实验室是计算机网络安全是指对接入计算机网络的试验仪器设备、信息设备采取保护措施,以便安全地访问网络资源,使用网络服务,免受病毒、黑客等的攻击。主要技术手段有防病毒技术、防火墙技术、加密解密技术、入侵检测技术、网络监听技术等。
一、防病毒技术
(一)病毒及其特征
计算机病毒不是天然存在的,是某些人利用计算机软件、硬件固有的脆弱性编制的具有破坏功能的程序。目前,计算机病毒有几万种。各有其不同特征,但也有明显的共性:
1.寄生性。它不以独立文件形式存在,寄生在合法程序之中。
2.隐蔽性。发作前,它能够将自身很好地隐蔽起来。
3.传染性。它能够主动地将其复制品或变种传染到其他程序中去。
4.潜伏性。侵入后一般不立刻活动,要等到外部条件成熟之后才会行动。
5.破坏性。它会占用资源、干扰机器正常运行或破坏系统和数据。
6.往往通过网络和邮件传播。例如“求职信”病毒。
7.传播速度极快。“爱虫”病毒在2天内造成欧美各国网络瘫痪。
8.变种多。“爱虫”病毒在十几天之内出现30多个变种。
9.具有蠕虫和黑客的功能。
(二)清除病毒的方法
1.杀毒软件清除法。
2.用保存主引导扇区信息进行恢复的方法。对于感染主引导型病毒的机器,可以采用事先备份的该硬盘的主引导扇区文件进行恢复,恢复时可用DEBCG或NORTON等软件实现。
3.程序覆盖方法。这种方法适合于文件型病毒,一旦发现文件被感染,可以将事先保留的无毒备份重新拷入系统覆盖有毒文件即可。
4.格式化或低级格式化磁盘方法。这种方法轻易不要使用,它会破坏磁盘上的所有数据,并且低级格式化对硬盘也有损伤。在万不得已的情况下,才使用这一方法。使用这种方法时必须保证用来格式化的系统是无病毒的。当然这种方法是最彻底的清除方法。
5.手工清除方法。这种方法比较复杂。只能由计算机专业人员操作。例如,外壳型病毒将自身复制在目标文件的尾部,不修改原来正常内容。运行时。病毒抢先进入内存执行,然后转回原文件入口运行。外壳型病毒主要攻击COM文件与EXE文件。通过手工改正程序首部的跳转指令,可以清除外壳病毒。
二、防火墙技术
防火墙是借用了建筑学的术语,指用来防止大火从建筑物的一部分蔓延到另一部分而设置的一道砖墙。为防止来自外部网络的黑客攻击、病毒破坏、资源被盗或文件被篡改等危险,可以在内部网络和Internet之间插入一个叫做“防火墙”的中介系统,阻断来自外部网络对内部网络的威胁和人侵。防火墙有效地限制了数据在网络内外的自由流动,其优越性在于:
(一)它可以控制不安全的服务,只有授权的协议和服务才能通过防火墙。
(二)它能对站点进行访问控制,防止非法访问。
(三)它可把安全软件集中地放在防火墙系统中,集中实施安全保护。
(四)它强化私有权,防止攻击者截取别人的信息。
(五)它通过日志来记录所有访问,以此作为分析和防范潜在攻击的重要依据。它也能对正常的网络使用情况进行统计分析,可以使网络资源得到更好的利用。它也能附加数据加密、解密等功能。
三、加密解密技术
加密是最重要的网络安全技术之一。目的是保证发送者所发送的消息能安全到达接收者手里,并且保证窃听者不能阅读发送的消息。消息被称为明文,用某种方法伪装消息以隐藏消息内容的过程称为加密。加密后的消息称为密文,把密文转变为叫文的过程称为解密。
现代加密技术采用基于密钥的算法。通常有对称算法和公开密钥(非对称)算法两类。
对称算法就是加密密钥和解密密钥能够相互推算出来。大多数对称算法,加密和解密的密钥是相同的。这些算法叫秘密密钥算法或单密钥算法。要求发送者和接收者存安全通信之前商定一个密钥。其安全性依赖于密钥,泄露密钥意味着安全措施失效。
公开密钥算法用作加密的密钥不同于用作解密的密钥,而且解密密钥不能根据加密密钥计算出来,最著名的公开密钥算法是RSA算法。加密密钥对外公开。叫做公开密钥。解密密钥为特定用户所拥有,不对外公开,叫做私有密钥。陌生者要向特定用户发送信息时。利用该用户的公开密钥加密信息,但只有用该用户的私有密钥才能解密信息。这样就使得信息在传送过程中即使被第三方截获,也无法解读,确保了信息的安全性。
反过来,特定用户可能用自己的私人密钥加密信息,那么别的用户只能使用相应的公开密钥才, 能解密,从而能确认信息是由该用户发出的,而不是他人伪造的。数字名称及认证技术正是基于这种公开密钥算法。
四、入侵检测技术
入侵行为是指对系统资源的非授权使用。它可以造成系统数据的丢失和破坏,甚至造成系统拒绝对合法用户服务等后果。入侵行为包括滥用和网络攻击、入侵者可以分为两类:一类是外部入侵者,指非法用户,如常说的黑客,另一类是内部入侵者,即有越权行为的合法用户。
入侵检测技术是从网络的若干关键点收集信息,包括操作系统的审计数据、网络数据包信息,通过分析来监控网络中违反安全策略的行为和遭到袭击的迹象,并实时报警。入侵检测的内容分为:试图闯入或成功闯入;冒充其他用户;违反安全策略:合法用户的泄露、未授权访问;独占资源;恶意使用。
各种入侵检测系统在功能结构上基本一致,均由数据采集、数据分析以及用户界面等几个功能模块组成,只是在分析、采集数据的方法以及采集数据的类型等方面有所不同。
常见的入侵检测系统有:
(一)RealSecure,是第一个集成了基于网络和基于主机的入侵检测和响应系统,由网络传感器、操作系统传感器和管理控制台组成。可以自动地监控网络的数据流、主机的日志等,检测和响应可疑事件,在内联网和外联网的主机和网络受到破坏之前阻止非法的入侵行为。
(二)CisoSecurIDS,以前被称为NetRanger,是Cisco公司的产品。传感器分为网络传感器和主机传感器,分别负责网络信息和主机信息的收集和分析。控制器用于对系统进行控制和管理。入侵检测模块与硬件相关联,比如针对Cisco公司的Catalyst6000交换机有相应入侵检测模块。
(三)瑞星入侵检测系统RIDS-100,集入侵检测、网络监视功能于一身,能实时捕获内外网之间传输的所有数据,利用内置的攻击特征库,通过使用模式匹配和统计分析的方法,可以检测出网络上发生的入侵行为和异常现象,并记录有关事件作为管理员事后分析的依据。
五、网络监听技术
网络监听技术是一把双刃剑,既为管理员提供了监视网络状态以及数据流动情况的工具,也为黑客提供了截获网上信息的工具。
(一)网络监听的原理
由于目前流行的以太网是一个广播型的网络,在网上的任何地方安装一个监听软件就可以实施监听。其中,监听网关、路由器和防火墙等设备效果最好,只要向主机的网络接口发送控制命令,就能将其设置为监听模式。
以太网的工作方式试讲数据包发往同一网段的所有主机。数据包的包头包含着接受数据包的主机的正确地址。在正常工作模式下,只有与数据包的目标物理地址一致的主机才会接收与处理数据包。但在监听模式下,无论数据包的目标物理地址是什么,主机都将接收数据包并交上层协议软件处理。
(二)网络监听的检测
根据网络监听的原理,可以检测出网络中心是否有人在进行监听,从而发现黑客。
1.简单的检测方法:
(1)对于怀疑有监听存在的机器,分别用正确的和错误的物理地址来ping,如果都得到响应,就证明确实有监听存在。因为就行监听的机器,对于数据包不论其目标网络地址是否正确都一律接收,而正常的机器不接收错误的物理地址。
(2)向网络发送大量不存在物理地址的包。将导致进行监听机器的符合过重,性能下降,而正常机器不处理错误地址的包,性能影响很小。通过比较机器性能的变动可以判断是否有机器在监听。
(三)防范监听的方法:
1.加密是一个最有效的方法,如用户名和口令,以保证秘密数据,安全传输而不被监听和偷换,保密通信协议,如Telnet协议和UNIX安全壳SSH能有效地对付监听。
2. 安全网络拓扑结构可以减少被监听的机会,所用技术通常被称为分段技术,也就是将网络分成一些小的网段。网段的集线器连接到交换机上,也可以使用网桥或路由器来连接。这样,数据包只会在一个网段内被监听工具截获。不同网段间不能相互监听。
3. 保障实验室的安全,最为重要的是实验室安全管理的到位。2004年中国疾病预防控制中心因为“非典”病毒管理不善而引发的4月份北京、安徽的“非典”疫情,引起了人们对实验室安全的高度关注和震撼。经卫生部调查认定,那次“非典”疫情源于实验室内感染,是一起因实验室安全管理不善,执行规章制度不严,技术人员违规操作,安全防范措施不力,导致实验室污染和工作人员感染的重大责任事故。因此,实验室安全管理的到位是防止实验室安全事故发生的关键所在。