淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)

【摘要】安全性是互聯(lián)網(wǎng)技術(shù)中很關(guān)鍵的，也是很容易被忽略的問題。曾經(jīng)，許多組織因?yàn)樵谑褂镁W(wǎng)絡(luò)的過程中未意識(shí)到網(wǎng)絡(luò)安全性的問題，直到受到了資料安全的威脅才開始重視和采取相應(yīng)的措施。本文簡(jiǎn)要介紹了常見的幾種計(jì)算機(jī)網(wǎng)絡(luò)安全問題，并對(duì)身份認(rèn)證和訪問控制以及包過濾與防火墻技術(shù)進(jìn)行了闡述。

【關(guān)鍵詞】計(jì)算機(jī)；網(wǎng)絡(luò)安全；技術(shù)

一、常見的幾種計(jì)算機(jī)網(wǎng)絡(luò)安全問題

在網(wǎng)絡(luò)使用的過程中，涉及的安全問題主要有以下幾種：

1.微機(jī)病毒微機(jī)病毒包括單機(jī)病毒、網(wǎng)絡(luò)病毒。這是病毒傳播的常用通道，也是病毒傳染的主要手段。

2.問諜軟件間諜軟件是能夠在使用者不知情的情況下，在用戶計(jì)算機(jī)上安裝后門程序的軟件。用戶的隱私數(shù)據(jù)和重要信息會(huì)被那些后門程序捕獲，甚至這些后門程序還能讓黑客遠(yuǎn)程操縱用戶的計(jì)算機(jī)。

3.黑客攻擊黑客攻擊的主要渠道有獲取口令、放置特洛伊木馬程序、WWW的欺騙技術(shù)、電子郵件攻擊、通過一個(gè)節(jié)點(diǎn)來攻擊其他節(jié)點(diǎn)、網(wǎng)絡(luò)監(jiān)聽、尋找系統(tǒng)漏洞、利用賬號(hào)進(jìn)行攻擊、偷取特權(quán)等。

4.惡意軟件惡意軟件主要有廣告彈出、間諜軟件、瀏覽器篡改、行為記錄軟件、惡意共享軟件、搜索引擎劫持、惡意卸載和惡意捆綁等。

二、身份認(rèn)證和訪問控制

訪問控制的基礎(chǔ)是身份認(rèn)證。對(duì)于身份認(rèn)證而言，不僅需要準(zhǔn)確的將對(duì)方身份辨認(rèn)出來，而且需要證明自己身份。但是在單機(jī)情況下，一般運(yùn)用的是最簡(jiǎn)單的口令，其安全性較差，容易被人假冒；第二，在硬件方面，可以運(yùn)用專業(yè)硬件編碼器進(jìn)行編碼，然后將編碼送回處理中心，對(duì)照結(jié)果進(jìn)行比較，進(jìn)而辨別出真實(shí)身份；第三，根據(jù)人們的生理現(xiàn)象，對(duì)聲音、指紋進(jìn)行分析辨別，當(dāng)然這種辨別方法對(duì)系統(tǒng)要求較高，操作難度較大。一般情況下，進(jìn)行網(wǎng)絡(luò)身份驗(yàn)證，比較復(fù)雜，網(wǎng)絡(luò)認(rèn)證，面臨著網(wǎng)絡(luò)危險(xiǎn)，往往會(huì)被黑客襲擊，從而盜取信息。因此需要采取必要的手段進(jìn)行防范，防止黑客截取信息。目前情況下，往往對(duì)身份認(rèn)證信息進(jìn)行高強(qiáng)度加密，以此來防范身份信息泄露。

系統(tǒng)中信息資源的訪問必須進(jìn)行有序的控制，這是通過授權(quán)管理（authorization）來實(shí)施的。授權(quán)管理的任務(wù)是：對(duì)系統(tǒng)內(nèi)的每條信息規(guī)定各用戶對(duì)它的操作權(quán)限，如是否可讀、是否可寫、是否可修改等。對(duì)授權(quán)管理希望能做到：對(duì)所有信息資源進(jìn)行集中管理，對(duì)信息資源的控制沒有二義性，各種規(guī)定互不沖突；有審計(jì)功能，對(duì)所有授權(quán)有記錄可以核查；盡可能地提供細(xì)粒度的控制等。

三、常用網(wǎng)絡(luò)安全技術(shù)分析

1.包過濾技術(shù)

為了防止網(wǎng)絡(luò)中任何計(jì)算機(jī)都可隨意訪問其他計(jì)算機(jī)以及所提供的各項(xiàng)服務(wù)，需要使用包過濾（packetfiltering）技術(shù)。數(shù)據(jù)包過濾是指在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行分析、選擇和過濾。選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的訪問控制表（又叫規(guī)則表），規(guī)則表指定允許哪些類型的數(shù)據(jù)包可以流入或流出內(nèi)部網(wǎng)絡(luò)。通過檢查數(shù)據(jù)流中每一個(gè)IP數(shù)據(jù)包的源地址、目的地址、所用端口號(hào)、協(xié)議狀態(tài)等因素或它們的組合來確定是否允許該數(shù)據(jù)包通過。包過濾器的任務(wù)是對(duì)每個(gè)IP包頭部中的有關(guān)字段進(jìn)行檢查，按照網(wǎng)絡(luò)管理員的配置控制IP包的通行與否。比如，為了控制兩個(gè)網(wǎng)絡(luò)的計(jì)算機(jī)之間的通信，路由器需要檢測(cè)每個(gè)包頭部中的source和destination字段。如果不允許外部網(wǎng)絡(luò)中IP地址為193.6.49.27的計(jì)算機(jī)訪問此網(wǎng)絡(luò)中的所有計(jì)算機(jī)，包過濾器必須阻止所有source字段為193.6.49.27的包通過。此外，包過濾器還能檢查出包中使用的應(yīng)用層協(xié)議，從而知道該包所傳遞的數(shù)據(jù)屬于哪一種服務(wù)。包過濾器的這種功能使得網(wǎng)絡(luò)管理員也能夠?qū)Ω鞣N服務(wù)進(jìn)行管理。通常，包過濾器的過濾條件是源地址、目的地址以及各種網(wǎng)絡(luò)服務(wù)的組合，凡是滿足過濾條件的包都會(huì)被過濾掉。如果將包過濾器用來控制一個(gè)單位的內(nèi)部網(wǎng)與因特網(wǎng)之間的通信，那么它可以保護(hù)一個(gè)單位內(nèi)部網(wǎng)絡(luò)，使之不受來自外部網(wǎng)的非法訪問，這就是因特網(wǎng)防火墻（Intemetfirewall）的概念。

2.防火墻技術(shù)

由軟件和硬件組合而成的防火墻（Firewall）被設(shè)置在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，可以控制內(nèi)、外網(wǎng)絡(luò)之間的通信信息，并且可以對(duì)跨越防火墻的數(shù)據(jù)流進(jìn)行監(jiān)測(cè)和限制，從而把內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)、信息和運(yùn)行情況與外部網(wǎng)絡(luò)進(jìn)行隔離屏蔽，通過這種手段可以防止不可預(yù)測(cè)的、潛在破壞性的入侵和攻擊，這種網(wǎng)絡(luò)安全技術(shù)已被多次應(yīng)用并被證實(shí)安全有效。接下來我們對(duì)防火墻的技術(shù)特點(diǎn)、分類以及局限性分別作詳細(xì)說明。防火墻是一種計(jì)算機(jī)軟件，它可以被應(yīng)用于一臺(tái)計(jì)算機(jī)上起到保護(hù)該計(jì)算機(jī)內(nèi)部信息的作用。在安裝防火墻之后，可以做到計(jì)算機(jī)內(nèi)部重要信息不被非授權(quán)訪問、竊取或者破壞，與此同時(shí)可以記錄內(nèi)、外部網(wǎng)絡(luò)通信的安全日志信息，這些信息可以包括通信發(fā)生的時(shí)間、允許通過數(shù)據(jù)包和過濾掉的數(shù)據(jù)包信息等。因此，在安裝防火墻之后可以很好的保護(hù)局域網(wǎng)，有效的防止來自外界的攻擊。例如一臺(tái)WWW代理服務(wù)器防火墻在工作時(shí)，要想這個(gè)請(qǐng)求被送到真正的WWW服務(wù)器上，需要防火墻驗(yàn)證請(qǐng)求發(fā)出者的身份、請(qǐng)求的目的和請(qǐng)求的內(nèi)容，當(dāng)一切信息符合規(guī)定的時(shí)候，此行為才能達(dá)成。同理，當(dāng)信息返回時(shí)，處理完的請(qǐng)求也不是直接把結(jié)果發(fā)送給請(qǐng)求者，只有在代理服務(wù)器檢查完這個(gè)結(jié)果并且保證沒有違反安全策略的情況下，返回結(jié)果才會(huì)被送到請(qǐng)求者的手中。企業(yè)在把公司的局域網(wǎng)接入Intemet時(shí)，肯定不希望讓全世界的人隨意翻閱公司內(nèi)部的工資單、個(gè)人資料或客戶數(shù)據(jù)庫。即使在公司內(nèi)部，同樣也存在這種數(shù)據(jù)非法存取的可能性，例如一些對(duì)公司不滿的員工可能會(huì)修改工資表或財(cái)務(wù)報(bào)告。而在設(shè)置了防火墻以后，就可以對(duì)網(wǎng)絡(luò)數(shù)據(jù)的流動(dòng)實(shí)現(xiàn)有效的管理：允許公司內(nèi)部員工可以使用電子郵件、進(jìn)行Web瀏覽以及文件傳輸?shù)确?wù)，但不允許外界隨意訪問公司內(nèi)部的計(jì)算機(jī)，同樣還可以限制公司中不同部門相互之間的訪問，新一代的防火墻還可以阻止網(wǎng)絡(luò)內(nèi)部人員將敏感數(shù)據(jù)向外傳輸，限制訪問外部網(wǎng)絡(luò)的一些危險(xiǎn)站點(diǎn)。

參考文獻(xiàn)

[1]雷立宏，白燕娥主編.大學(xué)計(jì)算機(jī)基礎(chǔ)教程.清華大學(xué)出版社，2011.09.