浅谈计算机网络信息安全技术

康学梅 黄 琳 张耕宁

[摘要]主要从物理安全、安全控制、安全服务三个方面介绍网络信息安全基础知识,提出目前网络信息安全存在的主要问题并具体阐述针对这些问题的防范技术。

[关键词]计算机网络信息安全防范技术

中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)1220046-01

计算机网络信息安全是指信息的完整性、机密性和有效性,它从层次上可分为物理安全、安全控制和安全服务三个方面。物理安全是指在物理介质层次上对存储和传输的网络信息的安全保护。它主要包括:自然环境对计算机网络设备的影响;防止设备被盗窃、毁坏、电磁辐射、电磁干扰等;保证媒体所承载数据的安全性。

安全控制是指在网络信息系统中对存储和传输辐射信息的操作、进程控制与管理,在网络信息处理层次上对信息进行安全保护。它主要包括:(1)操作系统的安全控制,即对用户合法身份的核实、对文件读写权限的控制等,主要是保护存储数据的安全。(2)网络接口模块的安全控制,即对来自其他机器的通信进程进行安全控制,主要是身份认证、客户权限设置与判别、日志审计等。(3)网络互连设备的安全控制,即对整个子网内的所有主机的传输信息、运行状态进行安全检测和控制,主要是通过网管软件或路由器配置实现。

安全服务是指在应用程序层对网络信息的保密性、完整性、真实性进行保护和鉴别,防止各种安全威胁和攻击。它主要包括安全机制、安全连接、安全协议和安全策略等。(1)安全机制是利用密码算法对重要而敏感的数据进行处理。它包括以保护网络信息的保密性为目标的数据加密和解密;以保证网络信息来源的真实性和合法性为目标的数字签名、签名验证;以保护网络信息的完整性,防止检测数据被修改、插入、删除和改变的信息认证等。(2)安全连接是在安全处理前与网络通信方之间的连接过程,它主要包括会话密钥的分配、生成以及身份验证。(3)安全协议使网络环境下互不信任的通信方能够相互配合,并通过安全连接和安全机制的实现来保证通信过程的安全性、可靠性、公平性。(4)安全策略是安全机制、安全连接和安全协议的有机组合方式,是网络信息安全性完整的解决方案,不同的网络信息系统和不同的应用环境应采取不同的安全策略。

为了确保计算机网络信息安全,在实际应用中通常采用以下几种安全技术:

一、病毒防范技术

病毒是指编写或者在计算机程序中插入的破坏计算机功能、毁坏数据、能自我复制的一组计算机指令或程序代码。它具有传染性、非授权性、隐藏性、破坏性和不可预见性。目前防范病毒常见的措施有:(1)安装防病毒软件,并及时更新病毒库。(2)加强数据备份和恢复措施。(3)对敏感的设备和数据建立必要的物理或逻辑隔离措施。(4)不轻易打开来历不明的电子邮件及其附件等。

二、防火墙技术

防火墙是指在内部局域网和公众网之间设置的一道屏障,它实际上是一种隔离技术。防火墙可以阻止网络中的黑客来访问你的机器,防止他们篡改、拷贝、毁坏你的重要信息。

实现防火墙的主要技术有:数据包过滤、应用网关和代理服务等。目前防火墙技术的局限性:(1)防火墙不能防范网络内部的攻击。(2)主要是基于IP控制而不是用户身份。(3)防火墙不能阻止已经感染病毒的软件或文件的传送,不能期望防火墙对每一个文件进行扫描而查出所有的非法行为。(4)难于管理和配置,易造成安全漏洞。

三、入侵检测技术

入侵检测系统是对计算机和网络资源上的恶意使用行为进行识别、响应和处理过程。入侵检测技术主要有以下两种:一是从具体的检测方法上,有基于行为的入侵检测和基于知识的入侵检测两类。基于行为的入侵检测,是指根据使用者的行为或资源使用状况的正常程度来判断是否发生网络入侵;基于知识的入侵检测,是指运用已知的攻击方法,通过分析入侵迹象来判断是否发生网络入侵。二是从检测系统所分析原始数据上,有来自系统日志的入侵检测和来自网络数据包中的入侵检测两种。入侵检测的早期研究主要集中在主机系统的日志文件分析上,因为这时的用户对象主要局限于本地用户;随着分布式大型网络的推广,用户可随机地从不同的客户机上登录,主机间也经常需要交换信息,仅靠对操作系统的日志文件进行检测,不能满足用户的需求,这样就使入侵检测的对象范围扩大至整个网络的数据。

四、数据加密技术

数据加密技术是网络中最基本的安全技术,主要是通过对网络中传输的信息进行数据加密来保障其安全性。加密是一种限制对网络上传输数据的访问权的技术。原始数据(也称为明文,plaintext)被加密设备(硬件或软件)和密钥加密而产生的经过编码的数据称为密文(cipher text)。将密文还原为原始明文的过程称为解密,它是加密的反向处理,但解密者必须利用相同类型的加密设备和密钥,才能对密文进行解密。数据加密类型可以简单地分为三种:一是根本不考虑解密问题;二是私用密钥加密技术;三是公开密钥加密技术。

五、安全协议

安全协议的建立和完善,是计算机网络信息安全保密走上规范化、标准化道路的基本因素。目前已开发应用的安全协议有以下5种:(1)加密协议。一能用于把保密数据转换成公开数据,在公用网中自由发送;二能用于授权控制,无关人员无法解读。(2)密钥管理协议。包括密钥的生成、分类、存储、保护、公证等协议。(3)数据验证协议。包括数据解压、数据验证、数字签名。(4)安全审计协议。包括与安全有关的事件,如数据事件的探测、收集、控制。(5)防护协议。除防病毒卡、干扰仪、防泄露等物理性防护措施外,还用于对信息系统自身保护的数据(审计表等)和各种秘密参数(用户口令、密钥等)进行保护,以增强反网络入侵功能。

六、身份认证技术

身份认证(Authentication)是系统核查用户身份证明的过程,其实质是查明用户是否具有它所请求资源的存储使用权。身份识别(Adentific

ation)是指用户向系统出示自己的身份证明的过程。这两项工作通常被称为身份认证。

身份认证至少应包括验证协议和授权协议。网络中的各种应用和计算机系统都需要通过身份认证来确认合法性,然后确定它的个人数据和特定权限。对于身份认证系统来说,最重要的技术指标是合法用户的身份是否易于被别人冒充。用户身份被冒充不仅可能损害用户自身的利益,也可能损害其他用户的利益或整个系统。因此,身份认证是授权控制的基础。

只有有效的身份认证,才能保证访问控制、安全审计、入侵防范等安全机制的有效实施。身份认证技术有以下几种:基于口令的认证技术、给予密钥的认证鉴别技术、基于智能卡和智能密码钥匙(USB KEY)的认证技术、基于生物特征识别的认证技术。

生物识别技术的核心在于如何获取这些生物特征,并将之转换为数字信息、存储于计算机中,利用可靠的匹配算法来完成验证与识别个人身份的过程。与传统的身份鉴定方法相比,生物识别技术具有安全、保密、方便、不易遗忘、防伪性能好、随身“携带”和随时随地可用等优点。