几种控御网络入侵技术方法.docVIP

几种控御网络入侵技术方法网络入侵防不胜防,常有所谓“黑客入侵”的案例见诸报端,让其显得有些神秘。侵入网络系统一般以窃取或篡改某些电脑终端信息数据为目的,但也有一部分人仅仅是为了满足自己的好奇心、好挑战欲。网络被入侵后,入侵者一般会对被入侵的计算机中的文件资料信息进行恶意更改、删除,或偷窥、复制文件资料信息,或散发计算机病毒。其结果一般都会对被入侵者造成巨大的经济损失。 1 防火墙技术 防火墙是在内部网与外部网之间设置的安全防范系统,被认为具有访问控制的功能,用于确定哪些内部服务允许外部访问,以及允许哪些外部服务可以访问内部服务,它是把互联网和内部系统隔开的屏障。防火墙实际上是一种隔离技术,它是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。 防火墙对网络的安全起到了一定的保护作用,但并非万无一失。防火墙的安全防护性能依赖的因素很多。防火墙并非万能,它对不经防火墙的访问和攻击则无能为力。要使防火墙对网络的安全起到充分的保护作用,必须正确选用、合理配置防火墙,需要正确评估防火墙的失效状态,必须对防火墙进行动态维护。 2 数据加密技术 数据加密技术,是对计算机信息进行保护的最实用和最可靠的方法,它是网络安全技术中的核心技术。对信息进行加密可以防止攻击者窃取网络机密信息,可以使系统信息不被无关者识别,也可以检测出非法用户对数据的插入、删除、修改及滥用有效数据的各种行为。 通过数据加密技术,可以在一定程度上提高数据传输的安全性,保证传输数据的完整性。在数据加密系统中,密钥控制加密和解密过程,一个加密系统的全部安全性是基于密钥的,而不是基于算法,所以加密系统的密钥管理是一个非常重要的问题。当合理的密码算法确定后,密码系统的保密强度完全取决于密钥的保密程度。因此,密钥管理在整个保密系统中占有重要地位,若密钥得不到合理的保护和管理,即使算法再复杂,保密系统也是脆弱的。密钥管理的目的就是要保证数据保密系统安全性。一个好的密钥管理系统应该做到:密钥难以被窃取;在一定条件下窃取了密钥也没有用,密钥有使用范围和时间的限制;密钥的分配和更换过程对用户透明,用户不一定要亲自掌管密钥。密钥管理包括密钥的产生、密钥的存储和保护、密钥的更新、密钥的分发和传输、密钥的验证、密钥的使用、密钥的销毁等。这些问题的本质就是要正确地解决密钥从产生到使用全过程的安全性、真实性和有效性。 3 出口控制(内容检查) 网络犯罪的技术防范亦包括对不良信息的封锁,即充分利用网络的同时,最小化副作用。与防止窃人相比,此处要谈如何防止窃出,防止接触不良信息和人。这可以利用专用软件或集成在服务器上的滤波功能。用滤波可以把明显传播不良信息的站点屏蔽掉,也可以扫描电子邮件,还可以记录每个用户的行为日志。但网络的灵活性决定了单纯的滤波机制不可能消除所有隐患。网络上站点众多,地址可以不断变化,所以,还必须有周全的人员检测,即要有AUP(Accessible Use Policies)。不同单位可根据自己的实际情况制定AUP,明确规定非法访问内容,组织服务机构正确指导如何获取有用信息而不必甚至不准无目的网上漫游。最后还需要立法来规定传播不良信息的非法性。 除滤波外还可采取内容选择的方法,即对网上信息进行分类,配置客户端程序可以浏览的信息类来屏蔽不合适的内容。对信息分类,即在页面上加入分类标注,其适用范围是过滤那些不属于非法但对某些人不合适的信息。具体内容选择的实现可有多种方式:一是把此功能嵌入到浏览器;二是将它作为网络协议的一部分;三是可由相关软件来实现。 4 身份认证 防火墙是网络系统的第一道防线,用以防止非法数据的进入。身份认证又称主体验证,其作用是阻止非法用户。有多种方法来鉴别一个用户的合法性,密码是最常用的。但由于有许多用户采用了很容易被猜到的单词或短语作为密码,使得该方法经常失效。此外,还有其他认证方法,如对人体生理特征(如指纹)的识别、智能卡,Toden以及数字签名等等。 数字签名,就是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息的真实性的一个有效证明。数字签名是非对称密钥加密技术与数字摘要技术的应用。由于加密强度高,而且并不要求通信双方事先要建立某种信任关系或共享某种秘密,因此,十分适合网络上使用。数字签名技术有可能成为未来电子商务中首选的安全防范技术。 5 利用网络入侵侦查系统(IDS)进行网络入侵检测 网络入侵侦查系统(1DS)是20世纪80年代中期开发成功的技术。入侵检测的第一步是信息收集,内容包括系统、网络、数据及用户活动的