常用的网络安全技术 |
| 2012-06-12 11:20 作者:刘成军 来源:硅谷网-《硅谷》杂志 HV: 编辑:GuiGu 【搜索试试】
|
|
摘要:随着计算机网络的日益普及,网络安全已成为网络发展中的重要课题。而随着网络安全研究的不断深入,针对不同安全需求的网络安全技术被陆续推出。
关键词:网络;安全;技术
中图分类号:TP309文献标识码:A文章编号:1671—7597(2012)0410
【《硅谷》杂志2012年4月刊文】网络安全是一个关系国家安全和社会稳定的重要问题,它涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多门学科。其本质是确保网络上的信息安全,具体是指确保网络系统的硬件、软件及其系统中的数据不被偶然或者恶意地破坏、篡改和泄露,并保证网络系统能连续稳定正常地工作。网络安全问题已成为每一位用户不得不认真面对的问题。下面简单介绍目前比较流行的网络安全技术。
1物理安全
提到网络安全,人们总是想到黑客通过Internet攻击远端系统,而忽略了本地直接的物理威胁。事实上直接的物理攻击所造成的损失要远大于通过网络的攻击。例如,热插拔服务器或磁盘阵列上的硬盘,偷取硬件设备,使用第三方工具软件重新引导系统后修改管理员账号密码等。
许多公司、组织使用了多种网络安全设备,但是它们的系统还是遭到了破坏。这主要是因为它们的机器没有被物理保护,也许是把服务器和安全设备放在一个公共区域,也可能是忽略了对安全场所的访问限制,使无关人员可以直接进入放置服务器的房间。有不良企图的人利用这些疏漏直接接触到目标设备,轻松打开一个安全突破口,对网络设备进行破坏,造成安全问题。要提高网络的物理安全性,应关注以下几个问题。
1)服务器和安全设备是否都放置在上锁的机房内?
2)网络设备是否处于被监控状态?
3)是否有员工单独在敏感区域工作?
2身份验证技术
身份验证是指用户向系统出示自己身份证明的过程,主要通过用户名和与之匹配的口令、智能卡、指纹、视网膜和声音等用户独有的特征,进行身份验证。基于口令的论证方式是一种最常见的身份验证技术。但是没有保护措施和过于简单的用户账号口令,是黑客进入系统的主要原因。许多潜在的问题,都可以通过严格的账户口令管理而避免,这包括使用强口令、建立密码策略和账户锁定策略等。只有满足这些要求,才能做到口令不易被猜到,并有效对抗暴力攻击(使用数字和字母的随机组合反复尝试,猜出用户名和口令)。下面介绍如何通过身份验证技术加强系统安全。
2.1强口令
口令是系统安全的核心要素之一。如果口令的安全受到威胁,那么基础安全计划或模式就会受到影响。为了强制选择符合要求的口令,需要做的是不仅要在账户策略中选择合适的值,还要帮助用户选择强口令。强口令至少包含下面四种字符中的三种:大写字母,小写字母,数字,非字母数字字符,如标点符号等。在创建口令的时候,用户也应该遵守下列规则:不使用公用的个人信息,例如:电话;不在口令中重复使用某个字母或数字;避免将口令暴露在能够找到的地方,如把口令写在纸上,放在计算机附近的抽屉里。
2.2windows和强口令
Windows2000和Windows2003支持长达127个字符的口令,WindowsNT只支持14个字符的口令,为了向后兼容,Microsoft建议口令不应超过14个字符。由于让用户记住127位字符的口令是不现实的,即使是14位字符的口令也很难记住,通常的方法是:使用至少7个字符的口令,其中不包含用户姓名的任何一部分,并且由大写字母、小写字母、数字和非字母数字的字符组成。
2.3Windows密码策略
可以使用“本地安全设置”设置“密码策略”,强制用户使用强口令:强制密码满足复杂性要求;限制密码长度最小值;强制密码历史(确定操作系统将要记住的口令数量,如果用户选择的口令存在于口令历史数据库中,操作系统将强制此用户选择其他口令,防止用户在过短的时间内使用重复密码);限制密码最短使用期限。
2.4Windows账户锁定策略
用户锁定是防止他人猜测口令的主要方法。在输入的非法口令达到给定的次数后,系统将禁用该账户。这种技术在阻止远程暴力攻击或基于字典穷举口令攻击的时候特别有用。锁定的时机最好定在3-5次非法登录尝试后。可以使用“本地安全设置”设置“账户锁定策略”。
3访问控制技术
访问控制技术就是通过权限设置,限制特定用户对特定资源的访问。在网络操作系统中,权限是一个很关键的概念,因为它决定着用户是否能够访问某些文件或者修改系统配置。
3.1Windows文件系统安全
要给单个文件设置访问权限,通常使用NTFS文件系统。如果使用FAT文件系统则不能给单个文件分配访问权限。NTFS文件系统提供了完全控制、修改、读取和运行、列出文件夹目录、读取、写入和特别的权限等7种权限,提供了审核、用户级别的安全、文件加密、文件压缩、从本地和远程驱动器上创建独立卷的能力等功能。
3.2使用磁盘分区保护文件
为了在遭遇黑客攻击时尽量减少损失,通常把操作系统文件放在一个单独的分区。采用这种方法,与操作系统有关的问题很难扩散到其他包含数据的分区中。尽管使用独立的分区需要预先进行计划,但是它能带来非常明显的好处,最明显的是目录权限的管理更容易,数据目录可以按需要尽可能分布在多个分区。
3.3复制或移动文件时权限的变化
建立了分区,分配了适当的权限,并不是工作的结束。当文件从一处复制或移动到另一处时,它的权限可能会发生变化,作为一个系统管理员应该清楚地知道权限变化的结果:当文件被复制到一个新的文件夹中时,复制的文件相当于新生成的文件,将继承目标文件夹的权限;当文件在同一个分区内移动的时候,文件的权限保留;当文件在两个不同的分区间移动的时候,Windows先复制此文件到新位置,复制成功后Windows删除原来的文件,复制的文件将继承目标文件夹的权限。
3.4远程文件访问控制
通过共享权限可以限制对文件和目录的远程访问。共享是一个网络接入点,通过它用户可以访问远端的文件。配制共享的时候,需要设置权限,共享权限的应用与NTFS权限的应用方式类似。在实际应用中,只有共享权限还不够,还需要结合NTFS权限。当组合共享权限和NTFS权限,并且用户从网络访问时,有效权限是两种权限中更严格的权限。
4数据加密技术
有多种算法用来加密文件,包括数据加密技术标准(DES/3DES)、RSA和消息摘要5(MD5)等算法。这些算法可以划分为对称加密、非对称加密和哈希技术三类。加密技术的强度基于以下三个主要因素:算法成熟度;密钥的保密;密钥长度。
5扫描技术
扫描技术主要用来确定目标计算机的操作系统类型、开放了哪些端口、提供哪些服务、相关服务的版本、是否存在已知漏洞等信息。扫描技术是一把双刃剑,安全专家利用它可以事先发现问题,提高系统安全等级,黑客则利用它作为入侵的基础。高水平的网络安全专家、黑客可以自己编写扫描软件或脚本,普通用户则可以使用现成的扫描软件,如流光、X-scan。
6防火墙技术
防火墙是一个由软件和硬件设备组合而成,在内部网和外部网之间、专用网与公共网之间构造的保护屏障。在众多的网络安全工具中,防火墙是最关键的部分,因为它强制性地定义了内部网络和其他网络之间的区别。防火墙通过满足以下4个目标来加强内部局域网的安全:防火墙是用来执行安全策略的主要手段;建立一个节流点;记录Internet访问行为;减少内部主机的暴露。
7防病毒技术
计算机病毒是比网络安全更早引起关注的内容。随着网络技术的发展,网络已经成为计算机病毒的主要传播方式,以往的单机防病毒技术已经不适应目前网络安全建设的需要了。为了应对新的威胁,主流的防病毒软件都会实现以下几个功能:病毒查杀能力;对新病毒的反应能力;病毒实时监控能力;快速、方便的升级能力;智能安装;集中管理。
8入侵检测技术
虽然防火墙可以很好地保护一个内部网络,但是防火墙只能用规则被动地阻止特定的网络行为,对于符合规则要求的入侵行为则无能为力。例如:通过防火墙发布一个Web服务器,虽然禁止访问其他端口,但是黑客依然可以使用扫描软件发现打开的80端口,然后进行登录尝试。这些行为都是符合防火墙规则的,无法阻止,这时就需要使用入侵检测系统来阻止该入侵行为。
9安全审计技术
安全审计技术是对网络状态和行为进行集中报警、分析、处理的一种技术手段。分析日志文件是安全审计中的关键性方面,查看来自不同网络设备(如服务器、路由器、防火墙、IDS、交换机等)的日志文件,是了解网络信息最有效的手段。
9.1建立基准值
建立基准值给衡量和比较将来的网络行为提供了一个标准。建立一个基准值,需要对前期长期(一个月或更长)记录的日志进行趋势分析。通过这个基准值,可以更容易地识别异常的网络行为。
9.2通过日志检测可疑行为
技术高超的黑客会将他们的攻击行为伪装成合法的系统行为,然而这些行为常常存在泄漏信息的标记,通过查看日志可以发现这些标记。下面是在日志中最常见的异常类型列表:不完整的或混乱的日志条目;登录时间的改变;重复登录和用户权限失效;后台日志程序崩溃;服务或后台程序重新启动。
9.3日志文件的平衡
如果日志记录过于详细,记录了太多信息,那么需要关注的重要信息很可能会被忽略。而且日志记录过于详细,就需要更多的处理能力,系统将花费大量的处理时间记录日志信息,审计日志的时间也将更加漫长。然而日志过于粗略,将没有足够的信息来建立基准值,或对异常行为进行检测。为了获得最好的平衡,可以考虑如下的策略:专心于边界设备(如防火墙、路由器);仔细分析从IDS得到的信息;只注重在网络中需要优先考虑的服务器,如果有的服务器不运行关键业务或者很少使用,那么就不需要花费太多的精力。
9.4审计防火墙和路由器日志
审计防火墙和路由器日志时,应重点关注以下几个方面:确定源和目的端口;查找源和目的主机地址;行为模式,寻找外部对系统进行扫描的行为;查找与生产无关的应用,例如:RealPlayer、MediaPlayer、QQ、MSN等。另外还需要对可疑的ICMP、TCP、UDP连接进行搜索。
9.5Windows日志
Windows日志使用事件查看日志,使用EventLog服务记录日志。
1)Windows日志类别:系统日志,安全日志,应用程序日志。
2)默认的日志文件位置:如果Windows系统位于C盘,那么日志文件存放在“C:\Windows\system32\config”文件夹下,而IIS的日志文件则存放在“C:\Windows\system32\logfiles\w3svc1”目录下。
3)启动Windows的审核。
在Windows中必须明确地启用审核,以截获相应的事件记录。使用“本地安全设置”的“审核策略”,选择审核成功的事件或失败的事件。启动了审核对象访问后,可以使用资源管理器启动对有需求的文件或文件夹的审核。
参考文献:
[1]《搭建企业网典型应用》,科学技术文献出版社,2008.
作者简介:
刘成军(1974-),女,四川达县人,讲师,四川省达州广播电视大学。(注:本文版权归作者本人和硅谷杂志所有,禁止他人未经授权转载)
|
|
|
|
【对“常用的网络安全技术”发布评论】 |
版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
|
|
|
|
