ccidnet????

出版日期:1999-06-17 总期号:832 本年期号:42

本期导读
要闻综合
软件
网络通信
信息中国人
 抵御黑客
网络系统安全论坛(五)
郭春平


  系统的弱点
  黑客对计算机网络构成的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。黑客主要是利用网络以下主要漏洞实施攻击:

  一是利用人为的无意失误进行攻击。如操作员安全配置不当造成的安全漏洞;用户安全意识不强,口令选择不慎、将自己的账号随意转借他人或与别人共享等,这些都会成为黑客攻击的入口。

  二是人为的恶意攻击。这是计算机网络所面临的最大的威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译,以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。

  三是利用网络软件的漏洞和“后门”实施攻击。网络软件不可能是百分之百的无缺陷和无漏洞的,然而这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。曾经发生的黑客攻入网络内部的事件,绝大部分就是因为安全措施不完善所致。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。


  黑客攻击的方式
  据说,黑客经常采用的入侵方法很多,比较常用的有:口令入侵,就是指用一些软件解开经过加密的口令文档;特洛伊术,它最为广泛的方法就是把一个能帮助黑客完成某一特定动作的程序依附在某一合法用户的正常程序中,这时合法用户的程序代码已被改变,而一旦用户触发该程序那么依附在内的黑客指令代码同时被激活,这些代码往往能完成黑客早已指定的任务;监听法,这是一个很实用但风险也很大的黑客方法,但是还是有很多入侵的记录显示采用了此类方法。此外还有email技术、病毒技术、隐藏技术等。


  对网络造成的损害
  侵入者对目标系统的伤害主要有以下几个方面:

  非法使用资源,包括对计算机资源、电话服务或网络连接服务等资源的滥用和盗用。通过对系统的控制,侵入者能够无限制地使用这些资源而不必付任何费用,最典型的是免费使用电话系统或在全球的数据通信网络中无节制地漫游。虽然这种攻击很少造成结构性的损害,但其高昂的费用会转嫁到用户或服务商的头上。

  典型的恶意破坏包括毁坏数据和修改页面内容或链接。这种破坏无需侵入网络,传送进入网络中的文件可附带有破坏性的病毒,对网络设备的信息轰炸也可造成服务中断。

  随着电子商务的开展,盗窃数据行为的可能性和危险性也在不断增加。任何有价值的东西都有可能被盗,从数据、服务,到整个数据库系统、金融数据和敏感的个人信息。据fbi的估计,每年由于此类数据被盗而造成的损失高达75亿美元。


  防范黑客的管理和技术措施
  在任何时候,都要强调管理。加强网络的安全管理,制定有关规章制度,对于确保网络安全、可靠运行,将起到十分有效的作用。

  采用入侵检索系统是目前防范黑客攻击最常采用的一种方法。入侵检测系统是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要,首先是由于它能够对付来自内部网络的攻击,其次它能够阻止黑客的入侵。

  入侵检测系统可分为基于主机的和基于网络的两类。基于主机的入侵检测系统主要用于保护关键应用的服务器,实时监视可疑的连接、非法的访问、系统日志检查等,并且提供对典型应用如web服务器应用的监视。基于主机的安全监控系统需具备精确及高级的特点,它可以精确地判断入侵事件,特别是应用层的入侵事件,并对入侵事件立即作出反应。基于主机的安全监控系统可以针对不同操作系统,但会占用主机宝贵的资源。

  入侵检测系统用于实时监控网络关键路径的信息。它通常能够实时监视经过本网段的任何活动,监视粒度更细致。但是精确度一般较差,防止入侵欺骗的能力也较差,且交换网络环境难于配置。

  入侵检测系统的基本模式是由网络数据包的协议分析器将分析结果送给模式匹配部分,并根据需要保存;模式匹配分析仪根据协议分析器的结果匹配入侵特征,再将结果传送给决策部分;决策部分执行规定的动作,并由存储设备保存分析结果及相关数据。

  基于主机及网络的入侵监控系统通常配置为分布式模式。在需要监视的服务器上安装监视模块(agent),分别向管理服务器报告及上传证据,提供跨平台的入侵监视解决方案;同时在需要监视的网络路径上,放置监视模块(sensor),分别向管理服务器报告及上传证据,提供跨网络的入侵监视解决方案。

  选择入侵检测系统要注意协议分析、检测能力及解码效率;其次要注意入侵检测系统自身的安全性、精确度及完整度、防欺骗能力以及模式更新速度。网络想要得到高水平的安全保护,应该选择主动和智能的网络安全技术。完备的网络安全系统应该能够监视网络和识别攻击信号,做到及时反应和保护,在受到攻击的任何阶段帮助网络安全管理人员从容应付,并且不应该造成过大负担和产生过高的费用。