网络安全概念

一、网络平安的概念国际标准化组织〔ISO〕对计算机系统平安的定义是：为数据处理系统建立和采用的技术和管理的平安保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此可以将计算机网络的平安理解为：通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。所以，建立网络平安保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丧失和泄露等。二、Internet的平安隐患主要表达在以下几方面：Internet是—个开放的、无控制机构的网络，黑客〔Hacker〕经常会侵入网络中的计算机系统，或窃取机密数据和盗用特权，或破坏重要数据，或使系统功能得不到充分发挥直至瘫痪。Internet的数据传输是基于TCP/IP通信协议进行的，这些协议缺乏使传输过程中的信息不被窃取的平安措施。Internet上的通信业务多数使用Unix操作系统来支持，Unix操作系统中明显存在的平安脆弱性问题会直接影响平安效劳。.在计算机上存储、传输和处理的电子信息，还没有像传统的邮件通信那样进行信封保护和签字盖章。信息的来源和去向是否真实，内容是否被改动，以及是否泄露等，在应用层支持的效劳协议中是凭着君子协定来维系的。.电子邮件存在着被拆看、误投和伪造的可能性。使用电子邮件来传输重要机密信息会存在着很大的危险。.计算机病毒通过Interne的传播给上网用户带来极大的危害，病毒可以使计算机和计算机网络系统瘫痪、数据和文件丧失。在网络上传播病毒可以通过公共匿名FTP文件传送、也可以通过邮件和邮件的附加文件传播。三、网络平安防范的内容一个平安的计算机网络应该具有可靠性、可用性、完整性、保密性和真实性等特点。计算机网络不仅要保护计算机网络设备平安和计算机网络系统平安，还要保护数据平安等。因此针对计算机网络本身可能存在的平安问题，实施网络平安保护方案以确保计算机网络自身的平安性是每一个计算机网络都要认真对待的一个重要问题。网络平安防范的重点主要有两个方面：一是计算机病毒，二是黑客犯罪。计算机病毒是我们大家都比拟熟悉的一种危害计算机系统和网络平安的破坏性程序。黑客犯罪是指个别人利用计算机高科技手段，盗取密码侵入他人计算机网络，非法获得信息、盗用特权等，如非法转移银行资金、盗用他人银行帐号购物等。随着网络经济的开展和电子商务的展开，严防黑客入侵、切实保障网络交易的平安，不仅关系到个人的资金平安、商家的货物平安，还关系到国家的经济平安、国家经济秩序的稳定问题，因此各级组织和部门必须给予高度重视。四、确保网络平安的主要技术1，防火墙技术网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一并监视网络运行定的平安策略来实施检查，以决定网络之间的通信是否被允许，状态。并监视网络运行目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关代理效劳器）以及电路层网关、屏蔽主机防火墙、双宿主机等类型。防火墙处于5层网络平安体系中的最底层属于网络层平安技术范畴。负责网络间的平安认证与传输但随着网络平安技术的整体开展和网络应用的不断变化现代防火墙技术已经逐步走向网络层之外的其他平安层次不仅要完成传统防火墙的过滤任务同时还能为各种网络应用提供相应的平安效劳。另外还有多种防火墙产品正朝着数据平安与用户认证、防止病毒与黑客侵入等方向开展。根据防火墙所采用的技术不同我们可以将它分为四种根本类型：包过滤型、网络地址转换-NAT、代理型和监测型。具体如下：〔1）包过滤型包过滤型产品是防火墙的初级产品其技术依据是网络中的分包传输技术。网络上的数据都是以包〃为单位进行传输的数据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些包"是否来自可信任的平安站点，一旦发现来自危险站点的数据包防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规那么。包过滤技术的优点是简单实用实现本钱较低在应用环境比拟简单的情况下，能够以较小的代价在一定程度上保证系统的平安。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的平安技术只能根据数据包的来源、目标和端口等网络信息进行判断无法识别基于应用层的恶意侵入如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址骗过包过滤型防火墙。〔2）网络地址转化-NAT网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不需要为其网络中每一台机器取得注册的IP地址。NAT的工作过程是：在内部网络通过平安网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非平安网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非平安网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规那么来判断这个访问是否平安。当符合规那么时，防火墙认为访问是平安的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规那么时，防火墙认为该访问是不平安的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。〔3〕代理型代理型防火墙也可以被称为代理效劳器，它的平安性要高于包过滤型产品，并已经开始向应用层开展。代理效劳器位于客户机与效劳器之间完全阻挡了二者间的数据交流。从客户机来看代理效劳器相当于一台真正的效劳器而从效劳器来看代理效劳器又是一台真正的客户机。当客户机需要使用效劳器上的数据时，首先将数据请求发给代理效劳器代理效劳器再根据这一请求向效劳器索取数据，然后再由代理效劳器将数据传输给客户机。由于外部系统与内部效劳器之间没有直接的数据通道外部的恶意侵害也就很难伤害到企业内部网络系统。代理型防火墙的优点是平安性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响，而且代理效劳器必须针对客户机可能产生的所有应用类型逐一进行设置大大增加了系统管理的复杂性。〔4〕监测型监测型防火墙是新一代的产品，这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测在对这些数据加以分析的根底上监测型防火墙能够有效地判断出各层中的非法侵入。同时这种检测型防火墙产品一般还带有分布式探测器这些探测器安置在各种应用效劳器和其他网络的节点之中不仅能够检测来自网络外部的攻击同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计在针对网络系统的攻击中有相当比例的攻击来自网络内部。因此监测型防火墙不仅超越了传统防火墙的定义而且在平安性上也超越了前两代产品。虽然监测型防火墙平安性上已超越了包过滤型和代理效劳器型防火墙，但由于监测型防火墙技术的实现本钱较高，也不易管理，所以目前在实用中的防火墙产品仍然以第二代代理型产品为主但在某些方面也已经开始使用监测型防火墙。基于对系统本钱与平安技术本钱的综合考虑，用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的平安性需求，同时也能有效地控制平安系统的总拥有本钱。虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显缺乏：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。2.加密技术信息交换加密技术分为两类：即对称加密和非对称加密。具体如下：〔1）对称加密技术在对称加密技术中，对信息的加密和解密都使用相同的钥，也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程，信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露，那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些缺乏，如果交换一方有N个交换对象，那么他就要维护N个私有密钥，对称加密存在的另一个问题是双方共享一把私有密钥，交换双方的任何信息都是通过这把密钥加密后传送给对方的。〔2〕非对称加密技术在非对称加密体系中，密钥被分解为一对〔即公开密钥和私有密钥〕。这对密钥中任何一把都可以作为公开密钥〔加密密钥〕通过非保密方式向他人公开，而另一把作为私有密钥〔解密密钥〕加以保存。公开密钥用于加密，私有密钥用于解密，私有密钥只能有生成密钥的交换方掌握，公开密钥可广泛公布，但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立平安通信，广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些的数学难题之上，是计算机复杂性理论开展的必然结果。最具有代表性是RSA公钥密码体制。RSA算法是RivestShamir和Adleman于1977年提出的第一个完善的公钥密码体制，其平安性是基于分解大整数的困难性。在RSA体制中使用了这样一个根本领实：到目前为止，无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下：公开密钥：n=pq(p、q分别为两个互异的大素数，p、q必须保密)e与〔p-1(q-1互素私有密钥：d=e-1(mod(p-1)(q-1)}加密：c=me(modn),其中m为明文，c为密文。解密：m=cd(modn)利用目前已经掌握的知识和理论，分解2048bit的大整数已经超过了64位计算机的运算能力，因此在目前和预见的将来，它是足够平安的。3.虚拟专用网技术虚拟专用网(VirtualPrivateNetworVPN)是近年来随着Interne的开展而迅速开展起来的一种技术。现代企业越来越多地利用Interne资源来进行促销、销售、售后效劳，乃至培训、合作等活动。许多企业趋向于利用Interne来替代它们私有数据网络。这种利用Interne来传输私有信息而形成的逻辑网络就称为虚拟专用网。虚拟专用网实际上就是将Internet看作一种公有数据网，这种公有网和PSTN网在数据传输上没有本质的区别，从用户观点来看，数据都被正确传送到了目的地。相对地，企业在这种公共数据网上建立的用以传输企业内部信息的网络被称为私有网。目前VPN主要采用四项技术来保证平安，这四项技术分别是隧道技术(Tunneling〕、加解密技术〔Encryption&Decryption、密钥管理技术〔KeyManagement〕、使用者与设备身份认证技术〔Authentication。〔1〕隧道技术隧道技术是一种通过使用互联网络的根底设施在网络之间传递数据的方式。使用隧道传递的数据〔或负载〕可以是不同协议的数据帧或包。隧道协议将这些其它协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点，数据将被解包并转发到最终目的地。注意隧道技术是指包括数据封装，传输和解包在内的全过程。〔2〕加解密技术对通过公共互联网络传递的数据必须经过加密，确保网络其他未授权的用户无法读取该信息。加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术。〔3〕密钥管理技术密钥管理技术的主要任务是如何在公用数据网上平安地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellma的演算法那么，在网络上传输密钥；在ISAKMP中，双方都有两把密钥，分别用于公用、私用。〔4〕使用者与设备身份认证技术VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN。另外，方案还必须能够提供审计和记费功能，显示何人在何时访问了何种信息。身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。VPN整合了范围广泛的用户，从家庭的拨号上网用户到办公室连网的工作站，直到ISP的Web效劳器。用户类型、传输方法，以及由VPN使用的效劳的混合性，增加了VPN设计的复杂性，同时也增加了网络平安的复杂性。如果能有效地采用VPN技术，是可以防止欺诈、增强访问控制和系统控制、加强保密和认证的。选择一个适宜的VPN解决方案可以有效地防范网络黑客的恶意攻击。4・平安隔离网络的平安威胁和风险主要存在于三个方面：物理层、协议层和应用层。网络线路被恶意切断或过高电压导致通信中断，属于物理层的威胁；网络地址伪装、Teardrop碎片攻击、SYNFlood等那么属于协议层的威胁；非法URL提交、网页恶意代码、邮件病毒等均属于应用层的攻击。从平安风险来看，基于物理层的攻击较少，基于网络层的攻击较多，而基于应用层的攻击最多，并且复杂多样，难以