计算机网络安全技术的探讨
[摘 要] 网络的飞速发展给人类社会带来了巨大的推动和冲击,同时也产生了网络安全问题。本文分析了计算机网络安全所存在的隐患问题,介绍了计算机安全体系采用的身份认证技术、防火墙技术、数据加密技术、入侵检测技术以及反病毒技术。
[关键词] 网络安全; 身份认证;防火墙; 数据加密
互联网络正以惊人的速度改变着人们的生活方式和工作效率。从商业机构到个人都将越来越多地通过互联网处理银行事务、发送、购物、炒股和办公。这无疑给社会、企业乃至个人带来了前所未有的便利。而互联网的开放性和匿名性特征,也决定了互联网不可避免地存在着信息安全隐患。所以网络安全也越来越为世人关注,如何有效地应对也成了当务之急。
1威胁网络安全的因素
1.1网络安全威胁的种类
(1) 非授权访问,这主要的是指对网络设备以及信息资源进行非正常使用或超越权限使用。
(2) 假冒合法用户,主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权,以达到占用合法用户资源的目的。
(3) 数据完整性破坏,有意或无意地修改或破坏信息系统,或者在非授权和不能监听的情况下对数据进行修改。
(4) 流量分析,通过对网上信息流的观察和分析推断出网上传输的有用信息,有效地进行流量分析。
(5) 拒绝服务,当一个授权实体不能获得应有的对网络资源的访问或紧急操作被延迟时,就发生拒绝服务。
(6) 病毒,随着人们对计算机系统和网络依赖程度的增加,计算机病毒已经对计算机系统和网络构成了严重威胁。
1.2操作系统的脆弱性
在一些操作系统中,一旦I/O操作被检查通过之后,该操作系统将继续执行下去而不再检查,从而
造成后续操作的非法访问。还有一些操作系统使用公共的系统缓冲区,如果此缓冲区没有严格的安全措施,那么其中的机密信息(用户的认证数据、身份识别、口令等)就有可能被泄露。
1.3协议安全的脆弱性
基于TCP/IP协议的服务很多,人们比较熟悉的有WWW服务、FTP服务、服务,不太熟悉的有TFTP服务、NFS服务、Finger服务等。这些服务都存在不同程度的安全缺陷,当用户构建安全可信网络时,就需要考虑,应该提供哪些服务,应该禁止哪些服务。IP层的主要缺陷是缺乏有效的安全认证和保密机制,其中最主要的因素就是IP地址问题。TCP/IP协议用IP地址来作为网络节点的唯一标识,许多TCP/IP服务,包括Berkeley中的R命令、NFS、X Window等都是基于IP地址对用户进行认证和授权。当前TCP/IP网络的安全机制主要是基于IP地址的包过滤(Packet Filtering)和认证(Authentication)技术,它的有效性体现在可以根据IP包中的源IP地址判断数据的真实性和安全性。然而IP地址存在许多问题,协议的最大缺点就是缺乏对IP地址的保护,缺乏对IP包中源IP地址真实性的认证机制与保密措施。
1.4数据库管理系统安全的脆弱性
由于数据库系统在操作系统下都是以文件形式进行管理的,因此入侵者可以直接利用操作系统的漏洞窃取数据库文件,或者直接利用OS工具来非法伪造、篡改数据库文件内容。
2网络安全技术
任何形式的互联网服务都会导致安全方面的风险,网络安全的关键是将风险降到最低程度,目前网络安全主要的防护措施有:
2.1身份认证技术
身份认证是对通信方进行身份确认的过程,用户向系统请求服务时要出示自己的身份证明。身份认证一般以电子技术、生物技术或电子技术与生物技术相结合来阻止非授权用户进入。常用的身份认证方法有口令认证法、基于“可信任的第三方”的认证机制和智能卡技术等。
一般来讲,身份认证往往和授权机制联系在一起,提供服务的一方,对申请服务的客户身份确认之后就需要向其授予相应的访问权限,规定客户可以访问的服务范围。
2.2防火墙技术
防火墙是一种综合性技术,其主要目标就是通过控制出入一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭受外界因素的干扰和破坏。
防火墙技术是一种隔离控制技术,在某个机构的网络和不安全的网络之间设置屏障,阻止对信息资源的非法访问,也可以使用防火墙阻止重要信息从企业的网络上被非法输出。通常企业为了维护内部的信息系统安全在企业网和Internet间设立防火墙软件。企业信息系统对于来自Internet的访问,采取有选择的接收方式。它可以允许或禁止一类具体的IP地址访问,也可以接收或拒绝TCP/IP上的某一类具体的应用。如果在某一台IP主机上有需要禁止的信息或危险的用户,则可以通过设置使用防火墙过滤掉从该主机发出的包。如果一个企业只是使用Internet的和WWW服务器向外部提供信息,那么就可以在防火墙上设置使得只有这两类应用数据包可以通过。
2.3数据加密技术
数据加密是防止未经授权的用户访问敏感信息的手段。一般的保密通信模型如图1所示。在发送端,把明文P用加密算法E和密钥K加密,变成密文C,即C=E(K,P),在接收端利用解密算法D和密钥K对C解密得到明文P,即P=D(K,C)。这里加/解密码函数E和D是公开的,而密钥K是秘密
的。在传送过程中偷听者得到的是无法理解的密文,这就达到了对第三者保密的目的。
2.4入侵检测技术
入侵检测就是对那些面向系统资源和网络资源的未经授权的行为进行识别和响应,获得系统和网络目前的安全状况,发现可疑或非法的行为并做出相应的反应。入侵检测具有监视分析用户和系统行为、审计系统配置、评估敏感系统和数据完整性、识别攻击行为并对异常行为进行统计、自动收集与系统相关的补丁、审计跟踪识别违反安全规定的行为、使用诱骗服务器记录黑客行为等功能,使系统管理员可疑有效地监视、审计和评估系统。tcp ip协议的安全隐患
2.5反病毒技术
计算机病毒是一小段具有极强破坏性的恶意代码,它可以将自身纳入程序中,以此来进行隐蔽、复制和传播,从而破坏用户的文件和数据。在杀毒技术中,有一种特征值查毒法。所谓特征值查毒法就是在获取病毒样本后,提取出其特征值,通过该特征值对各个文件或内存进行扫描,有针对性地解除病毒。随着反病毒技术的发展,出现了虚拟机杀毒技术,就是用软件先虚拟一套运行环境,让病毒先在虚拟机下运行,在对其解密之后我们可以通过特征值对其进行查杀。
由于病毒的不断出现,又出现了启发式扫描技术,任何一种病毒总存在与普通程序不一样的地方,我们可以对每一类病毒特征进行加权,使程序在遇到采用启发式扫描技术的杀毒软件时,杀毒软件就会报警。
网络安全其实是一种相对安全,一般来说,安全性越高其实现就越复杂。新的安全问题的出现需要新的技术和手段来解决。
主要参考文献
[1] 雷震甲.网络工程师教程[M]. 第2版. 北京:清华大学出版社,2006.
[2] 戴军,. 计算机网络安全技术浅析[J].中国水运:理论版,2006(6).
[3] 周建国,曹国庆,等.计算机网络入侵检测系统的研究[J]. 计算机工程,2003(2).
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论