薹 £ 文◎量 网络信息安全与可信计算 李晓东(黑龙江煤矿安全监察局信息高度中心) 的系统版本、其上运行的软件版本,以及服务 变化性和爆发性给信息安全带来了严峻的挑 运行设置等实际环境,来具体谈论其中可能存 战。面对信息化领域中计算核心的脆弱性,如 摘要:本文在分析网络信息安全状况的 基础上,阐述了由漏洞引发的信息安全问题, 并介绍了网络信息安全技术的未来研究方 向。 关键词:网络信息安全状况:漏洞;网 络信息安全技术;可信计算 网络信息安全分为网络安全和信息安全 两个层面。网络安全包括系统安全,即硬件平 在的漏洞及其可行的解决办法。 (二)漏洞的生命周期 漏洞生命周期,是指漏洞从客观存在到 被发现、利用,到大规模危害和逐渐消失的周 期。漏洞所造成的安全问题具备一定的时效 性,每一个漏洞都存在一个和产品类似的生命 体系结构的不健全、行为可信度差、认证力 度弱等,信息安全的防护正在由边界防控向源 头与信任链的防控转移,这正是可信计算出台 的背景。 可信计算(Trusted Comput ins,TC)是指 在Pc硬件平台引入安全芯片架构,通过其提供 台、操作系统、应用软件:运行服务安全,即 保证服务的连续性、高效率:信息安全则是 指对信息的精确性、真实性、机密性、完整 性、可用性和效用性的保护 网络信息安全 是网络赖以生存的根基,只有安全得到保障, 网络才能充分发挥自身的价值。 人类在尽情享受网络信息带来的巨大财 富和便捷的同时,也被日益严峻的网络信息安 全问题所困扰。 一、病毒木马数量呈几何级数增长,互联 网进入木马病毒经济时代 造成病毒木马数量呈几何级数增长的原 因,经济利益的驱使首当其冲,木马比病毒危 害更大,因为病毒或许只是开发者为了满足自 己的某种心理,而木马背后却隐藏着巨大的经 济利益,木马病毒不再安于破坏系统,销毁数 据,而是更加关注财产和隐私。电子商务便成 为了攻击热点,针对网络银行的攻击也更加明 显,木马病毒紧盯在线交易环节,从虚拟价值 盗窃转向直接金融犯罪。 财富的诱惑,使得黑客袭击不再是一种个 人兴趣,而是越来越多的变成一种有组织的、 利益驱使的职业犯罪。其主要方式有:网上教 授病毒、木马制作技术和各种网络攻击技术: 网上交换、贩卖和出租病毒、木马、僵尸网 络:网上定制病毒、木马:网上盗号(游戏账 号、银行账号、QQ号等)、卖号:网上诈骗、 敲诈:通过网络交易平台洗钱获利等。攻击者 需要的技术水平逐渐降低、手段更加灵活,联 合攻击急剧增多。木马病毒、病毒木马编写 者、专业盗号人员、销售渠道、专业玩家已 经形成完整的灰色产业链。 二、由漏洞 l发的网络信息安全问题 漏洞也叫脆弱性(VulnerabilitY),是计 算机系统在硬件、软件、协议的具体实现或 系统安全策略设计和规划时存在的缺陷和不 足,从而使攻击者能够在未被合法授权的情况 下,访问系统资源或者破坏系统的完整性与稳 定性。漏洞除了系统(硬件、软件)本身固有 的缺陷之外,还包括用户的不正当配置、管 理、制度上的风险,或者其它非技术性因素造 成的系统的不安全性。 (一)漏洞的特征 漏洞的时间局限性:任何系统自发布之 日起,系统存在的漏洞会不断地暴露出来。虽 然这些漏洞会不断被系统供应商发布的补丁 软件所修补,或者在新版系统中得以纠正。但 是,在纠正了旧版漏洞的同时,也会引入一些 新的漏洞和错误。随着时间的推移,旧的漏洞 会消失,但新的漏洞也将不断出现,所以漏洞 问题也会长期存在。因此,只能针对目标系统 198 周期概念。 (三)漏洞的攻击手段 黑客入侵的一股过程:首先,攻击者随机 或者有针对性地利用扫描器去发现互联网上 那些有漏洞的机器。然后,选择作为攻击目标 利用系统漏洞、各种攻击手段发现突破口,获 取超级用户权限、提升用户权限。最后,放置 后门程序,擦除入侵痕迹,清理日志,新建账 号,获取或修改信息、网络监听(sniffer)、 攻击其他主机或者进行其他非法活动。漏洞 威胁网络信息安全的主要方式有: IP欺骗技术。突破防火墙系统最常用的 方法是IP地址欺骗,它同时也是其它一系列攻 击方法的基础。即使主机系统本身没有任何 漏洞,仍然可以使用这种手段来达到攻击的 目的,这种欺骗纯属技术性的,一般都是利用 TCP/IP协议本身存在的一些缺陷。 拒绝服务攻击(DDoS)。当黑客占领了一 台控制机,除了留后门擦除入侵痕迹基本工作 之外,他会把DDoS攻击用的程序下载,然后操 作控制机占领更多的攻击机器。开始发动攻 击时,黑客先登录到做为控制台的傀儡机,向 所有的攻击机发出命令。这时候攻击机中的 DDoS攻击程序就会响应控制台的命令,一起向 受害主机以高速度发送大量的数据包,导致受 害主机死机或是无法响应正常的请求。 利用缓冲区溢出攻击。缓冲区溢出攻击 是互联网上最普通,也是危害最大的一种网络 攻击手段。缓冲区溢出攻击是一种利用目标 程序的漏洞,通过往日标程序的缓冲区写入超 过其长度的内容,造成缓冲区的溢出,破坏程 序的堆栈,使程序转而执行指定代码,从而获 取权限或进行攻击。 特洛伊木马。木马实质上只是一个网络 客户/1 ̄务程序,是一种基于远程控制的黑客 工具,不需要服务端用户的允许就能获得系统 的使用权。木马程序体积比较小,执行时不会 占用太多的资源,很难停止它的运行,并且不 会在系统中显示出来,而且在每次系统的启动 中都能自动运行。 数据库系统的攻击。通过非授权访问数 据库信息、恶意破坏、修改数据库、攻击其 它通过网络访问数据库的用户、对数据库不 正确的访问导致数据库数据错误等方式对数 据库进行攻击。主要手法有:口令漏洞攻击、 SOL Server扩展存储过程攻击、SOL注入(SOL Injection)、窃取备份等。 三、可信计算概述 在IT产业迅速发展、互联网广泛应用和 渗透的今天,各种各样的威胁模式也不断涌 现。信息领域犯罪的隐蔽性、跨域性、快速 的安全特性来提高终端系统的安全性,从而 在根本上实现了对各种不安全因素的主动防 御。简单地说,可信计算的核心就是建立一种 信任机制,用户信任计算机,计算机信任用户, 用户在操作计算机时需要证明自己的身份,计 算机在为用户服务时也要验证用户的身份。 这样的一种理念来自于我们所处的社会。我 们的社会之所以能够正常运行,就得益于人 与人之间的信任机制,如:商人与合作伙伴之 间的信任:学生与教师之间的信任:夫妻之间 的信任等等。只有人与人之间建立了信任关 系,社会才能和谐地正常运转。可信计算充分 吸收了这种理念,并将其运用到计算机世界当 中。 可信计算的应用现状。在国际上,可信 计算架构技术发展很快,一些国家(如美国、 日本等)在政府采购中强制性规定要采购可信 计算机。中国的可信计算还属于起步阶段,但 正在向更高水平发展。据了解,现在市场上已 经销售了数十万带有可信计算芯片的电脑,这 些电脑已经广泛应用于包括政府、金融、公 共事业、教育、邮电、制造,以及广大中、小 企业在内的各行各业中。而且,不少政府部门 已经认可产品,并将带有可信计算芯片的产品 采购写入标书。但是,无论是国内还是国外, 可信技术从应用角度讲都还仅仅处于起步阶 段。可信计算还停留在终端(客户端)领域,还 要进一步向服务器端(两端要互相认证),中间 件、数据库,网络等领域发展,建立可信计算 平台和信任链。当前,可信计算的应用领域主 要有:数字版权管理、身份盗用保护、防止在 线游戏防作弊、保护系统不受病毒和间谍软 件危害、保护生物识别身份验证数据、核查 远程网格计算的计算结果等。应用环境的局 限性也是可信计算产业发展的一大障碍,目前 的应用还处于很有限的环境中,应用的广泛性 还得依靠人们对于可信计算、网络信息安全 在认识和意识上的提高。 参考文献: [1]刘晓辉主编.网络安全管理实践(网管 天下)[ ̄妇.北京:电子工业出版社,2007.3 [2]李毅超、蔡洪斌、谭浩等译.信息安 全原理与应用(第四版)【M].北京:电子工业出 版社。2007.11 [3】齐立博译.信息安全原理(第二 版)[M].北京:清华大学出版社,2006.3 [4】金山毒霸官网.2008年中国电脑病毒 疫情及互联网安全报告.
