計算機網絡安全的探討

摘要：伴隨網絡的普及，安全日益成為影響網絡效能的重要問題，針對計算機網絡系統存在的安全性和可靠性問題，本文從網絡安全的重要性、理論基礎、具備功能以及解決措施等方面提出一些見解.

關鍵詞：計算機網絡；加密；數字簽名

1網絡安全的重要性

在信息化飛速發展的今天，計算機網絡得到了廣泛應用，但隨著網絡之間的信息傳輸量的急劇增長，一些機構和部門在得益于網絡加快業務運作的同時，其上網的數據也遭到了不同程度的攻擊和破壞。攻擊者可以竊聽網絡上的信息，竊取用戶的口令、數據庫的信息；還可以篡改數據庫內容，偽造用戶身份，否認自己的簽名。更有甚者，攻擊者可以刪除數據庫內容，摧毀網絡節點，釋放計算機病毒等等。這致使數據的安全性和自身的利益受到了嚴重的威脅。

2網絡安全的理論基礎

根據ISO提出的，安全機制是一種技術，一些軟件或實施一個或更多安全服務的過程。ISO把機制分成特殊的和普遍的。一個特殊的安全機制是在同一時間只對一種安全服務上實施一種技術或軟件。加密就是特殊安全機制的一個例子。盡管可以通過使用加密來保證數據的保密性，數據的完整性和不可否定性，但實施在每種服務時需要不同的加密技術。一般的安全機制都列出了在同時實施一個或多個安全服務的執行過程。特殊安全機制和一般安全機制不同的另一個要素是一般安全機制不能應用到OSI參考模型的任一層上。普通的機制包括：信任的功能性，事件檢測，審計跟蹤，安全恢復：除了ISO 7498-2還存在一些其它政府和工業標準，主要包括British Standard 7799標準和美國政府發表的一系列定義一般安全的級別。

3網絡安全應具備的功能

為了能更好地適應信息技術的發展，計算機網絡應用系統必須具備以下功能：訪問控制；檢查安全漏洞；攻擊監控；加密通訊；認證；備份和恢復；多層防御；設立安全監控中心。

4網絡系統安全綜合解決措施

要想實現網絡安全功能，應對網絡系統進行全方位防范，從而制定出比較合理的網絡安全體系結構。下面就網絡系統安全問題，提出一些防范措施。

4.1網絡分段

網絡分段是保證安全的一項重措施，同時也是一項基本措施，其指導思想在于將非法用戶與網絡資源相互隔離，從而達到限制用戶非法訪問目的。

網絡分段可分為物理分段和邏輯分段兩種方式：物理分段通常是指將網絡從物理層和數據鏈路層上分為若干網段，各網段相互之間無法進行直接通訊。邏輯分段則是指將整個系統在網絡層上進行分段。

4.2加密技術

加密型網絡安全技術的基本思想是不依賴于網絡中數據路徑的安全性來實現網絡系統的安全，而是通過對網絡數據的加密來保障網絡的安全可靠性，因而這一類安全保障技術的基石是使用放大數據加密技術及其在分布式系統中的應用。

數據加密技術可以分為三類，即對稱型加密、不對稱型加密和不可逆加密。加密技術用于網絡安全通常有二種形式，即面向網絡或面向應用服務。前者通常工作在網絡層或傳輸層，使用經過加密的數據包傳送、認證網絡路由及其他網絡協議所需的信息，從而保證網絡的連通性和可用性不受損害。此外，通過適當的密鑰管理機制，使用這一方法還可以在公用的互聯網絡上建立虛擬專用網絡并保障虛擬專用網上信息的安全性。SKIP協議即是近來IETF在這方面的努力之一。

4.3數字簽名和認證技術

認證技術主要解決網絡通訊過程中通訊雙方的身份認可，數字簽名作為身份認證技術中的一種具體技術，同時數字簽名還可用于通信過程中的不可抵賴要求的實現。

USer Name/Password認證。該種認證方式是最常用的一種認證方式，用于操作系統登錄、telnet、rlogin等，但此種認證方式過程不加密，即password容易被監聽和解密。

用于摘要算法的認證。Radius、OSPF、SNMP Security Protocol等均使用共享的Security Key，加上摘要算法進行認證，由于摘要算法是一個不可逆的過程，因此，在認證過程中，由摘要信息不能技術出共享的security key，敏感信息不在網絡上傳輸。市場上主要采用的摘要算法有MD5和SHA-1。

用于PKI的認證。使用公開密鑰體系進行認證和加密。該種方法安全程度較高，綜合采用了摘要算法、不對稱加密、對稱加密、數字簽名等技術，很好地將安全性和高效性結合起來。這種認證方法目前應用在電子郵件、應用服務器訪問、客戶認證、防火墻認證等領域。該種認證方法安全程度很高，但是涉及到比較繁重的證書管理任務。

數字簽名。數字簽名作為驗證發送者身份和消息完整性的根據。公共密鑰系統（如RSA）基于私有/公共密鑰對，作為驗證發送者身份和消息完整性的根據，CA使用私有密鑰技術其數字簽名，利用CA提供的公共密鑰，任何人均可驗證簽名的真實性。偽造數字簽名從計算機能力上不可行的。并且，如果消息隨數字簽名一同發送，對消息的任何修改在驗證數字簽名時都將會被發現。

4.4如何保證遠程訪問的安全性

對于從外部撥號訪問總部內部局域網的用戶，由于使用公用電話網進行數據傳輸所帶來的風險，必須嚴格控制其安全性。首先，應嚴格限制撥號上網用戶所訪問的系統信息和資源，這一功能可通過在撥號訪問服務器后設置NetScreen防火墻來實現。其次，應加強對撥號用戶的身份認證，使用RADIUS等專用身份驗證服務器。第三，在數據傳輸過程中采用加密技術，防止數據被非法竊取。一種方法是使用PGP for Business Security，對數據加密。另一種方法是采用NetScreen防火墻所提供的VPN技術。

綜上所述，對于計算機網絡傳輸的安全問題，通常應做到以下幾點。第一，應嚴格限制上網用戶所訪問的系統信息和資源，這一功能可通過在訪問服務器上設置NetScreen防火墻來實現。第二，應加強對上網用戶的身份認證，使用RADIUS等專用身份驗證服務器。第三，在數據傳輸過程中采用加密技術，防止數據被非法竊取。一種方法是使用PGP for Business Security對數據加密。另一種方法是采用NetScreen防火墻所提供的VPN技術。VPN在提供網間數據加密的同時，也提供了針對單機用戶的加密客戶端軟件，即采用軟件加密的技術來保證數據傳輸的安全性。

參考文獻

[1]胡道元.信息網絡系統集成技術.清華大學出版社， 2005.

[2]隋紅建等.計算機網絡與通信.北京大學出版社， 2005.