论文部分内容阅读
摘要:计算机网络技术进入21世纪得到了快速发展。在政治、军事、商业等许多领域运用广泛,随之而来的是计算机网络安全问题日益突出。因此, 如何确保信息的安全就成为了一个重要课题, 网络的安全性也成为了人们重点研究的领域。该文探讨了网络安全存在的主要威胁以及几种目前主要网络安全技术, 并提出了实现网络安全的相应对策。
关键词:网络安全; 防火墙; 入侵检测; VPN
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)30-0042-03
Network Security Situation Analysis
ZHENG zhao-peng;ZHANG Xiang-fu;YANG Jia-yue;LIU Jian-hui;HUANG Qing-lu
(The Chinese People’s Liberation Army Military Region of Fujian Province,Fuzhou 350001, China)
Abstract: The computer network technology has enjoyed a rapid development in the 21st century. With the extensive application of this technology in the politics, military, commerce and other fields, the security issues of computer network information have become increasingly prominent. Therefore, how to guarantee the security of the network has become an important issue to talk. And also, the security of the network has become a significant domain for people to research. In this thesis, some main threats of network security and some security technologies will be discussed. Besides, several solutions will be proposed as well.
Key words:network security; firewall; intrusion detection; VPN
1 引言
網络设计最初只考虑信息交流的开放性与便捷性,并未对信息的安全问题进行规划,随着通信技术和计算机技术的快速发展,网络安全技术与网络攻击手段两者在“攻防”过程中交替提升。随着网络信息安全问题的日益加剧,网络安全成为了网络中的一项棘手问题,连接到互联网中的计算机随时都有可能遭受到各种网络攻击,从而引发各类安全问题[1]。
2 网络安全现状
2.1 网络安全的概念
ISO(国家标准化组织)将“网络安全”定义为: “网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断”。网络安全包括逻辑安全和物理安全两方面,逻辑安全是指我们在日常生活中所提到的信息安全问题,在具体处理过程中需要做好相应的保护,确保信息的完整性、保密性、可靠性。物理安全是指计算机的软件、硬件、数据都能够得到全面保护,不会因为蓄意或者偶然情况而遭到外界因素的破坏、泄漏、篡改,从而确保计算机系统持续稳定运行。
2.2 网络安全面临的威胁
(1)黑客攻击
计算机的快速发展,“培养”了大批的黑客,并且出现了大量的黑客网站,据不完全统计,目前世界上的黑客网站已经超过20万个,这些网站主要介绍系统存在的一些漏洞,以及一些攻击软件的使用方法,这使站点和系统在运行过程中容易遭受攻击。尤其是在现阶段,还缺少有效的跟踪手段对网络犯罪进行抓捕,致使部分黑客在对网络进行攻击后还能“全身而退”,黑客攻击是目前对网络安全的最大威胁。报统计,从2015年1月到12月,共有各类网站安全漏洞37943个,涉及网站26370个。其中高危漏洞占比就达70%[2]。
(2)管理欠缺
用户、企业、机构在应用网络系统过程中,要想少受攻击,不受攻击,就必要加强对网络系统的严格管理。而从实际情况来看,许多用户、企业、机构都疏忽了对系统或网站的管理。相关统计结果显示,在美国超过90%以上的IT企业在正常运营过程中都没有针对有可能遭受的黑客攻击进行的准备工作,而且超过75%的网站在运行过程中一旦遭遇黑客攻击,将会处于瘫痪状态,企业网上的各种信息都会在黑客的攻击下丢失,这将会导致企业遭受巨大的经济损失。
(3)网络缺陷
互联网信息开放性和共享性导致网上信息的安全性较差,而在TCP / IP协议族中缺少安全机制,在最初设计互联网时,不会因为局部出现故障,而终止信息传递,对安全问题的考虑基本为零,因此,设计TCP / IP协议族最初就存在安全隐患。
2.3 软件漏洞或“后门”[3][4]
计算机技术的快速发展,使软件系统规模得到了进一步扩大,这必然导致系统中存在漏洞或“后门”的情况。例如,我们常用的UNIX或者Windows操作系统,虽然系统已经比较成熟,但是还是会存在安全漏洞,众多的软件、浏览器、服务器等在长期的使用过程中都被发现了存在漏洞。因此利用软件的漏洞攻击也是网络安全的主要威胁之一。 3 网络安全的主要技术
3.1 认证服务
目前常用的认证方式有以下两种:第一种单方认证,对一方的标识进行检查。第二种相互认证,通信双方对对方的身份进行相互检查。从认证情形上划分,又可将认证分为数据起源认证和实体认证。在具体认证过程中,通过对合法用户的认证,可以有效避免非法用户对内部信息的访问与盗取,同时通过对认证机制的应用,还可以有效的避免合法用户查看其无权访问的信息,主要包括以下几种方式:
(1)身份认证
用户请求对系统资源提出访问请求时,需要对用户的合法身份进行访问,这也就是人们常说的身份认证。目前,在身份认证上常用的方式为用户名和密码,该方式是一种较为简单的认证识别,但可以有效地阻止不具有权限的人对系统资源的非法访问。
(2)报文认证
报文认证主要通过验证通信内容,从而确保报文能够依据正确的方式进行发送,报文通过正确的方式传递给接收方,并且在传递过程中不会被非法修改。
(3)访问授权
根据在各种预定义的组中用户的身份标识及其成员身份来限制访问某些信息项或某些控制的机制,并且通常通过向用户和组授予访问特定对象的权限来实现。
(4)数字签名
数字签名是一种使用加密认证信息的方法, 其安全性和有用性主要取决于用户私匙的保护和安全的函数。数字签名技术是基于加密技术的基础上发展而来的, 主要有ElGamal、Fiat-Shamir、Guillou- Quisquarter、Schnorr、Ong-Schnorr-Shamir、Des/DSA,椭圆曲线数字签名算法和有限自动机数字签名算法等。
3.2 数据加密
加密就是通过一种方式使信息转化成伪代码, 从而使未被授权的人理解不了其中的信息。主要存在两种主要的加密类型: 私匙加密和公匙加密。
(1)私匙加密
私匙加密又称对称密匙加密, 因为用来加密信息的密匙就是解密信息所使用的密匙。私匙加密为信息提供了进一步的紧密性, 它不提供认证。这种加密方法的优点是速度很快, 很容易在硬件和软件中实现。
(2)公匙加密
公匙加密使用两个密匙, 一个用于加密信息, 另一个用于解密信息。公匙加密系统存在计算密集的缺点, 因而比私匙加密系统的速度慢得多, 不过若将两者结合起来, 就可以得到一个更复杂的系统。
以非对称加密为例,其加密过程如下:明文——加密(公开钥匙)——密文——解密(秘密钥匙)——明文。非对称加密的代表性算法有:背包算法:D-H、RSA算法等。
3.3 防火墙技术[5][6]
防火墙是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合,使Internet与Internet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入的一项技术手段。主要包括以下几种类型的防火墙技术:
(1)包过滤型
该类型的产品是防火墙中最初级的一种,包过滤技术在具体应用中体现出的主要优点就是简单实用,并且具有不错的经济效益。如果将该技术应用简单的环境中,可以通过较小的代价,确保系统运行的安全性和可靠性。
(2)网络地址转化—— NAT
该方式是对IP地址进行处理,使IP地址发生转变,这一转变过程对于用户来说是透明的,自动的,用户不需要自行设置,只需要通过常规操作便可实现。
(3)代理型
代理型防火墙位于客户和服务器两者之间,可以有效地阻挡客户与服务器发生的交流。该类型的防火墙在具体应用中的主要优点是其安全性较高,并且能够对不同的应用层进行扫面与侦测,对防止病毒的入侵起到的效果十分明显,但是其也存在明显的缺点,即会影响系统的整体性,并且会使系统管理变得复杂。
3.4 入侵检测系统[7][8]
入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处在于,IDS是一种积极主动的安全防护技术。入侵检测技术未来的发展趋势主要有分布式入侵检测、智能化入侵检测和全面的安全防御三个方向。
3.5 虚拟专用网技术(VPN)
VPN是解决信息安全问题的一项成功技术课题,VPN技术就是将专用网络搭建在公共网络上,通过“加密通道”使数据能够在公共网络中传播。VPN的构建目前有两种机制,这两种机制分别为隧道技术和路由过滤技术。现阶段,VPN在保障安全上主要通过隧道技术(Tunneling)、加解密技术(Encrypt ion
关键词:网络安全; 防火墙; 入侵检测; VPN
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)30-0042-03
Network Security Situation Analysis
ZHENG zhao-peng;ZHANG Xiang-fu;YANG Jia-yue;LIU Jian-hui;HUANG Qing-lu
(The Chinese People’s Liberation Army Military Region of Fujian Province,Fuzhou 350001, China)
Abstract: The computer network technology has enjoyed a rapid development in the 21st century. With the extensive application of this technology in the politics, military, commerce and other fields, the security issues of computer network information have become increasingly prominent. Therefore, how to guarantee the security of the network has become an important issue to talk. And also, the security of the network has become a significant domain for people to research. In this thesis, some main threats of network security and some security technologies will be discussed. Besides, several solutions will be proposed as well.
Key words:network security; firewall; intrusion detection; VPN
1 引言
網络设计最初只考虑信息交流的开放性与便捷性,并未对信息的安全问题进行规划,随着通信技术和计算机技术的快速发展,网络安全技术与网络攻击手段两者在“攻防”过程中交替提升。随着网络信息安全问题的日益加剧,网络安全成为了网络中的一项棘手问题,连接到互联网中的计算机随时都有可能遭受到各种网络攻击,从而引发各类安全问题[1]。
2 网络安全现状
2.1 网络安全的概念
ISO(国家标准化组织)将“网络安全”定义为: “网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断”。网络安全包括逻辑安全和物理安全两方面,逻辑安全是指我们在日常生活中所提到的信息安全问题,在具体处理过程中需要做好相应的保护,确保信息的完整性、保密性、可靠性。物理安全是指计算机的软件、硬件、数据都能够得到全面保护,不会因为蓄意或者偶然情况而遭到外界因素的破坏、泄漏、篡改,从而确保计算机系统持续稳定运行。
2.2 网络安全面临的威胁
(1)黑客攻击
计算机的快速发展,“培养”了大批的黑客,并且出现了大量的黑客网站,据不完全统计,目前世界上的黑客网站已经超过20万个,这些网站主要介绍系统存在的一些漏洞,以及一些攻击软件的使用方法,这使站点和系统在运行过程中容易遭受攻击。尤其是在现阶段,还缺少有效的跟踪手段对网络犯罪进行抓捕,致使部分黑客在对网络进行攻击后还能“全身而退”,黑客攻击是目前对网络安全的最大威胁。报统计,从2015年1月到12月,共有各类网站安全漏洞37943个,涉及网站26370个。其中高危漏洞占比就达70%[2]。
(2)管理欠缺
用户、企业、机构在应用网络系统过程中,要想少受攻击,不受攻击,就必要加强对网络系统的严格管理。而从实际情况来看,许多用户、企业、机构都疏忽了对系统或网站的管理。相关统计结果显示,在美国超过90%以上的IT企业在正常运营过程中都没有针对有可能遭受的黑客攻击进行的准备工作,而且超过75%的网站在运行过程中一旦遭遇黑客攻击,将会处于瘫痪状态,企业网上的各种信息都会在黑客的攻击下丢失,这将会导致企业遭受巨大的经济损失。
(3)网络缺陷
互联网信息开放性和共享性导致网上信息的安全性较差,而在TCP / IP协议族中缺少安全机制,在最初设计互联网时,不会因为局部出现故障,而终止信息传递,对安全问题的考虑基本为零,因此,设计TCP / IP协议族最初就存在安全隐患。
2.3 软件漏洞或“后门”[3][4]
计算机技术的快速发展,使软件系统规模得到了进一步扩大,这必然导致系统中存在漏洞或“后门”的情况。例如,我们常用的UNIX或者Windows操作系统,虽然系统已经比较成熟,但是还是会存在安全漏洞,众多的软件、浏览器、服务器等在长期的使用过程中都被发现了存在漏洞。因此利用软件的漏洞攻击也是网络安全的主要威胁之一。 3 网络安全的主要技术
3.1 认证服务
目前常用的认证方式有以下两种:第一种单方认证,对一方的标识进行检查。第二种相互认证,通信双方对对方的身份进行相互检查。从认证情形上划分,又可将认证分为数据起源认证和实体认证。在具体认证过程中,通过对合法用户的认证,可以有效避免非法用户对内部信息的访问与盗取,同时通过对认证机制的应用,还可以有效的避免合法用户查看其无权访问的信息,主要包括以下几种方式:
(1)身份认证
用户请求对系统资源提出访问请求时,需要对用户的合法身份进行访问,这也就是人们常说的身份认证。目前,在身份认证上常用的方式为用户名和密码,该方式是一种较为简单的认证识别,但可以有效地阻止不具有权限的人对系统资源的非法访问。
(2)报文认证
报文认证主要通过验证通信内容,从而确保报文能够依据正确的方式进行发送,报文通过正确的方式传递给接收方,并且在传递过程中不会被非法修改。
(3)访问授权
根据在各种预定义的组中用户的身份标识及其成员身份来限制访问某些信息项或某些控制的机制,并且通常通过向用户和组授予访问特定对象的权限来实现。
(4)数字签名
数字签名是一种使用加密认证信息的方法, 其安全性和有用性主要取决于用户私匙的保护和安全的函数。数字签名技术是基于加密技术的基础上发展而来的, 主要有ElGamal、Fiat-Shamir、Guillou- Quisquarter、Schnorr、Ong-Schnorr-Shamir、Des/DSA,椭圆曲线数字签名算法和有限自动机数字签名算法等。
3.2 数据加密
加密就是通过一种方式使信息转化成伪代码, 从而使未被授权的人理解不了其中的信息。主要存在两种主要的加密类型: 私匙加密和公匙加密。
(1)私匙加密
私匙加密又称对称密匙加密, 因为用来加密信息的密匙就是解密信息所使用的密匙。私匙加密为信息提供了进一步的紧密性, 它不提供认证。这种加密方法的优点是速度很快, 很容易在硬件和软件中实现。
(2)公匙加密
公匙加密使用两个密匙, 一个用于加密信息, 另一个用于解密信息。公匙加密系统存在计算密集的缺点, 因而比私匙加密系统的速度慢得多, 不过若将两者结合起来, 就可以得到一个更复杂的系统。
以非对称加密为例,其加密过程如下:明文——加密(公开钥匙)——密文——解密(秘密钥匙)——明文。非对称加密的代表性算法有:背包算法:D-H、RSA算法等。
3.3 防火墙技术[5][6]
防火墙是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合,使Internet与Internet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入的一项技术手段。主要包括以下几种类型的防火墙技术:
(1)包过滤型
该类型的产品是防火墙中最初级的一种,包过滤技术在具体应用中体现出的主要优点就是简单实用,并且具有不错的经济效益。如果将该技术应用简单的环境中,可以通过较小的代价,确保系统运行的安全性和可靠性。
(2)网络地址转化—— NAT
该方式是对IP地址进行处理,使IP地址发生转变,这一转变过程对于用户来说是透明的,自动的,用户不需要自行设置,只需要通过常规操作便可实现。
(3)代理型
代理型防火墙位于客户和服务器两者之间,可以有效地阻挡客户与服务器发生的交流。该类型的防火墙在具体应用中的主要优点是其安全性较高,并且能够对不同的应用层进行扫面与侦测,对防止病毒的入侵起到的效果十分明显,但是其也存在明显的缺点,即会影响系统的整体性,并且会使系统管理变得复杂。
3.4 入侵检测系统[7][8]
入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处在于,IDS是一种积极主动的安全防护技术。入侵检测技术未来的发展趋势主要有分布式入侵检测、智能化入侵检测和全面的安全防御三个方向。
3.5 虚拟专用网技术(VPN)
VPN是解决信息安全问题的一项成功技术课题,VPN技术就是将专用网络搭建在公共网络上,通过“加密通道”使数据能够在公共网络中传播。VPN的构建目前有两种机制,这两种机制分别为隧道技术和路由过滤技术。现阶段,VPN在保障安全上主要通过隧道技术(Tunneling)、加解密技术(Encrypt ion