計算機網(wǎng)絡安全探討

【摘要】本文從計算機網(wǎng)絡安全的定義、網(wǎng)絡所面臨的威脅及出現(xiàn)安全威脅的原因、網(wǎng)絡安全所包括的內(nèi)容、因特網(wǎng)使用的安全協(xié)議等方面對網(wǎng)絡安全進行了探討，重點介紹了防火墻技術(shù)，并提出幾個掌握和改善自己網(wǎng)絡安全的步驟。

【關(guān)鍵詞】安全威脅安全協(xié)議防火墻技術(shù)

【文獻編碼】doi:10.3969/j.issn.0450-9889(c).2010.11.054

計算機網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。網(wǎng)絡安全從其本質(zhì)上來說就是網(wǎng)絡上的信息安全。凡是涉及網(wǎng)絡上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡安全的研究領(lǐng)域。隨著計算機的發(fā)展，網(wǎng)絡中的安全問題也日趨嚴重，越來越多的人關(guān)心計算機網(wǎng)絡的安全問題。

一、計算機網(wǎng)絡所面臨的威脅

當前，計算機網(wǎng)絡面臨的危險主要有以下幾個方面:

第一，物理安全威脅。物理安全威脅直接威脅網(wǎng)絡設(shè)備，目前主要的物理安全威脅包括自然災害、電磁輻射、操作失誤等。

第二，系統(tǒng)漏洞造成的威脅。系統(tǒng)漏洞也稱陷阱，它混合了黑客攻擊和病毒特征于一體的網(wǎng)絡攻擊，以竊取用戶機密數(shù)據(jù)的威脅，將成為未來網(wǎng)絡安全的三大發(fā)展趨勢，其威脅有:乘虛而入、不安全服務、配置和初始化。

第三，惡意程序的威脅。惡意程序有計算機病毒、計算機蠕蟲、特洛伊木馬、邏輯炸彈。計算機病毒是指一種會“傳染”其他程序的程序，“傳染”是通過修改其他程序來把自身或其變種復制進去完成的。計算機蠕蟲是一種通過網(wǎng)絡的通信功能將自身從一個結(jié)點發(fā)送到另一個結(jié)點并自動啟動運行的程序。特洛伊木馬是一種程序，它執(zhí)行的功能并非所聲稱的功能而是某種惡意的功能。如一個編譯程序除了執(zhí)行編譯任務以外，還把用戶的源程序偷偷地拷貝下來，則這種編譯程序就是一種特洛伊木馬。邏輯炸彈是一種當運行環(huán)境滿足某種特定條件時執(zhí)行其他特殊功能的成語。如一個編譯程序，平時運行得很好，但當系統(tǒng)時間為13日又為星期五時，它刪去系統(tǒng)中所有的文件，這種程序就是一種邏輯炸彈。

二、網(wǎng)絡出現(xiàn)安全威脅的原因

薄弱的認證環(huán)節(jié)，系統(tǒng)的易被監(jiān)視性、易欺騙性，復雜的設(shè)置和控制等都是出現(xiàn)安全威脅的原因。

第一，薄弱的認證環(huán)節(jié)。網(wǎng)絡上的認證環(huán)節(jié)通常都是使用口令來實現(xiàn)的，由于口令多為靜態(tài)的，因此其薄弱性眾人皆知，各種各樣的口令破解方式層出不窮。最常用的兩種方法是把加密的口令解密和通過信道竊取口令。由于一些TCP或UDP服務只能對主機地址進行認證。而不能對指定的用戶進行認證，所以即使一個服務器的管理員只信任某一主機的一個特定用戶，并希望給該用戶訪問權(quán)，也只能給該主機上所有用戶訪問權(quán)。 第二，系統(tǒng)的易被監(jiān)視性、易欺騙性。使用Telnet或FTP連接在遠程主機上的賬戶，在網(wǎng)上傳輸?shù)目诹钍菦]有加密的。入侵者可以通過監(jiān)視攜帶用戶名和口令的IP包獲取它們，然后使用這些用戶名和口令通過正常渠道登錄到系統(tǒng)。如果被截獲的是管理員的口令，那么獲取特權(quán)級訪問就變得更容易了。

三、計算機網(wǎng)絡安全的內(nèi)容

(一)保密性

為用戶提供安全可靠的保密通信是計算機網(wǎng)絡安全最為重要的內(nèi)容。網(wǎng)絡的保密性機制除為用戶提供保密通信以外，也是許多其他機制的基礎(chǔ)。如訪問控制中登陸口令的設(shè)計、安全通信協(xié)議的設(shè)計以及數(shù)字簽名的設(shè)計等都離不開密碼機制。

(二)安全協(xié)議的設(shè)計

目前在安全協(xié)議的設(shè)計方面，主要是針對具體的攻擊設(shè)計安全的通信協(xié)議。可以通過以下兩種方法來保證所設(shè)計出的協(xié)議是安全的。一是用形式化方法來證明，此方法是人們所希望的，但一般意義上的協(xié)議安全性是不可判定的。只能針對某種特定類型的攻擊來討論其安全性。對復雜的通信協(xié)議的安全性。形式化證明比較困難，因此采用另一種方法證明，即用經(jīng)驗分析的方法來找漏洞。對于簡單的協(xié)議，可通過限制敵手的操作來對一些特定情況進行形式化的證明。

(三)訪問控制

必須對接入網(wǎng)絡的權(quán)限加以控制，并規(guī)定每個用戶的接入限制。由于網(wǎng)絡是一個非常復雜的系統(tǒng)，并且訪問控制機制比操作系統(tǒng)的訪問控制機制更復雜，尤其在更高級別安全的多級安全情況下更是如此。

所有上述網(wǎng)絡安全的內(nèi)容都與密碼技術(shù)緊密相關(guān)。如在保密通信中，要用加密算法來對消息進行加密，以對抗可能的竊聽;安全協(xié)議中的一個重要內(nèi)容就是要論證協(xié)議所采用的加密算法的強度;在訪問控制系統(tǒng)的設(shè)計中。也要用到加密技術(shù)。

四、增強網(wǎng)絡安全的有力措施一使用安全協(xié)議和防火墻技術(shù)

(一)因特網(wǎng)使用的安全協(xié)議

1 網(wǎng)絡層的安全協(xié)議。網(wǎng)絡層保密是指所有在IP數(shù)據(jù)報中的數(shù)據(jù)都是加密的。此外，網(wǎng)絡層還應提供源點鑒別，即當目的站收到IP數(shù)據(jù)報時，能確信這是從該數(shù)據(jù)報的源IP地址的主機發(fā)來的。在IPsec中最主要的兩個協(xié)議是:鑒別首部AH協(xié)議和封裝安全有效載荷ESP協(xié)議。AH提供源點鑒別、數(shù)據(jù)完整性，但不能保密。而ESP比AH復雜得多，它提供源點鑒別、數(shù)據(jù)完整性和保密。在使用AH或ASP之前，先要從源主機到目的主機建立一條網(wǎng)絡層的邏輯連接。此邏輯連接叫做安全sA。這樣，IPsec就把傳統(tǒng)的因特網(wǎng)無連接的網(wǎng)絡層轉(zhuǎn)換為具有邏輯連接的層。安全關(guān)聯(lián)是一個單向連接。如進行雙向的安全通信則需要建立兩個安全關(guān)聯(lián)。

2 運輸層安全協(xié)議。主要介紹在運輸層使用的安全套接層SSL協(xié)議。SSL可對萬維網(wǎng)客戶與服務器之間傳送的數(shù)據(jù)進行加密和鑒別，它在雙方的聯(lián)絡階段對將要使用的加密算法和雙方共享的會話密鑰進行協(xié)商，完成客戶與服務器之間的鑒別。在聯(lián)絡階段完成之后，所有傳輸?shù)臄?shù)據(jù)都使用在聯(lián)絡階段商定的會話密鑰。SSL不僅被所有常用的瀏覽器和萬維網(wǎng)服務器所支持，而且也是運輸層安全協(xié)議TLS的基礎(chǔ)。當然SSL還可用于IMAP郵件存取的鑒別和數(shù)據(jù)加密。

3 應用層的安全協(xié)議。在應用層實現(xiàn)安全比較簡單，特別是當因特網(wǎng)的通信制涉及兩方。下面簡單介紹兩種用于電子郵件的安全協(xié)議。

PGP協(xié)議是一個完整的電子郵件安全軟件包，包括加密、鑒別、電子簽名和壓縮等技術(shù)。它只是把一些現(xiàn)有的加密算法綜合在一起。PC，P得到廣泛的應用，但其不是因特網(wǎng)的正式標準。密碼管理是PGP系統(tǒng)的一個關(guān)鍵。每個用戶在其所在地要維持兩個數(shù)據(jù)結(jié)構(gòu):密鑰環(huán)和公鑰環(huán)。密鑰環(huán)包括一個或幾個用戶的密鑰—公鑰對。這樣做是為了使用戶可經(jīng)常更換自己的密鑰。每一對密鑰有對應的標識符。發(fā)信人將此標識符通知收信人，使收信人知道應當用那一個公鑰進行解密。

PEM有比PGP更加完善的密鑰管理機制。由認證中心發(fā)布證書，上面有用戶姓名、公鑰及密鑰的使用期限。每個證書有一個唯一的序號。證書還包括用認證中心密鑰簽了名的MD5散列函數(shù)。

(二)防火墻技術(shù)

防火墻是一種用來增強內(nèi)部網(wǎng)絡安全的系統(tǒng)，它將網(wǎng)絡隔離為內(nèi)部網(wǎng)和外部網(wǎng)。防火墻是在因特網(wǎng)之間執(zhí)行控制和安全策略的系統(tǒng)，它可以是軟件，也可以是硬件，或者兩者并用。防火墻作為內(nèi)部網(wǎng)與外部網(wǎng)之間的一種訪問控制設(shè)備，常常安裝在內(nèi)部網(wǎng)和外部網(wǎng)邊界的節(jié)點上。防火墻是路由器、堡壘主機和其他任何提供網(wǎng)絡安全的設(shè)備罪和，是安全策略的一部分。防火墻基本上是一個獨立的進程或一組緊密結(jié)合的進程，運行于路由器或服務器上，來控制經(jīng)過防火墻的網(wǎng)絡應用程序的通信流量。引入防火墻是因為傳統(tǒng)的網(wǎng)絡系統(tǒng)將自己暴露給一些不安全的服務。沒有防火墻的環(huán)境中，網(wǎng)絡安全性完全依賴住系統(tǒng)的安全性。

防火墻從本質(zhì)上來說是一種保護裝置，它保護的是內(nèi)部網(wǎng)中的數(shù)據(jù)和資源。防火墻作為外部網(wǎng)和內(nèi)部網(wǎng)之間的一個中介系統(tǒng)，豎起一道安全屏障。這道屏障的作用就是阻斷外部網(wǎng)絡對本地網(wǎng)絡的威脅和入侵，提供保護本地內(nèi)部網(wǎng)的一道關(guān)卡。但防火墻限制有用的網(wǎng)絡服務。無法保護內(nèi)部網(wǎng)用戶的攻擊，無法通過防火墻以外的其他途徑的攻擊，也不能完全防止傳送已感染病毒的軟件或文件。

以上所介紹的是網(wǎng)絡安全的基本知識，在確保自己的網(wǎng)絡以及計算機環(huán)境的安全性上是非常有用的。我們可通過以下步驟來掌握和改善自己的網(wǎng)絡環(huán)境的安全狀況:利用加密通信保護密碼;確認下載程序的完整性;確定未設(shè)置密碼的賬戶;重新評價程序的輸入、輸出子例程。

【參考文獻】

[1]鄧亞平，計算機網(wǎng)絡安全[M]北京:人民郵電出版社，2004

[2]顧巧論，高鐵杠，賈春福，計算機網(wǎng)絡安全[M]，北京:清華出版社，2004

[3]劉蔭名，李金海，計算機安全技術(shù)[M]，北京:清華出版社，2000

[4]劉占全，網(wǎng)絡管理與防火墻技術(shù)[M]，北京:人民郵電出版社，1999

【作者簡介】唐素琴，女，江蘇省海安針灸推拿學校教師。