试论计算机网络信息存在的安全问题及对策
来源:用户上传
作者: 王智奇
摘要:在网络信息时代,保证信息安全是所有用户都极为关注的问题。文章将就如何解决网络信息安全问题进行探讨。
关键词:计算机网络;信息安全;技术措施
中图分类号:TP393.08文献标识码:A文章编号:1006-8937(2012)08-0076-02
网络的普及化,使得现代社会成为信息大爆炸的时代。在这样的背景之下,如何保证网络信息的安全,就成了所有网络用户所关心的话题。而关于网络信息安全的技术发展,也一直成为社会关注的焦点。事实上,以技术对抗技术是当前计算机网络与信息安全最主要的防范手段,技术防范措施主要有访问控制技术、数据加密、防火墙技术、入侵检测技术等。
1影响网络安全的因素
造成计算机网络信息不安全的因素很多,特别是在Internet和Intranet环境下,包括众多的异种协议、不同的操作系统、不同厂家的硬件平台。因而安全问题较复杂,常见的网络安全威胁主要包括以下几个方面。
1.1计算机病毒
从本质上看计算机病毒是一种具有自我复制能力的程序。其自身具有破坏性、传播性、潜伏性和扩散面广等特点。计算机病毒会把自己的代码写人宿主程序的代码中,达到感染宿主程序的目的,导致程序在运行中受感染,同时,病毒还会进行自我复制,把其副本感染到计算机的其他程序。随着Internet的发展,Java和ActiveX 的网页技术逐渐被广泛使用,将文件附于电子邮件的能力也不断提高,计算机病毒的种类急剧增加,扩散速度大大加快,而且破坏性越来越大,受感染的范围也越来越广。
1.2计算机黑客
黑客,是英文“Hacker”的译音,原指“技术十分高超的、有强制力的计算机程序员”,后专指利用不正当的手段窃取计算机网络系统的口令和密码,从而非法进入计算机网络的人。黑客攻击主要手段有:窃取口令、植入非法命令过程或程序“蠕虫”、窃取额外特权、植入“特洛伊木马”、强行闯入、清理磁盘等。
1.3技术问题导致的不安全
广泛采用TC~IP协议的Internet,由于TCWIP协议在制定时,没有考虑安全因素,因此协议中存在诸多安全问题,正是由于TCWIP协议本身存在的欠缺,结果导致了Internet的不安全。TC~IP协议具有的互联能力强、网络技术独立、支持多种应用协议的特点,也不足以弥补网络的不安全。
1.4制度不完善导致的不安全
信息安全政策是一个国家或国际组织在一定时期内为处理信息自由传播与有限利用的矛盾而制定的一系列行政规范的总和,它以国家意志为后盾,以行政干预为手段,以政府行为为标志,对一定范围内的信息安全管理具有宏观导向作用,是网络信息安全的行政保障。
2安全防范技术
2.1访问控制技术
访问控制用来识别并验证用户,同时将用户限制于已授权的活动和资源。网络的访问控制可以从以下几个方面来考虑规划:口令识别、网络资源属主、属性和访问权限和网络安全监视等。口令识别是网络攻击的常用于段。口令受到攻击的途径有在输入口令时被偷听、被口令破解程序破解、被网络分析仪器或其他工具窃听、误入Login的特洛伊木马陷进和使口令被窃取等。因此口令安全应遵循以下原则:采用不易猜测、无规律的口令,字符数不能少于6个;不同的系统采用不同的口令;定期更换口令,最长不超过半年;采用加密的方式保存和传输口令;对每次的登录失败作记录并认真查找原因;系统管理员经常检查系统的登录文件及登录日志。
2.2数据加密
数据加密是计算机网络安全很重要的一个部分。由于Internet本身的不安全性,为了确保安全,不仅要对口令进行加密,也要对网上传输的文件进行加密。人们采用了数字签名这样的加密技术,同时也提供了基于加密的身份认证技术。事实上电子商务成为可能,数据加密功不可没。我们可以把数据加密技术分为3类,即对称型加密、不对称型加密和不可逆加密。对称型加密使用单个密钥对数据进行加密或解密,其主要优点是加密效率高、计算量小。
但由于密钥管理困难、使用成本较高、安全性能难以保证。在计算机网络系统中广泛使用的DES算法,是这类算法的主要代表。所谓的不对称型加密算法,也可以叫做公开密钥算法,其主要优点在于有公用密钥和私有密钥这两个密码,完成加密和解密的全过程,需要两者搭配使用。其在分布式系统中的数据加密中使用很有效,而在Internet中运用广泛。其中公用密钥在网上公布,为数据发送方对数据加密时使用,但是解密的相应私有密钥,必须要由数据的接收方进行严格保管。不对称型加密的也可以叫做“数字签名”(digital signature),也就是说数据源使用其私有密钥对与数据内容有关的变量进行加密,而数据接收方则用相应的公用密钥解读“数字签名”。
2.3防火墙技术
防火墙是位于内部网或Web站点与因特网之间的一个路由器或一台计算机,又称为堡垒主机。其目的如同一个安全门,为门内的部门提供安全,控制那些可被允许出入该受保护环境的人或物。就像工作在门外的安全卫士,控制并检查站点的访问者。归纳起来,防火墙的功能有:访问控制,授权认证,内容安全(包括病毒扫描、URI。扫描、HTTP过滤),加密,路由器安全管理,地址翻译,均衡负载,日志记账、审计报警。防火墙技术一般分为以下几类:
①基于IP包过滤的堡垒主机防火墙是在网络层实现的防火墙技术。IP过滤路由器根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过。这种技术的优点是低负载、高通过率、对用户透明,但包过滤技术的弱点是不能在用户端进行过滤,如不能识别不同的用户和防止IP地址被盗用。
②代理服务器(Proxy Server)防火墙能够提供在应用级的网络安全访问控制。代理防火墙代替受保护网络的主机向外部网络发送服务请求,并将外部服务请求响应的结果返回给受保护网络的主机。这种技术的优点是不允许外部主机直接访问内部主机,支持多种用户认证方案,可以分析数据包内部的应用命令和提供详细的审计记录,缺点是速度比包过滤慢,对用户不透明,与特定应用协议相关联,并不能支持所有的网络协议。
2.4入侵检测技术
作为近年出现的新型网络安全技术,入侵检测技术的主要作用是提供实时的入侵检测,以及相应的防护手段,比如说记录相关的证据,以便用于跟踪和恢复、断开网络的连接等。它能够发现危险攻击的特征,进而探测出攻击行为并发出警报,并采取保护措施。入侵检测技术一方面可以应付来自内部网络的攻击,同时,也能够应对外部黑客的入侵。入侵检测系统可分为两种,即基于主机和基于网络。基于主机的入侵检测系统,主要是用于保护关键应用的服务器、实时监视可疑的连接等,同时还需要提供对典型应用的监视,例如Web服务器应用。
随着Internet的发展和网络应用的普及,网络安全以不仅仅是一个技术问题,而且是一个威胁到社会发展的问题。因此除了应大力发展网络与信息安全防范技术,还必须加快网络与信息安全法律的制定,通过管理、法律的手段保证网络与信息系统安全。只有这样,网络和信息系统才会真正安全。
2.5签名、认证与完整性保护
数字签名(Digital Signature)是手写签名的电子模拟,是通过电子信息计算处理产生的一段特殊字符串消息,该消息具有与手写签名一样的特点,是可信的、不可伪造的、不可重用的、不可抵赖的以及不可修改的,可用于身份认证和数据完整性控制。认证(Authentication)就是一个实体向另一个实体证明其所具有的某种特性的过程。在认证过程中,要用到两种基本安全技术,即标识技术和鉴别技术。常用的鉴别信息主要有:所知道的秘密,如口令、密钥等;所拥有的实物,如钥匙、徽标、IC卡等;生物特征信息,如指纹、声音、视网膜等;习惯动作,如笔迹等;上下文信息,就是认证实体所处的环境信息、地理位置、时间等,如IP地址等。
归纳起来,认证的主要用途有三方面:消息接收者验证消息的合法性、真实性、完整性;消息发送者不能否认所发消息;任何人不能伪造合法消息。所谓完整性保护,是指保证数据在存储或传输过程中不被非法修改、破坏或丢失,主要手段是报文摘要技术,即输入不定长数据,经过杂凑函数,通过各种变换,输出定长的摘要。
3结语
网络信息给人们的生活带来了极大的便利,但于此同时,也可能会出现大量的安全问题,为了保证用户的信息安全,信息安全部门需要从信息网络出现的问题着手,制定合理有效的安全防范措施,保证网络信息的安全。
参考文献:
[1] 谢振刚.如何建立安全的计算机网络系统[J].黑龙江科技 信息,2011,(8).
[2] 隋礼江.浅析网络安全与防范策略[J].内蒙古科技与经济, 2010,(23).
[3] 谢秀兰,张艳慧,刘慧文.计算机网络安全及防范措施[J].内 蒙古科技与经济,2011,(16).
转载注明来源:https://www.xzbu.com/3/view-2696965.htm
