基于园区网防攻击技术架构策略的研究

时间:2022-07-30 04:45:14

基于园区网防攻击技术架构策略的研究

1 引言

随着网络技术的迅速发展和应用领域的扩大,网络安全问题也日益显得复杂和突出。网络系统涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术等多种学科。如何更有效地保护重要的信息,提高网络系统的安全已成为所有网络应用必须考虑和解决的重要问题。笔者以园区网安全技术的架构为中心,通过分析可能受到的各种威胁和攻击,完善架构防攻击的策略,指导园区网朝着安全运行和健康有序方向发展。

2 园区网可能受到的安全攻击

园区网的安全是指网络系统的硬件、软件及数据得到保护,不会受到偶然的或者恶意的原因而遭到破坏、更改、泄露,系统能连续正常可靠地运行,网络服务不中断。

园区网系统受到攻击是多方面的,主要有:被动攻击、主动攻击、服务性攻击和非服务性的攻击。

2.1 被动攻击

它是收集信息而不是进行访问,数据的合法用户对这种活动一点也防范不到。它的特点是监视数据单元传输过程,其目的是获得正在传送或共享的文件。被动攻击主要包括:在数据传输中泄露信息和病毒感染等。

(1)数据传输中泄露信息。泄露信息内容主要是指语音传输、电子邮件、文件传递中的机密信息等泄露。因此,在数据传输中,各个节点,各个传输线路都有可能被人监视,如果不对传输数据进行加密,就可能导致信息泄露。

(2)病毒。它能“感染”一种程序或修改其他程序,使修改后的程序包含了病毒程序的一个副本,它们就能通过副本“感染”其他程序。

通过网络传播病毒,其破坏性大大高于单机系统,而且用户很难防范。由于在网络环境下,病毒有不可估量的威胁性和破坏力,因此,病毒的防范是网络安全建设中重要的一环。

2.2主动攻击

它主要涉及修改数据流或创建数据流。包括非授权访问、授权侵犯、修改信息和访问所需信息的故意行为等。

(1)非授权访问。权限是由系统管理员赋予用户的特殊属性。只有当用户拥有所需要的访问权限,系统才能满足用户所提出的特定请求。操作系统可以根据访问权限将用户分为以下三种类型:特殊用户(系统管理员)、审计用户和一般用户。

(2)授权侵犯。在提供文件、目录、设备等资源时,网络系统管理员应给文件、目录等指定访问权限,形成一组网络资源安全属性。但对于一个经过授权的用户在使用网络时,利用园区网赋予的权限,对网络系统采取的一种不轨行为,给网络系统构成威胁,从而导致园区网系统产生授权的侵犯。

(3)修改信息。它是黑客攻击的方式。虽然他们针对的目标和采用的方法各不相同,但所用的攻击步骤却有很多的共性。一般黑客的攻击可分为以下四个步骤:一是寻找目标主机并分析目标主机;二是登录主机;三是获取超级用户权限;四是清除记录与设置“后门”。 其中也包括对信息的真实性、完整性和有序性的攻击。

2.3服务性攻击

它主要是针对园区网提供服务的同时对网络环境实施的攻击。并且也是针对某种特定网络服务的攻击,如针对E-mail、Telnet、FTP、HTTP等服务的专门攻击。例如Telnet服务在23端口上提供远端连接;HTTP在80端口等待客户的WWW浏览请求等情况。目前,因特网的TCP/IP协议缺乏认证,保密措施不利是造成服务性攻击的重要原因,现在很多具体的攻击工具,如E-mail Bomb等,可以很容易地实施对某项服务性的攻击。

2.4非服务性攻击

对常见的非服务性攻击方法的了解,将有助于用户有效地防止非服务性使用园区网资源。对非服务性的攻击包括以下主要内容:

(1)口令攻击。所谓口令攻击是指使用某些合法用户的账号和口令登录到目标主机,然后再实施攻击活动。这种方法的前提是必须首先得到目标主机上某个合法用户的账号,然后再进行合法用户口令的破译。常用的方法有以下四种:一是密码探测;二是硬性破解;三是网络监听;四是登录界面的攻击。

(2)端口扫描攻击。所谓端口扫描就是利用Socket编程与目标主机的某些端口建立TCP连接、传输协议的验证等,从而得知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、服务中是否含有某些缺陷等。

(3)Web欺骗攻击。欺骗是一种主动攻击技术,它能破坏两台计算机间通信链路上的正常数据流,并可向通信链路上插入数据。一般Web欺骗使用两种技术,即URL地址重写技术和相关信息掩盖技术。

(4)电子邮件攻击。它是互联网上运用十分广泛的通信方式,但同时也面临着巨大的安全风险。攻击者可以使用一些邮件炸弹软件,向目标邮箱发送大量内容重复、无用的垃圾邮件,从而使目标邮箱被撑爆无法使用或造成邮件系统的瘫痪。

(5)缓冲区溢出。许多系统都有这样或那样的安全漏洞,缓冲区溢出就是一个非常普遍、危险的漏洞。产生缓冲区溢出的根本原因在于:将一个超过缓冲区长度的字符串拷贝到缓冲区,黑客在长字符串中嵌入一段代码,并将过程的返回地址覆盖为这段代码的地址。当过程返回时,程序就转入执行黑客自编的代码了。

(6)放置特洛伊木马程序。它的攻击手段是将一些“后门”、“特殊通道”隐藏在某个软件里,让使用该软件的系统成为被攻击和控制的对象。特洛伊木马程序常被伪装成工具程序或游戏等,当用户从网上下载时,它们就会在系统中隐藏Windows启动时悄悄执行的程序。当用户互联时,就会通知黑客,报告用户的IP地址以及预先设定的端口,利用获取的信息达到控制用户的目的等。

3 园区网的安全策略与安全管理

鉴于网络安全威胁的多样性、复杂性及网络信息的重要性,在设计网络系统时,应努力通过相应的手段达到以下五个安全目标:完整性、可用性、可靠性、保密性、不可抵赖性。

园区网的安全策略与管理主要体现在安全管理的原则和策略的组成等方面。

3.1安全管理的原则

如何使园区网不受或少受黑客攻击和窃取信息,保持网络畅通是安全管理研究的主要方向。安全管理的原则主要包括访问控制和入侵检测两种主要技术手段。

(1)访问控制。它是网络安全防范和保护的重要手段。它的任务是保证网络资源不被非法使用和访问,是保护网络安全最重要的核心策略之一。访问控制涉及的技术比较广泛,包括入网、权限、目录级安全、服务器安全以及属性安全等多种控制方式。

(2)入侵检测。上述的访问控制是为了防止非法用户访问网络资源。但如果防火墙被攻破,访问控制的功能失效,系统内的资源有可能被非法用户盗取。如何检测系统是否被盗取是网络安全技术的一个重要方面。因此,入侵检测是访问控制的补充,扩展管理员对网络管理的能力,提高信息安全性。入侵检测被认为是防火墙之后的第二道安全闸门,能对网络进行检测,从而提高对内部访问、外部攻击和非法操作的实时保护。

3.2安全策略的组成

它由设备的安全、技术保证和网络的管理等部分组成。设备安全管理主要以网络服务器为主;技术保证主要以采取的策略为主;网络的管理主要针对管理人员执行的措施为主。

(1)硬件设计。主要包括服务器、终端、交换、路由以及各种辅助设备的策略。服务器访问控制是网络安全防范和保护的主要策略,也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护的作用,但服务器的访问控制是重要的核心策略之一。在园区网规划设计阶段就应考虑网络设备的安全问题,将一些重要的设备,如服务器、主干交换设备、路由设备、防火墙等尽量实行集中管理。

上一篇:局域网内如何判断隐性病毒及清除策略 下一篇:构建安全内部网