计算机网络安全问题探究.doc

计算机网络安全问题探究科技信息0计算机与信息技术0SCIENCEINFORMATION2007年第9期计算机网络安全问题探究华建军(杭州师范学院信息工程学院浙江杭州310018)摘要:随着现代通信技术的不断发展和普及,互连网及网络技术已经在日常生活中越来越普遍,网络安全就日益成为人们越来越关心和亟待解决的问题.本文分析了目前网络上的安全问题以及解决网络安全问题的技术和方法,说明了有关信息安全技术在保证信息安全中用,从而提出了构筑计算机网络信息安全的5层体系结构.关键词:网络安全;防火墙;加密;安全体系结构1.引言:网络安全是一门涉及计算机科学,网络技术,通信技术,密码技术,信息安全技术,应用数学,数论,信息论等多种学科的综合性学科.它主要是指网络系统的硬件,软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏,更改,泄露,系统连续正常地运行,网络服务不中断.由于网络的连通性,在享受网络便利的同时,用户的信息资源便有被暴露的可能.因为网络中总有这样那样好奇的或攻击性的实体存在,对个人而言,可能表现在私生活的公开化,从而带来一些意想不到的麻烦.而对于信息网络涉及到的国家政府,军事,文教等诸多领域,由于其中存贮,传输和处理的信息有许多是政府宏观调控决策,商业经济信息,银行资金转帐,股票证券,能源资源数据,科研数据等重要信息,甚至是国家机密,如果这些信息被侵犯,则会在政治,经济等方面带来不可估量的的损失.因此.网络安全就显得尤其重要.2.网络安全隐患及网络安全的特点网络安全隐患主要表现在以下3个方面:病毒,内部用户恶意或非恶意的非法操作和网络外部的黑客.对于病毒.几乎8O%应用网络的公司都受到过它的侵害.由于网络设计的不严密性,内部网络使用者可能会误入他们本不该进入的领域.出于无知或好奇修改了其中的数据.另有一些内部用户利用自身的合法身份有意对数据进行破坏.据统计,7O%左右的安全问题来源于内部用户.而网络黑客一旦进入某个网络进行破坏,其造成的损失无法估量.他们是网络中最可怕的敌人,也是网络安全防范策略的首要对象.此外,还有网络协议中的缺陷,例如TCP/IP协议的安全问题,自然灾害,意外事故以及信息战等.网络安全应具有以下4个方面的特征:保密性信息不泄露给非授权用户,实体或过程,或供其利用.完整性数据未经授权不能进行改变,信息在存储或传输过程中不被修改,不被破坏和丢失.可用性可被授权实体访问并按需求使用.可控性对信息的传播及内容具有控制能力.3.不同环境的网络安全不同环境的网络安全包括以下几种:运行系统安全即保证信息处理和传输系统的安全.它侧重于保证系统的正常运行,避免因系统的崩溃和损坏而对系统存贮,处理和传输的信息造成破坏和损失,避免由于电磁泄漏产生信息泄露,干扰他人.网络上系统信息的安全主要包括用户口令鉴别,用户存取权限控制,数据存取权限,方式控制,安全审计,安全问题跟踪,计算机病毒防治.数据加密.网络上信息传播安全即信息传播后果的安全,包括信息过滤等.它侧重于防止和控制非法,有害信息进行传播后的后果,避免公用网络上大量自由传输的信息失控.网络上信息内容的安全它侧重于保护信息的保密性,真实性和完整性.避免攻击者利用系统的安全漏洞进行窃听,冒充,诈骗等有损于合法用户的行为,本质上是保护用户的利益和隐私.,4.网络安全的几项关键技术.,4.I防火墙技术所谓防火墙,是指一种将内部网和公众访问网(Intemet)分开的方法.实际上是一种隔离技术.防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你同意的人和数据进入你的网络.同时将你不同意的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更改,拷贝,毁坏你的重要信息.防火墙的技术实现通常是基于所谓包过滤技术.而进行包过滤的标准通常就是根据安全策略制定的.在防火墙产品中.包过滤的标准一般是靠网络管理员在防火墙设备的访问控制清单中设定.访问控制一般基于的标准有:包的源地址,包的目的地址,连接请求的方向(连入或连出),数据包协议(如TCP/IP等)以及服务请求的类型(如flp,www等)等.除了基于硬件的包过滤技术,防火墙还可以利用代理服务器软件实现.早期的防火墙主要起屏蔽主机和加强访问控制的作用,现在的防火墙则逐渐集成了信息安全技术中的最新研究成果.一般都具有加密,解密和压缩,解压等功能,这些技术增加了信息在互联网上的安全性.现在,防火墙技术的研究已经成为网络信息安全技术的主导研究方向.4.2数据加密技术与防火墙配合使用的数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破坏所采用的主要技术手段之一,它的思想核心就是既然网络本身并不安全可靠,那么所有重要信息就全部通过加密处理.按作用不同,数据加密技术主要分为数据传输,数据存贮,数据完整性的鉴别密钥管理技术4种.加密技术是一种效率高而又灵活的安全手段,值得在企业网络中加以推广.目前,加密算法有多种,大多源于美国,但是大多受到美国出口管制法的限制.现在金融系统和商界普遍使用的算法是美国数据加密标准DES.近几年来我国对加密算法的研究主要集中在密码强度分析和实用化研究上.5.网络安全体系结构在经过系统和科学的分析之后,对于网络安全问题.应该主要从以下5个方面加以考虑:5.1网络层的安全性网络层的安全性问题的核心在于网络是否得到控制,即是否任何一个IP地址来源的用户都能够进入网络?如果将整个网络比作一幢办公大楼的话,对于网络层的安全考虑就如同为大楼设置守门人一样,守门人会仔细检查每一位来访者,一旦发现危险的来访者,便会将其拒之门外.用于解决网络层安全性问题的产品主要有防火墙产品和虚拟专用网(VPN).防火墙的主要目的在于判断来源IP,将危险或未经授权的IP数据拒之于系统之外,而只让安全的IP数据通过,一般来说,公司的内部网络若要与公众Intemet相连,则应该在二者之间配置防火墙产品,以防止公司内部数据的外泄.VPN主要解决的是数据传输的安全问题,如果公司各部在地域上跨度较大,使用专网,专线过于昂贵,则可以考虑使用VPN,其目的在于保证公司内部的敏感关键数据能够安全地借助公共网络进行频繁地交换.5,2系统的安全性在系统安全性问题中,主要考虑的问题有2个:病毒对于网络的威胁,黑客对于网络的破坏和侵入.病毒的主要传播途径已由过去的软盘,光盘等存储介质变成了网络,这些病毒在网络上进行传播和破坏的多种途径和手段,使得网络环境中防病毒工作变得更加复杂,网络防病毒工具必须能够针对网络中各个可能的病毒入口来进行防护.对于网络黑客而言,他们的主要目的在于窃取数据和非法修改系统,其手段之一是窃取合法用户的IZl令,在合法身份的掩护下进行非法操作;其手段之二便是利用网络操作系统的某些合法但不为系统管理员和合法用户所熟知的操作指令.5.3用户的安全性对于用户的安全性问题所要(下转第59页)科技信息O计算机与信息技术OSCIENCEINFORMATION2007年第9期自适应机制与ARF,增强的AFR的吞吐量性能的比较.I.Ao一.m.1.IEnhancedARFSch1._l慝j,kDoppleraptead(Hz)图2终端数增加时的平均传输时延如图2中所示,当信道变化慢时,ARF的性能良好,但当多普勒频移大于10Hz时,其性能明显下降,当多普勒频移达到加时,系统的吞吐量降低到了8.2Mbps,其原因是ARF采用的是基于10次连续确认帧信息才增加发送速率的方式,因此当信道变化快时,它并不能迅速地改变终端的发送速率.导致终端大多数时候采用低速率发送数据.吞吐量自然降低.对于增强的ARF机制.,由于增加了两个探测期,因此.在信道快速变化时,其性能比ARF有所提高,当多普勒频移达到加时.系统的吞吐量保持在9.8Mbps,比ARF高1.6Mbps.但对于基于模型的链路自适应算法.可以看出,其吞吐量明显高于ARF和增强的ARF.系统的平均吞吐量为11.8Mbps,分别比ARF和增强的ARF高1.7Mbps和0.6Mbps.在多普勒频移小于15时,此时信道变化慢,基于模型的链路自适应算法的吞吐量比ARF高1.3Mbps,随着信道变化加快,两者之间的吞吐量差达到了2.45Mbps,这与ARF采用启发式的设置速率切换的阈值有关,同时也证明基于模型的链路自适应算法无论在慢变化信道还是快变化信道情况下,都能根据信道的变化.准确地估计信道状态,快速调整发送速率,提高系统的吞吐量.在多普勒频移大于15时,此时信道变化快,与增强的ARF相比基于模型的链路自适应算法的吞吐量要稍好一些,两者的吞吐量差为0.4Mbps;但多普勒频移小于15时,基于模型的链路自适应算法的吞吐量比增强的ARF高1.2Mbps,其原因在于,增强的ARF在信道变化慢时通过启发方式设置探测期的大小,影响了速率切换的快速性.4.总结通过对IEEE802.1le中链路自适应算法的研究,提出了一种增强的基于模型的链路自适应算法.该算法在区分噪声干扰丢失和碰撞丢失的前提下.对IEEE802.11MAC的增强的分布式信道机制进行了建模.将系统的总吞吐量表示为信道接人参数,接收到的数据帧的SINR值,MPDU长度和各个优先级类的活动业务数的函数.通过仿真实验及与现有调度机制的对比证明提出的链路自适应算法能有效地提高实时业务的吞吐量,降低时延.为了能够在IEEE802.11无线局域网中为实时业务提供更好的QoS保障,我们将在提出的链路自适应算法的基础上,进一步研究有效的接纳控制与资源预留机制.参考文献1IEEEStd.802.111999,PART1hWirelessLANMediumAccessControl(MAC)andPhysicalLayer(PHspecifications,ReferencenumberISO/IEC8021h1999(E).IEEEStd.802.11S,1999edition,1999.2IEEEStandard802.1lb一1999,Part1hWirelessLANmediumaccesscontrol(MAC)andphysicallayer(PHY)speCifications:Higherspeedphysicallayerextensioninthe2.4GHzband.IEEEStd.802.11bS,Sept.1999.3IEEE802.11aWG:WirelessLANMediumAccessControl(MAC)andPhysicalLayer(PHY)specifications:High-speedPhysiealLayerinthe5Ghzband,IEEE802.1lastandardIs,1999.4IEEE802.1lgWG:FurtherHigher-SpeedPhysicalLayerExtensioninthe2.4GHzBand,EEEStd.802.11gS,2oo3.5A.Kamerman,andL.Monteban.WaveLLNII:AHi一PerformanceWirelessLANfortheUnlicensedBandJ.BellLabsTechnicalJournal,Summer1997.PP.118133.6P.Chevillat,J.Jelitto,A.N.Barreto,andH.Truong.ADynamicLinkAdaptationAlgorithmforIEEE802.1laWirelessLANsC.Proc.IEEEICC03,Anchorage,AK,May2003,PP.11411145.7IEEEStd802.1le,specificrequirementsPart1hWirelessLANMediumAccessControl(MAC)andPhysicalLayer(PHY)specificationsAmendment8:MediumAccessControlfMAC)QualityofServiceEnhancements.IEEEStd802.11eS,November2005.8RonIgboZhu,YuhangYang,PerformanceComputationModelforIEEE802.1leEDCFWirelessLNsJ,LectureNotesinComputerScience(LNCS),V01.4159,Springer-Verlag,2oo6,PP.389398.9NS2.NetworkSimulatorEB/OL,/一ns,2oo716.IOW.C.Jakes,MicrowaveMobileCommunicationsM.Piscataway,NJ:IEEE,1974.(上接第63页)考虑的是:是否只有那些真正被授权的用户才能够使用系统中的资源和数据?要解决这一问题,首先要做的是应该对用户进行分组管理,并且这种分组管理应该是针对安全性问题而考虑的分组,也就是说,应该根据不同的安全级别将用户分为若干等级,每一等级的用户只能访问与其等级相应的系统资源和数据.其次应该考虑的是强有力的身份认证.其目的是确保用户的密码不会被他人所猜测到.5.4应用程序的安全性这一层中我们需要解决的问题是:是否只有合法的用户才能对特定的数据进行合法的操作?这里涉及2个方面的问题:一是应用程序对数据的合法权限;二是应用程序对用户的合法权限.例如,在公司内部,上级部门的应用程序应该能够存取下级部门的数据,而下级部门的应用程序一般不被允许存取上级部门的数据,同级部门的应用权限也应有所限制,同一部门不同业务的应用程序也不应该互相访问对方的数据,一方面可以避免数据的意外损坏,另一方面也是安全方面的考虑.5.5数据的安全性数据的安全性问题所要回答的问题是:机密数据是否还处于机密状态?在数据的保存过程中,机密的数据即使处于安全的空间,也要对其进行加密处理,以保证万一数据失窃,偷盗者(如网络黑客)也读不懂其中的内容,这是种比较被动的安全手段,但往往能收到最好的效果.上述的5层安全体系并非孤立分散,如果将网络系统比作一幢办公大楼的话,门