计算机网络安全的主要技术

1、计算机网络安全的主要技术 随着计算机应用范围的扩大和互联网技术的 迅速发展，计算机信息技术已经渗透到人们生活 的方方面面，网上购物、商业贸易、金融财务等 经济行为都已经实现网络运行，“数字化经济” 引领世界进入一个全新的发展阶段。 然而，由于 计算机网络具有连接形式多样性、终端分布不均 匀性和网络的开放性、互联性等特征，致使网络 易受黑客、恶意软件和其他不轨人员的攻击， 计 算机网络安全问题日益突出。在网络安全越来越 受到人们重视和关注的今天，网络安全技术作为 一个独特的领域越来越受到人们关注。 一、网络安全的定义 所谓网络安全是指网络系统的硬件、软件及其 系统中的数据受到保护，不受偶然的因素

2、或者恶 意的攻击而遭到破坏、更改、泄漏，确保系统能 连续、可靠、正常地运行，网络服务不中断。常 见的影响网络安全的问题主要有病毒、黑客攻 击、系统漏洞、资料篡改等，这就需要我们建立 一套完整的网络安全体系来保障网络安全可靠 地运行。 二、影响网络安全的主要因素 （1）信息泄密。主要表现为网络上的信息被 窃听,这种仅窃听而不破坏网络中传输信息的网 络侵犯者被称为消极侵犯者。 （2）信息被篡改。这是纯粹的信息破坏，这样 的网络侵犯被称为积极侵犯者。积极侵犯者截取 网上的信息包，并对之进行更改使之失效，或者故 意添加一些有利于自已的信息，起到信息误导的 作用，其破坏作用最大。 （3）传输非法信息流。

3、只允许用户同其他用 户进行特定类型的通信，但禁止其它类型的通信, 如允许电子邮件传输而禁止文件传送。 （4）网络资源的错误使用。如不合理的资源 访问控制，一些资源有可能被偶然或故意地破 坏。 （5）非法使用网络资源。非法用户登录进入 系统使用网络资源，造成资源的消耗，损害了合法 用户的利益。 （6）环境影响。自然环境和社会环境对计算 机网络都会产生极大的不良影响。如恶劣的天 气、灾害、事故会对网络造成损害和影响。 （7）软件漏洞。软件漏洞包括以下几个方面： 操作系统、数据库及应用软件、TCP/IP协议、 网络软件和服务、密码设置等的安全漏洞。这些 漏洞一旦遭受电脑病毒攻击，就会带来灾难性的 后

4、果。 （8）人为安全因素。除了技术层面上的原因 外，人为的因素也构成了目前较为突出的安全因 素，无论系统的功能是多么强大或者配备了多少 安全设施,如果管理人员不按规定正确地使用，甚 至人为露系统的关键信息，则其造成的安全后果 是难以量的。这主要表现在管理措施不完善 ，安 全意识薄,管理人员的误操作等。 三、计算机网络安全的主要技术 网络安全技术随着人们网络实践的发展而发 展，其涉及的技术面非常广，主要的技术如下： 认证技术、加密技术、防火墙技术及入侵检测技 术等，这些都是网络安全的重要防线。 （一）认证技术 对合法用户进行认证可以防止非法用户获得 对公司信息系统的访问，使用认证机制还可以防 止

5、合法用户访问他们无权查看的信息。 （二）数据加密技术 加密就是通过一种方式使信息变得混乱，从而 使未被授权的人看不懂它。主要存在两种主要的 加密类型：私匙加密和公匙加密。 1私匙加密。私匙加密又称对称密匙加密，因 为用来加密信息的密匙就是解密信息所使用的 密匙。私匙加密为信息提供了进一步的紧密性， 它不提供认证，因为使用该密匙的任何人都可以 创建、加密和平共处送一条有效的消息。这种加 密方法的优点是速度很快，很容易在硬件和软件 中实现。 2.公匙加密。公匙加密比私匙加密出现得晚， 私匙加密使用同一个密匙加密和解密， 而公匙加 密使用两个密匙，一个用于加密信息，另一个用 于解密信息。公匙加密系统

6、的缺点是它们通常是 计算密集的，因而比私匙加密系统的速度慢得 多，不过若将两者结合起来，就可以得到一个更 复杂的系统。 （三）防火墙技术 防火墙是网络访问控制设备，用于拒绝除了明 确允许通过之外的所有通信数据，它不同于只会 确定网络信息传输方向的简单路由器，而是在网 络传输通过相关的访问站点时对其实施一整套 访问策略的一个或一组系统。大多数防火墙都采 用几种功能相结合的形式来保护自己的网络不 受恶意传输的攻击，其中最流行的技术有静态分 组过滤、动态分组过滤、状态过滤和代理服务器 技术，它们的安全级别依次升高，但具体实践中 既要考虑体系的性价比，又要考虑安全兼顾网络 连接能力。此外，现今良好的防

7、火墙还采用了 VPN、检视和入侵检测技术。 防火墙的安全控制主要是基于IP地址的，难 以为用户在防火墙内外提供一致的安全策略；而 且防火墙只实现了粗粒度的访问控制，也不能与 企业内部使用的其他安全机制（如访问控制）集 成使用；另外，防火墙难于管理和配置，由多个 系统（路由器、过滤器、代理服务器、网关、保 垒主机）组成的防火墙，管理上难免有所疏忽。 （四）入侵检测系统 入侵检测技术是为保证计算机系统的安全而 设计与配置的一种能够及时发现并报告系统中 未授权或异常现象的技术，是一种用于检测计 算机网络中违反安全策略行为的技术。在入侵检 测系统中利用审计记录，入侵检测系统能够识别 出任何不希望有的活

8、动，从而达到限制这些活 动，以保护系统的安全。在校园网络中采用入侵 检测技术，最好采用混合入侵检测，在网络中同 时采用基于网络和基于主机的入侵检测系统，则 会构架成一套完整立体的主动防御体系。 (五) 虚拟专用网(VPN)技术 VPN是目前解决信息安全问题的一个最新、 最成功的技术课题之一，所谓虚拟专用网(VPN) 技术就是在公共网络上建立专用网络，使数据通 过安全的“加密管道”在公共网络中传播。用以 在公共通信网络上构建VPN有两种主流的机 制，这两种机制为路由过滤技术和隧道技术。目 前VPN主要采用了如下四项技术来保障安全： 隧道技术(Tunneling)、加解密技术(Encryption

9、 按隧道协议可分为第二层 和第三层的；按发起方式可分成客户发起的和服 务器发起的。 四、结论 网络安全是一个系统的工程，需要仔细考虑系 统的安全需求，并将各种安全技术结合在 一起, 才能生成一个高效、通用、安全的网络系统。网 络安全是一个综合性的课题，涉及技术、管理、 使用等许多方面，既包括信息系统本身的安全问 题，也有物理的和逻辑的技术措施， 一种技术只 能解决一方面的问题，而不是万能的。因此只有 严格的保密政策、明晰的安全策略以及高素质的 网络管理人才才能完好、实时地保证信息的完整 性和确证性，为网络提供强大的安全服务。 计算机技术和网络技术的高速发展，对整个社会的发展起到了巨大的推动 作

10、用，尤其近年来，计算机网络在社会生活各方面的应用更加广泛，已经成为 人们生活中的重要组成部分，但同时也给我们带来许多挑战。随着我们对网络 信息资源的需求日益增强，随之而来的信息安全问题也越加突出，病毒、黑客、 网络犯罪等给网络的信息安全带来很大挑战。因此计算机网络安全是一个十分 重要且紧迫的任务。 一.计算 1. 网络安全的基本概念计算机网络安全是指。为数据处理系统建立和采取 的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因 而遭到破坏、更改和泄漏 。计算机安全的定义包含物理安全和逻辑安全两方面 的内容，其逻辑安全的内容可理解为我们常说的信息安全，是指对信息的保密、 完整和

11、可用的保护，而网络安全的含义是信息安全的引申，即网络安全是对网 络信息保密、完整和可用的保护。 2. 网络安全的基本组成 (1) 网络实体安全：如计算机的物理条件、物理环境及设施的安全标准，计 算机硬件、附属设备及网络传输线路的安装及配置等； (2) 软件安全：如保护网络系统不被非法侵入，系统软件与应用软件不被非 法复制、篡改、不受病毒的侵害等； (3) 数据安全：如保护网络信息的数据安全，不被非法存取，保护其完整、 一致等 (4) 网络安全管理：如运行时突发事件的安全处理等，包括采取计算机安全 技术，建立安全管理制度，开展安全审计，进行风险分析等内容。 3. 网络安全现状计算机和网络技术具有

12、的复杂和多样，使得计算机和网络 安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算 机病毒的种类，而且许多攻击都是致命的。在In ternet网络上，因互联网本身 没有时空和地域的限制，每当有一种新的攻击手段产生，就能在一周内传遍全 世界。这些攻击手段利用网络和系统漏洞进行攻击从而造成计算机系统及网络 瘫痪。蠕虫、后门(Back-doors)、DoS(Denial of Services)和 Snifer(网路监 听)是大家熟悉的几种黑客攻击手段。但这些攻击手段却都体现了它们惊人的威 力，且有愈演愈烈之势。这几类攻击手段的新变种，与以前出现的攻击方法相 比，更加智能化，攻击目

13、标直指互联网基础协议和操作系统层次，从web程序 的控制程序到内核级Rootlets。黑客的攻击手法不断升级翻新，向用户的信息 安全防范能力不断发起挑战。 二.提膏计算机爵络安全的措麓 1. 采用防火墙防火墙是目前最为流行、使用最广泛的一种网络安全技术， 它的核心思想是在不安全的网络环境中构造一个相对安全的子网环境。防火墙 的最大优势就在于可以对两个网络之间的访问策略进行控制，限制被保护的网 络与互联网络之间，或者与其他网络之间进行的信息存取、传递操作。它具有 以下特：所有的从内部到外部或从外部到内部的通信都必须经过它；只有内部访 问策略授权的通信才允许通过；使系统本身具有更高的可靠。 常见防

14、火墙的体系结构有三种： (1) 双重宿主主机体系结构。它是丽绕具有双重宿主功能的主机而构筑的， 是最基本的防火墙结构。主机充当路由器，是内外网络的接口，能够从一个网 络向另一个网络发送 数据包。这种类型的防火墙完全依赖于主机，因此该主机 的负载般较大，容易成为网络瓶颈。对于只进行酬昙过滤的安全要求来说，只 需在两块网卡之间转发的模块上插入对包的ACL控制即可。但是如果要对应用 层进行代理控制，其代理就要设置到这台双宿主主机上，所有的应用要先于这 个主机进行连接。这样每个人都需要有个登录账号，增加了联网的复杂。 (2) 屏蔽主机体系结构，又称主机过滤结构，它使用个单独的路由器来提供 内部网络主机

15、之间的服务，在这种体系结构中，主要的安全机制由数据包过滤 系统来提供。相对于双重宿主主机体系结构，这种结构允许数据包,Internet上 进人内部网络，因此对路由器的配置要求较高。 (3) 屏蔽子网体系结构。它是在屏蔽主机体系结构基础上添加额外的安全 层，并通过添加周边网络更进一步把内部网络和Intemet隔离开。为此这种结 构需要两个路由器，一个位于周边网络和内部网络之间，另一个在周边网络和 外部网络之间，这样黑客即使攻破了堡垒主机，也不能直接入侵内部网络，因 为他还需要攻破另外一个路由器。 2. 数据加密技术数据加密技术是为提高信息系统及数据的安全I生和保密， 防止秘密数据被外部破析所采用

16、的主要手段之一。数据加密技术按作用不同可 分为数据存储，数据传输、数据完整的鉴别，以及密钥的管理技术。数据存储 加密技术是防止在存储环节上的数据丢失为目的，可分为密文存储和存取两种， 数据传输加密技术的目的是对传输中的数据流加密。数据完整鉴别是对介入信 息的传送、存取，处理人的身份和相关数据内容进行验证，达到保密的要求， 系统通过对比验证对输入的特征值是否符合预先设定的参数，实现对数据的安 全保护。 3. 网络安全的审计和跟踪技术审计和跟踪机制一般情况下并不干涉和直接 影响主业务流程，而是通过对主业务进行记录、检查、监控等来完成以审计、 完整等要求为主的安全功能。 审计和跟踪所包括的典型技术有

17、：漏洞扫描系统、入侵检测系统（IDS）、安 全审计系统等。我们以IDs为例，IDs是作为防火墙的合理补充，能够帮助系统 对付网络攻击，扩展了系统管理员的安全管理能力 （包括安全审计、监视、进攻 识别和响应），提高了信息安全基础结构的完整。入侵检测是一种主动保护网络 和系统安全的技术，它从计算机系统或网络中采集、分析数据，查看网络或主 机系统中是否有违反安全策略的行为和遭到攻击的迹象，并采取适当的响应措 施来阻挡攻击，降低可能的损失。它能提供对内部攻击、外部攻击和误操作的 保护。 入侵检测系统可分为基于主机的入侵检测系统和基于网络的入侵检测系统 两类。 4. 网络病毒的防范与互联网相连的网络，般需要网关的防病毒软件，加强 上网计算机的安全。如果在网络内部使用电子邮件进行信息交换，还需要一套 基于邮件服务器平台的邮件防病毒软件，识别出隐藏在电子邮件和附件中的病 毒。在网络环境下，病毒传播扩散快，仅用单机防病毒产品已经很难彻底清除 网络病毒，必须有适合于局域网的全方位防病毒产品。学校、政府机关、企事 业单位等网络一般是内部局域网，就需要一个基于服务器操作系统平台的防病 毒软件和针对各种桌面操作系统的防病毒软