网络入侵、攻击与防范技术(2)
2013-06-01 01:32
导读:系统管理员为用户在目录一级指定的权限对该目录下的所有文件和子目录均有效。如果用户滥用权限,则会对这些目录、文件或设备等网络资源构成威胁。
系统管理员为用户在目录一级指定的权限对该目录下的所有文件和子目录均有效。如果用户滥用权限,则会对这些目录、文件或设备等网络资源构成威胁。目录级安全控制可以限制用户对目录和文件的访问权限,进而保护目录和文件的安全,防止用户权限滥用。
属性安全控制是通过给网络资源设置安全属性标记来实现的。它可以将目录或文件隐藏、共享和设置成系统特性,可以限制用户对文件进行读、写、删除、运行等操作等。属性安全在权限安全的基础上提供更进一步的安全性。
3.2 防火墙技术 防火墙是一种高级访问控制设备,是置于不同网络安全域之间的一系列部件的组合,是不同网络安全域间通信流的惟一通道,它能根据有关的安全策略控制(允许、拒绝、监视、记录)进出网络的访问行为。防火墙是网络安全的屏障,是提供安全信息服务、实现网络安全的基础设施之一。
防火墙能极大地提高一个内部网络的安全性,防止来自被保护区域外部的攻击,并通过过滤不安全的服务而降低风险;能防止内部信息外泄和屏蔽有害信息,利用防火墙对内部网络的划分,可以实现内部网络重点网段的隔离,限制安全问题扩散,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响;能强化网络安全策略,将局域网的安全管理集中在一起,便于统一管理和执行安全策略;能严格监控和审计进出网络的信息,如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
3.3 数据加密技术 数据加密能防止入侵者查看、篡改机密的数据文件,使入侵者不能轻易地查找一个系统的文件。数据加密技术是网络中最基本的安全技术,主要是通过对网络中传输的信息进行加密来保障其安全性,是一种主动的安全防御策略。
数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法,这种变换受“密钥”控制。常用的数据加密技术有私用密钥加密技术和公开密钥加密技术。私用密钥加密技术利用同一个密钥对数据进行加密和解密,这个密钥必须秘密保管,只能为授权用户所知,授权用户既可以用该密钥加密信息,也可以用该密钥解密信息。DES是私用密钥加密技术中最具代表性的算法。公开密钥加密技术采用两个不同的密钥进行加密和解密,这两个密钥是公钥和私钥。如果用公钥对数据进行加密,只有用对应的私钥才能进行解密;如果用私钥对数据进行加密,则只有用对应的公钥才能解密。公钥是公开的,任何人可以用公钥加密信息,再将密文发送给私钥拥有者。私钥是保密的,用于解密其接收的用公钥加密过的信息。目前比较安全的采用公开密钥加密技术的算法主要有RSA算法及其变种Rabin算法等。
3.4 入侵检测技术 入侵检测是对入侵行为的检测,它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。
用于入侵检测的软件与硬件的组合便是入侵检测系统,入侵检测系统被认为是防火墙之后的第二道安全闸门,它能监视分析用户及系统活动,查找用户的非法操作,评估重要系统和数据文件的完整性,检测系统配置的正确性,提示管理员修补系统漏洞;能实时地对检测到的入侵行为进行反应,在入侵攻击对系统发生危害前利用报警与防护系统驱逐入侵攻击,在入侵攻击过程中减少入侵攻击所造成的损失,在被入侵攻击后收集入侵攻击的相关信息,作为防范系统的
知识,添加入侵策略集中,增强系统的防范能力,避免系统再次受到同类型的入侵攻击。
入侵检测作为一动态安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,它与静态安全防御技术(防火墙)相互配合可构成坚固的网络安全防御体系。
3.4 安全扫描 安全扫描就是对计算机系统或者其它网络设备进行安全相关的检测,以找出安全隐患和可能被攻击者利用的漏洞。安全扫描是把双刃剑,攻击者利用它可以入侵系统,而管理员利用它可以有效地防范攻击者入侵。
安全扫描常采用基于网络的主动式策略和基于主机的被动式策略。主动式策略就是通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞;而被动式策略就是对系统中不合适的设置,脆弱的口令以及其它同安全规则抵触的对象进行检查。利用被动式策略扫描称为系统安全扫描,利用主动式策略扫描称为网络安全扫描。
目前,安全扫描主要涉及四种检测技术:基于应用的检测技术、基于主机的检测技术、基于目标的漏洞检测技术、基于网络的检测技术。
3.5 安全审计 网络安全是动态的,对已经建立的系统,如果没有实时的、集中的可视化审计,就不能及时评估系统的安全性和发现系统中存在的安全隐患。网络安全审计就是在一个特定的网络环境下,为了保障网络和数据不受来自外网和内网用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件,以便集中报警、分析、处理的一种技术手段,它是一种积极、主动的安全防御技术。
计算机网络安全审计主要包括对操作系统、数据库、Web、邮件系统、网络设备和防火墙等项目的安全审计,以及加强安全
教育,增强安全责任意识。目前,网络安全审计系统主要包含以下几种功能:采集多种类型的日志数据、日志管理、日志查询、入侵检测、自动生成安全分析报告、网络状态实时监视、事件响应机制、集中管理。
3.6 安全管理 安全管理就是指为实现信息安全的目标而采取的一系列管理制度和技术手段,包括安全检测、监控、响应和调整的全部控制过程。需要指出的是,不论多么先进的安全技术,都只是实现信息安全管理的手段而已,信息安全源于有效地管理,要使先进的安全技术发挥较好的效果,就必须建立良好的信息安全管理体系,制定切合实际的网络安全管理制度,加强网络安全的规范化管理力度,强化网络管理人员和使用人员的安全防范意识。只有网络管理人员与使用人员共同努力,才能有效防御网络入侵和攻击,才能使信息安全得到保障。