计算机网络安全摘要:随着计算机网络的发展,在计算机上处理业务已由基于单机的数学运算、文件处理,基于简单连结的内部网络的内部业务处理、办公自动化等发展到基于企业复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。
在信息处理能力提高的同时,系统的连结能力也在不断的提高。
但在连结信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出。
关键字:计算机 、网络安全Computer network securityAbstract:With the development of computer network, the computer business has been from a single arithmetic, based on document processing, a simple link to the internal network of internal business processing, office automation to the development of enterprise-class computer processing system and the scope of the enterprise the complexity of the internal network, an external network, the global Internet information sharing within and based on business process. In the information processing capability at the same time, the system's ability to link also in unceasing enhancement. But in raising the link in the information capacity, flow capacity at the same time, based on the network connection security issues are also increasingly prominent.Key words: Computer、network security1引言现今高速发展的社会已经进入了21世纪,而21世纪的重要特征就是数字化、网络化和信息化,这是一个以网络为核心的信息时代。
Internet的飞速发展给人类社会的科学与技术带来了巨大的推动与冲击,同时也产生了网络信息与安全的问题。
而作为计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。
因此,计算机的安全性成了人们讨论的主要话题之一。
而计算机安全主要研究的是计算机病毒的防治和系统的安全。
在计算机网络日益扩展和普及的今天,对计算机安全的要求更高,涉及面更广。
不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取。
2我国网络安全问题的现状(1)计算机系统遭受病毒感染和破坏的情况相当严重。
据 2001 年调查,我 国约 73%的计算机用户曾感染病毒,2003 年上半年升至 83%。
其中,感染 3 次 以上的用户高达 59%。
(2)电脑黑客活动已形成重要威胁。
网络信息系统具有致命的脆弱性、易 受攻击性和开放性,从国内情况来看,目前我国 95%与互联网相联的网络管理中 心都遭受过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的 重点。
(3)信息基础设施面临网络安全的挑战。
面对信息安全的严峻形势,我国的 网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节[1]。
3影响计算机网络安全的主要因素计算机网络所面临的威胁是多方面的,主要有以下三点:(1)人为的无意失误。
如操作员安全配置不当造成系统存在安全漏洞,用户安全意识不强,口令选择不慎,将自己的帐号随意转借他人或与别人共享等都会给网络安全带来威胁。
(2)人为的恶意攻击。
这也是目前计算机网络所面临的最大威胁,比如敌手的攻击和计算机犯罪都属于这种情况,此类攻击又可以分为两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。
这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。
(3)网络软件的漏洞和“后门”。
任何一款软件都或多或少存在漏洞,这些缺陷和漏洞恰恰就是黑客进行攻击的首选目标。
绝大部分网络入侵事件都是因为安全措施不完善,没有及时补上系统漏洞造成的。
此外,软件公司的编程人员为便于维护而设置的软件“后门”也是不容忽视的巨大威胁,一旦“后门”洞开,别人就能随意进入系统,后果不堪设想。
4计算机网络安全的主要特性网络安全应具有以下五个方面的特征:(1)保密性——保证只有授权用户可以访问数据,而限制其他用户对数据的访问。
数据的保密性分为网络传输的保密性和数据存储保密性两个方面。
网络传输保密性通过对传输数据进行加密处理来实现;数据存取保密性主要通过访问控制来实现。
(2)完整性——数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修 改、不被破坏和丢失的特性。
一般通过访问控制、数据备份和冗余设置来实现数据的完整性。
(3)可用性——可被授权实体访问并按需求使用的特性,即当需要时能否存取和访问所需的 信息。
网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。
(4)不可否认性——在信息交互过程中确信参与者的真实同一性,所有参与 者都不能否认和抵赖曾经完成的操作和承诺。
数字签名技术是解决不可否认性的重要手段之一。
(5)可控性——人们对信息的传播途径、范围及其内容所具有的控制能力。
5常用的网络安全技术5.1网络加密技术网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。
信息加密过程是由形形色色的加密算法来具体实施的,它以很小的代价提供很牢靠的安全保护。
在多数情况下,信息加密是保证信息机密性的唯一方法。
据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。
如果按照收发双方的密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。
在实际应用中,人们通常将常规密码和公钥密码结合在一起使用,如果按照每次加密所处理的比特来分类,可以将加密算法分为序列密码算法和分组密码算法,前者每次只加密一个比特而后者则先将信息序列分组,每次处理一个组。
数据加密与用户授权访问控制技术主要用于对静态信息的保护,需要系统级别的支持,一般在操作系统中实现。
数据加密主要用于对动态信息的保护。
对动态数据的攻击分为主动攻击和被动攻击。
对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。
数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法,这种变换是受“密钥”控制的。
在传统的加密算法中,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,称为“对称密钥算法”。
这样的密钥必须秘密保管,只能为授权用户所知,授权用户既可以用该密钥加密信急,也可以用该密钥解密信息,DES是对称加密算法中最具代表性的算法。
如果加密/解密过程各有不相干的密钥,构成加密/解密的密钥对,则称这种加密算法为“非对称加密算法”或称为“公钥加密算法”,相应的加密/解密密钥分别称为“公钥”和“私钥”。
在公钥加密算法中,公钥是公开的,任何人可以用公钥加密信息,再将密文发送给私钥拥有者。
私钥是保密的,用于解密其接收的公钥加密过的信息。
典型的公钥加密算法如RSA是目前使用比较广泛的加密算法。
数据加密技术主要用于对动态信息的保护,对动态数据的攻击分为主动攻击和被动攻击。
对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。
数据加密技术分为两类:即对称加密和非对称加密。
(1)对称加密技术对称加密是常规的以口令为基础的技术,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。
如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。
目前,广为采用的一种对称加密方式是数据加密标准DES,DES的成功应用是在银行业中的电子资金转账(EFT)领域中。
(2)非对称加密/公开密钥加密在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。
这对密钥中任何一把都可以作为公开密钥通过非保密方式向他人公开,而另一把作为私有密钥加以保存。
公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。
非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。
5.2数字签名1、数字签名机制数字签名是信息安全的一个重要研究领域,使用数字签名的主要目的与手写签名一样:证明消息发布者的身份。
数字签名实现的目的:①可信:接受者通过签名可以确信消息来自于声明的发送者。
②不可伪造:签名应当是独一无二的,其他人无法假冒和伪造。
③不可重用:签名是消息的一部分,不能被挪用到其他文件上。
④不可抵赖:签名者事后不能否认自己签过的文件。
2、数字签名的基本原理数字签名实际上是附加在数据单元上的一些数据或是对数据单元所作的密码变换,这种数据或变换能使数据单元的接收者确认数据单元的来源和数据的完整性。
签名机制的本质特征是该签名只有通过签名者的私有信息才能产生,即一个签名者的签名只能惟一地由他自己生成。
当收发双方发生争执的时候,第三方能够根据消息上的数字签名来裁定这条消息是否确实由发送方发出,从而实现抗抵赖服务。
5.3防火墙技术1、防火墙的基本概念所谓“防火墙”,是指一种将内部网和公众网络(如Internet)分开的方法,它实际上是一种隔离技术。
防火墙是在两个网络通信时执行的一种访问控制手段,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更改、复制和毁坏你的重要信息。
2、 防火墙的功能(1)过滤掉不安全服务和非法用户(2)控制对特殊站点的访问(3)提供监视Internet安全和预警的方便端点[2]6计算机网络安全的对策1、技术安全层面的对策(1)建立安全管理制度。