1引言
随着计算机网络技术的发展,网络用户与网络设备的增加,各种安全问题也越来越严重,可以说只要有网络的地方,就存在安全隐患。虽然网络技术本身有一定危险抵御能力,但这些只在底层协议上进行简单的防护,比如确认机制,这些安全机制根本无法满足当下的网络安全需要。由于众多计算机应用程序的使用,应用层安全问题难以避免,在传统的基于网络层的网关和防火墙技术无法应对应用层的计算机病毒和系统漏洞的缺陷问题,这给网络安全带来巨大的压力,因此必须从应用层角度加以严密的安全防护。本文基于对计算机网络的理解,从网络参考模型角度出发,分析了网络各层技术和对应的安全防护措施,并重点针对应用层存在的典型安全问题,分析对应的安全技术,为进一步深入学习掌握计算机及网络技术提供参考。
2网络安全问题
2.1网络参考模型
一般意义上讲的网络参考模型是指OSI(Open System In-terconnection)参考模型,根据ISO/OSI的定义,网络参考模型分为7层。
(1)物理层(Physical Layer)是七层OSI模型中的第一层,为数据传输提供必需的物理介质和媒介,为数据传输提供可行可靠的物理基础,在需要通信的两端计算机系统之间建立一条通路用于传递比特流。
(2)数据链路层(Data Link Layer)是七层OSI模型中的第二层,其最基本的功能为纠正物理层可能出错的物理连接,将其改造成逻辑上无差错的数据链路,并将比特流组合,以帧为单位进行数据传送,以便于修正发生传输错误的数据。
(3)网络层(Network Layer)是七层OSI模型的第三层,负责管理网络中的数据通信,以实现两端计算机系统的数据传送,具体而讲,其功能主要为寻找传输路径,建立连接。
(4)传输层(Transport Layer)是七层OSI模型的第四层,负责总体的数据传输以及控制,调整全球各种具有差异的通信子网之间在吞吐量、传输速率、延迟等方面的差异,为会话层提供可供使用的性能恒定的接口,为会话层提供可靠而无误的数据传输。
(5)会话层(Session Layer)是七层OSI模型的第五层,是建立在传输层的基础之上,满足保证通信互联稳定无差错的服务要求,主要功能为利用大量的服务单元组合起来使通信过程中的数据流同步。
(6)表示层(Presentation Layer)是七层OSI模型的第六层,主要作用是转换不同计算机体系使用的数据表示法,来为不同的计算机体系提供可以通信的公共语言。
(7)应用层(Application layer)是七层OSI模型的第七层,应用层直接和应用程序接口并提供常见的网络应用服务,应用层也向表示层发出请求。
2.2安全风险分析
从2.1的分析可知,在网络设计时,会按照七层逻辑关系进行特定设计,根据每一层存在的安全风险,也都有特定的安全技术。
(1)物理层:由于物理传输可以分为有线传输和无线传输,有线介质传输相对比较封闭,安全性有保证,保证介质的安全即可。相比有线传输,无线传输更加复杂,数据极其容易被窃听,目前采用的技术通常是在信道加密上进行处理,防止信息被窃听。
(2)数据链路层:是整个网络层次中安全最为薄弱的一层,如MAC地址攻击、ARP地址欺骗等问题,是一般的防病毒软件和防火墙所无法抵御的。MAC地址一旦被攻击,相应端口的数据就会被发送出去,进而被攻击者成功监听。目前主要采用动态地址监视等措施进行加以防护。
(3)网络层:由于TCP/IP协议简单的信任机制,导致网络层存在着严重的IP欺骗的问题,数据中心有被IP攻击的危险,IP欺骗已经成为黑客常用的攻击方式,即伪造IP地址以便冒充其他系统与另一计算机系统通信。
(4)传输层:传输层主要存在的问题为在数据传输过程中,信息被中途截下篡改或被监听的安全隐患。应对其可能的被窃听的危险,目前主要通过SSL记录及握手协议和TLS协议保证通信稳定和安全。
(5)会话层:由于会话层传输信息的特点,其存在着危险的会话劫持问题,在攻击者试图接管计算机之间建立的TCP会话时便会常常发生会话劫持的问题,攻击者会寻找想要进攻的系统已创立的会话,猜出TCP握手第一阶段生成的32位序列号,迫使用户掉线,再使服务器相信攻击者是合法客户端,即接管了会话,继而攻击者就可以利用劫持的账号的某些特权以及访问权限去执行一些命令。
(6)表示层:表示层兼顾数据的保密功能,防止数据篡改、茂名搭载或利用网络软硬件功能,通常采用加密技术防止数据泄露,这种加密技术可以在物理层、传输层和表示层进行。对于应用层的安全问题及安全技术,本文将于后续进行重点阐述。
3应用层安全技术
通常所说的应用程序就是在应用层工作的,主要用于相互通信的一些软件与程序,典型的有Web浏览器、电子邮件、ftp等,正如上文所述的,由于应用层程序复杂,安全性问题也十分突出,本文主要针对几个典型的应用层问题进行安全技术分析。
3.1Web安全技术
随着Web2.0等网络应用的发展,越来越多的互联网应用程序基于Web环境建立起来。Web相关应用的飞速发展当然也引起了黑客们的关注,而由于TCP/IP协议设计过程中对安全问题的疏忽,网络上传输的数据几乎没有协议上基础的安全防护能力,这导致Web服务器极容易遭到攻击。而由于Web业务极广泛的覆盖面,攻击方式也可以说是非常多样化的,例如SQL注入,针对Webserver的漏洞进行攻击,缓冲区溢出等种种方式。目前对于SQL注入攻击的防护还显得非常被动,主要依靠加密用户输入使攻击者注入信息失效,用专业的漏洞扫描软件查找漏洞等方式。另外,由于Web搭建时其本身存在一些漏洞,也可能被攻击者利用。这也是最常见的攻击方式,本质上讲SQL注入也是一种漏洞攻击。漏洞攻击更加复杂多样,典型方式例如脚本攻击,即特洛伊木马型的攻击,依靠恶意的URL指向的网页中嵌入的恶意脚本对被攻击者的计算机进行盗取信息。现实中,Web应用中存在的漏洞总是不可避免的,甚至由于Web应用使用的无防御的HTTP协议导致普通的防火墙无法防御Web类攻击,这两者为大量的Web攻击方式提供了可能,目前,主要依靠H3CIPSWeb入侵防御设备实现安全防护。
3.2邮件安全技术
电子邮件传输过程中,由于其无格式保密措施明文传输的特点,电子邮件的安全得不到保证,出现了种种安全问题。其常见的安全问题主要有恶意代码,蠕虫,特洛伊木马,以及垃圾邮件。恶意代码就如同另一种形式的URL攻击,被以电子邮件的形式发出的恶意代码会破坏邮件接收者的计算机数据,甚至会通过USB等硬件接口以及自动向外发送软件的方式进行病毒性的传输与扩散。电子邮件的方便无成本为恶意代码这种攻击形式提供了最好的载体,使得电子邮件中恶意代码问题非常严重。电子邮件除了传播各种病毒等还有被窃取信息被截获的风险,而应对这些电子邮件方面的问题,手段依旧主要为加密。如应用较为广泛的PGP加密或MIME协议,以及用杀毒软件进行病毒防护。
3.3身份认证技术
身份认证技术是目前计算机网络中以及应用程序中确认操作者身份有效地解决方法,因为计算机只能识别数字身份,为了保证操作者是数字身份拥有者本人,身份认证技术便由此产生。现在主流的认证技术可以分为基于信息秘密的认证、基于信任物体的认证和基于生物体征的认证。基于信息秘密的认证是最早应用也是应用最广的身份认证方式。电子邮件,各种社交媒体以及现在的智能设备使用的密码,即静态密码,便是该种认证方式的典型。通常情况下,静态密码还会有辅助使用的安全程序,如防止穷举暴力破解的登录失败次数达到一定次数之后锁定账户的程序。基于信任物体的认证,例如动态密码,登录的动态密码便是依托于用户手机的身份认证,相对于静态密码,信任物体通常更不容易被攻击,且认证使用的密码生成与使用过程存在物理隔离,这使得动态密码几乎不可能在通路上被窃取从而认证失效。该种认证还有动态口令和智能卡等方式。基于生物体征的认证,目前正在逐渐发展的认证方式,其具有安全方便的特点,是利用一些难以伪造的独一无二的可测量的生物体征进行认证的身份认证方式。主要有被广泛使用的指纹识别技术、声纹识别以及DNA识别和人体气味识别等方式。
4总结
网络给人们带来方便的同时,也给应用带来一定的忧患,机密信息和私人信息的泄露影响后果极其严重。本文通过对网络各层安全机制的分析可以发现,各层都存在相应的安全隐患,当然也有对应的安全技术,尤其是应用层问题十分明显,更应该加以重视。
