《计算机网络安全的基本概念》5000字

计算机网络安全的基本概念综述一、网络安全的定义计算机网络是指在网络操作系统、网络管理软件和网络通信协议的管理和协调下，实现资源共享和信息传输的计算机系统。通过通信线路将不同地理位置的多台计算机及其具有独立功能的外部设备连接起来。从一般意义上讲，安全就是没有危险，没有事故。对于计算机网络来说，其安全问题是指网络系统的硬件、软件和系统中的数据受到保护，不受意外或恶意的破坏、更改、泄漏，以保证系统的连续、可靠、正常运行，网络服务不中断。从广义上讲，所有与网络上信息的保密性、完整性、可用性、真实性和可控性相关的技术和理论都是网络安全的研究领域。计算机网络的安全实际上包括两个方面:一是网络的系统安全，二是网络的信息安全。由于计算机网络最重要的资源是它向用户提供的服务和它所拥有的信息，因此计算机网络的安全可以定义为:确保网络服务的可用性和网络信息的完整性。前者要求网络有选择地随时向所有用户提供自己的网络服务，而后者要求网络确保信息资源的保密性、完整性、可用性和准确性。可以看出,要解决的根本问题在建立一个安全的网络系统是如何控制网络服务的类型和范围一个适当的程度,同时保证网络的连通性和可用性,以保护系统的可用性和信息的完整性的影响。可见，网络安全既涉及技术问题，也涉及管理问题，两者相辅相成，缺一不可。技术方面主要侧重于防止外部非法用户的攻击，管理方面则侧重于内部人为因素的管理。如何更有效地保护重要信息数据，提高计算机网络系统的安全性，已成为所有计算机网络应用中必须考虑和解决的重要问题。二、网络安全的特征网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、信息论等学科的综合性学科。网络安全是指保护网络系统中的硬件、软件和数据不受意外或恶意的破坏、更改和泄露，从而保证系统持续、可靠、正常运行，保证网络服务不间断。网络安全本质上是网络上的信息安全。从广义上讲，所有与网络上信息的保密性、完整性、可用性、真实性和可控性相关的技术和理论都是网络安全的研究领域。（一）网络安全的特点1.保密性保密性是指网络信息不泄露的特性。保密是保证网络信息安全的重要手段。保密性可以确保即使信息泄露，未经授权的用户也无法在有限的时间内识别出真实的信息内容。常用的安全措施主要包括:信息加密与物理安全、辐射防护、监控防护等。2.完整性完整性是指网络信息不能擅自改变的特性，即网络信息在存储和传输过程中不会被删除、修改、伪造、乱序、重播和插入，从而保持信息的原貌。影响网络信息完整性的主要因素有设备故障、代码错误、人为攻击和计算机病毒。3.可用性可用性是指网络信息能够被授权用户访问的特性，即网络信息服务能够保证授权用户在需要时使用。这意味着两件事:授权用户不会被拒绝访问网络;授权用户对网络访问进行身份识别和确认，并对用户的访问权限进行限制。4.可控性可控性指的是可以被授权实体访问并按需使用的特性，也就是说，需要的信息应该在需要时可以访问。可控性要求能够控制信息的传输和内容。5.可靠性可靠性是网络系统安全最基本的要求，主要是指网络系统的硬件和软件运行无故障的性能。提高可靠性的具体措施主要包括:提高设备质量，配备必要的冗余和备份，采取故障纠正、自修复和容错措施，加强灾备机制，合理负荷分配等。6.不可抵赖性不可抵赖性也称作不可否认性，主要用于网络信息的交换过程，保证信息交换的参与者都不可能否认或抵赖曾进行的操作，类似于在发文或收文过程中的签名和签收的过程。（二）物理安全物理安全是指用来保护计算机硬件和存储介质的装置和工作程序。物理安全包括多方面的内容。1.防盗和其他物品一样，计算机也是盗窃的目标，比如硬盘、主板等等。电脑被盗造成的损失可以远远大于电脑本身的价值，所以一定要采取严格的预防措施，确保电脑设备不丢失。2.防火计算机机房发生火灾一般是由于电气原因、人为事故或外部火灾蔓延引起的。电气设备和线路由于短路、过载、接触不良、绝缘层损坏或静电等原因而引起电气火灾和火灾。人为事故是指操作者不小心、吸烟、扔烟头等，使满屋的易燃物质(如纸张、胶带、胶片等)起火，当然，也不排除人为故意纵火。外部火灾蔓延是指由于外部房间或其他建筑物的火灾蔓延到机房而引起的火灾。3.防静电静电是由物体之间的摩擦和接触引起的。电脑显示器也会产生很强的静电。静电产生后，由于无法释放，静电会滞留在物体中。会有很高的势能(能量不大)，产生静电放电火花，引起火灾。它还可能对大规模集成电路造成损害，这可能是难以察觉的。4.防雷击随着科学技术的发展和电子信息设备的广泛应用，对现代防雷技术提出了更高、更新的要求。采用传统的避雷针，不仅不能满足微电子设备的安全需求，还带来了很多弊端。采用传统避雷针的避雷机制进行防雷保护，不仅增加了被雷击的概率，而且还会产生感应雷击，而感应雷击是电子信息设备损坏的主要杀手，也是易燃易爆产品着火的主要原因。防雷的主要措施如下:根据电气和微电子设备的不同功能和不同的防护程序和防护层，确定防护要点，进行分级防护;从电力线到数据通信线应根据运行中雷电和瞬态过电压的潜在危害进行多层保护。5.防电磁泄漏电子计算机和其他电子设备一样，在工作时产生电磁辐射。电磁发射包括辐射发射和传导发射。这两种电磁发射均可被高灵敏度接收机接收，分别进行分析和恢复，导致计算机信息泄漏。例如，从20世纪80年代开始，美国市场上出现了一种符合TEMPEST标准的军用通信设备，并逐渐形成商品化、标准化生产。TEMPEST技术是综合性的技术，包括泄露信息的分析、预测、接收、识别、复原、防护、测试、安全评估等项技术，涉及多个学科领域。屏蔽是防电磁泄漏的有效措施，屏蔽主要有电屏蔽、磁屏蔽和电磁屏蔽三种类型。（三）逻辑安全计算机逻辑安全需要通过密码、文件权限、审计等方法来实现。防止计算机黑客的入侵主要依赖于计算机的逻辑安全。您可以限制您登录的次数或对试用操作设置时间限制。储存于电脑档案内的资料可由软件加以保护，该软件限制存取非他人所有的档案，直到该档案的拥有者明确准许他人存取该档案为止;另一种限制访问的方式是通过硬件，它在接收到访问请求后请求并检查密码，然后访问目录中列出的授权用户ID号。此外，还有一些安全包可以跟踪可疑的、未经授权的访问尝试，比如多次登录或对他人文件的请求。（四）操作系统安全操作系统是计算机中最基本、最重要的软件。在同一台计算机上可以安装几种不同的操作系统。如果一个计算机系统可供许多人使用，操作系统必须能够区分不同的用户，使他们不会相互干扰。例如，大多数多用户操作系统不允许一个用户删除属于另一个用户的文件，除非第二个用户明确地给予许可。一些更安全、功能更强大的操作系统可以为计算机的每个用户分配帐户。通常一个用户只有一个帐户，操作系统不允许一个用户修改另一个帐户产生的数据。（五）联网安全联网的安全性只能通过以下两方面的安全服务来达到：1.访问控制服务用来保护计算机和联网资源不被非授权使用。2.通信安全服务用来认证数据机要性与完整性，以及各通信的可信赖性。例如，基于互联网或WWW的电子商务就必须依赖并广泛采用通信安全服务。三、网络安全层次结构国际标准化组织提出了开放式系统互联参考模型，目的是使之成为计算机互连为网络的标准框架。但是，当前事实上的标准是TCP/IP参考模型，Internet网络体系结构就以TCP/IP为核心。基于TCP/IP的参考模型将计算机网络体系结构分成四个层次，分别是：网络接口层，对应OSI参考模型中的物理层和数据链路层；网际互联层，对应OSI参考模型的网络层，主要解决主机到主机的通信问题；传输层，对应OSI参考模型的传输层，为应用层实体提供端到端的通信功能；应用层，对应OSI参考模型的高层，为用户提供所需要的各种服务。从网络安全的角度来看，参考模型的每一层都可以采取一定的安全手段和措施，提供不同的安全服务。但是，单个级别不能提供所有的网络安全特性，每个级别必须提供自己的安全服务，共同维护网络系统中的信息安全。在物理层，可以在通信线路上采用电磁屏蔽、电磁干扰等技术，防止通信系统以电磁(电磁辐射、电磁泄漏)的形式向外界泄漏信息。在数据链路层，可以通过通信加密机对点对点链路进行加密。信息可以在离开一台机器进入点对点链路传输之前进行加密，在进入另一台机器时进行解密。所有的细节都是由底层的硬件实现的，上层是不可见的。但是，该方案不能适应通过多个路由设备进行通信的链路，因为加密和解密操作将在每个路由设备上进行，这将形成安全风险。在网络层，通过防火墙技术对通过网络边界的信息进行处理，确定来自哪个目的地址的信息可以访问或不能访问主机，从而保护内网免受非法用户的访问。在传输层，可以使用端到端加密(即进程到进程加密)来提供信息流的安全性。在应用层，认证主要根据用户的身份进行，可以建立安全的通信通道。四、网络安全责任与目标（一）网络安全责任很多人员都能在网络的安全建设中发挥作用，从高级管理者到日常用户。高级管理者负责推行安全策略，其准则是“依其言而行事，勿观其行而仿之”，但是源自高级管理者的策略和规则往往会被忽视掉。如果您希望用户参与维护安全，您必须让他们相信管理是认真的。用户不仅要意识到安全的存在，还要意识到不遵守规则可能带来的后果。最好的方法是提供短期的安全培训课程，让人们可以提问和讨论问题。另一个良好的做法是在经常出入的公共场所和使用场所张贴安全警告（例如，网吧或者机房）。需要注意的是，政府在安全方面也发挥着重要作用。无线、IP语音通信等新兴技术的法规和法律体系逐步建立。（二）网络安全目标网络安全的最终目标是通过各种技术和管理手段实现网络信息系统的可靠性、保密性、完整性、有效性、可控性和否定性。可靠性是所有信息系统正常运行的基本前提。它通常是指信息系统能够在规定的条件和时间内完成规定的功能的特性。可控信息的内容和传播具有控制能力的特点。不可抵赖性，又称不可抵赖性或不可抵赖性，是指通信各方不能抵赖或否认已完成的操作和承诺。使用数字签名可以防止通信双方否认他们已经发送和接收信息的事实。在大多数情况下，网络安全更多地关注于网络信息的保密性、完整性和有效性，即CIA。1.保密性保密性是指信息系统防止信息非法泄露的特性。信息仅限于授权用户，机密性主要通过信息加密、身份认证、访问控制、安全通信协议等技术实现。信息加密是防止信息非法泄露的最基本手段。其实大多数网络安全防护系统都是基于密码技术的，一旦密码泄露，就意味着整个安全防护系统崩溃。如果密码以明文传输，很容易通过网络窃取。保护密码是防止信息泄露的关键，加密可以防止密码被盗。机密文件和重要电子邮件在Internet上传输也需要加密，加密后的文件和邮件如果被劫持，虽然多数加密算法是公开的，但由于没有正确密钥进行解密，劫持的密文仍然是不可读的。此外，机密文件即使不在网络上传输，也应该进行加密；否则窃取密码后就可以获得机密文件，而且对机密文件加密可以提供双重保护。2.完整性完整性是信息的本质，未经授权是不能改变的。完整性与保密性不同，保密性强调信息不能被非法泄露，而完整性强调信息在存储和传输过程中不能被意外或故意修改、删除、伪造、添加、破坏或丢失，并且在存储和传输过程中必须保持不变。信息完整性是指信息的可靠性、正确性、有效性和一致性，只有完整的信息才是值得信赖的信息。影响信息完整性的因素主要有硬件故障、软件故障、网络故障、灾难事件、入侵攻击和计算机病毒。确保信息完整性的技术包括安全通信协议、密码验证和数字签名。事实上，数据备份是信息完整性被破坏后最有效的恢复方式。3.有效性有效性是指信息资源能够被授权的用户按需访问的特性，是面向用户服务的信息系统的安全特性。只要信息系统继续有效，经过授权的用户可以根据自己的需要随时随地访问信息系统提供的服务。在强调