(云南商务职业学院 云南 651701)
计算机网络安全,既包括计算机系统和互联网运行环境的安全,同时也涵盖了数据存储、传输安全。现阶段,关于计算机网络安全的研究较多,也初步形成了比较完善的技术体系,例如有针对非法访问的入侵检测技术、防火墙技术,有针对病毒攻击的杀毒软件等。而关于数据保护的研究相对较少,这也是导致近年来数据泄露问题日益严重的主要原因。无论是对于公民的个人隐私,还是对于企业的商业数据,都需要保证这些数据信息的完整性、安全性,除了对重要数据进行加密外,利用加密/解密技术保证数据传输安全,利用云存储技术保证数据存储安全,也成为当前的热门技术。
近年来信息泄露问题逐渐引发了全民关注,小到公民隐私信息,大到企业商业机密,信息泄露已经成为危害网络安全的主要问题。信息泄露一方面与用户缺乏强烈的网络安全意识,没有采取有效的信息保护措施有关,例如没有对涉密数据进行加密;另一方面也与不法分子利用技术优势肆意破坏计算机网络有密切联系,除了直接破坏网络防护系统或是利用安全系统漏洞等手段外,还会假冒网站、页面弹窗等形式,诱导网络用户点击并填写个人信息。
在“互联网+”时代,数据信息成为重要的资源,而完整性和隐私性,则是保证资源价值的关键。不法分子通过各种技术手段,破坏数据的完整性,导致数据的可利用价值降低,达到自己的非法目的。例如在商业竞争中,一方为了谋取个人私利,采用不正当竞争手段,入侵竞争对手的公司网络,破坏其中的商业数据,导致该公司的部分业务无法正常运行,核心技术遭到泄露。
计算机系统的正常运行,需要不断接收各个软、硬件的状态信息,然后再发出调控指令。拒绝服务攻击就是黑客以各种手段,让目标服务器无法正常接收反馈信息,或是停止提供服务,进而导致整个网络系统瘫痪的破坏方式。例如,植入病毒程序,在短时间内以极高的频率向服务器发送访问,造成网络堵塞并导致服务器宕机。
防火墙是现阶段保障计算机网络安全的一种最基础的手段,其原理就是在计算机内部局域网和外部互联网之间,建立一道防护墙。所有经外网进入内网的数据,或是访问行为,都必须通过防火墙的检验。如果经检验判定为非法访问,或是数据包、数据片段中隐藏病毒,则不予通过,达到保护计算机网络安全的效果。根据防护原理的不同,又可以细分为网络级防火墙、规则检查防火墙、应用级防火墙等等。以网络级防火墙为例,主要对IP 包端口、源地址、目的地址等进行检查,确定是否正常,只有确认正常情况下才能保障网络的正常运行。
如上文所述,影响网络安全的各种手段中,病毒攻击是一种常见的形式。通过安装防护软件,可以对计算机网络环境进行动态的巡检,一旦发现系统漏洞或病毒木马,则启动清除程序,从而达到修补系统漏洞、保护网络安全的目的。目前市面上常用的防护软件较多,用户可以根据自己的需要进行选择。需要注意的是,由于攻击手段的不断创新,防护软件也需要定期进行更新和升级,既可以提高对新型病毒、木马的识别和查杀能力,又可以保证应用软件和操作系统的兼容性。
该系统主要包括软件和硬件两部分,其中软件负责对网络数据的状态进行实时监控,一旦发现违反安全策略的访问行为,通过硬件发出警报。根据检测原理的不同,又可以分为以标志为基础的入侵检测和以异常信息为基础的入侵检测。前者与防护软件类似,管理员提前设定安全策略,系统以此作为参考标准,对所有访问行为进行筛选。如果检测到违反安全策略的行为,即判定为入侵,启动保护程序、提高安全级别,防止数据遭到泄露。后者则是将计算机的正常运行参数作为参考标准,以特定的频率检查参数状态,如果发现参数异常,则判定为攻击,从而提高安全保护等级,保障网络运行安全。相比于防火墙这类被动的网络安全保护技术,入侵检测可以从源头上识别并清除危险,从而有力提升了计算机网络的安全水平。
对需要保护的或是涉密的数据进行加密,是一种直接且有效的数据保护技术。根据加密形式的不同,衍生出了多种加密技术,如节点加密、链路加密等。
3.1.1 节点加密
网络节点会发生数据交汇,因此也是进行数据加密的重要环节。节点加密的优势在于所有数据的加密、解密操作,都是在保密模块内进行,因此用户不必担心在加密、解密操作过程中,出现数据泄露的问题。同时,整个操作过程对用户来说是全程透明的,这也在一定程度上减少了因为个人操作不规范而引发的数据泄露问题。当然,节点加密也存在一些不足,例如存在信息选择性,有些信息必须以明文形式传输,无法进行加密;还有就是整个网络内所有的节点,都要获得密钥,才能实现对密文的解密,需要大量分发密钥,增加了管理难度和提升了操作成本。
3.1.2 链路加密
链路加密技术会在所有数据传输前对其进行加密,并且根据各个节点接受的消息相应地进行解密,然后合理运用下一链路的密钥,并且加密消息的内容,从而实现信息的加密传输。在互联网或局域网内,一条信息的传输往往会经过多条链路。当数据信息在不同链路之间转换时,每次转换都需要重新进行解密-加密,利用这种方式对数据传输的源头和重点数据进行掩饰,从而进一步提高了数据保密效果。当然,链路加密也有自身的优势与不足。优势方面,可以对全部信息进行加密,包括了上文中节点加密中不可加密的消息头和路由信息,因此数据保密效果更为理想。还有就是单个密钥泄密后,不影响其他链路上数据的正常传输,减轻了管理压力。不足方面,每条通信链路需要两台设备支持运行,保密成本会有较为明显的上涨。
静态存储的数据易于保护,但是在传输时,由于互联网本身的开放性,更容易受到攻击,数据传输过程中,被第三方拦截并泄露、篡改的情形比较常见。加密/解密技术就是专门针对网络传输中数据完整性、私密性保护的一种技术方法。其原理是:在数据的发送端,发送者利用密钥,对需要发送的数据进行加密,从明文转换成密文,然后再进行发送。在网络传输过程中,以密文形式存在的数据,即便是被第三方非法拦截、窃取,由于没有掌握密钥,就无法对密文进行解密,只能得到一组毫无价值的乱码,从而保护了传输信息不被泄露。在数据的接收端,接受者同样掌握了密钥,在收到数据后,使用密钥对密文进行解密,从而获得了正常的数据信息。加密/解密技术已经成为现阶段保障数据传输安全的一种主要措施。
在登录系统账户、进行数据操作时,为了检验当前操作是否合法,需要使用到身份认证技术。如果未通过认证,则无法获取操作权限,甚至会暂时将系统锁定,从而得以保障内部数据的安全。根据认证原理的不同,又可以细分为3 种形式:第一种是双重认证,即常规的“账号+密码”认证。操作人员需要同时提供配对的账号和密码,否则无法正常访问。第二种是数字签名认证。管理员掌握了他人无法伪造的一段数字串,有2 方面的功能,一是签名,二是验证。使用这段数字串对数据信息进行加密。任何想要访问数据信息的用户,需要使用相同的数字串进行验证。验证成功,则获取访问权限;验证失败,则视为攻击,禁止访问。
现阶段,无论是个人用户还是普通的企业用户,数据存储还是以硬盘为主。其弊端主要有2 个,一是存储容量有限,面对海量化的数据,需要占用较多的物理服务器,增加了数据存储成本;其二是安全防护等级较低,计算机的防护系统很容易被破坏,信息泄露和数据破坏的概率较高。随着云技术的不断发展,云盘作为一种新型的存储载体,以其超大容量、超级安全等特点,受到了网络用户的青睐。如同硬盘依赖于物理服务器运行一样,云盘也依赖于云服务器运行,目前国内的一些大型互联网公司均推出了自己的云服务业务,例如阿里云、百度云、腾讯云等等。根据是否付费,又可以细分为公有云、私有云等形式。个人用户可以选择公有云即可满足安全需求,而企业用户通过付费租赁的方式,选择私有云保护涉密的商业数据不被泄露。
维护网络安全和保障数据完整,关系到我们每个人的切身利益。随着信息安全技术的不断发展,近年来不断有新技术、新方法应用到网络安全和数据保护领域。从实践应用效果来看,入侵检测、身份认证、数字签名、加解密、云存储等一系列技术,在提高计算机网络安全防护能力、保障数据存储和传输安全等方面发挥了显著作用。当然,我们也应当注意到,网络攻击和网络防护是一个此消彼长的过程,只有不断加强安全技术研究,养成良好的网络使用习惯,才能切实保障个人信息、涉密数据不被泄露,从而维护网络环境安全。