网络安全技术浅析

摘要：伴随着21世纪信息时代的来临。网络的普及率大大提高。在计算机网络慢慢进入我们生活的各个角落的同时，计算机网络的安全问题越来越突出。该文介绍了计算机网络安全的重要性及威胁网络安全的因素。简要的分析了计算机网络的几种安全技术。

关键词：网络安全；安全技术

中图分类号：TP393.08文献标识码：A 文章编号：1009-3044(2008)36-2824-03

Analysis of Computer Network Security

RAO Han-liang1, HAN Zhi-qiang2

(1.The second artillery engineering college,Xi"an 710025,China;2.Second Artillery headquarters of the Ministry of Communications ,Beijing 100086,China)

Abstract: AS the information age of 21st century comes,the network has been spreading widely. When the internet enters every aspect of our life,the network safely problem is popping out.This paper introduces the importance of the network security for computer and the factors that threatens the security.analyzes several security technology of computer network.

Key words: Network security;Safety technology

1 引言

随着信息化进程的深入和年年Internet的迅速发展，计算机网络安全越来越受到人们的关注。尤其是当今网络技术被广泛应用于社会生活直至军事战略等各个方面，网络安全己超越单纯的技术问题而提高到了关系国家安全问题的高度。近年来，互联网上黑客的攻击、病毒的泛滥，给各国造成了巨大的经济损失，使人们对网络安全充满忧虑。网络安全技术跟不上网络应用对安全的需求，同时，网络安全问题也制约了诸如电子商务的进一步推广应用。网络安全技术是在与黑客技术的较量中不断得到发展的，安全是相对的，没有绝对安全的网络，但是，“知已知彼，百战不殆”，要真正维护网络安全，其中一个关键就是要找到漏洞、了解攻击者可能从何处入手，才能采取相应的措施加强系统的安全。下面从网络安全概念入手，针对网络安全需要注意的方面，简单概括网络系统可能存在的安全漏洞，并提出一些相应的防范措施[1]。

2 网络安全概念

什么是网络安全?此概念要从计算机安全谈起，国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术及其管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露。”也有人将“计算机安全”定义为:“计算机的硬件、软件和数据受到保护，不因偶然和恶意的原因而遭到破坏、更改和泄露，系统连续正常运行。”不管如何定义，可以认为计算机安全应包括两方面的内容:既物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等。逻辑安全包括信息保密性、完整性和可用性，这里的保密性指高级别信息仅在授权情况下流向低级别的客体与主体;完整性指信息不会被非授权修改及信息保持一致性等;可用性指合法用户的正常请求能及时、正确、安全地得到服务或回应。物理安全和逻辑安全是相辅助相成的。

网络安全是计算机安全的延伸，主体由计算机扩展到了网络系统。它主要包括系统安全和信息安全两方面的内容，系统安全是指如何保护系统正常运行。一个网络是由许多部件组成，包括交换机，集线器，路由器，防火墙，主机，调制解调器等等。系统安全要求保证所有部件和网络整体能够正常、正确地运行。在常见的网络攻击中，例如拒绝服务等攻击是针对系统的正常运行的，这些攻击使网络中的设备死机，或者使服务器提供的某项服务停止，或者用大量数据包充塞服务器或其他网络部件，使系统不能正常运行。系统安全主要依靠网络设备自身的保护机制和网络结构、防火墙等措施予以保证。

信息安全主要面对在网络中传输的数据的保密性、完整性和可用性。信息安全主要依靠加密和认证技术来保证，运用加密技术，我们可以保证在网络中传递的数据不被非法获得、不被篡改，认证技术可以保证人与人之间的信任、防止抵赖等。

3 网络安全现状

当各种安全机制、策略和工具已经被研究和应用来解决internet的安全问题时，网络安全仍然存在很大隐患，这些安全隐患主要可以归结为以下几点：

1）每一种安全机制都有一定的应用范围和应用环境。防火墙是一种有效的安全工具，它可以隐蔽内部网络结构，限制外部网络到内部网络的访问。但对于内部网络之间的访问，防火墙往往是无能为力的。

2）安全工具的使用受到人为因素的影响。一个安全工具能不能实现期望的效果，在很大程度上取决于使用者，包括系统管理者和普通用户，不正当的设置就会产生不安全因素。

3）系统的后门是传统安全工具难于考虑到的地方。多数情况下，这类人侵行为可以堂而皇之经过防火墙而很难被察觉;如众所周知的ASP源码问题，它是璐服务的设计者留下的一个后门，任何人都可以使用浏览器从网络上方便地调出ASP程序的源码，从而可以收集系统信息，进而对系统进行攻击[2]。

4）只要有程序，就可能存在BUG。甚至连安全工具本身也可能存在安全漏洞。系统的BUG经常被黑客利用，而且这种攻击通常不会产生日志，几乎无据可查。

5）黑客的攻击手段在不断地更新，然而安全工具的更新速度太慢，绝大多数情况需要人为的参与才能发现以前未知的安全问题，这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时，其他的安全问题又出现了。因此，黑客总是可以使用先进的、安全工具不知道的手段进行攻击。

4 安全技术

4.1 用户身份认证

网络的主要任务就是识别合法用户，为合法用户提供服务，那么准确认证用户的身份成为网络服务的关键前提。常用的身份验证方法一口令已经不能适应网络的身份验证需求，在网络环境中，用户可能被假冒的登录进程欺骗，给出口令，窃取口令者就可以此口令冒名入网。所以用户在登录过程中与系统互不信任，需要有一种方法来保证用户与系统互相确认对方身份的真实性。加密成为网络中产生身份验证数据的重要方法。

利用加密技术，在互不信任的用户与系统间设计交换保密信息的协议，形成一个可靠的数据通道，用户与系统利用该通道向对方提供有效的认证码，表明自己的身份。如用户与系统在共享同一加密密钥情况下，利用下面的协议可实现用户与系统的相互认证:

1）系统传送E (M2)给用户。2）用户传送E(M2+身份码+口令)给系统。

由于E仅为系统和用户所知，而M2包含时间标记，那么E(M2)是唯一的，它使用户相信E(MZ)来自系统，这时用户在问答中重复“问话”M2及“回答”身份码、口令等信息，那么E(M2+身份码+口令)意味着对方不仅知道M2，而且还提供了身份認证信息。这样，在系统与用户间实现了相互信任的联系。

4.2 防火墙技术

防火墙是在内部网和外部网之间实施安全防范的系统，用于加强防止外部用户非法使用内部网的资源，保护内部网的设备不被破坏，防止内部网络敏感数据被盗取。

4.2.1 防火墙的基本功能

1）过滤进出网络的数据包; 2）管理进出网络的访问行为; 3）封堵某些禁止的访问行为; 4）记录通过防火墙的信息内容和活动;5）对网络攻击进行检测和告警。

4.2.2 防火墙的关键技术

实现防火墙的主要技术有:包过滤技术、应用网关和代理技术等，这些技术可以单独使用，也可以结合起来使用 包过滤技术是基于网络层的，作用于IP层，通常由过滤路由器构建，其实现原理是:对每一个到达过滤路由器的IP包，根据已制定好的安全策略进行检查，决定IP包的通过或阻塞，从而实现对IP包的过滤，其核心是安全策略，即过滤算法的设计。包过滤技术的优点是简单，对用户透明，速度快，对网络性能影响不大;缺点是正确建立和管理包过滤规则比较困难，同时缺乏审计、跟踪及验证功能。 代理技术(Proxy)是作用于应用层的。其核心是运行于防火墙主机上的代理服务器进程，它代替网络用户完成特定的TCP/IP功能，每一个特定应用都有一个相应的程序。代理技术的优点是具有较强的数据流监控、过滤、记录和报告功能，可以将网络内部结构屏蔽起来，增加了网络的安全性。缺点是需要为每一个网络服务专门设计、开发代理服务软件及提供相应的监控、过滤功能，并且由于代理服务具有相当的工作量，因此通常需要用专用的工作站来承担。

4.3 VPN——数据加密通道

VPN(虚拟专网)技术是指在公共网络中建立专用网络，数据通过安全的“加密管道”在公共网络中传播。VPN技术的核心是隧道技术，将专用网络的数据加密后，透过虚拟的公用网络隧道进行传物，建立一个虚拟通道，让两者感觉是在同一个网络上，可以安全且不受拘束地互相存取，从而防止敏感数据被窃。

4.4 数据加密

与防火墙配合使用的数据加密技术是为提高信息系统及数据的安全性和保密性，防止绝密信息被外部破坏所采用的主要技术手段之一。计算机网络的传输加密与通信加密类似，加密方式分为链路层加密、网络层加密、传输层加密和应用层加密等。

链路层加密通常采用硬件在网络层以下的物理层或数据链路层上实现。链路加密对报文的每一个比特进行加密，不但对报文正文加密，而且对报文中的路由信息、校验和控制信息等全部加密。它使用专用的链路加密设备，或通过使用一些链路层VPN技术如L2F, PPTP,L2TP，起到点对点加密通信的效果。网络层加密通过网络层VPN技术来实现，最典型的就是IPSec。网络层VPN也需要对原始数据包进行多层包装，但最终形成的数据包是依靠第三层协议来进行传输的，本质上是端到端的数据通信。传输层加密通道通常采用SSL技术，它介于应用协议和TCP/IP之间，为传输层提供安全性保证。应用层加密与具体的应用类型结合紧密，典型的有SHTTP, SMIME等。SHTTP是面向消息的安全通信协议，可以为Web页面提供加密措施。SMIME则是一种电子邮件加密和数字签名技术[3]。

4.5 入侵检测系统

入侵检测技术通过在计算机网络或计算机系统的关键点采集信息进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统(IDS，Intrusion Detection System)一般分为基于主机的、基于网络的和基于网关的入侵检侧系统。

基于主机的入侵检侧系统(HIDS})通过监视与分析主机的审计记录来检侧入侵。能否及时采集到审计是这些系统的弱点之一，入侵者会将主机审计子系统作为攻击目标以避开入侵检测系统。

基于网络的入侵检测系统通过在共享网段上对通信数据的侦听采集数据，分析可疑现象。这类系统不需要主机提供严格的审计，对主机资源消耗少，并可以提供对网络通用的保护而无需顾及异构主机的不同架构。

基于网关的入侵检侧系统将新一代的高速网络与高速交换技术结合起来，通过对网关中相关信息的提取提供对整个信息基础设施的保护。

4.6 入侵防御系统

从功能上来看，IDS是一种并联在网络上的设备，绝大多数IDS系统都是被动的，只能被动地检测网络遭到了何种攻击，阻断攻击能力非常有限，一般只能通过发送TCP reset包或联动防火墙来阻止攻击。也就是说，在攻击实际发生之前，它们往往无法预先发出警报。入侵防御系统(IPS，Intrusion Prevention System，也可称为IDP)则是一种主动积极的入侵防范、阻止系统，旨在预先对入侵活动和攻击性网络流童进行拦截，避免其造成任何损失，而不是简单地在恶意流童传送时或传送后才发出带报。它部署在网络的进出口处，当它检测到攻击企图后会自动地将攻击包丢掉或采取措施將攻击源阻断。入俊防御系统一般分为基于主机的、基于网络的和基于应用的入侵防护系统。

基于主机的入侵防护系统(HIPS)通过在主机/服务器上安装软件代理程序，防止网络攻击入侵操作系统以及应用程序，从而保护服务器的安全弱点不被不法分子所利用。HIPS与具体的主机/服务器操作系统平台紧密相关，不同的平台需要不同的软件代理程序。

4.7 反病毒技术

由于在网络环境下，计算机病毒具有不可估量的威胁性和破坏力，因此计算机病毒的防范也是网络安全性建设中重要的一环。网络反病毒技术也得到了相应的发展。

网络反病毒技术包括预防病毒、检测病毒和消毒等3种技术。

1）预防病毒技术，它通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进人计算机系统和对系统进行破坏。这类技术是:加密可执行程序、引导区保护、系统监控与读写控制（如防病毒卡)等。

2）检测病毒技术，它是通过对计算机病毒的特征来进行判断的技术，如自身校验、关键字、文件长度的变化等。

3）消毒技术，它通过对计算机病毒的分析开发出具有删除病毒程序并恢复原文件的软件。 网络反病毒技术的实施对象包括文件型病毒、引导型病毒和网络病毒。 网络反病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测；在工作站上采用防病毒芯片和对网络目录及文件设置访问权限等。 随着网络技术不断应用，网络不安全因素将会不断产生，但互为依存的，网络安全技术也会迅速的发展新的安全技术将会层出不穷，计算机网络将会越来越安全！

5 总结

随着网络技术的发展，计算机网络的安全问题日益突出。目前网络安全的解决主要采取的技术手段有防火墙、安全路由器、身份认证系统、VPN设备和系统安全性分析系统等，它们对防止系统非法入侵都有一定的效果，但它们只是起着防御功能，不能完全阻止入侵者通过蛮力攻击或利用计算机软硬件系统的缺陷闯入未授权的计算机或滥用计算机及网络资源。一个安全的网络系统应该既要有防火墙等防御手段，还需要有能够对网络安全进行实时监控、攻击与反攻击的网络入侵检测系统，实现系统内外的联合安全防范，为网络系统提供良好的安全保障。因此对网络入侵检测技术的研究无疑具有很强的现实性和紧迫性，将是今后网络安全研究的重点。对网络入侵检测技术的研究，对我国跟踪国际IDS先进技术具有重要的意义。

参考文献：

[1] 李冬梅.计算机网络安全技术[A].第六届工业仪表与自动化学术会议论文集[C]；2000.11.

[2] 李树忠.计算机网络安全出探[J].计算机安全，2003.4.

[3] 陈致明,等. 计算机网络的安全性[J].计算机安全，2003.4.

相关热词搜索： 网络安全 浅析 技术