时间:2022-04-01 16:57:31
导语:在网络安全技术的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
[关键词]网络安全;安全意识;信息加密;安全实施
中图分类号:TP393.08 文献标识码:A 文章编号:1009-914X(2015)05-0244-01
前言:随着Internet技术的成熟,整个世界通过互联网已连为一体。信息和网络服务的高度共享,网络所代表的开放式信息系统成为现代信息社会的必然发展趋势。但人们在享受信息革命带来的巨大喜悦中,也不得不对网络信息安全性报以足够的忧虑。网络的开放性、尤其是Interne网的国际性、自由性、无主管性、缺少法律约束以及自身结构上的安全缺陷,给网络带来了巨大的安全风险,安全问题严重地制约了网络的进一步发展。怎样合理地解决目前计算机网络中存在的安全问题,以及可能会发生的安全问题等,都是计算机网络研究中至关重要,不可回避的课题。
计算机网络是指将地理位置不同的具有独立功能的多台计算机及其外部设备,通过通信线路连接起来,在网络操作系统,网络管理软件及网络通信协议的管理和协调下,实现资源共享和信息传递的计算机系统。
一、构成计算机网络不安全的原因有很多,笔者认为主要有以下几点:
l、操作系统本身不安全,这是操作系统不安全的根本原因。操作系统不安全的首要原因是操作系统结构制造成的,操作系统支持程序动态连接与数据动态交换,这虽然是现代系统集成和系统扩展的需要,但显然与安全是有矛盾的;操作系统不安全的原因还在于可以创建进程,甚至支持在网络的节点上进行远程进程的创建与激活,并且被创建进程还可以继承创建进程的权利。操作系统通常都提供 daemon软件,这种软件实际上都是一些系统进程的,但往往与其他操作系统核心层软件有同等的权力。他们总在等待一些条件的出现,一旦条件出现 ,程序便可以运行下去。这些软件通常都是“黑客”常利用的。
2、网络自身具有不安全性。Internet和TCP /IP协议在最初设计时,主要追求网络的互联性及其所能提供的服务,并没有考虑安全问题.这就造成了基于TCP /IP协议应用程序的不安全。集中表现在:几乎所有的数据在网络上都是明文传输和用户在网络上身份仅通IP 地址表现。由于这两个原因,使得一些软件产品的安全工作形同虚设。
3、各种应用服务存在安全问题。Telnet、NFS、RPC、FTP等都存在安全问题。例如Telnet、FTP协议在用户认证时,密码以明文方式传送。
4、Internet上随处可以方便地获取系统入侵和破解工具。
5、安全制度的不健全,很少有单位制定严格的安全制度并能够坚持执行的。
从一般意义上讲 ,网络安全所面临的威胁主要可分为两大类 :一是网络中信息的威胁;二是对网络中设备的威胁。主要表现在:
1、信息泄漏:非法窃取网络传输数据以获取有用的信息,如对通信线路中传输的信后进行打线监听 。
2、信息篡改:截取网上传输的数据包,并进行修改,添加 或破坏 。
3、非授权访问:利用网络资源,非法登人系统 ,获得网络资源与网络信息,甚至进行蓄意破坏。
4、非法信息渗透:利用 Internet的开放性特点,向企业内部传播不良信息激战。
5、假冒合法用户,通过网络对企业的正常业务进行干扰,如发送虚假订单等.
二、网络安全技术
l、加密技术 :在计算机网络中, 常用的加密技术有节点加密、链路加密和端到端加密3种。
1.1 节点加密:在信息被传人实际通信连接点之前进行。它在OSI 7层模型的第l层、第2层之间进行,是对相邻两节点之间传输的数据进行加密,不过为了便于传输路由的选择,它仅对报文加密,而不对报头加密。节点加密的目的是对源节点到目的节点之间的传输链路提供加密保护。
1.2 链路加密:在数据链路层进行,是对相邻节点之间的链路上所传输的数据进行加密,不仅对数据加密还对报头加密。链路加密的目的是保护网络节点之间的链路信息安全。在采用链路加密的网络中,每条通信链路上的加密是独立实现的,使用不同的加密密钥,这样当某条链路受到破坏时不会导致其他链路上传送的信息被破译。
1.3 端到端加密:端到端加密的目的是对源端用户到目的端用户的数据提供加密保护。在始发节点上实施加密。在中间节点以密文形式传输, 最后到达目的节点时才进行解密。在端到端加密的情况下, 控制信息部分(如源节点地址、目的节点地址、路由信息等)不能被加密,否则中问节点就不能正确选择路由。
加密技术是网络信息最基本、最核心的技术措施。
2、保证信息完整性:它包括数据单元的完整性 和数据单元序列的完整性两种形式。前者要求在每个数据单元增加分组校验或密码校验;后者则要求增加序列号或时间标记。
3、鉴别交换技术:通过在对等实体间交换认证信息,以便检验和确认对等实体的合法性。鉴别交换技术有口令、密码技术等。
4、确定技术:确认是确保信息 源点身份正确,其采用的技术是数字签名。数字签名利用非对成加密体制:加密方使用加密密钥签名,收件方使用解密密钥。
5、访问控制技术:访问控制技术是按事先确定的规则决定主体对客体的访问是否合法。防止未授权访问是信息保护 的前缘屏障和最基本的技术。
6、虚拟专用网络技术(VPN):VPN是在共享网络上通过应用一种被称为“隧道”的技术实现的一种连接,它是分布在不 同地方的专用网络在不可信任的公共网络上安全地通信,其采用复杂的算法来加密传输的信息,使得需要受保护的数据不会被窃取。
7、网络安全检测技术:网络安全检测是采取预先主动的方式,对客户端和网络的各层进行全面有效的自动安全检测,它主要包括安全扫描技术和实时安全监控技术。
三、网络安全实施的两种技术
1、静态安全技术 :目前市场上很多流行的安全社设备都属于静态安全范畴,如防火墙等,它们针对的是来自系统外部的攻击,一旦外部侵入者进入了系统,它们便不受任何阻挡。认证手段也与此类似,一旦侵入者骗过了认证系统 ,那么侵入者便成为系统的内部人员。传统的防火墙的缺点在于无法做到安全与速度同步提高,一旦考虑到安全因素而对网络数据流量进行检测和分析,网络传输速度势必受到影响。静态安全技术的缺点是需要人工来实施和维护,不能主动跟踪入侵者。
2、动态安全技术:动态安全技术能主动检测网络的易受攻击点和安全漏洞,并且通常能够早于人工探测到危险行为。它的主要检测范围包括:对网络、系统和应用程序易受攻击点的检测和扫描、对可疑行为的监控和病毒检测。这是一种集网络系统入侵检测、安全扫描和动态下响应和审计分析于一身的网络安全解决方案。他利用综合性审计技术发现网络环境中的安全漏洞,保证网络安全的完整性。他可以确定防火墙的防护规则是否正常发挥作用,评估Internet、Web服务器、防火墙、路由器的安全性:扫描、测试和确定网络中存在的可被黑客利用的脆弱性。动态安全技术的最 大优点在于主动性,通过将实时的捕捉和分析系统与网络监控系统相结合,早于黑客入侵之前发现网络中潜在的危险,及时采取保护和防范措施,提高网络的安全性。
参考文献
关键词:网络安全 防火墙 PKI技术
1.概述
网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,就其产品的主流趋势而言,大多数服务器(也称应用网关)也集成了包滤技术,这两种技术的混合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。
安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。
2.防火墙的选择
选择防火墙的标准有很多,但最重要的是以下几条:
2.1.总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。
2.2.防火墙本身是安全的
作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。
通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。
2.3.管理与培训
管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。
2.4.可扩充性
在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。
2.5.防火墙的安全性
防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。
3.加密技术
信息交换加密技术分为两类:即对称加密和非对称加密。
3.1.对称加密技术
在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES(数据加密标准)的一种变形,这种方法使用两个独立的56为密钥对信息进行3次加密,从而使有效密钥长度达到112位。
3.2.非对称加密/公开密钥加密
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。
3.3.RSA算法
RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制,其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下:
公开密钥:n=pq(p、q分别为两个互异的大素数,p、q必须保密)
e与(p-1)(q-1)互素
私有密钥:d=e-1 {mod(p-1)(q-1)}
加密:c=me(mod n),其中m为明文,c为密文。
解密:m=cd(mod n)
利用目前已经掌握的知识和理论,分解2048bit的大整数已经超过了64位计算机的运算能力,因此在目前和预见的将来,它是足够安全的。
4.PKI技术
PKI(Publie Key Infrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。它是认证机构(CA)、注册机构(RA)、策略管理、密钥(Key)与证书(Certificate)管理、密钥备份与恢复、撤消系统等功能模块的有机结合。
4.1.认证机构
CA(Certification Authorty)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关。此外,灵活也是CA能否得到市场认同的一个关键,它不需支持各种通用的国际标准,能够很好地和其他厂家的CA产品兼容。
4.2.注册机构
RA(Registration Authorty)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。
4.3.策略管理
在PKI系统中,制定并实现科学的安全策略管理是非常重要的这些安全策略必须适应不同的需求,并且能通过CA和RA技术融入到CA 和RA的系统实现中。同时,这些策略应该符合密码学和系统安全的要求,科学地应用密码学与网络安全的理论,并且具有良好的扩展性和互用性。
4.4.密钥备份和恢复
为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。
4.5.证书管理与撤消系统
证书是用来证明证书持有者身份的电子介质,它是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消,证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的机制撤消证书或采用在线查询机制,随时查询被撤消的证书。
5.安全技术的研究现状和动向
关键词:网络安全;技术
中图分类号:TP31文献标识码:A
互联网的飞速发展给人们的生产生活带来了巨大变化,然而网络安全技术作为一个独特的领域越来越受到全球网络建设者及使用者的关注,本文主要就网络中经常受到的网络攻击及预防措施进行论述。
一、常见的网络攻击
(一)入侵系统攻击。此类攻击如果成功,将使你的系统上的资源被对方一览无遗,对方可以直接控制你的机器,可任意修改或盗取被控机器中的各种信息。
(二)欺骗类攻击。网络协议本身的一些缺陷可以被利用,使黑客可以对网络进行攻击,主要方式有:IP欺骗;ARP欺骗;DNS欺骗;Web欺骗;电子邮件欺骗;源路由欺骗;地址欺骗等。
(三)利用病毒攻击。病毒是黑客实施网络攻击的有效手段之一,它具有传染性、隐蔽性、寄生性、繁殖性、潜伏性、针对性、衍生性、不可预见性和破坏性等特性,而且在网络中其危害更加可怕,目前可通过网络进行传播的病毒已有数万种,可通过注入技术进行破坏和攻击。
(四)木马程序攻击。特洛伊木马是一种直接由一个黑客,或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限,安装此程序的人就可以直接远程控制目标系统。
(五)网络侦听。网络侦听为主机工作模式,主机能接受到本网段在同一条物理通道上传输的所有信息。只要使用网络监听工具,就可以轻易地截取所在网段的所有用户口令和账号等有用的信息资料。
(六)对防火墙的攻击。防火墙也是由软件和硬件组成的,在设计和实现上都不可避免地存在着缺陷,对防火墙的攻击方法也是多种多样的,如探测攻击技术、认证的攻击技术等。
二、防御措施主要有以下几种
(一)防火墙。防火墙是建立在被保护网络与不可信网络之间的一道安全屏障,用于保护企业内部网络和资源。它在内部和外部两个网络之间建立一个安全控制点,对进、出内部网络的服务和访问进行控制和审计。
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换――NAT、型和监测型。
1、包过滤型。包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外,系统管理员也可以根据实际情况灵活制定判断规则。
2、网络地址转化――NAT。网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准,它允许具有私有IP地址的内部网络访问因特网,它还意味着用户不需要为其网络中每一台机器取得注册的IP地址,在内部网络通过安全网卡访问外部网络时,将产生一个映射记录,系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问OLM防火墙,根据预先定义好的映射规则来判断这个访问是否安全;当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
3、型。型防火墙也可以被称为服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,服务器相当于一台真正的服务器;而从服务器来看,服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给服务器,服务器再根据这一请求向服务器索取数据,然后再由服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部的网络系统。
4、监测型。监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。
(二)虚拟专用网。虚拟专用网(VPN)的实现技术和方式有很多,但是所有的VPN产品都应该保证通过公用网络平台传输数据的专用性和安全性。如在非面向连接的公用IP网络上建立一个隧道,利用加密技术对经过隧道传输的数据进行加密,以保证数据的私有性和安全性。此外,还需要防止非法用户对网络资源或私有信息的访问。
(三)虚拟局域网。选择虚拟局域网(VLAN)技术可从链路层实施网络安全。VLAN是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。该技术能有效地控制网络流量、防止广播风暴,但VLAN技术的局限在新的VLAN机制较好的解决了,这一新的VLAN就是专用虚拟局域网(PVLAN)技术。
(四)漏洞检测。漏洞检测就是对重要计算机系统或网络系统进行检查,发现其中存在的薄弱环节和所具有的攻击性特征。通常采用两种策略,即被动式策略和主动式策略。被动式策略基于主机检测,对系统中不合适的设置、口令以及其他同安全规则相背的对象进行检查;主动式策略基于网络检测,通过执行一些脚本文件对系统进行攻击,并记录它的反应,从而发现其中的漏洞。漏洞检测的结果实际上就是系统安全性的一个评估,它指出了哪些攻击是可能的,因此成为安全方案的一个重要组成部分。漏洞检测系统是防火墙的延伸,并能有效地结合其他网络安全产品的性能,保证计算机系统或网络系统的安全性和可靠性。
(五)入侵检测。入侵检测系统将网络上传输的数据实时捕获下来,检查是否有黑客入侵或可疑活动的发生,一旦发现有黑客入侵或可疑活动的发生,系统将做出实时报警响应。
(六)密码保护。加密措施是保护信息的最后防线,被公认为是保护信息传输唯一实用的方法。无论是对等还是不对等加密都是为了确保信息的真实和不被盗取应用,但随着计算机性能的飞速发展,破解部分公开算法的加密方法已变得越来越可能。
(七)安全策略。安全策略可以认为是一系列政策的集合,用来规范对组织资源的管理、保护以及分配,以达到最终安全的目的,安全策略的制定需要基于一些安全模型。
总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,为网络提供强大的安全服务――这也是网络安全领域的迫切需要。
(作者单位:中国铁通南阳分公司)
主要参考文献:
[关键词]网络安全威胁防护技术趋势
中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)1210104-02
一、计算机网络安全概述
(一)网络安全的定义
国际标准化组织(ISO)将计算机安全定义为“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。”我国自己提出的定义是:“计算机系统的硬件、软件、数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、泄露,系统能连续正常运行。”因此,所谓网络安全就是指基于网络的互联互通和运作而涉及的物理线路和连接的安全,网络系统的安全,操作系统的安全,应用服务的安全和人员管理的安全等几个方面。总的说来,计算机网络的安全性,是由数据的安全性、通信的安全性和管理人员的安全意识三部分组成。①
(二)影响计算机网络安全的主要因素
计算机网络安全受到的安全威胁是来自各个方面的,一般来说,影响计算机网络安全的因素主要有以下几个方面:
1.计算机网络使信息的收集方便而且快速,信息的价值剧增,吸引了许多网上黑客前来攻击。
2.现有的计算机系统皆有安全漏洞,使网络入侵成为可能。一般操作系统的体系结构其本身是不安全的,这也是计算机系统不安全的根本原因之一,操作系统的程序是可以动态连接的,包括FO的驱动程序与系统服务,都可以用打“补丁”的方式进行动态连接,为黑客的侵入和病毒的产生提供了一个好环境。
3.网络系统中数据的安全问题。网络中的信息数据是存放在计算机数据库中的,通常也指存放在服务器中的信息集,供不同的用户来共享,数据库存在不安全性和危险性,因为在数据库系统中存放着大量重要的信息资源,在用户共享资源时可能会出现以下现象:授权用户超出了他们的访问权限进行更改活动,非法用户绕过安全内核,窃取信息资源等。
4.远程访问控制使得每个主机甚至可以被国外的黑客攻击。网络黑客是计算机网络发展的产物,黑客攻击,早在10多年前的主机终端时代就已出现,随着Internet的发展,现代黑客则从以系统为主的攻击转变到以网络为主的攻击,利用网络窃取重要的情报,毁坏数据和信息。
5.目前的计算机病毒不但可以破坏计算机硬件,而且可以破坏网络安全系统并通过网络破坏更多的计算机。
二、计算机网络所面临的威胁及攻击
(一)管理的欠缺
网络系统的严格管理是企业、机构及用户免受攻击的重要措施。事实上,很多企业、机构及用户的网站或系统都疏于这方面的管理。据IT界企业团体ITAA的调查显示,美国90%的IT企业对黑客攻击准备不足。目前,美国75~85%的网站都抵挡不住黑客的攻击,约有75%的企业网上信息失窃,其中25%的企业损失在25万美元以上。此外,管理的缺陷还可能出现系统内部人员泄露机密或外部人员通过非法手段截获而导致机密信息的泄漏,从而为一些不法分子制造了可乘之机。②
(二)网络的缺陷及软件的漏洞
因特网的共享性和开放性使网上信息安全存在先天不足,因为其赖以生存的TCP/IP协议,缺乏相应的安全机制,而且因特网最初的设计考虑是该网不会因局部故障而影响信息的传输,基本没有考虑安全问题,因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。此外,随着软件系统规模的不断增大,系统中的安全漏洞或“后门”也不可避免地存在,比如我们常用的操作系统,无论是Windows还是UNIX都存在或多或少的安全漏洞,众多的各类服务器、浏览器、一些桌面软件等等都被发现过存在安全隐患。
(三)计算机病毒
病毒是计算机中最让人头痛,也是最普遍的安全威胁,几乎每一个用过电脑的人都受到过病毒或多或少的威胁。大到系统崩溃,数据丢失,小到影响系统性能,甚至有的病毒只是开个玩笑。
(四)黑客的攻击
黑客是影响网络安全的最主要因素之一。“黑客”是英文“Hacker”的译音,原意是用来形容独立思考,然而却奉公守法的计算机迷,热衷于设计和编制计算机程序的程序设计者和编程人员。然而,随着社会发展和技术的进步“Hacker”的定义有了新的演绎,出现了一类专门利用计算机犯罪的人,即那些凭借自己所掌握的计算机技术,专门破坏计算机系统和网络系统,窃取政治、军事、商业秘密,或者转移资金账户,窃取金钱,以及不露声色地捉弄他人,秘密进行计算机犯罪的人。
三、计算机网络的安全技术
通过对网络系统各个层次的分析可以给数据链路层网络层系统层数据库层和应用层提供全面的保护。
(一)加密技术
加密技术是网络安全的核心,现代密码技术发展至今二十余年,其技术已由传统的只注重保密性转移到保密性、真实性、完整性和可控性的完美结合。加密技术是解决网络上信息传输安全的主要方法,其核心是加密算法的设计。③
1.非对称密钥加密
在非对称机密体系中,密钥被分解为一对(即公开密钥和私有密钥),而且加密密钥与解密密钥不同,是一种利用公开加密密钥加密,利用不公开解密密钥解密的密码体制。
2.对称加密技术
在对称加密技术中,对信息的加密和解密都使用相同的钥匙,这种加密方法可简化加密处理过程。信息交换双方都不必彼此研究交换专用的加密算法。若在交换阶段私有密钥未曾泄漏,那么机密性和报文完整性就可以得以保证。
(二)网络防病毒技术
由于网络计算机病毒是网络系统最大的攻击者,具有强大的传染性和破坏力,网络防病毒技术已成为计算机网络安全的又一重要课题。防病毒技术可分为三种:病毒预防技术,病毒检测技术和病毒消除技术。④
1.病毒预防技术
计算机病毒的预防技术是指通过一定的技术手段防止计算机病毒对系统的破坏。计算机病毒的预防应包括对已知病毒的预防和对未知病毒的预防。预防病毒技术包括:磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。
2.病毒检测技术
计算机病毒的检测技术是指通过一定的技术判定出计算机病毒的一种技术。计算机病毒的检测技术有两种:一种是判断计算机病毒特征的监测技术。病毒特征包括病毒关键字、特征程序段内容、传染方式、文件长度的变化等。另一种是文件自身检测技术,这是一种不针对具体病毒程序的特征进行判断,而只是通过对文件自身特征的检验技术。
3.病毒消除技术
计算机病毒的消除技术是计算机病毒检测技术发展的必然结果,是计算机病毒传染程序的一种逆过程。但由于杀毒软件的更新是在病毒出现后才能研制,有很大的被动性和滞后性,而且由于计算机软件所要求的精确性,致使某些变种病毒无法消除,因而应经常升级杀毒软件。
4.入侵检测技术和网络监控技术
入侵检测(IDSIntrusion Detection System)是近年来发展起来的一种防范技术,综合采用了统计技术、规则方法、网络通信技术、人工智能、密码学、推理等技术和方法,其作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。根据采用的分析技术可分为签名分析法和统计分析法。
(三)防火墙技术
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段进入内部网络,访问内部网络资源,保护内部网络的特殊网络互联设备。
1.防火墙技术的定义
在网络中,防火墙是内部网络与外界网络之间的一道防御系统,通过它使得内部网络与Internet或者其他外部网络之间相互隔离,并通过限制网络互访来保护内部网络,但这些对数据的处理操作并不会妨碍人们对风险区域的访问。
2.防火墙的关键技术
根据防火墙所采用的技术不同,我们可以将它分为4种基本类型:包过滤型、网络地址转换型,型和监测型。⑤
(1)包过滤型。包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。
(2)网络地址转换型。网络地址转换是一种用于把IP地址转换成临时的、外部的IP地址标准。它允许具有私有IP地址的内网访问因特网。
(3)型。型防火墙也可以被称为服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。当客户机需要使用服务器上的数据时,首先将数据请求发给服务器,服务器再根据这一请求向服务器索取数据,然后由服务器将数据传输给客户机。
(4)监测型。监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。
四、网络安全防护的发展趋势
(一)加强病毒监控
随着病毒技术的发展,病毒的宿主也越来越多,在宿主增多的同时,传播途径也越来越广,目前较受关注的一项病毒注入技术是利用电磁波注入病毒。这种技术的基本设想是把计算机病毒调制在电磁信号并向计算机网络系统所在方向辐射,电磁信号通过网络中某些适当的节点进入网络,然后计算机病毒就在网络中传播,产生破坏作用。所以加强病毒监控成为网络安全防护的一项重要内容。
(二)建立安全可靠的虚拟专用网
虚拟专用网(VPN)系统采用复杂的算法来加密传输的信息,使分布在不同地方的专用网络在不可信任的公共网络上安全地通信。其工作流程大致如下:1.要保护的主机发送不加密信息到连接公共网络的虚拟专网设备;2.虚拟专网设备根据网络管理员设置的规则,确认是否需要对数据进行加密或让数据直接通过;3.对需要加密的数据,虚拟专网设备对整个数据包(包括要传送的数据、发送端和接收端的IP地址)进行加密和附上数字签名;4.虚拟专网设备加上新的数据包头,其中包括目的地虚拟专网设备需要的安全信息和一些初始化参数;5.虚拟专网设备对加密后数据、鉴别包以及源IP地址、目标虚拟专网设IP地址进行重新封装,重新封装后数据包通过虚拟通道在公网上传输;6.当数据包到达目标虚拟专网设备时,数字签名被核对无误后数据包被解密。
(三)强化管理
网络安全不只是一个单纯的技术问题,而且也是一个十分重要的管理问题。采取各种措施对计算机网络实施有效管理是计算机网络防护的主要内容之一。一般,计算机网络管理包括安全审计、行政管理、人事管理等几个方面的内容。安全审计是对计算机系统的安全事件进行收集、记录、分析、判断,并采取相应的安全措施进行处理的过程。
注释:
①李静,计算机网络安全与防范措施,湖南省政法管理部学院学报,2002,18(1):8.
②张宝剑,计算机安全与防护技术[M].机械工业,2003,1.
③王德秀,网络安全技术及应用,有线电视技术,2003,1.
④梅筱琴、蒲韵、廖凯生,计算机病毒防治与网络安全手册,海洋出版社,2004:9~2.
⑤余伟建、王凌,黑客攻击手段分析与防范,人民邮电出版社,2003:10~13.
参考文献:
[1]李静,计算机网络安全与防范措施,湖南省政法管理部学院学报,2002,18(1):8.
[2]王春、林海波,网络安全与防火墙技术,北京:清华大学出版社,2000:10~30.
[3]秦超、李素科、满成圆,网络与系统安全实用指南,北京航空航天大学出版社,2002.
[4]刘东华等著,网络与通信安全技术,人民邮电出版社,2002.
[关键词]网络安全;网络维护;操作系统;网络安全技术
doi:10.3969/j.issn.1673 - 0194.2016.18.109
[中图分类号]TP393.08 [文献标识码]A [文章编号]1673-0194(2016)18-0-01
1 计算机网络及网络安全的相关涵义
1.1 计算机网络的涵义
计算机网络就是一种计算机系统,这种系统是将通信线路与设备进行联通,再将具有多个独立功能的,且存在于不同地理位置之中的多套计算机进行连接,通过信息交换或是网络操作系统以及网络通信协议等多功能的网络软件来对网络中的信息进行资源功效的一种系统,计算机网络主要包含资源子网以及通信子网两个部分。
1.2 计算机网络安全的涵义
计算机网络安全就是一种可以使计算机的硬件、计算机的软件、或者是计算机的网络系统中的各种数据,避免受到不良因素的破坏或者是更改以及泄密等问题,从而来确保计算机的网络系统可以连续有效进行的一种网络服务的功能。
2 计算机网络存在的安全问题分析
2.1 操作系统自身的安全漏洞
目前的操作系统无论是Windows还是Linux或是Vista系统,都具有较强的扩展性,这样就会为黑客的攻击以及计算机病毒的传播提供了机会,对网络安全产生了威胁,正是由于这样的技术缺陷,才使整个计算机网络的系统存在着问题。
2.2 TCP/IP协议较为脆弱
目前来说,在互联网上常用的依旧是TCP/IP协议,这种协议未能充分的考虑到网络的安全性,正是由于人们对这种协议特别的熟悉,因而便可以得知此协议的漏洞,从而对计算机网络进行攻击和入侵。
2.3 计算机网络的广域性与开放性的特点
由于计算机网络本身具备着广域性与开放性的特点,因而很难做到信息的保密,在加上通信的质量以及网络自身的布线等因素,导致了众多的安全问题,互联网作为一种国际性的网络,对于网络信息的保护增加了很大的难度。
2.4 计算机病毒的入侵
计算机病毒具有极强的传染性和破坏性,并且具有很长的潜伏期,这些病毒利用计算机自身系统的漏洞,入侵到计算机中,来对计算机进行控制,木马病毒更是通过引诱的方式使用户安装某种程序,使用户的账户受到威胁,窃取用户的账号密码等,为用户带来巨大的安全隐患。
3 计算机网络安全的防护技术分析
3.1 防火墙技术
目前来说最为广泛的计算机网络安全防护技术就是防火墙,它主要包含两种,即:包过滤防火墙和应用级防火墙,包过滤防火墙是将路由器上传到主机的数据进行扫描和过滤,对数据进行有效拦截,防火墙既是一种软件也是一种硬件,更是一种安全部件,简单来说,防火墙是将软硬件进行完美的融合,可以对内部的网络与外部的网络进行隔离的操作,当有相应的网络数据进行传输的时候,防火墙就可以根据自行的访问权限的配置来对这些数据和信息进行过滤等操作,这样就可以保护网络的安全,就可以将外部的入侵进行隔离,使得向内部输入的均是有用的、有价值的信息。
3.2 加密技术
加密技术简单来说就是将原本的明文信息通过数据的加工使他们变为密文,从而保护数据的安全性,不容易发生泄密等问题,而加密技术的重点是加密算法以及密钥管理。而对于计算机网络加密技术中的核心关键技术就是密码保护技术,密码主要包括了对称密码、非对称密码以及混合密码,通过对数据进行加密技术的操作,可以使得网络中的数据传输具有一定的安全性。对于加密技术方法的选择有很多,比如口令的方式、指纹的方式等,这就需要根据实际的情况进行加密技术方法的选择。
3.3 入侵检测技术
入侵检测系统在计算机网络系统之中也就是常说的网络实时监控系统,主要就是对网络上传输的数据和信息通过计算机的软件硬件系统进行实时的监测,将这些数据与网络中入侵的数据库进行对比的操作,当在对比之后发现可攻击的对象,就要采取措施来阻止入侵的数据进行破坏,可以立即的将网络连接进行切断,通过防火墙对访问权限进行相应的设置和调整,进而将对入侵的数据进行阻拦和消灭,来保证计算机网络的安全,入侵检测主要包括误用检测和异常检测两种,通常来说,无用检测的特点就是误警率低且耗时较长,而异常检测的特点就是耗时虽然短,但是误警率较高。
3.4 网络安全扫描技术
网络安全扫描技术主要是可以让系统的管理员随时随地的、及时的掌握最新的网络系统中可能存在的漏洞,并且可以根据实际发生的情况,来采取相应的防范措施,使网络系统中的安全风险得到降低,通过这项技术,可以对主机、站点、局域网等进行相应的扫描,发现安全漏洞后管理员就可以及时地进行处理。
21世纪,我国的经济进入飞速发展阶段。经济全球化和信息共享推动了各个领域的发展和创新。人们的生活水平不断提高,对生活的质量要求也越来越高。互联网进入家家户户,为人们的生活带去了便利。互联网覆盖面极广。无论是建筑、教育、新媒体,还是医疗、工业,都不同程度的使用了互联网。互联网带动了大数据时代,每天都有海量的信息充斥着人们的生活。如何在大数据环境下保证网络安全技术是本文研究的主要内容。
【关键词】
互联网;大数据;网络安全技术
大数据已经开始影响人们的生活了,人们越来越依赖大数据。在商业领域,大数据成为预测行情、找准营销方向点的重要载体;在公共的服务领域,大数据为人们的出行、旅游、健康、环保等方面提供出参考信息;大数据为人们生活带来了方便、快捷、灵通的消息和服务。但是,也在人们的生活中增添了很多危险的因素。在大数据环境下,人们上网、购物、消费的同时也暴露了个人信息。提高网络的安全技术,在社会发展的同时保障人们的合法权益。
1大数据时代
最早提出大数据的人是维克托•迈尔-舍恩伯格及肯尼斯•库克耶,他们认为大数据是一个巨量资料库。大数据具有大量、高速、多样、价值等四个主要特点,大数据以多元的形式将很多信息资源收集在一起,形成一个实效性特别强的数据组。大数据与云计算的关系密不可分,在大数据需要使用分布式的计算结构时,云计算会帮助大数据进行分布式处理、建立分布式数据库和云存储。在人们的意识里,数据就是简单的信息。在互联网时代到来之后,大数据时代也紧跟着到来。大数据不是简单的互联网信息,在工业设备、汽车、电表、机械等方面安装上数码传感器,随着空气、温度、湿度、环境的变化数码传感器会发生变化,随之产生很多的数据信息,将这些数据汇集到一起进行研究处理就形成了数据库,也就是大数据。大数据的产生对社会的发展有着很大的影响,它可以通过数据间的信息变化,设计出适合生产的软件。将大数据运用到社会的各个领域中,可以节省资源、提高生产效益。企业中可以利用大数据对大量消费者的消费状况有一个详细的了解,找到消费者们共同的消费领域,制订精准的营销方案。大数据时代下,一些小型企业可以借助大数据的优势做服务转型。大数据环境下,企业的创新之路会走的更顺畅更久远。
2大数据环境中存在的问题
随着大数据时代的到来,很多新兴技术和软件应运而生。互联网的普及是人们出门携带的物品越来越少,甚至有人说拿着一部手机就可以走遍天下。无论是购物,还是吃饭,一个手机APP就可以全部搞定。但是,现在的软件都是实名制的,随着使用的数据软件越多,人们的个人信息就暴露的越全面。近几年,网络诈骗的案件层出不穷,人们的姓名、身份证信息、家庭住址等等,都已经不再是秘密。大数据环境下,人们的个人信息被盗取是最大的问题。在2014年,支付宝前技术员工利用职位便利将20万的支付宝用户信息非法卖给了他人,这个事件发生之后,在社会上引起了很大的轰动。人们开始意识到自己的信息并不安全,有了防范心理。但是,骗子的手段也是层出不穷,每年都有很多人因为轻信网络信息,被骗取了大量钱财。海量数据的安全存储问题大数据环境中的数据存储太多,存储数据的系统无法满足大数据的运用。大数据所带来的存储容量问题、延迟、并发访问、安全问题、成本问题等,对大数据的存储和安全保护系统提出了新的挑战。大数据的存储分为结构化存储和非结构化存储。结构化数据的存储中安全防护存在很大的漏洞,诸如物理故障、软件问题、病毒、黑客攻击等因素是威胁数据安全的问题。非结构化数据占大数据总量的80%,在对数据存储进行管理和处理工作中,一般使用NOSQL存储技术。虽然NOSQL存储技术有很大的优点,但是数据的多、杂、乱依然使数据存储工作一团糟。在非结构化的数据存储出现了访问控制和隐私管理模式问题、技术漏洞问题、验证安全问题等。
3提高网络安全技术的措施
出现问题就要解决问题,大数据在促进社会发展的过程中也产生了很多的弊端。找到问题的源头后,就应该付出实践去解决问题。通过对数据进行网络安全监控,提高大数据环境的安全性能。网络安全技术是在数据传输中保证数据安全性的一种技术手段,网络安全技术又分为网络结构安全分析技术、系统安全结构分析技术以及物理安全分析技术和管理安全分析技术。提高网络安全技术,在大数据环境中建立健全的网络安全体系。提高网络安全技术的具有措施有以下几点:
3.1使用入侵检测系统
入侵检测系统是网络安全技术中的新型系统,主要对数据进行实时的入侵检测,是一种保证数据安全、无病毒的防护系统。入侵检测系统分为两类,一类基于主机;一类基于网络。机遇主机的入侵检测系统可以保护重要的服务器,随时监测并可疑连接、非法访问的入侵。基于网络则是用来监控网络主要的路径信息、不良信息。一旦发现入侵现象立马发出警报,并自动采取防护措施。
3.2提高网络安全技术人员的综合素养
“监守自盗”是大数据时代下经常出现的问题,负责保护整理数据的人员成了贩卖数据信息的人。在企业或者媒体平台中,应该对所有的职员进行培训。建立网络数据管理制度,对不遵守制度的人严惩不贷。提高网络安全技术人员的专业能力和职业素养,对企业中的数据进行严格保管,不做有损人民利益和企业形象的事情。
4结语
在这个日新月异的时代中,人们的生活每天都有新的变化。随着大数据时代的到来,人们可以轻松解决很多事情。没有了时间和空间的上的阻碍,经济发展的脚步会越来越快的。将来,大数据在教育、消费、电力、能源、交通、健康、金融等全球七大重点领域都会得到全面广泛的应用。大数据已经成为了国家发展的趋势。为保证大数据能够利国利民的进行,国家的网络安全监测人员需要不断地提升自己的专业能力,加强对网络安全的管理。提高网络安全技术,使人们能有一个健康、安全的生活环境。
参考文献
[1]王元卓,靳小龙,程学旗等.网络大数据:现状与展望[J].计算机学报,2013,36(06):1125-1138.
[2]李建中,刘显敏.大数据的一个重要方面:数据可用性[J].计算机研究与发展,2013,50(06):1147-1162.
本次分论坛以“突破核心技术,保障国家安全”为主题,邀请“产学研用测”各界专家,围绕“基础技术、非对称技术、前沿技术”等不同角度,探讨核心技术自主创新及其在重要领域的应用问题。来自中央和地方网络安全管理部门、网络安全企业、重点行业和重要领域网络安全和信息化管理部门、武汉市高校网络安全专业的学生,共200余人参加了会议。
与会专家一致表示,国家网信安全的根基在于核心技术的突破。与此同时,注重主动防护、人才培养,实现协同联动,共建数据开放、信息共享的合作机制也至关重要。
主动防护,敢于争先
当前,互联网发展重心由PC互联网向移动互联网转移,网络安全的重要性和复杂性更加凸显。中国工程院院士沈昌祥针对主动免疫防御话题发表演讲,他认为,网络空间安全是集计算、通信和控制等学科交叉的科学问题。消极被动的封堵查杀防不胜防,“就好比人没有免疫系统”。他表示,由于人们对IT的认知逻辑的局限性,故不能避免逻辑缺陷对任务执行的影响,尤其是难以应对人为利用缺陷进行攻击。因此,必须从计算体系结构和计算模式等科学技术创新去实现相对安全。
沈昌祥院士表示,要建立一套攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、系统和信息篡改不了、系统工作瘫不成、攻击行为赖不掉的计算机免疫系统,这就是“可信计算”,一边计算一边防护,计算结果跟预期一样,全程可测可控。他介绍,1992年中国可信计算正式立项研究并规模应用,到目前已形成自主创新体系。
中国工程院院士郑建华针对新形势下密码技术提出自己的思考。他表示,个人电脑时代,网络应用的安全防护基于PKI进行,有内置私密的USB硬件设备。而现在,超过七成的网络访问都是在移动智能终端,传统密码技术在当下的移动互联环境下遇到了巨大挑战,安全性很难得到保证。
郑建华院士认为,中国的信息技术长期落后于发达国家,但随着中国手机网民增多,中国通过移动终端的信息服务,比例已经高于发达国家。在移动互联环境下如何使用密码?全球最大的研究样本,就在中国。中国完全有可能在这方面“弯道超车”,做到全球领先。
中标软件总经理韩乃平强调,要从被动防御转向主动防御,从底层实现安全增强,并且要坚持安全可信与产业发展并重。在重点打造可信操作系统同时,应面向国防、行业信息化、军工等多个方面进行研究,在设备信息化、移动终端安全等方面进行创新。韩乃平认为,未来的网络安全,特别是基于可信计算的网络安全有非常光明的前途。
行业协同,跨界创新
面对网信领域复杂的攻防形势,奇虎360首席安全官谭晓生表示,安全攻防是一种攻防不平衡的状态,“你被别人搞定了,可能要几个月之后才知道,但是攻击者得手的时间是以秒、分来计算的,而真正开始预防和处置则基本是以月为单位。”他说:“威胁情报有不可替代的价值,但产业的能力协同更为重要。在行业里应追求能力上的协同,有了能力协同就能够进行更为快速地处理。”谭晓生通过G20安保期间的一个应急处置案例说明事件高效处理的关键在于“威胁情报+产业协同+扁平化组织结构”。同时,他还呼吁网络安全行业能够“协同联通,共建安全”。
山石网科通信技术有限公司董事长罗东平同样非常赞同企业之间的协同合作。“一个企业能把其中几项核心技术做得强大了,已经非常了不起了。”他表示,国内网络安全企业应该真心遵从工匠精神,在各自擅长的点把核心技术做精做强。各个企业之间长板合力,共同打造更加安全的网络。
在发展路径选择上,匡恩网络技术委员会主席兼首席执行官孙一桉认为,互联网企业应该多多关注一些跨界的新领域,比如人工智能、工业物联网安全等。这些新领域的起点都差不多,如果我们直接做挑战者可能会走得更好,尤其中国是世界上智能制造的最大应用场景,未来物联网的最大应用市场,所以工业控制物联网的安全中国应该成为世界第一。
培养人才,弯道超车
“网络安全为人民,网络安全靠人民”,核心技术的突破,离不开网络安全和信息化人才的培养。武汉市网信办主任黄长清发表致辞,他表示,我国的互联网技术落后,培养网络安全人才尤为重要。武汉打造国家网络安全人才与创新基地,践行“五大创新”,武汉大学和华中科技大学将成为网络安全人才的培养高地。武汉大学计算机学院副院长应时表示,武汉大学在中央网信办、武汉市网信办的指导下整合校内外优质资源,成立了武汉大学网络空间安全研究院,努力在新的形势下为我国网络信息安全建设做出新的更大贡献。
在论坛的“高端访谈”板块,众专家围绕突破核心技术瓶颈、夯实技术产业支撑进行了探讨。谈及企业的软肋和命门时,各位嘉宾纷纷提到人才培养、核心技术、业务与技术合作等的重要性。针对企业需要优先解决的问题时,谭晓生指出芯片、操作系统以及人才培养是需要关注的问题。
【 关键词 】 身份认证;数据加密;完整性校验;WEP;WPA
1 引言
随着无线上网本、iPad、智能手机等移动终端的不断推陈出新,以WLAN技术为核心的移动宽带互联应用呈爆炸式增长。与此同时,大量基于物联网、云计算而生的企业级移动业务在园区网内得到广泛应用,如智能电网、物流定位、无线语音、P2P共享等。无线网络已经深刻地改变了我们的生活与工作,无线网络在为我们带来丰富与便捷应用的同时,安全威胁也在不断蔓延,个人信息的泄漏、各类账号密码的被盗、私密信息的被公开,也在困扰着使用无线网络的人们。
2 无线网络的安全隐患
利用WLAN进行通信必须具有较高的通信保密能力。对于现有的WLAN产品,它的安全隐患主要有几点。2.1 未经授权使用网络服务
由于无线局域网的开放式访问方式,非法用户可以未经授权而擅自使用网络资源,不仅会占用宝贵的无线信道资源,增加带宽费用,降低合法用户的服务质量,而且未经授权的用户没有遵守运营商提出的服务条款,甚至可能导致法律纠纷。
2.2 地址欺骗和会话拦截
在无线环境中,非法用户通过非法侦听等手段获得网络中合法终端的MAC地址比有线环境中要容易得多,这些合法的MAC地址可以被用来进行恶意攻击。
另外,由于IEEE802.11没有对AP身份进行认证,非法用户很容易伪装成AP进入网络,并进一步获取合法用户的鉴别身份信息,通过拦截会话实现网络攻击。
2.3 高级入侵
一旦攻击者进入无线网络,它将成为进一步入侵其他系统的起点。多数企业部署的WLAN都在防火墙之后,这样WLAN的安全隐患就会成为整个安全系统的漏洞,只要攻破无线网络,就会使整个网络暴露在非法用户面前。
3 无线网络安全技术
为了应对无线网络中存在的各种安全威胁,相应的无线安全技术也应运而生,包括物理地址( MAC )过滤、服务区标识符(SSID)匹配、有线对等保密(WEP)、端口访问控制技术(IEEE802.1x)、WPA(Wi-Fi Protected Access)、IEEE 802.11i等。上述的各类技术均是围绕着网络安全的核心要素:认证性、加密性、完整性。
认证性:确保访问网络资源的用户身份是合法的。
加密性:确保所传递的信息即使被截获了,攻击者也无法获取原始的数据。
完整性:如果所传递的信息被篡改,接收者能够检测到。
此外,还需要提供有效的密钥管理机制,如密钥的动态协商,以实现无线安全方案的可扩展性。
3.1 物理地址( MAC )过滤
每个无线客户端网卡都由唯一的48位物理地址(MAC)标识,可在AP中手动设置一组允许访问的MAC地址列表,实现物理地址过滤。这种方法的效率会随着终端数目的增加而降低,而且非法用户通过网络侦听就可获得合法的MAC地址表,而MAC地址并不难修改,因而非法用户完全可以盗用合法用户的MAC地址来非法接入。因此MAC地址过滤并不是一种非常有效的身份认证技术。
3.2 服务区标识符 ( SSID ) 匹配
无线客户端必需与无线访问点AP设置的SSID相同 ,才能访问AP;如果设置的SSID与AP的SSID不同,那么AP将拒绝它通过接入上网。利用SSID设置,可以很好地进行用户群体分组,避免任意漫游带来的安全和访问性能的问题。可以通过设置隐藏接入点(AP)及SSID区域的划分和权限控制来达到保密的目的,因此可以认为SSID是一个简单的口令,通过提供口令认证机制,实现一定的安全。
3.3 WEP加密机制
IEEE 802.11-1999把WEP机制作为安全的核心内容,包括几个方面。
身份认证:认证采用了Open System认证和共享密钥认证,前者无认证可言,后者容易造成密钥被窃取。
完整性校验:完整性校验采用了ICV域,发送端使用Checksum算法计算报文的ICV,附加在MSDU后,MSDU和ICV共同被加密保护。接收者解密报文后,将本地计算的CRC-32结果和ICV进行对比,如果不相等,则可以判定报文被篡改。CRC-32算法本身很弱,使用bit-flipping attack就可以篡改报文,同时让接收者也无法察觉。
密钥只能静态配置,密钥管理不支持动态协商,完全不能满足企业等大规模部署的需求。
数据加密:数据加密采用加密算法RC4,加密密钥长度有64位和128位两种,其中24Bit的IV是由WLAN系统自动产生的,需要在AP和STA上配置的密钥就只有40位或104位。RC4并不是很弱的加密算法,安全的漏洞在于IV。IV存在的目的是要破坏加密结果的规律,实现每次加密的结果都不同,但是长度太短了。在流量较大的网络,IV值很容易出现被重用。目前有很多软件都可以在短短几分钟内完成对WEP的破解。
3.4 WPA加密机制
在IEEE 802.11i 标准最终确定前,WPA标准是代替WEP的无线安全标准协议,为 IEEE 802.11无线局域网提供更强大的安全性能。WPA是IEEE802.11i的一个子集,其核心就是IEEE802.1x和TKIP。可以认为:WPA = 802.1x + EAP + TKIP + MIC?。
身份认证:在802.11中只是停留在概念的阶段,到了WPA中变得实用而又重要,它要求用户必须提供某种形式的凭据来证明它是合法的,并拥有对某些网络资源的使用权限,并且是强制性的。
WPA的认证分为两种:第一种采用802.1x+EAP的方式,用户提供认证所需的凭证,例如账户口令,通过专用认证服务器(一般是RADIUS服务器)来实现。在大型企业网络中,通常采用此种方式。不过面对中小型企业或者家庭用户时,架设一台专用的认证服务器未免昂贵,维护也非常繁杂,针对此种情况WPA也提供一种简化的方式,这种方式称为WPA预共享密钥(WPA-PSK),它不需要专门的认证服务器,仅需要在每个WLAN节点预先输入一个密钥即可完成。只要密钥相符,客户就可以获得无线局域网的访问权。由于这把密钥仅用于认证过程,并不用于加密过程,因此会避免诸如使用WEP加密机制中认证安全问题。
完整性校验:是为防止攻击者从中间截获数据报文、篡改后重发而设置的。802.11中对每个数据分段(MPDU)进行ICV校验ICV本身的目的是为了保证数据在传输途中不会因为电磁干扰等物理因素导致报文出错,因此采用相对简单高效的CRC算法,但是攻击者可以通过修改ICV值来使之和被篡改过的报文相符合,可以说没有任何安全的功能。WPA除了和802.11一样继续保留对每个数据分段(MPDU)进行CRC校验外,WPA为802.11的每个数据分组(MSDU)都增加了一个8字节的消息完整性校验值。而WPA中的MIC则是专门为了防止工具者的篡改而专门设定的,它采用Michael算法,安全性很高。当MIC发生错误的时候,数据很可能已经被篡改,系统很可能正在受到攻击。此时,WPA还会采取一系列的对策,比如立刻更换组密钥、暂停活动60秒等,来阻止攻击者的攻击。
数据加密:WPA采用TKIP为加密引入了新的机制,它使用一种密钥构架和管理方法,通过由认证服务器动态生成分发的密钥来取代单个静态密钥、把密钥首部长度从24位增加到48位等方法增强安全性。同时,TKIP采用802.1x/EAP构架,认证服务器在接受了用户身份后,使用802.1x产生一个唯一的主密钥处理会话。然后,TKIP把这个密钥通过安全通道分发到客户端和AP,并建立起一个密钥构架和管理系统,使用主密钥为用户会话动态产生一个唯一的数据加密密钥,来加密无线通信数据报文。TKIP的密钥构架使WEP静态单一的密钥变成了500万亿可用密钥。虽然WPA采用的还是和WEP一样的RC4加密算法,但其动态密钥的特性很难被攻破。
3.5 IEEE 802.11i标准
为了进一步加强无线网络的安全性和保证不同厂家之间无线安全技术的兼容, IEEE802.11工作组开发了新的安全标准IEEE802.11i ,并且致力于从长远角度考虑解决IEEE 802.11无线局域网的安全问题。IEEE 802.11i标准针对802.11标准的安全缺陷,进行了如下改进。
身份认证:802.11i的安全体系也使用802.1x认证机制,通过无线客户端与Radius 服务器之间动态协商生成PMK(Pairwise Master Key),再由无线客户端和AP之间在这个PMK的基础上经过4次握手协商出单播密钥以及通过两次握手协商出组播密钥,每一个无线客户端与AP之间通讯的加密密钥都不相同,而且会定期更新密钥,很大程度上保证了通讯的安全。
完整性校验:采用了CBC和Michoel算法实现完整性校验。
数据加密:数据加密采用了CCMP加密,CCMP基于AES-CCM算法,结合了用于加密的CTR和用于完整性的加密块链接消息认证码(CBC-MAC),保护MPDU数据和IEEE 802.11 MPDU帧头部分域的完整性。
密钥协商:通过4次握手过程进行动态协商密钥。
4 无线网络安全策略选择
无线的网络技术发展到今天给人们提供了多种选择,虽然目前802.11i方兴未艾,考虑到升级成本、部署难度、网络效率等多方面的因素,在进行无线网络安全策略选择时,根据具体情况进行分析。如表1所示给出不同场合下,无线安全方案。
在充分体验无线网络给人们带来的便利与丰富体验的同时,安全威胁一直如影相随,保证无线网络安全也就成为了无线网络应用与发展中所有问题的焦点问题,WiFi联盟推出的各项技术与标准不断增强着无线网络安全,加强了无线安全管理。安全技术与标准的完善不断推动者无线网络的应用,同时无线网络安全不仅与认证、加密、完整性检测等技术有关,还需要入侵检测系统、防火墙等技术的配合,因此无线网络的安全是一个多层次的问题,根据实际情况,综合利用各项技术设计无线网络安全方案。
参考文献
[1] 卡什(Cache, J.).无线网络安全.北京:机械工业出版社,2012.3.
[2] 杨哲.无线网络黑客攻防.北京:中国铁道出版社,2011.11.
[3] 刘威.无线网络技术.北京:电子工业出版社,2012.1.
[4] 任伟.无线网络安全问题初探.信息网络安全,2012.1.
[5] 池水明,孙斌.无线网络安全风险及防范技术刍议.信息网络安全,2012.3.
【关键词】防火墙;杀毒软件;操作系统应用;加密技术
一、网络安全定义
什么样的环境才是安全的,用怎样的手段去塑造安全的网络环境。解决了这两个问题,就了解了网络安全的的真谛。国际组织和不同的协会乃至国家,都曾经给出过网络安全的定义。各有不同,但是无外乎是从宏观角度、微观角度来论述。核心含义还是大致相同的。这里我们综合我国的网络安全定义从理解的角度进行说明。网络安全首先是指网络能够正常的进行信息传送工作,不受到任何因素的威胁。实现的手段既包含软件安装与使用等手段又涵盖硬件设备的作用。深入浅出的说就是利用安装硬件设备和通过软件技术共同实现。从而保证网络信息安全,不被病毒、木马又或者自然因素的影响。或许有人说自然因素如何控制,能够预防所有的病毒木马吗?的确,这个概念是理想化的。是网络安全的高级标准。只要我们做好网络安全维护工作,不断更新软件工具,使用网络安全技术,就能够保证具体时间段内的安全。使得网络威胁缩减到最小,也就实现了网络安全的目的。
二、杀毒技术的应用
1994年2月18日,我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》,在《条例》第二十八条中明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”这是我国对于计算机病毒的正式定义,但是在实际中,所有会对用户的计算机安全产生威胁的,都被划入了广义的病毒范畴。
病毒大致分为以下几类:传统病毒,宏病毒,恶意脚本,木马、黑客、蠕虫、破坏性程序。
1.传统病毒:能够感染的程序。通过改变文件或者其他东西进行传播,通常有感染可执行文件的文件型病毒和感染引导扇区的引导型病毒;
2.宏病毒(Macro):利用Word、Excel等的宏脚本功能进行传播的病毒;中华考试网(Examw。com)
3.恶意脚本(Script):做破坏的脚本程序。包括HTML脚本、批处理脚本、VB、JS脚本等;
4.木马(Trojan)程序:当病毒程序被激活或启动后用户无法终止其运行。广义上说,所有的网络服务程序都是木马,判定是否是木马病毒的标准不好确定,通常的标准是:在用户不知情的情况下安装,隐藏在后台,服务器端一般没有界面无法配置;
5.黑客(Hack) 程序:利用网络来攻击其他计算机的网络工具,被运行或激活后就象其他正常程序一样有界面;黑客程序是用来攻击/破坏别人的计算机,对使用者本身的机器没有损害;
6.蠕虫(Worm)程序:蠕虫病毒是一种可以利用操作系统的漏洞、电子邮件、P2P软件等自动传播自身的病毒;
7.破坏性程序(Harm):病毒启动后,破坏用户计算机系统,如删除文件,格式化硬盘等。常见的是bat文件,也有一些是可执行文件,有一部分和恶意网页结合使用。
网络安全热门技术之一,针对的是各种病毒。网络病毒主要目的都是非法获取数据信息,破坏计算机硬件设备,最终达到组织计算机和网络正常工作的破坏性目的。常见的病毒类型众多,这里简单举例,不一一介绍。比如蠕虫类的病毒,工作原理是通过不断的复制,而去占用 CPU和内存空间,造成剩余空间过低或者没有剩余空间,使得网络和计算机瘫痪 ;又如CIH 病毒,这个曾经破坏性极强的病毒,只是一个业余的编程爱好者编写的。可见病毒的制作并不需要很高的技术含量。这也使得病毒类型不断更新,威胁性极大。CIH 利用时间为触发,也就是在到达某个日期时候或者星期几的时候才发作。他的目的是损坏计算机硬件的硬盘等设备。造成了巨大的经济损失。当然还有熊猫烧香、圣诞节病毒、灰鸽子病毒(木马)如此等等,不一而足。
杀毒技术重要是通过了解病毒和木马的特性,工作原理,触发条件来进行病毒的破解、查杀。杀毒软件已经有成熟的产品,用户只需要了解各个产片的特性和公司情况,更新状况挑选适合的产品。进行安装和使用就可。这里推荐的有金山独霸系列、KAV 系列、卡巴斯基、诺顿、瑞星等。喜欢尝试新产品的朋友可以尝试使用360 杀毒等。但是新的杀毒软件产品在提供新特性的同时往往也存在一些没有预见的小问题。用户可根据情况选择。
三、操作系统安全应用
作系统安全应用网络安全离不开网络终端―计算机的使用。而计算机的使用又不能是裸机,都需要操作系统进行工作。哪么操作系统也就成了各种网络危险分子的攻击目标。受到各类型的攻击。所以要做好操作系统安全,保证网络安全。
操作系统内核技术通常来说不是普通用户可以接触的,但是用户只需了解哪些操作系统适合个人用户使用,哪些适合作为服务器操作系统就可以。任何一种操作系统都有安全设置技术,只不过是安全性程度高低不同,比如个人用户,对安全性较低的,可以采用 XP 操作系统。如果是公司或者对安全性要求较高的,就需要使用 LINUX 系列或者 WINDOW SEVER 系列。再提高一步,如果设计政府公务国家安全,哪么就有必要使用自主开发的操作系统,如我国就曾开发过红旗系列的操作系统。
从设置角度,要掌握网络管理员设置技术。以 WINDOWS SEVER2000 为例,一般来说都要屏蔽 不必要的“组”,设置多级别用户密码,启用服务日志,用户分级管理等操作。这些都属于初级阶段,要做一名技术成熟的网络管理员,需要更加深入的学习了解,这里篇幅有限不能赘述。
四、数据传送技术应用
现在,在动态信息传输的过程中,很多协议都是采用收错重传、丢弃后续包的方式来保证信息完整性和准确性,黑客正是利用这一点在信息包内加入病毒程序对用户电脑或数据进行攻击,为了保证数据的安全性,确保数据的完整性也是所做工作中重要的一部分。有效的方法有以下几种 :
报文鉴别 :与数据链路层的 CRC 控制类似,将报文名字段使用一定的操作组成一个约束值,称为该报文的完整性检测向量 ICV 把约束值与数据捆绑在一起进行加密,这样攻击者由于不能对所做工作中重要的一部分报文进行解密,从而确保信息的安全性。因此,确保数据不被修改。这样,计算机把接收方收到数据后解密并计算 ICV 与明文中的 ICV 对比,如果相同则认为有效。消息完整性编码 MIC :是一种通过一种简单的函数来计算消息摘要的一种方法,函数信息和数据信息都会被接收方接收,接收方重新计算摘要后还要对接收的内容进行验证与检错。防抵赖技术的主要作用是能为源和目的地提供证明,数字签名是防抵赖技术中使用比较普遍的一种方法,数字签名就是按照某种系统默认的数据传送与接收协议,实现发送方已经发送数据,接收方已经接收数据的一种方法。
参考文献:
[1] 方鑫 . 计算机网络安全的探析 [J].信息与电脑 ( 理论版 ).2010(07).
购物车(0)