[摘要]從網絡安全的概念入手,以影響網絡安全的主要因素為突破口,探討網絡安全的重要性和實現(xiàn)網絡安全的幾種主要技術。
[關鍵詞]網絡安全 加密 認證 防火墻
中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)0120076-01
隨著信息技術的飛速發(fā)展,網絡在世界范圍內迅速普及,網絡上的信息傳遞量急劇增長,與此同時,網絡上的數(shù)據(jù)也遭到了不同程度的攻擊和破壞。攻擊者竊聽網絡上的信息,盜取用戶的帳戶、密碼和資料,入侵數(shù)據(jù)庫,篡改數(shù)據(jù)庫內容,偽造用戶身份,甚至攻擊網站,釋放計算機病毒,致使網絡上的數(shù)據(jù)安全和網絡用戶的切身利益受到了嚴重的威脅和損害,網絡安全問題日益受到關注。
一、網絡安全的概念
國際標準化組織(ISO)將“計算機安全”定義為:“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術和管理的安全保護,保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內容,其邏輯安全的內容可理解為我們常說的信息安全,是指對信息的保密性、完整性和可用性的保護,而網絡安全即是信息安全的引申,即網絡安全是對網絡信息保密性、完整性和可用性的保護。
二、影響網絡安全的主要因素
(一)由于網絡系統(tǒng)設計的不規(guī)范、不合理,缺乏安全性考慮,致使其在穩(wěn)定性和可擴充性方面存在問題。
(二)文件服務器、網卡等網絡硬件的配置不協(xié)調,導致網絡不穩(wěn)定,直接影響網絡系統(tǒng)的質量,從而使網絡功能發(fā)揮受阻。
(三)許多站點在防火墻配置上無意識地擴大了訪問權限,此外,訪問控制配置的復雜性,也容易導致配置錯誤,這此都可能給某些人以可乘之機。
(四)網絡管理制度、制約機制不健全,在一定程度上放縱了一些不法人員的網絡犯罪行為。
三、網絡安全的主要技術
安全是網絡賴以生存的基礎,只有安全得到保障,網絡的各種功能才能得以不斷發(fā)展和進步。要想實現(xiàn)網絡安全,應對網絡系統(tǒng)進行全方位防范。
(一)網絡分段
網絡分段旨在將非法用戶與網絡資源相互隔離,從而達到限制用戶非法訪問的目的。網絡分段主要有兩種方式:
1.物理分段。物理分段通常是指將網絡從物理層和數(shù)據(jù)鏈路層上分為若干網段,各網段相互之間無法進行直接通訊。
2.邏輯分段。邏輯分段則是指將整個系統(tǒng)在網絡層進行分段。
(二)加密技術
加密就是通過一種方式使信息變得混亂,從而使未被授權的人看不懂它。加密類型主要有兩種:
1.私鑰加密。私鑰加密又稱對稱密鑰加密,因為用來加密信息的密鑰就是解密信息所使用的密鑰。私鑰加密為信息提供了進一步的緊密性,它不提供認證,因為使用該密鑰的任何人都可以創(chuàng)建、加密和發(fā)送一條有效的消息。這種加密方法的速度很快,很容易在硬件和軟件件中實現(xiàn)。
2.公鑰加密。公鑰加密比私鑰加密出現(xiàn)得晚,私鑰加密使用同一個密鑰加密和解密,而公鑰加密使用兩個密鑰,一個用于加密信息,另一個用于解密信息。公鑰加密系統(tǒng)比私鑰加密系統(tǒng)的速度慢得多,不過若將兩者結合起來,就可以得到一個更復雜的系統(tǒng)。
(三)認證技術
認證技術主要用于解決網絡通訊過程中通訊雙方的身份認可。
1.User Name/Password認證。用于操作系統(tǒng)登錄、telnet等,但認證過程不加密,password容易被監(jiān)聽和解密。
2.用于PKI的認證。綜合采用摘要算法、不對稱加密、對稱加密、數(shù)字簽名等技術,很好地將安全性和高效性結合起來。這種認證方法目前廣泛應用在電子郵件、應用服務器訪問、客戶認證、防火墻認證等領域。
3.數(shù)字簽名。數(shù)字簽名是驗證發(fā)送者身份和消息完整性的根據(jù),是一種使用加密認證電子信息的方法。數(shù)字簽名技術是基于加密技術的,可用對稱加密算法、非對稱加密算法或混合加密算法來實現(xiàn)。偽造數(shù)字簽名從計算機能力上是不可行的,如果消息隨數(shù)字簽名一同發(fā)送,對消息的任何修改在驗證數(shù)字簽名時都會被發(fā)現(xiàn)。
(四)防火墻技術
防火墻是用以阻止網絡中非法用戶訪問某個網絡的屏障,也是控制進、出兩個方向通信的門檻。目前的防火墻有3種類型:(1)雙重宿主主機體系結構的防火墻;(2)被屏蔽主機體系結構的防火墻;(3)被屏蔽主機體系結構的防火墻。
(五)入侵檢測技術
入侵檢測技術是網絡安全研究的一個熱點,是一種積極主動的安全防護技術,提供了對內部入侵、外部入侵和誤操作的實時保護,在網絡系統(tǒng)受到危害之前攔截相應入侵。隨著時代的發(fā)展,入侵檢測技術將朝著三個方向發(fā)展:分布式入侵檢測、智能化入侵檢測和全面的安全防御方案。
(六)其他網絡安全技術
1.智能卡技術。智能卡就是密鑰的一種媒體,由授權用戶持有并由該用戶賦予它一個口令或密碼字,該密碼字與內部網絡服務器上注冊的密碼一致。
2.安全脆弱性掃描技術。它是針對網絡分析系統(tǒng)當前的設置和防御手段,指出系統(tǒng)存在或潛在的安全漏洞,以改進系統(tǒng)對網絡入侵的防御能力的一種安全技術。
3.網絡數(shù)據(jù)存儲、備份及容災規(guī)劃。它是當系統(tǒng)或設備不幸遇到災難后可以迅速地恢復數(shù)據(jù),使整個系統(tǒng)在最短的時間內重新投入正常運行的一種安全技術方案。
四、結束語
綜上所述,網絡安全建設是一個系統(tǒng)工程,是一個社會工程,為了切實確保網絡安全,我們應該做到以下幾點:(1)要從技術上嚴防死守。嚴格限制上網用戶所訪問的信息和資源,加強對上網用戶的身份認證,在數(shù)據(jù)傳輸過程中采用加密技術,防止數(shù)據(jù)被非法竊取。(2)要加強網絡管理。以法律條文的形式,明確網絡規(guī)范,加大對網絡犯罪的監(jiān)控、偵查和打擊力度。(3)要強化“網絡道德”建設。不斷提高全民的網絡道德水平,肅清網絡風氣,從源頭上加以防范,只有這樣才能從根本上解決網絡安全問題。
參考文獻:
[1]陳愛民,計算機的安全與保密[M].北京:電子工業(yè)出版社,2002.
[2]張千里、陳光英,網絡安全新技術[M].北京:人民郵電出版社,2003.
[3]高永強、郭世澤,網絡安全技術與應用大典[M].北京:人民郵電出版社,2003.
[4]周國民,入侵檢測系統(tǒng)評價與技術發(fā)展研究[J].現(xiàn)代電子技術,2004.
作者簡介:
張宏超,男,漢族,遼寧省丹東市,學士學位,遼寧省丹東市93279部隊74分隊,助理工程師,主要致力于網絡安全的研究。