影响计算机网络安全的因素很多,有人为因素,也有自然因素,其中人为因素的危害最大。归结起来,针对网络安全的威胁主要有三个方面:3 v$ A7 L! | S6 b! C# D: d) b1 p. H
2 f2 }6 ?1 n J9 l* R) [ 1.人为的无意失误:如操作员安全配置不当造成的安全漏洞;不合理地设定资源访问控制,一些资源就有可能被偶然或故意地破坏;用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。 8 d' I/ D$ ^4 Q, F" Z, v# N& Y/ m, Q& G 4 T2 ?. \/ h) w. j y) S) T 2.人为地恶意攻击:这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性,这就是纯粹的信息破坏,这样的网络侵犯者被称为积极侵犯者,积极侵犯者截取网上的信息包,并对其进行更改使它失效,或者故意添加一些有利于自己的信息,起到信息误导的作用,或者登录进入系统使用并占用大量网络资源,造成资源的消耗,损害合法用户的利益,积极侵犯者的破坏作用最大;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息,这种仅窃听而不破坏网络中传输信息的侵犯者被称为消极侵犯者。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。 9 v7 f$ Q. w3 d+ u" R" e: @) A1 o/ s# w
3.网络软件的漏洞和"后门":网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件大部分就是因为网络软件有漏洞,导致安全措施不完善所招致的苦果。另外,软件的"后门"都是软件公司的编程人员为了自便而设置的,一般不为外人所知,但一旦"后门"洞开,造成的后果将不堪设想。) `: K0 |7 e/ X; d/ C
6 ^2 X r* }- @5 B3 n* R5 v 由于网络所带来的诸多不安全因素,使得网络使用者必须采取相应的网络安全技术来堵塞安全漏洞和提供安全的通信服务。如今,快速发展的网络安全技术能从不同角度来保证网络信息不受侵犯,网络安全的基本技术主要包括网络加密技术、防火墙技术、网络地址转换技术、操作系统安全内核技术、身份验证技术、网络防病毒技术。# R4 C m; B* y4 T; R2 K1 `* h' [
+ r C9 t$ S# k; K* l) r: E
一、网络加密技术7 ^/ @0 z6 \$ r- N+ Q
- |4 k9 c l* O- E, d& U
网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供加密保护;节点加密的目的是对源节点到目的节点之间的传输链路提供加密保护。用户可根据网络情况选择上述三种加密方式。1 ^8 B! \1 M0 v; \. I: y1 m
+ W6 h; u7 r% O) r" @ 信息加密过程是由形形色色的加密算法来具体实施的,它以很小的代价提供很牢靠的安全保护。在多数情况下,信息加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方的密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。 ) _" g- @3 @, i8 D1 P% K, w# O5 d" u. @# b: U
1.在常规密码算法中,收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。比较著名的常规密码算法有:美国的DES(数据加密标准)及其各种变形,比如Triple DES、GDES、New DES和DES的前身Lucifer;欧洲的IDEA;日本的FEAL-N、LOKI-91、RC4、RC5以及以代换密码和转轮密码为代表的古典密码等。在众多的常规密码中影响最大的是DES密码。' T7 W" N+ N2 o6 @; O
; z2 Q( y9 V: O( o* r
常规密码算法的优点是有很强的保密强度,且能经受住时间的检验和攻击,但其密钥必须通过安全的途径传送。因此,其密钥管理成为网络安全的重要因素。1 N6 j( b. A* ?1 ?" y2 ?% Y F* a- i
* u( Y! m7 T( {& p4 |% C 2.在公钥密码算法中,收信方和发信方使用的密钥互不相同,而且不可能从加密密钥推导出解密密钥。比较著名的公钥密码算法有:RSA、McEliece密码、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、EIGamal密码算法等。最有影响的公钥密码算法是RSA,它能抵抗目前为止已知的所有密码攻击。 4 p; o. N5 O- d9 k+ e" b) \1 E8 s7 ^; i8 Q! p
公钥密码的优点是可以适应网络的开放性要求,且密钥管理问题也较为简单,尤其可方便地实现数字签名和身份验证。但其算法复杂,加密数据的速率较低。尽管如此,随着现代电子技术和密码技术的发展,公钥密码算法将是一种很有前途的网络安全加密机制。1 O" R! j' E! f9 C; Z/ ]
3 H3 _" s% }1 c* O
在实际应用中,人们通常将常规密码和公钥密码结合在一起使用,比如:利用DES或者IDEA来加密信息,而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类,可以将加密算法分为序列密码算法和分组密码算法,前者每次只加密一个比特而后者则先将信息序列分组,每次处理一个组。 2 B! B f# p1 n- n$ ~7 i) j h# r8 N# m
网络加密技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件(或病毒)的有效方法之一。 * ]9 a9 X6 J+ j& j2 U+ M 3 f. [# U2 a0 N) H 二、防火墙技术 . a- D2 h( p+ j$ j. J( p' {: p4 K+ F3 U7 w7 H) s3 q( _; W5 f
防火墙(Firewall)是用一个或一组网络设备(计算机系统或路由器等),在两个或多个网络间加强访问控制,以保护一个网络不受来自另一个网络攻击的安全技术。防火墙的组成可以表示为:防火墙=过滤器+安全策略(+网关),它是一种非常有效的网络安全技术。在Internet上,通过它来隔离风险区域(即Internet或有一定风险的网络)与安全区域(内部网,如8 M& |+ L' S. ^3 b1 J
Intranet)的连接,但不妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信数据,从而完成仅让安全、核准的信息进入,同时又抵制对企业构成威胁的数据进入的任务。 . k" j+ X" g; m ; ]3 C, V3 i2 n9 ^ 通常,防火墙服务于以下几个目的: 2 }' x/ x4 h( O6 v7 o2 F9 T- W ★限制他人进入内部网络,过滤掉不安全服务和非法用户; - c* c2 I Q7 @6 S2 {/ E# s6 ^% ] ★限定人们访问特殊站点;! |0 d+ X! r: w& _4 K
★为监视Internet安全提供方便。# O: |- A/ n2 L: j$ Q2 I4 s/ ?
) c: ^- C! M' D! s6 T: `+ y7 p
由于防火墙是一种被动技术,它假设了网络边界和服务,因此,对内部的非法访问难以有效地控制。因此,防火墙适合于相对独立的网络,例如Intranet等种类相对集中的网络。 4 x, z f2 f* f" d# T( B7 h9 E: b# \2 y3 B4 E
防火墙的主要技术类型包括网络级数据包过滤(Network-level Packet Filter)和应用代理服务(Application-level Proxy Server)。 : e: m- U$ j2 }, R: n! Z1 h! |* A1 v" Q" Y. S. `$ ^9 w; |1 a
虽然防火墙技术是在内部网与外部网之间实施安全防范的最佳选择,但也存在一定的局限性: & }6 i/ o& A% ]- n" o ★不能完全防范外部刻意的人为攻击;& |0 h: P- b( b! [
★不能防范内部用户攻击;6 L/ A/ _* R7 {7 z3 h4 ^+ w$ O
★不能防止内部用户因误操作而造成口令失密受到的攻击;! C h: e% L: C3 N- o* f& \2 D
★很难防止病毒或者受病毒感染的文件的传输。 1 ~- W/ {' O) Z3 \ : C6 B3 C* W+ {! j7 \& s1 @ 由于两种类型的防火墙系统各有优缺点,因而在实际的使用中常常根据实际需求结合起来使用,目前市场上的最新防火墙产品都结合了网络级数据包过滤和应用代理服务的功能。 0 }3 d1 x9 P3 i4 K) r k# t & I8 D2 c5 \: i) J8 |0 s2 W 三、网络地址转换技术(NAT) + w* v" ^. X# l5 @ . r, f- ?8 t# x+ W 网络地址转换器也称为地址共享器(Address Sharer)或地址映射器,设计它的初衷是为了解决IP地址不足,现多用于网络安全。内部主机向外部主机连接时,使用同一个IP地址;相反地,外部主机要向内部主机连接时,必须通过网关映射到内部主机上。它使外部网络看不到内部网络,从而隐藏内部网络,达到保密作用,使系统的安全性提高,并且节约从ISP得到的外部IP地址。 % b# b \; G, z6 q0 [1 { / R6 f" e# O1 c. F( a 四、操作系统安全内核技术# M" E1 e* N9 T, u0 K
; T z' R9 i* L2 j
除了在传统网络安全技术上着手,人们开始在操作系统的层次上考虑网络安全性,尝试把系统内核中可能引起安全性问题的部分从内核中剔除出去,从而使系统更安全。操作系统平台的安全措施包括:采用安全性较高的操作系统;对操作系统的安全配置;利用安全扫描系统检查操作系统的漏洞等。 ' k+ n: V& H+ n, `2 Y d3 K- F) v. ] \# ]% E d: G# ^
美国国防部(DOD)技术标准把操作系统的安全等级分成了D1、C1、C2、B1、B2、B3、A级,其安全等级由低到高。目前主要的操作系统的安全等级都是C2级(例如,Unix、Windows NT),其特征包括:& @1 P5 ]8 r% m2 \* Y' W, y! p2 t
4 y" |! z: A# c( e$ o4 h1 w3 H: }
★用户必须通过用户注册名和口令让系统识别; 0 |! W3 r+ Q, V6 O8 P ★系统可以根据用户注册名决定用户访问资源的权限;: P: Q! a( z- R4 U3 t+ e
★系统可以对系统中发生的每一件事进行审核和记录;* d# E% R" T6 N
★可以创建其他具有系统管理权限的用户。' q' I0 {* X2 |. T9 j! p8 _
\+ I0 `- F& J& R B1级操作系统除上述机制外,还不允许文件的拥有者改变其许可权限。* R$ |9 ~( I. ?$ u
B2级操作系统要求计算机系统中所有对象都加标签,且给设备(如磁盘、磁带或终端)分配单个或多个安全级别。 0 W D9 v( j$ |4 k( q* ^/ @5 A0 b. w z$ g6 y: C. l% J, U
五、身份验证技术( s8 y s% J/ H! h) w
IP卡
狗仔卡
发表于 2004-10-9 14:19
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
