计算机技术信息安全保障探究
时间:2022-10-09 05:46:12
当今科技的发展,特别是高尖端技术的发展,已经无法脱离计算机技术。而信息处理,又是计算机技术发展最为迅猛和令人惊叹的领域。信息处理的技术手段,超越了人类器官能力的局限,不仅在航天技术、生化技术、微观世界等领域为我们提供了解决人类的肉眼无法解决的难题的方法,而且还为我们的日常生活提供了互联网、即时通(QQ、微信)、网银等使我们的生活变得非常便利的信息服务。计算机技术的信息处理,已深入到我们的各行各业及个人生活的方方面面。我们已不得不承认,自己是活在一个信息时代。不管你喜欢还是不喜欢,信息时时刻刻都与你如影随形。
1基本概念
既然信息与我们的生活的关系如此密切,我们不妨谈谈信息是指什么。信息是人类对世界感知的记录。信息的表现形态有字符、声光、图形、影像,还有一些是人类的感官无法感知的,需借助仪器才能感知的表现形态。信息处理有记录、计算、编辑、统计、还原、传输、存储、审计和重现等形式。信息的记录不得不依靠载体,而载体又可分为存储载体,如在人类历史上,人们曾用甲骨、竹片、纸张、胶片、磁带、磁芯、光盘等作为存储载体。还有传输载体,如电缆、光纤、电磁波、空气和水等。信息是我们的无形资产,它对我们如此重要,以至于我们对它的安全越来越重视。因此,我们有必要知道信息安全的五个重要属性:真实性(reliability)、保密性(confidentiality)、完整性(integrity)、可用性(availability)。不可抵赖性(non-repudiation)。也就是说,我们在信息的应用和处理时,都要从这五个方面去考虑和权衡信息的安全。
2以现实例子解读信息安全术语
现实中对信息安全构成的威胁就是对信息安全这五个属性的可能的破坏。常见的破坏信息安全的情形有:未授权使用,窃取,伪装,篡改,制造缺损,妨碍使用,否认发送过信息等。为更好地理解信息安全,我们列举一些实例。例如,组织和个人的网站或主页(例如网上银行),需要密码才能登录;某些机密的区域通常会设置门禁。要是没有磁卡、不通过生物信息(指纹、视网膜等)认证,人们无法进入;这些都属于禁止未授权使用(在信息安全领域,未经授权使用,窥探,破坏信息行为的人,通常被称为黑客)。又例如,一些人通过在网站、软件内植入木马,盗窃客户的用户密码,从而偷窃用户的信息,继而盗取钱财,实施犯罪;也有人通过建立假网站,发送假电邮,在QQ中用别人的头像冒名顶替他人,或通过电话冒充执法部门进行执法,从而诈骗钱财,这类就是典型的信息伪装(字符的、图案的、声音的);有人将别人的付款、发货、转账等指令的数额擅自改大或改小,以达到不当得利的非法目的。还有人暗中更改账目,掩盖渎职,贪污等行为。这类行为称为信息篡改;还有一些信息,必须完整才能应用。比如,银行账户中,如果有一段时期的流水账缺失,你就有可能无法查核你目前的账上金额是否正确。一个企业,假如丢失了一两个月的收支记录。那么,这个企业就无法完成年度月平均绩效的计算。这表明信息缺损,可能是一个很严重的事件;信息如此重要,有时敌对的双方会用计算机技术手段,令对方在收集信息和传递信息时受到障碍,使对方无法分辨哪些是有用信息或无法发出信息或接收信息,导致信息交流失败。这种手法就是妨碍使用;还有一种破坏信息安全的行为是否认发送信息。例如,有人通过网上银行或网站炒股,利用股票价格的波动,趁机低价买入或高价抛出,从而获利。然而,有人因为没有把握好交易的时机,结果损失惨重。这时,这些人就有可能矢口否认自己在网络曾经发出过要求交易机构按其要求进行交易的指令,企图不认账,对发过的信息进行抵赖。以上列举了常见的涉及信息安全问题的各种实例。那么,我们如何去防范风险和维护信息安全呢?我们将从以下几个角度,探讨在计算机技术的应用中常见的信息泄漏的风险以及为保护信息安全可采取的防御措施:
3从计算机网络结构的角度考虑信息安全
目前,单台计算机应用已经很少见。为了互联互通,人们都是将计算机互联成局域网、广域网或互联网使用,即按照不同的人群、机构或区域,将计算机互相联通,达到跨计算机,跨办公室,跨建筑物,跨地区,跨城市,跨国家,甚至跨星球来使用。从而达到跨空间跨时区进行信息交流,资源共享的目的。这使人类突破了本身器官能力的限制,仿佛有了千里眼、顺风耳、无影手和超级脑。从计算机网络的角度去保障信息安全,也就是要在信息传播的途径上排除存在的风险因素。信息可以转换成数据。所以信息有时又被专业人士称为数据。信息传播的起点,通常是某台计算机,它可以表现为个人计算机、服务器、数据中心。传播的途径我们称为链路。人们以逻辑划分的链路,被称为虚拟链路。而实体可见的链路,称为物理链路。这些链路由信息的传播载体——电缆、光纤或电磁波(无线电波)构成。信息的终点可以是另一台计算机或展示信息的设备(如投影仪、打印机等)。要做到保障网络安全,就等于要保障信息从起点/源主机——路途/链路——终点/目的主机,整个传播过程的安全。信息在电脑网络传播中,在计算机技术领域,我们会用IP地址去标注信息的起点和终点。黑客在数据链路中截取或在数据终点提取数据,都有可能获悉信息起点的IP。这样,他就可以有针对性地对信息的来源计算机进行入侵,盗窃信息或发动攻击。
3.1网络攻击的种类
计算机网络常见的攻击有:窃取权限攻击、服务瘫痪攻击、响应探测攻击、篡改攻击、假冒攻击、口令攻击、缓冲区溢出。
3.1.1窃取权限攻击这类型的攻击是通过各种手段盗取用户的用户名和密码,从事侵权或违法活动。最常见的有三种:口令猜测:黑客利用人们对信息安全的意识的淡薄和懒惰的弱点进行用户名和密码的试探。比如,不少人用自己的名字或机器默认的admin或administrator做用户名,用单纯的数字或自然数字排列顺序的组合作密码,如1、0、123、123456、生日日期等作密码。这样,在众多的用户中,就有相当可观的几率猜中密码。另外,高级的黑客编一个并不复杂的程序,用字母(包括大小写)和数字组合,去试探某用户的密码,最终破解密码。一旦黑客猜中或破解一台机器,例如识别了基于NetBIOS的口令,他就可以控制一台微软的客户机/服务器;识别了基于Telnet的口令,黑客就可以控制一台交换机或路由器或服务器;识别了基于NFS的服务的可利用的用户帐号和口令,黑客可通过对某机器的控制,窃取与该机器共享文件的远端系统上的文件。因此,要预防被黑客猜中或破解口令,要选用难以猜测的口令,比如用词、字母(大小写区别)、标点和符号的组合。定期更换。不在公共场合使用登录密码或口令。如果服务支持锁定策略,就在机器中设置锁定。木马病毒:也称为特洛伊木马(取自希腊神话的典故),是一种由黑客编写并在用户不知情的情况下植入到客户系统的程序。一旦成功获取了用户的权限,他就可以直接远程控制用户的系统。这种程序也称为后门程序。有恶意的,包括:Trojan.QQ3344、Avp32.exe和Backdoor.IRCBot,为工作而善意设计的,如:第三只眼、VNC、向日葵、pcAnywhere。预防木马的方法是不打开来路不明的电邮,不点击诱惑性的弹出广告,不下载不了解的程序,不运行不了解的程序。并且可以通过网络扫描软件定期监测机器的TCP的服务。电子邮件轰炸电子邮件轰炸是一种有着悠久历史的匿名攻击。它是通过某台主机连续不断地向同一个IP地址发送电邮的方式。攻击者使被攻击者的网络带宽予以耗尽,致使被攻击者无法进行电邮收发预防的手段有:在邮箱中的反垃圾或黑名单中设置攻击者的邮件地址,达到自动删除或拒绝来自同一电邮地址或同一主机的过量或重复的电邮。
3.1.2服务瘫痪攻击服务瘫痪攻击是利用计算机网络传输数据的原理,通过制造异常的数据的传递,达到受害者的计算机服务崩溃而瘫痪。这类攻击包括:Smurf攻击:这种攻击是用黑客最迟发起攻击所用的程序名称来命名的。其名称来自最初发发动攻击的程序名称Smurf。这种攻击是运用这样一个原理:某个主机向另一台主机发送一个ICMPecho请求包(例如PING)请求时,接受主机将要回应一个ICMPecho回应包。广播地址可以同时向网络中多台主机发送ICMPecho请求包。因此smurf攻击有两种情形:
1)将受害主机地址作为源地址,向目的地址发送ICMPecho请求包,目的地址设为广播地址。此时回复地址设置成受害主机。这样就有大量的ICMPecho回应包淹没受害主机,导致受害主机崩溃。此回应包的流量比ping-of-death洪水的流量高出一或两个数量级。
2)将应答地址设置成受害网络的,以IP地址为255结尾的广播地址。广播地址接收到ICMP应答包后,根据数据包传输协议,将向该网络广泛发送ICMPecho应答包来泛洪该网络的多台主机,导致网络堵塞而无法传送正常数据包。对于这类攻击防范手段有:关闭外部入口的路由器或防火墙的广播特性来阻止黑客利用某台主机来攻击某个网络。也可在防火墙中设置策略,令其丢弃ICMP应答包。拼死它(ping-of-death):在研究计算机网络的初期,科学家对路由器的数据包的最大尺寸设定了一个上限,不同厂商的操作系统对TCP/IP协议堆栈的实现在ICMP包上都是规定64KB,而且规定在对包的标题头读取后,根据该标题头里所包含的信息来为有效载荷生成缓冲区。当产生ICMP包的尺寸超过上限或者说产生畸形的ICMP包时计算机就会出现内存分配错误,进而发生TCP/IP堆栈崩溃,结果导致ICMP包接受方宕机。目前的TCP/IP堆栈的实现已能应付超上限的ICMP包,大多数防火墙都有自动过滤这些超上限ICMP包的能力。在微软公司的WindowsNT后的操作系统、linux操作系统、Solaris操作系统和MacOS操作系统都已具备抵御“拼死它”的攻击的能力。因此,只要将防火墙进行恰当的配置,都能阻止ICMP或未知协议的此类攻击。泪滴(tear-drop):这类攻击是攻击者通过伪造数据包内的IP分段或故意使IP分段位移造成TCP/IP堆栈的崩溃。原理是TCP/IP栈的实现是依赖于其信任的IP碎片的包的标题头所含有的信息。这些信息表明IP碎片是原包的哪一段的信息。分段的次序一旦混乱。数据就无法正确重组。由于服务器的TCP/IP堆栈的实现受服务包的版本影响,要防范这类攻击,需要更新最新服务包。或者在防火墙的设置时,对IP分段进行重组,不设置成转发。UDP洪水式攻击(UDPflood):这类的攻击利用TCP/IP服务中的通信规则,如Chargen和Echo传送或应答来掺入毫无用处的数据,并刻意使这些数据足够大而占满整个带宽。使通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就利用了Echo的收到数据包后必回复一个数据包的特性,也利用了Chargen每收到一个UDP数据包后发回一个包含包含长度为0~512字节之间随机值的任意字符的数据包的特性。在两台主机之间生成足够多的无用数据流,如果足够多的数据流就会导致Dos攻击。防御措施:关掉不必要的TCP/IP服务,或者用防火墙过滤19端口的数据包即可。SYN洪水式攻击(SYNflood):一些TCP/IP栈的实现只能通过等待从有限数量的计算机发来的ACK消息,因为他们只有有限的内存缓冲区用于创建连接。如果这一缓冲区充满了虚假连接的初始信息,该服务器就会对接下来的连接停止响应。攻击者就是利用“僵尸主机”向受害主机发送大量的无用的SYN数据包来占漫缓冲区时。使受攻击主机无法创建连接。防御方法:在防火墙上过滤来自同一主机的后续连接。SYN洪水式攻击被定义为DDos攻击。比较难以防范。由于释放洪水的并不寻求响应,难以鉴别出来。Land攻击:其手段为:把SYN数据包的源地址和目标地址都设置为某个服务器地址。这使服务器向自身地址发送SYN-ACK包,结果自身地址又发出ACK消息。于是就产生一个空连接。这些空连接的累积,最终导致TIMEOUT.对Land攻击的反应,不同的操作系统有不同。UNIX的许多实现会崩溃,WindowsNT系统会变得运行极其迟缓。防御:对防火墙进行配置,或者打最新的补丁,将那些在外部接口上进入的含有内部源地址的SYN-ACK包滤掉。(比如,包括10域、127域、192.168域、172.16到172.31域)。Fraggle攻击:利用UDP应答而不是ICMP应答,将Smurf攻击作简单的修改,就变形为Fraggle攻击。防御手段:设置防火墙,使其过滤掉UDP应答消息。
3.1.3信息收集型攻击此类攻击是为非法入侵他人数据做准备而收集相关信息。主要包括:体系结构刺探、利用信息服务、扫描技术。
3.1.3.1体系结构探测运用数据库中Banner抓包器,对已知响应与来自目标主机的、对坏数据包传递所作出发响应之间的分析对比,可以判断出目标主机所运行的操作系统的类型。比如,WindowsNT或Solaris。这是由于不同操作系统的TCP/IP堆栈的具体实现有所不同。抵御方法:去除或修改Banner,包括操作系统和各种应用服务的Banner,阻断黑客识别的端口,扰乱其的攻击计划。
3.1.3.2扫描技术地址扫描:应用ping这样的命令探测目标地址,对命令产生响应的就证明目标主机存在。应对策略:在防火墙上过滤掉ICMP应答消息。端口扫描:通常使用扫描软件,大范围地连接主机的一系列的TCP端口,扫描软件报告有多少主机所开断开被成功连接。阻止手段:不少防火墙能检测到是否被扫描,并自动阻断扫描企图。反响映射:通过向主机发送虚假消息,然后根据返回“hostunreachable”这一响应消息特征判断出哪些主机是存在的。这些虚假消息通常是:RESET消息、SYN-ACK消息、DNS响应包。原因是如果黑客的常规扫描手段容易被防火墙阻断。防御:NAT和非路由服务器能够自动抵御此类攻击,也可以在防火墙上过滤“hostunreachable”ICMP应答。慢速扫描:通常的扫描侦测器是通过监视某个时间帧里主机发起的连接的数目(例如每秒10次)来决定是否在被扫描,这样黑客利用扫描速度比常规慢一些的扫描软件进行扫描,逃避扫描侦测器的发现。防御:通过引诱服务来对慢速扫描进行侦测。
3.1.3.3利用信息服务DNS域转换:DNS协议不对域转换或信息性的更新进行身份认证,这使得该协议被黑客以一些不同的方式加以利用。黑客只需实施一次域转换操作就能得到一台公共的DNS服务器的所有主机的名称以及内部IP地址。预防:设置防火墙规则,过滤掉域转换请求。Finger服务:黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。抵御手段:关闭finger服务并获取尝试连接该服务的刺探方的IP地址,然后根据该IP地址在防火墙设置策略,滤掉试图建立服务连接请求。LDAP服务:黑客使用LDAP协议窥探网络内部的系统和它们的用户信息。防御:在防火墙设置规则对刺探内部网络的LDAP进行阻断并记录。如果在公共主机上提供LDAP服务,那么应把LDAP服务器放入DMZ采取特别保护。
3.1.4假消息攻击用于攻击配置不正确消息的目标。主要手段包括:DNS高速缓存污染、伪造电子邮件。DNS高速缓存污染:黑客可以将虚假信息掺入DNS服务器并把用户引向黑客自己的主机。因DNS服务器与其他名称服务器交换信息的时候并不进行身份验证。防御:在防火墙上过滤入站的DNS更新,不让外部DNS服务器更改内部服务器对内部机器的认识。伪造电子邮件:梗概:由于SMTP并不对邮件的发送者的身份进行鉴定,因此黑客可以对你的内部客户伪造电子邮件,声称是来自某客户认识并相信的人,邮件内容可能有诈骗内容,并附带上可安装的特洛伊木马程序,或者是一个引向恶意网站的连接。预防方式:使用PGP等安全工具并安装电子邮件证书。口令攻击:盗窃的手段有对登录密码的破解,制造假登录界面骗取密码等。发动攻击的手段有ARP攻击、病毒攻击等,目的就是让信息发源地的电脑瘫痪,无法正常发送信息。防止源IP地址轻易被黑客知悉,防御:对传输的信息进行加密,用密文传送信息。缓冲区溢出:因为在许多服务程序中不少粗心的程序员经常应用strcpy(),strcat()类型的不进行有效位检查的函数,导致黑客编写一小段利用程序就可以打开安全缺口,然后再恶意代码缀加在有效载荷的末尾。这使当缓冲区溢出时,返回指针将指向恶意代码,令系统控制权被黑客夺取。防御:利用SafeLib、tripwire这样的程序保护系统,或者浏览最新的安全公告不断更新操作系统。畸形消息攻击:不同种类的操作系统在提供服务,处理信息之前没有进行错误校验,导致系统收到恶意用户制造的畸形消息时崩溃。防御:打最新的服务补丁。上述的情形,多数发生在互联网的计算机网络中。而企业或机构级的局域网,也就是在企业内,主要防范的对象是社会上的黑客。这种情形通常是把业务网和互联网做物理隔离,即业务网完全与互联网没有物理通路。
4从硬件发展的角度考虑信息安全
随着计算机技术从单机应用到互联成计算机网络,越来越多的重要信息在互联网上传播。因此,防止信息泄露的手段和设备应用到计算机网络。常用的手段和设备如下:考虑到物理安全,人们针对重要信息可能通过电磁辐射等泄漏。需要对存放绝密信息的机房进行必要的设计,如构建屏蔽室。采用辐射干扰机,防止电磁辐射泄漏机密信息。对存有重要数据库且有实时要求的服务器必须采用UPS(不间断稳压电源),且数据库服务器采用虚拟化,双机热备份,数据异地存储等方式保证数据库服务器实时对外部用户提供服务并且能快速恢复。在计算机网络上增设防火墙。防火墙是一个硬件设备,是网络安全最基本、最经济、最有效的手段之一。防火墙可以实现内部、外部网或不同信任域网络之间的虚拟隔离,达到有效的控制对网络访问的作用。通常有两种形式:
1)总部与各下属机构的隔离和访问控制。防火墙可以做到网络间的单向访问需求,过滤一些不安全服务;可以针对服务、协议、具有某种特征或类型的数据包、端口号、时间、流量等条件实现安全的访问控制;具有很强的记录日志的功能,可以按管理者所要求的策略来记录所有不安全的访问行为。
2)公开服务器与内部其他子网的隔离与访问控制。利用防火墙可以做到单向访问控制的功能,仅允许内部网用户及合法外部用户可以通过防火墙来访问公开服务器,而公开服务器不可以主动发起对内部网络的访问,这样,若公开服务器造受攻击,内部网由于有防火墙的保护,依然是安全的。在网络中应用安全路由器。路由器作为内外网之间数据通信的核心设备,安全路由器与普通路由器的区别在于安全路由器本身具有安全防范能力。其功能相当于“防火墙+路由器”。就网络而言,其面临的安全威胁主要源自于未经授权的非法网络访问、网络传输过程中可能出现的敏感信息泄漏与遗失、数据完整性破坏及计算机病毒的传播等几个方面。而解决这类问题的途径只有用法律和预防,计算机技术为预防提供了预防的可能和方法,这就产生了安全路由器。这其中,路由器作为不断接收和转发路由信息与IP数据报,而防火墙则是对信息及数据报的检查筛选。只要符合安全要求的数据包才能通过内部与外部网络之间闸口。并且对允许通过的数据包进行加密处理,强化了数据传输的安全。能够有效检测及防范各类攻击事件的发生。在网络中使用应用安全管理器(ASM:ApplicationSecurityManager)。网络安全产品ASM是一款基于最先进的第三代准入控制技术的纯硬件设备,秉承“不改变网络、不装客户端”的特性,旨在解决网络的合规性要求,达到“违规不入网、入网必合规”的管理规范,满足安全等级对网络边界、主机保护的相应要求,同时提供更高效的、智能式的网络防护功能。
5从软件应用的角度考虑信息安全
这是人们通过设计一些专业的程序去检测网络及主机的安全隐患,防止信息泄露。而这些程序可能直接在计算机中运行,也有在专门建造的设备中运行。黑客通过软件技术非法使用或盗窃信息的常见手法有:在运行的应用程序或链接中植入木马,运用程序破解密码,刻意传播病毒,进行包嗅探(packetsniffing)、DHCP窥探(DHCPSnooping)、IP地址瞒骗等。首先,我谈谈如何避免中木马计。当需要登录高度保密的网站(例如,网银等)时。打开高度保密网站前,最好重启计算机,启动应用程序越少越好(一些木马是伴随应用程序的启动而启动的),其他的网页不打开或打开的网页越少越好(部分网页被植入了带木马的链接)。另外,打开网页后,一定要确认网址是否正确或异常。千万不要在不正确或有异常的登录页面输入用户名和密码。还有,在与别人或机构交流信息时,不熟悉的人的电子邮件,不熟悉的人提供的链接,都不要去点击打开。以免被诱导访问陷阱页面或被对方控制你的计算机。其次,我们如何去防范密码被轻易破解?这就要求我们在设置密码时。密码的位数应尽可能多,尽可能复杂。应由数字、字母(区分大小写)和字符三方面组合而成。密码的越复杂,破解就越难,破解所需的时间也越长。密码要定期更换。而且,密码不能存放在有机会被人发现的媒介中(纸条、无密码的光盘,无密码的电子文档)。我们必须重视信息安全,不厌其烦。在登录程序或网站时,绝不通过别人发送的链接登录,只通过直接点击自己电脑的运行文件(自建的快捷方式)登录程序或自己输入网址(或自己已确认过,预先收藏的网页)登录重要网站。若打开别人提供的链接来登录程序或网站,就给黑客提供了向你推介假登录界面的机会。即使按上述严谨的方法打开登录界面后,也要留意与平常打开的是否有异常。必须注意每一个细节,包括数字、字母、字符、界面的版面风格等。确认没异常才输入密码。值得注意的是,一旦在假登录界面输入了密码,你的密码就已泄漏。如果你登录后发现自己登录了假系统或网站,需马上登录正常的系统或网站,立即修改密码,尽可能抢先在盗贼实施盗窃行动之前。再次,我们来谈论病毒传播。计算机病毒是一些对网络设备的设置和信息产生损害的程序。这些程序是一些懂编程的人员故意制造的。动机通常有以下几种:针对性地进行信息破坏;通过传播病毒造成的影响来成名,显示自己的编程能力;对所制造的程序的危害认识不足,试验性的把一些破坏性的程序在网络里传播,看看其破坏力,有进行恶作剧的心态。对于计算机病毒的防御,我们可以各种手段。例如,扫描查杀,隔断传播通路。目前计算机的使用前都应该安装专业的查病毒杀病毒软件,把病毒库更新为最新病毒库。计算机使用者应定期对计算机进行全盘扫描,查找病毒。如果查到有病毒,可以根据情况采取删除,隔离病毒。杀毒软件还有预防和及时提醒病毒入侵的作用。另一个防病毒的手段是切断交叉感染的途径。我们要有一个清晰的概念,凡是有信息交流,就有病毒传播的机会。因此,在机构内的业务网,通常是禁止与互联网交流信息,同时也禁止个人在业务网下载和上传信息。这种禁止的手段,最常用的就是业务网和互联网的物理隔离,将USB接口和光盘驱动器的禁用。通过BIOS和注册表的设置,我们可以禁止U盘、移动硬盘和光驱的使用。也可以使用一些专业的应用软件来禁止USB接口和光盘驱动器的使用。当然,禁止了U盘、移动硬盘和光驱的使用,在当代的信息时代,会给业务操作员的个人业务总结、业务汇报、业务技术交流带来诸多不便。业务网的使用者会以各种的理由和特权企图突破封锁。但这种措施确实能保障业务信息的安全,阻断了病毒的传播途径。是一种两害相权取其轻的折中方案。因此,要保障业务网的信息安全,上至高层领导,下至普通员工,都很有必要严格遵守业务网的信息下载和上传的安全守则。业务网的信息交流必须有专人管控。下载和上传信息到业务网的介质(U盘、移动硬盘、可刷写的光盘)在使用前都要查杀病毒,确保所用介质是不带病毒或相对安全的。接下来,我们再来探讨通过软件窃取信息的手段和预防。包嗅探(PacketSniffing)是一种用于计算机网络的窃听形式,类似于电话网络的搭线窃听(Wire-tap)。它是以太网流行的一种窃听手段。以太网是一种共享媒介网络。这就意味着,连接于同一网段的主机的数据流(Traffic)都要经过以太网卡的过滤器。这个过滤器的作用是防止某台主机看到已编址的数据流发送到其他站点。而嗅探程序可以关闭过滤器,使得黑客可以看到该网段所有主机数据流的行踪。在当代的计算机网络,某些公司的产品甚至已内置了嗅探模块。大多数的集线器支持远程监控协议(RMONstandard),这协议允许入侵者使用SNMP进行远程嗅探。而SNMP具有较弱的认证能力。不少大公司也使用网络联盟的“分布式嗅探服务器”。有了这种服务器就能容易猜到用户的密码。WindowsNT的机器常常装有“网络监控”,它也允许远程嗅探。这种嗅探功能在信息安全的应用中是一把双刃剑。正义方可以利用它在信息安全中发挥监控作用。邪恶方可以利用它造成对信息安全的威胁。当今的计算机网络越来越依赖于交换技术。妨碍包嗅探在交换技术中的发展,计算机网络的研究人员取得了一定的成功。这些研究成果,在越来越容易在交换数据流的服务器和路由器上远程装入嗅探程序的今天,依然有用。然而,包嗅探程序很难探测。人们依然在坚持进行深入研究,但目前还没有根本的解决方案。包嗅探流行的原因是它能一览无遗。典型的嗅探项目有:SMTP,POP,IMAP数据流。它们使入侵者能读取实际的电邮。POP,IMAP,HTTPBasic,Telnetauthentication数据流。它们使入侵者能离线读取明文的密码。SMB,NFS,FTP数据流。它们使入侵者能在线读取文件。SQL数据库。它们让入侵者能获悉金融交易和信用卡号。嗅探不仅能读取信息攻破一个系统。而且可以干预一个系统。因为入侵者利用嗅探可阅读每一个感兴趣的文件。还有一种通过软件窃取信息的手段称为“IP哄骗”(IPSpoofing)。这是黑客在某个网段的两个通信端点之间植入嗅探程序,扮演其中一方来劫持联系。这通常用作发动拒绝服务攻击,并且伪装的IP不受干扰。从上述的分析来看,要抵御包嗅探,我们需要安装电子证书以便进行身份认证;对传输的信息进行加密,用密文传送信息;加强对数据库的日志的察看和审计。
6小结
综上所述,我用日常工作和生活的现实说明信息安全对我们的重要性。用现实的例子阐明了一些与信息安全有必然联系的概念。从网络、硬件和软件的角度列举了常见的对信息安全构成威胁的各种手段与防御策略。使读者在工作和生活中了解如何应用计算机技术维护信息安全。同时,也可为我们在日后密切关注信息安全在世界的发展提供了思考的角度。
作者:褚宗饶 单位:河北省人民医院