更新时间:2022-08-25 13:53
随着互联网的日益扩大 ,网络已经成为经济活动和日常生活不可缺少的部分,信息共享日益广泛。 由于计算机信息有共享和易于扩散等特性 ,它在处理、存储、传输和使用上有着严重的脆弱性 ,很容易被干扰、滥用、遗漏和丢失 ,甚至被泄露、窃取、篡改、冒充和破坏。 由此使得信息安全问题日渐突出而且情况也越来越复杂。 如重要资料被窃取、网络系统遭破坏导致瘫痪,这些由于网络的“不安全”而导致的严重后果已经给众多商业公司造成了巨大的经济损失 ,解决网络安全问题刻不容缓。
从理论上讲 ,一旦主机连接到网络上,它就面临着来自网络的安全威胁,这些威胁主要有:非授权访问、信息泄漏或丢失、破坏数据完整性、拒绝服务攻击和后门程序等。
主机防护的需求是显而易见的。计算机和网络运转的核心是数据,如果没有数据,那么也就无所谓安全。数据的归属则是主机,当然这其中包括普通的个人电脑,服务器以及一些大型的磁盘阵列。目前的病毒及攻击威胁都是以获取或者破坏数据为目的,主机是抗击这些威胁的最后一道防线,不管是网络攻击也好,传统的外设传播的攻击也好,只要在主机上构筑一道强大的防线就能达到以一抵十的效果。
目前的网络环境很复杂,安全问题众多,病毒、木马、蠕虫已经成为我们耳熟能详的名词,从操作系统厂商到网络设备厂商在到专门的安全厂商无疑都将安全放在非常重要的位置。市场对安全的需求重大。这里我们将通过网络攻击,信息泄密以及系统本身的脆弱点三个方面来分析和论述主机安全的重要性以及主机防护系统的必要性。
在这个世界上,人类不断研究和发展新的信息安全机制和工程实践,为战胜计算机网络安全威胁付出了艰巨的努力。似乎如果计算机攻击手法不再翻新,关于信息安全的战争将很快结束。虽然,大多数地下组织研究的攻击手法都是惊人的相似,无非就是蠕虫、后门、rootkits、DoS和sniffer等。但这些手段都体现了它们惊人的威力。这几类攻击手段的新变种,与之前出现的相比,更加智能化,攻击目标直指互联网基础协议和操作系统层次。从程序的控制程序到内核级,黑客的攻击手法不断升级翻新,向用户的信息安全防范能力不断发起挑战。
在长期与信息安全专家的较量中,黑客对开发隐蔽的计算机网络攻击技术更加得心应手。工具本身是不会危及系统安全的一坏事都是人干的。信息安全专业人员也使用和入侵者同样使用的扫描和监听工具,对系统安全做例行公事般地审计。在恶意用户使用前,那些能非法控制程序的新的渗透测试工具,也被安全人员用来测试系统的漏洞。但是,还有很多的工具有它完全黑暗的一面,比如,蠕虫程序不断发展和传播,它只用来干坏事反入侵检测工具和很多专门用来破坏系统的安全性。
列举一下目前的网络攻击手段,包括服务拒绝攻击、利用型攻击、信息收集型攻击、假消息攻击等。服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你提供服务,服务拒绝攻击是最容易实施的攻击行为。利用型攻击是一类试图直接对你的机器进行控制的攻击。信息收集型攻击并不对目标本身造成危害,如名所示这类攻击被用来为进一步入侵提供有用的信息。主要包括扫描技术、体系结构刺探、利用信息服务。假消息攻击用于攻击目标配置不正确的消息,主要包括高速缓存污染、伪造电子邮件。
当我们在享受网络带来的便利时,也经常会遇到一些网络安全方面的问题,像家庭地址、信用卡密码、电子邮件地址等私人信息的泄露,轻则引来无数垃圾邮件,重则带来财产损失。也许你的竞争对手此刻正在努力破解你的账号……
计算机网络给人们提供的各种服务,最终体现在网络中所存储的数据上。这些数据一方面为使用者提供各种信息,一方面也支撑着整个网络和系统的正常运转。从安全的角度来说,存在专门针对网络和系统中的数据进行的窃取、篡改、假冒、抵赖等破坏行为,对网络和用户自身都带来巨大威胁。
数据窃取指的是数据在计算机或者其他设备中进行存储、处理、传送等过程中,被别人非法窃取的行为。数据窃取导致的损失可能是多方面的,例如个人隐私泄漏、金融损失、国家机密泄漏等。数据窃取的手段比较多,包括网络窃听,黑客入侵,软件发送,电磁辐射等。
入侵检测发展到现在已经从IDS更多地担当起的责任。原因很简单,只IDS具备检测能力,如果可以的话,,户要的是防止入侵的效果,而不想了解具体的入侵事件,对于普通的主机用户来说这种需求更加明显。所以在的基础上还提供了主动的保护能力。监控端口扫描行为是大多数防火墙的主要功能之一,如果发现长时间的来自相似IP地址的端口扫描行为,就可能预示着有蠕虫的攻击。对于这一点,可以通过动态地阻断和打开被长时间扫描的端口这种手段进行一定程度上的保护。操作系统提供的通用即插即服务功能可以帮助计算机发现和使用基于网络的硬件设备,它在提供了方便的硬件应用之外也带来一些安全隐患。该服务主要具有两个重要弱点,一个是缓冲区溢出错误隐患,另一个是UpnP服务无法对其自身搜索最新设备使用信息的操作步骤加以充分限制。这些弱点致使黑客能够取得被感染系统的完全控制并在此基础上阻止主机提供有效的服务,或者使主机成为发动DoS攻击的工具。
一个完善的主机安全系统需要从三方面来提供保护,分别是系统安全、文件安全和网络安全。这样划分的意义是显而易见的。网络安全保护主机的门户,尽量避免恶意数据包进出主机网卡,系统安全保护操作系统,避免系统被破坏,文件安全保护主机上的数据,避免数据被窃取或者销毁。从这三个方面来保护主机就可以提供一个全面的保护环境。
按照网络安全技术与实际应用结合的紧密程度,可以把网络信息安全技术分为以下几类通信安全、主机系统服务器安全和各种应用的安全等。通信安全主要是防止数据在被传输过程中不被修改、窃取或伪造。这一部分的功能可以通过对数据实行各种加密技术来实现。相对来说主机安全就显得更加重要服务器上往往存放一单位或部门的关键信息。目前而言,对主机的安全保护主要依赖于防火墙、闯入发现系统和操作系统本身固有的安全特性。但是防火墙的最大缺点就是它的防外不防内的特点,而服务器经常是对外提供服务,这样实际上防火墙并不能从根本上解决主机安全问题。IDS是一种被动的防御措施它并不能阻止任何非法行为。操作系统虽然提供了一些安全措施,但是其功能非常有限,并且经常存在各种漏洞,这只有经验丰富的系统管理员才能保证操作系统的安全。根据这种需要,可以结合防火墙技术、IDS技术、防病毒软件建立一套适合实际需要的主机安全系统,就非常科学。实现系统安全需要两方面的技术,一个是对注册表的监控,另一个是对文件的监控。
对于一台主机来说保护主机系统的正常运行固然很重要,然后保护的最终目的其实还是存放在主机上的数据,所以除了考虑系统安全之外,文件安全也是不容忽视的一个重要环节。对于操作系统的重要文件己经在前面的系统保护部分作了分析和列举,仅仅是系统保护当然是不够的,还要设计专门的文件保护功能才能解决这个问题。
实现文件安全需要文件操作控制模块的支持,文件操作控制模块是文件保护模块和系统防护模块的支撑模块。文件操作控制模块通过对系统所有文件、目录相关操作的截获,并与文件保护模块和系统防护模块传送过来的规则进行比较,实现基于文件或目录名称、操作类型等的匹配。对需要禁止的行为立即中断其在操作系统中的进一步处理,实现对被保护目录的隐藏、锁定,和防范针对主机的恶意文件操作的行为。
在主机的网络接口上所做的保护措施传统的有防火墙和入侵检测系统,功能相对比较固定,可扩展之处不多。主机防火墙系统主要提供访问控制功能,各功能分别从不同的网络协议层次对主机系统网络资源进行保护,在此访问控制功能包含四个主要方面:基于IP的主机网络访问控制,基于应用程序路径和名称的主机应用程序网络访问控制,基于URL的WEB广告和ActiveX控件、Java控件、Cookie、Java script、VB script访问控制,浏览痕迹清除,以及基于关键字的WEB浏览、邮件正文访问和各种恶意代码访问等的控制。这四项功能无疑都需要一些网络包处理技术的支持。