总第226期2008年第8期 计算机与数字工程C om puter&D igital EngineeringV ol.36N o.8100信息安全技术简述3文　卉1)　胡剑波2)(武汉数字工程研究所1)　武汉　430074)(武汉市武昌区长虹桥37-1号2)　武汉　430064)摘　要　介绍信息安全模型、信息系统组成,对防火墙、虚拟专用网络、入侵检测系统等信息安全技术的原理及应用进行了阐述。

关键词　信息安全技术　防火墙　虚拟专用网络　入侵检测系统中图分类号　TP391D iscussion of Inform ation Security TechniqueW en H ui1)　H u J ianbo2)(W uhan D igital Engineering Institute1),W uhan　430074)(NO.37-1Changhong B rige,W uchang D istrict2),W uhan　430064)A b s t ra c t　This paper describes the infor m ation security m odel and structure,introduces the p rinci p le and app lication of in2 for m ation security technique w hich is often used in area of infor m ation security.Ke y w o rd s　infor m ation security technique,firew all,virtual p rivate net w ork,intrusion-detection system sC la s s N um b e r　TP3911　引言按照美国国家安全委员会(CN SS)公布的标准,信息安全定义为保护信息及其重要元素,包括使用、存储和传输这些信息的系统和硬件。

信息安全不是绝对的,它不是一个目标,而是一个过程,信息安全应在保护与可用之间保持平衡。

面对高速发展的网络科技,如何在不影响工作效率的情况下,做好自身的信息安全防护,保护好自己的核心机密,是当前面临的一项重要的课题。

本文从信息系统组成出发,介绍了当前常用的防火墙技术、虚拟专用网络技术、入侵检测技术、认证技术等信息安全技术。

2　信息系统组成信息系统组成为信息系统安全的防护提供了方向。

信息系统是软件、硬件、数据、人员、过程和网络的完整集合,这6个组件是使用信息作为机构内资源所必需的,每个组件都有自己的安全需求。

软件程序是最容易无意或蓄意攻击的目标;硬件安全主要是防受危害或窃取;数据通常是最有价值的资产,也是蓄意攻击的主要目标,如果能正确使用数据库管理系统,将能提高数据和应用程序的安全性;人员总是信息安全的一个威胁,但在计算机安全中常常被忽视;过程是完成一个特定任务的指令,是另一个常被忽视的组件,如果未授权用户获得一个机构的过程,就会对信息的完整性构成威胁;网络导致了计算机数量的增长,并由此出现了信息安全的需求,当计算机系统相互连接时,应用物理安全的传统工具,如锁和钥匙来限制与信息系统硬件部分的访问和交互已经不够了,还必须实现警告和入侵系统,让系统拥有者知道发生了什么情况。

信息及其系统的安全必须使所有的组件得到保护,使其免受潜在的误用和未授权用户的滥用。

3　信息安全技术了解并掌握好信息安全技术能有效提高对信息系统安全的防护。

3收稿日期:2008年4月8日,修回日期:2008年5月8日作者简介:文卉,女,助理工程师,研究方向:信息安全。

胡剑波,男,工程师,研究方向:数据库。

第36卷(2008)第8期 计算机与数字工程 3.1　防火墙防火墙类似于建筑防火墙,它防止指定类型的信息在外部世界(不信任网络)和内部世界(信任网络)之间流动。

防火墙的发展经历了五个阶段。

第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packet filter )技术。

1989年,贝尔实验室推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙-应用层防火墙(代理防火墙)的初步结构。

第四代防火墙是1992年,U SC 信息科学院开发出了基于动态包过滤(D ynam ic packet filter )技术的第四代防火墙,后来演变为目前所说的状态监视(S tateful inspection )技术。

第五代防火墙是1998年,NA I 公司推出了一种自适应代理(A dap tive p roxy )技术,给代理类型的防火墙赋予了全新的意义。

尽管防火墙的发展经过了上述的几代,但是按照防火墙对内外来往数据的处理方法,大致可以将防火墙分为两大体系:包过滤防火墙和代理防火墙(应用层网关防火墙)。

3.1.1　包过滤防火墙第一代:静态包过滤。

这种类型的防火墙根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。

过滤规则基于数据包的报头信息进行制订。

报头信息中包括IP 源地址、IP 目标地址、传输协议(TC P 、UD P 、ICM P 等等)、TC P /UD P 目标端口、I CM P 消息类型等。

包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”,即明确允许那些管理员希望通过的数据包,禁止其他的数据包。

图1　简单包过滤防火墙第二代:动态包过滤。

这种类型的防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。

这种技术后来发展成为所谓包状态监测(S tatefu l Inspection )技术。

采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目。

3.1.2　代理防火墙第一代:代理防火墙。

代理防火墙也叫应用层网关(A pp lication G atew ay )防火墙。

这种防火墙图2　动态包过滤防火墙通过一种代理(Pr oxy )技术参与到一个TCP 连接的全过程。

从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。

这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。

它的核心技术就是代理服务器技术。

图3　传统代理型防火墙第二代:自适应代理防火墙。

自适应代理技术(A dap tive p roxy )是在商业应用防火墙中实现的一种革命性的技术。

它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。

组成这种类型防火墙的基本要素有两个:自适应代理服务器(A dap tive Proxy Server )与动态包过滤器(D ynam ic Packet filter )。

图4　自适应代理防火墙3.2　虚拟专用网络(V PN )是加密技术的一种实现方式,是在不安全的公共网络上使用数据通信功能的系统之间建立私人的安全网络连接。

V PN 常用于安全地把机构的内部网络连接扩展到信任网络之外的远程位置上。

虚拟专用网络可以实现不同网络的组件和资源之间的相互连接。

能够利用In ternet 或其它公共互联网络的基础设施为用户创建隧道,并提供与专用网络一样的安全和功能保障。

101文　卉等:信息安全技术简述第36卷图5　虚拟专用网络虚拟专用网络支持以安全的方式通过公共互联网络远程访问企业资源,其实现过程如图6所示,用户首先拨通本地I SP 的NA S,然后V PN 软件利用与本地ISP 建立的连接在拨号用户和企业V PN 服务器之间创建一个跨越In ternet 或其它公共互联网络的虚拟专用网络。

图6　V PN 远程访问企业资源V PN C 定义了三个V PN 技术:信任的V PN 、安全的V PN 和混合的V PN 。

信任的V PN 使用服务商提供的租用电路,在这些租用电路上进行包的转换,机构必须相信服务提供商和其提供“不允许其他人使用这些电路”的合同保证,且这些电路进行了正确的维护和保护;安全的V PN 在不安全的公共网络,如因特网上,使用安全协议和加密的通信传输;混合的V PN 合并了这两者,在一些或全部的信任V PN 网络上提供加密的传输。

在最常见的实现方式中,V PN 允许用户把因特网变成私有网络,因特网并非私有,但在个人机器或机构中使用建立隧道的方法,就可以在因特网上建立隧道点,来回传送加密的数据;使用IP 包内部的IP 包方法,就可以安全地传输数据,V PN 的建立很简单,只需要把隧道点设置为双重主机,即把一个私有网络连接到因特网上,或连接到连接在外部的另一个私有网络上,IPsec (因特网安全协议)是在V PN 中使用最多的协议,它使用传输模式或通道模式来实现V PN 。

3.3　入侵检测系统(I D S )信息安全入侵检测系统(I D S )的工作原理就像一个防盗报警装置,因为它检测其配置的违背情况(比如说打开或打破的窗户),发出警报。

该警报可以是听觉或视觉信号(发出声音或灯光),也可以是沉默的(电子邮件消息)。

对于所有的I D S,系统管理员可以为每一种选择配置和警报的级别,通过I D S 能检测和处理攻击的前奏,记录机构已有的威胁,提供有效的入侵信息来改进系统,还能起到直接的威慑作用,就像罪犯不太可能闯入有防盗报警装置的房屋一样,在一定程度上阻止问题的发生。

I D S 使用两种检测方法:基于签名或基于异常事件的统计。

基于网络的I D S (N I D S )驻留在主机上或与机构网络段连接起来的设备上,监视该网络段上的通信,查找正在进行的或成功的攻击信号,当发生了N I D S 预先定义为攻击的情况时,N I D S 就做出响应,并通知管理员;基于主机的I D S (H I D S )驻留在特定的计算机或服务器上,监控该系统上的活动。

它监控重要文件系统的状态,并制定其基准,查看是否发生了预定义的事件。

当文件的属性发生变化,创建了软件文件,删除了已有文件时,H I D S 发出警告;基于应用程序的I D S (A PPI D S )是对H I D S 进行的细化,H I D S 检查的是一个系统上的文件改动,而基于应用程序的I D S 检查是应用程序中的异常事件,如用户扩大了权限、无效的文件执行等;基于签名的I D S 检验数据通信,搜索匹配已知签名的模式,即预先配置的,预判定的攻击模式。

它使用广泛,因为许多攻击都有清晰、独特的签名,如某个攻击序列利用漏洞来获得系统的访问权限;基于异常事件统计的I D S 是根据某些网络活动的发生频率,观察已知正常的通信中,搜集统计数据,建立一个性能基线,一旦建立了这个基线,则定期对网络活动进行采样并将结果与基线进行比较。