2.蜜网技术。蜜网技术是一个故意设计的存在缺陷的系统,可以用来对档案信息网络入侵者的行为进行诱骗,以保护档案信息的安全。传统的蜜罐技术用来模拟系统一些常见漏洞,而蜜网技术则有所不同,它是一个学习的工具,是一个网络系统,并非是一台单一主机,这一网络系统隐藏在防火墙的后面,所有进出的资料都受到监控、捕获及控制。这些被捕获的资料用于研究分析档案网络入侵者所使用的工具、方法及动机。在蜜网技术中,一般都安装使用了各种不同的操作系统,如Linux和windows NT等。这样的网络环境看上去更加真实可怕,不同的系统平台运行着不同的服务,如Linux运行DNS服务,Windows NT上运行WebServer,而Solaris运行FTP Server,用户可以学习不同的工具以及不同的安全策略。在蜜网技术中所有的系统都是标准的配置,上面运行的都是完整的操作系统及应用程序.并不去刻意地模仿某种环境或故意使系统不安全。蜜网技术是一个用来研究如何入侵系统的工具,是一个设计合理的实验网络系统。蜜网技术第一个组成部分是防火墙,它记录了所有与本地主机的联接并且提供NAT服务和DOS保护、入侵侦测系统(IDS)。IDS和防火墙有时会放置在同一个位置,用来记录网络上的流量且寻找攻击和入侵的线索。第二个组成部分是远程日志主机,所有的入侵指令能够被监控并且传送到通常设定成远程的系统日志。这两个部分为档案系统安全的防护和治理都起着不可忽视的作用。
蜜网技术是一个很有价值的研究、学习和教育工具,借着这个工具,使人们能更好地理解入侵者的攻击方式,以便准确及时地检测到入侵行为。分析从蜜网技术收集的信息,可以监视并预测攻击发生和发展的趋势,从而可以早做预防,避免更大的损失。
二、空间欺骗技术
空问欺骗技术是通过增加搜索空间来显著增加档案系统网络入侵者的工作量,从而达到安全防护的目的。该技术运用的前提是计算机系统可以在一块网卡上实现具有众多IP地址,每个lP地址都具有自己的MAC地址。这项技术可用于建立填充一大段地址空间的欺骗,且花费极低。这样许许多多不同的欺骗,就可以在一台计算机上实现。当网络入侵者的扫描器访问到网络系统的外部路由器并探测到这一欺骗服务时,还可将扫描器所有的网络流量重定向到欺骗上,使得接下来的远程访问变成这个欺骗的继续。当然,采用这种欺骗时,网络流量和服务的切换必须严格保密,因为一旦暴露就将招致入侵,从而导致入侵者很容易将任一个已知有效的服务和这种用于测试网络入侵者的扫描探测及其响应的欺骗区分开来。
三、信息迷惑技术
1 .网络信息迷惑技术:网络动态配置和网络流量仿真。产生仿真流量的目的是使流量分析不能检测到欺骗的存在。在欺骗系统中产生仿真流量有两种方法。一种方法是采用实时方式或重现方式复制真正的网络流量,这使得欺骗系统与真实系统十分相似,因为所有的访问链接都被复制。第二种方法是从远程产生伪造流量,使网络入侵者可以发现和利用。面对网络入侵技术的不断提高,一种网络欺骗技术肯定不能做到总是成功,必须不断地提高欺骗质量,才能使网络入侵者难以将合法服务和欺骗服务进行区分。
真实的档案信息网络是随时间而改变的,是不断地发生着信息接收和传递的,信捷职称论文写作发表网,如果欺骗是静态的,那么在入侵者长期监视的情况下就会导致欺骗无效。因此,需要动态配置欺骗网络以模拟正常的网络行为,使欺骗网络也和真实网络一样随时间而改变。为使之有效,欺骗特性也应该尽可能地反映出真实系统的特性。例如,计算机在下班之后关机,那么欺骗计算机也应该同时关机。其他如周末等特殊时刻也必须考虑,否则人侵者将很可能发现被欺骗。
2.用户信息迷惑技术:组织信息欺骗。如果档案机构提供有关个人和系统信息而访问,那么欺骗也必须以某种方式反映出这些信息。例如,如果档案系统的DNS服务器包含了个人系统拥有者及其位置的详细信息,那就需要在欺骗的DNS列表中具有伪造的拥有者及其位置,否则欺骗很容易被发现。伪造的人和位置也需要有伪造的信息,如薪酬、个人记录等。地址的多次转换能将欺骗网络和真实网络分离开来,这样就能利用真实的计算机替换低可信度的欺骗,增加了间接性和隐蔽性。该技术出发点就是重定向代理服务(通过改写代理服务器程序实现),由代理服务进行地址转换,使相同的源和目的地址像真实系统那样被维护在欺骗系统中。
高可信度的网络欺骗,使系统存在的安全弱点有了很好的隐藏伪装场所,真实服务与欺骗服务几乎融为一体,使网络入侵者难以区分。在网络入侵和安全防护的相互促进发展过程中,网络欺骗技术将具有广阔的发展前景。还可以利用前面介绍的网络欺骗方法,结合网络分析系统进行分析,从而识别网络攻击特征,还可能在攻击中挖掘出新的攻击。总之,网络欺骗技术将是未来档案信息化网络安全体系研究的主要方向,对新的网络攻击与防守策略将有很大的帮助,对实现档案信息处理和传输过程中保密性、完整性、可利用性的有效保持有着重要的意义。
