论计算机网络中的信息安全
2011-08-15李道明
■徐 强 李道明
计算机网络应用的普及,给人们的生活生产带来了极大的便利,如何保护信息在开放的网络环境中的安全,保证信息不被篡改,是正常使用计算机网络的基本保障,从网络信息安全的主要内容、防护的技术手段、方法等几个方面对网络安全作了初步探讨。
随着计算机网络在各行各业及个人应用的普及,网络给人们的生活生产带来了极大的便利,网络信息每年以几何级数向上增长,如何保护信息在开放的网络环境中的安全,保证信息不被篡改,泄露是正常使用计算机网络的基本保障,计算机网络的运行主要是通过网络和信息技术来支撑的,因此计算机网络安全运行的核心内容就是网络上的信息安全问题。
一、网络信息安全的主要内容
1.保密性:保证信息不泄露给未经授权的用户或供其利用。
2.完整性:防止信息被未经授权的人的篡改,保证真实的信息从真实的信息源无失真地传到真实的信宿。
3.可用性:保证信息及信息系统确实为授权使用者所使用,防止由于计算机病毒或其他人为因素造成网络和系统无法正常运行而拒绝服务或为敌手所利用。
4.可控性:对信息内容及信息系统实施安全监控管理,防止非法修改。
5.抗抵赖性:保证信息行为人不能否认自己的行为。
如何保证网络信息的安全,为正常使用网络提供最基本的保障,本文试图从网络防护的技术手段、网络防护方法两个主要方面做一简单探讨。
二、网络安全的技术防护方面
主要分为主动防护与被动防护,主动防护主要技术手段包括:防火墙、病毒扫描、PKI技术和服务、网页防篡改等,被动防护主要技术手段主要包括:安全扫描、日志审计、入侵检测等
(一)主动防护技术
1.防火墙
网络的最大特点是开放性、无边界性、自由性。要想实现网络的安全,一个最基本的方法就是将被开放的网络从开放的、无边界的网络环境中独立出来,使之成为可管理的、可控制的、安全的内部网络。实现这一目标的最基本的分隔手段就是防火墙,作为网络安全的第一道门户,可以实现内部网(信任网)与外部不可信赖网络之间或内部网不同网络安全区域的隔离与访问控制,保证网络系统与网络服务的可用性。防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度。它主要的目标是控制入、出的一个网络权限,并强迫所有的网络连接都经过这样的检查。其整个发展经历了:基于路由器的防火墙、用户化防火墙工具包、建立在通用操作系统上的防火墙和具有安全操作系统的防火墙4个阶段。主要分为:包过滤防火墙、应用网关防火墙、代理服务器防火墙、状态检测防火墙、自适应代理技术。
由于防火墙主要用于限制保护的网络和互联网之间或与其他网络之间进行相互的信息存取、传递操作,它处于内部网络和外部网络之间,因此网络应用受到结构性限制,内部安全隐患仍然存在,效率低,而故障率较高。这些问题导致了:(1)不能防范外部刻意的人为攻击;(2)不能防范内部用户的攻击;(3)不能防止内部用户因误操作而造成的口令失密受到攻击;很难防止病毒或受病毒感染的文件的传输。
2.病毒扫描
病毒是指一段可执行的程序代码,通过对其他程序进行修改来感染这些程序,使其含有该病毒的一个复制,并且可以在特定的条件下进行破环。在其整个生命周期中包括潜伏、繁殖、触发和、执行4个阶段。对于病毒防护而言,最彻底的方法是不允许其进入系统,但是这很难,因此大多数情况下,采用“检测-标识-清除”的策略来应付。在病毒防护史上,大致经历了以下几个阶段。(1)简单扫描程序;(2)启发式扫描程序;(3)行为陷阱;(4)全方位保护。反病毒技术的最新发展方向是类属解密和数字免疫系统。
由于反病毒技术滞后与病毒的产生与发展,现有的反病毒技术只能够对已有病毒、已有病毒的部分变种有良好的防护作用,而对于新型病毒还没有有效的解决方式,需要升级特征库。另外,它只是对病毒、黑客程序、间谍软件这些恶间代码有防护作用。
3.PKI
PKI技术主要借助“数字签名”技术实现,数字签名是维护网络信息安全的一种重要方法和手段,在身份认证、数据完整性、抗抵赖性方面都有重要应用,特别是在大型网络安全通信中密钥分配、认证和电子商务、电子政务系统中有重要的作用。而且它通过密码技术对电子文档进行电子形式的签名,是实现认证的重要工具。数字签名是只有发送方才能够进行的签名,是任何其它人无法伪造的一段数字串,这段特殊的数字串同时也是对相应的文件和信息真实性的一个证明。数字签名的特点是它代表了文件的特征。如果文件发生变化,数字签名的值也会发生变化,不同的文件会得到不同的数字签名。
(二)被动防护技术
1.入侵检测
入侵检测是指监视或在可能的情况下,阻止入侵者试图控制自己的系统或网络资源的那种努力。它是用于检测任何损害或企图损害系统的机密性、完整性、或可用性的行为的一种网络安全技术。它通过监视受保护系统的状态和活动,采用异常检测或误用检测的方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段。
入侵检测系统要解决的最基本的两 个问题是:如何充分并可靠地提取描述行为特征的数据,以及如何根据数据特征,高效并准确地判断行为的性质。主要采用异常入侵检测技术和误用入侵检测技术两种方法。异常入侵检测技术是指通过观测到的一组测量值的偏离度来预测用户行为的变化。误用入侵检测技术主要指假设具有能够精确地按某种方式编码的攻击,并可以通过捕获攻击和重新整理来确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。
对于入侵检测而言,入侵特征的收集十分重要,因此它对于已经存在的入侵手段能够起到良好的作用,而对于新的入侵手段则有很大局限性。
2.安全扫描
安全扫描是指对计算机系统及网络端口进行安全性检查,它通常要借助于相关软件。它是一个帮助管理员寻找到网络安全隐患的工具,并不能直接解决安全问题,而且对未被业界发现的隐患也无法找到。
3.日志审计系统
日志审计系统是通过一些特定的、预先定义的规则来发现日志中潜在的问题,它可以用来事后亡羊补牢,也可以用来对网络安全攻击进行取证。显然它是一种被动式、事后的防护或事中跟踪的手段,很难在事前发挥作用。
三、网络安全维护的主要方法
不论是主动防护技术还是被动防护技术,在实际网络安全防护的应用中都不是孤立存在的,网络安全防护应综合交叉采用多种技术手段和方法才能尽最大可能的保障网络安全。主要应包括:
1.保证接入的安全,一些攻击往往来自外网,外网接入内网时必须保证对内网构成安全威胁的因素尽可能地补拦截,只允许授权用户才可以访问内网。
2.保证干路畅通和划分子网,根据用户对安全需求的不同,将同一安全级别的用户划入同一子网。
3.在网络边界设置防火墙、存取控制、端口隔离等多种技术手段进行安全控制。
4.保证软件系统的安全,由于操作系统是软件系统的基础,所以保护好操作系统是保证网络安全的基础,设置好访问策略,综合运用多种版本的防病毒软件对系统进行交叉杀毒。5.制定网络安全管理办法,健全管理机制。
显然,保障网络安全性与网络服务效率永远是一对矛盾体,在计算机应用普及的时代,要想网络安全可靠,势必会增加许多措施来安全设备,从而会或多或少的影响使用效率和方便性。
参加文献:
[1]张友生主编.全国计算机技术与软件专业技术资格(水平)考试指南[M].电子工业出版社,2004.
[2]陈宇.计算机网络管理员——网络管理师[M].清华大学出版社,2004.