军队计算机网络的安全性分析

来源:用户上传      作者:

　　随着我军信息化程度的提高，我军的计算机网络应用越来越广，计算机网络安全已成为军队战斗力建设的重要内容，是赢得战争胜利的重要保障。增强网络安全保密意识，既是时代发展的客观要求，也是做好“打赢”准备的迫切需要，本文将从技术的角度，分析我军计算机网络的漏洞及解决方法。
　　
　　1 物理隔离网络后的安全威胁及防范
　　
　　目前我军计算机网络和民用计算机网络采用相同的技术，为保障军网的安全，防止互联网上的各种攻击对军网造成危害，一般采用物理隔离的措施，即军用计算机信息系统不直接或间接地与国际互联网或者其他公共信息网络相连接。
　　实施物理隔离可以最大限度地阻止来自于互联网的直接攻击。但物理隔离并不能彻底解决军网的安全问题。物理隔离的军网面临的威胁主要有内部攻击、“摆渡”攻击、非法外联和非法接入等。
　　1.1“摆渡”攻击及危害
　　“摆渡”攻击是利用移动存储介质对隔离网络进行的攻击。应用最新的攻击技术，攻击者首先攻击控制连接到互联网的计算机，当发现移动存储介质接入时，就会将“摆渡”木马植入其中。该移动存储介质一旦在军网使用就会激活“摆渡”木马，自动收集内网计算机上的涉密文档等信息，可以进一步向内网渗透，将收集到的信息加密隐藏在移动存储介质上。当该移动存储介质再次在接入互联网的计算机上使用时，木马就会自动把收集的秘密文件交给攻击者。
　　防止“摆渡”攻击的方法是加强对存储介质的分类管理：涉密介质应该有专人管理，秘密信息在移动介质中要加密存储；禁止用非涉密存储介质来存储和处理涉密信息。目前，“摆渡”攻击利用的存储介质主要是U盘。据资料介绍，利用可刻录光盘进行“摆渡”攻击的例子目前还不多见，但技术上是完全可行的，因此，利用可刻录光盘进行“摆渡”攻击，只是时间上的问题。
　　1．2防非法外联
　　非法外联的形式有两种：一是私自将计算机同时连接军网和互联网。按照相关规定，军队涉密信息系统不能与互联网相连，但有人为了便利，可能把计算机一边接入军网，一边接入互联网，由于这条接入互联网的线路几乎没有网络安全防御措施，外部攻击者很容易通过这条线路获取计算机的控制权，进而渗透到军队内部网络，窃取军网的秘密信息。非法外联的第二种形式是将涉密计算机接入互联网。有些同志在办公时将便携式计算机接入军队计算机网络处理涉密信息，回家后又将便携式计算机接入互联网，查阅资料、处理电子邮件。从表面上看，只要接入互联网前把机器上的涉密信息清除掉，这种行为的危害不大。然而，计算机一旦接入互联网就有可能遭受攻击。如果攻击者入侵并控制计算机，就可以利用磁盘恢复技术将清除的涉密信息还原出来。同时，入侵者还可以通过对机器上信息的分析，判断出该主机是否曾接入军网，并在其中植入特殊的木马。计算机回到军网后，这种木马就会自动收集军网内的信息，并且加密存储起来，等到计算机再次上互联网时，主动把收集的信息加密发送到事先指定的邮箱等地，达到窃取军事秘密的目的。
　　1．3 防非法接入
　　非法接入是指外部信息系统非法接入军用计算机网络。对军网而言，综合布线时在各个可能联网的位置都预留了网络接口，一些网络接口可能出现失控。这些失控的接口被人非法使用，会导致外部计算机进入内部网络。另外，军网的主机如果对外提供拨号接入服务，也有可能被非法用户使用，使得外部计算机进入内部网络。恶意用户非法接入军网，会对军队内部网络进行攻击，窃取秘密情报。
　　防止非法接入，要严格控制接入军网内的每台终端，防止未授权的计算机接入军网。网络管理员应该对接入的计算机进行监控，通过安全策略对内网计算机的身份进行认证，对计算机和用户的权限进行管理。
　　
　　2 服务器的攻击
　　
　　服务器攻击的目的是使服务器停止网络服务，造成网络瘫痪。服务器攻击在军网时常发现，出现的原因主要有两种，一是安装盗版软件带来的病毒，二是复制文件带来的病毒。服务器攻击在军网上有多种形式，常见形式有拒绝服务攻击、假消息攻击、缓冲区溢出和远程缓冲区溢出等。拒绝服务攻击指攻击者想办法让目标机器停止提供服务或资源访问，是黑客常用的攻击手段之一。拒绝服务攻击问题一直得不到合理的解决，原因是因为网络协议本身的安全缺陷造成的。攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。假消息攻击用于攻击目标配置不正确的主机，主要包括：DNS高速缓存污染、伪造电子邮件。缓冲区溢出和远程缓冲区溢出是一种系统攻击的手段，通过往程序的缓冲区写超出其长度的内容，造成缓冲区溢出，黑客可以获得其他用户的非授权读、写的访问。缓冲区溢出攻击占了远程网络攻击的绝大多数。目前有几种方法可防止缓冲区溢出的攻击：要编写正确的代码；数组边界检查能防止所有的缓冲区溢出的产生和攻击；要对程序指针进行完整性的检查；通过操作系统使被攻击程序的数据地址空间不执行。
　　
　　3 数据传输中的加密
　　
　　目前的计算机网络多使用TCP/IP作为通信协议。由于TCP/IP协议在其设计之初并没有太多地考虑安全问题，在复杂的网络应用环境中其安全性问题显得尤其突出。该协议的安全问题归纳起来主要有两个方面：一是缺乏有效的身份鉴别机制；二是缺乏信息加密机制，通信内容易被第三方截获。TCP/IP协议的安全问题给军网的信息传输带来极大的安全隐患。攻击者可以从通信通道上截获或劫持信息流。
　　3．1嗅探器的危害
　　嗅探器是能够捕获网络报文的工具，它能够利用计算机的网络接口截获经过该接口的所有报文。终端通过网卡来接收网络数据。正常情况下，网卡只会接收广播数据或者目标是自己主机的数据。在运行嗅探器后，嗅探器将命令网卡接收所有的网络数据，在接收到网络数据后，嗅探器使用自己的数据分析程序还原其中的信息。
　　嗅探器的危害主要有：攻击者可利用嗅探器窃取网络中传输的信息，很容易地从网络数据中还原出传输的信息，从中找出密级文件；从嗅探到的网络数据包中，攻击者还可以找到其它有利于攻击的信息，比如登陆服务器的计算机名、用户口令、登陆帐号，域名服务器的地址、终端的网卡硬件地址等。对于攻击者来说，了解到这些底层协议的信息，会为其展开进一步的攻击提供方便。
　　3．2预防嗅探器的方法
　　涉密信息的网络传输应着眼于信息的加密。加密传输使得攻击者即使能够得到传输数据，也难以还原其中的密级信息。网络加密常用的方法有链路加密、端点加密和节点加密三种。需要注意的是密码算法的安全同样是相对的。目前的加密算法并不能保证在计算能力大幅度提高后仍然安全。在网络信息的加密传输过程中，信息的保密性还很大程度依赖于密钥的安全性，因此，密钥的安全也至关重要。此外，发送方、接收方终端的安全同样是加密传输安全的基础。如果军网终端被攻击者控制，则信息安全、密钥安全，乃至整个加密机制的安全都会受到威胁。
　　
　　4 军队计算机网络安全管理策略
　　
　　在军队计算机网络安全中，除了采用上述技术措施之外，还要加强网络的安全管理，制定有关规章制度。网络的安全管理策略包括：制定有关网络操作使用规程；制定网络系统的维护制度和应急措施；严格遵守军人使用互联网的规定；严格遵守军人使用移动存储介质的规定等。
　　
　　参考文献
　　[1] Stuart McClure,Joel Scambray,George Kurtz.王吉军,张玉亭,周维续,译.黑客大曝光――网络安全机密与解决方案（第5版）.清华大学出版社,北京科海电子出版社,2006.
　　[2] Bruce Schneier.吴世忠,马芳,译.网络信息安全的真相.机械工业出版社,2001.
　　[3]秦立军.信息安全保密系列谈.金城出版社,2002.11.

转载注明来源:https://www.xzbu.com/8/view-8737046.htm