计算机网络信息安全防护
来源:用户上传
作者: 黄宏伟 赵成芳
[摘要] 本文介绍了网络信息安全的概念和常见的四种安全隐患,从四个层面探讨了多种信息安全新技术,并简要叙述了安全技术的具体应用。
[关键词] 网络安全 信息安全 访问控制 身份认证
伴随着我国国民经济信息化进程的推进和信息技术的普及,各种网络信息系统已成为国家的基础设施,支撑着电子政务、电子商务、电子金融、科学研究、网络教育和社会保障等方方面面。由于网络具有的开放性和共享性,人们在利用互联网获取信息的同时,其安全问题也日益突出。据统计,美国每年因为网络安全造成的经济损失超过170亿美元,在全球平均每20秒钟就发生一次网上入侵事件。2000年的“2月黑客事件”中,世界著名的雅虎、亚马逊、微软等网络遭黑客攻击而几乎全面瘫痪,直接经济损失高达数十亿美元。这些例子说明网络信息安全已威胁到一个国家的政治、经济、军事、文化、意识形态等领域。因此,有必要对网络环境下信息存在的安全隐患及防护做深入的研究和探讨。
一、网络信息安全中常见的隐患
网络信息安全中常见的隐患有恶意攻击、窃取机密攻击、计算机病毒、非法访问等四种。
恶意攻击主要包括缓冲溢出攻击、拒绝服务攻击(Denial of Service,DoS)、分布式拒绝服务攻击(Distributed Denial of Serivice,DDoS)、硬件设备破坏型攻击、网页篡改攻击等。
窃取机密攻击是指未经授权的攻击者(黑客)非法访问网络、窃取信息。常见的形式有网络踩点、协议栈指纹鉴别、信息流监视、会话劫持等。
计算机病毒是指为了某种目的而蓄意编制的计算机程序,它能在实际系统中生存、自我复制和传播,并且给计算机系统造成严重的损坏。
非法访问包括口令破解、IP欺骗、特洛伊木马等。
二、网络信息安全防护技术
网络信息安全是一个非常关键而又复杂的问题,它涉及技术、管理等方面的安全措施和相应的政策法律。在这里仅从技术的角度来研究对信息安全的保护,包括身份认证、访问控制、内容安全、审计和跟踪、响应和恢复几个部分。
1.网络安全的访问控制技术
访问控制的主要任务是采取各种措施保证网络信息系统不被非法使用和访问。一般采用基于资源的集中式控制、基于资源和目的地址的过滤管理以及网络签证等技术来实现。访问控制所包括的典型技术有:防火墙、虚拟专用网(VPN)、授权管理基础设施(PMI)等。
防火墙(firewall)是指设置在不同网络或网络安全域之间的一系列部件的组合,它是不同网络或网络安全域之间信息的惟一出入口。防火墙技术分为网络层与应用层两类,分别是包过滤防火墙与应用层网关。
虚拟专网(VPN)技术是采用密码技术,使用IP隧道封装加密数据,进行信息加密传输,保证信息完整,并结合网络访问控制技术,抵抗各种外来攻击。在IP层实现了认证、数据加密、防止DOS攻击、访问控制以及审计等安全机制,从而使其成为安全可靠的网络信息安全传输工具。
PMI(Privilege Management Infrastructure)是属性机构、属性证书、属性证书注册申请中心、属性库、策略库等部件的集合体,用来实现权限和证书的产生、管理、存储、分发和撤销功能。PMI可以向应用系统提供对实体(人、服务器、程序等)的权限管理和授权服务,实现实体身份到应用权限的映射,提供与实际应用处理模式相应的、与具体应用系统开发和管理无关的授权和访问控制机制,简化具体应用系统的开发与维护。
2.网络安全的身份认证技术
身份认证是对网络中的主体和客体的身份进行验证的过程,所包括的典型技术有:口令认证机制、公开密钥基础设施(PKI)强认证机制、基于生物特征的认证等。
口令认证,是最常用的一种认证方式。通常情况下,用户先输入某种标志信息,然后系统询问用户口令,如果口令相匹配,用户即可进入系统访问。
PKI认证,PKI(Public Key Infrastructure)技术是通过公钥密码体制中用户私钥的机密性来提供用户身份的惟一性验证,并通过数字证书的方式为每个合法用户的公钥提供一个合法性的证明,建立了用户公钥到证书ID号之间的惟一映射关系。PKI的认证是一种强认证机制,综合采用了摘要算法、非对称加密、对称加密、数字签名等技术很好地将安全性和高效性结合起来。这种认证方法目前广泛应用在电子邮件、应用服务器访问、客户端认证、防火墙认证等领域。
基于生物特征的认证,是一项正处于研究开发阶段的技术,常见的有指纹、声音、视网膜或虹膜、手掌几何学等。这种利用个人生理特征进行鉴别的方式具有很高的安全性。
3.网络安全的内容安全技术
内容安全主要是直接保护系统中传输和存储的数据。主要是通过对信息和内容本身进行变形和变换,或者对具体的内容进行检查来实现。内容安全所包括的典型技术有:加密、防病毒、内容过滤等。
加密是信息安全领域的一种基本、实用且非常重要的技术。主要分为对称加密、非对称加密两类。对称加密使用单个密钥对数据进行加密或解密,其特点是计算量小、加密效率高,但是此类算法在分布式系统上使用较为困难,主要是密钥管理困难;非对称加密算法也称公开密钥加密算法,其特点是有两个密钥(即公用密钥和私有密钥),只有二者搭配使用才能完成加密和解密的全过程。由于非对称算法拥有两个密钥,它特别适用于分布式系统中的数据加密,因此在Internet中得到广泛应用。在实际应用中,通常将对称加密和非对称加密结合起来,同时保证了加密的高效性(对称密钥的快速加密)和高强度性(公钥的强加密)。
防病毒,病毒是一种进行自我复制、广泛传播、对计算机及其数据进行严重破坏的程序。由于病毒具有隐蔽性与随机性的特点,使用户防不胜防,因此,防范病毒必须建立多层的网络级病毒防治系统,综合运用预防病毒、检测病毒和杀除病毒技术。
内容过滤,内容过滤就是采取适当的技术措施,对网络上的不良信息进行过滤,既阻止不良信息对人们的侵害,又可以通过规范用户的上网行为,提高工作效率,合理利用网络资源。
4.网络安全的审计和跟踪技术
审计和跟踪这种机制一般情况下并不干涉和直接影响主业务流程,而是通过对主业务进行记录、检查、监控等来完成以审计、完整性等要求为主的安全功能。审计和跟踪所包括的典型技术有:入侵检测系统(IDS)、漏洞扫描系统、安全审计系统等。
IDS,是作为防火墙的合理补充,能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。入侵检测是一种主动保护网络和系统安全的技术,它从计算机系统或网络中采集、分析数据,查看网络或主机系统中是否有违反安全策略的行为和遭到攻击的迹象,并采取适当的响应措施来阻挡攻击,降低可能的损失。它能提供对内部攻击、外部攻击和误操作的保护。入侵检测系统可分为基于主机的入侵检测系统和基于网络的入侵检测系统两类。
漏洞扫描系统,是自动检测网络或主机安全漏洞的技术,通过执行一些脚本文件对系统进行攻击并记录它的反应,从而发现其中的漏洞并采取补救措施。不管攻击者是从外部还是从内部攻击某一网络系统,攻击机会来自已经知道的漏洞。对于系统管理员来说,漏洞扫描系统是最好的助手,它能够主动发现系统的漏洞,及时修补漏洞。漏洞扫描系统分为网络扫描系统、主机扫描系统和数据库扫描系统三种。
安全审计,是对网络或主机的活动轨迹进行记录形成日志,并对日志进行审计,从而发现可疑行为。
响应和恢复,从过程上看,响应和恢复是对异常、故障、事故、入侵等事件发生后做出的反应,但从根本的实现上看,事前的准备才是该技术的关键。一般的数据备份策略有全备份、增量备份和差分备份三种。全备备份系统中所有的数据;增量备份只备份上次备份以后有变化的数据;而差分备份则备份上次完全备份以后有变化的数据。恢复措施在整个备份机制中占有相当重要的地位。恢复操作通常分为全盘恢复、个别文件恢复。
三、总结
网络信息安全是一项复杂的长期性的系统工程。只有融合各种安全技术,构建综合的动态网络来最大化安全防护的效果;同时开展网络信息安全和防范技术教育,从法律法规、管理、技术这三个层次上采取有效措施,加强防范,避免黑客人侵、信息被窃,以保证信息网络的正常运行。
参考文献:
[1]张小斌:黑客分析与防范技术[M].北京:清华大学出版社,1999
[2]周慧:网络的信息安全技术[J].山东:烟台教育学院学报,2003(3)
[3]宋玲吕立坚蒋华:基于PKI实现网络通信安全性的研究[J].计算机工程与应用,2002(13)
[4]卿斯汉:密码学与计算机网络安全[M].北京:清华大学出版社,2001
[5]余晓征谷皓张兴东:构建网络信息安全的综合防护体系[J].广州广播电视大学学报,2004(2)
转载注明来源:https://www.xzbu.com/3/view-1495637.htm