天津工业大学计算机科学与软件学院 江剑林
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行。计算机网络安全技术的问题涉及到物理环境、硬件、软件、数据、传输、体系结构等各个方面。
影响计算机网络安全的因素有很多,概括起来主要有:
计算机网络最初的设计思想是当军事指挥系统中某些部分被摧毁后,其剩余部分仍能正常工作,保证信息的传输。在这样的思想指导下,网络的可靠性、可用性是优于安全性的。Internet早期是作为研究人员使用的网络,是完全非盈利的信息共享载体,所以几乎所有的Internet协议都没有充分考虑安全机制。TCP/IP协议是一个建立在可信环境下的网络互连模型,安全设计欠缺,存在着先天不足。这就直接导致了扫描、监听、欺骗、拒绝服务等多种网络攻击。系统通信协议和应用服务协议存在缺陷,可被恶意利用用来攻击网络。
包括网络硬件的安全缺陷,如可靠性差、计算机的许多核心技术关键安全性问题,其参数是否设置错误还需经过检验,如防火墙产品自身是否安全,是否设置错误,需要经过检验。每一个操作系统或网络软件的出现都不可能是无缺陷和漏洞的,目前流行的许多操作系统均存在网络安全漏洞,如Unix服务器、NT服务器及Windows桌面PC。若防火墙软件的配置不正确,它根本不起作用,而且还可能成为安全缺口。所以一旦连接入网,就会成为众矢之的。
包括网络拓扑结构和网络设备。实际的网络拓扑结构是集中总线型、星型等的混合结构,存在着相应的安全隐患。各大厂商竞相推出的各类网络产品,或多或少存在有隐患,而网络关联性导致只需攻击链条中最薄弱的一个环节就可以使整个安全体系崩溃。网络设备、主机、操作系统的多样性,再加上拓扑结构的复杂性也使得网络安全管理工作变得异常艰难。攻击者可以利用这些复杂因素来隐藏自己,发起致命有效的攻击。网络规模的不断膨胀,也给网络安全带来了越来越大的压力,如果配置不当,也会产生安全漏洞。
用户安全意识不强,特别是那些对计算机和网络技术不太了解的人,他们对网络攻击和防范知之甚少,导致安全管理意识缺乏,疏于防范,往往在遭到入侵后仍然毫无察觉,直到造成重大损失后才追悔莫及。用户口令密码选择不慎,或将自己的账号随意转接他人或与别人共享等都会给网络安全带来威胁。电磁辐射物能够破坏网络中传输的数据,甚至可以将这些数据接收下来,并且能够重新恢复,造成泄密。
病毒具有传染性、寄生性、隐蔽性、触发性、破坏性等几大特点。现在的网络技术未能完全对来自Internet的电子邮件挟带的病毒及Web浏览可能存在的恶意Java/ActiveX控件进行有效控制。而且计算机病毒可以破坏计算机网络安全系统并通过网络破坏更多的计算机。
防火墙能够确保护诸如电子邮件、文件传输、远程登录以及特定系统间信息交换的安全。防火墙的工作原理是按照事先规定的配置和规则,监控所有通过防火墙的数据流,只许授权的数据通过,同时记录有关的联接来源、服务器提供的通信量和试图入侵的任何企图,以方便网络管理员的检测和跟踪。防火墙可以强化安全策略,保护易受攻击的服务,防火墙执行网络的安全策略,能过滤那些不安全的服务,拒绝可疑的访问大大降低非法攻击的风险,提高网络安全系数;还可以监视Internet的使用,防火墙也是审查和记录内部对Internet使用的一个最佳地方,可以在此对内部访问Internet的进行记录。防火墙可以很好地防止外部用户获得敏感数据,但是它没法防止内部用户偷窃数据、拷贝数据、破坏硬件和软件等。
入侵检测是通过对系统数据的分析,发现非授权的网络访问和攻击行为,然后采取报警、切断入侵线路等对抗措施。通过检测和记录网络中的安全违规行为,惩罚网络犯罪,防止网络入侵事件的发生,减少入侵攻击所造成的损失;检测黑客在攻击前的探测行为,检测到入侵攻击时,预先给管理员发出警报,报告计算机系统或网络中存在的安全威胁,并利用报警与防护系统驱逐入侵攻击;提供有关攻击的信息,帮助管理员诊断网络中存在的安全弱点,以便于对其进行修补。入侵检测系统仅仅集中分析己知的攻击方法和系统漏洞,所以系统无法检测未知的攻击,需要时间去学习新的攻击方法,因此,对新攻击的检测延时太大。此外,入侵检测系统的误报漏报率较高。这给网络管理员带来许多不便,相对于防火墙良好的实时性来说,IDS的效率要低得多。
虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。事实上,VPN的效果相当于在Internet上形成一条专用线路(隧道),从作用的效果看,VPN与IP电话类似,但VPN对于数据加密的要求更高。VPN由三个部分组成:隧道技术,数据加密和用户认证。隧道技术定义数据的封装形式,并利用IP协议以安全方式在Internet上传送。数据加密和用户认证则包含安全性的两个方面:数据加密保证敏感数据不会被盗取,用户认证则保证未获认证的用户无法访问内部网络。
数据加密是对以符号为基础的数据进行移位和置换的变换算法,这种变换是受称为密钥的符号串控制的,加密和解密算法通常是在密钥控制下进行的。加密技术是网络安全最有效的技术之一,一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。
访问控制是信息安全保障机制的核心内容,它是实现数据保密性和完整性机制的主要手段。访问控制是为了限制访问主体对访问客体(需要保护的资源)的访问权限,从而使计算机系统在合法范围内使用:访问控制机制决定用户及代表一定用户利益的程序能做什么及做到什么程度。利用访问控制技术可以使系统管理员跟踪用户在网络中的活动,及时发现并拒绝“黑客”的入侵。所以说访问控制技术是维护网络系统安全、保护网络资源的重要手段之一。
当前网络安全己成为一个备受关注的问题,而网络安全方面的研究事关国民经济的正常运转和国家安全,处于信息科学和技术的研究前沿,具有理论和应用价值,如何保护好自己的信息不受侵犯及如何有效地预防他人非法入侵等一系列信息安全课题已经引起国内外有关人士的热切关注。
[1]莫雁林.网络安全与防火墙技术[J].信息与电脑(理论版),2010(10).
[2]周莉,张红祯.计算机网络安全技术浅析[J].今日科苑,2008(17).