信息安全技术及应用· 浅谈网络信息安全及其防范技术 刘 辉 (天津滨海职业学院信息工程系,天津300451)摘要:介绍网络信息安全的内容及其特性,分析了影响网络安全的主要因素,针对目前常见的网络安全隐患提出了有效的防范技术.关键词:网络信息安全;防范技术 中图分类号:TP309.2文献标识码:A SimplyDiscussionoftheNetworkInformationSecurityandPrecautionaryTechnologyUUHui(DepartmentofInformationE.sineering,TianjinCoastalPolytechnicImtitute,TianjinKeywords:Network informationsecurity;Precautionarytechnology 300451) 计算机网络是通过某种通信手段,把地理上分散的计算机连接起来实现资源共享的系统.因此在计算机网络的设计过程中,人们总是过多地考虑如何能够方便地实现资源共享,但在实际应用中,资源共享总是在一个局部或者某些特定用户之间进行的,超越了这个范围,就会造成信息泄密,信息破坏等危害网络安全的现象,这是所有设计者和使用者都不希望出现的,因此必须通过采用各种技术和管理措施,使网络系统正常运行.从而确保网络数据的可用性,完整性和保密性.确保经过网络传输和交换的数据不会发生增加,修改,丢失和泄露等现象. 1 f1)完整性:是指信息在存储或传输过程中保持不被修改,不被破坏,不延迟,不乱序和不丢失的特性,即保证信息的来源,去向,内容真实无误.信息的完整性是信息安全的基本要求.破坏信息的完整性是影响信息安全的常用手段.许多协议确保信息完整性的方法大多是收错重传,丢弃后续包,但黑客的攻击可以改变信息包内部的内容.(2)保密性:是指信息不泄露给非授权人,实体和过程,或供其使用的特性,即保证信息不会被非法泄露扩散.(3)町用性:是指信息可被合法用户访问并能按要求的特性使用,即信息可被授权实体访问并能按需求使用.例如,网络环境下拒绝服务,破坏网络和有关系统的正常运行等都属于对于..一,司用性的攻击.誊'o丘 网络信息安全含义 计算机网络信息安全通常是指利用网络管理控制和技术措施使网络系统的硬件,软件及其中的数据受到保护,防止网络本身及网上传输的信息财产受偶然的因素或者恶意的攻击而遭到破坏,更改,泄漏,或使网上传输的信息被非法系统辨认,控制,即确保网上传输信息的完整性(Integrity),保密性(confidentimid),可用性fAvailability)及可控性(Controllability),也就是确保信息的安全有效性并使系统能连续,可靠,正常地运行,网络服务不中断.由于计算机网络通常由多级网络组成,其信息系统也由多级组成,各级网络信息的安全要求也各不相同.针对计算机信息系统中信息存在形式和运行特点,信息安全包括操作系统安全,数据库安全,网络安全,病毒保护,访问控制,加密与鉴别等内容,大致可以概括为以下四个方面: (4)可控性:是指对信息的内容及传播具有控制的能力.任何豁,, 信息都要在一定传输范围内可控,如密码的托管政策.(5)可靠性:即网络信息系统能够在规定条件下和规定时问内完成规定功能.(6)不可否认性:即保证信息的发送和接收者无法否认自己所做过的操作行为. 3 网络信息安全的主要问题 网络系统既要开放.又要安全,以至于网络安全问题已成为网络应用的焦点问题,而它又是一个极其复杂的系统工程,其涵盖的内容包括:安全的组织保障,保密规定,安全策略,基本安全机制的设立,物理安全,人的安全,外网互连安全,网络管理,防火墙技术,安全应用,数据库与交互监视等多个方面.影响网络信息安全的隐患主要来自于网络硬件和网络软件两方面的不安 施的安全,计算机硬件,附属设备及网络僦路及配置南}按全. 坏.不被非法操作或误操作,功能不会失效,不被非法复制. (1)网络实体安全:即计算机房的物理条件,物理环境及设 (2)软件安全:即计算机及其网络中各种软件不被篡改或破 全因素.具体来说包括计算机病毒,黑客攻击,软件自身的安全 漏洞缺陷,拒绝服务攻击,通信协议的安全威胁,数据完整性的破坏,传输线路安全与质量问题,网络安全管理问题等.随着计算机技术和计算机网络技术的发展,计算机信息主要存在的安全问题就是内部窃密,截取和非法访问.据统计, (3)运行服务安全:即网络中的各个信息系统能够正常运行并能正常地通过网络交流信息.通过对网络系统中的各种设备运行状况的监测,发现不安全因素能及时报警并采取措施改变不安全状态,保障网络系统正常运行. (4)数据安全:即网络中存储及流通数据的安全.要保护网80%以上信息的泄漏或破坏是由内部人员造成的.这是闪为内络中的数据不被篡改,非法增删,复制,解密,显示,使用等.它是保障网络安全最根本的目的.2部人员在网络内有着一定的权限,了解的内部信息也比较多,比外部的闯人者更容易进行破坏.截取就是窃听,它是指在信息的通讯线路中,设法找到一个节点,在通讯的过程中截取信息,网络中信息截收是很容易做到的.非法访问是指未授权用户绕过为保护信息所做的安全设置f比如访问权限设定)访问保密信息,从而破坏信息的保密性,造成信息存储过程的泄密.破坏信息人 网络信息安全的特性 信息入侵者不管怀有什么阴谋诡计,采用什么手段,他们都要通过攻击信息的下列安全特征来达到目的.从技术角度来说,网络信息安全与保密的技术特性主要表现在以下方面: 万方数据 Q四 侵者无法获取信息,但对斧晰袱我扦弼筻坏删除或修改,从而破坏存 储信息的完整性.另外.由于信息存储设备的物理故障会造成存储信息的丢失和破坏,从而使信息的完整性和可用性遭到破坏.如计算机系统中的口令就是利用不可逆算法加密的.近来随着计算机系统性能的不断完善,不可逆加密的应用逐渐增加.4.4网络入侵检测技术入侵检测技术是主动保护自己免受攻击的一种网络安全技术.作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计,监视,攻击识别和响应).提高了信息安全基础结构的完整性.它从计算机网络系统中的若干关键点收集信息.并分析这些信息.入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况F能对网络进行检测.入侵检测通常采用入侵检测系统IDS(Intrusion Detection 4网络信息安全的防范技术 4.1防火墙技术防火墙作为加强网络访问控制的网络互连设备,它是在内部网与外部网之间实施安全防范的系统,它保护内部网络免受非法用户的人侵,过滤不良信息.防止信息资源的未授权访问.防火墙是一种基于网络边界的被动安全技术,对内部未授权访问难以有效控制,因为比较适合于内部网络相对独立,且与外部网络的互连途径有限,网络服务种类相对集中的网络.防火墙的实现技术主要有:数据包过滤,应用网关和代理服务等.从理论上讲,防火墙是系统管理员能够采取的最严格的安全措施,但使用防火墙对网络将带来不利影响.表现在:防火墙严格的安全性削弱了有用的网络服务功能,无法防护内部网络用户的攻击,无法防范通过防火墙以外的其他途径的攻击,不能完全防止传送已感染病毒的软件或文件,无法防范数据驱动型的攻击,另外防火墙不能防备新的网络安全|'u】题.因此,为了保护重要数据,建议不要使用单一的安全措施.4.2数据访问控制技术(1)身份验证:是一致性验证的一种,验证是建立一致性证明的一种手段.身份验证主要包括验证依据,验证系统和安全要求.身份验证技术是在计算机巾最早应用的安全技术,现在也仍在广泛应用,它是互联网信息安全的第一道屏障.(2)存取控制:它规定何种主体对何种客体具有何种操作权 System).它是一个能够对网络活动进行实时监测的系统,能够发现并报告网络中存在的可疑迹象,为网络安全管理提供有价值的信息.现在大多数的IDS产品综合采用三个基本方法来检测网络入侵:追踪分析,网包分析及实时活动监控.4.5网络安全漏洞扫描技术漏洞扫描是使用漏洞扫描程序对目标系统进行信息查询,通过扫描,可以发现系统中存在不安全的地方.它查询TCP/IP端口.并记录目标的响应,收集关于某些特定项目的有用信息.如正在进行的服务.拥有这些服务的用户是否支持匿名登录,是否有某蝗网络服务器需要鉴别等.这项技术的具体实现就是安装扫描程序.扫描程序是一个强大的工具,它可以用来为审计收集初步的数据.在任何一个现有的平台上都有几百个熟知的安全脆弱点,人工测试单台主机的这些脆弱点要花几天的时间,而扫描程序可在很短的时间内就能解决这些问题.扫描程序开发者利用可得到的常用攻击方法,并把它们集成到整个扫描中,输出的结果格式统一.容易参考和分析.4.6其他防范措施 鞠d 力.存取控制是网络安全理论的重要方面,主要包括人员限制,数据标识,权限控制,类型控制和风险分析.存取控制也是最早采用的安全技术之一,它一般与身份验证技术一起使用,赋予不同身份的用户以不同的操作权限,以实现不同安全级别的信息分级管理.4.3数据加密技术数据加密技术就是把数据和信息(明文)转换为不可辩识的形式(密文),使不应了解该数据和信息的人不能识别和理解.它作为主动网络安全技术,是提高网络系统数据的保密性,防止秘密数据被外部破解所采用的主要技术手段,是许多安全措施的基本保证.加密后的数据能保证在传输,使用和转换时不被第三方获取.数据加密技术可以分为三类:对称型加密,非对称型加密和不可逆加密.对称型加密使用单个密钥对数据进行加密或解密,其特点是计算量小,加密效率高.但是此类算法在分布式系统上使用比较困难,主要是密钥管理困难.使用成本较高,保密性也不能保证,且通信双方必须先约定一个密钥.不对称型加密算法也称公用密钥算法,其特点是有两个密钥(即公用密钥和私用密钥),只有二者搭配使片{才能完成加密和解密的全过程.它特别适用于分布式系统的数据加密,在Intemet中得到广泛的应用.不可逆加密算法的特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有同样的输人数据经过同样的不可逆加密算法才能得到相同的加密数据.不可逆加密算法不存在密钥的分配问题,适合在分布式网络系统t使用,但是其加密计算工作量相当可观,所以通常用于数据量有限的情形下的加密, (1洛份和镜像技术.备份技术是最常用的提高数据完整性 的措施.它是指对需要保护的数据在另一个地方制作一个备份,一旦失去原件还能使用数据备份.镜像技术是指两个设备执行 完全相同的T_作,若其中—个出现故障.另—1啊以维持工作. (2)防病毒技术.为使用计算机系统免遭病毒的威胁.除建立完善的管理措施以外.还要有病毒扫描,检测技术,病毒分析技术,软件自身的防病毒技术,系统防病毒技术,系统遭病毒破坏后的数据恢复技术,以及消除病毒的工具及其技术等. 5结束语 由于计算机网络具有连接形式多样性,技术复杂性和网络的开放性,瓦连性等特征.导致信息系统的安全问题变得非常复杂.无论是在局域网还是在广域网中,对于信息系统而言,都存在着自然的和人为的等诸多因素的潜在威胁.闪此.网络信息安全是一项复杂的长期性的系统丁程.不是单一的产品和技术可以完全解决的.必须针对各种