網絡安全探討
摘 要 探討了網絡安全的現狀及問題由來以及幾種主要網絡安全技術,提出了實現網絡安全的幾條措施。
關鍵詞 網絡安全 計算機網絡 防火墻
1 網絡安全及其現狀
1.1 網絡安全的概念
國際標準化組織(ISO)將“計算機安全”定義為:“為數據處理系統建立和采取的技術和管理的安全保護,保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內容,其邏輯安全的內容可理解為我們常說的信息安全,是指對信息的保密性、完整性和可用性的保護,而網絡安全性的含義是信息安全的引申,即網絡安全是對網絡信息保密性、完整性和可用性的保護。
1.2 網絡安全的現狀
目前歐州各國的小型企業每年因計算機病毒導致的經濟損失高達220億歐元,而這些病毒主要是通過電子郵件進行傳播的。據反病毒廠商趨勢公司稱,像Sobig、Slammer等網絡病毒和蠕蟲造成的網絡大塞車,去年就給企業造成了550億美元的損失。而包括從身份竊賊到間諜在內的其他網絡危險造成的損失則很難量化,網絡安全問題帶來的損失由此可見一斑。
2 網絡安全的主要技術
安全是網絡賴以生存的保障,只有安全得到保障,網絡才能實現自身的價值。網絡安全技術隨著人們網絡實踐的發展而發展,其涉及的技術面非常廣,主要的技術如認證、加密、防火墻及入侵檢測是網絡安全的重要防線。
2.1 認證
對合法用戶進行認證可以防止非法用戶獲得對公司信息系統的訪問,使用認證機制還可以防止合法用戶訪問他們無權查看的信息。現列舉幾種如下:
2.1.1 身份認證
當系統的用戶要訪問系統資源時要求確認是否是合法的用戶,這就是身份認證。常采用用戶名和口令等最簡易方法進行用戶身份的認證識別。
2.1.2 報文認證
主要是通信雙方對通信的內容進行驗證,以保證報文由確認的發送方產生、報文傳到了要發給的接受方、傳送中報文沒被修改過。
2.1.3 訪問授權
主要是確認用戶對某資源的訪問權限。
2.1.4 數字簽名
數字簽名是一種使用加密認證電子信息的方法,其安全性和有用性主要取決于用戶私匙的保護和安全的哈希函數。數字簽名技術是基于加密技術的,可用對稱加密算法、非對稱加密算法或混合加密算法來實現。
2.2 數據加密
加密就是通過一種方式使信息變得混亂,從而使未被授權的人看不懂它。主要存在兩種主要的加密類型:私匙加密和公匙加密。
2.2.1 私匙加密
私匙加密又稱對稱密匙加密,因為用來加密信息的密匙就是解密信息所使用的密匙。私匙加密為信息提供了進一步的緊密性,它不提供認證,因為使用該密匙的任何人都可以創建、加密和平共處送一條有效的消息。這種加密方法的優點是速度很快,很容易在硬件和軟件件中實現。
2.2.2 公匙加密
公匙加密比私匙加密出現得晚,私匙加密使用同一個密匙加密和解密,而公匙加密使用兩個密匙,一個用于加密信息,另一個用于解密信息。公匙加密系統的缺點是它們通常是計算密集的,因而比私匙加密系統的速度慢得多,不過若將兩者結合起來,就可以得到一個更復雜的系統。
2.3 防火墻技術
防火墻是網絡訪問控制設備,用于拒絕除了明確允許通過之外的所有通信數據,它不同于只會確定網絡信息傳輸方向的簡單路由器,而是在網絡傳輸通過相關的訪問站點時對其實施一整套訪問策略的一個或一組系統。大多數防火墻都采用幾種功能相結合的形式來保護自己的網絡不受惡意傳輸的攻擊,其中最流行的技術有靜態分組過濾、動態分組過濾、狀態過濾和代理服務器技術,它們的安全級別依次升高,但具體實踐中既要考慮體系的性價比,又要考慮安全兼顧網絡連接能力。此外,現今良好的防火墻還采用了VPN、檢視和入侵檢測技術。
防火墻的安全控制主要是基于IP地址的,難以為用戶在防火墻內外提供一致的安全策略;而且防火墻只實現了粗粒度的訪問控制,也不能與企業內部使用的其他安全機制(如訪問控制)集成使用;另外,防火墻難于管理和配置,由多個系統(路由器、過濾器、代理服務器、網關、保壘主機)組成的防火墻,管理上難免有所疏忽。
2.4 入侵檢測系統
入侵檢測技術是網絡安全研究的一個熱點,是一種積極主動的安全防護技術,提供了對內部入侵、外部入侵和誤操作的實時保護,在網絡系統受到危害之前攔截相應入侵。隨著時代的發展,入侵檢測技術將朝著三個方向發展:分布式入侵檢測、智能化入侵檢測和全面的安全防御方案。
入侵檢測系統(Instusion Detection System, 簡稱IDS)是進行入侵檢測的軟件與硬件的組合,其主要功能是檢測,除此之外還有檢測部分阻止不了的入侵;檢測入侵的前兆,從而加以處理,如阻止、封閉等;入侵事件的歸檔,從而提供法律依據;網絡遭受威脅程度的評估和入侵事件的恢復等功能。
2.5 虛擬專用網(VPN)技術
VPN是目前解決信息安全問題的一個最新、最成功的技術課題之一,所謂虛擬專用網(VPN)技術就是在公共網絡上建立專用網絡,使數據通過安全的“加密管道”在公共網絡中傳播。用以在公共通信網絡上構建VPN有兩種主流的機制,這兩種機制為路由過濾技術和隧道技術。目前VPN主要采用了如下四項技術來保障安全:隧道技術(Tunneling)、加解密技術(Encryption & Decryption)、密匙管理技術(Key Management)和使用者與設備身份認證技術(Authentication)。其中幾種流行的隧道技術分別為PPTP、L2TP和Ipsec。VPN隧道機制應能技術不同層次的安全服務,這些安全服務包括不同強度的源鑒別、數據加密和數據完整性等。VPN也有幾種分類方法,如按接入方式分成專線VPN和撥號VPN;按隧道協議可分為第二層和第三層的;按發起方式可分成客戶發起的和服務器發起的。
2.6 其他網絡安全技術
(1)智能卡技術,智能卡技術和加密技術相近,其實智能卡就是密匙的一種媒體,由授權用戶持有并由該用戶賦與它一個口令或密碼字,該密碼字與內部網絡服務器上注冊的密碼一致。智能卡技術一般與身份驗證聯合使用。
(2)安全脆弱性掃描技術,它為能針對網絡分析系統當前的設置和防御手段,指出系統存在或潛在的安全漏洞,以改進系統對網絡入侵的防御能力的一種安全技術。
(3)網絡數據存儲、備份及容災規劃,它是當系統或設備不幸遇到災難后就可以迅速地恢復數據,使整個系統在最短的時間內重新投入正常運行的一種安全技術方案。
其他網絡安全技術還有我們較熟悉的各種網絡防殺病毒技術等等。
3 網絡安全問題的由來
網絡設計之初僅考慮到信息交流的便利和開放,而對于保障信息安全方面的規劃則非常有限,這樣,伴隨計算機與通信技術的迅猛發展,網絡攻擊與防御技術循環遞升,原來網絡固有優越性的開放性和互聯性變成信息的安全性隱患之便利橋梁。網絡安全已變成越來越棘手的問題,只要是接入到因特網中的主機都有可能被攻擊或入侵了,而遭受安全問題的困擾。
目前所運用的TCP/IP協議在設計時,對安全問題的忽視造成網絡自身的一些特點,而所有的應用安全協議都架設在TCP/IP之上,TCP/IP協議本身的安全問題,極大地影響了上層應用的安全。網絡的普及和應用還是近10年的事,而操作系統的產生和應用要遠早于此,故而操作系統、軟件系統的不完善性也造成安全漏洞;在安全體系結構的設計和實現方面,即使再完美的體系結構,也可能一個小小的編程缺陷,帶來巨大的安全隱患;而且,安全體系中的各種構件間缺乏緊密的通信和合作,容易導致整個系統被各個擊破。
4 網絡安全問題對策的思考
網絡安全建設是一個系統工程、是一個社會工程,網絡安全問題的對策可從下面4個方面著手。
網絡安全的保障從技術角度看。首先,要樹立正確的思想準備。網絡安全的特性決定了這是一個不斷變化、快速更新的領域,況且我國在信息安全領域技術方面和國外發達國家還有較大的差距,這都意味著技術上的“持久戰”,也意味著人們對于網絡安全領域的投資是長期的行為。其次,建立高素質的人才隊伍。目前在我國,網絡信息安全存在的突出問題是人才稀缺、人才流失,尤其是拔尖人才,同時網絡安全人才培養方面的投入還有較大缺欠。最后,在具體完成網絡安全保障的需求時,要根據實際情況,結合各種要求(如性價比等),需要多種技術的合理綜合運用。
網絡安全的保障從管理角度看。考察一個內部網是否安全,不僅要看其技術手段,而更重要的是看對該網絡所采取的綜合措施,不光看重物理的防范因素,更要看重人員的素質等“軟”因素,這主要是重在管理,“安全源于管理,向管理要安全”。再好的技術、設備,而沒有高質量的管理,也只是一堆廢鐵。
網絡安全的保障從組織體系角度看。要盡快建立完善的網絡安全組織體系,明確各級的責任。建立科學的認證認可組織管理體系、技術體系的組織體系,和認證認可各級結構,保證信息安全技術、信息安全工程、信息安全產品,信息安全管理工作的組織體系。
最后,在盡快加強網絡立法和執法力度的同時,不斷提高全民的文明道德水準,倡導健康的“網絡道德”,增強每個網絡用戶的安全意識,只有這樣才能從根本上解決網絡安全問題。
參考文獻
1 張千里,陳光英.網絡安全新技術[M].北京:人民郵電出版社,2003
2 高永強,郭世澤.網絡安全技術與應用大典[M].北京:人民郵電出版社,2003
3 周國民. 入侵檢測系統評價與技術發展研究[J].現代電子技術,2004(12)
4 耿麥香.網絡入侵檢測技術研究綜述[J],網絡安全,2004(6)
關鍵詞 網絡安全 計算機網絡 防火墻
1 網絡安全及其現狀
1.1 網絡安全的概念
國際標準化組織(ISO)將“計算機安全”定義為:“為數據處理系統建立和采取的技術和管理的安全保護,保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內容,其邏輯安全的內容可理解為我們常說的信息安全,是指對信息的保密性、完整性和可用性的保護,而網絡安全性的含義是信息安全的引申,即網絡安全是對網絡信息保密性、完整性和可用性的保護。
1.2 網絡安全的現狀
目前歐州各國的小型企業每年因計算機病毒導致的經濟損失高達220億歐元,而這些病毒主要是通過電子郵件進行傳播的。據反病毒廠商趨勢公司稱,像Sobig、Slammer等網絡病毒和蠕蟲造成的網絡大塞車,去年就給企業造成了550億美元的損失。而包括從身份竊賊到間諜在內的其他網絡危險造成的損失則很難量化,網絡安全問題帶來的損失由此可見一斑。
2 網絡安全的主要技術
安全是網絡賴以生存的保障,只有安全得到保障,網絡才能實現自身的價值。網絡安全技術隨著人們網絡實踐的發展而發展,其涉及的技術面非常廣,主要的技術如認證、加密、防火墻及入侵檢測是網絡安全的重要防線。
2.1 認證
對合法用戶進行認證可以防止非法用戶獲得對公司信息系統的訪問,使用認證機制還可以防止合法用戶訪問他們無權查看的信息。現列舉幾種如下:
2.1.1 身份認證
當系統的用戶要訪問系統資源時要求確認是否是合法的用戶,這就是身份認證。常采用用戶名和口令等最簡易方法進行用戶身份的認證識別。
2.1.2 報文認證
主要是通信雙方對通信的內容進行驗證,以保證報文由確認的發送方產生、報文傳到了要發給的接受方、傳送中報文沒被修改過。
2.1.3 訪問授權
主要是確認用戶對某資源的訪問權限。
2.1.4 數字簽名
數字簽名是一種使用加密認證電子信息的方法,其安全性和有用性主要取決于用戶私匙的保護和安全的哈希函數。數字簽名技術是基于加密技術的,可用對稱加密算法、非對稱加密算法或混合加密算法來實現。
2.2 數據加密
加密就是通過一種方式使信息變得混亂,從而使未被授權的人看不懂它。主要存在兩種主要的加密類型:私匙加密和公匙加密。
2.2.1 私匙加密
私匙加密又稱對稱密匙加密,因為用來加密信息的密匙就是解密信息所使用的密匙。私匙加密為信息提供了進一步的緊密性,它不提供認證,因為使用該密匙的任何人都可以創建、加密和平共處送一條有效的消息。這種加密方法的優點是速度很快,很容易在硬件和軟件件中實現。
2.2.2 公匙加密
公匙加密比私匙加密出現得晚,私匙加密使用同一個密匙加密和解密,而公匙加密使用兩個密匙,一個用于加密信息,另一個用于解密信息。公匙加密系統的缺點是它們通常是計算密集的,因而比私匙加密系統的速度慢得多,不過若將兩者結合起來,就可以得到一個更復雜的系統。
2.3 防火墻技術
防火墻是網絡訪問控制設備,用于拒絕除了明確允許通過之外的所有通信數據,它不同于只會確定網絡信息傳輸方向的簡單路由器,而是在網絡傳輸通過相關的訪問站點時對其實施一整套訪問策略的一個或一組系統。大多數防火墻都采用幾種功能相結合的形式來保護自己的網絡不受惡意傳輸的攻擊,其中最流行的技術有靜態分組過濾、動態分組過濾、狀態過濾和代理服務器技術,它們的安全級別依次升高,但具體實踐中既要考慮體系的性價比,又要考慮安全兼顧網絡連接能力。此外,現今良好的防火墻還采用了VPN、檢視和入侵檢測技術。
防火墻的安全控制主要是基于IP地址的,難以為用戶在防火墻內外提供一致的安全策略;而且防火墻只實現了粗粒度的訪問控制,也不能與企業內部使用的其他安全機制(如訪問控制)集成使用;另外,防火墻難于管理和配置,由多個系統(路由器、過濾器、代理服務器、網關、保壘主機)組成的防火墻,管理上難免有所疏忽。
2.4 入侵檢測系統
入侵檢測技術是網絡安全研究的一個熱點,是一種積極主動的安全防護技術,提供了對內部入侵、外部入侵和誤操作的實時保護,在網絡系統受到危害之前攔截相應入侵。隨著時代的發展,入侵檢測技術將朝著三個方向發展:分布式入侵檢測、智能化入侵檢測和全面的安全防御方案。
入侵檢測系統(Instusion Detection System, 簡稱IDS)是進行入侵檢測的軟件與硬件的組合,其主要功能是檢測,除此之外還有檢測部分阻止不了的入侵;檢測入侵的前兆,從而加以處理,如阻止、封閉等;入侵事件的歸檔,從而提供法律依據;網絡遭受威脅程度的評估和入侵事件的恢復等功能。
2.5 虛擬專用網(VPN)技術
VPN是目前解決信息安全問題的一個最新、最成功的技術課題之一,所謂虛擬專用網(VPN)技術就是在公共網絡上建立專用網絡,使數據通過安全的“加密管道”在公共網絡中傳播。用以在公共通信網絡上構建VPN有兩種主流的機制,這兩種機制為路由過濾技術和隧道技術。目前VPN主要采用了如下四項技術來保障安全:隧道技術(Tunneling)、加解密技術(Encryption & Decryption)、密匙管理技術(Key Management)和使用者與設備身份認證技術(Authentication)。其中幾種流行的隧道技術分別為PPTP、L2TP和Ipsec。VPN隧道機制應能技術不同層次的安全服務,這些安全服務包括不同強度的源鑒別、數據加密和數據完整性等。VPN也有幾種分類方法,如按接入方式分成專線VPN和撥號VPN;按隧道協議可分為第二層和第三層的;按發起方式可分成客戶發起的和服務器發起的。
2.6 其他網絡安全技術
(1)智能卡技術,智能卡技術和加密技術相近,其實智能卡就是密匙的一種媒體,由授權用戶持有并由該用戶賦與它一個口令或密碼字,該密碼字與內部網絡服務器上注冊的密碼一致。智能卡技術一般與身份驗證聯合使用。
(2)安全脆弱性掃描技術,它為能針對網絡分析系統當前的設置和防御手段,指出系統存在或潛在的安全漏洞,以改進系統對網絡入侵的防御能力的一種安全技術。
(3)網絡數據存儲、備份及容災規劃,它是當系統或設備不幸遇到災難后就可以迅速地恢復數據,使整個系統在最短的時間內重新投入正常運行的一種安全技術方案。
其他網絡安全技術還有我們較熟悉的各種網絡防殺病毒技術等等。
3 網絡安全問題的由來
網絡設計之初僅考慮到信息交流的便利和開放,而對于保障信息安全方面的規劃則非常有限,這樣,伴隨計算機與通信技術的迅猛發展,網絡攻擊與防御技術循環遞升,原來網絡固有優越性的開放性和互聯性變成信息的安全性隱患之便利橋梁。網絡安全已變成越來越棘手的問題,只要是接入到因特網中的主機都有可能被攻擊或入侵了,而遭受安全問題的困擾。
目前所運用的TCP/IP協議在設計時,對安全問題的忽視造成網絡自身的一些特點,而所有的應用安全協議都架設在TCP/IP之上,TCP/IP協議本身的安全問題,極大地影響了上層應用的安全。網絡的普及和應用還是近10年的事,而操作系統的產生和應用要遠早于此,故而操作系統、軟件系統的不完善性也造成安全漏洞;在安全體系結構的設計和實現方面,即使再完美的體系結構,也可能一個小小的編程缺陷,帶來巨大的安全隱患;而且,安全體系中的各種構件間缺乏緊密的通信和合作,容易導致整個系統被各個擊破。
4 網絡安全問題對策的思考
網絡安全建設是一個系統工程、是一個社會工程,網絡安全問題的對策可從下面4個方面著手。
網絡安全的保障從技術角度看。首先,要樹立正確的思想準備。網絡安全的特性決定了這是一個不斷變化、快速更新的領域,況且我國在信息安全領域技術方面和國外發達國家還有較大的差距,這都意味著技術上的“持久戰”,也意味著人們對于網絡安全領域的投資是長期的行為。其次,建立高素質的人才隊伍。目前在我國,網絡信息安全存在的突出問題是人才稀缺、人才流失,尤其是拔尖人才,同時網絡安全人才培養方面的投入還有較大缺欠。最后,在具體完成網絡安全保障的需求時,要根據實際情況,結合各種要求(如性價比等),需要多種技術的合理綜合運用。
網絡安全的保障從管理角度看。考察一個內部網是否安全,不僅要看其技術手段,而更重要的是看對該網絡所采取的綜合措施,不光看重物理的防范因素,更要看重人員的素質等“軟”因素,這主要是重在管理,“安全源于管理,向管理要安全”。再好的技術、設備,而沒有高質量的管理,也只是一堆廢鐵。
網絡安全的保障從組織體系角度看。要盡快建立完善的網絡安全組織體系,明確各級的責任。建立科學的認證認可組織管理體系、技術體系的組織體系,和認證認可各級結構,保證信息安全技術、信息安全工程、信息安全產品,信息安全管理工作的組織體系。
最后,在盡快加強網絡立法和執法力度的同時,不斷提高全民的文明道德水準,倡導健康的“網絡道德”,增強每個網絡用戶的安全意識,只有這樣才能從根本上解決網絡安全問題。
參考文獻
1 張千里,陳光英.網絡安全新技術[M].北京:人民郵電出版社,2003
2 高永強,郭世澤.網絡安全技術與應用大典[M].北京:人民郵電出版社,2003
3 周國民. 入侵檢測系統評價與技術發展研究[J].現代電子技術,2004(12)
4 耿麥香.網絡入侵檢測技術研究綜述[J],網絡安全,2004(6)
關鍵字:通訊,北京
下一篇:Delphi綜述
