[摘? 要]計算機網絡已成為人們獲取和交流信息的最重要的手段。本文對現有網絡安全的防范技術做了分析與比較��,特別對為加強安全應采取的應對措施做了較深入討論�,并描述了本研究領域的未來發(fā)展走向。
[關健詞]? 安全性�;信息管理;網絡技術
1 引言
計算機技術和網絡技術的廣泛應用正深刻影響著人類社會的發(fā)展��,改變了政治及經濟運行模式和人們的工作��、學習�����、生活方式���。但是由于早期網絡協(xié)議設計上對安全問題的忽視���,以及管理和使用上的無政府狀態(tài)和網絡系統(tǒng)的開放性�����,信息資源的共享性�����,通訊通道的公用性連接形式的多樣性等特點�,使網絡極易遭受到不斷產生和傳播的計算機病毒和網絡黑客的襲擊�,使Internet自身安全受到嚴重威脅。網絡與信息的安全成為網絡應用與服務進一步發(fā)展所亟待解決的問題��。網絡安全從其本質上來講就是網絡上的信息安全�����,是指網絡系統(tǒng)的硬件��、軟件及其系統(tǒng)中的數據受到保護���,確保網絡上的信息和資源不被非授權用戶所使用���,不受偶然的或者惡意的原因而遭到破壞、更改���、泄露�����,網絡和系統(tǒng)連續(xù)可靠正常地運行���。
2 物理安全
物理安全是保護計算機網絡設備����、設施以及其它媒體免遭地震�����、水災���、火災等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。為保證信息網絡系統(tǒng)的物理安全��,還要防止系統(tǒng)信息在空間的擴散����。
.產品保障方面:主要指產品采購、運輸���、安裝等方面的安全措施���。
.運行安全方面:網絡中的設備���,特別是安全類產品在使用過程中,必須能夠從生成廠家或供貨單位得到迅速的技術支持服務��。對一些關鍵設備和系統(tǒng)�,應設置備份系統(tǒng)。
.防電磁輻射方面:所有重要涉密的設備都需安裝防電磁輻射產品�,如輻射干擾機。
3 網絡安全
網絡安全性可以被粗略地分為4個相互交織的部分:保密�����、鑒別�、反拒認以及完整性控制。保密是保護信息不被未授權者訪問��,這是人們提到的網絡安全性時最常想到的內容���。鑒別主要指在揭示敏感信息或進行事務處理之前先確認對方的身份���。反拒認主要與簽名有關��。保密和完整性通過使用注冊過的郵件和文件鎖來實現��。
3.1 防火墻技術
防火墻是一種網絡安全保障手段���,是網絡通信時執(zhí)行的一種訪問控制尺度,其主要目標就是通過控制入、出一個網絡的權限,并迫使所有的連接都經過這樣的檢查,防止一個需要保護的網絡遭外界因素的干擾和破壞�����。在邏輯上���,防火墻是一個分離器�,一個限制器����,也是一個分析器��,有效地監(jiān)視了內部網絡和Internet之間的任何活動�����,保證了內部網絡地安全;在物理實現上���,防火墻是位于網絡特殊位置地以組硬件設備――路由器����、計算機或其他特制地硬件設備��。防火墻可以是獨立地系統(tǒng)�,也可以在一個進行網絡互連地路由器上實現防火墻。用防火墻來實現網絡安全必須考慮防火墻的網絡拓撲結構:
(1) 屏蔽路由器:又稱包過濾防火墻�����。
_________
*基金項目:江蘇省高校自然科學基金項目(06KJB520022)江蘇省教改研究項目(2005-27[171])
**為聯系人
(2) 雙穴主機:雙穴主機是包過濾網關的一種替代��。
(3) 主機過濾結構:這種結構實際上是包過濾和代理的結合�。
(4) 屏蔽子網結構:這種防火墻是雙穴主機和被屏蔽主機的變形。
3.2 認證技術
在一個更為開放的環(huán)境中���,支持通過網絡與其他系統(tǒng)相連�,就需要“調用每項服務時需要用戶證明身份�����,也需要這些服務器向客戶證明他們自己的身份?!钡牟呗詠肀Wo位于服務器中的用戶信息和資源。對合法身份進行認證可以防止非法用戶獲得對信息系統(tǒng)的訪問����,使用認證機制還可以防止合法用戶訪問他們無權檢看的消息,例如:
.身份認證? 當系統(tǒng)的用戶要訪問系統(tǒng)資源時要求確認是否是合法的用戶�����,這就是身份認證.常采用用戶名和口令等最簡易的方法進行用戶身份的認證識別�。
.報文認證? 主要是通信雙方對通信的內容進行驗證,以保證報文以確認的發(fā)送方產生����、報文傳到了要發(fā)送的接受方,傳送中報文沒被修改過���。
.訪問授權 主要是確認用戶對某資源的訪問權限����。
.數字簽名 數字簽名是一種使用加密認證電子信息的方法��,其安全性和有效性主要取決于用戶私匙的保護和安全的哈希函數�����,數字簽名技術是基于加密技術的�����,可用對稱加密算法���、非對稱加密算法和混合加密算法來實現���。
3.3數字加密技術
數字加密是通過一種方式使信息變得混亂。從而使未被授權的人看不懂它���,主要存在兩種主要的加密類型:私匙加密和公匙加密�。
私匙加密又稱對稱密匙加密�����。因為用來加密的密匙就是解密信息所使用的密匙����。私匙加密為信息提供了更進一步的緊密性。他不提供認證�,因為使用該密匙的任何人都可以創(chuàng)建��,加密和平共處一條有效的消息��。這種加密方法的優(yōu)點是速度很快����,很容易在硬件和軟件中實現���。
公匙加密比私匙加密出現得晚����,私匙加密使用同一個密匙進行加密和解密�,而公匙加密使用兩個密匙,一個用于加密信息����,另一個用于解密信息。公匙加密系統(tǒng)加密的缺點是它們通常是計算密集的���,因而比私匙加密加密系統(tǒng)的加密速度慢得多�,不過若將兩者結合起來���,就可以得到一個更復雜的系統(tǒng)�。
3.4入侵檢測技術
入侵檢測是防火墻的合理補充��,幫助系統(tǒng)對付網絡攻擊�,擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視���、進攻識別和響應)���,提高了信息安全基礎結構的完整性。它從計算機網絡系統(tǒng)中的若干關鍵點收集信息���,并分析這些信息�����,看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象����。入侵檢測被認為是防火墻之后的第二道安全閘門�,在不影響網絡性能的情況下能對網絡進行監(jiān)測,從而提供對內部攻擊���、外部攻擊和誤操作的實時保護���。
4 安全技術走向
我國信息網絡安全研究歷經了通信保密���、數據保護兩個階段,正在進入網絡信息安全研究階段��,現已開發(fā)研制出防火墻��、安全路由器����、安全網關、黑客入侵檢測���、系統(tǒng)脆弱性掃描軟件等��。但因信息網絡安全領域是一個綜合���、交錯的學科領域,它綜合了利用數學��、物理����、生化信息技術和計算機技術的諸多學科的長期積累和最新發(fā)展成果����,提出系統(tǒng)的�����、完整的和協(xié)同的解決信息網絡安全的方案�����,目前應從安全體系結構��、安全協(xié)議���、現代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個方面開展研究��,各部分相互協(xié)同形成有機整體�����。
由于計算機運算速度的不斷提高�����,各種密碼算法面臨著新的密碼體制,如量子密碼�����、DNA密碼���、混沌理論等密碼新技術正處于探索之中����。因此網絡安全技術在21世紀將成為信息網絡發(fā)展的關鍵技術���。
5 結束語
本文從多方面描述了網絡安全的解決方案�����,目的在于為用戶提供信息的保密�、認證和完整性保護機制���,使網絡中的數據以及系統(tǒng)免受侵擾和破壞���。在我國,信息網絡安全技術的研究和產品開發(fā)仍處于起步階段,仍有大量的工作需要我們去研究���、開發(fā)和探索���,以走出有中國特色的產學研聯合發(fā)展之路。
參考文獻
[1]郭軍.網絡管理.[M].北京:北京郵電大學出版社��,2001
[2]王縝,葉林 .電子商務中的安全技術.[M].河北:河北工業(yè)科技報�,2002
[3]勞幗齡.網絡安全與管理.[M].北京:高等教育出版社��,2003
[4]祁明.網絡安全與保密.[M].北京:高等教育出版社���,2001?
?
?
?
?
?
淺析計算機網絡安全與防范
作者:張赟
摘要:隨著寬帶業(yè)務的迅猛發(fā)展以及社會對網絡的依賴,來自互聯網的網絡安全問題日益突顯��。文章簡要地分析了計算機網絡存在的幾種安全隱患,并探討了計算機網絡的安全防范措施���。
關鍵詞:計算機網絡安全;防范;策略
計算機的廣泛應用把人類帶入了一個全新的時代,隨著互連網的飛速發(fā)展,網絡技術全面地影響和改造著人們的生活,上網已經成為人們工作和生活不可缺少的一部分,其作用遠遠超出了人們的想象,網絡已經深入到社會生活的各個方面。一旦計算機網絡受到攻擊而不能正常工作,甚至癱瘓,整個社會就會陷入危機�����。如何更有效地保護重要信息數據,提高計算機網絡系統(tǒng)的安全性已經成為所有計算機網絡應用必須考慮和必須解決的一個重要問題��。
一、計算機網絡安全的概念
國際標準化組織將計算機安全定義為:為數據處理系統(tǒng)建立和采取的技術和管理的安全保護,保護計算機硬件����、軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄漏��。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內容,其邏輯安全的內容可理解為我們常說的信息安全,是指對信息的保密性��、完整性和可用性的保護,而網絡安全性的含義是信息安全的引申,即網絡安全是對網絡信息保密性�、完整性和可用性的保護。
二����、計算機網絡安全面臨的威脅
影響計算機網絡安全的因素很多,有些因素可能是有意的,也可能是無意的。歸結起來,針對網絡安全的威脅主要來自于以下幾個方面:
(一)����、自然災害
計算機信息系統(tǒng)僅僅是一個智能的機器,易受自然災害及環(huán)境(溫度、濕度��、振動����、沖擊、污染)的影響���。目前,我們不少計算機房并沒有防震��、防火�����、防水�、避雷、防電磁泄露或干擾等措施,接地系統(tǒng)也疏于周到考慮,抵御自然災害和意外事故的能力較差���。日常工作中因斷電而設備損壞���、數據丟失的現象時有發(fā)生��。由于噪音和電磁輻射,導致網絡信噪比下降,誤碼率增加,信息的安全性�����、完整性和可用性受到威脅�。
(二)、網絡軟件的漏洞和“后門”
網絡軟件不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標,曾經出現過的黑客攻入網絡內部的事件,這些事件的大部分就是因為安全措施不完善所招致的苦果���。另外,軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的,一般不為外人所知,一旦“后門”洞開,其造成的后果將不堪設想����。
(三)、黑客的威脅和攻擊
這是計算機網絡所面臨的最大威脅�����。黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類����。非破壞性攻擊一般是為了擾亂系統(tǒng)的運行,并不盜竊系統(tǒng)資料,通常采用拒絕服務攻擊或信息炸彈;破壞性攻擊是以侵入他人電腦系統(tǒng)、盜竊系統(tǒng)保密信息�����、破壞目標系統(tǒng)的數據為目的�����。黑客們常用的攻擊手段有獲取口令��、電子郵件攻擊�����、特洛伊木馬攻擊��、www的欺騙技術和尋找系統(tǒng)漏洞等。
(四)��、計算機病毒
20世紀90年代,出現了曾引起世界性恐慌的“計算機病毒”,其蔓延范圍廣,增長速度驚人,損失難以估計��。它像灰色的幽靈將自己附在其他程序上,在這些程序運行時進入到系統(tǒng)中進行擴散�����。計算機感染上病毒后,輕則使系統(tǒng)工作效率下降,重則造成系統(tǒng)死機或毀壞,使部分文件或全部數據丟失,甚至造成計算機主板等部件的損壞����。
(五)、垃圾郵件和間諜軟件
一些人利用電子郵件地址的“公開性”和系統(tǒng)的“可廣播性”進行商業(yè)��、宗教���、政治等活動,把自己的電子郵件強行“推入”別人的電子郵箱,強迫他人接受垃圾郵件。與計算機病毒不同,間諜軟件的主要目的不在于對系統(tǒng)造成破壞,而是竊取系統(tǒng)或是用戶信息�����。
(六)�����、計算機犯罪
計算機犯罪,通常是利用竊取口令等手段非法侵入計算機信息系統(tǒng),傳播有害信息,惡意破壞計算機系統(tǒng),實施貪污、盜竊�����、詐騙和金融犯罪等活動���。在一個開放的網絡環(huán)境中,大量信息在網上流動,這為不法分子提供了攻擊目標��。他們利用不同的攻擊手段,獲得訪問或修改在網中流動的敏感信息,闖入用戶或政府部門的計算機系統(tǒng),進行窺視��、竊取�、篡改數據��。不受時間�、地點、條件限制的網絡詐騙,其“低成本和高收益”又在一定程度上刺激了犯罪的增長�。使得針對計算機信息系統(tǒng)的犯罪活動日益增多。
三����、計算機網絡安全防范策略
計算機網絡安全從技術上來說,主要由防火墻、防病毒�����、入侵檢測等多個安全組件組成,一個單獨的組件無法確保網絡信息的安全性。目前廣泛運用和比較成熟的網絡安全技術主要有:防火墻技術����、數據加密技術、訪問控制����、防御病毒技術等。以下就此幾項技術分別進行分析����。
(一)、防火墻技術
防火墻,是網絡安全的屏障,配置防火墻是實現網絡安全最基本���、最經濟����、最有效的安全措施之一����。防火墻是指位于計算機和它所連接的網絡之間的硬件或軟件,也可以位于兩個或多個網絡之間,比如局域網和互聯網之間,網絡之間的所有數據流都經過防火墻���。通過防火墻可以對網絡之間的通訊進行掃描,關閉不安全的端口,阻止外來的DoS攻擊,封鎖特洛伊木馬等,以保證網絡和計算機的安全�。一般的防火墻都可以達到以下目的:一是可以限制他人進入內部網絡,過濾掉不安全服務和非法用戶;二是防止入侵者接近你的防御設施;三是限定用戶訪問特殊站點;四是為監(jiān)視Internet安全,提供方便。
(二)�、數據加密技術
加密就是通過一種方式使信息變得混亂,從而使未被授權的人看不懂它。主要存在兩種主要的加密類型:私匙加密和公匙加密
1�����、私匙加密
私匙加密又稱對稱密匙加密,因為用來加密信息的密匙就是解密信息所使用的密匙�����。私匙加密為信息提供了進一步的緊密性,它不提供認證,因為使用該密匙的任何人都可以創(chuàng)建加密一條有效的消息����。這種加密方法的優(yōu)點是速度很快,很容易在硬件和軟件中實現。
2�����、公匙加密
公匙加密比私匙加密出現得晚,私匙加密使用同一個密匙加密和解密,而公匙加密使用兩個密匙,一個用于加密信息,另一個用于解密信息����。公匙加密系統(tǒng)的缺點是它們通常是計算密集的,因而比私匙加密系統(tǒng)的速度慢得多,不過若將兩者結合起來,就可以得到一個更復雜的系統(tǒng)。
(三)��、訪問控制
訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和非常訪問。訪問控制決定了誰能夠訪問系統(tǒng),能訪問系統(tǒng)的何種資源以及如何使用這些資源�。適當的訪問控制能夠阻止未經允許的用戶有意或無意地獲取數據。訪問控制的手段包括用戶識別代碼��、口令�、登錄控制、資源授權 (例如用戶配置文件���、資源配置文件和控制列表 )��、授權核查�、 日志和審計�����。它是維護網絡安全,保護網絡資源的主要手段,也是對付黑客的關鍵手段��。
(四)��、防御病毒技術
隨著計算機技術的不斷發(fā)展,計算機病毒變得越來越復雜和高級,對計算機信息系統(tǒng)構成極大的威脅����。在病毒防范中普遍使用的防病毒軟件,從功能上可以分為網絡防病毒軟件和單機防病毒軟件兩大類。單機防病毒軟件一般安裝在單臺PC機上,即對本地和本地工作站連接的遠程資源采用分析掃描的方式檢測�����、清除病毒�����。網絡防病毒軟件則主要注重網絡防病毒,一旦病毒入侵網絡或者從網絡向其他資源傳染,網絡防病毒軟件會立刻檢測到并加以刪除���。病毒的侵入必將對系統(tǒng)資源構成威脅,因此用戶要做到“先防后除”�。很多病毒是通過傳輸介質傳播的,因此用戶一定要注意病毒的介質傳播����。在日常使用計算機的過程中,應該養(yǎng)成定期查殺病毒的習慣。用戶要安裝正版的殺毒軟件和防火墻,并隨時升級為最新版本���。還要及時更新windows操作系統(tǒng)的安裝補丁,做到不登錄不明網站等等��。
總的來說,網絡安全不僅僅是技術問題,同時也是一個安全管理問題����。我們必須綜合考慮安全因素,制定合理的目標�����、技術方案和相關的配套法規(guī)等。世界上不存在絕對安全的網絡系統(tǒng),隨著計算機網絡技術的進一步發(fā)展,網絡安全防護技術也必然隨著網絡應用的發(fā)展而不斷發(fā)展�。
參考文獻:
[ 1 ] 葛秀慧.計算機網絡安全管理[M ].北京:清華大學出版社,2008.
[ 2 ] 張琳,黃仙姣.淺談網絡安全技術[J].電腦知識與技術,2006, (11).
[ 3 ]徐超漢.計算機網絡安全與數據完整性技術[M ]. 北京:電子工業(yè)出版社,2005.
?
