计算机网络安全.docx
《计算机网络安全.docx》由会员分享,可在线阅读,更多相关《计算机网络安全.docx(26页珍藏版)》请在冰点文库上搜索。
计算机网络安全
计算机网络安全
前言
摘要:
网络安全的定义:
从狭义的保护角度来看,计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害,从广义来说,凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。
网络安全是一个系统的工程,不能仅仅依靠防火墙等单个的系统,而需要仔细考虑系统的安全需求,并将各种安全技术结合在一起,才能更有效地维护自己的计算机网络及信息的安全,生成一个高效、通用、安全的网络系统。
关键词:
计算机网络安全防范防火墙
Abstract:
Thedefinitionofnetworksecurity:
protectionfromthenarrowpointofview,referstocomputernetworksecuritycomputernetworksystemanditsresourcesandinformationresourcesfromtheharmfulfactorsofnaturalandman-madethreatsandhazards,fromthebroadsense,allrelatedtocomputernetworkofinformationconfidentiality,integrity,availability,authenticityandcontroltechnologiesandtheoriesareallcomputernetworksecurityresearchfield.Networksecurityisasystemworksandcannotrelysolelyonasinglefirewallsystem,andtheneedtothinkcarefullyaboutthesafetyofthesystemdemand,andcombinesavarietyofsecuritytechnologiesinordertomoreeffectivelyprotecttheircomputernetworkandinformationsecurity,generateahigh-performance,general,securityofnetworksystem.
Keywords:
computernetworksecuritypreventfirewall
第一章绪论
随着网络安全形势日益严峻,近年来网络安全问题已引起人们高度重视,但由于计算机网络具有联结形式多样性,终端分布不均匀性和网络的开放性、互联性等特征,致使网络易受黑客、恶意软件和其他不轨的攻击,特别是人们在观念上的误区,致使网络安全受到严重的威胁,下面就网络安全面临的威胁和网络安全存在的问题作一分析,提出网络安全最大的隐患来自内部,因此要解决网络安全问题!
首先应该重在“防”,然后才是“治”!
普及网络用户病毒防范意识,是减少网络安全隐患的第一环,也是极其关键的一环。
最后有针对性的提出网络安全问题与对策?
为网络安全工作探索一条新思路。
1.1网络安全的基本概念
从本质上看,网络安全就是网络上的信息安全。
从广义上来说,凡是涉及到网络信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全的研究领域。
通俗地说,网络安全的主要目标是保护网络信息系统,使其没有危险,不受威胁,不出事故。
在这里,我们用5个通俗的说法,来形象地描绘网络安全的目标:
●进不来
●看不懂
●改不了
●拿不走
●跑不掉
从技术角度来说,网络安全的目标可归纳为4个方面:
●可用性
●机密性
●完整性
●不可抵赖性
图1-1给出了这两种目标之间的对应关系。
图1-1网络安全的目标
(1)可用性
可用性指信息或者信息系统可被合法用户访问,并按其要求运行的特性。
如图1-1所示,“进不来”、“改不了”和“拿不走”都实现了信息系统的可用性。
人们通常采用一些技术措施或网络安全设备来实现这些目标。
例如:
●使用防火墙,把攻击者阻挡在网络外部,让他们“进不来”。
●即使攻击者进入了网络内部,由于有加密机制,会使他们“改不了”和“拿不走”关键信息和资源。
(2)机密性
机密性将对敏感数据的访问权限制在那些经授权的个人,只有他们才能查看数据。
机密性可防止向XX的个人泄露信息,或防止信息被加工。
如图1-1所示,“进不来”和“看不懂”都实现了信息系统的机密性。
●人们使用口令对进入系统的用户进行身份鉴别,非法用户没有口令就“进不来”,这就保证了信息系统的机密性。
●即使攻击者破解了口令,而进入系统,加密机制也会使得他们“看不懂”关键信息。
例如,甲给乙发送加密文件,只有乙通过解密才能读懂其内容,其他人看到的是乱码。
由此便实现了信息的机密性。
(3)完整性
完整性指防止数据XX或意外改动,包括数据插入、删除和修改等。
为了确保数据的完整性,系统必须能够检测出XX的数据修改。
其目标是使数据的接收方能够证实数据没有被改动过。
如图1-1所示,“改不了”和“拿不走”都实现了信息系统的完整性。
使用加密机制,可以保证信息系统的完整性,攻击者无法对加密信息进行修改或者复制。
(4)不可抵赖性
不可抵赖性也叫不可否认性,即防止个人否认先前已执行的动作,其目标是确保数据的接收方能够确信发送方的身份。
例如,接受者不能否认收到消息,发送者也不能否认发送过消息。
如图1-1所示,“跑不掉”就实现了信息系统的不可抵赖性。
如果攻击者进行了非法操作,系统管理员使用审计机制或签名机制也可让他们无处遁形。
信息安全的技术主要包括监控、扫描、检测、加密、认证、防攻击、防病毒以及审计等几个方面,其中加密技术是信息安全的核心技术,已经渗透到大部分安全产品之中,并正向芯片化方向发展。
目前,增强互联网安全的主要方法和途径也因此分为两大类:
a.以防火墙技术为代表的被动防卫型方案。
被动型安全解决方案只能被动地保护企业内部网安全,并且对网络的拓扑结构有特殊要求。
b.以数据加密、用户授权认证为核心的主动开放型方案。
以数据加密和用户认证为基础的主动开放型方案对网络结构不作任何要求,就能直接对源数据进行主动保护,实现端到端的安全。
在主动开放型方案中,只有指定的用户或网络设备才能够解译加密数据,毫无疑问,加密技术是这类解决方案的核心。
【1】
1.2计算机网络面临的威胁
计算机网络所面临的威胁大体可分为两种:
一是对网络中信息的威胁;二是对网络中设备的威胁。
影响计算机网络的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;可能是外来黑客对网络系统资源的非法使有,归结起来,针对网络安全的威胁主要有三:
(1)人为的无意失误
如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户
口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。
(2)人为的恶意攻击
这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。
此类攻击又可以分为以下两种:
一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。
这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。
(3)网络软件的漏洞和“后门”
网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事
件的大部分就是因为安全措施不完善所招致的苦果。
另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。
【2】
第二章计算机网络安全与防范
2.1计算机网络安全中存在的问题
随着网络时代的来临,人们在享受着网络带来的无尽的快乐的同时,也面临着越来越严重和复杂的网络安全威胁和难以规避的风险。
原来由单个计算机安全事故引起的损害可能传播到其他系统和主机,从而引起大范围的瘫痪和损失,另外加上缺乏安全控制机制和对网络安全政策及防护意识的认识不足,这些风险正日益加重。
常见的威胁主要来自以下几个方面。
(1)自然威胁
自然威胁可能来自与各种自然灾害、恶劣的场地环境、电磁辐射和干扰、网络设备的自然老化等。
这些无目的的事件有时也会直接或间接地威胁网络的安全,影响信息的存储和交换。
(2)非授权访问
指具有熟练编写和调试计算机程序的技巧并使用这些技巧来获得非法或未授法的网络或文件访问,侵入到他方内部网的行为。
网络入侵的目的主要是取得使用系统的存储权限、写权限以及访问其他存储内容的权限,或者是作为进一步进入其他系统的跳板,或者恶意破坏这个系统,使其毁坏而丧失服务能力。
(3)后门和木马程序
从最早计算机被入侵开始,黑客们就已经发展了“后门”这门技术,利用这门技术,他们可以再次进入系统。
后门的功能主要有:
使管理员无法阻止种植者再次进入系统;使种植者在系统中不易被发现;使种植者进入系统花费最少时间。
木马,又称为特洛伊木马,是一类特殊的后门程序,英文叫做。
trojianhorse。
其名称取自希腊神话的。
特洛伊木马记。
它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
木马里一般有两个程序,一个是服务器程序,一个是控制器程序。
如果一台电脑被安装了木马服务器程序,那么,黑客就可以使用木马控制器程序进入这台电脑,通过命令服务器程序达到控制你的电脑的目的。
(4)计算机病毒
计算机病毒指编制或在计算机程序中插入的破坏计算机功能和数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
如常见的蠕虫病毒,就是以计算机为载体,利用操作系统和应用程序的漏洞主动进行攻击,是一种通过网络传统的恶性病毒。
它具有病毒的一些共性,如传播性、隐蔽性、破坏性和潜伏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合等。
其他常见的破坏性比较强的病毒有宏病毒、意大利香肠等。
2.2计算机网络安全的防范措施
(1)加强网络的完整性
网络是信息系统里连接主机、用户机及其他电脑设备的基础。
从管理的角度看,网络可以分为内部网与外部网。
网络的安全涉及到内部网的安全保证以及两者之间连接的安全保证。
目前,使用比较广泛的网络安全技术包括防火墙、网络管理和通信安全技术。
(2)防火墙和病毒防范
防火墙是内部网与外部网之间的“门户”,对两者之间的交流进行全面管理,以保障内部和外部之间安全、通畅的信息交换。
防火墙采用包过滤、电路网关、应用网关、网络地址转化、病毒防火墙、邮件过滤等技术,使得外部网无法知晓内部网的情况,对用户使用网络有严格的控制和详细的记录。
病毒防范不仅针对单个的电脑系统,也要增加了对网络病毒的防范。
在文件服务器应用服务器和网络防火墙上增加防范病毒的软件,把防毒的范围扩大到网络里的每个系统。
(3)网络管理技术和通信安全技术
运用网络管理技术可以对内部网络进行全面监控。
具有展示拓扑图、管理流量、故障报警等功能。
网络管理系统对整个网络状况进行智能化的检测,以提高网络的可用性和可靠性,从而在整体上提高网络运行的效率,降低管理成本;通信安全技术为网络间通信提供了安全的保障,加强了通信协议上的管理。
在具体应用上,通信安全技术表现在对电子邮件的加密、建立安全性较高的电子商务站点、建设可靠性高的虚拟网等。
(4)访问控制
利用策略在用户、职能、对象、应用条件(Condtion)之间建立统一而完善的管理。
实现“什么人,在什么条件下,对什么对象,有什么工作职能权限”的管理目标。
使用访问控制列表服务,对用户的访问权限进行管理。
用户授权常常与账号安全中的用户认证技术集成在一起。
在对用户作认证之后,根据访问控制列表给用户授权。
认证和授权的紧密结合,为信息系统的用户访问安全提供了一个完善保障。
远程登录访问服务用户管理的国际标准RA-DIUS协议便规定了认证、授权、记账服务的具体实施方法是广为使用的用户认证和授权的标准。
数据的保密是许多安全措施的基本保证。
加密后的数据能保证在传输、使用和转换时不被第三方获启。
在信息时代,网络的安全是关系信息系统正常使用的关键。
建立全面实用的安全体系需要从各个层次着手,针对自身的安全需求,采取相应的安全措施。
(5)加强系统的完整性
系统的安全管理围绕着系统硬件、系统软件及系统上运行的数据库和应用软件来采取相应的安全措施。
系统的安全措施将首先为操作系统提供防范性好的安全保护伞,并为数据库和应用软件提供整体性的安全保护。
在系统这一层,具体的安全技术包括病毒防范、风险评估、非法侵入的检测及整体性的安全审计。
(6)风险评估
它检查出系统的安全漏洞,同时还对系统资源的使用状况进行分析,以提示出系统最需解决的问题。
在系统配置和应用不断改变的情况下,系统管理员需要定期地对系统、数据库和系统应用进行安全评估,及时采取必要的安全措施,对系统实施有效地安全防范。
(7)加强用户账号的完整性
用户账号无疑是计算机网络里最大的安全弱点。
获取合法的账号和密码是黑客攻击网络系统最常用的方法。
用户账号的涉及面很广,包括网络登录账号、系统登录账号、数据库登录账号、应用登录账号、电子邮件账号、电子签名、电子身份等。
因此,用户账号的安全措施不仅包括技术层面上的安全支持,还需在信息管理的政策方面有相应的措施。
只有双管齐下,才能真正有效地保障用户账号的保密性。
从安全技术方面,针对用户账号完整性的技术包括用户分组的管理、
惟一身份和用户认证。
(8)用户认证
它对用户登录方法进行限制。
这就使检测用户惟一性的方法不仅局限于用户名和密码,还可以包括用户拨号连接的电话号码、用户使用的终端、用户使用的时间等。
在用户认证时,使用多种密码,更加加强了用户惟一性的确认程度。
(9)及时安装补丁程序
安全特性越高级,复杂性也就越高,而且各种操作系统往往绑定了许多已经启动的服务。
如果说这些都不是很严重的问题的话,那么我们还要面对另外一种危险,即有漏洞的程序所带来的威胁。
一般来说有两种主要的系统漏洞:
第一种称为基本漏洞。
这种漏洞隐匿于操作系统的安全结构中,这是某个有安全隐患的程序固有的漏洞。
一旦检测到这种漏洞,黑客可以以未授权方式访问系统及其数据;还有一种所谓的二级系统漏洞。
二级漏洞是指出现在程序中的某个漏洞,虽然与安全问题毫无关联,但它却导致系统中别的地方产生了安全隐患。
如果这种程序遭受了攻击,黑客可以通过它们获得某些文件和服务特殊的访问权限。
不管是基本漏洞还是二级漏洞,当某些日常的程序中有系统漏洞时,它们就会对Internet通信造成极大的安全隐患。
为了暂时纠正这些漏洞,软件厂商发布补丁程序。
那些能够对其网络工具、漏洞及补丁程序做及时更新的用户往往准备比较充分,而没有这种经验的用户往往受到伤害。
因此,我们应及时安装补丁程序,有效解决漏洞程序所带来的问题。
总之:
计算机网络的迅速发展和广泛应用,开创了计算机应用的崭新局面。
信息的交互和共享,已经突破了国界,涉及到整个世界。
在这种互连性和开放性给社会带来极大效益的同时,计算机罪犯也得到了更多的机会。
犯罪的手段不断翻新,由简单的闯入系统发展到制造复杂的计算机病毒。
因此,我们必须加强计算机的安全防护,防范于未来。
只有这样,我们才能在网上冲浪的同时享受Intemet信息时代带来的无限快乐。
【3】
第三章网络安全的技术与管理
3.1网络安全技术
网络世界的敌人有以下几类。
首先是网络病毒。
通过互联网,网络病毒迅速蔓延,并且大量地消耗网络资源,感染网络上的计算机并造成网络应用的大面积瘫痪。
其次是网络攻击,黑客对网络上的主机或网络设备进行攻击,使其消耗大量的系统资源,因而无法为正常的网络应用提供服务,甚至可能造成设备的彻底瘫痪。
同时,网络入侵和网络欺诈也是安全世界里频发的问题。
网络黑客通过散布木马程序、搜索系统漏洞等方法进入非授权的敏感系统,特别是金融、政治、军事等机构的敏感系统,窃取机密信息,甚至摧毁系统的重要数据。
或者通过某些技术手段,伪装成合法的用户或服务提供商,来骗取交易另一方的信任,骗取金钱或机密信息。
种种不安全因素也意味着广阔的市场和无限的商机。
赛迪顾问的报告显示,中国网络安全市场在过去一年里规模增长稳定,防火墙作为网络安全的一个细分产品表现一枝独秀,其市场增长率在三大类主要安全产品中居于首位。
同时,整合式安全网关已经呈现“替代中低端防火墙产品,成为业界主流”的趋势。
多家主流厂商已经根据市场需求推出了自己的安全网关产品。
网络安全市场表现出用户厌倦被动升级,厂商推出主动防御的现象。
目前主动防御技术主要是针对未知病毒提出来的病毒防杀技术,而其主要实现方式则是通过病毒的行为特征来判别其是否为病毒,而不再像传统那样依赖病毒代码的发现。
3.2网络安全的技术产品
从去年的市场表现来看,防火墙再度成为出色的网络安全细分产品,市场增长率在三大类主要安全产品中居于首位。
包括国内外厂商在内的各个主要防火墙厂商在延伸和拓宽自己产品线的同时,着力提高自己的安全整体解决方案提供能力、安全服务能力和安全咨询能力,以期能够帮助更多的用户更好地构建坚实的信息安全体系。
3.3网络安全的管理
网络安全的问题不仅仅是技术问题,还有网络的管理问题,包括对网络犯罪的治理和执法。
不可否认的是,当今的网络安全与往日相比,已经有了很大程度的提高,但“道高一尺,魔高一丈”,网络犯罪的技术也在“不断升级”,这也加大了网络治理的难度。
截至目前,各国的网络管理立法工作几乎都处于起始阶段,使得许多问题的网上执法至今无法可依。
维护全球网络安全是一项牵涉到政府、企业、个人和国际合作的复杂工程,需要各方面的共同努力。
其中,各国政府负有对网络使用环境加以保护和管理的不可推卸的责任,提供网络服务的各企业有健全和强化网络安全措施的责任,个人使用者有自觉接受规范约束和保护网络的责任,而相关国际组织有组织国际协商和建立全球网络规则并加以实施的责任。
只有各方都能尽责,全球网络安全的改善才有可能。
安全问题层出不穷,迫使人们积极寻求解决方案。
信息安全服务在西方发达国家起步较早。
1989年,美国成立了第一个信息安全应急组织。
中国也在2005年成立了国家计算机网络应急技术处理协调中心。
各国为了加强网络安全使出浑身解数,甚至调动卫星等资源,专门组建信息战部队等。
现实中为保障人员安全、企业安全或者国家安全,还可以进行“物理隔离”,但是在虚拟世界,是没有绝对的安全的。
只能靠法律的健全、人们道德的完善、国际合作等方式来尽量减少网络犯罪。
【4】
第四章加强网络安全的常用防护技术
4.1加密技术
加密技术是网络安全的核心,现代密码技术发展至今二十余年,其技术已由传统的只注重保密性转移到保密性、真实性、完整性和可控性的完美结合。
加密技术是解决网络上信息传输安全的主要方法,其核心是加密算法的设计。
加密算法按照密钥的类型,可分为非对称密钥加密算法和对称密钥加密算法。
(1)非对称密钥加密
1976年,美国学者Dime和Henman为解决信息公开传送和密钥管理问题,提出一种新的密钥交换协议,允许在不安全的媒体上的通讯双方交换信息,安全地达成一致的密钥,这就是“公开密钥系统”。
相对于“对称加密算法”这种方法也叫做“非对称加密算法”。
与对称加密算法不同,非对称加密算法需要两个密钥:
公开密钥(publickey和私有密(privatekey)。
公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。
因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。
(2)对称加密技术
对称加密采用了对称密码编码技术,它的特点是文件加密和解密使用相同的密钥,即加密密钥也可以用作解密密钥,这种方法在密码学中叫做对称加密算法,对称加密算法使用起来简单快捷,密钥较短,且破译困难,除了数据加密标准(DNS),另一个对称密钥加密系统是国际数据加密算法(IDEA),它比DNS的加密性好,而且对计算机功能要求也没有那么高。
IDEA加密标准由PGP(PrettyGoodPrivacy)系统使用。
【5】
4.2防火墙
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段进入内部网络,访问内部网络资源,保护内部网络的特殊网络互联设备。
它对两个或多个网络之问传输的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
根据防火墙所采用的技术不同,我们可以将它分为4种基本类型:
包过滤型、网络地址转换型,代理型和监测型。
(1)包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。
网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。
防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。
系统管理员也可以根据实际情况灵活制订判断规则。
包过滤技术的优点是简单实用,实现成本低。
它是一种完全基于网络层的安全技术,只能根据数据包的源、目标端口等网络信息进行判断,无法识别基于应用层的恶意侵入,有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙,达到入侵网络的目的。
(2)网络地址转换型
网络地址转换是一种用于把IP地址转换成临时的、外部的IP地址标准。
它允许具有私有IP地址的内网访问因特网。
在内网通过安全网卡访问外网时,将产生一个映射记录。
系统将外出的源地址映射为一个伪装的地址,让这个伪装的地址通过非安全网卡与外网连接,这样对外就隐藏了真实的内网地址。
在外网通过非安全网卡访问内网时,它并不知道内网的连接情况,而只是通过一个开放的IP地址来请求访问。
防火墙根据预先定义好的映射规则来判断这个访问是否安全。
当符合规则时,防火墙认为是安全的访问,可以接受访问请求。
当不符合规则时,防火墙认为该访问是不安全的,就屏蔽外部的连接请求。
网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
(3)代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。
代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。
当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后由代理服务器将数据传输给客户机。
由于外部系统与内部服务器之问没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。
其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
(4)监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。
监测型防火墙能够对各层的数据进行主动、实时的监测,在对这些数
升级会员 