计算机网络安全问题的探讨 彭杰 (广东省司法警察学校广州510430) 摘要分析了目前网络上的安全问题,说明了有关信息安全技术在保证信息安全中的作用,从而提出了构筑计算机网络信息安全的5层体系结构。关键词网络安全防火墙加密安全体系结构网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。它主要是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续正常地运行,网络服务不中断。由于网络的连通性,在享受网络便利的同时,用户的信息资源便有被暴露的可能。因为网络中总有这样那样好奇的或攻击性的实体存在,对个人而言,可能表现在私生活的公开化,从而带来一些意想不到的麻烦。而对于信息网络涉及到的国家政府、军事、文教等诸多领域,由于其中存贮、传输和处理的信息有许多是政府宏观调控决策、商业经济信息、银行资金转帐、股票证券、能源资源数据、科研数据等重要信息,甚至是国家机密,如果这些信息被侵犯,则会在政治、经济等方面带来不可估量的的损失。因此,网络安全就显得尤其重要。 1网络安全隐患及网络安全的特点网络安全隐患主要表现在以下3个方面:病毒、内部用户恶意或非恶意的非法操作和网络外部的黑客。对于病毒,几乎80应用网络的公司都受到过它的侵害。由于网络设计的不严密性,内部网络使用者可能会误入他们本不该进入的领域,出于无知或好奇修改了其中的数据。另有一些内部用户利用自身的合法身份有意对数据进行破坏。据统计,70左右的安全问题来源于内部用户。而网络黑客一旦进入某个网络进行破坏,其造成的损失无法估量,他们是网络中最可怕的敌人,也是网络安全防范策略的首要对象。此外,还有网络协议中的缺陷,例如TCP/IP协议的安全问题、自然灾害、意外事故以及信息战等。网络安全应具有以下4个方面的特征:保密性信息不泄露给非授权用户、实体或过程,或供其利用。完整性数据未经授权不能进行改变,信息在存储或传输过程中不被修改、不被破坏和丢失。可用性可被授权实体访问并按需求使用。可控性对信息的传播及内容具有控制能力。2不同环境的网络安全不同环境的网络安全包括以下几种:运行系统安全即保证信息处理和传输系统的安全,它侧重于保证系统的正常运行,避免因系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失,避免由于电磁泄漏产生信息泄露,干扰他人。网络上系统信息的安全主要包括用户口令鉴别,用户存取权限控制,数据存取权限、方式控制,安全审计,安全问题跟踪,计算机病毒防治,数据加密。网络上信息传播安全即信息传播后果的安全,包括信息过滤等。它侧重于防止和控制非法、有害信息进行传播后的后果,避免公用网络上大量自由传输的信息失控。网络上信息内容的安全它侧重于保护信息的保密性、真实性和完整性,避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为,本质上是保护用户的利益和隐私。3网络安全的几项关键技术3.1防火墙技术所谓“防火墙”,是指一种将内部网和公众访问网(Internet)分开的方法,实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。防火墙的技术实现通常是基于所谓“包过滤”技术,而进行包过滤的标准通常就是根据安全策略制定的。在防火墙产品中,包过滤的标准一般是靠网络管理员在防火墙设备的访问控制清单中设定。访问控制一般基于的标准有:包的源地址、包的目的地址、连接请求的方向(连入或连出)、数据包协议(如TCP/IP等)以及服务请求的类型(如ftp,www等)等。除了基于硬件的包过滤技术,防火墙还可以利用代理服务器软件实现。早期的防火墙主要起屏蔽主机和加强访问控制的作用,现在的防火墙则逐渐集成了信息安全技术中的最新研究成果,一般都具有加密、解密和压缩、解压等功能,这些技术增加了信息在互联网上的安全性。现在,防火墙技术的研究已经成为网络信息安全技术的主导研究方向。3.2数据加密技术与防火墙配合使用的数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破坏所采用的主要技术手段之一,它的思想核心就是既然网络本身并不安全可靠,那么所有重要信息就全部通过加密处理。按作用不同,数据加密技术主要分为数据传输、数据存贮、数据完整性的鉴别密钥管理技术4种。加密技术是一种效率高而又灵活的安全手段,值得在企业网络中加以推广。目前,加密算法有多种,大多源于美国,但是大多受到美国出口管制法的限制。现在金融系统和商界普遍使用的算法是美国数据加密标准DES。近几年来我国对加密算法的研究主要集中在密码强度分析和实用化研究上。3.3智能卡技术与数据加密技术紧密相关的另一项技术则是智能卡技术。所谓智能卡就是密匙的一种媒体,一般就像信用卡一样,由授权用户所持有并由该用户赋与它一个口令或密码字,该密码与网络服务器上注册的密码一致,当口令与身份特征共同使用时,智能卡的保密性能还是相当有效的。4网络安全体系结构在经过系统和科学的分析之后,对于网络安全问题,应该主要从以下5个方面加以考虑:4.1网络层的安全性网络层的安全性问题的核心在于网络是否得到控制,即是否任何一个IP地址来源的用户都能够进入网络?如果将整个网络比作一幢办公大楼的话,对于网络层的安全考虑就如同为大楼设置守门人一样,守门人会仔细检查每一位来访者,一旦发现危险的来访者,便会将其拒之门外。用于解决网络层安全性问题的产品主要有防火墙产品和虚拟专用网(VPN)。防火墙的主要目的在于判断来源IP,将危险或未经授权的IP数据拒之于系统之外,而只让安全的IP数据通过,一般来说,公司的内部网络若要与公众Internet相连,则应该在二者之间配置防火墙产品,以防止公司内部数据的外泄。VPN主要解决的是数据传输的安全问题,如果公司各部在地域上跨度较大,使用专网、专线过于昂贵,则可以考虑使用VPN,其目的在于保证公司内部的敏感关键数据能够安全地借助公共网络进行频繁地交换。4.2系统的安全性在系统安全性问题中,主要考虑的问题有2个:病毒对于网络的威胁、黑客对于网络的破坏和侵入。病毒的主要传播途径已由过去的软盘、光盘等存储介质变成了网络,这些病毒在网络上进行传播和破坏的多种途径和手段,使得网络环境中防病毒工作变得更加复杂,网络防病毒工具必须能够针对网络中各个可能的病毒入口来进行防护。对于网络黑客而言,他们的主要目的在于窃取数据和非法修改系统,其手段之一是窃取合法用户的口令,在合法身份的掩护下进行非法操作;其手段之二便是利用网络操作系统的某些合法但不为系统管理员和合法用户所熟知的操作指令。4.3用户的安全性对于用户的安全性问题所要考虑的是:是否只有那些真[1][2]下一页
来源:中国电力资料网
