论文部分内容阅读
[摘 要]安全性是互联网技术中很关键的,也是很容易被忽略的问题。曾经,许多组织因为在使用网络的过程中未意识到网络安全性的问题,直到受到了资料安全的威胁才开始重视和采取相应的措施。本文简要介绍了常见的几种计算机网络安全问题,并对身份认证和访问控制以及包过滤与防火墙技术进行了阐述。
[关键词]计算机;网络安全;技术
中图分类号:G623.58 文献标识码:A 文章编号:1009-914X(2014)30-0293-01
一、引言
随着网络的迅速发展,网络的安全性显得非常重要,这是因为怀有恶意的攻击者窃取、修改网络上传输的信息,通过网络非法进入远程主机,获取储存在主机上的机密信息,或占用网络资源,阻止其他用户使用等。然而,网络作为开放的信息系统必然存在众多潜在的安全隐患,因此,网络安全技术作为一个独特的领域,越来越受到全球网络建设者的关注。
二、常见的几种计算机网络安全问题
在网络使用的过程中,涉及的安全问题主要有以下几种:
1.微机病毒微机病毒包括单机病毒、网络病毒。这是病毒传播的常用通道,也是病毒传染的主要手段。
2.问谍软件间谍软件是能够在使用者不知情的情况下,在用户计算机上安装后门程序的软件。用户的隐私数据和重要信息会被那些后门程序捕获,甚至这些后门程序还能让黑客远程操纵用户的计算机。
3.黑客攻击黑客攻击的主要渠道有获取口令、放置特洛伊木马程序、WWW的欺骗技术、电子邮件攻击、通过一个节点来攻击其他节点、网络监听、寻找系统漏洞、利用账号进行攻击、偷取特权等。
4.恶意软件恶意软件主要有广告弹出、间谍软件、浏览器篡改、行为记录软件、恶意共享软件、搜索引擎劫持、恶意卸载和恶意捆绑等。
三、身份认证和访问控制
访问控制的基础是身份认证。对于身份认证而言,不仅需要准确的将对方身份辨认出来,而且需要证明自己身份。但是在单机情况下,一般运用的是最简单的口令,其安全性较差,容易被人假冒;第二,在硬件方面,可以运用专业硬件编码器进行编码,然后将编码送回处理中心,对照结果进行比较,进而辨别出真实身份;第三,根据人们的生理现象,对声音、指纹进行分析辨别,当然这种辨别方法对系统要求较高,操作难度较大。一般情况下,进行网络身份验证,比较复杂,网络认证,面临着网络危险,往往会被黑客袭击,从而盗取信息。因此需要采取必要的手段进行防范,防止黑客截取信息。目前情况下,往往对身份认证信息进行高强度加密,以此来防范身份信息泄露。
系统中信息资源的访问必须进行有序的控制,这是通过授权管理(authorization)来实施的。授权管理的任务是:对系统内的每条信息规定各用户对它的操作权限,如是否可读、是否可写、是否可修改等。对授权管理希望能做到:对所有信息资源进行集中管理,对信息资源的控制没有二义性,各种规定互不冲突;有审计功能,对所有授权有记录可以核查;尽可能地提供细粒度的控制等。
四、常用网络安全技术分析
1.包过滤技术
为了防止网络中任何计算机都可随意访问其他计算机以及所提供的各项服务,需要使用包过滤(packetfiltering)技术。数据包过滤是指在网络层对数据包进行分析、选择和过滤。选择的依据是系统内设置的访问控制表(又叫规则表),规则表指定允许哪些类型的数据包可以流入或流出内部网络。通过检查数据流中每一个IP数据包的源地址、目的地址、所用端口号、协议状态等因素或它们的组合来确定是否允许该数据包通过。包过滤器的任务是对每个IP包头部中的有关字段进行检查,按照网络管理员的配置控制IP包的通行与否。比如,为了控制两个网络的计算机之间的通信,路由器需要检测每个包头部中的source和destination字段。如果不允许外部网络中IP地址为193.6.49.27的计算机访问此网络中的所有计算机,包过滤器必须阻止所有source字段为193.6.49.27的包通过。此外,包过滤器还能检查出包中使用的应用层协议,从而知道该包所传递的数据属于哪一种服务。包过滤器的这种功能使得网络管理员也能够对各种服务进行管理。通常,包过滤器的过滤条件是源地址、目的地址以及各种网络服务的组合,凡是满足过滤条件的包都会被过滤掉。如果将包过滤器用来控制一个单位的内部网与因特网之间的通信,那么它可以保护一个单位内部网络,使之不受来自外部网的非法访问,这就是因特网防火墙(Intemetfirewall)的概念。
2.防火墙技术
由软件和硬件组合而成的防火墙(Firewall)被设置在内部网络和外部网络之间,可以控制内、外网络之间的通信信息,并且可以对跨越防火墙的数据流进行监测和限制,从而把内部网络的结构、信息和运行情况与外部网络进行隔离屏蔽,通过这种手段可以防止不可预测的、潜在破坏性的入侵和攻击,这种网络安全技术已被多次应用并被证实安全有效。接下来我们对防火墙的技术特点、分类以及局限性分别作详细说明。防火墙是一种计算机软件,它可以被应用于一台计算机上起到保护该计算机内部信息的作用。在安装防火墙之后,可以做到计算机内部重要信息不被非授权访问、窃取或者破坏,与此同时可以记录内、外部网络通信的安全日志信息,这些信息可以包括通信发生的时间、允许通过数据包和过滤掉的数据包信息等。因此,在安装防火墙之后可以很好的保护局域网,有效的防止来自外界的攻击。例如一台WWW代理服务器防火墙在工作时,要想这个请求被送到真正的WWW服务器上,需要防火墙验证请求发出者的身份、请求的目的和请求的内容,当一切信息符合规定的时候,此行为才能达成。同理,当信息返回时,处理完的请求也不是直接把结果发送给请求者,只有在代理服务器检查完这个结果并且保证没有违反安全策略的情况下,返回结果才会被送到请求者的手中。企业在把公司的局域网接入Intemet时,肯定不希望让全世界的人随意翻阅公司内部的工资单、个人资料或客户数据库。即使在公司内部,同样也存在这种数据非法存取的可能性,例如一些对公司不满的员工可能会修改工资表或财务报告。而在设置了防火墙以后,就可以对网络数据的流动实现有效的管理:允许公司内部员工可以使用电子邮件、进行Web浏览以及文件传输等服务,但不允许外界随意访问公司内部的计算机,同样还可以限制公司中不同部门相互之间的访问,新一代的防火墙还可以阻止网络内部人员将敏感数据向外传输,限制访问外部网络的一些危险站点。
总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。因此,只有完备的系统开发过程、严密的网络安全风险分析、严谨的系统测试、综合的防御技术实施、严格的保密政策、明晰的安全策略以及高素质的网络管理人才等各方面的综合应用,才能完好、实时地保证信息的完整性和正确性,为网络提供强大的安全服务――这也是网络安全领域的迫切需要。
参考文献
[1] 雷立宏,白燕娥主编.大学计算机基础教程.清华大学出版社,2011.09.
[2] 石志国,薛为民,江俐.计算机网络安全教程.
[关键词]计算机;网络安全;技术
中图分类号:G623.58 文献标识码:A 文章编号:1009-914X(2014)30-0293-01
一、引言
随着网络的迅速发展,网络的安全性显得非常重要,这是因为怀有恶意的攻击者窃取、修改网络上传输的信息,通过网络非法进入远程主机,获取储存在主机上的机密信息,或占用网络资源,阻止其他用户使用等。然而,网络作为开放的信息系统必然存在众多潜在的安全隐患,因此,网络安全技术作为一个独特的领域,越来越受到全球网络建设者的关注。
二、常见的几种计算机网络安全问题
在网络使用的过程中,涉及的安全问题主要有以下几种:
1.微机病毒微机病毒包括单机病毒、网络病毒。这是病毒传播的常用通道,也是病毒传染的主要手段。
2.问谍软件间谍软件是能够在使用者不知情的情况下,在用户计算机上安装后门程序的软件。用户的隐私数据和重要信息会被那些后门程序捕获,甚至这些后门程序还能让黑客远程操纵用户的计算机。
3.黑客攻击黑客攻击的主要渠道有获取口令、放置特洛伊木马程序、WWW的欺骗技术、电子邮件攻击、通过一个节点来攻击其他节点、网络监听、寻找系统漏洞、利用账号进行攻击、偷取特权等。
4.恶意软件恶意软件主要有广告弹出、间谍软件、浏览器篡改、行为记录软件、恶意共享软件、搜索引擎劫持、恶意卸载和恶意捆绑等。
三、身份认证和访问控制
访问控制的基础是身份认证。对于身份认证而言,不仅需要准确的将对方身份辨认出来,而且需要证明自己身份。但是在单机情况下,一般运用的是最简单的口令,其安全性较差,容易被人假冒;第二,在硬件方面,可以运用专业硬件编码器进行编码,然后将编码送回处理中心,对照结果进行比较,进而辨别出真实身份;第三,根据人们的生理现象,对声音、指纹进行分析辨别,当然这种辨别方法对系统要求较高,操作难度较大。一般情况下,进行网络身份验证,比较复杂,网络认证,面临着网络危险,往往会被黑客袭击,从而盗取信息。因此需要采取必要的手段进行防范,防止黑客截取信息。目前情况下,往往对身份认证信息进行高强度加密,以此来防范身份信息泄露。
系统中信息资源的访问必须进行有序的控制,这是通过授权管理(authorization)来实施的。授权管理的任务是:对系统内的每条信息规定各用户对它的操作权限,如是否可读、是否可写、是否可修改等。对授权管理希望能做到:对所有信息资源进行集中管理,对信息资源的控制没有二义性,各种规定互不冲突;有审计功能,对所有授权有记录可以核查;尽可能地提供细粒度的控制等。
四、常用网络安全技术分析
1.包过滤技术
为了防止网络中任何计算机都可随意访问其他计算机以及所提供的各项服务,需要使用包过滤(packetfiltering)技术。数据包过滤是指在网络层对数据包进行分析、选择和过滤。选择的依据是系统内设置的访问控制表(又叫规则表),规则表指定允许哪些类型的数据包可以流入或流出内部网络。通过检查数据流中每一个IP数据包的源地址、目的地址、所用端口号、协议状态等因素或它们的组合来确定是否允许该数据包通过。包过滤器的任务是对每个IP包头部中的有关字段进行检查,按照网络管理员的配置控制IP包的通行与否。比如,为了控制两个网络的计算机之间的通信,路由器需要检测每个包头部中的source和destination字段。如果不允许外部网络中IP地址为193.6.49.27的计算机访问此网络中的所有计算机,包过滤器必须阻止所有source字段为193.6.49.27的包通过。此外,包过滤器还能检查出包中使用的应用层协议,从而知道该包所传递的数据属于哪一种服务。包过滤器的这种功能使得网络管理员也能够对各种服务进行管理。通常,包过滤器的过滤条件是源地址、目的地址以及各种网络服务的组合,凡是满足过滤条件的包都会被过滤掉。如果将包过滤器用来控制一个单位的内部网与因特网之间的通信,那么它可以保护一个单位内部网络,使之不受来自外部网的非法访问,这就是因特网防火墙(Intemetfirewall)的概念。
2.防火墙技术
由软件和硬件组合而成的防火墙(Firewall)被设置在内部网络和外部网络之间,可以控制内、外网络之间的通信信息,并且可以对跨越防火墙的数据流进行监测和限制,从而把内部网络的结构、信息和运行情况与外部网络进行隔离屏蔽,通过这种手段可以防止不可预测的、潜在破坏性的入侵和攻击,这种网络安全技术已被多次应用并被证实安全有效。接下来我们对防火墙的技术特点、分类以及局限性分别作详细说明。防火墙是一种计算机软件,它可以被应用于一台计算机上起到保护该计算机内部信息的作用。在安装防火墙之后,可以做到计算机内部重要信息不被非授权访问、窃取或者破坏,与此同时可以记录内、外部网络通信的安全日志信息,这些信息可以包括通信发生的时间、允许通过数据包和过滤掉的数据包信息等。因此,在安装防火墙之后可以很好的保护局域网,有效的防止来自外界的攻击。例如一台WWW代理服务器防火墙在工作时,要想这个请求被送到真正的WWW服务器上,需要防火墙验证请求发出者的身份、请求的目的和请求的内容,当一切信息符合规定的时候,此行为才能达成。同理,当信息返回时,处理完的请求也不是直接把结果发送给请求者,只有在代理服务器检查完这个结果并且保证没有违反安全策略的情况下,返回结果才会被送到请求者的手中。企业在把公司的局域网接入Intemet时,肯定不希望让全世界的人随意翻阅公司内部的工资单、个人资料或客户数据库。即使在公司内部,同样也存在这种数据非法存取的可能性,例如一些对公司不满的员工可能会修改工资表或财务报告。而在设置了防火墙以后,就可以对网络数据的流动实现有效的管理:允许公司内部员工可以使用电子邮件、进行Web浏览以及文件传输等服务,但不允许外界随意访问公司内部的计算机,同样还可以限制公司中不同部门相互之间的访问,新一代的防火墙还可以阻止网络内部人员将敏感数据向外传输,限制访问外部网络的一些危险站点。
总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。因此,只有完备的系统开发过程、严密的网络安全风险分析、严谨的系统测试、综合的防御技术实施、严格的保密政策、明晰的安全策略以及高素质的网络管理人才等各方面的综合应用,才能完好、实时地保证信息的完整性和正确性,为网络提供强大的安全服务――这也是网络安全领域的迫切需要。
参考文献
[1] 雷立宏,白燕娥主编.大学计算机基础教程.清华大学出版社,2011.09.
[2] 石志国,薛为民,江俐.计算机网络安全教程.