一、什么是计算机网络安全
网络安全从其本质上来讲就是网络上的信息安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。网络安全涉及的内容既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。技术方面主要侧重于防范外部非法用户的攻击,管理方面则侧重于内部人为因素的管理。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和必须解决的一个重要问题。
二、网络安全的重要性
根据美国FBI的调查,美国每年因为网络安全造成的经济损失超过170亿美元。75%的公司报告财政损失是由于计算机系统的安全问题造成的。超过50%的安全威胁来自内部。而仅有59%的损失可以定量估算。在中国,针对银行、证券等金融领域的计算机系统的安全问题所造成的经济损失金额已高达数亿元,针对其他行业的网络安全威胁也时有发生。
由此可见,无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。所以,计算机网络必须有足够强的安全措施。无论是在局域网还是在广域网中,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。
三、网络安全应具备的功能
为了能更好地适应信息技术的发展,计算机网络应用系统必须具备以下功能:
(1)访问控制:通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。
(2)检查安全漏洞:通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。
(3)攻击监控:通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取响应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。
(4)加密通讯:主动地加密通讯,可使攻击者不能了解、修改敏感信息。
(5)认证:良好的认证体系可防止攻击者假冒合法用户。
(6)备份和恢复:良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。
(7)多层防御:攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。
(8) 设立安全监控中心:为信息系统提供安全体系管理、监控、保护及紧急情况服务。
四、网络系统安全综合解决措施
要想实现网络安全功能,应对网络系统进行全方位防范,从而制定出比较合理的网络安全体系结构。下面就网络系统的安全问题,提出一些防范措施。
4.1物理安全
物理安全可以分为两个方面:一是通信线路安全;二是设备安全。 通信线路安全主要是对通信线缆的保护;设备安全主要从设备的维护与管理、设备的电磁兼容与电磁辐射防护、以及信息存储媒体的安全等方面来实现。
4.2信息加密
加密技术是保障信息安全的基石,它不仅服务于信息的加密和解密,还是身份认证、访问控制及数字签名等多种安全机制的基础。加密体制从原理上可分为两大类:一种是私钥加密算法(也叫对称加密算法),另外一种是公钥加密算法(也叫非对称加密算法)。
4.2.1私钥加密算法
在私钥加密算法中,国际上比较通行的是DES以及最近推广的AES。 数据加密标准(Data Encryption Standard)是IBM公司1977年为美国政府研制的一种算法。DES是以56 位密钥为基础的密码块加密技术。 数据加密标准(Data Encryption Standard)是IBM公司1977年为美国政府研制的一种算法。DES是以56 位密钥为基础的密码块加密技术。它的加密过程一般如下:
(1) 一次性把64位明文块打乱置换。
(2)把64位明文块拆成两个32位块;
(3)用机密DES密钥把每个32位块打乱位置16次;
(4) 使用初始置换的逆置换。
但在实际应用中,DES的保密性受到了很大的挑战,1999年1月,EFF和分散网络用不到一天的时间,破译了56位的DES加密信息。DES的统治地位受到了严重的影响,于是美国国家标准与技术研究所推出了一个新的保密措施来保护金融交易。美国国家技术标准委员会(NIST)在2000年10月选定了比利时的研究成果"Rijndael"作为AES的基础。AES内部有更简洁精确的数学算法,而加密数据只需一次通过。AES被设计成高速,坚固的安全性能,而且能够支持各种小型设备。
4.2.2 公钥加密算法
面对在执行过程中如何使用和分享密钥及保持其机密性等问题,1975年Whitefield Diffe和Marti Hellman提出了公开的密钥密码技术的概念,被称为Diffie-Hellman技术。自公钥加密问世以来,学者们提出了许多种公钥加密方法,根据所基于的数学难题来分类,有以下系统目前被认为是安全和有效的:大整数因子分解系统(代表性的有RSA)、椭圆曲线离散对数系统(ECC)。
RSA算法的安全性是基于大整数素因子分解的困难性,而大整数因子分解问题是数学上的著名难题,至今没有有效的方法予以解决,因此可以确保RSA算法的安全性。RSA系统是公钥系统的最具有典型意义的方法,大多数使用公钥密码进行加密和数字签名的产品和标准使用的都是RSA算法。它的具体算法如下:
(1)找两个非常大的质数,越大越安全。把这两个质数叫做P和Q。
(2) 找一个能满足下列条件得数字E:
A. 是一个奇数。
B. 小于P×Q。
C. 与(P-1)×(Q-1)互质,只是指E和该方程的计算结果没有相同的质数因子。
(3)计算出数值D,满足下面性质:((D×E)-1)能被(P-1)×(Q-1)整除。
公开密钥对是(P×Q,E)。
私人密钥是D。
公开密钥是E。
解密函数是:
假设T是明文,C是密文。
加密函数用公开密钥E和模P×Q;
加密信息=(TE)模P×Q。
解密函数用私人密钥D和模P×Q;
解密信息=(CD)模P×Q。
椭圆曲线加密技术(ECC)是建立在单向函数(椭圆曲线离散对数)得基础上,由于它比RAS使用得离散对数要复杂得多。而且该单向函数比RSA得要难,所以与RSA相比,它有如下几个优点:安全性能更高、计算量小,处理速度快、存储空间占用小、带宽要求低。ECC的这些特点使它必将取代RSA,成为通用的公钥加密算法。
纵观这两种算法一个从DES到AES,一个从RSA到ECC。其发展角度无不是从密钥的简单性,成本的低廉性,管理的简易性,算法的复杂性,保密的安全性以及计算的快速性这几个方面去考虑。因此在实际操作中往往把这两种算法结合起来,也许将来一种集两种算法优点于一身的新型算法将会出现,到那个时候,网络应用必将更加的快捷和安全。
4.3访问控制安全
访问控制识别并验证用户,将用户限制在已授权的活动和资源范围之内。网络的访问控制安全可以从以下几个方面考虑。
(1)口令
网络安全系统的最外层防线就是网络用户的登录,在注册过程中,系统会检查用户的登录名和口令的合法性,只有合法的用户才可以进入系统。
(2)网络资源属主、属性和访问权限
网络资源主要包括共享文件、共享打印机、网络通信设备等网络用户都有可以使用的资源。资源属主体现了不同用户对资源的从属关系,如建立者、修改者和同组成员等。资源属性表示了资源本身的存取特性,如可被谁读、写或执行等。访问权限主要体现在用户对网络资源的可用程度上。利用指定网络资源的属主、属性和访问权限可以有效地在应用级控制网络系统的安全性。
(3)网络安全监视
网络监视通称为“网管”,它的作用主要是对整个网络的运行进行动态地监视并及时处理各种事件。通过网络监视可以简单明了地找出并解决网络上的安全问题,如定位网络故障点、捉住IP盗用者、控制网络访问范围等。
(4)审计和跟踪
网络的审计和跟踪包括对网络资源的使用、网络故障、系统记帐等方面的记录和分析。一般由两部分组成:一是记录事件,即将各类事件统统记录到文件中;二是对记录进行分析和统计,从而找出问题所在。
4.4防火墙
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.它是一种计算机硬件和软件的结合,使Internet 与Intranet 之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入。但防火墙只能提供网络的安全性,不能保证网络的绝对安全,它也难以防范网络内部的攻击和病毒的侵犯。并不要指望防火墙靠自身就能够给予计算机安全。防火墙保护你免受一类攻击的威胁,但是却不能防止从LAN 内部的攻击,若是内部的人和外部的人联合起来,即使防火墙再强,也是没有优势的。它甚至不能保护你免受所有那些它能检测到的攻击。随着技术的发展,还有一些破解的方法也使得防火墙造成一定隐患。这就是防火墙的局限性。
五、结束语
总之,计算机网络安全与网络的发展戚戚相关。计算机网络安全是一个复杂的系统的工程,涉及技术、治理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,还要意识到计算机系统是一个人机系统,安全保护的对象是计算机,而安全保护的主体则是人,应重视对计算机网络安全的硬件产品开发及软件研制,建立一个好的计算机网络安全系统,应注重树立人的计算机安全意识,才可能防微杜渐。
参考文献
1 梁亚声 计算机网络安全教程 机械工业出版社
2 互联网 浅谈计算机网络安全问题 深圳书城电脑培训中心
3 互联网 信息加密技术 百度百科
4 于增贵 加密算法分类集锦 《计算机与网络》 1995年02期
5 段 钢 加密与解密(第三版) 电子工业出版社
6 斯廷森(Stinson,D.R.) 密码学原理与实践 电子工业出版社
7 贾铁军 网络安全技术及应用实践教程 机械工业出版社
|
