论文部分内容阅读
摘要:分析影响计算机网络安全的因素,介绍保证网络安全的基本技术包括网络加密技术、防火墙技术、身份验证技术、网络防病毒技术。
关键词:网络安全 防火墙 身份验证 防病毒
引言:近几年来,伴随着网络的普及,计算机网络安全日益成为影响网络性能的重要问题,而网络所具有的开放性、自由性在增加应用自由度的同时,对网络安全也提出了更高要求,网络安全问题越来越被世人关注。就让我们一起了解一下影响计算机网络安全的因素和保证网络安全的基本技术。
一、影响计算机网络安全的因素
影响计算机网络安全的因素很多,有人为因素,也有自然因素,其中人为因素危害最大。归纳起来,针对网络安全的威胁主要有三方面:
1、人为的无意失误:如操作员安全配置不当造成的安全漏洞;不合理地设定资源访问控制,一些资源有可能被破坏;用户口令选择不慎,用户将自己的帐号转借他人或与别人共享等。
2、人为地恶意攻击:这是计算机网络面临的最大威胁,此类攻击可分为两种:一是破坏性攻击,以各种方式有选择地破坏信息的有效性和完整性,起到信息误导作用,或者登陆进入系统使用并占用大量网络资源,造成资源消耗,损害合法用户的权益;另一种是非破坏性攻击,它在不影响网络正常工作情况下,进行截获、窃取、破译以获得重要机密信息。
3、网络软件的漏洞:网络软件不可能是百分之百无缺陷和无漏洞的,然而这些缺陷和漏洞恰恰是黑客进行攻击的首选途径。
二、计算机网络安全技术
由于网络所带来的诸多不安全因素,使得网络使用者必须采取相应的网络安全技术来堵塞安全漏洞和提供安全通信服务。如今,快速发展的网络安全技术能从不同角度来保证网络信息不受侵犯,网络安全的基本技术主要包括网络加密技术、防火墙技术、身份验证技术、网络防病毒技术。
网络加密技术
网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密、节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端点加密的目的是对源端用户到目的端用户数据提供加密保护;节点加密的目的是对源节点对目的节点之间的传输链路提供加密保护。
信息加密过程是由形形色色的加密算法来具体实施的,它以很小代价提供和牢靠的安全保护。据不完全统计,已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同分类,可以将这些加密算法分为常规密码算法和公钥密码算法。在常规密码算法中,收发双方使用相同的密钥,即加密密钥和解密密钥是相同或等价的,如美国的DES(数据加密标准);常规密码算法的优点是有很强的保密强度,且能经受住时间的检验,但其密钥必须通过安全途径传送,因此,其密钥管理成为网络安全的重要因素。在公钥密码算法中,收发双方使用的密钥互不相同,而且不可能从加密密钥推导出解密密钥,如RSA;公钥密码的优点是可以适应网络的开放性要求,且密钥管理问题也很简单,尤其可方便地实现数字签名和身份验证,但其算法复杂,加密数据的速率较底。在实际应用中,人们通常将常规密码和公钥密码结合在一起使用,比如:利用DES来加密信息,而采用RSA来传递会话密钥。
网络加密技术是网络安全最有效的技术之一。一个加密网络不但可以防止非授权用户的搭线窃听和入网,而且还是对付恶意软件或病毒的有效方法之一。
防火墙技术
防火墙是用一个或一组网络设备在两个或多个网络间加强访问控制,以保护一个网络不受来自另一个网络攻击的安全技术。防火墙的组成可以表示為:防火墙=过滤器+安全策略,它是一种非常有效的网络安全技术。通常防火墙服务于以下几个目的:限制他人进入内部网络,过滤掉不安全服务和非法服务用户;限定人们访问特殊网站;为监视Internet安全提供方便。由于防火墙技术是一种被动技术,它假设了网络边界和服务,因此,对内部的非法访问难以有效地控制。因此,防火墙适用于相对独立的网络,例如Internet等种类相对集中的网络。
虽然防火墙技术是在内部网与外部网之间实施安全防范的最佳选择,但也存在一定的局限性:不能完全防范外部刻意地人为攻击,不能防范内部用户攻击,不能防止内部用户因误操作而造成口令失密受到攻击,很难防止病毒或者受病毒感染文件的传输。
防火墙的主要技术类型包括网络级数据包过滤(Network-level Packet Filter)和应用代理服务(Application-level Proxy Server)。由于两种类型的放火墙系统各有优缺点,因而在实际使用中常常根据实际需求结合起来使用。
身份验证技术
身份验证是用户向系统出示自己身份证明的过程。身份认证是系统查核用户身份证明的过程。这两个过程是判断和确认通信双方真实身份的两个重要环节,人们常把这两项工作统称为身份验证。
数字签名:基于公共密钥的身份验证。公开密钥的加密机制虽提供了良好的保密性,但难以鉴别发送者,即任何得到公开密钥的人都可以生成或发送报文,数字签名机制则在此基础上提供了一种鉴别方法,以解决伪造、抵赖、冒充、篡改等问题。数字签名一般采用不对称加密技术通过对整个明文进行某种变换,得到一个值,作为核实签名。接收者使用发送者的公开密钥对签名进行解密运算,如其结果为明文,则签名有效,证明对方的身份是真实的。当然,签名也可以采用多种形式,例如将签名附在明文之后。数字签名普遍用于银行、电子商务等身份验证。
Kerberos系统:基于DCE/Kerberos的身份验证。Kerberos系统是为分布式计算环境提供一种对用户双方进行身份验证的方法。它的安全机制在于首先对发出请求的用户进行身份验证,确认其是否为合法用户,如是合法用户,再审核该用户是否有权对他所请求的服务或主机进行访问。从加密算法上来讲,其身份验证是建立在对称加密的基础上的。
网络防病毒技术
在网络环境下,计算机病毒具有不可估量的威胁性和破坏力。CIH病毒就足以证明如果不重视计算机网络防病毒,那可能给社会造成灾难性后果,因此计算机病毒防范也是网络安全技术中重要的一环。网络防病毒技术包括预防病毒、检测病毒、消除病毒三种技术:
预防病毒技术,它通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。技术手段包括加密可执行程序、引导区保护、系统监控与读写控制等。
检测病毒技术,它是通过对计算机病毒的特征来进行判断的侦测技术,如自身校验、关键字、文件长度的变化等。病毒检测一直是病毒防护的支柱,然而随着病毒数目和可能切入点的大量增加,识别古怪代码串的进程变得越来越复杂,而且容易产生错误和疏忽。因此,最新的防病毒技术应将病毒检测、多层数据保护和集中式管理等多种功能集成起来,形成多层次防御体系,既具有稳健的病毒检测功能,又具有客户机/服务器数据保护能力,也就是覆盖全网的多层次方法。
消除病毒技术,它通过对计算机病毒的分析,开发出具有杀除病毒程序并恢复原文件的软件。大量的病毒针对网上资源和应用程序进行攻击,这样的病毒存在于信息共享的网络介质上,因而要在网关上设防,在网络入口实时杀毒。对于内部病毒,通过服务器防病毒功能在病毒从客户机向服务器转移的过程中杀掉,把病毒感染的区域控制在最小范围。
网络防病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测,工作站上采用防病毒芯片和对网络目录及文件设置访问权限等。防病毒必须从网络整体考虑,从方便管理人员工作着手,通过网络环境管理网络上的所有机器,如利用网络唤醒功能在夜间对全网客户机进行扫描检查病毒情况、利用在线报警功能及时发现网络故障、病毒入侵等情况并予以解决。
结束语
所谓网络的安全是一种相对的安全,并没有绝对的安全网络。一般来说,安全性越高,起实现就越复杂,费用也相应越高。新的安全技术的出现需要新的技术和手段来解决,因此用户应该选择那些能够正视网络现存问题的技术。
参考文献:
1.电脑报.西南师范大学出版社,2000.6
2.网络实用指南.清华大学出版社,2000.11
关键词:网络安全 防火墙 身份验证 防病毒
引言:近几年来,伴随着网络的普及,计算机网络安全日益成为影响网络性能的重要问题,而网络所具有的开放性、自由性在增加应用自由度的同时,对网络安全也提出了更高要求,网络安全问题越来越被世人关注。就让我们一起了解一下影响计算机网络安全的因素和保证网络安全的基本技术。
一、影响计算机网络安全的因素
影响计算机网络安全的因素很多,有人为因素,也有自然因素,其中人为因素危害最大。归纳起来,针对网络安全的威胁主要有三方面:
1、人为的无意失误:如操作员安全配置不当造成的安全漏洞;不合理地设定资源访问控制,一些资源有可能被破坏;用户口令选择不慎,用户将自己的帐号转借他人或与别人共享等。
2、人为地恶意攻击:这是计算机网络面临的最大威胁,此类攻击可分为两种:一是破坏性攻击,以各种方式有选择地破坏信息的有效性和完整性,起到信息误导作用,或者登陆进入系统使用并占用大量网络资源,造成资源消耗,损害合法用户的权益;另一种是非破坏性攻击,它在不影响网络正常工作情况下,进行截获、窃取、破译以获得重要机密信息。
3、网络软件的漏洞:网络软件不可能是百分之百无缺陷和无漏洞的,然而这些缺陷和漏洞恰恰是黑客进行攻击的首选途径。
二、计算机网络安全技术
由于网络所带来的诸多不安全因素,使得网络使用者必须采取相应的网络安全技术来堵塞安全漏洞和提供安全通信服务。如今,快速发展的网络安全技术能从不同角度来保证网络信息不受侵犯,网络安全的基本技术主要包括网络加密技术、防火墙技术、身份验证技术、网络防病毒技术。
网络加密技术
网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密、节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端点加密的目的是对源端用户到目的端用户数据提供加密保护;节点加密的目的是对源节点对目的节点之间的传输链路提供加密保护。
信息加密过程是由形形色色的加密算法来具体实施的,它以很小代价提供和牢靠的安全保护。据不完全统计,已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同分类,可以将这些加密算法分为常规密码算法和公钥密码算法。在常规密码算法中,收发双方使用相同的密钥,即加密密钥和解密密钥是相同或等价的,如美国的DES(数据加密标准);常规密码算法的优点是有很强的保密强度,且能经受住时间的检验,但其密钥必须通过安全途径传送,因此,其密钥管理成为网络安全的重要因素。在公钥密码算法中,收发双方使用的密钥互不相同,而且不可能从加密密钥推导出解密密钥,如RSA;公钥密码的优点是可以适应网络的开放性要求,且密钥管理问题也很简单,尤其可方便地实现数字签名和身份验证,但其算法复杂,加密数据的速率较底。在实际应用中,人们通常将常规密码和公钥密码结合在一起使用,比如:利用DES来加密信息,而采用RSA来传递会话密钥。
网络加密技术是网络安全最有效的技术之一。一个加密网络不但可以防止非授权用户的搭线窃听和入网,而且还是对付恶意软件或病毒的有效方法之一。
防火墙技术
防火墙是用一个或一组网络设备在两个或多个网络间加强访问控制,以保护一个网络不受来自另一个网络攻击的安全技术。防火墙的组成可以表示為:防火墙=过滤器+安全策略,它是一种非常有效的网络安全技术。通常防火墙服务于以下几个目的:限制他人进入内部网络,过滤掉不安全服务和非法服务用户;限定人们访问特殊网站;为监视Internet安全提供方便。由于防火墙技术是一种被动技术,它假设了网络边界和服务,因此,对内部的非法访问难以有效地控制。因此,防火墙适用于相对独立的网络,例如Internet等种类相对集中的网络。
虽然防火墙技术是在内部网与外部网之间实施安全防范的最佳选择,但也存在一定的局限性:不能完全防范外部刻意地人为攻击,不能防范内部用户攻击,不能防止内部用户因误操作而造成口令失密受到攻击,很难防止病毒或者受病毒感染文件的传输。
防火墙的主要技术类型包括网络级数据包过滤(Network-level Packet Filter)和应用代理服务(Application-level Proxy Server)。由于两种类型的放火墙系统各有优缺点,因而在实际使用中常常根据实际需求结合起来使用。
身份验证技术
身份验证是用户向系统出示自己身份证明的过程。身份认证是系统查核用户身份证明的过程。这两个过程是判断和确认通信双方真实身份的两个重要环节,人们常把这两项工作统称为身份验证。
数字签名:基于公共密钥的身份验证。公开密钥的加密机制虽提供了良好的保密性,但难以鉴别发送者,即任何得到公开密钥的人都可以生成或发送报文,数字签名机制则在此基础上提供了一种鉴别方法,以解决伪造、抵赖、冒充、篡改等问题。数字签名一般采用不对称加密技术通过对整个明文进行某种变换,得到一个值,作为核实签名。接收者使用发送者的公开密钥对签名进行解密运算,如其结果为明文,则签名有效,证明对方的身份是真实的。当然,签名也可以采用多种形式,例如将签名附在明文之后。数字签名普遍用于银行、电子商务等身份验证。
Kerberos系统:基于DCE/Kerberos的身份验证。Kerberos系统是为分布式计算环境提供一种对用户双方进行身份验证的方法。它的安全机制在于首先对发出请求的用户进行身份验证,确认其是否为合法用户,如是合法用户,再审核该用户是否有权对他所请求的服务或主机进行访问。从加密算法上来讲,其身份验证是建立在对称加密的基础上的。
网络防病毒技术
在网络环境下,计算机病毒具有不可估量的威胁性和破坏力。CIH病毒就足以证明如果不重视计算机网络防病毒,那可能给社会造成灾难性后果,因此计算机病毒防范也是网络安全技术中重要的一环。网络防病毒技术包括预防病毒、检测病毒、消除病毒三种技术:
预防病毒技术,它通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。技术手段包括加密可执行程序、引导区保护、系统监控与读写控制等。
检测病毒技术,它是通过对计算机病毒的特征来进行判断的侦测技术,如自身校验、关键字、文件长度的变化等。病毒检测一直是病毒防护的支柱,然而随着病毒数目和可能切入点的大量增加,识别古怪代码串的进程变得越来越复杂,而且容易产生错误和疏忽。因此,最新的防病毒技术应将病毒检测、多层数据保护和集中式管理等多种功能集成起来,形成多层次防御体系,既具有稳健的病毒检测功能,又具有客户机/服务器数据保护能力,也就是覆盖全网的多层次方法。
消除病毒技术,它通过对计算机病毒的分析,开发出具有杀除病毒程序并恢复原文件的软件。大量的病毒针对网上资源和应用程序进行攻击,这样的病毒存在于信息共享的网络介质上,因而要在网关上设防,在网络入口实时杀毒。对于内部病毒,通过服务器防病毒功能在病毒从客户机向服务器转移的过程中杀掉,把病毒感染的区域控制在最小范围。
网络防病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测,工作站上采用防病毒芯片和对网络目录及文件设置访问权限等。防病毒必须从网络整体考虑,从方便管理人员工作着手,通过网络环境管理网络上的所有机器,如利用网络唤醒功能在夜间对全网客户机进行扫描检查病毒情况、利用在线报警功能及时发现网络故障、病毒入侵等情况并予以解决。
结束语
所谓网络的安全是一种相对的安全,并没有绝对的安全网络。一般来说,安全性越高,起实现就越复杂,费用也相应越高。新的安全技术的出现需要新的技术和手段来解决,因此用户应该选择那些能够正视网络现存问题的技术。
参考文献:
1.电脑报.西南师范大学出版社,2000.6
2.网络实用指南.清华大学出版社,2000.11