网络安全技术与防范
摘要:网络安全问题一直是计算机良好发展的关键性因素。随着网络的飞速发展,网络安全问题日趋凸现。本文通过对网络安全的主要威胁因素进行分析,着重阐述了几种常用的网络安全的防范措施。
关键词:计算机网络网络安全防范措施
一、网络安全的基本概念
通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。所以,建立网络安全保护措施的目的是确保经过网络传输和交换的数据,不会发生增加、修改、丢失和泄露等。常见的网路安全问题有如下几种:
1) 人为的失误如对与用户口令选择或将账号随意告知他人或与别人共享等,都会给计
算机带来网络安全威胁。
2) 信息截取通过信道进行信息的截取,获取机密信息,或通过信息的流量分析,通信
频度、长度分析,推出有用的信息,这种方式不破坏信息的内容,不易被发现。
3) 计算机软件的漏洞每一个网络软件或操作系统的存在都不可能是没有缺陷、没
有漏洞的,这就是说每一台计算机都是不安全的,只要计算机室连接入网的,都将成为众矢之的。
4) 网络病毒目前计算机病毒是数据安全的头号大敌,它是制造者在计算机程序中
植入的损坏计算机数据或功能,对计算机软硬件的正常运行造成影响并能够自我复制的计算机程序代码或指令。计算机病毒具有触发性、破坏性、寄生性、传染性、隐蔽性等特点。因此,针对计算机病毒的防范尤为重要。
5) 电脑黑客电脑黑客(Cracker)是对计算机数据安全构成威胁的另一个重要方面。
电脑黑客是利用系统中的安全漏洞非法进入他人的系统,是一种甚至比病毒更危害的安全因素。
二、网络安全的防范措施
目前常用的几种网络安全技术防范措施有以下几种:
(一)防火墙安全技术 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,该计算机流入流出的所有网络通信均要经过此
防火墙。
在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。
防火墙包括网络层防火墙和应用层防火墙。
网络层防火墙可视为一种 IP 封包过滤器,运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。较新的防火墙能利用封包的多样属性来进行过滤,例如:来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。
应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作,您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。
防火墙借由监测所有的封包并找出不符规则的内容,可以防范电脑蠕虫或是木程序的快速蔓延。不过就实现而言,这个方法既烦且杂(软件有千千百百种啊),所以大部分的防火墙都不会考虑以这种方法设计。XML 防火墙是一种新型态的应用层防火墙。
(二)加密技术
加密技术是电子商务采取的主要安全保密措施,是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。加密技术包括两个元素:算法和密钥。算法是将普通的文本(或者可以理解的信息)与一窜数字(密钥)的结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解码的一种算法。在安全保密中,可通过适当的密钥加密技术和管理机制来保证网络的信息通讯安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地,对数据加密的技术分为两类,即对称加密(私人密钥加密)和非对称加密(公开密钥加密)。对称加密以数据加密标准(DES,Data Encryption Standard)算法为典型代表,非对称加密通常以RSA(Rivest Shamir Ad1eman)算法为代表。对称加密的加密密钥和解密密钥相同,而非对称加密的加密密钥和解密密钥不同,加密密钥可以公开而解密密钥需要保密。
对称加密采用了对称密码编码技术,它的特点是文件加密和解密使用相同的密钥,即加密密钥也可以用作解密密钥,这种方法在密码学中叫做对称加密算法,对称加密算法使用起来简单快捷,密钥较短,且破译困难,除了数据加密标准(DES),另一个对称密钥加密系统是国际数据加密算法(IDEA),它比DES的加密性好,而且对计算机功能要求也没有那么高。IDEA加密标准由PGP(Pretty Good Privacy)系统使用。与对称加密算法不同,非对称加密算法需要两个密钥:公开密钥(publickey)和私有密(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。
加密技术中还有一种重要的证书签发机构CA。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。
CA 也拥有一个证书(内含公钥)和私钥。网上的公众用户通过验证 CA 的签字从而信任 CA ,任何人都可以得到 CA 的证书(含公钥),用以验证它所签发的证书。
如果用户想得到一份属于自己的证书,他应先向 CA 提出申请。在 CA 判明申请者的身份后,便为他分配一个公钥,并且 CA 将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给申请者。
如果一个用户想鉴别另一个证书的真伪,他就用 CA 的公钥对那个证书上的签字进行验证,一旦验证通过,该证书就被认为是有效的。
网络加密通常有以下四种类型:
1、无客户端SSL:SSL的原始应用。在这种应用中,一台主机计算机在加密的链路上直接连接到一个来源(如Web服务器、邮件服务器、目录等)。
2、配置VPN设备的无客户端SSL:这种使用SSL的方法对于主机来说与第一种类似。但是,加密通讯的工作是由VPN设备完成的,而不是由在线资源完成的(如Web或者邮件服务器)。
3、主机至网络:在上述两个方案中,主机在一个加密的频道直接连接到一个资源。在这种方式中,主机运行客户端软件(SSL或者IPsec客户端软件)连接到一台VPN设备并且成为包含这个主机目标资源的那个网络的一部分。
SSL:由于设置简单,SSL已经成为这种类型的VPN的事实上的选择。客户端软件通常是很小的基于Java的程序。用户甚至可能都注意不到。
IPsec:在SSL成为创建主机至网络的流行方式之前,要使用IPsec客户端软件。IPsec仍在使用,但是,它向用户提供了许多设置选择,容易造成混淆。
4、网络至网络:有许多方法能够创建这种类型加密的隧道VPN.但是,要使用的技术几乎总是IPsec.
(三)数字签名与身份认证
“数字签名”系指在数据电文中,以电子形式所含、所附或在逻辑上与数据电文有联系
的数据,和与数据电文有关的任何方法,它可用于数据电文有关的签字持有人和表明此人认可数据电文所含信息。
数字签名的特点:信息是由签名者发送的;信息自签发后到收到为止未曾做过任何修改;如果A否认对信息的签名,可以通过仲裁解决A和B之间的争议;数字签名又不同于手写签名。
数字签名使用原理:数字签名使用的是发送方的密钥对,发送方用自己的私有密钥进行加密,接收方用发送方的公开密钥进行解密 。这是一个一对多的关系:任何拥有发送方公开密钥的人都可以验证数字签名的正确性。而私有密钥的加密解密则使用的是接收方的密钥对,这是多对一的关系:任何知道接收方公开密钥的人都可以向接收方发送加密信息,只有唯一拥有接收方私有密钥的人才能对信息解密。通常一个用户拥有两个密钥对,另一个密钥对用来对数字签名进行加密解密,一个密钥对用来对私有密钥进行加密解密。这种方式提供了更高的安全性。
身份认证的几个相关概念:
1.认证:在做任何动作之前必须要有方法来识别动作执行者的真实身份。认证又称为
鉴别、确认。身份认证主要是通过标识和鉴别用户的身份,防止攻击者假冒合法用户获取访问权限。
2.授权:授权是指当用户身份被确认合法后,赋予该用户进行文件和数据等操作的权
限。这种权限包括读、写、执行及从属权等。
3.审计:每一个人都应该为自己所做的操作负责,所以在做完事情之后都要审计身份认证的主要方法:口令识别法;个人特征识别法;签名识别法;指纹识别技术;语音识别系统;视网膜图像识别系统;识别过程;身份识别系统的选择。
(四)计算机系统容灾技术
灾难容忍和系统恢复能力弥补了网络安全体系仅有的防范和检测措施的不足。由于没有哪一种网络安全设施是万无一失的,一旦发生安全漏洞事件,其后果将是不可设想的。还有,人为等不可预料导致的事件也会对信息系统造成巨大的毁坏。所以一个安全体系就算发生灭难,也能对系统和数据快速地恢复,进而完整地保护网络信息系统。目前系统容灾技术主要有数据备份。但对于离线介质不能保证系统安全。数据容灾通过IP容灾技术来保证数据的安全。数据容灾是在两个存储器(一个在本地,一个在异地)之间建立复制关系。本地存储器供本地备份系统使用,异地存储器对本地备份存储器的关键数据实时复制。两者通过IP相联系,组成完整的数据容灾系统。系统容错技术还有一种就是集群技术,是通过对系统的容错和整体冗余来解决不可用和系统死机问题。本地集群网络、异地集群网络和双机热备份是集群系
统多种形式实现,提供了不同的系统可用性和容灾性。其中容灾性是最好的是异地集群网络。数据存储系统集成了存储、备份和容灾技术。是数据技术发展的重要阶段。伴着存储网络化时代的发展, 一体化的多功能网络存储器势必将取代传统的功能单一的存储器。
(五)软件漏洞扫描技术
自动检测本地主机或远端安全的技术就是漏洞扫描,它随时查询TCP/IP服务的端口, 收集关于某些特定项目的有用信息,并记录目标主机的响应。漏洞扫面技术是通过安全扫描程序来实现。扫描程序可以迅速的检查出现存的安全脆弱点。扫描程序吧可得到的攻击方法集成到整个扫描中,之后以统计的格式输出供以后参考和分析。
(六)物理安全技术
系统信息还有可能在空间扩散,这就需要信息网络系统的物理安全。为减少或干扰扩散出去的空间信号,一般是在物理上采取一定的防护措施。物理安全方面一般的措施如下:
1) 产品保障:主要指产品采购、运输、安装等方面的安全措施。
2) 运行安全方:网络中的产品在使用过程中,必须能够从生成厂家或供货单位得到迅速
的技术支持和服务。对一些关键设备和系统,应设置备份系统。
3) 防电磁辐射方面:针对所有重要涉密的设备都需安装防电磁辐射产品,如辐射干扰机
等。
4) 安保方面:主要是防盗、防火等,还包括网络系统所有网络设备、计算机、安全设备
的安全防护。
【参考文献】:
1.刘采利.浅析计算机网络安全隐患
2.刘学辉.计算机网络安全的威胁因素及防范技术
3.张蕴卿.丁际交.计算机网络安全的威胁因素及防范技术
