時間:2023-09-13 17:15:02
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇常用的網絡安全協議,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
【關鍵詞】網絡安全協議;計算機通信技術;安全協議分析;安全;協議設計
作者簡介:景泉,碩士研究生,遼寧石化職業技術學院計算機系,講師,研究方向:網絡測量
在最近幾十年,信息技術的發展十分迅速,隨著技術的進步,人們對于信息的傳輸和處理早已經不受到時間和空間的約束,信息網絡在諸多行業之中被應用,信息網絡甚至成為很多領域生存的基礎,其中以金融領域和軍事領域尤為明顯,而且在如今的很多領域之中,如果沒有了信息網絡,那么整個領域可能都會有癱瘓之虞。而伴隨著信息網絡覆蓋范圍以及信息網絡重要性的日益增長,網絡安全問題已經成為了一個擺在人們面前的大問題,因為互聯網具有很高程度的開放性,而且互聯網上的信息都是可以共享的,這使得互聯網可以將人們的生活相互連接在一起,幫助人們進行交互,可是這也衍生出了一系列的問題,而安全問題更是首當其沖,在這種情況下,網絡安全協議就成為了確保互聯網信息安全的一個十分重要的手段,通過網絡安全協議來對互聯網加以管控,這樣才能在確保網絡安全的前提下,讓互聯網可以更好地服務于人們的生活以及各個領域。而想要編寫安全系數更高的安全協議,就一定要更加深入的了解網絡安全協議,對網絡安全協議的邏輯性分析部分進行系統學習和研究,這樣可以從很大程度上提高網絡安全協議在使用過程之中的安全性。
1網絡安全協議綜述
“協議”在人們日常工作生活中出現的頻率越來越高,因此人們對于協議也有了一定程度上的了解。協議在絕大多數情況下指的是以完成某一個或者某幾個目標為目的,且涉及到兩個或者兩個個體以上的情況下,由兩個個體所執行的一種程序。所以從定義上來說,協定一般具備這樣幾個特征:(1)協議是一個過程,而且這一過程中的某幾個目標存在著一定的順序,這一順序由協議的制定個體決定,在執行的過程之中依照既定的順序依次執行,而且這一順序在執行過程中不得更改;(2)協議最少要擁有兩個參與其中的個體,除此之外在協議執行的過程當中,每一個參與個體都有自己要完成的環節,可是有一點要注意,這一環節并不屬于協議當中的內容;(3)協議的最終目的是為了達成某一目的,故協議中應當包含對目的的預期。從以上的分析之中我們不難發現,計算機網絡的安全協議其實就是在計算機通過網絡傳輸信息數據過程之中,用來確保信息安全的一種程序。在通過信息網絡傳輸數據的過程之中,安全協議最主要的作用就是,使用允許的一切方法來確保信息完整且有效,最常用的是密鑰的分配以及對身份的認證。信息網絡安全協議與上個世紀七十年代被首次使用,這一協議在當時為信息安全提供了很大程度上的安全保障,可是伴隨著信息技術水平的飛速發展,安全協議同樣需要與時俱進,這樣才能更加適應日益多元化的信息交互方式。和從前相比,如今的科技水平已經突飛猛進,安全協議也隨著科技的發展不斷的完善,而其效果和從前相比也更加全面,目前最常用的網絡安全協議一般情況下是SSL協議和SET協議這兩種。這兩種網絡協議都是通過對信息進行加密來確保信息安全。
2密碼協議的分類
從安全協議出現至今,還沒有確定的安全協議分類規則,所以也就沒有人對安全協議進行進一步的分類,可是想要將密碼類型的協議嚴格地按照一定的規定,來進行分類幾乎是做不到的,我們只能從不同的角度來對安全協議進行一個大致上的分類即:(1)認證建立協議;(2)密鑰建立協議;(3)認證密鑰建立協議。
3協議的安全性及其作用意義
3.1網絡安全協議的安全性及其攻擊檢驗
信息技術在最近幾年的發展可以稱得上是日新月異,而更多更完善地安全協議也被人們設計出來并得到了廣泛應用,可是在絕大多數情況下,安全協議在應用之初由于測試機制的不完善,會存在著大量的設計安全漏洞。可以導致網絡安全協議無效的因素有很多,而最為常見的是因為安全協議的編寫者對信息網絡沒有十分深入的了解,更加沒有進行系統的學習,而對安全協議本身的研究也并不夠深入,這樣其設計出的安全協議在使用過程之中,暴露出大量問題也就不難理解了,和設計用密碼進行加密的加密程序相同,通過尋找協議的漏洞來尋找協議不安全的部分,相比于完善整個協議來說要簡單得多。絕大多數情況下,在一個新的安全協議被設計出來之后要對其進行安全性分析,而在分析過程中采用的主要手段就是對其進行模擬攻擊,而這樣的測試主要是針對以下三個方面:(1)對協議中用于信息加密的算法進行攻擊;(2)對算法以及協議本身的加密手段進行攻擊;(3)對協議本身進行攻擊。由于篇幅所限,下文中主要討論的是對協議本身進行攻擊測試,即默認前兩者皆安全
3.2安全協議的設計方法
在網絡安全協議設計的過程中,一般情況下會通過設計來加強協議的復雜性以及協議對于交織攻擊的抵御能力,在此基礎上還要確保協議有一定程度的簡單性以及經濟性。前者是為了確保協議自身盡可能的安全,而后者是為了使協議可以在更大的范圍內加以使用。必須要有先設定某一方面的臨界條件,才可以讓設計出來的協議滿足以上四個要求,而這也就是網絡安全協議的設計規則。
(1)具備抵御常規攻擊的能力。不論哪一種網絡安全協議,最重要也是最根本的一個功能就是可以有效防御來自于網絡的攻擊,換而言之也就是,要求網絡協議對于明文攻擊以及混合式攻擊有防御的能力,也就是要求安全協議可以保護所傳輸的信息,而不讓攻擊者從中取得密鑰,除此之外對于已經超出使用期限的信息的篩選也應當歸屬在其中,也就是說同樣不能讓攻擊者從過期信息中找出漏洞從而獲取密鑰。
(2)應當可以應用在任何網絡結構的任何協議層。因為網絡結構組成的不同,其協議層能夠接受的信息長度也不盡相同,如果想要安全協議應用在更為廣泛的環境之中,那么就要網絡協議的密鑰消息長度可以滿足最短一種密鑰層的需求,只有這樣才能盡可能地提高網絡協議的使用范圍。
4結語
總而言之,在網絡信息技術日新月異的現在,網絡安全協議已經在計算機通信網絡之中被廣泛的使用。計算機通信網安全協議使用范圍的逐漸擴大,不單單提高了計算機網絡在傳輸數據過程之中的安全程度,更進一步為計算機處理信息數據提供了更大的助力。
參考文獻:
[1]邱修峰,劉建偉,陳杰等.Adhoc網絡安全協議仿真系統設計與實現[J].江西師范大學學報(自然科學版),2012,36(02):135~140.
1.計算機網絡安全的定義
互聯網應用技術產生于20世紀60時年代,自90年代開始發展和壯大,而其在人們的日常生活中也占據了越來越重要的地位。計算機網絡安全通常是指網絡系統中的硬件與軟件及系統中數據受到保護,并且不會因為各種偶然因素遭到泄漏、破壞或者更改,與此同時,計算機系統能夠連續、可靠、正常地運行,網絡服務不被中斷。計算機網絡安全就是網絡中信息的安全。因此計算機網絡安全的引申含義就是保障信息的可靠性、保密性、真實性、完整性及可用性。
2.計算機網絡安全問題分析
計算機技術的發展和信息化的普及,網絡能夠為信息處理提供有效的手段,信息所具備的重要性和機密性也為信息安全增加了隱患,目前計算機網絡安全問題集中體現在病毒、黑客攻擊、系統漏洞、資料篡改等方面。
2.1計算機網絡的物理安全問題
計算機網絡的物理安全是計算機網絡安全的基礎,地震、火災、水災等自然問題都會對計算機網絡安全造成影響。另外還包括計算機網絡設備所處的環境,如電磁干擾,防水、防火、防雷電等。
2.2計算機病毒
計算機病毒在《中華人民共和國計算機信息系統安全保護條例》中被明確定義,病毒指“編制者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。計算機病毒具有有破壞性,復制性和傳染性的特點。計算機病毒的主要傳播方式就是網絡傳播,也是危害計算機網絡安全的主要問題。例如在2010年出現的“極虎病毒”,感染“極虎病毒”的計算機進程中會出現pmg.exe與mr.exe進程,并且其CPU占用率高,如瑞星、360安全衛士等殺毒軟件和安全類軟件會被自動關閉。“極虎病毒”能夠破壞殺毒軟件、感染系統文件、篡改系統文件,還會造成計算機和網絡的帳戶信息泄密、被盜等問題,造成經濟損失。
2.3計算機操作系統、軟件安全漏洞
漏洞是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。
目前廣為應用的計算機操作系統如WindowsXP、Windows7等,雖然具備了越來越完善的系統功能,但是系統漏洞是不可避免的問題。而計算機用戶使用的應用軟件,因其自身設計也存在著一定的缺陷,而這些漏洞容易受到計算機病毒攻擊和黑客攻擊。危害計算機網絡的安全。
2.4計算機網絡協議存在的安全問題
Internet中的關鍵協議是TCP/IP協議,即網絡通訊協議。而這一協議當初制定是出于資源共享的目的,而沒有考慮安全方面的問題,致使Internet自身存在脆弱性,也容易遭受攻擊。例如出現DOS、DDOS攻擊,SYN-Flood攻擊、ICMP攻擊、源路由攻擊、截取連接攻擊、以及IP地址被盜用等問題。
2.5黑客攻擊
黑客被定義為專指利用系統安全漏洞對網絡進行攻擊破壞或竊取資料的人。黑客利用計算機網絡存在的漏洞,盜取或篡改個人用戶的資料、窺探個人隱私,竊取企業的商業機密,還有部分黑客侵入國家網絡安全系統,造成國家財產的損失或危害社會公共安全。黑客一般采取信息轟炸、獲取密碼、PING炸彈、攻破防火墻等方式,輕則造成數據被篡改,嚴重會造成網絡系統癱瘓或服務器拒絕服務。例如在2010年1月12日上午7點出現的全球最大中文搜索引擎“百度”遭到黑客攻擊的事件,導致用戶無法正常訪問“百度”,在登錄“百度”頁面時會自動跳轉到其他鏈接上,會被定向到一個位于荷蘭的IP地址,導致百度旗下所有子域名都無法訪問。
2.6人為因素造成的網絡安全問題
首先表現計算機網絡的使用者安全意識不強,包括系統設置錯誤,網絡管理員或網絡用戶操作口令的泄漏,臨時文件未及時刪除而被竊取等,都會造成網絡安全問題。其次,使用網絡的群體計算機水平參差不齊,難免因人為操作失誤危害網絡安全。第三,信息安全管理機制不健全,缺乏統一的監管,以及相關的信息網絡安全制度的執行和監督力度不足,致使網絡安全存在隱患。
3.解決計算機網絡安全問題的對策
鑒于計算機網絡安全中存在的諸多問題,需要制定安全策略。安全策略是指在一個特定的環境里,為保證提供一定級別的安全保護所必須遵守的規則。而計算機網絡安全策略主要包括以下幾個方面。首先是應用先進的網絡安全技術,這也是網絡安全的技術保障。其次是強化網絡安全管理,建立和完善網絡使用機構、企業和單位的信息安全管理體系,提高網絡監管的執行力度,提高網絡使用者的安全意識。第三,健全信息安全法制體系。國家和政府應該制定符合中國國情的相關法律、法規和政策,加大對網絡犯罪的打擊力度,構建和諧、健康、安全的網絡環境。
3.1加強網絡安全的物理環境建設
計算機網絡安全會受物理環境因素的影響,必須要保護計算機系統(網絡服務器)、網絡設備和通信鏈路不受自然災害、人為破壞和物理手段攻擊,對于系統設備中的關鍵部分要進行電磁保護等,更好的為網絡安全建設提供物理基礎。
3.2信息加密技術
保護信息安全的必要手段就是采用信息加密技術。密碼技術是結合數學、計算機科學、電子與通信等學科于一體的交叉學科,具有保證信息機密性的信息加密功能,能夠提供數字簽名、身份驗證、秘密分存、系統安全手段,防止信息被竊取、篡改和偽造等問題出現。而常用的信息加密技術包括:動態會話密鑰、保護關鍵密鑰KEK定期變換加密會話密鑰的密鑰。
3.3防火墻技術
保障計算機網絡安全要安裝網絡防火墻。防火墻是通過在網絡邊界上建立起相應網絡通信監控系統來隔離內部和外部網絡,以阻擋外部網絡的入侵,同時能夠防止內網中的非法操作。采用防火墻技術能夠有效保障網絡信息傳播的可靠性與安全性,同時還能對包含不安全因素的信息進行攔截、過濾。目前常用的防火墻類型主要包括兩種包過濾防火墻與防火墻,為不同客戶需求提供靈活多樣的防護方法。
3.4計算機防毒和殺毒
鑒于計算機病毒會對網絡安全產生極大的危害,因此要在計算機上安裝殺毒軟件。在安裝殺毒軟件都要定時的進行系統安全掃描消除安全隱患,同時要定期的對殺毒軟件和病毒庫進行升級、更新。例如常用的360安全衛士,瑞星殺毒軟件等。
3.5安裝補丁程序
目前廣泛應用的操作系統軟件都存在系統漏洞,比如Windows,XP,Vista,Windows7系統中都存在漏洞,需要在其官網下載安裝補丁程序,能夠有效防止黑客攻擊,以實現計算機網絡系統的安全運行。
3.6提高安全防范意識
結合近年來多發的危害網絡安全事件,很大程度上是由于網絡使用者安全意識不強有關。為了保障計算機網絡系統的安全需要提高網絡使用者的安全意識和網絡安全技術水平,規范網絡使用者的操作行為,避免出現人為因素造成的網絡安全問題。
關鍵詞:計算機;網絡安全;防范措施
中圖分類號:TP393 文獻標識碼:A 文章編號:1674-7712 (2013) 04-0070-01
近些年來,伴隨著計算機網絡和通信技術的發展,不僅給人們的生活帶來很大的方便,同時信息化也讓人們得到了更多的物質和文化的享受。與此同時,網絡的安全威脅也越來越嚴重,諸如黑客的侵襲、數據被盜、病毒的等。盡管我們也在使用復雜的軟件技術如防火墻、各種殺毒軟件、侵襲探測器等來規避安全問題的出現,但是無論發達國家還是發展中國家都無法完全制止,對社會造成了嚴重的危害。本文主要通過計算機網絡應用相關的常見信息安全問題、事例分析及詳細解決方案進行研究,以提高我們控制計算機信息安全問題的能力。
一、計算機網絡安全存在的安全威脅
(一)硬件系統和網絡環境存在的威脅
電源故障、線路截獲以及報警系統等其他計算機硬件系統故障的發生很容易對計算機網絡的安全性造成影響,而且由于每個計算機網絡操作系統都設置有后臺管理系統,所以很難控制計算機網絡操作系統安全隱患。計算機網絡設計時是分散控制、資源共享以及分組交換的開放式,大跨度的環境,但是正是由于這種開放式、大跨度的網絡環境造成黑客以及病毒的入侵,很容易對計算機網絡帶來嚴重的破壞。同時由于計算機網絡具有一定的隱蔽性,對網絡用戶無法準確的識別真實身份,這也進一步增加計算機網絡受到威脅。
(二)網絡通信協議對網絡安全造成的威脅
目前,計算機網絡互聯協議中,網絡通信協議組是最重要的互聯協議。其中網絡通信協議組主要是為了能夠使不同的計算機網絡硬件系統和計算機不同的操作系統相互連接在一起,并為計算機網絡通信提供支持系統。但是由于計算機網絡通信協議是一種互聯且開放的協議,并且網絡通信協議在設計的過程中,
由于沒有充分全面考慮關于計算機網絡安全等相關問題,所以導致計算機網絡安全因網絡通信協議問題出現問題,并且由于網絡通信協議自身存在一些漏洞,從而進一步導致黑客以及不法分子進入系統中利用TCP在連接的過程中進入內部盜取重要的信息和數據,對計算機網絡系統造成嚴重的破壞,最終造成計算機網絡無法正常工作。
(三)IP源路徑不穩定性
由于計算機網絡運行中IP源路徑不穩定,所以很容易導致用戶在利用計算機網絡發送信息或者重要數據時,黑客以及不法分子進入系統中將IP原路基你改變,導致用戶發送的重要信息以及數據發送到非法分子修改的IP地址獲取用戶重要的數據,從中獲取非法利益。
二、計算機網絡安全問題防范及日常維護措施分析
(一)合理配置防火墻
在計算機網絡中,通過進行配置防火墻,對網絡通訊執行訪問尺度進行控制計算機網絡,明確訪問人和數據才能進入到網絡系統中,對于不允許或者其他非法分子以及數據能夠及時攔截,從而能夠有效防止黑客或者非法分子進入破壞網絡。防火墻作為一種有效的網絡安全機制,其已經廣泛應用到網絡系統中,最大限度防止計算機網絡不安全因素的入侵。
(二)安全認證手段
保證實現電子商務中信息的保密性用的是數字信封技術;保證電子商務信息的完整性用的是Hash為函數的核心的數字摘要技術;保證電子商務信息的有效性是利用數字時間戳來完成的;保證電子商務中的通信不可否認、不可抵賴使用的是數字簽名技術;保證電子商務交易中各方身份的認證使用的是建立CA認證體系,這樣可以給電子商務交易各方發放數字認證,并且還必須要有安全協議的配合,常用的安全協議有安全套接層SSL協議和安全電子交易SET協議。并且由于Administrator賬戶擁有計算機網絡最高系統權限,所以導致黑客經常盜取賬戶破壞電腦程序。為了能夠預防這一網絡威脅事件的發生,首先應該在Administrator賬戶上設定復雜且強大的密碼或者重命名Administrator賬戶,最后還可以在系統中創建一個沒有管理權限的Administrator賬戶以達到欺騙入侵者的目的,從而就會造成入侵者無法分清賬號是否擁有管理員的權限,進而能夠減少入侵者損害電計算機網絡以及系統內重要的信息。
(三)加密技術
計算機網絡加密技術的實施主要是為了防止網絡信息以及數據泄露而研究設計的一種防范措施。加密技術主要是將計算機網絡系統中的明文數據按照一定的轉換方式而轉換成為加密的數據。其中傳統的加密技術主要是以報文為單位,這種加密技術與傳統的加密技術相比,其不僅具有獨特的要求,而且這種技術的大型數據庫管理系統主要是運用的Unix和WindowsNT,加密技術的操作系統的安全級別可以分為C1和C2,他們都具有識別用戶、用戶注冊和控制的作用。在計算機網絡系統中雖然DBES在OS的基礎上能夠為系統增加安全防范措施,但是對于計算機網絡數據庫系統其仍然存在一定的安全隱患,而病毒和黑客一般都是從這些細微的漏洞而對數據庫造成危害,而利用加密技術對敏感的數據進行加密則能夠有效保證數據的安全,從而保證計算機系統安全可靠的運行
三、總結
計算機網絡安全和可靠性一直以來都是研究的熱點問題,計算機網絡安全問題直接影響計算機技術的發展和應用,雖然目前用于網絡安全的產品和技術很多,仍有很多黑客的入侵、病毒感染等現象。所以,我們應該不斷研究出新的計算機網絡防范措施,實施先進的計算機網絡技術和計算機體系,同時加強計算機日常防護工作,這樣才能保護計算機網絡安全和信息數據安全,從而為計算機用戶帶來極大的方便,真正享受到網絡信息帶來的優勢。
參考文獻:
[1]陳中元.計算機網絡安全現狀及防范技術探討[J].硅谷,2012(06):120-121.
[2]袁也婷,劉沖.淺談計算機網絡安全技術與防范策略[J].華章,2011(15):79-80.
關鍵詞 IPV6協議;網絡安全
1 IPV6協議
1.1 IPv6的由來
Internet依靠TCP/IP協議,在全球范圍內實現不同硬件結構、不同操作系統、不同網絡系統的互聯。在Internet上,每一個節點都依靠惟一的IP地址互相區分和相互聯系。
目前因特網使用的地址都是IPv4地址IPv6基本協議是經過多次改進后確定的。現在的IPv6協議是1995年由Cisco公司的Steve Deering和Nokia公司的Robert Hinden完成起草并定稿的(即RFC2460)。1998年,IETF對RFC2460進行了較大的改進,形成了現有的RFC2460(1998版)。
1.2 IPv6協議的主要特點
為適應實際應用的要求,IPv6在IPv4的設計思想上加以改進,增加了一些必要的新功能。IPv6的主要特點如下:
1.2.1經過擴展的地址和路由選擇功能。IP地址長度由32位增加到128位,可支持數量大得多的可尋址節點、更多級的地址層次和較為簡單的地址自動配置。
1.2.2定義了任一成員(anycast) 地址,用來標識一組接口,在不會引起混淆的情況下將簡稱“任一地址”,發往這種地址的分組將只發給由該地址所標識的一組接口中的一個成員。
1.2.3簡化的首部格式。IPv4首部的某些字段被取消或改為選項,以減少報文分組處理過程中常用情況的處理費用,并使得IPv6首部的帶寬開銷盡可能低,盡管地址長度增加了。雖然IPv6地址長度是IPv4地址的四倍,IPv6首部的長度只有IPv4首部的兩倍。
1.2.4支持擴展首部和選項。IPv6的選項放在單獨的首部中,位于報文分組中IPv6首部和傳送層首部之間。因為大多數IPv6選項首部不會被報文分組投遞路徑上的任何路由器檢查和處理,直至其到達最終目的地,這種組織方式有利于改進路由器在處理包含選項的報文分組時的性能。IPv6的另一改進,是其選項與IPv4不同,可具有任意長度,不限于40字節。
1.2.5支持驗證和隱私權。IPv6定義了一種擴展,可支持權限驗證和數據完整性。這一擴展是IPv6的基本內容,要求所有的實現必須支持這一擴展。IPv6還定義了一種擴展,借助于加密支持保密性要求。
1.2.6支持自動配置。IPv6支持多種形式的自動配置,從孤立網絡節點地址的“即插即用”自動配置,到DHCP提供的全功能的設施。
1.2.7服務質量能力。IPv6增加了一種新的能力,如果某些報文分組屬于特定的工作流,發送者要求對其給予特殊處理,則可對這些報文分組加標號,例如非缺省服務質量通信業務或“實時”服務。
1.3 IPv6中的地址類型和表示方法
IPv6地址類型主要有:
1.3.1單播地址(unicast)
該地址標識某一單個接口。發往單播地址的包將被傳送到該地址指向的接口。
1.3.2任播地址(anycast)
該地址標識屬于不同節點的一組接口。發往任播地址的包將被傳送到該地址標識的某一個接口,通常是路由協議計算出的最近的那個接口。
1.3.3組播地址(multicast)
同樣該地址標識屬于不同節點的一組接口。但發往組播地址的包將被傳送到該地址標識的所有接口。
IPv6地址表示方法:一個IPv6的IP地址由8個地址節組成,每節包含16個地址位,以4個十六進制數書寫,節與節之間用冒號分隔,除了128位的地址空間,IPv6還為點對點通信設計了一種具有分級結構稱為可聚合全局單點廣播地址的地址。
2 Ipv9協議
2.1 Ipv9的由來
在IPv6還沒有真正普及的今天,中國新一代自研網絡技術IPv9(十進制網絡)即將走出實驗室。 IPv9協議是上海通用化工技術研究所所長、信產部科學技術司十進制網絡標準工作組組長謝建平經過十年的研發,根據《采用全數字碼給上網的計算機分配地址的方法》發明專利實施并發展而成,擁有自主知識產權、以十進制算法(0-9)為基礎的協議,整個網絡系統主要有IPv9地址協議、IPv9報頭協議、IPv9過渡期協議、數字域名規范等協議和標準構成,能兼容現有互聯網絡協議(IPv4、IPv6),又可實現邏輯隔離,達到安全可控。
在IPv9中,從維護主權的立場出發,創造性的提出了互聯網上“主權平等”的概念;并在域名系統中采用十進制、多協議的數字域名系統,兼容英文、中文及其他域名,并將他們映射成全球唯一IP地址;建立分布式跟域名系統,引入國家地域概念,使每個國家都有自己的根域名系統,以確立和維護其在互聯網上主權國家的地位和形象。
2.2 IPv9主要創新內容
2.2.1在十進制互聯網絡上,除了計算機和網絡之間的數據傳誦必須二進制外,其他都采用十進制。
2.2.2同一的(用0~9阿拉伯數字)數字組合它既做IPV9地址、MAC地址又和替代現有互聯網上的英文字母或其他符號如中文等作域名。
2.2.3數字域名解析器兼容現有互聯網絡(IPV4網絡、IPV6網絡)的英文域名解析。
2.2.4基于個人IP地址可作:個人主頁、FTP服務、IP電話和可視電話(計算機到計算機)及身份證、稅務發票、物流碼等廣泛應用。
2.3 IPv9編碼
IPv9是借鑒了電話號碼的編碼體系,以地理概念清晰、簡明易記的數字分配域名。一個IPv9的IP地址由類似電話號碼的國家代碼、地區代碼和智能終端代碼(或服務商代碼)組成。
3 IPV6/9協議在網絡安全機制方面體現
安全性既涉及網絡安全也涉及信息安全,是發展下一代互聯網應注意的最關鍵問題。隨著互聯網的大規模商用化和在國民經濟中越來越重要的地位,安全威脅成為一個必須解決的問題。通過集成IPSec,IPv6實現了IP級的安全。IPSec提供如下安全:訪問控制、無連接的完整性、數據源身份認證、防御包重傳攻擊、保密、有限的業務流保密性。
3.1協議安全
在協議安全層面上,IPv6全面支持認證頭(AH)認證和封裝安全有效負荷(ESP)信息安全封裝擴展頭。
AH認證支持hmac_md5_96、hmac_sha_1_96認證加密算法。
ESP封裝支持DES_CBC、3DES_CBC以及Null等三種算法。
3.2網絡安全
3.2.1端到端的安全保證。在兩端主機上對報文進行IPSec封裝,中間路由器實現對有IPSec擴展頭的IPv6報文進行透傳,從而實現端到端的安全。
3.2.2對內部網絡的保密。當內部主機與因特網上其他主機進行通信時,為了保證內部網絡的安全,可以通過配置的IPSec網關實現。因為IPSec作為IPv6的擴展報頭不能被中間路由器而只能被目的節點解析處理,因此IPSec網關可以通過IPSec隧道的方式實現,也可以通過IPv6擴展頭中提供的路由頭和逐跳選項頭結合應用層網關技術來實現。后者的實現方式更加靈活,有利于提供完善的內部網絡安全,但是比較復雜。
3.2.3通過安全隧道構建安全的VPN。此處的VPN是通過IPv6的IPSec隧道實現的。在路由器之間建立IPSec的安全隧道,構成安全的VPN是最常用的安全網絡組建方式。IPSec網關的路由器實際上就是IPSec隧道的終點和起點,為了滿足轉發性能的要求,該路由器需要專用的加密板卡。
3.2.4通過隧道嵌套實現網絡安全。通過隧道嵌套的方式可以獲得多重的安全保護。當配置了IPSec的主機通過安全隧道接入到配置了IPSee網關的路由器,并且該路由器作為外部隧道的終結點將外部隧道封裝剝除時,嵌套的內部安全隧道就構成了對內部網絡的安全隔離。
作為IPv6的一個組成部分,IPSec是一個網絡層協議。它只負責其下層的網絡安全,并不負責其上層應用的安全,如Web、電子郵件和文件傳輸等。為解決IPv6網絡安全問題,IPv6網絡中仍需要使用防火墻、入侵檢測系統等傳統的安全設備,但由于IPv6的一些新特點,IPv4網中現有的這些安全設備在IPv6網中不能直接使用,還需要做適當的改進。
由于IPv6中引入了網絡層的加密技術,未來網絡上的數據通訊的保密性將會越來越強。
IPv9協議的研究最初是出于國內有關部門的需要而研制的一種與當前IPv4協議(或者IPv6協議)不同的、可互通但相對獨立的、有自主知識產權的網絡協議,極大地提高了我國的國家網絡安全和信息安全,一舉打破美國壟斷與控制的國際互聯網,并進而控制和威脅我國信息安全與國家安全的不利局面。IPv9地址協議由我國自主控制分配,路由設備的密級由我國自主設立,在域名資源、安全控制等方面,將更有保障。
4 對基于IPV6/9協議的網絡安全機制的思考
安全問題是一個復雜的問題。隨著時間的推移,技術的變化,網絡安全將面臨更多威脅和新的挑戰,沒有絕對安全的網絡系統,網絡信息對抗是一個長期的研究課題。保持清醒正確的認識,掌握最新的安全問題情況,再加完善有效的安全策略,是可以阻止大部分的網絡破壞,使經濟損失降到最低。
IPv6是一個建立可靠的、可管理的、安全和高效的IP網絡的長期解決方案。盡管IPv6的普及應用之日還需耐心等待,不過,了解和研究IPv6的重要特性以及它針對目前IP網絡存在的問題而提供的解決方案,對于制定企業網絡的長期發展計劃,規劃網絡應用的未來發展方向,都是十分有益的。
目前雖然對IPv9網絡技術有各種不同的看法,但它得到國家權威機構的認證,且在實驗實踐中,重要的是IPv9網絡技術的出臺,表明我國已成為目前世界上唯一能實現域名、IP地址和MAC地址統一成十進制文本表示方法的國家。同時,也成為繼美國之后,第二個在世界上擁有根域名解析服務器和IP地址硬連接服務器的國家,和世界上第二個擁有自主的域名、IP地址和MAC地址資源的國家及可獨立進行域名解析和IP地址硬連接,并可獨立自主的分配域名、IP地址和MAC地址的國家,從而維護國家主權、信息安全以及巨大的國家經濟利益。
Abstract: Based on the computer network, the status of the computer network security is analyzed and several commonly used network security technologies are introduced, finally, several issues focusing on research of computer network information security are put forward.
關鍵詞:網絡安全;加密技術;防火墻
Key words: network security; encryption technology; firewall
中圖分類號:TP39 文獻標識碼:A文章編號:1006-4311(2010)27-0164-01
1計算機網絡概述
計算機網絡技術是信息傳輸的基礎,所謂計算機網絡是指將分布在不同地理位置上具有獨立性能的多臺計算機、終端及附屬設備用通信設備和通信線路連起來,再配有相應有網絡軟件,以實現計算機資源共享的系統。按照聯網的計算機所處的地理位置遠近分為局域網和廣域網,在網絡中拓撲結構主要分三種:總線網、環形網、星形網。由于資源共享、操作系統的復雜性等原因使網絡存在著不安全因素。
2計算機網絡安全現狀
2.1 網絡安全涵義計算機網絡安全具有三個特性:保密性、完整性及可用性。保密性是網絡資源只能由授權實體存取。完整性是指信息在存儲或傳輸時不被修改、信息包完整,不能被未授權的第二方修改。可用性包括對靜態信息的可操作性及對動態信息內容的可見性。
2.2 計算機網絡安全的缺陷①操作系統的漏洞。操作系統是一個復雜的軟件包,即使研究人員考慮得比較周密,但幾年來,發現在許多操作系統中存在著漏洞,漏洞逐漸被填補。操作系統最大的漏洞是I/O處理,I/O命令通常駐留在用戶內存空間,任何用戶在I/O操作開始之后都可以改變命令的源地址或目的地址。②TCP/IP協議的漏洞。TCP/IP協議應用的目的是為了在INTERNET上的應用,雖然TCP/IP是標準的通信協議。但設計時對網絡的安全性考慮的不夠完全,仍存在著漏洞。③應用系統安全漏洞。WEB服務器和瀏覽器難以保障安全,最初人們引入CGI程序目的是讓主頁活起來,然而很多人在編CGI程序時對軟件包并不十分了解,多數人不是新編程序,而是對程序加以適當的修改,這樣一來,很多CGI程序就難免具有相同安全漏洞。④安全管理的漏洞。由于缺少網絡管理員,信息系統管理不規范,不能定期進行安全測試、檢查,缺少網絡安全監控等都對網絡安全產生威脅。計算機網絡安全的主要威脅。
2.3 計算機網絡安全的入侵①計算機病毒。所謂計算機病毒實際是一段可以復制的特殊程序,主要對計算機進行破壞,病毒所造成的破壞非常巨大,可以使系統癱瘓。②黑客。黑客一詞,源于英文Hacker,原指熱心于計算機技術,水平高超的電腦專家,尤其是程序設計人員。但到了今天,黑客一詞已被用于泛指那些專門利用電腦搞破壞或惡作劇的家伙。對這些人的正確英文叫法是Cracker,有人翻譯成“駭客”。黑客主要以發現和攻擊網絡操作系統的漏洞和缺陷為目的,利用網絡安全的脆弱性進行非法活動。③內部入侵者。內部入侵者往往是利用偶然發現的系統的弱點,預謀突破網絡系統安全進行攻擊。由于內部入侵者更了解網絡結構,因此他們的非法行為將對網絡系統造成更大威脅。④拒絕服務。拒絕服務是指導致系統難以或不可能繼續執行任務的所有問題,它具有很強的破壞性,最常見的是“電子郵件炸彈”,用戶受到它的攻擊時,在很短的時間內收到大量的電子郵件,從而使用戶系統喪失功能,無法開展正常業務,甚至導致網絡系統癱瘓。
3網絡安全機制應具有的功能
3.1 身份識別身份識別是安全系統應具備的基本功能,身份識別主要是通過標識和鑒別用戶的身份,防止攻擊者假冒合法用戶獲取訪問權限。對于一般的計算機網絡而言,主要考慮主機和節點的身份認證,至于用戶的身份認證可以由應用系統來實現。
3.2 存取權限控制訪問控制是根據網絡中主體和客體之間的訪問授權關系,對訪問過程做出限制,可分為自主訪問控制和強制訪問控制。
3.3 數字簽名即通過一定的機制如RSA公鑰加密算法等,使信息接收方能夠做出該信息是來自某一數據源且只可能來自該數據源的判斷。
3.4 保護數據完整性即通過一定的機制如加入消息摘要等,以發現信息是否被非法修改,避免用戶被欺騙。
3.5 密鑰管理信息加密是保障信息安全的重要途徑,以密文方式在相對安全的信道上傳遞信息,可以讓用戶放心地使用網絡。
4網絡安全常用的技術
4.1 加密技術加密在網絡上的作用是防止重要信息在網絡上被攔截和竊取。計算機密碼極為重要,許多安全防護體系是基于密碼的,密碼的泄露意味著其安全體系的全面崩潰。加密技術是實現保密性的主要手段,采用這種技術可把重要信息或數據從一種可理解的明文形式變換成一種雜亂的、不可理解的密文形式。以密文形式將信息在線路上傳輸。到達目的端口后將密文還原成明文,常見的加密技術分單密鑰密碼技術和公開密鑰技術兩種。這兩種加密技術在不同方面各具優勢,通常將這兩種加密技術結合在一起使用。
4.2 防火墻技術所謂“防火墻”,是指一種將內部網和公眾訪問網如Internet分開的方法,它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度,它能允許你“同意”的人和數據進入你的網絡,同時將你“不同意”的人和數據拒之門外,阻止網絡中的黑客來訪問你的網絡,防止他們更改、拷貝、毀壞你的重要信息。實現防火墻的技術包括四大類:網絡級防火墻(也叫包過濾型防火墻)、應用級網關、電路級網關和規則檢查防火墻。它們之間各有所長,具體使用哪一種或是否混合使用,要看具體需要。 防火墻主要用于加強網絡間的訪問控制,防火墻的作用是防止外部用戶非法使用內部網絡資源,并且保護內部網絡的設備不受破壞,防止內部網絡的主要數據被竊取。一個防火墻系統通常由屏蔽路由器和服務器組成。屏蔽路由器是一個多端口的IP路由器,它通過對每一個到來的IP包依據一組規則進行檢查來判斷是否對之進行轉發。屏蔽路由器從包頭取得信息,例如協議號、收發報文的IP地址和端口號,連接標志以至另外一些IP選項,對IP包進行過濾。
防火墻作為內部網和外部網之間的一種訪問控制設備,常安裝于內部網和外部網的交界點上。內部網絡的某個用戶若要與外部網絡的用戶聯絡,該用戶首先和所屬網絡的防火墻聯通,然后再與另一個用戶聯通,反之亦然。防火墻提供的防護是Internet安全結構必不可少的組成部分,它能對已知的網絡協議起到保護作用。
參考文獻:
1目前計算機網絡安全所面臨的風險
在大多數的計算機網絡安全事故當中,黑客往往是利用非法的手段獲取計算機的權限,利用互聯網對網絡用戶進行攻擊并且進行非法操作。主要攻擊形式包括了木馬攻擊、口令破譯攻擊、漏洞攻擊、IP地址欺騙以及DNS欺騙等等。對于計算機系統而言,口令是保護計算機信息安全的重要防護措施,黑客往往會利用合法的用戶賬號以及相應的口令來進行非法的操作。大多數黑客獲取口令的方法都是采用暴力破解或者是用猜測的方式來進行口令的破解。主要破解形式就是監視用戶通信信道上的口令數據包,對其加密形式進行破解,或者是根據用戶的習慣賬號進行猜測破解。另一種攻擊方式,木馬攻擊也是黑客常用的一種攻擊手段,黑客往往會在計算機系統中隱藏一個木馬程序,對用戶的計算機系統進行遠程監控,從而獲得用戶的計算機控制權限,進行非法的操作獲取需要的信息。
2計算機網絡安全防護的策略分析
雖然近幾年來黑客活動越來越頻繁,各種計算機網絡安全事件頻頻發生,但是如果采取了完善的保護措施,還是能夠有效的預防計算機網絡安全方面的問題,保護計算機軟件中的重要信息。第一,在計算機中安裝必要的安全防護用軟件并且在日常的應用中注意安全。計算機安全防護中一定要裝的軟件包括殺毒軟件、防黑軟件以及防火墻等等,這是最普遍的避免計算機安全問題的措施,通過殺毒軟件能夠將計算機病毒以及木馬程序攔截在計算機之外,減少計算機口令被泄漏的機會,避免計算機中重要信息的泄漏。防火墻軟件的存在能夠有效的避免監聽系統的非法活動,抵抗黑客的攻擊。但是并不是裝了這些安全防護軟件就是完全安全的,在日常的計算機應用當中也應該要注意管理,不要讓這些安全軟件形同虛設。第二,隱藏計算機真實IP地址避免欺騙攻擊。在大多數的網絡安全問題發生當中,黑客都會對計算機用戶的主機信息進行探測從而獲得用戶的計算機IP地址等相關信息。因為TCP/IP協議中所存在的缺陷,IP地址的泄漏成為網絡安全問題發生的主要來源之一,IP地址安全已經成為了網絡安全問題的關鍵之所在。一旦黑客知道了用戶的計算機IP地址,就等于是明確知道了用戶所處的位置,從而可以利用這個精確的IP地址對用戶進行各種準確的攻擊。要預防計算機黑客獲得用戶IP地址最好的辦法就是使用服務器來隱藏自己的真實IP地址,在使用服務器之后,黑客只能夠獲得服務器的IP地址,無法獲得用戶的真實IP地址,大大降低了用戶計算機被精確攻擊的可能性。第三,關閉計算機網絡系統中的安全后門。因為計算機網絡系統存在一定的缺陷,大量安全后門威脅著計算機網絡信息安全,讓黑客有了可趁之機,關閉計算機網絡系統中的安全后門成為了避免被黑客攻擊的重要手段之一。計算機網絡系統中的安全后門包括了共享漏洞、協議漏洞以及服務漏洞等等。因為TCP/IP協議的設計使得計算機IP地址在安全方面存在很大的隱患,但就目前而言,TCP/IP協議仍然是計算機網絡用戶所必須使用的網絡協議,而且相比較其他的網絡協議而言,TCP/IP網絡協議的安全度還是比較高的,所以這一網絡協議成為了保留項目。其他的一些不必要的網絡協議就可以進行刪除操作,尤其是NetBIOS協議,幾乎是所有計算機網絡安全漏洞的源泉之所在,利用NetBIOS協議中的漏洞進行攻擊所產生的安全問題占據了所有計算機網絡安全問題的一半以上,所以這個協議必須關閉。第四,提高計算機網絡的IE安全系數。JavaApplets以及ActiveX空間的存在為計算機網頁技術的應用提供了強大的專業技術支持,不過也同時被網絡黑客給利用,從而針對性的編寫出了一系列的包含了惡意代碼的軟件融入到了計算機網頁當中,如果計算機網絡的用戶打開了這些包含惡意代碼的網頁,這些惡意代碼就會被激發自助運行對計算機網絡用戶的計算機進行各種非法的操作,破壞用戶的計算機網絡操作系統。為了能夠最大限度的避免這種計算機網絡網頁中惡意代碼所造成的供給,除了應該有效的運用計算機網絡防病毒軟件以及高新的網絡防火墻軟件之外,還應該對這些惡意代碼所能夠產生的操作進行有效的控制,最好的控制辦法就是盡可能的提高計算機網絡IE方面的安全系數,具體的做法就是在Internet選項當中的安全設置這一個欄目中進行相關的設置,限制JavaApplets代碼以及ActiveX空間的運行,并且對計算機網絡中已經確定能夠信任的網點和已經確定需要受到限制的網點進行有效的控制,最大限度的保證互聯網用戶在使用計算機瀏覽網頁時候的安全。第五,計算機網絡安全方面的防御技術,包括了技術層面的防御技術以及物理層面的防御技術。在技術層面對計算機網絡安全進行防御的時候,需要制定安全的管理制度,最大限度的提高計算機用戶的職業道德素質以及技術水平。對于一些重要部門的計算機,應該定期做好嚴格的殺毒操作,備份好重要的數據,這是保證計算機網絡安全的一個重要手段;還需要對計算機網絡訪問進行有效的控制,保證網絡上的資源不會被非法的訪問和使用;對計算機數據庫中的數據進行備份,保證計算機網絡中數據的安全,對計算機網絡中的數據進行備份是保證計算機網絡信息最有效的手段,一旦出現事故,還可以通過信息恢復來保證信息的完整性;對計算機網絡中的重要數據進行加密處理,這種防御技術適合在開放性的網絡中使用,能夠有效保證動態信息的安全;使用PKI技術,也就是利用公鑰技術和相關的理論來保護信息交流過程中信息的安全;切斷計算機病毒的傳播途徑,對于計算機網絡中一些可能已經被感染的文件,要抱著寧殺錯不放過的原則對其進行刪除操作,盡可能的切斷計算機網絡哦病毒的傳播。除了對計算機網絡進行技術層面的防御之外,還應該在物理層面上保證計算機網絡的安全,也就是保證計算機網絡系統在安全的環境下運行,這就包括溫度、空氣潔凈度、濕度、腐蝕度、震動、蟲害和沖擊等各個方面的干擾因素都要進行嚴格的控制,除此之外還需要選擇合適的機房安裝場所,對機房的安全進行有效防護等。
3結束語
總之,雖然現在因為計算機網絡安全方面的問題出現了大量的防護軟件,比如殺毒軟件和防火墻的出現為計算機網絡信息安全提供了有效的技術保障,但是計算機網絡信息安全方面的隱患還是不能夠得到根除,所以在使用計算機進行信息傳遞的時候必須注意安全方面的問題,提高自身的安全意識,避免信息泄露。
作者:吳士君張志偉單位:邯鄲工程高級技工學校
關鍵字:計算機;網絡安全;因素;安全策略;
Abstract: This article starts from the main factors of the computer network security, put out a comprehensive analysis of computer network security strategy.Key words: computer; network security; factors; security policy;
中圖分類號: TP393文獻標識碼:A文章編號:2095-2104(2012)
計算機網絡信息傳輸已經成為人類傳輸信息的主要手段之一,網絡信息傳輸縮小了時間空間的距離,這種方便的傳輸方式無疑成為人類最依賴的方式,而網絡安全受到的威脅卻越來越大,各種病毒層出不窮,這對于網絡用戶來說造成了極大的安全隱患。病毒及木馬的侵入,不僅影響用戶的正常工作,還會造成很大程度的經濟損失。數據加密方法則可以有效的保障網絡信息進行安全的傳輸。
1.網絡安全受到威脅的主要因素
1.1計算機操作系統存在隱患
計算機的操作系統是整個電腦的支撐軟件,它為電腦中所有程序的運行提供了環境。所以,一旦操作系統存在隱患,網絡入侵者能夠獲得用戶口令,進而操作更個計算機的操作系統,獲取計算機各個程序中殘留的用戶信息;如果系統掌管內存,CPU的程序有漏洞,那么網絡入侵者就可以利用這些漏洞把計算機或者服務器弄癱瘓;如果系統在網絡上傳文件、加載和安裝程序的地方出現漏洞的話,網絡入侵者就能夠利用間諜程序對用戶的傳輸過程、使用過程進行監視,這些隱患出現的原因就是因為利用了不安全的程序,所以盡量避免使用不了解的軟件。除此之外,系統還有守護進程的程序環節、遠程調用功能、后門和漏洞問題,這些都是網絡入侵者可以利用的薄弱環節。
1.2網絡中存在的不完全隱患
網絡允許用戶自由和獲取各類信息,故而網絡面臨的威脅也是多方面的。可以是傳輸線的攻擊,也可以使網絡協議的攻擊,以及對計算機軟件的硬件實施攻擊。其中協議的不安全性因素最為關鍵,計算機協議主要包括:TCP/IP協議、FTP、NFS等協議,這些協議中如果存在漏洞網絡入侵者就能夠根據這些漏洞對用戶名進行搜索,可以猜測到機器密碼口令,對計算機防火墻進行攻擊。
1.3數據庫管理系統的不安全隱患
數據庫管理系統也具有先天缺陷的一方面,他是基于分級管理的理念而建立,所以,數據庫的不安全就會泄漏我們上網看到的所有信息,在網上存儲的信息,通過這些用戶的帳號,密碼都會被泄漏,這樣對用戶的財產、隱私安全都會造成很大的威脅。
2.計算機網絡的安全策略分析
計算機網絡安全從技術上來說,主要由防病毒、防火墻、入侵檢測等多個安全組件組成,一個單獨的組件無法確保網絡信息的安全性。
2.1防火墻
防火墻是一種隔離控制技術,通過預定義的安全策略,對內外網通信強制實施訪問控制,常用的防火墻技術有包過濾技術、狀態檢測技術、應用網關技術。包過濾技術是在網絡層中對數據包實施有選擇的通過,依據系統事先設定好的過濾邏輯,檢查數據據流中的每個數據包,根據數據包的源地址、目標地址、以及包所使用的端口確定是否允許該類數據包通過;狀態檢測技術采用的是一種基于連接的狀態檢測機制,將屬于同一連接的所有包作為一個整體的數據流看待,構成連接狀態表,通過規則表與狀態表的共同配合,對表中的各個連接狀態因素加以識別,與傳統包過濾防火墻的靜態過濾規則表相比,它具有更好的靈活性和安全性;應用網關技術在應用層實現,它使用一個運行特殊的“通信數據安全檢查”軟件的工作站來連接被保護網絡和其他網絡,其目的在于隱蔽被保護網絡的具體細節,保護其中的主機及其數據。
2.2數據加密與用戶授權訪問控制技術。
2.2.1計算機數據加密技術的應用
2.2.1.1數據加密
數據加密就是按照確定的密碼算法把敏感的明文數據變換成難以識別的密文數據,通過使用不同的密鑰,可用同一加密算法把同一明文加密成不同的密文,來實現數據的保護。數據加密的主要方式有三種:鏈路加密、節點加密、端到端加密。“網上銀行”的興起,使得銀行系統的安全問題顯得至關重要,安全隱患不得不令人擔優,數據加密系統作為一種新一級別的安全措施脫穎而出。各大銀行中都采取了數據加密技術與網絡交換設備聯動。即指交換機或防火墻在運行的過程中,將各種數據流的信息上報給安全設備,數字加密系統可根據上報信息和數據流內容進行檢測,在發現網絡安全事件的時候,進行有針對性的動作,并將這些對安全事件反應的動作發送到交換機或防火墻上,由交換機或防火墻來實現精確端口的關閉和斷開,這樣就可以使數據庫得到及時充分有效的保護。
2.2.1.2密鑰密碼技術的應用
密鑰是對于數據的加密和解密,分為私人密鑰和公用密鑰。私人密鑰是指加密和解密使用相同的密鑰,安全性相對較高,因為這種密鑰是雙方認可。
可是這種密鑰也存在缺陷,那就是當由于目的不同所需要不同密鑰的時候就會出現麻煩和錯誤狀況,這個時候,公用密鑰就能發揮作用。這樣一一來傳輸者可以對所要傳輸的信息進行公用密鑰進行加密,接收方接到文件時用私人密鑰解密,這樣就避免了傳輸方要用很多私人密鑰的麻煩,也避免私人密鑰的泄漏。例如用信用卡購物時,通常情況下商店終端的解密密鑰可解開并讀取以加密數據形式存儲在信用卡中的個人信息。終端將讀取的信息傳送到發行信用卡的公司認證顧客信息。這種情況下,店鋪的終端會留下個人信息的記錄,有可能造成個人信息泄露。所以很多人會擔心自己的信用卡號被人盜用。密鑰密碼技術,要求用兩個密鑰解讀加密數據,這兩個解密密鑰分別掌握在商店和信用卡公司手中。店鋪終端密鑰讀取的信息只夠確認持卡人是否是某家信用卡公司的會員,而不能讀取其他個人資料。信用卡公司的解密密鑰能解開所有信息,進而確認持卡人是否具有使用這張信用卡的權限,提高了信用卡交易的安全性。
2.2.1.3數字簽名認證技術的應用
認證技術能夠保障網絡安全,它可以有效的核實用戶身份信息,認證技術中比較常用的是數字簽名技術。它建立在加密技術的基礎上,是對加密解密計算方式來進行核實。在這個認證技術中被最多應用的是私人密鑰的數字簽名以及公用密鑰的數字簽名。私人密鑰的數字簽名是雙方認可的認證方式,如上文所述,雙方運用相同的密鑰進行加密和解密,但是由于雙方都知道密鑰,就存在著篡改信息的可能性,因此這種認證方式還要引入第三方的控制。而公用密鑰就不用這么麻煩,由于不同的計算法則,加密密鑰完全可以公開,而接收者只要保存解密密碼就可以得到信息。例如在國內稅務行業中,網上辦理稅務業務越來越受到認可。數字簽名安全認證系統就成為了網上保稅業務的安全門衛,為稅務辦理系統提供了安全性保障。
2.2.2常用的數據加密工具的運用
2.2.2.1加密狗
加密狗是插在計算機并行口或者USB口上用來保護軟件不被非法使用的硬件產品。使用軟件狗保護的軟件必須每次訪問軟件狗后才可以正常使用。雖然保密性得到了極大的保證,但是本身造價昂貴,而且在保密狗遺失后,軟件變不可以繼續使用,有一定的風險性。
2.2.2.2密碼方式
用密碼方式加密的軟件在發行時一般附帶一個密碼表,當軟件運行到某一時刻時詢問用戶密碼,用戶必須按照密碼表輸入正確密碼,程序才可以繼續執行,雖然實現起來很簡單,但是容易被人破解,也容易使用戶得到厭煩。
2.2.2.3非對稱許可證加密技術
許可證管理方式是現在廣泛應用的一種軟件保護方式,這種方式的最大好處是可以確保一個軟件拷貝只能運行于一臺授權的計算機上,其主要運行原理是通過軟件本身提取計算機固有信息,由于每臺計算機的處理器、硬盤、網卡編號都是唯一的,而軟件在每次運行前都會自動比對運行環境從而確保軟件的安全性。
采用非對稱許可證加密方式便是在知道算法原理的情況下,另外在注冊器和驗證機中加入固定監測數組使得不同批次的軟件擁有不同的注冊機和注冊碼,從而保證了每一個軟件的唯一性,使得破解工作增加了巨大的難度和時間,從而保護了軟件的安全性。
2.2.3安全管理隊伍的建設。
在計算機網絡系統中,絕對的安全是不存在的,制定健全的安全管理體制是計算機網絡安全的重要保證,只有通過網絡管理人員與使用人員的共同努力,運用一切可以使用的工具和技術,盡一切可能去控制、減小一切非法的行為,盡可能地把不安全的因素降到最低。同時,要不斷地加強計算機信息網絡的安全規范化管理力度,大力加強安全技術建設,強化使用人員和管理人員的安全防范意識。網絡內使用的IP地址作為一種資源以前一直為某些管理人員所忽略,為了更好地進行安全管理工作,應該對本網內的IP地址資源統一管理、統一分配。對于盜用IP資源的用戶必須依據管理制度嚴肅處理。只有共同努力,才能使計算機網絡的安全可靠得到保障,從而使廣大網絡用戶的利益得到保障。
3.結束語
隨著經濟的發展、社會的發展、網絡的普及化、信息時代的更新迅速,網絡中惡意的攻擊,流氓軟件木馬軟件的橫行,使得網絡安全被高度重視。然而只注重防護體系是不行的,操作系統技術再提高,也還是會被漏洞破壞;防火墻技術再高,也會有黑客攻破。病毒防范技術再高,也是建立在經驗的基礎上,免不了被新生病毒侵害,所以,在完善的防護體系的建立下,還要注重網絡安全應用的管理,只有管理的技術并用才能有效的保護用戶的信息安全。總而言之,對于網絡不斷發展,我們要總結以往教訓,吸取經驗,取長補短,才能更好的保護信息安全。
參考文獻
關鍵詞 計算機;網絡安全;影響因素;策略
中圖分類號TP39 文獻標識碼A 文章編號 1674—6708(2012)76—0217—02
隨著計算機網絡技術的影響滲透到人類社會的各個角落,計算機網絡安全問題不僅僅是一個技術問題,更成為關系到社會有序運行、國家安全的關鍵問題。計算機網絡安全是一個涉及到許多學科的交叉學科,如計算機科學,數學、信息論、密碼技術、通信技術等,其重要性在現代社會不言而喻。
從應用角度來說,計算機網絡安全的含義十分寬泛。它的含義隨著使用者的變化而發生變化。比如普通上網者和網絡供應商對網絡安全的要求就會有不同的側重點。網絡供應商除注重網絡信息安全外,會更加關心如何保證網絡硬件的安全以及保持網絡通信的連通性。從技術角度來說,國際標準化組織將“計算機安全”定義為:為數據處理系統建立和采取的技術和管理的安全保護,保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄漏。計算網絡安全具有以下特征:系統的可靠性,網絡可以保證連續工作;數據的完整性;數據的有效性;數據的保密性[1]。
計算機網絡由于本身特點,加之人為原因不可避免的受到威脅。計算機網絡安全的威脅隨著技術的不斷發展,種類日益紛繁復雜,但是其具有共同的特點:隱蔽性和潛伏性,隱蔽性為計算機攻擊提供了時間,潛伏性使其不易被發現,達到攻擊效果;破壞性和危害性;突發性和擴散性,計算機網絡的攻擊通常是毫無征兆的,由于網絡的連通性的特點,導致其擴散速度極快。
1影響計算機網絡安全的因素
1.1自然因素的影響
計算機網絡的構建需要以一定的硬件和軟件為基礎,而硬件的正常運行需要一定適宜的自然條件作為支撐,所以計算機網絡安全對自然環境條件有一定的依賴性,比如自然災害所帶來的不可抗力、外部環境的惡劣性、硬件設備故障等等都會給計算機網絡安全帶來直接或間接的影響。
計算機信息系統是一個較精密、對環境較敏感的系統。溫度、濕度、振動、沖擊、環境污染等因素發生變化均會對計算機網絡安全產生影響。而且現階段,我國大多數計算機機房的設計標準中并未將自然影響納入,基本不具備防震、防水、防火、避雷、防電磁干擾的功能。出現自然災害和意外事故時,常常造成設備損壞、工作中斷,進而數據丟失。
物理電磁輻射也常常造成信息的泄露,給計算機網絡安全帶來威脅。計算機網絡是依靠精密且復雜的電子設備運行的,電子設備在工作時通過各類電源線會產生各種電磁輻射,而電磁輻射可以在某種程度上影響網絡中的信息傳輸。網絡的終端如顯示器、打印機等在運行時,也可以產生電磁輻射泄露,也可能導致信號泄露,信息外泄。
1.2 TCP/IP協議——網絡通訊協議
網絡通訊協議作為互聯網最基本的協議,是國際互聯網連通的基礎。它有網絡層的IP協議和傳輸層的TCP協議組成,故常稱為TCP/IP協議。該協議定義了電子設備連入因特網的方式,及數據在網絡上的傳輸標準。簡單來說就是,TCP負責信息在不同電子設備間的傳輸,直至信息完整且正確的傳輸到指定地點。IP則是給接入互聯網的每一臺電腦規定一個唯一的地址,但是作為最基本的網絡協議,它卻在安全性上欠缺考慮[2]。
首先TCP/IP協議對于數據流的傳輸采用的是明碼傳輸,未進行相關的加密措施,而且信息在傳輸過程中就不受控制,這就為竊聽信息提供了可能性。然后是該協議的基本體系結構,它采用的是簇的基本結構,這是目前互聯網上存在許多安全問題的主要原因。如IP地址作為唯一身份標識,而不要身份認證,所以就給“黑客”留下了攻擊的可能性,造成互聯網上信息的傳遞易被攔截、篡改等。IP地址可以通過技術手段進行設置,進而獲取真實的IP地址,這樣就可以冒名頂替他人,盜取用戶信息。
1.3計算機病毒對計算機網絡安全的影響
計算機病毒簡單來說是惡意代碼的最突出表現。病毒就是未經授權的非法計算機程序。它具有如下特點:破壞性,對計算機系統和硬件設備均會造成傷害;自我復制性;隱蔽性;傳播性;潛伏性。常見且危害較大的病毒有蠕蟲病毒,它是利用應用程序的漏洞進行攻擊;木馬病毒是偽裝成合法程序,安裝在系統中,對計算機程序造成破壞。此外常見病毒還包括引導區病毒、文件型病毒、宏病毒、后門程序等[3]。
1.4 漏洞對計算機網絡安全的影響
漏洞是可以為黑客利用的弱點,它可以是軟件、硬件、程序設計不當或者配置不當造成。黑客可通過研究這些漏洞,尋找破壞的機會。當前主流的操作系統無一例外全部存在著漏洞和后門,為計算機網絡安全帶來了隱患。
1.5 管理和使用人員對計算機網絡安全的影響
相當比例的計算機設備管理人員并不具備相應的上崗的技術條件,也不具有相關的安全意識和責任心,無視操作規范要求。比如采用明碼傳輸信息、密鑰反復使用、密碼設置過于簡單等。計算機用戶在使用過程中,缺乏安全常識,同時也為計算機網絡安全帶來了危險。
此外,計算機網絡的管理缺乏有效的評估和監控手段、缺乏安全策略、由于訪問控制配置的復雜性,導致配置錯誤、傳輸信道上的安全隱患等等,都會給計算機網絡安全造成威脅。同時網絡安全的防御技術發展明顯滯后于信息網絡技術,網絡技術的發展日新月異,可安全性能卻少見提高[4]。
2保證計算機網絡安全的策略
2.1 普及網絡安全意識
強化網絡安全教育,讓使用者和管理者均認識到計算機網絡安全的作用。同時強化網絡管理,提高相關人員的專業技術素養及安全意識。網絡的建立與使用要嚴格審批手續,確保每個終端是可追溯的。
2.2身份認證技術
網絡由于其開放性,其安全性不可避免會遭到威脅。用戶的信息認證是網絡安全的關鍵技術,利用用戶口令和密碼等鑒別方式達到網絡系統權限分級,常用的身份認證技術包括基于“可信任的第三方”的認證機制、口令認證法和智能卡技術等[5]。
2.3密碼技術
密碼技術通常包括數字簽名和不同網絡加密技術等,其中網絡加密技術主要包含三種方式:鏈路加密方式、節點對節點加密方式和端對端加密方式。其中,節點對節點加密方式只是在鏈路加密方式上增加了保護機制。
2.4 防火墻與入侵檢測系統的應用
防火墻技術一般分為三大類:數據包過濾技術,應用網關和技術。防火墻技術與入侵檢測系統二者的聯動,相輔相成,為計算機網絡安全提供了保障。二者的聯合應用不僅起到防御的功能,而且可以主動發現入侵,并做出相應的反應[6]。
防御措施還包括數據保護、鑒別技術、訪問控制技術,而且網絡系統結構設計合理與否是網絡安全運行的關鍵,是今后研究的熱點和重點。
參考文獻
[1]倪超凡.計算機網絡安全技術初探[J].赤峰學院學報:自然科學版,2009(12):12—16.
[2]劉遠生,辛一.計算機網絡安全[M].清華大學出版社,2009:108—116.
[3]郭軍.網絡管理[M].北京:郵電出版社,2001:100—118.
[4]岳建.淺析計算機網絡安全技術[J].計算機光盤軟件與應用,2011(13):20—24.
關鍵詞:網絡安全 計算機網絡 入侵檢測
一、 計算機網絡安全的含義
計算機網絡安全的具體含義會隨著使用者的變化而變化,使用者不同,對網絡安全的認識和要求也就不同。例如從普通使用者的角度來說,可能僅僅希望個人隱私或機密信息在網絡上傳輸時受到保護, 避免被竊聽、篡改和偽造; 而網絡提供商除了關心這些網絡信息安全外,還要考慮如何應付突發的自然災害、 軍事打擊等對網絡硬件的破壞,以及在網絡出現異常時如何恢復網絡通信, 保持網絡通信的連續性。
從本質上來講,網絡安全包括組成網絡系統的硬件、軟件及其在網絡上傳輸信息的安全性,使其不致 因偶然的或者惡意的攻擊遭到破壞,網絡安全既有技術方面的問題,也有管理方面的問題,兩方面相互補充,缺一不可。
二、 常見的幾種網絡入侵方法
由于計算機網絡的設計初衷是資源共享、分散控制、分組交換,這決定了互聯網具有大跨度、分布式、無邊界的特征。這種開放性使黑客可以輕而易舉地進入各級網絡,并將破壞行為迅速地在網絡中傳播。同時,計算機網絡還有著自然社會中所不具有的隱蔽性:無法有效識別網絡用戶的真實身份;由于互聯網上信息以二進制數碼,即數字化的形式存在,所以操作者能比較容易地在數據傳播過程中改變信息內容。計算機網絡的傳輸協議及操作系統也存在設計上的缺陷和漏洞,從而導致各種被攻擊的潛在危險層出不窮,這使網絡安全問題與傳統的各種安全問題相比面臨著更加嚴峻的挑戰,黑客們也正是利用這樣的特征研發出了各種各樣的攻擊和入侵方法:
1.通過偽裝發動攻擊
2.利用開放端口漏洞發動攻擊
3.通過木馬程序進行入侵或發動攻擊
4.嗅探器和掃描攻擊
為了應對不斷更新的網絡攻擊手段,網絡安全技術也經歷了從被動防護到主動檢測的發展過程。主要的網絡安全技術包括:防火墻、VPN、防毒墻、入侵檢測、入侵防御、漏洞掃描。其中防病毒、防火墻和VPN屬早期的被動防護技術,入侵檢測、入侵防御和漏洞掃描屬主動檢測技術,這些技術領域的研究成果已經成為眾多信息安全產品的基礎。
三、網絡的安全策略分析
早期的網絡防護技術的出發點是首先劃分出明確的網絡邊界,然后通過在網絡邊界處對流經的信息利用各種控制方法進行檢查,只有符合規定的信息才可以通過網絡邊界,從而達到阻止對網絡攻擊、入侵的目的。主要的網絡防護技術包括:
1.防火墻
防火墻是一種隔離控制技術,通過預定義的安全策略,對內外網通信強制實施訪問控制,常用的防火墻技術有包過濾技術、狀態檢測技術、應用網關技術。包過濾技術是在網絡層中對數據包實施有選擇的通過,依據系統事先設定好的過濾邏輯,檢查數據據流中的每個數據包,根據數據包的源地址、目標地址、以及包所使用的端口確定是否允許該類數據包通過;狀態檢測技術采用的是一種基于連接的狀態檢測機制,將屬于同一連接的所有包作為一個整體的數據流看待,構成連接狀態表,通過規則表與狀態表的共同配合,對表中的各個連接狀態因素加以識別,與傳統包過濾防火墻的靜態過濾規則表相比,它具有更好的靈活性和安全性;應用網關技術在應用層實現,它使用一個運行特殊的“通信數據安全檢查”軟件的工作站來連接被保護網絡和其他網絡,其目的在于隱蔽被保護網絡的具體細節,保護其中的主機及其數據。
2.VPN
VPN(Virtual Private Network)即虛擬專用網絡,它是將物理分布在不同地點的網絡通過公用骨干網連接而成的邏輯上的虛擬子網。它可以幫助異地用戶、公司分支機構、商業伙伴及供應商與內部網建立可信的安全連接,并保證數據的安全傳輸。為了保障信息的安全,VPN技術采用了鑒別、訪問控制、保密性和完整性等措施,以防止信息被泄露、篡改和復制。VPN技術可以在不同的傳輸協議層實現,如在應用層有SSL協議,它廣泛應用于Web瀏覽程序和Web服務器程序,提供對等的身份認證和應用數據的加密;在會話層有Socks協議,在該協議中,客戶程序通過Socks客戶端的1080端口透過防火墻發起連接,建立到Socks服務器的VPN隧道;在網絡層有IPSec協議,它是一種由IETF設計的端到端的確保IP層通信安全的機制,對IP包進行的IPSec處理有AH(Authentication Header)和ESP(Encapsulating Security Payload)兩種方式。
互聯網,將網絡與網絡之間相互串連形成了一個龐大的網絡體系。它的日益興起與高速發展使人類社會大踏步邁向信息化社會,信息化也以其飛速的發展滲透入人類的生活當中。狹義的社會是封閉而又狹窄的,越來越多的網絡用戶足不出戶便可通過互聯網開闊自己的視野,獲取海量的信息資源,與外界聯系等。經濟、文化、政治、軍事等諸多領域也逐步依賴于網絡。大到超級計算機,小到一部手機,都可以通過一組通用的協議相互連接,它減少了距離與隔閡的同時,也為人類生活帶來了不小的隱患。網絡安全問題不斷擴大,并不只是感染病毒使計算機癱瘓這么簡單,它往往帶來了對隱私和財產的侵犯等諸多違法問題,是人類受到巨大損失。因此穩定的計算機網絡系統成為社會信息化安定發展的重要保障,網絡與信息安全也成為了社會熱點之一。
2計算機網絡安全的主要問題根源
計算機網絡安全主要分為自身存在的威脅和來自外界的威脅。計算機自身威脅又包含了網絡缺陷、計算機硬件威脅、和計算機軟件漏洞三個方面。病毒與黑客的攻擊作為來自外界的威脅,是當前導致最嚴重的網絡安全問題的根源。下面對四個方面進行細致的分析:
2.1互聯網的安全缺陷
網絡構建了一個開放性的虛擬環境,僅通過一個通用的協議作為網絡節點的唯一標識來進行多用會多群體的授權與認證。并根據源IP地址來判斷數據的真實性和安全性。然而該協議存在一個致命性的缺陷就是不能對IP地址進行正當的維護,這也是不法分子利用這一點進行網絡欺詐、設備攻擊等。
2.2計算機網絡硬件的隱患
電子輻射泄漏和通訊渠道易侵入是計算機網絡硬件上的兩大主要隱患。前者通過電磁信息增加了被竊密的風險;后者通過常用的專線、微波等,在經行信息與數據交互時埋下了不可小視的隱患。
2.3瀏覽器的漏洞
據國家計算機網絡入侵防范中心的安全漏洞統計報告中指出,IE瀏覽器作為應用率最廣的卻多次曝出存在嚴重的安全漏洞,并多次被黑客遠程利用,獲取用戶私人信息用與不法活動。據統計,平均每周的安全漏洞有180個左右,其中高危漏洞占據了漏洞總數的45%之多。
2.4病毒黑客入侵
病毒作為最常見卻最難根治的威脅計算機網絡安全的原因之一,具有傳播速度極快而廣、毒發迅速的特性。感染網絡病毒后一開始并不會有所發覺只會造成系統卡頓降低工作效率等影響。然而不及時清除并會造成極其嚴重的影響,例如:數據剽竊、系統崩盤甚至是財產損失。造成連帶效應后,不只是一個用戶的計算機不能正常使用,它往往會牽連出更多用戶遭到攻擊,至使整個網絡走向不安定的境況。
3處理威脅網絡安全的有效措施
3.1安裝網絡安全設備或系統
隨著計算機技術的不斷發展,計算機病毒也會日益復雜,相對其的解決方案也層出不窮。安裝防毒軟件是計算機網絡安全防范中廣大用戶的普遍選擇。網絡殺毒軟件不同于單機殺毒軟件,它更傾向于對網頁或者來自于網絡的資源的監察。病毒試圖通過數據破壞和刪除、垃圾郵件、后門攻擊等方式對用戶造成威脅。所以,建立系統的網絡病毒方法體系是對計算機網絡安全維護的最基礎卻最有效的辦法。
3.2數據加密與防護
數據加密技術是指對信息進行重新編碼,從而隱藏信息內容使非法用戶無法得到信息,得到信息后無法破解獲取真實內容的技術手段,包含數據存儲加密、數據傳輸加密和數據完整性鑒別三種方式。數據存儲加密技術的防范目的為防止存儲環節的數據丟失。數據傳輸加密可以防止數據流在傳輸過程中被人盜取。數據完整性鑒定則是對介入信息的傳送、存取、處理人的身份和相關數據進行全面細致的保密措施。通過對比驗證原設定參數與當前驗證輸入的一致性經行安全保護。
3.3了解攻擊途徑
對網絡攻擊的了解應該作為對網絡應用的基礎被廣大用戶熟悉。只有通過了解問題的根源與途徑,才能正確消除不安定因素。網絡攻擊主要利用協議獲取信息資源。不法分子會利用公開協議或工具,手機駐留在網絡系統中的主機系統的相關信息以達到不法目的。
3.4提高個人網絡素質,加大網絡違法行為的懲罰力度
個人網絡素質同樣是個人的必修課。提高網絡工作人員的整體素質刻不容緩,在提升其對計算機認知和技術的同時更應加強安全防范意識和責任心。我國的計算機產業起步較晚相對應的法律不夠健全,隨著社會的進步,計算機也會不斷擴張他的重要地位。因此,完善法律制度對違法網絡行使安全的人嚴懲不貸同樣重要。
4結論
網絡安全受到威脅不僅僅是技術上的缺陷,更是安全管理的缺陷。計算機網絡環境的復雜與多變,都提醒用戶不能僅僅只靠殺毒軟件就能萬事無憂。學會更多的自我保護技巧、了解問題發生的根源便能大大減少受到侵害的幾率。無法創建出絕對安全的網絡環境,防范技術勢必隨著計算機的發展而不斷前進著。只有用戶將安全技術與應用管理手段結合到一起,使其相輔相成,才能享受更加高效、安全的網絡系統。該論文受到北京高校“北京高等學校青年英才計劃項目”、國家自然科學基金項目(No.71240002,71371128)、教育部人文社會科學研究項目13YJC630012、北京市哲學社會科學項目(14SHB015,13SHB015,11JGB077)、北京市教育科學規劃項目AAA13003、北京市教育委員會科學技術研究計劃項目(KM2012100038001,KM201110038002)、北京自然科學基金項目(No.9142003,9122003,9123025,《基于碳管理能力認證的北京市信息資源碳排放目標實現路徑的研究》)的資助。
作者:紀凌波 盧山 單位:首都經濟貿易大學信息學院
引用:
[1]高永強等.網絡安全技術與應用.北京:人民郵電出版社,2003.
[2]董玉格等.網絡攻擊與防護-網絡安全與實用防護技術.北京:人民郵電出版社,2002.
關鍵詞 網絡安全;漏洞;掃描策略
中圖分類號:TP393 文獻標識碼:A 文章編號:1671-7597(2013)15-0045-01
計算機網絡極大的改變了信息的傳輸與獲取方式,但是也為信息帶來了更嚴重的安全威脅,如何使用必要的安全防護與漏洞管理技術來確保計算機網絡的安全已經成為當前網絡研究的重點之一。
1 網絡安全概述
計算機網絡具有高度的開放性和自由性,這種特性使得人們在應用計算機網絡進行信息傳輸或存儲時必須考慮如何確保信息不受竊取或破壞,維護個人利益或商業利益。從本質來看,保護計算機網絡的安全就是保護網絡中所傳輸的信息的安全,確保網絡中的各項內容具有完整性、真實性與機密性,確保網絡服務具有連續性和穩定性,確保網絡是可控的。
但是在實際應用中,計算機網絡中存在多種不可控因素,這些因素使得每一針對網絡安全的防護機制都被限定在有限的范圍和情境中,且受人為因素的影響較大。同時,無論是何種應用還是網絡都不可避免的存在一些漏洞,這些漏洞一旦被發現和利用則會造成不同程度的損失。如防火墻可有效監控內網與外網之間的通信活動,但是對于內網間的某些非法行為則是無法起作用的;即便是安全防護工具也有可能存在安全漏洞,這些漏洞很有可能被攻擊者利用等。
2 安全漏洞掃描技術
安全漏洞掃描是網絡安全防護技術的一種,其可以對計算機網絡內的網絡設備或終端系統和應用等進行檢測與分析,查找出其中存在的缺陷的漏洞,協助相關人員修復或采取必要的安全防護措施來消除或降低這些漏洞,進而提升計算機網絡的安全性能。
目前進行安全漏洞掃描時可以遵循的策略大致可以分為兩種:主動式與被動式。其中主動式安全漏洞掃描策略可以利用網絡進行系統自檢,根據主機的響應可以了解和掌握主機操作系統、服務以及程序中是否存在漏洞需要修復。被動式安全漏洞掃描策略可以在服務器的基礎上對計算機網絡內的多項內容進行掃描與檢測,進而生成檢測報告反饋給網絡管理人員供其分析與處理所發現的漏洞。
3 網絡安全漏洞掃描方法
對現有的漏洞掃描方法進行分類可將其分為三類。
3.1 基于端口掃描的漏洞分析法
針對網絡安全的入侵行為通常都是會掃描目標主機的某些端口,并查看這些端口中是否存在某些安全漏洞而實現的,因而在進行漏洞掃描時可以在網絡通向目標主機的某些端口發送特定的信息以夠獲得某些端口信息,并根據這些信息來判斷和分析目標主機中是否存在漏洞。以UNIX系統為例,Finger服務允許入侵者通過其獲得某些公開信息,對該服務進行掃描可以測試與判斷目標主機的Finger服務是否開放,進而根據判斷結果進行漏洞修復。
3.2 基于暴力的用戶口令破解法
為提升網絡用戶的安全性能,大多數網絡服務都設置了用戶名與登錄密碼,并為不同的用戶分配了相應的網絡操作權限。若能夠對用戶名進行破解則可以獲取相應的網絡訪問權限,進而對網絡帶來安全威脅。
1)POP3弱口令漏洞掃描。POP3是一類常用的郵件收發協議,該協議使用用戶名與密碼來進行郵件收發操作。對其進行漏洞掃描時可以首先建立一個用戶標識與密碼文檔,該文檔中存儲著常見的用戶標識與登錄密碼,且支持更新。然后在進行漏洞掃描操作時可以與POP3所使用的目標端口進行連接,確認該協議是否處于認證狀態。具體操作為:將用戶標識發送給目標主機,然后分析目標主機返回的應答結果,若結果中包含失敗或錯誤信息,則說明該標識是錯誤不可用的,若結果中包含成功信息,則說明身份認證通過,進一步向目標主機發送登陸密碼,仿照上述過程判斷返回指令。該方式可查找出計算機網絡中存在的若用戶名與密碼。
2)FTP弱口令漏洞掃描。FTP是一類文件傳輸協議,其通過FTP服務器建立與用戶的連接,進而實現文件的上傳與下載。通過這類協議進行漏洞掃描方法與POP3方法類似,不同的是掃描時所建立的連接為SOCKET連接,用戶名發送分為匿名指令與用戶指令兩種,若允許匿名登錄則可直接登錄到FTP服務器中,若不允許匿名登錄則按照POP3口令破解的方式進行漏洞掃描。
3.3 基于漏洞特征碼的數據包發送與漏洞掃描
系統或應用在面對某些特殊操作或特殊字符時可能會出現安全問題,為檢測這種類型的漏洞可以使用特征碼的方式向目標主機端口發送包含特征碼的數據包,通過主句返回的信息判斷其中是否存在漏洞,是否需要進行漏洞修復。
1)CGI漏洞掃描。CGI表示公用網關接口,其所包含的內容非常寬泛,可支持多種編程語言。在應用基于CGI語言標準開發的計算機應用中若處理不當則很有可能在輸入輸出或指令執行等方面出現意外狀況,導致網絡穩定性變差,網絡受到安全威脅等出現,即CGI漏洞。對于該類型的漏洞,可以使用如下方式掃描分析。以Campas漏洞為例,該漏洞允許非法用戶查看存儲于web端的數據信息,其具有以下特征碼:Get/cgi-bin/campas?%()acat/()a/etc/passwd%()a。對其進行掃描時可以使用Winsock工具與服務器的HrHP端口建立連接,連接建立后向服務器發送GET請求,請求即為Campas漏洞的特征碼,然后根據服務器返回的信息確認其中是否存在該漏洞,若不存在該漏洞則服務器會返回HTTP 404的信息,若存在則會返回相應的信息,此時需要根據實際情況對漏洞進行修復。
2)UNICODE漏洞掃描。UNICODE是一種標準的編碼方式,但是計算機系統在處理該類型編碼時容易出現錯誤,對其進行漏洞掃描與上述CGI漏洞掃描方式類似,不同之處在于連接函數為CONNECT函數,通信端口為80端口,特征碼也為UNICODE漏洞所具有的特征碼。根據返回結果可以確認網絡中是否存在該類型的安全漏洞。
4 總結
總之,計算機網絡一直處于發展和變化的狀態,其中可能存在的安全漏洞受多種因素的影響是不盡相同的,為獲得較為全面的掃描結果所使用的掃描技術也是不斷變化的。為做好計算機網絡的安全防護工作,一方面要更新掃描方法發現漏洞,另一方面要及時修復漏洞,避免因漏洞而出現安全問題。
參考文獻
[1]萬琳.基于網絡安全的漏洞掃描[J].內江科技,2008,29(5).
[2]曾鵬.淺論網絡安全問題及對策研究[J].科海故事博覽·科教創新,2009(4).
關鍵詞:課程設置;網絡安全;網絡工程
文章編號:1672-5913(2013)14-0068-04 中圖分類號:G642
0 引言
網絡工程專業是伴隨計算機網絡技術的快速發展而在我國高校開設的一個較新領域的專業。1998年教育部增設網絡工程專業(080613W),首批有11所院校開設此專業,之后全國各高校紛紛增設了可以授予網絡工程工學學位和網絡工程理學學位的學位點。到2012年有330所高校開設了此專業,其中重點院校超過50所。經過15年的發展,網絡工程專業已經初具規模。2011年教育部將網絡工程專業納入正式目錄體系(080903),從此網絡工程專業成為目錄內專業。同時,教育部計算機專業教指委了《網絡工程專業規范(建議)》。由于沒有專門的網絡工程分教指委機構指導該專業的建設工作,導致各高校網絡工程專業的專業定位、培養目標、培養模式和課程設置、就業方向各具特色,但也存在很多共同特性。比如,網絡工程專業所設研究方向大致有網絡規劃構建方向、網絡軟件開發方向、網絡安全方向和無線通信方向等。
近年來,隨著網絡技術的不斷普及,網絡安全問題日益凸顯,漸漸成為人們最為關注的熱點。借助山東省名校工程的契機,結合信息安全教學團隊的建設,我們進一步優化了網絡工程專業的培養方案。網絡安全方向作為網絡工程專業的一個重要學習方向,應如何設置課程,如何實現課程設置與教學團隊建設結合,是本文探討的主要問題。
1 網絡安全方向課程設置現狀
筆者從眾多開設網絡工程專業的高校中選取部分211或985學校作為研究對象,對多所學校的網絡安全方向課程的設置進行了對比分析,見表1。網絡安全在某些高校是作為網絡工程專業的一個方向開設,如吉林大學就是在網絡工程專業下設網絡安全方向,開設網絡攻防技術、無線網絡技術等課程;而在有些院校網絡工程中沒有網絡安全方向,而以單獨的信息安全專業存在,如電子科技大學和北京郵電大學都是單獨沒有信息安全專業,該專業開設的安全方向課程更全面,如信息安全數學基礎、密碼學基礎、網絡安全協議等;還有一些高校既沒有信息安全專業,在網絡工程專業中也沒有安全方向,只是在課程中設置了少量的安全類課程,如大連理工大學開設網絡安全、Matlab課程,中山大學開設了密碼學與網絡安全課程。
2 擴展課程設置探討
下面針對濟南大學的網絡工程專業安全方向開設的課程進行改革探討。濟南大學網絡工程專業目前正在使用的培養方案中與安全相關的課程設置情況見表2。其中,一部分是計算機類學科基礎課,一部分是網絡工程專業基礎選修課和專業方向課。濟南大學網絡工程專業中設有網絡安全方向。
結合山東省名校工程的契機,筆者在調研多個名校的培養方案并結合本校實際情況的前提下,對網絡安全方向課程的設置提出下面幾個調整意見。
2.1 增設信息安全數學基礎和網絡仿真課程
雖然原有培養方案中高等數學、線性代數、概率論與數理統計、離散數學4門數學課程都占據了大量學時,但是對于網絡安全方向的學生而言,后期用到的相關數學知識并不多。但是學生對網絡安全真正用到的初等數論和群環域知識卻一點都沒有接觸。因此,修改培養方案時應增設信息安全數學基礎課程,學時不用太多,可以為24學時,授課內容要涉及網絡安全中用到的模運算、同余理論、數論函數和群環域等知識。
目前,網絡安全方向用到的數學知識均是在應用密碼學課程中講解的。大部分有關密碼學的教材都會在講解分組密碼和公鑰密碼時,介紹一些與之密切相關的數學知識(如群環域),如由清華大學出版社出版,楊波編寫的《現代密碼學》(第二版)中的“密碼學中一些常用的數學知識”部分。這種做法一方面占了密碼學課程的部分學時,勢必會減少學生學到的密碼學知識;另一方面,臨時講一些數學知識并不能讓學生系統地理解。因此,筆者非常贊成清華大學馮克勤教授提出的增設初等數論課程的想法。雖然馮教授是針對清華大學數學科學系本科生提出的,但對于網絡安全方向的學生而言,不學習初等數論和群環域知識,很難理解和掌握后續的與安全相關的課程內容,這點在應用密碼學課程中尤其明顯。
例如,學習離散對數算法后,學生只知道在已知一些參數的情況下如何利用指數進行加密解密,但不能理解如何選擇參數,不知道什么是本原元,如何確定一個循環群的本原元以及如何利用模運算降低計算量,如何快速的編程實現。筆者采用不同于上述馮教授提出的在大學第1學期開設初等數論課程的方式,而是在第3學期開設。因為濟南大學在第1、2學期,學生必修高等數學和線性代數課程,這已經使學生無暇顧及更多的數學知識。第3學期開設信息安全數學基礎可以很好地和第4學期開設的應用密碼學課程銜接。另外,在信息安全數學基礎課程中,安排一定的實驗學時,讓學生在經過第1、2學期的程序設計課程之后,通過學過的編程語言實現數論和群環域中的一些算法,理論聯系實際,從而更好地掌握數學知識,為后續密碼學算法的研究奠定基礎。
2.2 增加網絡仿真課程
現代網絡技術的研究離不開仿真軟件,因為我們不可能實際搭建網絡,如果不合適,再拆了重新搭建,這不僅費時而且費力。現在所有與網絡相關的研究都在仿真基礎上進行;而如果不開設仿真課程,學生僅學習理論知識,會與實際應用脫離。濟南大學的信息安全教學團隊由5位博士組成,其中3人是數學專業背景,主要研究網絡安全,2人是計算機學科出身,主要研究無線網絡,而且5人中有2人具有工程背景。信息安全教學團隊負責網絡工程專業的所有安全類課程的教學,包含無線網絡和網絡協議等課程,這些課程都需要仿真軟件的配合才能使學生真正掌握所學知識。因此,增加網絡仿真課程是必須的。至于仿真課程的內容,可以選擇NS2或NS3,也可以與大連理工大學相似,采用Matlab。
2.3 合并網絡協議和網絡安全協議課程。調整其他相關課程的學分和學時
網絡協議課程主要講TCP/IP協議,內容與吉林大學的TCP/IP協議族相似,重點在網絡的分層協議,如網絡層協議、傳輸層協議等。涉及部分安全協議,如IPsec、SSL、SNMP等,這與網絡安全協議課程中再次對這些內容的講解重復,而且安全協議本身也是網絡協議的一種,因此可以考慮將安全協議和網絡協議兩個課程整合或一門全新的網絡協議課程,去掉重復內容,增加部分學分和學時,從原有的2.5學分增加到3學分,同時學時從原有的48增加到64。網絡工程專業修改培養方案后的安全方向課程設置見表3。
從表3可以看出培養方案修正前后的總學分保持不變,這是因為在增加新課的同時,調整了部分課程所占學分和學時,如減少無線網絡原理與技術的學分,從原有的4學分減到3,5學分。這樣一方面增加了新課,另一方面整合了重復內容的課程。
3 結語
網絡安全作為網絡工程專業的一個重要方向,在課程設置上有待進一步優化和擴展,結合網絡技術的新發展,我們也在探討不斷增加新課程(如數字取證、數字隱藏等),減少或去掉某些過時的課程,并發揮互補的教學團隊作用,在課程設置上兼顧個人的研究特長,很好地把無線網絡與網絡安全融合在一起。借名校工程的契機進一步推進教學改革,更好地發展學生的主體研究能力,和教師的團隊配合,培養學生科學的探索精神和創造能力。
參考文獻:
[1]教育部高等學校計算機科學與技術教學指導委員會,高等學校網絡工程專業規范(試行)[M],北京:高等教育出版社,2012
[2]劉悅,張遠,賈忠田,高等學校網絡工程本科專業的科學規范探討[J],計算機教育,2008(24):120-122
