信息安全：網絡安全研究

高楊

（曲阜師范大學 計算機科學學院，山東 日照276826）

1 網絡安全技術概述

隨著計算機技術的飛速發展，信息網絡已經成為社會發展的重要保證，網絡信息安全問題也隨著全球信息化步伐的加快而變得尤為重要。由于計算機網絡具有連接形式多樣性，終端分配不均勻性以及網絡的開放性，互聯性等特征，致使網絡易受黑客，怪客，惡意軟件及其它不軌行為的攻擊，網上信息的安全和保密是一個至關重要的問題。網絡安全技術指網絡安全技術指致力于解決諸如如何有效進行介入控制，以及何如保證數據傳輸的安全性的技術手段，主要包括物理安全分析技術，網絡結構安全分析技術，系統安全分析技術，管理安全分析技術，及其它的安全服務和安全機制策略。

2 網絡安全技術影響因素

2.1 安全策略

站點在防火墻配置上無意識地擴大了訪問權限,忽視了這些權限可能會被其他人員濫用。網絡入侵的目的主要是取得使用系統的存儲權限、寫權限以及訪問其他存儲內容的權限,或者是作為進一步進入其他系統的跳板,或者惡意破壞這個系統,使其毀壞而喪失服務能力。

2.2 應用系統安全漏洞

WEB服務器和瀏覽器難以保障安全,最初人們引入CGI程序目的是讓主頁活起來,然而很多人在編CGI程序時對軟件包并不十分了解,多數人不是新編程序,而是對程序加以適當的修改,這樣一來,很多CGI程序就難免具有相同安全漏洞。

2.3 后門和木馬程序

后門主要使管理員無法阻止種植者再次進入系統，使種植者在系統中不易被發現。木馬是一類特殊的后門程序,具有隱蔽性和非授權性的特點。木馬里一般有兩個程序,一個是服務器程序,一個是控制器程序，它通過命令服務器程序達到控制電腦的目的。

2.4 計算機病毒

計算機病毒指編制或在計算機程序中插入的破壞計算機功能和數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。現在，隨著計算機網絡的發展，計算機病毒和計算機網絡技術相結合述，蔓延的速度更加迅速。

2.5 硬件的配置不協調

一是文件服務器。它是網絡的中樞,其運行穩定性、功能完善性直接影響網絡系統的質量。網絡應用的需求沒有引起足夠的重視,設計和選型考慮欠周密,從而使網絡功能發揮受阻,影響網絡的可靠性、擴充性和升級換代。二是網卡用工作站選配不當導致網絡不穩定。

3 網絡安全的防護措施

3.1 物理安全管理

物理安全是保護計算機網絡設備、設施以及其他媒體免遭地震、水災、火災等環境事故以及人為操作及各種計算機犯罪行為導致的破壞過程。物理安全包括通信線路的安全、物理設備的安全、機房的安全等。主要體現在通信線路的可靠性,設備安全性,設備的備份，防災害能力、抗干擾能力,設備的運行環境等。為保證網絡的正常運行,在物理安全方面應采取如下措施:

（1）產品保障:主要指產品采購、運輸、安裝等方面的安全措施。

（2）運行安全:網絡中的設備,特別是安全類產品在使用過程中,必須能夠從生產廠家或供貨單位得到強有力的技術支持服務。對一些關鍵設備和系統,應設置備份系統。

（3）防電磁輻射面:所有重要的涉密設備都需安裝防電磁輻射產品。

（4）保安面:主要是防盜、防火等,還包括網絡系統所有計算機、網絡設備、安全設備的安全防護。

3.2 各種計算機網絡安全技術

3.2.1 防火墻技術

所謂防火墻指的一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.用于對網絡進行防護和通信控制。

防火墻技術有包過濾技術、應用網關技術、狀態檢測防火墻、電路級網關及代理服務器技術。

3.2.2 VPN技術

虛擬專用網 (Virtual private Network,VPN)是通過一個公用網絡建立起一個臨時的、安全的連接。通常,VPN可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸。可實現不同網絡的組件和資源間的相互連接,利用Internet或其他公共互聯網的基礎設施為用戶創建隧道,并提供與專用網絡一樣的安全和功能保障。

目前VPN主要采用隧道技術、加密解密技術、密鑰管理技術、使用者與設身份認證技術這四項技術來保證它的安全。

3.2.3 網絡加密技術

網絡加密技術是對公網中傳輸的IP包進行加密和封裝，實現數據傳輸的保密性、完整性。它可以解決網絡在公網的數據傳輸安全性問題,也可以解決遠程用戶訪問內網的安全問題。

數據鏈路層的安全需要保證網絡鏈路傳送的數據不被且聽和修改，在鏈路層通常采用數據加密技術，使攻擊者不能了解、修改傳輸的信息，從而保證通信的安全。 鏈路層加密模式如圖1所示。

圖1 鏈路層加密模式

網絡層安全保密的目的是將源端發出的分組數據經各種途徑安全地送到目的端。網絡層保密模式是將處理位于網絡層和傳輸層之間，加密設備配置于網絡的兩端，必須根據低三層的協議理解數據，并且只加密傳輸層的數據單元。這些加密的數據單元與未加密的路由信息重新結合后送到下一層傳輸。網絡層加密模式如圖2，網絡層加密減少了網絡節點內部的明文信息泄露帶來的威脅。

圖2 網絡層加密模式

3.2.4 身份認證技術

身份認證是指計算機網絡系統確認操作者身傷的過程。在一個更為開放的環境中,支持通過網絡與其他系統相連,就需要采用“調用每項服務時需要用戶證明身份,也需要這些服務器向客戶證明他們自己的身份”的策略來保護位于服務器中用戶的信息和資源。

3.2.5 多層次多級別的企業級防病毒系統

防病毒系統對計算機病毒有實時防范功能,它可以在每個入口點抵御病毒和惡意程序的入侵,保護網絡中的PC機、服務器和Internet網關。它有一個功能強大的管理工具,可以自動進行文件更新,使管理和服務作業合理化,并可用來從控制中心管理企業范圍的反病毒安全機制,保護企業免受病毒的攻擊和侵害。

3.2.6 網絡的實時入侵檢測入侵檢測是從計算機網絡或計算機系統中的若干關鍵點搜集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為和遭受襲擊的跡象，保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中授權或異常現象。它作為一種積極主動的安全防護技術,可以在網絡系統受到危害之前攔截和響應入侵。

入侵檢測的步驟有：收集系統、網絡、數據及用戶活動的狀態和行為的信息。根據收集到的信息進行分析常用的分析方法有模式匹配、統計分析、完整性分析。模式匹配是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較，從而發現違背安全策略的行為。

3.3 建立分層管理和各級安全管理中心

系統管理是由系統管理員完成的一項復雜工作，包括啟動系統、停止系統運行、安裝新軟件、增加新用戶、刪除老用戶、端口服務管理、打印服務管理、文件系統維護、數據備份與恢復、網絡系統管理、系統性能維護以及完成、保持系統發展和運行的日常事務工作。主要內容有防止未授權存取，防止泄密，防止用戶拒絕系統的管理，防止丟失系統的完整性。

4 結語

網絡安全技術涉及計算機網絡各個層次，網絡安全不僅是技術問題，也是一個安全管理問題。必須綜合考慮安全因素，制定合理的目標、技術方案和相關的法規等。防范措施在一定程度上能夠加強網絡安全，伴隨著IT技術不斷迅猛發展，需適時改進防范策略，以便營造一個安全高效的網絡環境。

［1］胡道元,閔京華.網絡安全[M].北京:清華大學出版社,2004.

［2］李煥洲.網絡安全和入侵檢測技術[J].四川師范大學學報：自然科學版,2001 (04).

［3］謝勍.計算機網絡入侵檢測技術探討[J].科學技術與工程,2008(01).

［4］朱理森,張守連.計算機網絡應用技術[M].北京:專利文獻出版社,2001.

［5］段海波.網絡安全從網絡開始[J].科技情報開發與經濟,2005(01).

［6］戴紅,王海泉,黃堅.計算機網絡安全[M].北京:電子工業出版社,2004.