浅析网络安全技术及防护策略

摘要:随着信息技术的高速发展和互联网的广泛应用,计算机网络安全问题愈发突出。该文介绍了计算机网络安全的重要性及威胁计算机网络的几种安全性因素。并从防火墙技术、数据加密技术等方面对计算机网络安全的防护提出了相应策略。

关键词:信息技术;网络安全;防护

中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)36-10441-02

Analysis of Computer Network Security and Protection Strategy

YU Miao-miao

(Water Conservancy Survey and Design Institute of Shandong Province, Jinan 250013, China)

Abstract: With the rapid development of information technology and internet applications, computer network security issues become more prominent. This paper describes the importance of computer network security and threats to security of computer networks of several factors. And from the firewall technology, data encryption technology and other aspects of computer network security, on the protection of the corresponding strategy.

Key words: information technology; network security; protection

近年来,计算机的广泛应用把人类带入了一个全新的时代,随着互连网的飞速发展,网络技术全面地影响和改造着人们的生活。与此同时,也正受到日益严重的来自网络的安全威胁,诸如网络的数据窃贼、黑客的侵袭、病毒的攻击,甚至系统内部的泄密。给国家或个人都带来了巨大的损失。下面我们就从网络安全概念入手,针对网络安全需要注意的方面,简单概括网络系统可能存在的安全漏洞,并提出一些相应的防护网络安全的具体策略。

1 网络安全概念

国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术及其管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露。”也有人将“计算机安全”定义为:“计算机的硬件、软件和数据受到保护,不因偶然和恶意的原因而遭到破坏、更改和泄露,系统连续正常运行。”不管如何定义,可以认为计算机安全应包括两方面的内容:物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安全包括信息保密性、完整性和可用性,这里的保密性指高级别信息仅在授权情况下流向低级别的客体与主体;完整性指信息不会被非授权修改及信息保持一致性等;可用性指合法用户的正常请求能及时、正确、安全地得到服务或回应。物理安全和逻辑安全是相辅助相成的。

网络安全是计算机安全的延伸,主体由计算机扩展到了网络系统。它主要包括系统安全和信息安全两方面的内容,系统安全是指如何保护系统正常运行。一个网络是由许多部件组成,包括交换机,集线器,路由器,防火墙,主机,调制解调器等等。系统安全要求保证所有部件和网络整体能够正常、正确地运行。在常见的网络攻击中,例如拒绝服务等攻击是针对系统的正常运行的,这些攻击使网络中的设备死机,或者使服务器提供的某项服务停止,或者用大量数据包充塞服务器或其他网络部件,使系统不能正常运行。系统安全主要依靠网络设备自身的保护机制和网络结构、防火墙等措施予以保证。

2 计算机网络存在的安全问题

导致计算机网络信息安全受到威胁的根本原因在于网络存在安全问题,归纳为以下几点:

2.1 固有的安全漏洞

现在,新的操作系统或应用软件刚一上市,漏洞就已被找出,另一个消息的来源就是诸如BugNet或NTBug traq一类的新闻组。

1) 缓冲区溢出。这是攻击中最容易被利用的系统漏洞。很多系统在不检查程序与缓冲区间的变化的情况下,就接收任何长度的数据输入,把溢出部分放在堆栈内,系统还照常执行命令。这样破坏者便有机可乘。他只要发送超出缓冲区所能处理的长度的指令,系统便进入不稳定状态。假如破坏者特别配置一串他准备用作攻击的字符,他甚至可以访问系统根目录。

2) 拒绝服务。拒绝服务 (DenialofService,DoS) 攻击的原理是搅乱 TCP/IP 连接的次序。典型的 DoS 攻击会耗尽或是损坏一个或多个系统的资源( CPU 周期、内存和磁盘空间),直至系统无法处理合法的程序。这类攻击的例子是 Synflood 攻击。发动 Synflood 攻击的破坏者发送大量的不合法请求要求连接,目的是使系统不胜负荷。其结果是系统拒绝所有合法的请求,直至等待回答的请求超时。

2.2 合法工具的滥用

大部分系统都配备了用以改进系统管理及服务质量的工具软件,但遗憾的是,这些工具同时也会被破坏者利用去收集非法信息及加强攻击力度,例如区域控制软件的身份信息、NetBIOS的名字、IIS名甚至是用户名。这些信息足以被黑客用来破译口令。

另一个最常被利用的工具是网包嗅探器(PacketSniffer)。系统管理员用此工具来监控及分发网包,以便找出网络的潜在问题。黑客如要攻击网络,则先把网卡变成功能混杂的设备,截取经过网络的包(包括所有未加密的口令和其他敏感信息),然后短时间运行网包嗅探器就可以有足够的信息去攻击网络。

2.3 不正确的系统维护措施

系统固有的漏洞及一大堆随处可见的破坏工具大大方便了黑客的攻击,但无效的安全管理也是造成安全隐患的一个重要因素。当发现新的漏洞时,管理人员应仔细分析危险程度,并马上采取补救措施。

有时候,虽然我们已经对系统进行了维护,对软件进行了更新或升级,但由于路由器及防火墙的过滤规则过于复杂,系统又可能会出现新的漏洞。所以,及时、有效地改变管理可以大大降低系统所承受的风险。

2.4 低效的系统设计和检测能力

在不重视信息保护的情况下设计出来的安全系统会非常“不安全”,而且不能抵御复杂的攻击。建立安全的架构一定要从底层着手。这个架构应能提供实效性的安全服务,并且需要妥善的管理。

服务器的代码设计及执行也要进行有效管理,黑客可以利用这一漏洞发动拒绝服务攻击,非法访问敏感信息或是篡改Web服务器的内容。低效的设计最后会产生漏洞百出的入侵检测系统。这样的系统非常危险,它不能提供足够的信息,就连已提供的信息都可能是不真实、不准确的。

3 计算机网络安全的防护策略

3.1 安装防火墙

防火墙是在内部网和外部网之间实施安全防范的系统,用于加强止外部用户非法使用内部网的资源,保护内部网的设备不被破坏,防止内部网络敏感数据被盗取。

实现防火墙的主要技术有:包过滤技术、应用网关和代理技术等,这些技术可以单独使用,也可以结合起来使用包过滤技术是基于网络层的,作用于IP层,通常由过滤路由器构建,其实现原理是:对每一个到达过滤路由器的IP包,根据已制定好的安全策略进行检查,决定IP包的通过或阻塞,从而实现对IP包的过滤,其核心是安全策略,即过滤算法的设计。包过滤技术的优点是简单,对用户透明,速度快,对网络性能影响不大;缺点是正确建立和管理包过滤规则比较困难,同时缺乏审计、跟踪及验证功能。代理技术(Proxy)是作用于应用层的。其核心是运行于防火墙主机上的代理服务器进程,它代替网络用户完成特定的TCP/IP功能,每一个特定应用都有一个相应的程序。代理技术的优点是具有较强的数据流监控、过滤、记录和报告功能,可以将网络内部结构屏蔽起来,增加了网络的安全性。缺点是需要为每一个网络服务专门设计、开发代理服务软件及提供相应的监控、过滤功能,并且由于代理服务具有相当的工作量,因此通常需要用专用的工作站来承担。

3.2 对信息数据加密

与防火墙配合使用的数据加密技术是为了提高信息系统及数据的安全性和保密性,防止绝密信息被外部破坏所采用的主要技术手段之一。计算机网络的传输加密与通信加密类似,加密方式分为链路层加密、网络层加密、传输层加密和应用层加密等。

3.2.1 单密钥加密体系

是指在加密和解密过程中都必须用到同一个密钥的加密体系,此加密体系的局限性在于发送和接收方传输数据时必须先通过安全渠道交流密钥,保证在他们发送或接收加密信息之前有可供使用的密钥。但是,如果你能通过一条安全渠道传递密码,你也能够用这条安全渠道传递邮件。

3.2.2 公用密钥体系

公用密钥需要两个相关的密码,一个密码作为公钥,一个密码作为私钥,在公用密钥体系中,你的伙伴可以把他的公用密钥放到Internet的任意地方,或者用非加密的邮件发给你,你用他的公钥加密信息然后发给他,他则用他自己的私钥解密信息。

3.3 加强病毒防护

由于在网络环境下,计算机病毒具有不可估量的威胁性和破坏力,因此计算机病毒的防范也是网络安全性建设中重要的一环。网络反病毒技术也得到了相应的发展。

网络反病毒技术包括预防病毒、检测病毒和消毒等3种技术。

1) 预防病毒技术:它通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进人计算机系统和对系统进行破坏。这类技术是:加密可执行程序、引导区保护、系统监控与读写控制(如防病毒卡)等。

2) 检测病毒技术:它是通过对计算机病毒的特征来进行判断的技术,如自身校验、关键字、文件长度的变化等。

3) 消毒技术:它通过对计算机病毒的分析开发出具有删除病毒程序并恢复原文件的软件。 网络反病毒技术的实施对象包括文件型病毒、引导型病毒和网络病毒。 网络反病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测;在工作站上采用防病毒芯片和对网络目录及文件设置访问权限等。随着网络技术不断应用,网络不安全因素将会不断产生,但互为依存的,网络安全技术也会迅速的发展新的安全技术将会层出不穷,计算机网络将会越来越安全!

4 结束语

总之,网络安全不仅仅是技术问题,同时也是一个安全管理问题。我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等,对计算机网络安全进行防护。世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。

参考文献:

[1] 王建军,李世英.计算机网络安全问题的分析与探讨[J].赤峰学院学报:自然科学版,2009(1).

[2] 李树忠.计算机网络安全出探[J].计算机安全,2003(4).

[3] 吴胜光.计算机网络信息安全及防范技术[J].电脑编程技巧与维护,2009(8).