胁两种。前者只对信息进行监听,不修改数据,而后者会对信息进行恶意的篡改。有意识威胁是信息安全的最大威胁因素,也是我们重点防范和考虑的内容。3常见的安全威胁从网络信息安全事件来看,安全威胁主要集中在以下几个方面。2安全威胁分类网络信息安全定义是:不因偶然或恶意的因素,使网络信息遭受非法篡改、插入、删除或显现,以保证信息的完整性、安全保密性和可用性Ⅲ。目前,网络信息安全的内容多,系统更复杂,概念范围更广,学术界对网络信息安全威胁还没有统一的分类,但是,从总体上大致可分为两大类。3.1非授权访问指事先没有获得系统相应的授权,就访问网络或计算机的资源。即:设法避开系统的访问控制权限,对网络中的各种资源进行非法使用,或擅自扩大权限,越权访问信息。主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式操作等。3.2信息泄露指有价值的或敏感数据在有意或无意中被泄露出去或丢失,它包括信息在传输中泄露或在存储介质中丢失或泄2.1自然威胁这类威胁是指自然环境对计算机网络设备与设施的影响,或对物理设施的直接破坏,或环境对设备正常工作的干扰。它具有突发性、自然性、非针对性和不抗拒性的特露。目前多数网络仍以安全性较差的方式服务,使用者账号、密码、邮件等资料,全都可以使用监听方式取得。黑客利用各种方式截获机密信息并进行分析,得到有价值的信息。点。如设备故障、地震,洪水,雷击、磁暴、电压异常波动等均属此类。它对信息安全产生巨大的威胁。2.2人为威胁这类威胁又分为无意识和有意识两种。无意识威胁是3.3破坏数据完整性指以非法手段窃取得对数据的使用权,删除、修改,指由于管理和使用者的操作失误造成的信息泄露或破坏。有意识威胁是指某些组织或个人,出于各自的目的或利益插入某些重要信息,以取得有益于攻击者的响应·恶意添万方数据加、修改数据,以干扰用户的正常使用。3.4拒绝服务攻击指利用TCP/IP协议的漏洞、操作系统安全漏洞以及各种应用系统的漏洞,对网络设备进行攻击的行为。通常,攻击者不断地对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,使合法用户被排拆而不能进入网络服务系统,得不到相应的服务。如“报文洪水攻击”、。电子邮件炸弹”就是典型的例子。3.5恶意代码这类攻击可能会使系统执行特定的程序,引发严重的灾情,主要包括病毒、蠕虫、间谍软件、木马及其他后门。目前,计算机病毒是威胁网络信息安全的祸首,成为很多黑客入侵的先导,使网络系统瘫痪,重要数据无法访问甚至丢失。4网络信息安全防范技术4.1防火墙技术防火墙是一道介于内部网络与Intemet之间起隔离以保护网络和信息安全的屏障。它位于内网与外网之间,在内外网进行通讯时严格执行一种访问控制和安全策略的机制,过滤带有病毒或木马程序的数据包,控制不安全的服务和非法用户访问,保护网络避免基于路由的攻击,阻止攻击者进行口令探寻攻击,关闭不必要的端口。目前防火墙常见三种类型:包过滤防火墙、应用层网关、状态检测。(1)包过滤技术是根据数据包的源地址、目的地址,封装协议和端口号等,来决定是否允许此数据包通过。路由设备在完成路由选择和数据转发外,还要进行包过滤。其优点是简单实用、成本较低。缺点是对网络的保护有限,只能对网络层的数据包过滤,不能对网络更高层协议的信息进行分析和处理,无法阻止高层的恶意侵入。(2)应用层网关又称为代理服务器,它位于客户机和服务器之间,完全阻挡二者间的直接数据通讯,其工作过程是:当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。优点是有较好的安全访问控制,对应用层的恶意侵入很有效。缺点是缺乏“透明度”,每种协议需要相应代理软件,工作量大,效率不高。(3)状态检测是对各层的数据进行主动、实时的检测并分析,有效地判断出各层中的非法侵入,在各种应用服务器和其他网络节点之中安置分布式探测器,不仅能检测万方数据出来自外网的攻击,而且对来自内网的恶意破坏也有极强的防范。其工作流程是:在网关上执行网络安全策略的软件引擎,称为检测模块,在不影响网络正常工作的前提下,采用抽取相关状态信息的方法对网络通信的各层实施监测,并动态保存状息作为以后制定安全决策的参考。其优点:首先,在数据链路层和网络层进行原始数据包截取和分析,安全范围大为提高;其次,数据包在低层处理,对非法包进行拦截,协议的任何上层不用再处理,提高执行效率。缺点是在进行记录、测试和分析信息包时可能造成网络连接的迟滞,实现成本较高,且不易管理。4.2入侵检测技术入侵检测技术是对网络或计算机系统中的若干个关键点收集信息并进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象,及时报告系统有未授权访问或异常现象的技术。作为对防火墙的补充,入侵检测能精确判断入侵事件,对入侵立即反应并及时关闭服务甚至切断链路,可以识别来自来本网段、其他网段或外部网络的全部攻击行为,提高网络信息的安全性。入侵检测作为一种积极主动的新型网络安全防护技术,通过监视网络或受保护系统的活动,检测系统配置的正确性和安全漏洞,对异常行为模式的统计与分析,及时发现未授权或恶意的入侵,达到防范入侵行为的目的。4.3加密技术黑客们常采用如Sniffer网络协议分析工具,轻易地在信息传输过程中获取所有信息的内容,包括账号、密码等重要信息,因此,跨越外网传输的重要数据必须加密,保证数据不被窃取。数据加密的基本思想是改变信息的排列方式或按某种规则进行代替或置换,使得只有合法的收发双方才能理解信息的内容,对信息起保密作用。信息的加密过程如图l所示。明文加密密文雨历灭孙一慨一器一黼一脯匿瞅◆图1对称加密的信息加密与解密过程争一当收发双方使用的密钥KI和K2相同时,称为对称加密。进行对称加密时,信息的发送方通过加密算法加上密钥对明文进行加密,密文通过传输到达接收方后,接收方通过解密算法用相同的密钥对密文进行解密。其特点是速度快,效率高,适合加密大量数据的场合。缺点是密钥的管理和分发较复杂,安全保障差。若n个用户使用同一个对称密钥,一旦密钥被破解,整个信息系统就会遭到毁灭性崩溃。若n个用户用不同的对称密钥则需n(n-I)个密钥,密钥数呈平方级数增长,密钥的保密就很难保证。代表算法DES、3DES算法。当Kl和K2不同时,称为不对称加密(亦称公共密钥加密)。其原理是:给每个用户分配一对密钥:一个称为私有密钥,只有用户本人知道,是保密的,一个称为公共密钥,可以让其他用户知道,是公开的。用公共密钥加密的信息只有使用相应的私有密钥才能解密,同样,用私有密钥加密的信息也只有使用相应的公共密钥才能解密,如图2所示。不对称加密的密钥管理比对称加密简单,安全性较高,但其计算较复杂,速度慢,效率低。代表算法是RSA算法。图3所示,数字签名一般采用不对称加密技术,发送方对原始报文利用散列函数进行散列处理得到摘要,再对摘要使用只有发送方知道的私钥进行加密,得到了具有发送方数字签名的加密报文.然后把加密报文添加到原始报文中,一起传送给接收方。接收方收到加密报文后,先使用发送方的公钥对加密报文进行解密,得到新的报文,如果新报文与刚收到的原始报文内容相同,表明报文确实是对方发送的,并没有被篡改。4.4病毒防范技术计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码131,2008年8月一个名为“梅勒斯变种AAC(RootKit.Win32.Mnless.aac)”的病毒,通常与其他盗号木马病毒结合传播,通过挂接键盘设备驱动获取用户键盘输入的信息,侵入电脑后,用户输入的密码、账号等信息都可能被该病毒窃取,记录下来后发送给病毒制造者,从而给用户带来损失。因此,安装杀毒软件是一个有效办法之一,它一般具有预防病毒、检测病毒.清除病毒的功能。目前快速更新病毒库和增强杀毒软件自行识别新病毒的能力是作为防范病毒攻击的两种较为有效方法Ⅲ。同时也要对操作系统及时打补丁。图2非对称加密的信息加密与解密过程4.5VLAN技术VLAN技术是一种将局域网设备从逻辑上划分一个4.3数字签名技术黑客们往往通过窃听获取目标信息后,冒名顶替合法的身份发送和接收信息,从而达到篡改信息的目的。这时需用数字签名技术来防止它。个网段,从而实现虚拟工作组的数据交换技术。VLAN的实现方法大致分六类:基于端口划分、基于MAC地址划分、基于网络层协议划分、基于IP组播划分、按策略划分、按用户定义非用户授权划分。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。通过多划分几个基于端口的VLAN,缩小广播范围,有效控制广播风暴的产生,从而提高整个网络的整体性能。增加VLAN的数量,在抵御网络病毒传播上也有很大作用,通过在各个VLAN之间设置访问控制列表来实现包的过滤,当某一VLAN中有主机出现网络病毒传播时,也只能影响到其所在的VLAN,即Ⅵ。AN之间相互隔离通信,对整个网络不会有太大的影响,大图5数字签名的处理过程数字签名是附加在传输的数据单元上的一串数据,或是对传输的数据单元所用的密码变换,目的是让接收者相信数据的真实性。数字签名机制起到了认证、核准和生效的作用,解决了信息的伪造、冒充和篡改等安全问题。如(下转第79页)大提高了网络信息的安全性呤1。4.6VPN技术虚拟专用网(VirtalPrivateNetwork即VPN),是一条穿过混乱的公用网络的安全、稳定的隧道。通过对网万方数据率为91%,速度为28.6帧/秒·而基于高斯特征方法的检测率为94%,速度为27.3帧/秒,该方法相对于原方法的速度下降很小但是却有更高的检测性能。(4)由于人脸的多样性,非人脸样本难以界定。2008年,韩国的NojunKwak,在LDA方法的基础上进行改进法。传统的LDA方法弊病是对个别反面样本过度依赖,以及有时无法对反面样本提出合适的假设。改进主要包括两步:(1)设定一个正面样本中心与反面样本中心的距离的上限,排除偏离太远的反面样本}(2)用L1距离代替L2距离。改进效果在实验中得到了验证:传统的LDA检测正确率为77.8%,而该改进方法正确率为81.540/o。将是该领域更细致的研究方向;(4)融合肤色,动作、语音等信息,将进一步提高整体检测性能。●参考文献:【1】Chellapp&R,Wilsonoffaces:ACL,SiroheyS.HumanandmachinerecognitionIdentifier,1995,85(5):survey[J】.DigitalObject705-741.【2】黄福珍,苏剑波.人脸检测【M】.上海:上海交通大学出版社,2006:55-55.【5】梁路宏,艾海舟,徐光佑.人脸检测研究综述【J】.计算机学报,2002,25(5):1【4]ViolacascadePaul,Jonesofsimple52—137.Michael.RapidobjectdetectionusingIEEEConferenceonaboostedComputerfeatures.In:Proc4结论及展望本文在系统分析研究相关文献的基础上,综述了人脸检测方法的发展与研究现状。预计未来人脸检测的发展方向将集中在以下几个方面:(1)在特定的约束条件下,发展和改进现有的方法,以及综合使用原有的各种方法,达到优劣互补,是解决应用技术的主要发展方向,(2)形成更大规模、更全面的测试集以及特定条件下的测试集,以公正、客观的检测各种方法的性能,(3)人脸表情识别、唇语识别、手语识别等(上接第75页)络数据的封包和加密传输,在一个公用网络(通常是互联网)建立一个临时的、安全的连接,从而实现在公网上传输私有数据、达到私有网络的安全级别。vPN技术的核VisionzndPatternRecognition,Kauai,Hawaii,USA,2001:75-115.MJ,ZhangHJ.Robustmultiposefzcedetectionin【5]XiaoR,Liimages[J】.IEEETrans.CircuitsandsystemforVideoTechnology,2004,14(1):51-41.作者简介:田源(1985-),男,江南大学通信与控制工程学院硕士研究生,主要研究方向:图像处理,人脸检测;于凤芹(1962-),女,博士,教授。收稿日期:2_008-10-14参考文献:【1】何德全.面向21世纪的Internet信息安全问题【J】.保密工作.2000,(4)25~25.【2】王宝会。王大印,范开菊.计算机信息安全教程【M】.北京:电子工业出版社.2006;84—87.【5】《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号),htt心是采用隧道技术。隧道技术是指用一种网络协议来传输另一种网络协议的数据单元,主要是用网络隧道协议来实现这种功能。网络隧道协议主要有两种:一种是第二层的隧道协议(如L2TP),它建立一个点到点协议访问服务隧道。另一种是第三层隧道协议(如IPSec),主要用于IP网上两点之间数据的加密,它包括查验、加密和数据P://WWW.mPs.90V.Cn/nI6/n1282/n3493/n5778/n492865/493042.html.【4】欧阳伟.网络信息安全技术分析[J】.中国科技信完整性功能怕1。将内部网络的数据加密封装后,透过虚拟的公网隧道进行传输,从而防止敏感数据被窃取。息.2008,(6)124~126,129.【5】洪焕杰.高校计算机中心网络安全分析与防范措施探讨【J】.计算机时代.2007,(5)24~25,52.5结束语随着网络技术的发展,各种网络信息安全的威胁层出不穷,其对应的防范技术也在不断发展,知彼知己,方能百战百胜。同时,除了从技术层面防范外,还需从管理体【6】张书奎.VPN与隧道技术研究【J】.计算机应用与软件.200;5,(7)85—85.作者简介:甘群文(1969--),男,本科,工程师,研究方向:计算机应用,网络安全。收稿日期:2008--10-05制,法律制度上加以规范,这样,网络信息安全才会离我们越来越近。●万方数据网络信息安全的威胁与防范技术研究
作者:作者单位:刊名:英文刊名:年,卷(期):引用次数:
甘群文, 李好文, GAN Qun-wen, LI Hao-wen广西中医学院,广西,南宁,530001计算机安全
COMPUTER SECURITY2009,(5)0次
1.何德全 面向21世纪的Internet信息安全问题 2000(4)2.王宝会.王大印.范开菊 计算机信息安全教程 20063.中华人民共和国计算机信息系统安全保护条例
4.欧阳伟 网络信息安全技术分析[期刊论文]-中国科技信息 2008(6)
5.洪焕杰 高校计算中心网络安全分析与防范措施探讨[期刊论文]-计算机时代 2007(5)6.张书奎 VPN与隧道技术研究[期刊论文]-计算机应用与软件 2003(7)
本文链接:http://d.g.wanfangdata.com.cn/Periodical_dzzwyjc200905023.aspx
下载时间:2010年5月25日