◆陈龙险
(青海建筑职业技术学院信息技术系青海 810012)
随着社会的进步,互联网技术的飞速发展,信息技术给人们的生活、工作、学习带来了极大的方便。比如网上购物、互联网医疗、银行资金转账、网络视频会议、在线远程教育等。然而,人们在享受着互联网技术所带来的便利的同时,也面临着信息泄露、网络恶意攻击、计算机病毒、黑客入侵等严峻的信息安全问题。
网络信息安全的威胁因素有诸多方面。首先,互联网自身方面:网络的开放性容易造成信息泄露,加之计算机网络在凸现其资源共享优势的同时,也为网络攻击者利用共享资源进行破坏提供了机会;其次,技术方面:网络系统设计存在的缺陷、操作系统存在的安全漏洞、以及内部网络缺乏审计跟踪机制出现的管理漏洞等,均会对网络信息安全构成威胁;最后,外界人为因素方面:黑客的恶意攻击、网络病毒的入侵、以及用户自身缺乏信息安全意识及相关防护技术技能等。
以上因素均会对信息的保密性、真实性、完整性带来不同程度的威胁。特别是,一旦被网络犯罪分子利用,就会对信息安全带来严重的后果。比如网络病毒入侵,会感染系统文件,使操作系统瘫痪,造成重要数据信息丢失;黑客利用系统固有安全漏洞,进行恶意攻击计算机防御系统,伪造、篡改、删添数据信息;不法分子利用网络缺陷盗取用户信息、商业信息;敌对势力对国家核心机密进行窃取,或对国家核心数据库信息进行恶意破坏等。所以,互联网时代对信息安全防护技术的研究具有重要意义。
由计算机硬件和软件组成的防火墙系统,能够阻止非法信息的访问和传递,是内部网络环境安全的屏障。防火墙部署于网络边界,起到安全过滤和安全隔离的作用,所有进出的信息都要经过防火墙。防火墙对数据包进行分析,若网络内部数据包没有应用逻辑,则不被放行。同时,对进入的数据包进行过滤,保护网段不受外部攻击。防火墙通过禁止有安全隐患的服务或未获得授权的通信进出网络,限制外部非法用户如黑客、网络破坏者等进入内部网络,从而防止外网攻击、入侵和恶意代码的传播。
目前,有如下几种类型的防火墙:包过滤防火墙、应用代理防火墙、电路级网关防火墙、规则检测防火墙等。包过滤防火墙设备便宜、对流量的管理较好,但也存在着没有用户身份验证机制、防欺骗攻击难等缺点。应用代理防火墙则工作在 OSI模型的最高层,掌握着应用系统中可用于安全决策的全部信息,起着监视和隔绝应用层通信流的作用。电路级网关防火墙在 OSI模型中的会话层过滤数据包。规则检测防火墙结合了包过滤防火墙、电路级网关、应用级网关的特点。所以,市场上流行的防火墙多为规则检测防火墙。目前市场上常见的防火墙产品有:NetScreen 208防火墙、Cisco Secure PIX 515-E防火墙、网络卫士NGFW4000-S防火墙、NetEye 4032防火墙等。
入侵检测技术是一种能够及时发现并报告系统中未授权或异常现象的技术,用于检测计算机网络中违反安全策略的行为。一般有基于应用的监控技术、基于主机的监控技术、基于目标的监控技术、基于网络的监控技术等 4种。入侵检测作为一种积极主动的安全防护技术,它在不影响网络性能的情况下进行实时监测,对内部攻击、外部攻击和误操作进行实时保护,能够在网络系统受到危害之前拦截和响应入侵。
通常,入侵检测系统通过执行如下任务来保证计算机系统的安全:监视、分析用户及系统活动;对系统配置和弱点进行审计;识别与已知的攻击模式匹配的活动;对异常活动模式进行统计分析;评估重要系统和数据文件的完整性;对操作系统进行审计跟踪管理并识别用户违反安全策略的行为。在应用中,入侵检测系统对网络病毒、蠕虫、间谍软件、木马后门、扫描探测、暴力破解等恶意流量进行实时系统监测,当发现可疑传输时,发出警报并与计算机设备中的防火墙进行全面联合,通过用户自定义命令等措施来实施动态防护。
数据加密技术是对存储或传输的信息进行秘密交换,以防止被第三者窃取。加密技术的核心是加密算法,通常加密算法分为对称加密、非对称加密、不可逆加密。在对称加密算法中,使用的是同一个密钥;在非对称加密算法中,使用的是一对相互匹配但又互不相同的公钥和私钥,当用公钥对数据进行加密时,用对应的私钥进行解密,当用私钥对数据进行加密时,则用对应的公钥进行解密;不可逆加密算法加密过程则无须密钥,输入明文后由系统直接经过加密算法处理成密文,这种加密后的数据无法被解密,只有重新输入明文,并再次经过同样不可逆的加密算法处理,得到相同的加密密文并被系统重新识别后,才能真正解密。
在现代高级密码体系中,零知识证明和量子密码技术正不断被开发和应用。零知识证明是指证明者能够在不向验证者提供任何有用信息的情况下,使验证者相信某个论断是正确的。即在不让对方获知任何咨询的情况下,证明一件事情。比如身份辨别,示证者在证明自己身份时不泄露任何信息,验证者能够在得不到示证者任何私有信息的情况下,能够有效证明对方身份。
另外,随着量子计算机技术的不断取得突破,特别是以肖氏算法为典型代表的量子算法,其运算关系操作在理论上可以实现从指数级别向多项式级别的转变。根据是否基于量子物理原理,有后量子密码和量子加密技术。后量子密码又称抗量子密码,是一种能够抵抗量子计算机攻击的密码体制,其计算安全性可以抵抗当前已知任何形式的量子攻击。量子加密技术又称量子密钥分发,是量子通信科学发展的成果之一。它依靠包括叠加态、量子纠缠和不确定性等在内的量子物理独特性质,能够检测和规避窃听企图,在实现传统密钥交换功能的同时使密钥分发的保密性得到完全的保障。
网络安全认证是指通过对被认证对象的属性进行验证,来确定被认证对象是否真实有效。认证用于通信双方相互确认身份,以确保通信的安全,一般可分为消息认证和身份认证。消息认证用于保证信息的完整性和抗否认性,当用户需要鉴别网上信息有无被第三方篡改过或伪造过时,就需进行消息认证。它是指建立联系的双方通过对收到的信息进行验证,以保证收到信息的真实性。比如在通信中,用户A向用户B发送消息,用户B收到消息后,不仅要确认该消息是否是用户A所发,而且还要辨别该消息是否被第三方修改或伪造过。同时,用户A也需要确认所发消息是否正确发送给了用户A。身份认证用于鉴别用户身份,涉及识别和验证两方面。
数字签名是一种身份鉴别方法,能够解决伪造、抵赖、冒充和篡改等问题。数字签名通常采用非对称加密技术,通过对明文进行变换,得到的值作为核实签名。接收者使用发送者提供的公开密钥,对签名进行解密运算,如能正确解密则签名有效,从而来保证对方身份的真实性。数字签名采用一定的数据交换协议,使双方能够满足两个条件,一是接收方能够鉴别发送方所宣称的身份,二是发送方不能否认它发送的数据这一事实。数字签名技术确保了信息的完整性、信源的可确认性、和通信的不可抵赖性。
有效阻止计算机病毒的传播和破坏,能够确保信息的安全。所以,计算机病毒的检测与防护技术也很重要。目前,计算机病毒的检测主要基于以下几种方法:特征代码法、校验和法、行为检测法、软件模拟法、比较法、感染实验法等。现代的杀毒软件如瑞星杀毒、金山毒霸等就是用以上的一种或几种手段来进行检测。常用的计算机病毒防范方法有:操作系统漏洞的检测和补丁安装,对操作系统进行安全设置,更新升级病毒特征库,关闭无用端口如关闭137、168、139、445等端口。另外,不访问不知名网页、不随意下载文件、不打开陌生电子邮件等,可减少被感染病毒的概率。另外,由于网络病毒传播速度快,涉及范围广。所以在网络病毒防护方面,要比单机病毒的防护复杂得多,在建立网络防范机制时,对病毒的监控要形成立体多层次防御体系。
互联网时代信息安全问题涉及个人权益、商业机密、金融风险防范、社会稳定和国家安全。所以,为保护网络信息在存储和传输过程中的可用性、机密性、完整性、可控性和不可抵赖性,我们除了要依靠不断创新的先进技术外,国家层面还需进一步建立健全信息安全相关法律、法规,加强法律约束,使监督管控有法可依、有章可循。并依法严厉打击网络犯罪分子,加大惩罚力度并形成震慑,让不法分子无处藏身。同时,广泛普及网络信息安全知识,通过教育提高全民网络信息安全意识。