計(jì)算機(jī)網(wǎng)絡(luò)安全的探討

摘要：伴隨網(wǎng)絡(luò)的普及，安全日益成為影響網(wǎng)絡(luò)效能的重要問題，針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)存在的安全性和可靠性問題，本文從網(wǎng)絡(luò)安全的重要性、理論基礎(chǔ)、具備功能以及解決措施等方面提出一些見解.

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；加密；數(shù)字簽名

1網(wǎng)絡(luò)安全的重要性

在信息化飛速發(fā)展的今天，計(jì)算機(jī)網(wǎng)絡(luò)得到了廣泛應(yīng)用，但隨著網(wǎng)絡(luò)之間的信息傳輸量的急劇增長，一些機(jī)構(gòu)和部門在得益于網(wǎng)絡(luò)加快業(yè)務(wù)運(yùn)作的同時(shí)，其上網(wǎng)的數(shù)據(jù)也遭到了不同程度的攻擊和破壞。攻擊者可以竊聽網(wǎng)絡(luò)上的信息，竊取用戶的口令、數(shù)據(jù)庫的信息；還可以篡改數(shù)據(jù)庫內(nèi)容，偽造用戶身份，否認(rèn)自己的簽名。更有甚者，攻擊者可以刪除數(shù)據(jù)庫內(nèi)容，摧毀網(wǎng)絡(luò)節(jié)點(diǎn)，釋放計(jì)算機(jī)病毒等等。這致使數(shù)據(jù)的安全性和自身的利益受到了嚴(yán)重的威脅。

2網(wǎng)絡(luò)安全的理論基礎(chǔ)

根據(jù)ISO提出的，安全機(jī)制是一種技術(shù)，一些軟件或?qū)嵤┮粋€(gè)或更多安全服務(wù)的過程。ISO把機(jī)制分成特殊的和普遍的。一個(gè)特殊的安全機(jī)制是在同一時(shí)間只對(duì)一種安全服務(wù)上實(shí)施一種技術(shù)或軟件。加密就是特殊安全機(jī)制的一個(gè)例子。盡管可以通過使用加密來保證數(shù)據(jù)的保密性，數(shù)據(jù)的完整性和不可否定性，但實(shí)施在每種服務(wù)時(shí)需要不同的加密技術(shù)。一般的安全機(jī)制都列出了在同時(shí)實(shí)施一個(gè)或多個(gè)安全服務(wù)的執(zhí)行過程。特殊安全機(jī)制和一般安全機(jī)制不同的另一個(gè)要素是一般安全機(jī)制不能應(yīng)用到OSI參考模型的任一層上。普通的機(jī)制包括：信任的功能性，事件檢測，審計(jì)跟蹤，安全恢復(fù)：除了ISO 7498-2還存在一些其它政府和工業(yè)標(biāo)準(zhǔn)，主要包括British Standard 7799標(biāo)準(zhǔn)和美國政府發(fā)表的一系列定義一般安全的級(jí)別。

3網(wǎng)絡(luò)安全應(yīng)具備的功能

為了能更好地適應(yīng)信息技術(shù)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用系統(tǒng)必須具備以下功能：訪問控制；檢查安全漏洞；攻擊監(jiān)控；加密通訊；認(rèn)證；備份和恢復(fù)；多層防御；設(shè)立安全監(jiān)控中心。

4網(wǎng)絡(luò)系統(tǒng)安全綜合解決措施

要想實(shí)現(xiàn)網(wǎng)絡(luò)安全功能，應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行全方位防范，從而制定出比較合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。下面就網(wǎng)絡(luò)系統(tǒng)安全問題，提出一些防范措施。

4.1網(wǎng)絡(luò)分段

網(wǎng)絡(luò)分段是保證安全的一項(xiàng)重措施，同時(shí)也是一項(xiàng)基本措施，其指導(dǎo)思想在于將非法用戶與網(wǎng)絡(luò)資源相互隔離，從而達(dá)到限制用戶非法訪問目的。

網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式：物理分段通常是指將網(wǎng)絡(luò)從物理層和數(shù)據(jù)鏈路層上分為若干網(wǎng)段，各網(wǎng)段相互之間無法進(jìn)行直接通訊。邏輯分段則是指將整個(gè)系統(tǒng)在網(wǎng)絡(luò)層上進(jìn)行分段。

4.2加密技術(shù)

加密型網(wǎng)絡(luò)安全技術(shù)的基本思想是不依賴于網(wǎng)絡(luò)中數(shù)據(jù)路徑的安全性來實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全，而是通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)的加密來保障網(wǎng)絡(luò)的安全可靠性，因而這一類安全保障技術(shù)的基石是使用放大數(shù)據(jù)加密技術(shù)及其在分布式系統(tǒng)中的應(yīng)用。

數(shù)據(jù)加密技術(shù)可以分為三類，即對(duì)稱型加密、不對(duì)稱型加密和不可逆加密。加密技術(shù)用于網(wǎng)絡(luò)安全通常有二種形式，即面向網(wǎng)絡(luò)或面向應(yīng)用服務(wù)。前者通常工作在網(wǎng)絡(luò)層或傳輸層，使用經(jīng)過加密的數(shù)據(jù)包傳送、認(rèn)證網(wǎng)絡(luò)路由及其他網(wǎng)絡(luò)協(xié)議所需的信息，從而保證網(wǎng)絡(luò)的連通性和可用性不受損害。此外，通過適當(dāng)?shù)拿荑€管理機(jī)制，使用這一方法還可以在公用的互聯(lián)網(wǎng)絡(luò)上建立虛擬專用網(wǎng)絡(luò)并保障虛擬專用網(wǎng)上信息的安全性。SKIP協(xié)議即是近來IETF在這方面的努力之一。

4.3數(shù)字簽名和認(rèn)證技術(shù)

認(rèn)證技術(shù)主要解決網(wǎng)絡(luò)通訊過程中通訊雙方的身份認(rèn)可，數(shù)字簽名作為身份認(rèn)證技術(shù)中的一種具體技術(shù)，同時(shí)數(shù)字簽名還可用于通信過程中的不可抵賴要求的實(shí)現(xiàn)。

USer Name/Password認(rèn)證。該種認(rèn)證方式是最常用的一種認(rèn)證方式，用于操作系統(tǒng)登錄、telnet、rlogin等，但此種認(rèn)證方式過程不加密，即password容易被監(jiān)聽和解密。

用于摘要算法的認(rèn)證。Radius、OSPF、SNMP Security Protocol等均使用共享的Security Key，加上摘要算法進(jìn)行認(rèn)證，由于摘要算法是一個(gè)不可逆的過程，因此，在認(rèn)證過程中，由摘要信息不能技術(shù)出共享的security key，敏感信息不在網(wǎng)絡(luò)上傳輸。市場上主要采用的摘要算法有MD5和SHA-1。

用于PKI的認(rèn)證。使用公開密鑰體系進(jìn)行認(rèn)證和加密。該種方法安全程度較高，綜合采用了摘要算法、不對(duì)稱加密、對(duì)稱加密、數(shù)字簽名等技術(shù)，很好地將安全性和高效性結(jié)合起來。這種認(rèn)證方法目前應(yīng)用在電子郵件、應(yīng)用服務(wù)器訪問、客戶認(rèn)證、防火墻認(rèn)證等領(lǐng)域。該種認(rèn)證方法安全程度很高，但是涉及到比較繁重的證書管理任務(wù)。

數(shù)字簽名。數(shù)字簽名作為驗(yàn)證發(fā)送者身份和消息完整性的根據(jù)。公共密鑰系統(tǒng)（如RSA）基于私有/公共密鑰對(duì)，作為驗(yàn)證發(fā)送者身份和消息完整性的根據(jù)，CA使用私有密鑰技術(shù)其數(shù)字簽名，利用CA提供的公共密鑰，任何人均可驗(yàn)證簽名的真實(shí)性。偽造數(shù)字簽名從計(jì)算機(jī)能力上不可行的。并且，如果消息隨數(shù)字簽名一同發(fā)送，對(duì)消息的任何修改在驗(yàn)證數(shù)字簽名時(shí)都將會(huì)被發(fā)現(xiàn)。

4.4如何保證遠(yuǎn)程訪問的安全性

對(duì)于從外部撥號(hào)訪問總部內(nèi)部局域網(wǎng)的用戶，由于使用公用電話網(wǎng)進(jìn)行數(shù)據(jù)傳輸所帶來的風(fēng)險(xiǎn)，必須嚴(yán)格控制其安全性。首先，應(yīng)嚴(yán)格限制撥號(hào)上網(wǎng)用戶所訪問的系統(tǒng)信息和資源，這一功能可通過在撥號(hào)訪問服務(wù)器后設(shè)置NetScreen防火墻來實(shí)現(xiàn)。其次，應(yīng)加強(qiáng)對(duì)撥號(hào)用戶的身份認(rèn)證，使用RADIUS等專用身份驗(yàn)證服務(wù)器。第三，在數(shù)據(jù)傳輸過程中采用加密技術(shù)，防止數(shù)據(jù)被非法竊取。一種方法是使用PGP for Business Security，對(duì)數(shù)據(jù)加密。另一種方法是采用NetScreen防火墻所提供的VPN技術(shù)。

綜上所述，對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)傳輸?shù)陌踩珕栴}，通常應(yīng)做到以下幾點(diǎn)。第一，應(yīng)嚴(yán)格限制上網(wǎng)用戶所訪問的系統(tǒng)信息和資源，這一功能可通過在訪問服務(wù)器上設(shè)置NetScreen防火墻來實(shí)現(xiàn)。第二，應(yīng)加強(qiáng)對(duì)上網(wǎng)用戶的身份認(rèn)證，使用RADIUS等專用身份驗(yàn)證服務(wù)器。第三，在數(shù)據(jù)傳輸過程中采用加密技術(shù)，防止數(shù)據(jù)被非法竊取。一種方法是使用PGP for Business Security對(duì)數(shù)據(jù)加密。另一種方法是采用NetScreen防火墻所提供的VPN技術(shù)。VPN在提供網(wǎng)間數(shù)據(jù)加密的同時(shí)，也提供了針對(duì)單機(jī)用戶的加密客戶端軟件，即采用軟件加密的技術(shù)來保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>

參考文獻(xiàn)

[1]胡道元.信息網(wǎng)絡(luò)系統(tǒng)集成技術(shù).清華大學(xué)出版社， 2005.

[2]隋紅建等.計(jì)算機(jī)網(wǎng)絡(luò)與通信.北京大學(xué)出版社， 2005.