计算机网络安全的主要技术

./随着计算机应用范围的扩大和互联网技术的迅速发展,计算机信息技术已经渗透到人们生活的方方面面,网上购物、商业贸易、金融财务等经济行为都已经实现网络运行,"数字化经济"引领世界进入一个全新的发展阶段.然而,由于计算机网络具有连接形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络易受黑客、恶意软件和其他不轨人员的攻击,计算机网络安全问题日益突出.在网络安全越来越受到人们重视和关注的今天,网络安全技术作为一个独特的领域越来越受到人们关注.一、网络安全的定义所谓网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄漏,确保系统能连续、可靠、正常地运行,网络服务不中断.常见的影响网络安全的问题主要有病毒、黑客攻击、系统漏洞、资料篡改等,这就需要我们建立一套完整的网络安全体系来保障网络安全可靠地运行.二、影响网络安全的主要因素〔1信息泄密.主要表现为网络上的信息被窃听,这种仅窃听而不破坏网络中传输信息的网络侵犯者被称为消极侵犯者.〔2信息被篡改.这是纯粹的信息破坏,这样的网络侵犯被称为积极侵犯者.积极侵犯者截取网上的信息包,并对之进行更改使之失效,或者故意添加一些有利于自已的信息,起到信息误导的作用,其破坏作用最大.〔3传输非法信息流.只允许用户同其他用户进行特定类型的通信,但禁止其它类型的通信,如允许电子邮件传输而禁止文件传送.〔4网络资源的错误使用.如不合理的资源访问控制,一些资源有可能被偶然或故意地破坏.〔5非法使用网络资源.非法用户登录进入系统使用网络资源,造成资源的消耗,损害了合法用户的利益.〔6环境影响.自然环境和社会环境对计算机网络都会产生极大的不良影响.如恶劣的天气、灾害、事故会对网络造成损害和影响.〔7软件漏洞.软件漏洞包括以下几个方面:操作系统、数据库及应用软件、TCP/IP协议、网络软件和服务、密码设置等的安全漏洞.这些漏洞一旦遭受电脑病毒攻击,就会带来灾难性的后果.〔8人为安全因素.除了技术层面上的原因外,人为的因素也构成了目前较为突出的安全因素,无论系统的功能是多么强大或者配备了多少安全设施,如果管理人员不按规定正确地使用,甚至人为露系统的关键信息,则其造成的安全后果是难以量的.这主要表现在管理措施不完善,安全意识薄,管理人员的误操作等.三、计算机网络安全的主要技术网络安全技术随着人们网络实践的发展而发展,其涉及的技术面非常广,主要的技术如下：认证技术、加密技术、防火墙技术及入侵检测技术等,这些都是网络安全的重要防线.〔一认证技术对合法用户进行认证可以防止非法用户获得对公司信息系统的访问,使用认证机制还可以防止合法用户访问他们无权查看的信息.〔二数据加密技术加密就是通过一种方式使信息变得混乱,从而使未被授权的人看不懂它.主要存在两种主要的加密类型：私匙加密和公匙加密.1.私匙加密.私匙加密又称对称密匙加密,因为用来加密信息的密匙就是解密信息所使用的密匙.私匙加密为信息提供了进一步的紧密性,它不提供认证,因为使用该密匙的任何人都可以创建、加密和平共处送一条有效的消息.这种加密方法的优点是速度很快,很容易在硬件和软件中实现.2.公匙加密.公匙加密比私匙加密出现得晚,私匙加密使用同一个密匙加密和解密,而公匙加密使用两个密匙,一个用于加密信息,另一个用于解密信息.公匙加密系统的缺点是它们通常是计算密集的,因而比私匙加密系统的速度慢得多,不过若将两者结合起来,就可以得到一个更复杂的系统.〔三防火墙技术防火墙是网络访问控制设备,用于拒绝除了明确允许通过之外的所有通信数据,它不同于只会确定网络信息传输方向的简单路由器,而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统.大多数防火墙都采用几种功能相结合的形式来保护自己的网络不受恶意传输的攻击,其中最流行的技术有静态分组过滤、动态分组过滤、状态过滤和代理服务器技术,它们的安全级别依次升高,但具体实践中既要考虑体系的性价比,又要考虑安全兼顾网络连接能力.此外,现今良好的防火墙还采用了VPN、检视和入侵检测技术.防火墙的安全控制主要是基于IP地址的,难以为用户在防火墙内外提供一致的安全策略；而且防火墙只实现了粗粒度的访问控制,也不能与企业内部使用的其他安全机制〔如访问控制集成使用；另外,防火墙难于管理和配置,由多个系统〔路由器、过滤器、代理服务器、网关、保垒主机组成的防火墙,管理上难免有所疏忽.〔四入侵检测系统入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术.在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全.在校园网络中采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系.〔五虚拟专用网〔VPN技术VPN是目前解决信息安全问题的一个最新、最成功的技术课题之一,所谓虚拟专用网〔VPN技术就是在公共网络上建立专用网络,使数据通过安全的"加密管道"在公共网络中传播.用以在公共通信网络上构建VPN有两种主流的机制,这两种机制为路由过滤技术和隧道技术.目前VPN主要采用了如下四项技术来保障安全：隧道技术〔Tunneling>、加解密技术〔Encryption&Decryption>、密匙管理技术〔KeyManagement>和使用者与设备身份认证技术〔Authentication>.其中几种流行的隧道技术分别为PPTP、L2TP和Ipsec.VPN隧道机制应能技术不同层次的安全服务,这些安全服务包括不同强度的源鉴别、数据加密和数据完整性等.VPN也有几种分类方法,如按接入方式分成专线VPN和拨号VPN；按隧道协议可分为第二层和第三层的；按发起方式可分成客户发起的和服务器发起的.四、结论网络安全是一个系统的工程,需要仔细考虑系统的安全需求,并将各种安全技术结合在一起,才能生成一个高效、通用、安全的网络系统.网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的.因此只有严格的保密政策、明晰的安全策略以及高素质的网络管理人才才能完好、实时地保证信息的完整性和确证性,为网络提供强大的安全服务.计算机技术和网络技术的高速发展,对整个社会的发展起到了巨大的推动作用,尤其近年来,计算机网络在社会生活各方面的应用更加广泛,已经成为人们生活中的重要组成部分,但同时也给我们带来许多挑战.随着我们对网络信息资源的需求日益增强,随之而来的信息安全问题也越加突出,病毒、黑客、网络犯罪等给网络的信息安全带来很大挑战.因此计算机网络安全是一个十分重要且紧迫的任务.一.计算1.网络安全的基本概念计算机网络安全是指.为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏.计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密、完整和可用的保护,而网络安全的含义是信息安全的引申,即网络安全是对网络信息保密、完整和可用的保护.2.网络安全的基本组成<1>网络实体安全：如计算机的物理条件、物理环境及设施的安全标准,计算机硬件、附属设备及网络传输线路的安装及配置等;<2>软件安全：如保护网络系统不被非法侵入,系统软件与应用软件不被非法复制、篡改、不受病毒的侵害等;<3>数据安全：如保护网络信息的数据安全,不被非法存取,保护其完整、一致等<4>网络安全管理：如运行时突发事件的安全处理等,包括采取计算机安全技术,建立安全管理制度,开展安全审计,进行风险分析等内容.3.网络安全现状计算机和网络技术具有的复杂和多样,使得计算机和网络安全成为一个需要持续更新和提高的领域.目前黑客的攻击方法已超过了计算机病毒的种类,而且许多攻击都是致命的.在Internet网络上,因互联网本身没有时空和地域的限制,每当有一种新的攻击手段产生,就能在一周内传遍全世界.这些攻击手段利用网络和系统漏洞进行攻击从而造成计算机系统及网络瘫痪.蠕虫、后门<Back-doors>、DoS<Denia1ofServices>和Snifer<网路监听>是大家熟悉的几种黑客攻击手段.但这些攻击手段却都体现了它们惊人的威力,且有愈演愈烈之势.这几类攻击手段的新变种,与以前出现的攻击方法相比,更加智能化,攻击目标直指互联网基础协议和操作系统层次,从web程序的控制程序到内核级Rootlets.黑客的攻击手法不断升级翻新,向用户的信息安全防范能力不断发起挑战.二.提膏计算机爵络安全的措麓1.采用防火墙防火墙是目前最为流行、使用最广泛的一种网络安全技术,它的核心思想是在不安全的网络环境中构造一个相对安全的子网环境.防火墙的最大优势就在于可以对两个网络之间的访问策略进行控制,限制被保护的网络与互联网络之间,或者与其他网络之间进行的信息存取、传递操作.它具有以下特：所有的从内部到外部或从外部到内部的通信都必须经过它;只有内部访问策略授权的通信才允许通过;使系统本身具有更高的可靠.常见防火墙的体系结构有三种：<1>双重宿主主机体系结构.它是丽绕具有双重宿主功能的主机而构筑的,是最基本的防火墙结构.主机充当路由器,是内外网络的接口,能够从一个网络向另一个网络发送数据包.这种类型的防火墙完全依赖于主机,因此该主机的负载般较大,容易成为网络瓶颈.对于只进行酬昙过滤的安全要求来说,只需在两块网卡之间转发的模块上插入对包的ACL控制即可.但是如果要对应用层进行代理控制,其代理就要设置到这台双宿主主机上,所有的应用要先于这个主机进行连接.这样每个人都需要有个登录账号,增加了联网的复杂.<2>屏蔽主机体系结构,又称主机过滤结构,它使用个单独的路由器来提供内部网络主机之间的服务,在这种体系结构中,主要的安全机制由数据包过滤系统来提供.相对于双重宿主主机体系结构,这种结构允许数据包,Internet上进人内部网络,因此对路由器的配置要求较高.<3>屏蔽子网体系结构.它是在屏蔽主机体系结构基础上添加额外的安全层,并通过添加周边网络更进一步把内部网络和Intemet隔离开.为此这种结构需要两个路由器,一个位于周边网络和内部网络之间,另一个在周边网络和外部网络之间,这样黑客即使攻破了堡垒主机,也不能直接入侵内部网络,因为他还需要攻破另外一个路由器.2.数据加密技术数据加密技术是为提高信息系统及数据的安全l生和保密,防止秘密数据被外部破析所采用的主要手段之一.数据加密技术按作用不同可分为数据存储,数据传输、数据完整的鉴别,以及密钥的管理技术.数据存储加密技术是防止在存储环节上的数据丢失为目的,可分为密文存储和存取两种,数据传输加密技术的目的是对传输中的数据流加密.数据完整鉴别是对介入信息的传送、存取,处理人的身份和相关数据内容进行验证,达到保密的要求,系统通过对比验证对输入的特征值是否符合预先设定的参数,实现对数据的安全保护.3.网络安全的审计和跟踪技术审计和跟踪机制一般情况下并不干涉和直接影响主业务流程,而是通过对主业务进行记录、检查、监控等来完成以审计、完整等要求为主的安全功能.审计和跟踪所包括的典型技术有：漏洞扫描系统、入侵检测系统<IDS>、安全审计系统等.我们以IDs为例,IDs是作为防火墙的合理补充,能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力<包括安全审计、监视、进攻识别和响应>,提高了信息安全基础结构的完整.入侵检测是一种主动保护网络和系统安全的技术,它从计算机系统或网络中采集、分析数据,查看网络或主机系统中是否有违反安全策略的行为和遭到攻击的迹象,并采取适当的响应措施来阻挡攻击,降低可能的损失.它能提供对内部攻击、外部攻击和误操作的保护.入侵检测系统可分为基于主机的入侵检测系统和基于网络的入侵检测系统两类.4.网络病毒的防范与互联网相连的网络,般需要网关的防病毒软件,加强上网计算机的安全.如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒.在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品.学校、政府机关、企事业单位等网络一般是内部局域网,就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的