网络安全的概念

1、数据不会发生增加、修改、丢失和泄露等。二、 Internet的安全隐患主要体现在下列几方面、网络安全的概念国际标准化组织（ ISO ）对计算机系统安全的定义是：为数据处理系统建立和采用的技术和管理的安全保护， 保护计算机硬件、 软件和数据不因偶然和恶意 的原因遭到破坏、 更改和泄露。 由此可以将计算机网络的安全理解为： 通过采用 各种技术和管理措施， 使网络系统正常运行， 从而确保网络数据的可用性、 完整性和保密性。 所以，建立网络安全保护措施的目的是确保经过网络传输和交换的1 Internet 是一个开放的、无控制机构的网络，黑客（ Hacker ）经常会侵 入网络中的计算机系统， 或窃取机

2、密数据和盗用特权， 或破坏重要数据， 或使系 统功能得不到充分发挥直至瘫痪。2 Internet 的数据传输是基于 TCP/IP 通信协议进行的，这些协议缺乏使 传输过程中的信息不被窃取的安全措施。3 Internet 上的通信业务多数使用 Unix 操作系统来支持， Unix 操作系统 中明显存在的安全脆弱性问题会直接影响安全服务。4在计算机上存储、传输和处理的电子信息，还没有像传统的邮件通信那样进行信封保护和签字盖章。 信息的来源和去向是否真实， 内容是否被改动， 以 及是否泄露等，在应用层支持的服务协议中是凭着君子协定来维系的。5电子邮件存在着被拆看、误投和伪造的可能性。使用电子邮件来传

3、输重要机密信息会存在着很大的危险。6计算机病毒通过 Internet 的传播给上网用户带来极大的危害，病毒可以 使计算机和计算机网络系统瘫痪、 数据和文件丢失。 在网络上传播病毒可以通过 公共匿名 FTP 文件传送、也可以通过邮件和邮件的附加文件传播。三、网络安全防范的内容一个安全的计算机网络应该具有可靠性、 可用性、完整性、 保密性和真实性 等特点。计算机网络不仅要保护计算机网络设备安全和计算机网络系统安全， 要保护数据安全等。 因此针对计算机网络本身可能存在的安全问题， 实施网络安 全保护方案以确保计算机网络自身的安全性是每一个计算机网络都要认真对待是计算机病毒， 二是的一个重要问题。 网

4、络安全防范的重点主要有两个方面： 黑客犯罪。计算机病毒是我们大家都比较熟悉的一种危害计算机系统和网络安全的破 坏性程序。 黑客犯罪是指个别人利用计算机高科技手段， 盗取密码侵入他人计算 机网络，非法获得信息、盗用特权等，如非法转移银行资金、盗用他人银行帐号 购物等。随着网络经济的发展和电子商务的展开， 严防黑客入侵、 切实保障网络 交易的安全，不仅关系到个人的资金安全、 商家的货物安全， 还关系到国家的经 济安全、国家经济秩序的稳定问题，因此各级组织和部门必须给予高度重视。四、确保网络安全的主要技术1，防火墙技术网络防火墙技术是一种用来加强网络之间访问控制， 防止外部网络用户以非 法手段通过外

5、部网络进入内部网络， 访问内部网络资源， 保护内部网络操作环境 的特殊网络互联设备。 它对两个或多个网络之间传输的数据包如链接方式按照一 定的安全策略来实施检查， 以决定网络之间的通信是否被允许， 并监视网络运行 状态。目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关 （代理服务器）以及电路层网关、屏蔽主机防火墙、双宿主机等类型。防火墙处于 5 层网络安全体系中的最底层 ,属于网络层安全技术范畴。负责网络间的安全认证与传输 ,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次 ,不仅要完成传统防火墙的过滤任务 ,同时还能为各种网络应用提

6、供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。根据防火墙所采用的技术不同 ,我们可以将它分为四种基本类型: 包过滤型、 网络地址转换-NAT、代理型和监测型。具体如下:1）包过滤型包过滤型产品是防火墙的初级产品 ,其技术依据是网络中的分包传输技术。网络上的数据都是以 包为单位进行传输的 ,数据被分割成为一定大小的数据包 ,每一个数据包中都会包含一些特定信息 ,如数据的源地址、目标地址、 TCP/UDP源端口和目标端口等。 防火墙通过读取数据包中的地址信息来判断这些 包 是否 来自可信任的安全站点，一旦发现来自危险站点的数据包 ,防火墙便会将这些

7、数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用 ,实现成本较低 ,在应用环境比较简单的情况下 ,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。 包过滤技术是一种完全基于网络层的安全 技术,只能根据数据包的来源、目标和端口等网络信息进行判断 ,无法识别基于应用层的恶意侵入 ,如恶意的 Java 小程序以及电子邮件中附带的病毒。 有经验的黑 客很容易伪造 IP 地址,骗过包过滤型防火墙。2）网络地址转化 -NAT网络地址转换是一种用于把 IP 地址转换成临时的、 外部的、注册的 IP 地址 标准。它允许具有私有 IP 地址的内部网

8、络访问因特网。它还意味着用户不需要 为其网络中每一台机器取得注册的 IP 地址。将产生一个NAT的工作过程是：在内部网络通过安全网卡访问外部网络时,映射记录。 系统将外出的源地址和源端口映射为一个伪装的地址和端口， 让这个 伪装的地址和端口通过非安全网卡与外部网络连接， 这样对外就隐藏了真实的内 部网络地址。 在外部网络通过非安全网卡访问内部网络时， 它并不知道内部网络 的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根 据预先定义好的映射规则来判断这个访问是否安全。 当符合规则时， 防火墙认为 访问是安全的, 可以接受访问请求, 也可以将连接请求映射到不同的内部计算机

9、中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏 蔽外部的连接请求。 网络地址转换的过程对于用户来说是透明的， 不需要用户进 行设置，用户只要进行常规操作即可。3）代理型代理型防火墙也可以被称为代理服务器 ,它的安全性要高于包过滤型产品 ,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看 ,代理服务器相当于一台真正的服务器 ;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时 首先将数据请求发给代理服务器 ,代理服务器再根据这一请求向服务器索取数据然后再由代理服务器将数据传输给客户机。 由于外

10、部系统与内部服务器之间没有 直接的数据通道 ,外部的恶意侵害也就很难伤害到企业内部网络系统。代理型防火墙的优点是安全性较高 ,可以针对应用层进行侦测和扫描 ,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。4）监测型监测型防火墙是新一代的产品 ,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上 ,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器 ,这些探测器安置

11、在各种应用服务器和其他网络的节点之中 ,不仅能够检测来自网络外部的攻击 ,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计 ,在针对网络系统的攻击中 ,有相当比例的攻击来自网络内部。因此 ,监测型防火墙不仅超越了传统防火墙的定义 ,而且在安全性上也超越了前两代产品。虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高 ,也不易管理 ,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主 ,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑 ,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需

12、求 ,同时也能有效地控制安全系统的总拥有成本。虽然防火墙是目前保护网络免遭黑客袭击的有效手段， 但也有明显不足： 无 法防范通过防火墙以外的其它途径的攻击， 不能防止来自内部变节者和不经心的 用户们带来的威胁， 也不能完全防止传送已感染病毒的软件或文件， 以及无法防 范数据驱动型的攻击。2加密技术信息交换加密技术分为两类：即对称加密和非对称加密。具体如下：1）对称加密技术在对称加密技术中， 对信息的加密和解密都使用相同的钥， 也就是说一把钥 匙开一把锁。 这种加密方法可简化加密处理过程， 信息交换双方都不必彼此研究 和交换专用的加密算法。 如果在交换阶段私有密钥未曾泄露， 那么机密性和报文 完

13、整性就可以得以保证。对称加密技术也存在一些不足，如果交换一方有 交换对象，那么他就要维护 N 个私有密钥，对称加密存在的另一个问题是双方 共享一把私有密钥，交换双方的任何信息都是通过这把密钥加密后传送给对方 的。2）非对称加密技术在非对称加密体系中，密钥被分解为一对（即公开密钥和私有密钥）。这对 密钥中任何一把都可以作为公开密钥（加密密钥）通过非保密方式向他人公开， 而另一把作为私有密钥（解密密钥）加以保存。公开密钥用于加密，私有密钥用 于解密，私有密钥只能有生成密钥的交换方掌握， 公开密钥可广泛公布， 但它只 对应于生成密钥的交换方。 非对称加密方式可以使通信双方无须事先交换密钥就 可以建立

14、安全通信， 广泛应用于身份认证、 数字签名等信息交换领域。 非对称加 密体系一般是建立在某些已知的数学难题之上， 是计算机复杂性理论发展的必然 结果。最具有代表性是 RSA 公钥密码体制。RSA 算法是 Rivest、 Shamir 和 Adleman 于 1977 年提出的第一个完善的公钥密码体制，其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实：到目前为止，无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下:公开密钥: n=pq（p 、q 分别为两个互异的大素数， p、q 必须保密 ）e 与（ p-1） （q-1） 互素私有密钥: d=e-1 mod(p-

15、1)(q-1)加密: c=me（mod n）, 其中 m 为明文， c 为密文。解密: m=cd(mod n)利用目前已经掌握的知识和理论，分解 2048bit 的大整数已经超过了 64 位计算机的运算能力，因此在目前和预见的将来，它是足够安全的。3虚拟专用网技术虚拟专用网(Virtual P rivate Network , VPN)是近年来随着In ternet的发展而迅速发展起来的一种技术。现代企业越来越多地利用 Internet 资源来进行促销、销售、售后服务，乃至培训、合作等活动。 许多企业趋向于利用 Internet 来替代它们私有数据网络。这种利用Internet 来传输私有信息

16、而形成的逻辑网络就称为虚拟专用网。虚拟专用网实际上就是将Internet 看作一种公有数据网，这种公有网和PSTN网在数据传输上没有本质的区别，从用户观点来看，数据都被正确传送到了目的地。相对地，企业在这种公共数据网上建立的用以传输企业内部信息的网络被称为私有网。目前VPN主要采用四项技术来保证安全，这四项技术分别是隧道技术T u n n e l i ng )、加解密技术( Encryption & Decryption )、密钥管理技术( KeyManagement )、使用者与设备身份认证技术( Authentication )。1)隧道技术隧道技术是一种通过使用互联网络的基础设施在网络之

17、间传递数据的方式。使用隧道传递的数据 (或负载) 可以是不同协议的数据帧或包。 隧道协议将这些其它协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。 被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。 一旦到达网络终点，数据将被解包并转发到最终目的地。 注意隧道技术是指包括数据封装， 传输 和解包在内的全过程。2）加解密技术对通过公共互联网络传递的数据必须经过加密， 确保网络其他未授权的用户 无法读取该信息。加解密技术是数据通信中一项较成熟的技术， VPN可直接利用

18、现有技术。3）密钥管理技术密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃 取。现行密钥管理技术又分为 SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则，在网络上传输密钥；在ISAKMP中，双方都有两把密钥，分别用于公用、私用。4）使用者与设备身份认证技术VPN。VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问另外，方案还必须能够提供审计和记费功能，显示何人在何时访问了何种信息。身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。VPN 整合了范围广泛的用户，从家庭的拨号上网用户到办公室连网的工作 站，直到IS

19、P的Web服务器。用户类型、传输方法，以及由 VPN使用的服务的混合性，增加了 VPN设计的复杂性，同时也增加了网络安全的复杂性。如果能有效地采用VPN技术，是可以防止欺诈、增强访问控制和系统控制、加强保密 和认证的。选择一个合适的VPN解决方案可以有效地防范网络黑客的恶意攻击。4.安全隔离网络的安全威胁和风险主要存在于三个方面： 物理层、 协议层和应用层。 网 络线路被恶意切断或过高电压导致通信中断， 属于物理层的威胁； 网络地址伪装、Teardrop碎片攻击、SYNFIood等则属于协议层的威胁；非法URL提交、网页恶意代码、 邮件病毒等均属于应用层的攻击。 从安全风险来看， 基于物理层的攻击 较少，基于网络层的攻击较多，而基于应用层的攻击最多，并且复