论文部分内容阅读
摘要:随着计算机网络技术的迅猛发展,网络与人们的生活越来越密切,但网络在给人们带来便利的同时,也暴露出许多安全隐患,诸如信息窃取、数据破坏、系统损坏等等问题。本文针对一些计算机网络的安全隐患,及其应对策略作一些探讨。
关键词:计算机网络;安全隐患;数据加密;防火墙
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2007)17-31274-01
On the Computer Network Security Risks and Countermeasures
ZHU Hua
(Taizhou Teachers College,Taizhou 225300,China)
Abstract: With the fast development of the computer technology, the internet makes more and more relations with people, but it also brings much security hidden trouble except the benefits, such as information pilferage, date destroy, system damage. This article discusses the present security hidden trouble, and some methods to protect the internet.
Key words: computer internet; security hidden trouble; date encrypt; firewall
随着计算机技术的不断发展,计算机上处理业务从以前的单机的数学运算、文件处理发展到复杂的局域网、全球互联网的计算机处理系统,并实现了世界范围内的信息共享和业务处理。在信息处理能力提高的同时,系统的连结能力也在不断提高。但在连结信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出。
1 影响计算机网络系统安全的因素
计算机网络的安全性,是一个系统的概念,是由数据运行的安全性、通信的安全性和管理人员的安全意识三部分组成。任何一方面出现问题都将影响整个网络系统的正常运行。
1.1 计算机网络软、硬件技术的不完善
由于人类认识能力和技术发展的局限性,在设计硬件和软件的过程中,难免会留下种种技术缺陷,由此造成信息安全隐患,如Internet 作为全球使用范围最广的信息网,自身协议的开放性虽极大地方便了各种计算机入网,拓宽了共享资源。但TCP/ IP 协议在开始制定时没有考虑通信路径的安全性,缺乏通信协议的基本安全机制,没有加密、身份认证等功能,在发送信息时常包含源地址、目标地址和端口号等信息。由此导致了网络上的远程用户读写系统文件、执行根和非根拥有的文件通过网络进行传送时产生了安全漏洞。
1.2 计算机病毒的影响
计算机病毒利用网络作为自己繁殖和传播的载体及工具,造成的危害越来越大。Internet 带来的安全威胁来自文件下载及电子邮件,邮件病毒凭借其危害性强、变形种类繁多、传播速度快、可跨平台发作、影响范围广等特点,利用用户的通讯簿来散发病毒,通过用户文件泄密信息,邮件病毒已成为目前病毒防治的重中之重。
1.3 计算机网络存在着系统内部的安全威胁
计算机网络系统内部的安全威胁包括以下几个方面: ①计算机系统及通信线路的脆弱性。②系统软硬件设计、配置及使用不当。③人为因素造成的安全泄漏,如网络机房的管理人员不慎将操作口令泄漏,有意或无意地泄密、更改网络配置和记录信息,磁盘上的机密文件被人利用,临时文件未及时删除而被窃取。
1.4 物理电磁辐射引起的信息泄漏
计算机附属电子设备在工作时能经过地线、电源线、信号线将电磁信号或谐波等辐射出去,产生电磁辐射。电磁辐射物能够破坏网络中传输的数据,这种辐射的来源主要有两个方面: ①网络周围电子设备产生的电磁辐射和试图破坏数据传输而预谋的干扰辐射源。②网络的终端、打印机或其他电子设备在工作时产生的电磁辐射泄漏,这些电磁信号在近处或者远处都可以被接收下来,经过提取处理,重新恢复出原信息,造成信息泄漏。
2 网络安全机制应具有的功能
网络安全威胁产生的方式主要有:身份窃取、假冒、数据窃取、否认、错误路由、拒绝服务、业务量分析、非授权存取等。因此采取措施对网络信息加以保护,以使受到攻击的威胁减到最小是必须的。一个网络安全系统应有如下的功能。
2.1身份识别
身份识别是安全系统应具备的最基本功能。这是验证通信双方身份的有效手段,用户向其系统请求服务时,要出示自己的身份证明,例如输入User ID和Password。而系统应具备查验用户的身份证明的能力,对于用户的输入,能够明确判别该输入是否来自合法用户。
2.2 存取权限控制
其基本任务是防止非法用户进入系统及防止合法用户对系统资源的非法使用。在开放系统中,网上资源的使用应制订一些规定:一是定义哪些用户可以访问哪些资源,二是定义可以访问的用户各自具备的读、写、操作等权限。
2.3 数字签名
即通过一定的机制如RSA公钥加密算法等,使信息接收方能够做出“该信息是来自某一数据源且只可能来自该数据源”的判断。
2.4 保护数据完整性
即通过一定的机制,如加入消息摘要等,以发现信息是否被非法修改,避免用户或主机被伪信息欺骗。
2.5 审计追踪
既通过记录日志、对一些有关信息统计等手段,使系统在出现安全问题时能够追查原因。
2.6 密钥管理
信息加密是保障信息安全的重要途径,以密文方式在相对安全的信道上传递信息,可以让用户比较放心地使用网络,如果密钥泄露或居心不良者通过积累大量密文而增加密文的破译机会,都会对通信安全造成威胁。因此,对密钥的产生、存储、传递和定期更换进行有效地控制而引入密钥管理机制,对增加网络的安全性和抗攻击性也是非常重要的。
3 网络信息安全常用技术
通常保障网络信息安全的方法有两大类:以“防火墙”技术为代表的被动防卫型和建立在数据加密、用户授权访问机制上的开放型网络安全保障技术。
3.1 防火墙技术
“防火墙”(Firewall)安全保障技术主要是为了保护与互联网相连的企业内部网络或单独节点,用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态,是目前保护网络免遭黑客袭击的有效手段。它具有简单实用的特点,并且透明度高, 可以在不修改原有网络应用系统的情况下达到一定的安全要求。防火墙一方面通过检查、分析、过滤从内部网流出的IP 包,尽可能地对外部网络屏蔽被保护网络或节点的信息、结构,另一方面对内屏蔽外部某些危险地址,实现对内部网络的保护。
防火墙处于网络安全的最底层,负责网络间的安全认证与传输。但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等。根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和监测型。
3.2 数据加密技术
计算机网络数据加密技术相对于防火墙来说比较灵活,更加适用于开放网络。数据加密主要用于对动态信息的保护。而对动态数据的攻击分为主动攻击和被动攻击,对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,而实现这一切的基础就是数据加密。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法。这种变换是受被称为密钥的符号串控制的。在传统的加密算法中,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,称为对称密钥算法。这样的密钥必须秘密保管,只能为授权用户所知,授权用户既可以用该密钥加密信息,也可以用该密钥解密信息。
数据加密算法通常有两种。一个是DES(Data Encryption Standard),数据加密标准。DES是一种对二元数据进行加密的算法,数据分组长度为64位,密文分组长度也是64位,使用的密钥为64位,有效密钥长度为56位,有8 位用于奇偶校验,解密时的过程和加密时相似,但密钥的顺序正好相反。DES 算法的弱点是不能提供足够的安全性,因为其密钥容量只有56位。由于这个原因,后来又提出了三重DES 或3DES系统,使用3个不同的密钥对数据块进行(两次或)三次加密,该方法比进行普通加密的三次块。其强度大约和112比特的密钥强度相当。另一个是典型的公钥加密算法如RSA(Ronald L Rivest,Adi Shamir,Leonard Adleman)。RSA算法既能用于数据加密,也能用于数字签名,RSA的理论依据为:寻找两个大素数比较简单,而将它们的乘积分解开则异常困难。在RSA 算法中,包含两个密钥,加密密钥PK,和解密密钥SK,加密密钥是公开的,其加密与解密方程为:其中n=p×q,p∈[0,n-1],p 和q 均为大于10100的素数,这两个素数是保密的。RSA 算法的优点是密钥空间大,缺点是加密速度慢,如果RSA和DES 结合使用,则正好弥补RSA的缺点。即S用于明文加密,RSA用于DES 密钥的加密。由于DES加密速度快,适合加密较长的报文;而RSA可解决DES密钥分配的问题。
3.3 访问控制技术
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。其包括入网访问控制、网络的权限控制、网络服务器安全控制、属性安全控制。
入网访问控制,它为网络访问提供了第一层访问控制,它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。网络的权限控制,它是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限,网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源,可以指定用户对这些文件、目录、设备能够执行哪些操作。网络服务器安全控制,包括可以设置口令锁定服务器控制台,以防止非法用户修改。删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。属性安全控制,它能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。
4 展望
计算机网络技术还在迅猛发展,维护网络的安全也将面临巨大的挑战。尽管现在用于网络安全的产品有很多,比如有防火墙、杀毒软件、入侵检测系统,但是仍然有很多黑客的非法入侵。原因是网络自身的带有无法根除的安全隐患,从网络的诞生开始,网络威胁就一直伴随着它的发展。因此,我们还将不断地努力,尽最大可能减少网络安全隐患的可能,从而保护网络信息安全。
参考文献:
[1]卢开澄. 计算机密码学——计算机网络中的数据保密与安全[M] .第3版. 北京:清华大学出版社,2003.
[2] Andrew S ,Tanenbaum. 计算机网络[M].4版.潘爱民,译.北京:清华大学出版社,2004.
[3]孙家正.数字图书馆新世纪信息技术的机遇与挑战国际研讨会论文集[M].北京图书馆出版社.2002
[4]吴钰锋,刘泉,李方敏.网络安全中的密码技术研究及其应用[J].真空电子技术.2004
[5]刘怀宇,李伟琴. 浅谈访问控制技术[J].电子展望与决策,1999 (1) .
[6]林国庆.浅析计算机网络安全与防火墙技术[J].恩施职业技术学院学报(综合版). 2007(19).
关键词:计算机网络;安全隐患;数据加密;防火墙
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2007)17-31274-01
On the Computer Network Security Risks and Countermeasures
ZHU Hua
(Taizhou Teachers College,Taizhou 225300,China)
Abstract: With the fast development of the computer technology, the internet makes more and more relations with people, but it also brings much security hidden trouble except the benefits, such as information pilferage, date destroy, system damage. This article discusses the present security hidden trouble, and some methods to protect the internet.
Key words: computer internet; security hidden trouble; date encrypt; firewall
随着计算机技术的不断发展,计算机上处理业务从以前的单机的数学运算、文件处理发展到复杂的局域网、全球互联网的计算机处理系统,并实现了世界范围内的信息共享和业务处理。在信息处理能力提高的同时,系统的连结能力也在不断提高。但在连结信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出。
1 影响计算机网络系统安全的因素
计算机网络的安全性,是一个系统的概念,是由数据运行的安全性、通信的安全性和管理人员的安全意识三部分组成。任何一方面出现问题都将影响整个网络系统的正常运行。
1.1 计算机网络软、硬件技术的不完善
由于人类认识能力和技术发展的局限性,在设计硬件和软件的过程中,难免会留下种种技术缺陷,由此造成信息安全隐患,如Internet 作为全球使用范围最广的信息网,自身协议的开放性虽极大地方便了各种计算机入网,拓宽了共享资源。但TCP/ IP 协议在开始制定时没有考虑通信路径的安全性,缺乏通信协议的基本安全机制,没有加密、身份认证等功能,在发送信息时常包含源地址、目标地址和端口号等信息。由此导致了网络上的远程用户读写系统文件、执行根和非根拥有的文件通过网络进行传送时产生了安全漏洞。
1.2 计算机病毒的影响
计算机病毒利用网络作为自己繁殖和传播的载体及工具,造成的危害越来越大。Internet 带来的安全威胁来自文件下载及电子邮件,邮件病毒凭借其危害性强、变形种类繁多、传播速度快、可跨平台发作、影响范围广等特点,利用用户的通讯簿来散发病毒,通过用户文件泄密信息,邮件病毒已成为目前病毒防治的重中之重。
1.3 计算机网络存在着系统内部的安全威胁
计算机网络系统内部的安全威胁包括以下几个方面: ①计算机系统及通信线路的脆弱性。②系统软硬件设计、配置及使用不当。③人为因素造成的安全泄漏,如网络机房的管理人员不慎将操作口令泄漏,有意或无意地泄密、更改网络配置和记录信息,磁盘上的机密文件被人利用,临时文件未及时删除而被窃取。
1.4 物理电磁辐射引起的信息泄漏
计算机附属电子设备在工作时能经过地线、电源线、信号线将电磁信号或谐波等辐射出去,产生电磁辐射。电磁辐射物能够破坏网络中传输的数据,这种辐射的来源主要有两个方面: ①网络周围电子设备产生的电磁辐射和试图破坏数据传输而预谋的干扰辐射源。②网络的终端、打印机或其他电子设备在工作时产生的电磁辐射泄漏,这些电磁信号在近处或者远处都可以被接收下来,经过提取处理,重新恢复出原信息,造成信息泄漏。
2 网络安全机制应具有的功能
网络安全威胁产生的方式主要有:身份窃取、假冒、数据窃取、否认、错误路由、拒绝服务、业务量分析、非授权存取等。因此采取措施对网络信息加以保护,以使受到攻击的威胁减到最小是必须的。一个网络安全系统应有如下的功能。
2.1身份识别
身份识别是安全系统应具备的最基本功能。这是验证通信双方身份的有效手段,用户向其系统请求服务时,要出示自己的身份证明,例如输入User ID和Password。而系统应具备查验用户的身份证明的能力,对于用户的输入,能够明确判别该输入是否来自合法用户。
2.2 存取权限控制
其基本任务是防止非法用户进入系统及防止合法用户对系统资源的非法使用。在开放系统中,网上资源的使用应制订一些规定:一是定义哪些用户可以访问哪些资源,二是定义可以访问的用户各自具备的读、写、操作等权限。
2.3 数字签名
即通过一定的机制如RSA公钥加密算法等,使信息接收方能够做出“该信息是来自某一数据源且只可能来自该数据源”的判断。
2.4 保护数据完整性
即通过一定的机制,如加入消息摘要等,以发现信息是否被非法修改,避免用户或主机被伪信息欺骗。
2.5 审计追踪
既通过记录日志、对一些有关信息统计等手段,使系统在出现安全问题时能够追查原因。
2.6 密钥管理
信息加密是保障信息安全的重要途径,以密文方式在相对安全的信道上传递信息,可以让用户比较放心地使用网络,如果密钥泄露或居心不良者通过积累大量密文而增加密文的破译机会,都会对通信安全造成威胁。因此,对密钥的产生、存储、传递和定期更换进行有效地控制而引入密钥管理机制,对增加网络的安全性和抗攻击性也是非常重要的。
3 网络信息安全常用技术
通常保障网络信息安全的方法有两大类:以“防火墙”技术为代表的被动防卫型和建立在数据加密、用户授权访问机制上的开放型网络安全保障技术。
3.1 防火墙技术
“防火墙”(Firewall)安全保障技术主要是为了保护与互联网相连的企业内部网络或单独节点,用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态,是目前保护网络免遭黑客袭击的有效手段。它具有简单实用的特点,并且透明度高, 可以在不修改原有网络应用系统的情况下达到一定的安全要求。防火墙一方面通过检查、分析、过滤从内部网流出的IP 包,尽可能地对外部网络屏蔽被保护网络或节点的信息、结构,另一方面对内屏蔽外部某些危险地址,实现对内部网络的保护。
防火墙处于网络安全的最底层,负责网络间的安全认证与传输。但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等。根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和监测型。
3.2 数据加密技术
计算机网络数据加密技术相对于防火墙来说比较灵活,更加适用于开放网络。数据加密主要用于对动态信息的保护。而对动态数据的攻击分为主动攻击和被动攻击,对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,而实现这一切的基础就是数据加密。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法。这种变换是受被称为密钥的符号串控制的。在传统的加密算法中,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,称为对称密钥算法。这样的密钥必须秘密保管,只能为授权用户所知,授权用户既可以用该密钥加密信息,也可以用该密钥解密信息。
数据加密算法通常有两种。一个是DES(Data Encryption Standard),数据加密标准。DES是一种对二元数据进行加密的算法,数据分组长度为64位,密文分组长度也是64位,使用的密钥为64位,有效密钥长度为56位,有8 位用于奇偶校验,解密时的过程和加密时相似,但密钥的顺序正好相反。DES 算法的弱点是不能提供足够的安全性,因为其密钥容量只有56位。由于这个原因,后来又提出了三重DES 或3DES系统,使用3个不同的密钥对数据块进行(两次或)三次加密,该方法比进行普通加密的三次块。其强度大约和112比特的密钥强度相当。另一个是典型的公钥加密算法如RSA(Ronald L Rivest,Adi Shamir,Leonard Adleman)。RSA算法既能用于数据加密,也能用于数字签名,RSA的理论依据为:寻找两个大素数比较简单,而将它们的乘积分解开则异常困难。在RSA 算法中,包含两个密钥,加密密钥PK,和解密密钥SK,加密密钥是公开的,其加密与解密方程为:其中n=p×q,p∈[0,n-1],p 和q 均为大于10100的素数,这两个素数是保密的。RSA 算法的优点是密钥空间大,缺点是加密速度慢,如果RSA和DES 结合使用,则正好弥补RSA的缺点。即S用于明文加密,RSA用于DES 密钥的加密。由于DES加密速度快,适合加密较长的报文;而RSA可解决DES密钥分配的问题。
3.3 访问控制技术
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。其包括入网访问控制、网络的权限控制、网络服务器安全控制、属性安全控制。
入网访问控制,它为网络访问提供了第一层访问控制,它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。网络的权限控制,它是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限,网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源,可以指定用户对这些文件、目录、设备能够执行哪些操作。网络服务器安全控制,包括可以设置口令锁定服务器控制台,以防止非法用户修改。删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。属性安全控制,它能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。
4 展望
计算机网络技术还在迅猛发展,维护网络的安全也将面临巨大的挑战。尽管现在用于网络安全的产品有很多,比如有防火墙、杀毒软件、入侵检测系统,但是仍然有很多黑客的非法入侵。原因是网络自身的带有无法根除的安全隐患,从网络的诞生开始,网络威胁就一直伴随着它的发展。因此,我们还将不断地努力,尽最大可能减少网络安全隐患的可能,从而保护网络信息安全。
参考文献:
[1]卢开澄. 计算机密码学——计算机网络中的数据保密与安全[M] .第3版. 北京:清华大学出版社,2003.
[2] Andrew S ,Tanenbaum. 计算机网络[M].4版.潘爱民,译.北京:清华大学出版社,2004.
[3]孙家正.数字图书馆新世纪信息技术的机遇与挑战国际研讨会论文集[M].北京图书馆出版社.2002
[4]吴钰锋,刘泉,李方敏.网络安全中的密码技术研究及其应用[J].真空电子技术.2004
[5]刘怀宇,李伟琴. 浅谈访问控制技术[J].电子展望与决策,1999 (1) .
[6]林国庆.浅析计算机网络安全与防火墙技术[J].恩施职业技术学院学报(综合版). 2007(19).