Computer Science and Application 计 算 机 科 学 与 应 用, 2013, 3, 202-207 http://dx.doi.org/10.12677/csa.2013.34035 Published Online July 2013 (http://www.hanspub.org/journal/csa.html) Analysis of Computer Network Security Hongda Zhou Shanghai University of T.C.M., Shanghai Email: Huohu13250@hotmail.com Received: Apr. 23 rd, 2013; revised: May 14 th, 2013; accepted: May 26 th, 2013 Copyright 2013 Hongda Zhou. This is an open access article distributed under the Creative Commons Attribution License, which permits unrestricted use, distribution, and reproduction in any medium, provided the original work is properly cited. Abstract: Accompanied the rapid expansion of computer networks with a wide range of popularity, on the one hand, it became the basic tools for people to exchange information. Openness, high efficiency and low cost are its benefits. On the other hand, more and more people feel it poses a threat to our information. Computer network security has become a long-term, comprehensive subject. It covers a wide range and various aspects: technology, equipment, management, strategy and man-made. This paper introduced the concept of computer network security and related techniques, such as: data encryption technology, system security technology, firewall technology, and specifically discussed the applications and responses to computer network security. Keywords: Computer Network Security; Firewall; Data Encryption; System Security 浅 析 计 算 机 网 络 安 全 周 宏 达 上 海 中 医 药 大 学, 上 海 Email: Huohu13250@hotmail.com 收 稿 日 期 :2013 年 4 月 23 日 ; 修 回 日 期 :2013 年 5 月 14 日 ; 录 用 日 期 :2013 年 5 月 26 日 摘 要 : 伴 随 着 计 算 机 网 络 的 飞 速 扩 展 与 大 范 围 普 及, 一 方 面, 它 成 为 人 们 进 行 信 息 交 流 的 基 本 工 具, 开 放 性 高 效 率 和 低 成 本 是 它 的 好 处 ; 而 另 一 方 面, 人 们 也 越 来 越 多 地 感 受 到 它 会 对 我 们 的 信 息 构 成 威 胁 计 算 机 网 络 安 全 成 为 一 个 长 期 的, 综 合 的 课 题, 它 涉 及 面 广 : 包 含 技 术, 设 备, 管 理, 策 略 和 人 为 等 多 个 方 面 本 文 介 绍 计 算 机 网 络 安 全 的 概 念, 探 讨 相 关 技 术, 如 : 数 据 加 密 技 术 系 统 安 全 技 术 防 火 墙 技 术 等, 并 针 对 性 地 探 讨 一 些 计 算 机 网 络 的 安 全 应 用 和 应 对 关 键 词 : 计 算 机 网 络 安 全 ; 防 火 墙 ; 数 据 加 密 ; 系 统 安 全 1. 引 言 21 世 纪 是 以 网 络 为 核 心 的 信 息 时 代, 随 着 计 算 机 网 络 技 术 的 飞 速 发 展, 电 子 商 务 电 子 现 金, 数 字 货 币 和 网 络 银 行 等 业 务 的 兴 起, 人 们 的 生 活 和 工 作 已 与 网 络 息 息 相 关, 密 不 可 分, 计 算 机 网 络 已 经 渗 透 于 社 会 的 各 个 领 域 自 从 计 算 机 面 世 以 来, 安 全 问 题 一 直 伴 随 其 左 右, 网 络 安 全 当 然 也 不 例 外, 由 于 网 络 使 用 的 简 单 易 行 和 其 特 有 的 开 放 性 应 用 环 境 的 多 样 化 等 因 素, 使 得 计 算 机 网 络 信 息 的 安 全 以 及 保 密 问 题 显 得 更 加 重 要, 网 络 安 全 技 术 作 为 一 个 独 特 的 领 域 越 来 越 受 人 们 的 关 注 计 算 机 网 络 安 全 是 指 计 算 机 系 统 的 硬 件 软 件 数 据 受 到 保 护, 使 其 不 会 因 为 偶 然 或 恶 意 的 因 素 而 遭 到 破 坏 更 改 泄 露, 网 络 系 统 能 连 续 正 常 地 工 作 网 络 安 全 的 具 体 含 义 会 随 着 使 用 者 的 不 同 而 变 化 : 对 Copyright 2013 Hanspub 202
于 一 般 用 户 来 说, 如 果 个 人 的 隐 私 信 息 或 者 商 业 利 益 在 网 络 传 输 时 没 有 被 他 人 非 法 窃 取, 那 么 网 络 就 是 安 全 的 而 从 网 络 运 营 商 和 网 络 管 理 者 的 角 度 看, 既 要 保 证 网 络 系 统 中 的 硬 件 和 软 件 的 安 全, 同 时 又 要 保 证 网 络 系 统 能 在 良 好 的 环 境 下 连 续 正 常 地 工 作 当 然 还 要 包 括 保 障 用 户 信 息 不 被 非 法 窃 取 泄 露 删 除 和 破 坏, 防 止 计 算 机 网 络 资 源 被 未 授 权 者 使 用 2. 计 算 机 网 络 不 安 全 的 因 素 2.1. 系 统 漏 洞 理 论 上 来 说 每 一 个 计 算 机 系 统 都 会 有 漏 洞, 有 些 是 设 计 者 故 意 留 下 的, 有 些 是 在 不 经 意 间 被 发 现 的 任 何 漏 洞 都 是 造 成 计 算 机 网 络 不 安 全 的 潜 在 因 素 2.2. 网 络 结 构 的 先 天 不 足 目 前 我 们 使 用 的 普 遍 都 是 因 特 网, 因 特 网 是 一 种 网 间 网 技 术, 它 是 由 无 数 个 局 域 网 连 成 的 一 个 巨 大 网 络 因 特 网 的 基 石 是 TCP/IP 协 议 该 协 议 在 创 建 初 期, 对 于 网 络 的 安 全 性 考 虑 得 并 不 多, 而 且 TCP/IP 协 议 是 公 布 于 众 的, 如 果 人 们 对 TCP/IP 很 熟 悉, 就 可 以 利 用 它 的 安 全 缺 陷 来 实 施 网 络 攻 击 2.3. 计 算 机 病 毒 以 前 计 算 机 病 毒 是 通 过 各 种 储 存 介 质 传 播 的, 其 破 坏 程 度 相 对 较 低 由 于 网 络 的 发 展, 现 在 的 病 毒 都 通 过 网 络 进 行 传 播, 其 破 坏 性 大 大 高 于 单 机 系 统 每 当 计 算 机 病 毒 在 网 络 中 的 爆 发, 都 会 造 成 数 以 万 计 的 电 脑 无 法 正 常 工 作, 大 面 积 的 网 络 瘫 痪, 造 成 严 重 损 失 2.4. 缺 乏 完 整 的 安 全 意 识 虽 然 目 前 我 们 所 使 用 的 网 络 后 台 中 都 有 很 多 安 全 保 护 屏 障 ( 网 络 防 火 墙 等 ), 但 人 们 对 于 网 络 信 息 依 然 缺 乏 安 全 意 识, 甚 至 于 完 全 没 有 安 全 意 识, 从 而 导 致 这 些 保 护 屏 障 形 同 虚 设, 失 去 了 原 来 所 设 想 的 保 护 功 能 2.5. 网 络 攻 击 计 算 机 网 络 安 全 最 大 的 危 害 就 是 网 络 攻 击 网 络 攻 击 主 要 是 利 用 网 络 存 在 的 漏 洞 和 安 全 缺 陷 对 网 络 系 统 的 硬 件 软 件 及 其 系 统 中 的 数 据 进 行 的 攻 击 常 见 的 网 络 攻 击 有 以 下 几 种 : 2.5.1. 电 子 邮 件 攻 击 电 子 邮 件 攻 击 一 种 传 统 古 老 的 攻 击 手 段 主 要 是 将 病 毒 夹 藏 在 电 子 邮 件 中, 发 送 给 受 害 者, 在 受 害 者 阅 读 邮 件 的 过 程 中, 进 行 破 坏 活 动 随 着 网 络 的 普 及, 又 演 变 成 了 电 子 邮 件 炸 弹 攻 击 其 主 要 手 法 是 用 一 台 终 端 不 间 断 的 大 量 的 向 同 一 地 址 发 送 电 子 邮 件, 使 得 被 攻 击 者 耗 尽 其 网 络 的 带 宽 邮 箱 的 存 储 空 间, 从 而 阻 止 被 攻 击 者 对 电 子 邮 箱 的 正 常 使 用 此 类 攻 击 经 常 带 有 报 复 目 的, 有 极 强 的 针 对 性 2.5.2. 特 洛 伊 木 马 攻 击 特 洛 伊 木 马 的 名 称 来 源 于 古 希 腊 神 话 故 事, 其 核 心 就 是 利 用 伪 装 进 行 攻 击, 特 洛 伊 木 马 是 黑 客 非 常 喜 欢 的 攻 击 手 段 之 一 当 用 户 运 行 木 马 程 序 时, 该 程 序 会 在 用 户 电 脑 内 为 攻 击 者 开 启 一 条 特 别 通 道, 使 得 攻 击 者 能 通 过 网 络, 窃 取 用 户 机 密 信 息, 甚 至 于 控 制 用 户 电 脑 特 洛 伊 木 马 程 序 一 般 是 隐 藏 在 正 常 程 序 的 代 码 之 间, 有 非 常 强 的 隐 蔽 性, 普 通 用 户 难 以 辨 别, 因 此 特 洛 伊 木 马 攻 击 的 危 害 非 常 大 2.5.3. 过 载 攻 击 过 载 攻 击 也 是 一 种 非 常 普 遍 的 网 络 攻 击 方 式, 有 点 类 似 于 电 子 邮 件 炸 弹 攻 击 只 不 过 攻 击 对 象 由 单 个 用 户 的 电 子 邮 件 系 统 转 变 到 网 络 服 务 器 系 统 攻 击 者 利 用 网 络 向 服 务 器 长 时 间 发 出 大 量 繁 琐 而 且 无 用 的 请 求, 使 被 攻 击 的 服 务 器 的 CPU 满 负 荷 进 行 工 作, 长 时 间 的 消 耗 CPU 的 工 作 时 间, 从 而 使 得 正 常 用 户 对 于 服 务 器 的 请 求 永 远 停 留 在 等 待 状 态, 得 不 到 系 统 的 响 应 2.5.4. 淹 没 攻 击 正 常 情 况 下, 网 络 之 间 的 通 信 需 要 通 过 三 次 信 息 交 换 的 过 程, 即 客 户 机 向 主 机 发 送 请 求 信 息 ; 主 机 在 收 到 请 求 信 息 后, 向 客 户 机 发 送 反 馈 信 息 ; 客 户 机 在 收 到 反 馈 信 息 后 再 次 向 主 机 发 送 信 息 后 断 开 与 主 机 通 信 正 是 这 三 次 信 息 交 换 为 攻 击 者 提 供 了 攻 击 网 络 的 机 会 当 攻 击 者 利 用 不 存 在 的 网 络 地 址 向 主 机 发 送 请 求, 被 攻 击 的 主 机 接 收 请 求 并 发 送 反 馈 信 息 后, 无 法 再 次 收 到 客 户 机 的 信 息, 从 而 导 致 主 机 一 直 处 于 等 待 状 态 如 果 攻 击 者 持 续 不 断 的 向 主 机 发 送 请 求, 主 Copyright 2013 Hanspub 203
机 就 会 一 直 处 于 等 待 状 态, 从 而 无 法 响 应 其 他 用 户 的 请 求 信 息 2.5.5. 网 络 入 侵 网 络 入 侵 是 指 网 络 攻 击 者 通 过 非 法 的 手 段 ( 如 破 译 口 令 电 子 欺 骗 等 ) 获 得 非 法 的 权 限 并 通 过 使 用 这 些 非 法 的 权 限 使 网 络 攻 击 者 能 对 被 攻 击 的 主 机 进 行 非 授 权 的 操 作, 窃 取 机 密 等 3. 计 算 机 网 络 安 全 技 术 3.1. 计 算 机 系 统 安 全 技 术 计 算 机 网 络 是 由 计 算 机 系 统 和 网 络 设 备 组 成 的, 要 想 保 证 计 算 机 网 络 的 安 全, 首 先 就 应 该 保 护 计 算 机 系 统 的 安 全 而 计 算 机 系 统 安 全 技 术 涉 及 的 内 容 非 常 广 泛, 从 实 际 应 用 出 发 主 要 有 以 下 几 个 方 面 : 3.1.1. 硬 件 系 统 安 全 技 术 计 算 机 硬 件 包 括 了 计 算 机 的 设 备 网 络 通 信 线 路 及 设 施 建 筑 物 等 除 了 不 可 抗 力 的 自 然 灾 害 外, 所 受 的 危 害 来 自 : 电 源 供 电 系 统 是 否 温 定, 机 房 的 环 境 ( 如 温 度 湿 度 清 洁 度 等 ) 是 否 符 合 硬 件 设 备, 电 磁 辐 射 泄 露 等 硬 件 系 统 安 全 技 术 为 了 保 证 计 算 机 硬 件 设 备 及 其 他 设 施 免 受 到 危 害 所 采 取 的 任 何 手 段, 包 括 了 使 用 各 种 维 护 技 术 及 相 应 高 可 靠 性 高 安 全 性 的 产 品 等 3.1.2. 软 件 系 统 安 全 技 术 软 件 系 统 主 要 指 的 是 计 算 机 程 序 文 档 操 作 系 统 平 台 数 据 库 系 统 和 其 他 所 有 的 应 用 软 件 系 统 软 件 系 统 安 全 技 术 通 常 使 用 密 码 控 制 数 据 加 密 压 缩 技 术, 软 件 防 复 制 防 跟 踪 技 术 等 方 法, 来 保 证 软 件 系 统 免 遭 破 坏 非 法 复 制 和 非 法 使 用 3.1.3. 数 据 系 统 安 全 技 术 数 据 系 统 专 指 计 算 机 系 统 的 数 据 库 数 据 文 件 及 所 有 的 数 据 信 息 为 了 防 止 数 据 系 统 被 破 坏 修 改 泄 露 窃 取 和 其 他 攻 击, 一 般 使 用 对 各 种 用 户 的 身 份 识 别 技 术 指 纹 验 证 技 术 存 取 控 制 技 术 和 数 据 加 密 技 术 以 及 建 立 备 份 紧 急 外 置 和 系 统 恢 复 技 术 异 地 存 放 妥 善 保 管 等 技 术, 来 保 障 数 据 系 统 的 安 全 3.1.4. 病 毒 防 治 技 术 计 算 机 病 毒 一 直 是 威 胁 计 算 机 系 统 安 全 的 重 要 问 题 病 毒 的 防 治 技 术 包 括 两 个 方 面 : 防 和 治 其 中 防 主 要 指 的 是 对 于 计 算 机 病 毒 的 预 防 技 术 和 免 疫 技 术 治 一 般 包 含 对 病 毒 的 检 测 技 术 和 清 除 技 术 无 论 是 防 还 是 治 都 需 要 同 步 实 施, 不 能 仅 靠 单 一 方 面 实 施, 只 有 这 样 才 能 保 证 计 算 机 系 统 的 安 全 可 靠 3.1.5. 计 算 机 应 用 系 统 的 安 全 评 价 无 论 采 取 什 么 样 的 安 全 技 术, 其 最 终 目 的 都 是 为 了 计 算 机 系 统 的 安 全 然 而 任 何 安 全 性 都 是 相 对 的, 世 上 不 存 在 一 个 绝 对 安 全 的 计 算 机 系 统 因 此 为 了 得 到 一 个 相 对 安 全 的 计 算 机 系 统, 就 必 须 在 建 立 系 统 初 期 制 定 一 个 详 细 的 安 全 保 密 评 价 标 准, 并 且 在 实 施 的 过 程 中 随 时 修 改 完 善 3.2. 防 火 墙 技 术 防 火 墙 技 术 最 早 是 用 来 针 对 互 联 网 不 安 全 因 素 而 采 取 的 一 种 保 护 措 施 防 火 墙 可 以 使 内 部 网 络 与 其 他 外 部 网 络 分 开, 其 实 是 一 种 隔 离 技 术, 用 来 防 止 外 部 网 络 用 户 未 经 许 可 对 内 部 网 络 的 访 问, 从 而 来 保 护 内 部 网 络 的 安 全 防 火 墙 作 为 内 部 网 络 安 全 的 一 道 屏 障, 目 的 是 用 来 保 护 内 部 网 络 资 源, 强 化 内 部 网 络 安 全 策 略, 防 止 内 部 信 息 泄 露 和 外 部 入 侵, 同 时 还 能 提 供 对 网 络 资 源 的 访 问 控 制 对 内 部 网 络 用 户 访 问 外 部 网 络 活 动 的 审 计 监 督 等 功 能 从 实 现 原 理 上 分, 防 火 墙 的 技 术 包 括 四 大 类 : 3.2.1. 包 过 滤 防 火 墙 ( 或 者 叫 网 络 级 防 火 墙 ) 在 目 前 普 遍 使 用 的 在 Internet 这 样 的 网 络 上 所 有 往 来 的 信 息 都 是 以 包 的 形 式 传 输 的 包 中 包 含 源 地 址 和 目 的 地 址 应 用 协 议 等 信 息 包 过 滤 防 火 墙 主 要 作 用 就 是 对 包 的 校 验 包 过 滤 防 火 墙 将 所 有 通 过 的 信 息 包 中 源 地 址 目 的 地 址 TCP 端 口 TCP 链 路 状 态 等 信 息 读 出, 并 按 照 系 统 管 理 员 事 先 所 设 定 好 的 规 则 对 包 内 信 息 进 行 过 滤 对 于 那 些 不 符 合 规 定 的 信 息 包 都 会 被 防 火 墙 屏 障 掉 从 而 保 证 网 络 系 统 的 安 全 这 是 一 种 基 于 网 络 层 的 安 全 技 术 对 于 应 用 层 即 内 部 用 户 的 黑 客 行 为 是 无 能 为 力 的 3.2.2. 应 用 级 网 关 应 用 级 网 关 可 以 在 OSI 七 层 模 型 的 任 意 一 层 上 进 行 工 作, 能 够 检 查 进 出 网 关 的 数 据 包, 通 过 网 关 来 复 204 Copyright 2013 Hanspub
制 和 传 递 数 据, 从 而 可 以 避 免 受 信 任 服 务 器 和 客 户 机 与 不 受 信 任 的 主 机 间 进 行 直 接 通 信 应 用 级 网 关 能 够 理 解 应 用 层 上 的 协 议, 并 且 可 以 做 一 些 复 杂 的 访 问 控 制, 并 做 精 细 的 注 册 和 稽 核 它 针 对 特 别 的 网 络 应 用 服 务 协 议 即 数 据 过 滤 协 议, 而 且 能 够 对 数 据 包 分 析 并 形 成 相 关 的 报 告 应 用 网 关 对 某 些 易 于 登 录 和 控 制 所 有 输 出 输 入 的 通 信 的 环 境 给 予 非 常 严 格 的 控 制, 以 防 有 价 值 的 数 据 和 信 息 被 窃 取 在 实 际 工 作 中, 应 用 网 关 需 要 由 专 用 的 特 殊 的 工 作 站 系 统 来 完 成 但 由 于 每 一 种 协 议 需 要 使 用 相 应 的 代 理 软 件, 使 用 时 工 作 量 非 常 巨 大, 效 率 远 远 不 如 网 络 级 防 火 墙 应 用 级 网 关 有 较 好 的 对 网 络 访 问 进 行 控 制, 可 以 说 是 目 前 最 安 全 的 防 火 墙 技 术, 但 实 现 困 难, 而 且 有 的 应 用 级 网 关 缺 乏 一 定 的 透 明 度 3.2.3. 电 路 级 网 关 ( 或 者 叫 线 路 级 网 关 ) 电 路 级 网 关 主 要 是 用 来 监 控 受 信 任 的 客 户 端 或 者 服 务 器 与 不 受 信 任 的 主 机 间 的 TCP 握 手 信 息, 根 据 规 则 来 判 定 该 会 话 (Session) 是 否 合 法 电 路 级 网 关 是 在 OSI 七 层 模 型 中 会 话 层 上 来 过 滤 数 据 包, 比 包 过 滤 防 火 墙 要 高 二 层 另 外, 电 路 级 网 关 还 提 供 一 个 十 分 重 要 的 安 全 功 能 : 代 理 服 务 器 (Proxy Server) 包 过 滤 技 术 和 应 用 网 关 是 通 过 特 定 的 逻 辑 判 断 来 决 定 是 否 允 许 数 据 包 通 过, 一 旦 符 合 原 本 设 计 的 条 件, 防 火 墙 内 部 网 络 的 结 构 和 运 行 状 态 便 直 接 暴 露 在 外 部 用 户 面 前, 非 常 不 安 全, 由 此 产 生 了 代 理 服 务 代 理 服 务 就 是 防 火 墙 内 外 计 算 机 系 统 应 用 层 的 链 接 由 两 个 终 止 于 代 理 服 务 的 链 接 来 实 现, 这 样 成 功 地 把 防 火 墙 内 外 计 算 机 系 统 进 行 隔 离 同 时, 代 理 服 务 还 可 以 实 施 较 强 的 数 据 流 监 控 过 滤 记 录 和 报 告 等 功 能 代 理 服 务 技 术 主 要 通 过 专 用 计 算 机 硬 件 ( 如 工 作 站 ) 来 承 担 3.2.4. 规 则 检 查 防 火 墙 该 防 火 墙 结 合 了 包 过 滤 防 火 墙 电 路 级 网 关 和 应 用 级 网 关 的 相 关 特 点 规 则 检 查 防 火 墙 和 包 过 滤 防 火 墙 一 样, 可 以 在 OSI 网 络 层 上 通 过 IP 地 址 和 端 口 号, 过 滤 进 出 的 数 据 包 同 时 它 也 可 以 像 电 路 级 网 关 一 样, 检 查 SYN 和 ACK 标 记 和 序 列 数 字 是 否 逻 辑 有 序 当 然, 规 则 检 查 防 火 墙 也 和 应 用 级 网 关 一 样, 可 以 在 OSI 应 用 层 上 检 查 数 据 包 的 内 容, 查 看 这 些 内 容 是 否 能 符 合 企 业 网 络 的 安 全 规 则 规 则 检 查 防 火 墙 虽 然 集 成 前 三 者 的 特 点, 但 不 同 于 应 用 级 网 关 的 是, 它 允 许 受 信 任 的 客 户 机 和 不 受 信 任 的 主 机 建 立 直 接 连 接 规 则 检 查 防 火 墙 依 靠 某 种 算 法 来 识 别 进 出 的 应 用 层 数 据, 这 些 算 法 通 过 已 知 合 法 数 据 包 的 模 式 来 比 较 进 出 数 据 包, 这 样 从 理 论 上 比 应 用 级 代 理 在 过 滤 数 据 包 上 更 有 效 防 火 墙 在 计 算 机 网 络 安 全 中 起 到 了 很 大 的 作 用, 在 正 常 情 况 下, 防 火 墙 不 仅 能 对 计 算 机 网 络 整 体 安 全 进 行 配 置, 同 时 也 能 完 成 安 全 策 略, 并 将 其 控 制 在 关 键 策 略 可 以 接 受 的 范 围 内 在 实 际 应 用 过 程 中, 因 防 火 墙 功 能 强 大, 其 不 仅 可 以 作 为 网 络 安 全 屏 障, 对 网 络 安 全 策 略 进 行 强 化, 同 时 也 可 以 通 过 网 络 地 址 转 换 功 能 以 缓 解 地 址 源 紧 张 问 题, 也 可 以 为 用 户 提 供 相 应 服 务 : 防 火 墙 可 以 对 网 络 安 全 进 行 强 化, 就 是 以 防 火 墙 为 中 心 的 安 全 方 案 配 置, 其 最 大 的 优 势 是 能 将 相 应 软 件 配 置 在 防 火 墙 上, 并 将 相 应 网 路 安 全 问 题 分 散 到 不 同 主 机 上 进 行 对 比 分 析 以 实 现 防 火 墙 对 网 络 进 行 集 中 安 全 的 管 理 防 火 墙 也 可 以 对 Internet 使 用 状 况 进 行 登 记 查 询 并 对 Internet 连 入 代 价 和 潜 在 带 宽 瓶 颈 进 行 确 认 防 火 墙 还 可 以 配 置 WWW 和 FTP 服 务, 以 方 便 相 应 用 户 对 此 类 服 务 进 行 访 问 也 可 以 保 护 和 禁 止 相 关 网 络 系 统 的 访 问 ; 防 火 墙 还 具 有 审 计 功 能 只 要 计 算 机 中 有 足 够 的 磁 盘 空 间 或 是 记 录 功 能 其 就 能 将 经 过 防 火 墙 的 网 络 流 记 录 在 其 中, 一 旦 有 危 险 信 息 出 现 的 时 候, 防 火 墙 也 能 将 相 关 信 息 反 映 给 防 火 墙 管 理 人 员, 以 便 使 管 理 人 员 能 及 时 解 决 相 应 问 题, 以 保 证 网 络 安 全 防 火 墙 劣 势 是 在 使 用 过 程 中, 对 已 经 授 权 的 访 问 并 不 能 采 取 相 应 保 护 毕 竟 防 火 墙 允 许 保 护 系 统 正 常 通 信 的 信 息 是 需 要 通 过 防 火 墙 的 如 果 其 应 用 程 序 本 身 就 存 在 一 定 错 误, 防 火 墙 不 能 发 挥 其 作 用 以 阻 止 其 攻 击, 也 就 是 说 其 是 已 经 经 过 授 权 的 防 火 墙 工 作 是 按 照 配 置 规 则 进 行 的 一 旦 按 照 随 意 规 则 进 行 配 置 就 会 使 防 火 墙 功 能 减 弱 同 时 防 火 墙 对 于 那 些 已 经 授 权 的 用 户, 他 们 的 合 法 访 问 攻 击 是 不 能 更 好 发 挥 其 作 用 的 此 外, 防 火 墙 也 不 能 对 脆 弱 的 管 理 措 施 进 行 修 复, 更 不 能 阻 止 不 经 过 防 火 墙 的 恶 意 攻 击 [1] 3.3. 数 据 加 密 技 术 数 据 加 密 又 称 密 码 学, 它 是 一 门 历 史 悠 久 的 技 Copyright 2013 Hanspub 205
术, 指 通 过 加 密 算 法 和 加 密 密 钥 将 明 文 转 变 为 密 文, 而 解 密 则 是 通 过 解 密 算 法 和 解 密 密 钥 将 密 文 恢 复 为 明 文 数 据 加 密 目 前 仍 是 计 算 机 系 统 对 信 息 进 行 保 护 的 一 种 最 可 靠 的 办 法 它 利 用 密 码 技 术 对 信 息 进 行 加 密, 实 现 信 息 隐 蔽, 从 而 起 到 保 护 信 息 安 全 的 作 用 数 据 加 密 技 术 是 网 络 安 全 技 术 的 基 石 3.3.1. 按 照 加 密 算 法 分 类, 加 密 技 术 有 两 种 1) 对 称 加 密 技 术 对 称 加 密 采 用 了 对 称 密 码 编 码 技 术, 它 的 特 点 是 文 件 加 密 和 解 密 使 用 相 同 的 密 钥, 即 加 密 密 钥 和 解 密 密 钥 使 用 同 一 个 密 钥, 即 同 一 个 算 法 这 种 方 法 在 密 码 学 中 叫 做 对 称 加 密 算 法, 对 称 加 密 算 法 使 用 起 来 简 单 快 捷, 密 钥 较 短, 且 破 译 困 难, 除 了 数 据 加 密 标 准 (DES), 另 一 个 对 称 密 钥 加 密 系 统 是 国 际 数 据 加 密 算 法 (IDEA), 它 比 DES 的 加 密 性 好, 而 且 对 计 算 机 功 能 要 求 也 没 有 那 么 高 IDEA 加 密 标 准 由 PGP(Pretty Good Privacy) 系 统 使 用 2) 非 对 称 加 密 技 术 1976 年, 美 国 学 者 Dime 和 Henman 为 解 决 信 息 公 开 传 送 和 密 钥 管 理 问 题, 提 出 一 种 新 的 密 钥 交 换 协 议, 允 许 在 不 安 全 的 媒 体 上 的 通 讯 双 方 交 换 信 息, 安 全 地 达 成 一 致 的 密 钥, 这 就 是 公 开 密 钥 系 统 相 对 于 对 称 加 密 算 法 这 种 方 法 也 叫 做 非 对 称 加 密 算 法 而 最 著 名 的 非 对 称 加 密 算 法 莫 过 于 RSA 加 密 算 法 ( 由 Rivest Shamir 以 及 Adleman 三 位 科 学 家 提 出 的, 因 此 叫 RSA 方 法 ) 与 对 称 加 密 算 法 不 同, 非 对 称 加 密 算 法 需 要 两 个 密 钥 : 公 开 密 钥 (public key) 和 私 有 密 钥 (private key) 公 开 密 钥 与 私 有 密 钥 是 一 对, 如 果 用 公 开 密 钥 对 数 据 进 行 加 密, 只 有 用 对 应 的 私 有 密 钥 才 能 解 密 ; 如 果 用 私 有 密 钥 对 数 据 进 行 加 密, 那 么 只 有 用 对 应 的 公 开 密 钥 才 能 解 密 因 为 加 密 和 解 密 使 用 的 是 两 个 不 同 的 密 钥, 所 以 这 种 算 法 叫 做 非 对 称 加 密 算 法 一 般 来 说 网 络 安 全 中 通 常 采 用 组 合 密 码 技 术 来 强 化 加 密 算 法, 这 样 可 大 大 增 强 算 法 的 安 全 性 例 如 加 密 和 解 密 数 据 用 单 密 钥 密 码 算 法 ( 如 DES/IDEA), 而 用 RSA 双 密 钥 密 码 算 法 来 传 递 会 话 密 钥 这 样 就 能 充 分 发 挥 对 称 密 码 体 制 的 高 速 简 便 性 以 及 非 对 称 密 码 体 制 的 密 钥 安 全 性 3.3.2. 常 用 的 数 据 加 密 技 术 1) 链 路 加 密 所 谓 链 路 加 密 就 是 在 网 络 通 信 链 路 上 对 信 息 进 行 加 密, 由 此 来 保 证 信 息 传 输 的 安 全, 又 称 在 线 加 密 首 先 在 数 据 传 输 之 前 就 对 信 息 进 行 加 密, 之 后 在 网 络 节 点 进 行 解 密, 然 后 再 次 加 密, 由 此 在 传 输 的 过 程 中 不 断 的 利 用 不 同 的 密 钥 对 信 息 进 行 加 密 解 密, 达 到 对 数 据 安 全 的 绝 对 保 证 2) 节 点 加 密 目 前 在 数 据 加 密 技 术 中, 节 点 加 密 的 应 用 较 为 广 泛, 节 点 加 密 首 先 将 收 到 的 数 据 进 行 解 密, 之 后 在 节 点 的 安 全 模 块 中 使 用 不 同 的 密 钥 在 对 数 据 进 行 加 密 在 这 一 过 程 中, 必 须 保 证 报 头 以 及 路 由 信 息 均 为 明 文 形 式 传 输, 由 此 使 中 间 的 节 点 可 以 获 得 如 何 处 理 消 息 的 相 关 信 息 但 是 目 前 节 点 加 密 仍 存 在 缺 陷, 节 点 加 密 在 实 际 操 作 过 程 中 必 须 首 先 保 证 节 点 两 端 的 加 密 设 别 达 到 高 度 的 同 步, 才 能 完 成 整 个 加 密 过 程, 但 对 于 海 外 或 者 某 些 特 殊 情 况 就 会 出 现 信 息 数 据 丢 失 的 现 象 3) 端 到 端 加 密 端 到 端 加 密 技 术 是 指 在 整 个 数 据 传 输 的 过 程 中, 数 据 一 直 以 密 文 的 形 式 传 输, 直 到 数 据 传 输 到 接 收 人 之 前 都 不 进 解 密 工 作, 达 到 一 种 高 度 的 保 护 这 种 加 密 技 术 可 以 防 止 出 现 节 点 加 密 中 可 能 出 现 的 问 题, 例 如 节 点 损 坏 等, 不 仅 如 此, 端 到 端 加 密 还 具 有 价 格 低 廉, 设 计 维 护 简 单, 操 作 简 单, 操 作 人 性 化 等 优 点, 并 且 在 实 际 的 操 作 中, 绝 对 不 会 产 生 影 响 其 他 用 户 的 现 象 唯 一 值 得 注 意 的 就 是 用 户 应 做 好 保 密 工 作 4. 结 束 语 随 着 计 算 机 技 术 的 飞 速 发 展, 网 络 也 越 来 越 多 的 深 入 人 们 的 生 活 之 中, 因 此 网 络 安 全 的 地 位 也 越 来 越 高 计 算 机 网 络 安 全 是 一 项 长 期 艰 巨 而 又 非 常 重 要 的 系 统 工 程, 文 中 提 到 的 网 络 安 全 技 术 是 比 较 常 见 通 用 的 技 术, 综 合 起 来 使 用 可 以 保 证 一 定 的 网 络 安 全 网 络 安 全 对 于 社 会 单 位 家 庭 个 人 都 有 着 重 要 的 现 实 意 义, 不 仅 仅 只 是 一 个 技 术 问 题, 在 职 业 道 德 安 全 意 识 管 理 等 等 都 是 网 络 安 全 的 非 常 重 要 内 容, 要 解 决 网 络 安 全 问 题, 就 要 多 管 齐 下, 制 定 出 综 合 的 管 理 方 案 或 措 施 对 于 某 些 社 会 层 面 的 问 题, 可 206 Copyright 2013 Hanspub
以 通 过 立 法 等 手 段 加 以 预 防, 对 于 具 体 的 某 个 单 位 或 个 人, 要 将 各 种 措 施 有 机 地 结 合 起 来 实 现 立 体 防 护, 从 而 保 证 计 算 机 网 络 的 安 全 参 考 文 献 (References) [1] 李 琳. 试 析 计 算 机 防 火 墙 技 术 及 其 应 用 [M]. 信 息 安 全 与 技 术, 2012, 3(8): 48,51. [2] 王 亮. 计 算 机 网 络 安 全 的 新 阶 段 分 析 与 应 对 策 略 [M]. 煤 炭 技 术, 2013, 32(3): 208-209. [3] 唐 翔. 计 算 机 网 络 安 全 技 术 分 析 [M]. 科 技 传 播, 2013(7): 224,215. [4] 蒙 军 全. 关 于 计 算 机 网 络 安 全 技 术 的 探 讨 [M]. 城 市 建 设 理 论 研 究, 2012, 7. [5] 王 丽 玲. 浅 谈 计 算 机 安 全 与 防 火 墙 技 术 [M]. 电 脑 开 发 与 应 用, 2012, 25(11): 67-69. [6] 包 宇. 浅 谈 计 算 机 网 络 安 全 技 术 [M]. 中 国 科 技 博 览, 2012, 27: 108. [7] 徐 美 红, 封 心 充, 孙 鹏 等. 基 于 防 火 墙 技 术 的 计 算 机 网 络 安 全 问 题 探 讨 [M]. 科 技 传 播, 2011, 18: 160. [8] 李 幼 放. 浅 谈 数 据 加 密 技 术 在 计 算 机 网 络 通 信 安 全 中 的 应 用 [M]. 计 算 机 光 盘 软 件 与 应 用, 2011, 15: 15. [9] 王 秀 翠. 数 据 加 密 技 术 在 计 算 机 网 络 通 信 安 全 中 的 应 用 [M]. 软 件 导 刊, 2011, 10(3): 149-150. [10] 高 省 库, 杨 洪 斌. 网 络 安 全 与 防 火 墙 技 术 探 究 [M]. 中 国 信 息 界, 2011, 10: 63-64. [11] 王 秀 和, 杨 明. 计 算 机 网 络 安 全 技 术 浅 析 [M]. 中 国 教 育 技 术 装 备, 2007, 5: 49-50,53. [12] 肖 同 松. 计 算 机 网 络 故 障 原 因 分 析 和 维 护 工 作 [M]. 中 国 高 新 技 术 企 业, 2008, 12: 142-143. Copyright 2013 Hanspub 207