王畅 王玲
摘 要: 随着计算机网络的发展,网络中的安全问题也日趋严重。计算机网络安全不仅包括组成网络系统的硬件、软件,而且包括在网络上传输信息的安全性,很多人会认为网络安全是纯技术方面的问题,其实则不然,它还包括管理方面的问题,这两个方面相互统一、相互联系,相辅相成,缺一不可。
关键词: 计算机网络安全 攻击 通信策略
一、引言
21世纪的一些重要特征是数字化、网络化和信息化,可以说,21世纪是一个以网络为核心的信息时代。随着计算机网络的发展,网络中的安全问题也日趋严重。当网络中的用户来自社会的各个阶层和角落时,大量存储在网络上或传输在网络上的数据就需要被保护。本文作者将对计算机网络安全问题进行初步的讨论。
二、计算机网络安全的含义
计算机网络安全的具体含义可以说并不是统一的、一成不变的。对于使用者来讲,使用者不同,对网络安全的认识和要求也就不同。比如说,从一般使用者的角度来讲,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而对于网络提供商来讲,除了关心这些网络信息安全外,还要考虑如何应付突发情况对网络硬件和软件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
那么,到底计算机网络安全包括哪些部分呢?其实,网络安全不仅包括组成网络系统的硬件、软件,而且包括在网络上传输信息的安全性,从而使得网络不会因为偶然的或者恶意的攻击遭到破坏。很多人会认为网络安全是纯技术方面的问题,其实则不然,它还包括管理方面的问题,这两个方面相互统一、相互联系,相辅相成,缺一不可。
三、计算机网络面临的安全性威胁
计算机网络设计最初的目的是为了实现资源共享、分散控制和分组交换,这就要求互联网具有大跨度、分布式、无边界的特征。正是由于这种开放性,使得黑客偷偷潜入各级网络,并对网络产生破坏性的行为。此外,计算机网络的传输协议及操作系统本身也存在设计上的缺陷和漏洞,从而有潜在的被破坏的危险性。因此,网络安全问题面临着严峻的挑战。
目前,计算机网络上的通信面临四种威胁:截获、中断、篡改和伪造。这四种威胁又可划分为主动攻击和被动攻击两大类。截获信息的攻击称为被动攻击,更改信息或拒绝用户使用资源的攻击称为主动攻击。
在主动攻击中,是指攻击者对某个连接中的PDU进行各种处理,比如说更改、删除这些PDU,等等。所有的主动攻击都是各种方法的某种组合。主动攻击一般可分为更改报文流、拒绝报文服务和伪造连接初始化三种类型,当然除此之外,还有一种特殊的主动攻击,那就是恶意程序的攻击。恶意程序的种类繁多,对网络安全的威胁较大,主要包括计算机病毒、计算机蠕虫、特洛伊木马和逻辑炸弹。
在被动攻击中,攻击者只是分析某一个PDU,并不干扰信息流。攻击者可以了解正在通信的协议地址和身份,研究PDU的长度和性质。即便是这些数据对于攻击者来讲并不是能理解的,他仍然可以观察、了解PDU的信息部分。
四、计算机网络安全的内容
1.保密性。计算机网络安全最为重要的内容就是给用户提供安全可靠的保密通信。虽然计算机网络安全不是局限于保密性,但如果连给用户提供安全可靠的保密通信都做不到,那说明计算机网络绝对是不安全的。
2.安全协议。目前在安全协议的设计方面,主要是设计安全的通信协议。但设计安全的通信协议不是件容易的事,一般采用形式化方法、经验分析协议的方法和找漏洞的分析方法来保证通信的安全。
3.接入控制。要求对接入网络的权限进行控制,并设定相关的权限。计算机网络是个非常庞大、复杂的系统,在接入控制系统的设计中,要用到加密技术。
五、计算机网络安全的策略分析
刚才我们已经说过,计算机网络的威胁可分为主动攻击和被动攻击,其实为了应对不断更新变化的网络威胁手段,网络安全技术也包括被动防护和主动检测两个方面。主要的网络安全技术包括:加密保护、防火墙技术、VPN技术、入侵检测与防御、漏洞扫描。其中防病毒、防火墙和VPN属早期的被动防护技术,入侵检测、入侵防御和漏洞扫描属主动检测技术。这些技术领域的研究成果已经成为众多信息安全产品的基础。
1.加密保护
为了防止在网络上传输的数据被攻击者恶意截取或篡改,我们可以对数据进行加密。如果没有密钥,即使是数据被别人窃取也无法得到正确的数据,这在一定程度上保证了数据的安全。我们可以采用对称加密和非对称加密的方法来解决。对称加密体制就是指加密密钥和解密密钥相同的机制,常用的算法为数据加密标准DES算法。而非对称加密是指加密和解密使用不同的密钥,每个用户保存一个公开的密钥和秘密密钥。公开密钥用于加密密钥而秘密密钥则需要用户自己保密,用于解密密钥。
2.防火墙技术
防火墙是一种保障计算机网络安全的重要手段,它的主要目标就是通过控制网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监视了内部网络和Internet之间地任何活动,保证了内部网络地安全。防火墙可以是独立的系统,也可以在一个进行网络互连的路由器上实现防火墙。常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。包过滤技术是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据据流中的每个数据包,根据数据包的源地址、目标地址,以及包所使用的端口确定是否允许该类数据包通过;状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别,与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性;应用网关技术在应用层实现,它使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其他网络,其目的在于隐蔽被保护网络的具体细节,保护其中的主机及其数据。
3.VPN技术
VPN即虚拟专用网络,它是将物理分布在不同地点的网络通过公用骨干网连接而成的逻辑上的虚拟子网。它可以帮助异地用户、公司分支机构、商业伙伴及供应商与内部网建立可信的安全连接,并保证数据的安全传输。为了保障信息的安全,VPN技术采用了鉴别、访问控制、保密性和完整性等措施,以防止信息的泄露、篡改和复制。
4.入侵检测与防御技术
入侵检测技术可以看做是防火墙的有效补充,用来检测任何想要损害网络安全的攻击行为。入侵检测技术能够帮助系统对付已知和未知网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。
入侵防御系统则是一种主动的、积极的入侵防范和阻止系统,简称成IPS。它的防御功能类似于防火墙,IPS是置于网络的进出口处,一旦检测到攻击时,就自动采取措施将其阻断。但是它不能代替防火墙,当然,防火墙也不能代替IPS,它们在不同的过滤方面发挥着各自最大的功能。
5.漏洞扫描技术
漏洞扫描技术属于主动防范技术,它可以通过将端口扫描的信息与系统提供的漏洞进行比对、匹配,以及模拟黑客攻击的方法来保证主机系统的安全。
除了上述几种策略以外,还有一些其他的技术可以有效地保证网络安全。这里我就不一一说明了。
六、结语
计算机网络安全是一个复杂的问题,是一个涉及范围广泛的问题。本文从多方面分析了计算机网络安全问题和策略,目的在于为用户提供信息的保密,使网络中的服务、数据,以及系统减小或免受侵扰和破坏。社会,是不断变化发展的社会,我相信计算机网络应用安全问题也一样会随着各种新技术和算法的出现而不断更新和复杂化,而解决这一问题的相关策略也将会原来越多,越来越先进。
参考文献:
[1]葛秀慧.计算机网络安全管理(第2版).清华大学出版社,2008.5.
[2]谢希仁.计算机网络(第四版).电子工业出版社,2006.6.
[3]王群.计算机网络安全技术.清华大学出版社,2008,7.