时间:2023-09-13 17:15:02
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇常用的网络安全协议,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【关键词】网络安全协议;计算机通信技术;安全协议分析;安全;协议设计
作者简介:景泉,硕士研究生,辽宁石化职业技术学院计算机系,讲师,研究方向:网络测量
在最近几十年,信息技术的发展十分迅速,随着技术的进步,人们对于信息的传输和处理早已经不受到时间和空间的约束,信息网络在诸多行业之中被应用,信息网络甚至成为很多领域生存的基础,其中以金融领域和军事领域尤为明显,而且在如今的很多领域之中,如果没有了信息网络,那么整个领域可能都会有瘫痪之虞。而伴随着信息网络覆盖范围以及信息网络重要性的日益增长,网络安全问题已经成为了一个摆在人们面前的大问题,因为互联网具有很高程度的开放性,而且互联网上的信息都是可以共享的,这使得互联网可以将人们的生活相互连接在一起,帮助人们进行交互,可是这也衍生出了一系列的问题,而安全问题更是首当其冲,在这种情况下,网络安全协议就成为了确保互联网信息安全的一个十分重要的手段,通过网络安全协议来对互联网加以管控,这样才能在确保网络安全的前提下,让互联网可以更好地服务于人们的生活以及各个领域。而想要编写安全系数更高的安全协议,就一定要更加深入的了解网络安全协议,对网络安全协议的逻辑性分析部分进行系统学习和研究,这样可以从很大程度上提高网络安全协议在使用过程之中的安全性。
1网络安全协议综述
“协议”在人们日常工作生活中出现的频率越来越高,因此人们对于协议也有了一定程度上的了解。协议在绝大多数情况下指的是以完成某一个或者某几个目标为目的,且涉及到两个或者两个个体以上的情况下,由两个个体所执行的一种程序。所以从定义上来说,协定一般具备这样几个特征:(1)协议是一个过程,而且这一过程中的某几个目标存在着一定的顺序,这一顺序由协议的制定个体决定,在执行的过程之中依照既定的顺序依次执行,而且这一顺序在执行过程中不得更改;(2)协议最少要拥有两个参与其中的个体,除此之外在协议执行的过程当中,每一个参与个体都有自己要完成的环节,可是有一点要注意,这一环节并不属于协议当中的内容;(3)协议的最终目的是为了达成某一目的,故协议中应当包含对目的的预期。从以上的分析之中我们不难发现,计算机网络的安全协议其实就是在计算机通过网络传输信息数据过程之中,用来确保信息安全的一种程序。在通过信息网络传输数据的过程之中,安全协议最主要的作用就是,使用允许的一切方法来确保信息完整且有效,最常用的是密钥的分配以及对身份的认证。信息网络安全协议与上个世纪七十年代被首次使用,这一协议在当时为信息安全提供了很大程度上的安全保障,可是伴随着信息技术水平的飞速发展,安全协议同样需要与时俱进,这样才能更加适应日益多元化的信息交互方式。和从前相比,如今的科技水平已经突飞猛进,安全协议也随着科技的发展不断的完善,而其效果和从前相比也更加全面,目前最常用的网络安全协议一般情况下是SSL协议和SET协议这两种。这两种网络协议都是通过对信息进行加密来确保信息安全。
2密码协议的分类
从安全协议出现至今,还没有确定的安全协议分类规则,所以也就没有人对安全协议进行进一步的分类,可是想要将密码类型的协议严格地按照一定的规定,来进行分类几乎是做不到的,我们只能从不同的角度来对安全协议进行一个大致上的分类即:(1)认证建立协议;(2)密钥建立协议;(3)认证密钥建立协议。
3协议的安全性及其作用意义
3.1网络安全协议的安全性及其攻击检验
信息技术在最近几年的发展可以称得上是日新月异,而更多更完善地安全协议也被人们设计出来并得到了广泛应用,可是在绝大多数情况下,安全协议在应用之初由于测试机制的不完善,会存在着大量的设计安全漏洞。可以导致网络安全协议无效的因素有很多,而最为常见的是因为安全协议的编写者对信息网络没有十分深入的了解,更加没有进行系统的学习,而对安全协议本身的研究也并不够深入,这样其设计出的安全协议在使用过程之中,暴露出大量问题也就不难理解了,和设计用密码进行加密的加密程序相同,通过寻找协议的漏洞来寻找协议不安全的部分,相比于完善整个协议来说要简单得多。绝大多数情况下,在一个新的安全协议被设计出来之后要对其进行安全性分析,而在分析过程中采用的主要手段就是对其进行模拟攻击,而这样的测试主要是针对以下三个方面:(1)对协议中用于信息加密的算法进行攻击;(2)对算法以及协议本身的加密手段进行攻击;(3)对协议本身进行攻击。由于篇幅所限,下文中主要讨论的是对协议本身进行攻击测试,即默认前两者皆安全
3.2安全协议的设计方法
在网络安全协议设计的过程中,一般情况下会通过设计来加强协议的复杂性以及协议对于交织攻击的抵御能力,在此基础上还要确保协议有一定程度的简单性以及经济性。前者是为了确保协议自身尽可能的安全,而后者是为了使协议可以在更大的范围内加以使用。必须要有先设定某一方面的临界条件,才可以让设计出来的协议满足以上四个要求,而这也就是网络安全协议的设计规则。
(1)具备抵御常规攻击的能力。不论哪一种网络安全协议,最重要也是最根本的一个功能就是可以有效防御来自于网络的攻击,换而言之也就是,要求网络协议对于明文攻击以及混合式攻击有防御的能力,也就是要求安全协议可以保护所传输的信息,而不让攻击者从中取得密钥,除此之外对于已经超出使用期限的信息的筛选也应当归属在其中,也就是说同样不能让攻击者从过期信息中找出漏洞从而获取密钥。
(2)应当可以应用在任何网络结构的任何协议层。因为网络结构组成的不同,其协议层能够接受的信息长度也不尽相同,如果想要安全协议应用在更为广泛的环境之中,那么就要网络协议的密钥消息长度可以满足最短一种密钥层的需求,只有这样才能尽可能地提高网络协议的使用范围。
4结语
总而言之,在网络信息技术日新月异的现在,网络安全协议已经在计算机通信网络之中被广泛的使用。计算机通信网安全协议使用范围的逐渐扩大,不单单提高了计算机网络在传输数据过程之中的安全程度,更进一步为计算机处理信息数据提供了更大的助力。
参考文献:
[1]邱修峰,刘建伟,陈杰等.Adhoc网络安全协议仿真系统设计与实现[J].江西师范大学学报(自然科学版),2012,36(02):135~140.
1.计算机网络安全的定义
互联网应用技术产生于20世纪60时年代,自90年代开始发展和壮大,而其在人们的日常生活中也占据了越来越重要的地位。计算机网络安全通常是指网络系统中的硬件与软件及系统中数据受到保护,并且不会因为各种偶然因素遭到泄漏、破坏或者更改,与此同时,计算机系统能够连续、可靠、正常地运行,网络服务不被中断。计算机网络安全就是网络中信息的安全。因此计算机网络安全的引申含义就是保障信息的可靠性、保密性、真实性、完整性及可用性。
2.计算机网络安全问题分析
计算机技术的发展和信息化的普及,网络能够为信息处理提供有效的手段,信息所具备的重要性和机密性也为信息安全增加了隐患,目前计算机网络安全问题集中体现在病毒、黑客攻击、系统漏洞、资料篡改等方面。
2.1计算机网络的物理安全问题
计算机网络的物理安全是计算机网络安全的基础,地震、火灾、水灾等自然问题都会对计算机网络安全造成影响。另外还包括计算机网络设备所处的环境,如电磁干扰,防水、防火、防雷电等。
2.2计算机病毒
计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。计算机病毒具有有破坏性,复制性和传染性的特点。计算机病毒的主要传播方式就是网络传播,也是危害计算机网络安全的主要问题。例如在2010年出现的“极虎病毒”,感染“极虎病毒”的计算机进程中会出现pmg.exe与mr.exe进程,并且其CPU占用率高,如瑞星、360安全卫士等杀毒软件和安全类软件会被自动关闭。“极虎病毒”能够破坏杀毒软件、感染系统文件、篡改系统文件,还会造成计算机和网络的帐户信息泄密、被盗等问题,造成经济损失。
2.3计算机操作系统、软件安全漏洞
漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。
目前广为应用的计算机操作系统如WindowsXP、Windows7等,虽然具备了越来越完善的系统功能,但是系统漏洞是不可避免的问题。而计算机用户使用的应用软件,因其自身设计也存在着一定的缺陷,而这些漏洞容易受到计算机病毒攻击和黑客攻击。危害计算机网络的安全。
2.4计算机网络协议存在的安全问题
Internet中的关键协议是TCP/IP协议,即网络通讯协议。而这一协议当初制定是出于资源共享的目的,而没有考虑安全方面的问题,致使Internet自身存在脆弱性,也容易遭受攻击。例如出现DOS、DDOS攻击,SYN-Flood攻击、ICMP攻击、源路由攻击、截取连接攻击、以及IP地址被盗用等问题。
2.5黑客攻击
黑客被定义为专指利用系统安全漏洞对网络进行攻击破坏或窃取资料的人。黑客利用计算机网络存在的漏洞,盗取或篡改个人用户的资料、窥探个人隐私,窃取企业的商业机密,还有部分黑客侵入国家网络安全系统,造成国家财产的损失或危害社会公共安全。黑客一般采取信息轰炸、获取密码、PING炸弹、攻破防火墙等方式,轻则造成数据被篡改,严重会造成网络系统瘫痪或服务器拒绝服务。例如在2010年1月12日上午7点出现的全球最大中文搜索引擎“百度”遭到黑客攻击的事件,导致用户无法正常访问“百度”,在登录“百度”页面时会自动跳转到其他链接上,会被定向到一个位于荷兰的IP地址,导致百度旗下所有子域名都无法访问。
2.6人为因素造成的网络安全问题
首先表现计算机网络的使用者安全意识不强,包括系统设置错误,网络管理员或网络用户操作口令的泄漏,临时文件未及时删除而被窃取等,都会造成网络安全问题。其次,使用网络的群体计算机水平参差不齐,难免因人为操作失误危害网络安全。第三,信息安全管理机制不健全,缺乏统一的监管,以及相关的信息网络安全制度的执行和监督力度不足,致使网络安全存在隐患。
3.解决计算机网络安全问题的对策
鉴于计算机网络安全中存在的诸多问题,需要制定安全策略。安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。而计算机网络安全策略主要包括以下几个方面。首先是应用先进的网络安全技术,这也是网络安全的技术保障。其次是强化网络安全管理,建立和完善网络使用机构、企业和单位的信息安全管理体系,提高网络监管的执行力度,提高网络使用者的安全意识。第三,健全信息安全法制体系。国家和政府应该制定符合中国国情的相关法律、法规和政策,加大对网络犯罪的打击力度,构建和谐、健康、安全的网络环境。
3.1加强网络安全的物理环境建设
计算机网络安全会受物理环境因素的影响,必须要保护计算机系统(网络服务器)、网络设备和通信链路不受自然灾害、人为破坏和物理手段攻击,对于系统设备中的关键部分要进行电磁保护等,更好的为网络安全建设提供物理基础。
3.2信息加密技术
保护信息安全的必要手段就是采用信息加密技术。密码技术是结合数学、计算机科学、电子与通信等学科于一体的交叉学科,具有保证信息机密性的信息加密功能,能够提供数字签名、身份验证、秘密分存、系统安全手段,防止信息被窃取、篡改和伪造等问题出现。而常用的信息加密技术包括:动态会话密钥、保护关键密钥KEK定期变换加密会话密钥的密钥。
3.3防火墙技术
保障计算机网络安全要安装网络防火墙。防火墙是通过在网络边界上建立起相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的入侵,同时能够防止内网中的非法操作。采用防火墙技术能够有效保障网络信息传播的可靠性与安全性,同时还能对包含不安全因素的信息进行拦截、过滤。目前常用的防火墙类型主要包括两种包过滤防火墙与防火墙,为不同客户需求提供灵活多样的防护方法。
3.4计算机防毒和杀毒
鉴于计算机病毒会对网络安全产生极大的危害,因此要在计算机上安装杀毒软件。在安装杀毒软件都要定时的进行系统安全扫描消除安全隐患,同时要定期的对杀毒软件和病毒库进行升级、更新。例如常用的360安全卫士,瑞星杀毒软件等。
3.5安装补丁程序
目前广泛应用的操作系统软件都存在系统漏洞,比如Windows,XP,Vista,Windows7系统中都存在漏洞,需要在其官网下载安装补丁程序,能够有效防止黑客攻击,以实现计算机网络系统的安全运行。
3.6提高安全防范意识
结合近年来多发的危害网络安全事件,很大程度上是由于网络使用者安全意识不强有关。为了保障计算机网络系统的安全需要提高网络使用者的安全意识和网络安全技术水平,规范网络使用者的操作行为,避免出现人为因素造成的网络安全问题。
关键词:计算机;网络安全;防范措施
中图分类号:TP393 文献标识码:A 文章编号:1674-7712 (2013) 04-0070-01
近些年来,伴随着计算机网络和通信技术的发展,不仅给人们的生活带来很大的方便,同时信息化也让人们得到了更多的物质和文化的享受。与此同时,网络的安全威胁也越来越严重,诸如黑客的侵袭、数据被盗、病毒的等。尽管我们也在使用复杂的软件技术如防火墙、各种杀毒软件、侵袭探测器等来规避安全问题的出现,但是无论发达国家还是发展中国家都无法完全制止,对社会造成了严重的危害。本文主要通过计算机网络应用相关的常见信息安全问题、事例分析及详细解决方案进行研究,以提高我们控制计算机信息安全问题的能力。
一、计算机网络安全存在的安全威胁
(一)硬件系统和网络环境存在的威胁
电源故障、线路截获以及报警系统等其他计算机硬件系统故障的发生很容易对计算机网络的安全性造成影响,而且由于每个计算机网络操作系统都设置有后台管理系统,所以很难控制计算机网络操作系统安全隐患。计算机网络设计时是分散控制、资源共享以及分组交换的开放式,大跨度的环境,但是正是由于这种开放式、大跨度的网络环境造成黑客以及病毒的入侵,很容易对计算机网络带来严重的破坏。同时由于计算机网络具有一定的隐蔽性,对网络用户无法准确的识别真实身份,这也进一步增加计算机网络受到威胁。
(二)网络通信协议对网络安全造成的威胁
目前,计算机网络互联协议中,网络通信协议组是最重要的互联协议。其中网络通信协议组主要是为了能够使不同的计算机网络硬件系统和计算机不同的操作系统相互连接在一起,并为计算机网络通信提供支持系统。但是由于计算机网络通信协议是一种互联且开放的协议,并且网络通信协议在设计的过程中,
由于没有充分全面考虑关于计算机网络安全等相关问题,所以导致计算机网络安全因网络通信协议问题出现问题,并且由于网络通信协议自身存在一些漏洞,从而进一步导致黑客以及不法分子进入系统中利用TCP在连接的过程中进入内部盗取重要的信息和数据,对计算机网络系统造成严重的破坏,最终造成计算机网络无法正常工作。
(三)IP源路径不稳定性
由于计算机网络运行中IP源路径不稳定,所以很容易导致用户在利用计算机网络发送信息或者重要数据时,黑客以及不法分子进入系统中将IP原路基你改变,导致用户发送的重要信息以及数据发送到非法分子修改的IP地址获取用户重要的数据,从中获取非法利益。
二、计算机网络安全问题防范及日常维护措施分析
(一)合理配置防火墙
在计算机网络中,通过进行配置防火墙,对网络通讯执行访问尺度进行控制计算机网络,明确访问人和数据才能进入到网络系统中,对于不允许或者其他非法分子以及数据能够及时拦截,从而能够有效防止黑客或者非法分子进入破坏网络。防火墙作为一种有效的网络安全机制,其已经广泛应用到网络系统中,最大限度防止计算机网络不安全因素的入侵。
(二)安全认证手段
保证实现电子商务中信息的保密性用的是数字信封技术;保证电子商务信息的完整性用的是Hash为函数的核心的数字摘要技术;保证电子商务信息的有效性是利用数字时间戳来完成的;保证电子商务中的通信不可否认、不可抵赖使用的是数字签名技术;保证电子商务交易中各方身份的认证使用的是建立CA认证体系,这样可以给电子商务交易各方发放数字认证,并且还必须要有安全协议的配合,常用的安全协议有安全套接层SSL协议和安全电子交易SET协议。并且由于Administrator账户拥有计算机网络最高系统权限,所以导致黑客经常盗取账户破坏电脑程序。为了能够预防这一网络威胁事件的发生,首先应该在Administrator账户上设定复杂且强大的密码或者重命名Administrator账户,最后还可以在系统中创建一个没有管理权限的Administrator账户以达到欺骗入侵者的目的,从而就会造成入侵者无法分清账号是否拥有管理员的权限,进而能够减少入侵者损害电计算机网络以及系统内重要的信息。
(三)加密技术
计算机网络加密技术的实施主要是为了防止网络信息以及数据泄露而研究设计的一种防范措施。加密技术主要是将计算机网络系统中的明文数据按照一定的转换方式而转换成为加密的数据。其中传统的加密技术主要是以报文为单位,这种加密技术与传统的加密技术相比,其不仅具有独特的要求,而且这种技术的大型数据库管理系统主要是运用的Unix和WindowsNT,加密技术的操作系统的安全级别可以分为C1和C2,他们都具有识别用户、用户注册和控制的作用。在计算机网络系统中虽然DBES在OS的基础上能够为系统增加安全防范措施,但是对于计算机网络数据库系统其仍然存在一定的安全隐患,而病毒和黑客一般都是从这些细微的漏洞而对数据库造成危害,而利用加密技术对敏感的数据进行加密则能够有效保证数据的安全,从而保证计算机系统安全可靠的运行
三、总结
计算机网络安全和可靠性一直以来都是研究的热点问题,计算机网络安全问题直接影响计算机技术的发展和应用,虽然目前用于网络安全的产品和技术很多,仍有很多黑客的入侵、病毒感染等现象。所以,我们应该不断研究出新的计算机网络防范措施,实施先进的计算机网络技术和计算机体系,同时加强计算机日常防护工作,这样才能保护计算机网络安全和信息数据安全,从而为计算机用户带来极大的方便,真正享受到网络信息带来的优势。
参考文献:
[1]陈中元.计算机网络安全现状及防范技术探讨[J].硅谷,2012(06):120-121.
[2]袁也婷,刘冲.浅谈计算机网络安全技术与防范策略[J].华章,2011(15):79-80.
关键词 IPV6协议;网络安全
1 IPV6协议
1.1 IPv6的由来
Internet依靠TCP/IP协议,在全球范围内实现不同硬件结构、不同操作系统、不同网络系统的互联。在Internet上,每一个节点都依靠惟一的IP地址互相区分和相互联系。
目前因特网使用的地址都是IPv4地址IPv6基本协议是经过多次改进后确定的。现在的IPv6协议是1995年由Cisco公司的Steve Deering和Nokia公司的Robert Hinden完成起草并定稿的(即RFC2460)。1998年,IETF对RFC2460进行了较大的改进,形成了现有的RFC2460(1998版)。
1.2 IPv6协议的主要特点
为适应实际应用的要求,IPv6在IPv4的设计思想上加以改进,增加了一些必要的新功能。IPv6的主要特点如下:
1.2.1经过扩展的地址和路由选择功能。IP地址长度由32位增加到128位,可支持数量大得多的可寻址节点、更多级的地址层次和较为简单的地址自动配置。
1.2.2定义了任一成员(anycast) 地址,用来标识一组接口,在不会引起混淆的情况下将简称“任一地址”,发往这种地址的分组将只发给由该地址所标识的一组接口中的一个成员。
1.2.3简化的首部格式。IPv4首部的某些字段被取消或改为选项,以减少报文分组处理过程中常用情况的处理费用,并使得IPv6首部的带宽开销尽可能低,尽管地址长度增加了。虽然IPv6地址长度是IPv4地址的四倍,IPv6首部的长度只有IPv4首部的两倍。
1.2.4支持扩展首部和选项。IPv6的选项放在单独的首部中,位于报文分组中IPv6首部和传送层首部之间。因为大多数IPv6选项首部不会被报文分组投递路径上的任何路由器检查和处理,直至其到达最终目的地,这种组织方式有利于改进路由器在处理包含选项的报文分组时的性能。IPv6的另一改进,是其选项与IPv4不同,可具有任意长度,不限于40字节。
1.2.5支持验证和隐私权。IPv6定义了一种扩展,可支持权限验证和数据完整性。这一扩展是IPv6的基本内容,要求所有的实现必须支持这一扩展。IPv6还定义了一种扩展,借助于加密支持保密性要求。
1.2.6支持自动配置。IPv6支持多种形式的自动配置,从孤立网络节点地址的“即插即用”自动配置,到DHCP提供的全功能的设施。
1.2.7服务质量能力。IPv6增加了一种新的能力,如果某些报文分组属于特定的工作流,发送者要求对其给予特殊处理,则可对这些报文分组加标号,例如非缺省服务质量通信业务或“实时”服务。
1.3 IPv6中的地址类型和表示方法
IPv6地址类型主要有:
1.3.1单播地址(unicast)
该地址标识某一单个接口。发往单播地址的包将被传送到该地址指向的接口。
1.3.2任播地址(anycast)
该地址标识属于不同节点的一组接口。发往任播地址的包将被传送到该地址标识的某一个接口,通常是路由协议计算出的最近的那个接口。
1.3.3组播地址(multicast)
同样该地址标识属于不同节点的一组接口。但发往组播地址的包将被传送到该地址标识的所有接口。
IPv6地址表示方法:一个IPv6的IP地址由8个地址节组成,每节包含16个地址位,以4个十六进制数书写,节与节之间用冒号分隔,除了128位的地址空间,IPv6还为点对点通信设计了一种具有分级结构称为可聚合全局单点广播地址的地址。
2 Ipv9协议
2.1 Ipv9的由来
在IPv6还没有真正普及的今天,中国新一代自研网络技术IPv9(十进制网络)即将走出实验室。 IPv9协议是上海通用化工技术研究所所长、信产部科学技术司十进制网络标准工作组组长谢建平经过十年的研发,根据《采用全数字码给上网的计算机分配地址的方法》发明专利实施并发展而成,拥有自主知识产权、以十进制算法(0-9)为基础的协议,整个网络系统主要有IPv9地址协议、IPv9报头协议、IPv9过渡期协议、数字域名规范等协议和标准构成,能兼容现有互联网络协议(IPv4、IPv6),又可实现逻辑隔离,达到安全可控。
在IPv9中,从维护主权的立场出发,创造性的提出了互联网上“主权平等”的概念;并在域名系统中采用十进制、多协议的数字域名系统,兼容英文、中文及其他域名,并将他们映射成全球唯一IP地址;建立分布式跟域名系统,引入国家地域概念,使每个国家都有自己的根域名系统,以确立和维护其在互联网上主权国家的地位和形象。
2.2 IPv9主要创新内容
2.2.1在十进制互联网络上,除了计算机和网络之间的数据传诵必须二进制外,其他都采用十进制。
2.2.2同一的(用0~9阿拉伯数字)数字组合它既做IPV9地址、MAC地址又和替代现有互联网上的英文字母或其他符号如中文等作域名。
2.2.3数字域名解析器兼容现有互联网络(IPV4网络、IPV6网络)的英文域名解析。
2.2.4基于个人IP地址可作:个人主页、FTP服务、IP电话和可视电话(计算机到计算机)及身份证、税务发票、物流码等广泛应用。
2.3 IPv9编码
IPv9是借鉴了电话号码的编码体系,以地理概念清晰、简明易记的数字分配域名。一个IPv9的IP地址由类似电话号码的国家代码、地区代码和智能终端代码(或服务商代码)组成。
3 IPV6/9协议在网络安全机制方面体现
安全性既涉及网络安全也涉及信息安全,是发展下一代互联网应注意的最关键问题。随着互联网的大规模商用化和在国民经济中越来越重要的地位,安全威胁成为一个必须解决的问题。通过集成IPSec,IPv6实现了IP级的安全。IPSec提供如下安全:访问控制、无连接的完整性、数据源身份认证、防御包重传攻击、保密、有限的业务流保密性。
3.1协议安全
在协议安全层面上,IPv6全面支持认证头(AH)认证和封装安全有效负荷(ESP)信息安全封装扩展头。
AH认证支持hmac_md5_96、hmac_sha_1_96认证加密算法。
ESP封装支持DES_CBC、3DES_CBC以及Null等三种算法。
3.2网络安全
3.2.1端到端的安全保证。在两端主机上对报文进行IPSec封装,中间路由器实现对有IPSec扩展头的IPv6报文进行透传,从而实现端到端的安全。
3.2.2对内部网络的保密。当内部主机与因特网上其他主机进行通信时,为了保证内部网络的安全,可以通过配置的IPSec网关实现。因为IPSec作为IPv6的扩展报头不能被中间路由器而只能被目的节点解析处理,因此IPSec网关可以通过IPSec隧道的方式实现,也可以通过IPv6扩展头中提供的路由头和逐跳选项头结合应用层网关技术来实现。后者的实现方式更加灵活,有利于提供完善的内部网络安全,但是比较复杂。
3.2.3通过安全隧道构建安全的VPN。此处的VPN是通过IPv6的IPSec隧道实现的。在路由器之间建立IPSec的安全隧道,构成安全的VPN是最常用的安全网络组建方式。IPSec网关的路由器实际上就是IPSec隧道的终点和起点,为了满足转发性能的要求,该路由器需要专用的加密板卡。
3.2.4通过隧道嵌套实现网络安全。通过隧道嵌套的方式可以获得多重的安全保护。当配置了IPSec的主机通过安全隧道接入到配置了IPSee网关的路由器,并且该路由器作为外部隧道的终结点将外部隧道封装剥除时,嵌套的内部安全隧道就构成了对内部网络的安全隔离。
作为IPv6的一个组成部分,IPSec是一个网络层协议。它只负责其下层的网络安全,并不负责其上层应用的安全,如Web、电子邮件和文件传输等。为解决IPv6网络安全问题,IPv6网络中仍需要使用防火墙、入侵检测系统等传统的安全设备,但由于IPv6的一些新特点,IPv4网中现有的这些安全设备在IPv6网中不能直接使用,还需要做适当的改进。
由于IPv6中引入了网络层的加密技术,未来网络上的数据通讯的保密性将会越来越强。
IPv9协议的研究最初是出于国内有关部门的需要而研制的一种与当前IPv4协议(或者IPv6协议)不同的、可互通但相对独立的、有自主知识产权的网络协议,极大地提高了我国的国家网络安全和信息安全,一举打破美国垄断与控制的国际互联网,并进而控制和威胁我国信息安全与国家安全的不利局面。IPv9地址协议由我国自主控制分配,路由设备的密级由我国自主设立,在域名资源、安全控制等方面,将更有保障。
4 对基于IPV6/9协议的网络安全机制的思考
安全问题是一个复杂的问题。随着时间的推移,技术的变化,网络安全将面临更多威胁和新的挑战,没有绝对安全的网络系统,网络信息对抗是一个长期的研究课题。保持清醒正确的认识,掌握最新的安全问题情况,再加完善有效的安全策略,是可以阻止大部分的网络破坏,使经济损失降到最低。
IPv6是一个建立可靠的、可管理的、安全和高效的IP网络的长期解决方案。尽管IPv6的普及应用之日还需耐心等待,不过,了解和研究IPv6的重要特性以及它针对目前IP网络存在的问题而提供的解决方案,对于制定企业网络的长期发展计划,规划网络应用的未来发展方向,都是十分有益的。
目前虽然对IPv9网络技术有各种不同的看法,但它得到国家权威机构的认证,且在实验实践中,重要的是IPv9网络技术的出台,表明我国已成为目前世界上唯一能实现域名、IP地址和MAC地址统一成十进制文本表示方法的国家。同时,也成为继美国之后,第二个在世界上拥有根域名解析服务器和IP地址硬连接服务器的国家,和世界上第二个拥有自主的域名、IP地址和MAC地址资源的国家及可独立进行域名解析和IP地址硬连接,并可独立自主的分配域名、IP地址和MAC地址的国家,从而维护国家主权、信息安全以及巨大的国家经济利益。
Abstract: Based on the computer network, the status of the computer network security is analyzed and several commonly used network security technologies are introduced, finally, several issues focusing on research of computer network information security are put forward.
关键词:网络安全;加密技术;防火墙
Key words: network security; encryption technology; firewall
中图分类号:TP39 文献标识码:A文章编号:1006-4311(2010)27-0164-01
1计算机网络概述
计算机网络技术是信息传输的基础,所谓计算机网络是指将分布在不同地理位置上具有独立性能的多台计算机、终端及附属设备用通信设备和通信线路连起来,再配有相应有网络软件,以实现计算机资源共享的系统。按照联网的计算机所处的地理位置远近分为局域网和广域网,在网络中拓扑结构主要分三种:总线网、环形网、星形网。由于资源共享、操作系统的复杂性等原因使网络存在着不安全因素。
2计算机网络安全现状
2.1 网络安全涵义计算机网络安全具有三个特性:保密性、完整性及可用性。保密性是网络资源只能由授权实体存取。完整性是指信息在存储或传输时不被修改、信息包完整,不能被未授权的第二方修改。可用性包括对静态信息的可操作性及对动态信息内容的可见性。
2.2 计算机网络安全的缺陷①操作系统的漏洞。操作系统是一个复杂的软件包,即使研究人员考虑得比较周密,但几年来,发现在许多操作系统中存在着漏洞,漏洞逐渐被填补。操作系统最大的漏洞是I/O处理,I/O命令通常驻留在用户内存空间,任何用户在I/O操作开始之后都可以改变命令的源地址或目的地址。②TCP/IP协议的漏洞。TCP/IP协议应用的目的是为了在INTERNET上的应用,虽然TCP/IP是标准的通信协议。但设计时对网络的安全性考虑的不够完全,仍存在着漏洞。③应用系统安全漏洞。WEB服务器和浏览器难以保障安全,最初人们引入CGI程序目的是让主页活起来,然而很多人在编CGI程序时对软件包并不十分了解,多数人不是新编程序,而是对程序加以适当的修改,这样一来,很多CGI程序就难免具有相同安全漏洞。④安全管理的漏洞。由于缺少网络管理员,信息系统管理不规范,不能定期进行安全测试、检查,缺少网络安全监控等都对网络安全产生威胁。计算机网络安全的主要威胁。
2.3 计算机网络安全的入侵①计算机病毒。所谓计算机病毒实际是一段可以复制的特殊程序,主要对计算机进行破坏,病毒所造成的破坏非常巨大,可以使系统瘫痪。②黑客。黑客一词,源于英文Hacker,原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。但到了今天,黑客一词已被用于泛指那些专门利用电脑搞破坏或恶作剧的家伙。对这些人的正确英文叫法是Cracker,有人翻译成“骇客”。黑客主要以发现和攻击网络操作系统的漏洞和缺陷为目的,利用网络安全的脆弱性进行非法活动。③内部入侵者。内部入侵者往往是利用偶然发现的系统的弱点,预谋突破网络系统安全进行攻击。由于内部入侵者更了解网络结构,因此他们的非法行为将对网络系统造成更大威胁。④拒绝服务。拒绝服务是指导致系统难以或不可能继续执行任务的所有问题,它具有很强的破坏性,最常见的是“电子邮件炸弹”,用户受到它的攻击时,在很短的时间内收到大量的电子邮件,从而使用户系统丧失功能,无法开展正常业务,甚至导致网络系统瘫痪。
3网络安全机制应具有的功能
3.1 身份识别身份识别是安全系统应具备的基本功能,身份识别主要是通过标识和鉴别用户的身份,防止攻击者假冒合法用户获取访问权限。对于一般的计算机网络而言,主要考虑主机和节点的身份认证,至于用户的身份认证可以由应用系统来实现。
3.2 存取权限控制访问控制是根据网络中主体和客体之间的访问授权关系,对访问过程做出限制,可分为自主访问控制和强制访问控制。
3.3 数字签名即通过一定的机制如RSA公钥加密算法等,使信息接收方能够做出该信息是来自某一数据源且只可能来自该数据源的判断。
3.4 保护数据完整性即通过一定的机制如加入消息摘要等,以发现信息是否被非法修改,避免用户被欺骗。
3.5 密钥管理信息加密是保障信息安全的重要途径,以密文方式在相对安全的信道上传递信息,可以让用户放心地使用网络。
4网络安全常用的技术
4.1 加密技术加密在网络上的作用是防止重要信息在网络上被拦截和窃取。计算机密码极为重要,许多安全防护体系是基于密码的,密码的泄露意味着其安全体系的全面崩溃。加密技术是实现保密性的主要手段,采用这种技术可把重要信息或数据从一种可理解的明文形式变换成一种杂乱的、不可理解的密文形式。以密文形式将信息在线路上传输。到达目的端口后将密文还原成明文,常见的加密技术分单密钥密码技术和公开密钥技术两种。这两种加密技术在不同方面各具优势,通常将这两种加密技术结合在一起使用。
4.2 防火墙技术所谓“防火墙”,是指一种将内部网和公众访问网如Internet分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。实现防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。它们之间各有所长,具体使用哪一种或是否混合使用,要看具体需要。 防火墙主要用于加强网络间的访问控制,防火墙的作用是防止外部用户非法使用内部网络资源,并且保护内部网络的设备不受破坏,防止内部网络的主要数据被窃取。一个防火墙系统通常由屏蔽路由器和服务器组成。屏蔽路由器是一个多端口的IP路由器,它通过对每一个到来的IP包依据一组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息,例如协议号、收发报文的IP地址和端口号,连接标志以至另外一些IP选项,对IP包进行过滤。
防火墙作为内部网和外部网之间的一种访问控制设备,常安装于内部网和外部网的交界点上。内部网络的某个用户若要与外部网络的用户联络,该用户首先和所属网络的防火墙联通,然后再与另一个用户联通,反之亦然。防火墙提供的防护是Internet安全结构必不可少的组成部分,它能对已知的网络协议起到保护作用。
参考文献:
1目前计算机网络安全所面临的风险
在大多数的计算机网络安全事故当中,黑客往往是利用非法的手段获取计算机的权限,利用互联网对网络用户进行攻击并且进行非法操作。主要攻击形式包括了木马攻击、口令破译攻击、漏洞攻击、IP地址欺骗以及DNS欺骗等等。对于计算机系统而言,口令是保护计算机信息安全的重要防护措施,黑客往往会利用合法的用户账号以及相应的口令来进行非法的操作。大多数黑客获取口令的方法都是采用暴力破解或者是用猜测的方式来进行口令的破解。主要破解形式就是监视用户通信信道上的口令数据包,对其加密形式进行破解,或者是根据用户的习惯账号进行猜测破解。另一种攻击方式,木马攻击也是黑客常用的一种攻击手段,黑客往往会在计算机系统中隐藏一个木马程序,对用户的计算机系统进行远程监控,从而获得用户的计算机控制权限,进行非法的操作获取需要的信息。
2计算机网络安全防护的策略分析
虽然近几年来黑客活动越来越频繁,各种计算机网络安全事件频频发生,但是如果采取了完善的保护措施,还是能够有效的预防计算机网络安全方面的问题,保护计算机软件中的重要信息。第一,在计算机中安装必要的安全防护用软件并且在日常的应用中注意安全。计算机安全防护中一定要装的软件包括杀毒软件、防黑软件以及防火墙等等,这是最普遍的避免计算机安全问题的措施,通过杀毒软件能够将计算机病毒以及木马程序拦截在计算机之外,减少计算机口令被泄漏的机会,避免计算机中重要信息的泄漏。防火墙软件的存在能够有效的避免监听系统的非法活动,抵抗黑客的攻击。但是并不是装了这些安全防护软件就是完全安全的,在日常的计算机应用当中也应该要注意管理,不要让这些安全软件形同虚设。第二,隐藏计算机真实IP地址避免欺骗攻击。在大多数的网络安全问题发生当中,黑客都会对计算机用户的主机信息进行探测从而获得用户的计算机IP地址等相关信息。因为TCP/IP协议中所存在的缺陷,IP地址的泄漏成为网络安全问题发生的主要来源之一,IP地址安全已经成为了网络安全问题的关键之所在。一旦黑客知道了用户的计算机IP地址,就等于是明确知道了用户所处的位置,从而可以利用这个精确的IP地址对用户进行各种准确的攻击。要预防计算机黑客获得用户IP地址最好的办法就是使用服务器来隐藏自己的真实IP地址,在使用服务器之后,黑客只能够获得服务器的IP地址,无法获得用户的真实IP地址,大大降低了用户计算机被精确攻击的可能性。第三,关闭计算机网络系统中的安全后门。因为计算机网络系统存在一定的缺陷,大量安全后门威胁着计算机网络信息安全,让黑客有了可趁之机,关闭计算机网络系统中的安全后门成为了避免被黑客攻击的重要手段之一。计算机网络系统中的安全后门包括了共享漏洞、协议漏洞以及服务漏洞等等。因为TCP/IP协议的设计使得计算机IP地址在安全方面存在很大的隐患,但就目前而言,TCP/IP协议仍然是计算机网络用户所必须使用的网络协议,而且相比较其他的网络协议而言,TCP/IP网络协议的安全度还是比较高的,所以这一网络协议成为了保留项目。其他的一些不必要的网络协议就可以进行删除操作,尤其是NetBIOS协议,几乎是所有计算机网络安全漏洞的源泉之所在,利用NetBIOS协议中的漏洞进行攻击所产生的安全问题占据了所有计算机网络安全问题的一半以上,所以这个协议必须关闭。第四,提高计算机网络的IE安全系数。JavaApplets以及ActiveX空间的存在为计算机网页技术的应用提供了强大的专业技术支持,不过也同时被网络黑客给利用,从而针对性的编写出了一系列的包含了恶意代码的软件融入到了计算机网页当中,如果计算机网络的用户打开了这些包含恶意代码的网页,这些恶意代码就会被激发自助运行对计算机网络用户的计算机进行各种非法的操作,破坏用户的计算机网络操作系统。为了能够最大限度的避免这种计算机网络网页中恶意代码所造成的供给,除了应该有效的运用计算机网络防病毒软件以及高新的网络防火墙软件之外,还应该对这些恶意代码所能够产生的操作进行有效的控制,最好的控制办法就是尽可能的提高计算机网络IE方面的安全系数,具体的做法就是在Internet选项当中的安全设置这一个栏目中进行相关的设置,限制JavaApplets代码以及ActiveX空间的运行,并且对计算机网络中已经确定能够信任的网点和已经确定需要受到限制的网点进行有效的控制,最大限度的保证互联网用户在使用计算机浏览网页时候的安全。第五,计算机网络安全方面的防御技术,包括了技术层面的防御技术以及物理层面的防御技术。在技术层面对计算机网络安全进行防御的时候,需要制定安全的管理制度,最大限度的提高计算机用户的职业道德素质以及技术水平。对于一些重要部门的计算机,应该定期做好严格的杀毒操作,备份好重要的数据,这是保证计算机网络安全的一个重要手段;还需要对计算机网络访问进行有效的控制,保证网络上的资源不会被非法的访问和使用;对计算机数据库中的数据进行备份,保证计算机网络中数据的安全,对计算机网络中的数据进行备份是保证计算机网络信息最有效的手段,一旦出现事故,还可以通过信息恢复来保证信息的完整性;对计算机网络中的重要数据进行加密处理,这种防御技术适合在开放性的网络中使用,能够有效保证动态信息的安全;使用PKI技术,也就是利用公钥技术和相关的理论来保护信息交流过程中信息的安全;切断计算机病毒的传播途径,对于计算机网络中一些可能已经被感染的文件,要抱着宁杀错不放过的原则对其进行删除操作,尽可能的切断计算机网络哦病毒的传播。除了对计算机网络进行技术层面的防御之外,还应该在物理层面上保证计算机网络的安全,也就是保证计算机网络系统在安全的环境下运行,这就包括温度、空气洁净度、湿度、腐蚀度、震动、虫害和冲击等各个方面的干扰因素都要进行严格的控制,除此之外还需要选择合适的机房安装场所,对机房的安全进行有效防护等。
3结束语
总之,虽然现在因为计算机网络安全方面的问题出现了大量的防护软件,比如杀毒软件和防火墙的出现为计算机网络信息安全提供了有效的技术保障,但是计算机网络信息安全方面的隐患还是不能够得到根除,所以在使用计算机进行信息传递的时候必须注意安全方面的问题,提高自身的安全意识,避免信息泄露。
作者:吴士君张志伟单位:邯郸工程高级技工学校
关键字:计算机;网络安全;因素;安全策略;
Abstract: This article starts from the main factors of the computer network security, put out a comprehensive analysis of computer network security strategy.Key words: computer; network security; factors; security policy;
中图分类号: TP393文献标识码:A文章编号:2095-2104(2012)
计算机网络信息传输已经成为人类传输信息的主要手段之一,网络信息传输缩小了时间空间的距离,这种方便的传输方式无疑成为人类最依赖的方式,而网络安全受到的威胁却越来越大,各种病毒层出不穷,这对于网络用户来说造成了极大的安全隐患。病毒及木马的侵入,不仅影响用户的正常工作,还会造成很大程度的经济损失。数据加密方法则可以有效的保障网络信息进行安全的传输。
1.网络安全受到威胁的主要因素
1.1计算机操作系统存在隐患
计算机的操作系统是整个电脑的支撑软件,它为电脑中所有程序的运行提供了环境。所以,一旦操作系统存在隐患,网络入侵者能够获得用户口令,进而操作更个计算机的操作系统,获取计算机各个程序中残留的用户信息;如果系统掌管内存,CPU的程序有漏洞,那么网络入侵者就可以利用这些漏洞把计算机或者服务器弄瘫痪;如果系统在网络上传文件、加载和安装程序的地方出现漏洞的话,网络入侵者就能够利用间谍程序对用户的传输过程、使用过程进行监视,这些隐患出现的原因就是因为利用了不安全的程序,所以尽量避免使用不了解的软件。除此之外,系统还有守护进程的程序环节、远程调用功能、后门和漏洞问题,这些都是网络入侵者可以利用的薄弱环节。
1.2网络中存在的不完全隐患
网络允许用户自由和获取各类信息,故而网络面临的威胁也是多方面的。可以是传输线的攻击,也可以使网络协议的攻击,以及对计算机软件的硬件实施攻击。其中协议的不安全性因素最为关键,计算机协议主要包括:TCP/IP协议、FTP、NFS等协议,这些协议中如果存在漏洞网络入侵者就能够根据这些漏洞对用户名进行搜索,可以猜测到机器密码口令,对计算机防火墙进行攻击。
1.3数据库管理系统的不安全隐患
数据库管理系统也具有先天缺陷的一方面,他是基于分级管理的理念而建立,所以,数据库的不安全就会泄漏我们上网看到的所有信息,在网上存储的信息,通过这些用户的帐号,密码都会被泄漏,这样对用户的财产、隐私安全都会造成很大的威胁。
2.计算机网络的安全策略分析
计算机网络安全从技术上来说,主要由防病毒、防火墙、入侵检测等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。
2.1防火墙
防火墙是一种隔离控制技术,通过预定义的安全策略,对内外网通信强制实施访问控制,常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。包过滤技术是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据据流中的每个数据包,根据数据包的源地址、目标地址、以及包所使用的端口确定是否允许该类数据包通过;状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别,与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性;应用网关技术在应用层实现,它使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其他网络,其目的在于隐蔽被保护网络的具体细节,保护其中的主机及其数据。
2.2数据加密与用户授权访问控制技术。
2.2.1计算机数据加密技术的应用
2.2.1.1数据加密
数据加密就是按照确定的密码算法把敏感的明文数据变换成难以识别的密文数据,通过使用不同的密钥,可用同一加密算法把同一明文加密成不同的密文,来实现数据的保护。数据加密的主要方式有三种:链路加密、节点加密、端到端加密。“网上银行”的兴起,使得银行系统的安全问题显得至关重要,安全隐患不得不令人担优,数据加密系统作为一种新一级别的安全措施脱颖而出。各大银行中都采取了数据加密技术与网络交换设备联动。即指交换机或防火墙在运行的过程中,将各种数据流的信息上报给安全设备,数字加密系统可根据上报信息和数据流内容进行检测,在发现网络安全事件的时候,进行有针对性的动作,并将这些对安全事件反应的动作发送到交换机或防火墙上,由交换机或防火墙来实现精确端口的关闭和断开,这样就可以使数据库得到及时充分有效的保护。
2.2.1.2密钥密码技术的应用
密钥是对于数据的加密和解密,分为私人密钥和公用密钥。私人密钥是指加密和解密使用相同的密钥,安全性相对较高,因为这种密钥是双方认可。
可是这种密钥也存在缺陷,那就是当由于目的不同所需要不同密钥的时候就会出现麻烦和错误状况,这个时候,公用密钥就能发挥作用。这样一一来传输者可以对所要传输的信息进行公用密钥进行加密,接收方接到文件时用私人密钥解密,这样就避免了传输方要用很多私人密钥的麻烦,也避免私人密钥的泄漏。例如用信用卡购物时,通常情况下商店终端的解密密钥可解开并读取以加密数据形式存储在信用卡中的个人信息。终端将读取的信息传送到发行信用卡的公司认证顾客信息。这种情况下,店铺的终端会留下个人信息的记录,有可能造成个人信息泄露。所以很多人会担心自己的信用卡号被人盗用。密钥密码技术,要求用两个密钥解读加密数据,这两个解密密钥分别掌握在商店和信用卡公司手中。店铺终端密钥读取的信息只够确认持卡人是否是某家信用卡公司的会员,而不能读取其他个人资料。信用卡公司的解密密钥能解开所有信息,进而确认持卡人是否具有使用这张信用卡的权限,提高了信用卡交易的安全性。
2.2.1.3数字签名认证技术的应用
认证技术能够保障网络安全,它可以有效的核实用户身份信息,认证技术中比较常用的是数字签名技术。它建立在加密技术的基础上,是对加密解密计算方式来进行核实。在这个认证技术中被最多应用的是私人密钥的数字签名以及公用密钥的数字签名。私人密钥的数字签名是双方认可的认证方式,如上文所述,双方运用相同的密钥进行加密和解密,但是由于双方都知道密钥,就存在着篡改信息的可能性,因此这种认证方式还要引入第三方的控制。而公用密钥就不用这么麻烦,由于不同的计算法则,加密密钥完全可以公开,而接收者只要保存解密密码就可以得到信息。例如在国内税务行业中,网上办理税务业务越来越受到认可。数字签名安全认证系统就成为了网上保税业务的安全门卫,为税务办理系统提供了安全性保障。
2.2.2常用的数据加密工具的运用
2.2.2.1加密狗
加密狗是插在计算机并行口或者USB口上用来保护软件不被非法使用的硬件产品。使用软件狗保护的软件必须每次访问软件狗后才可以正常使用。虽然保密性得到了极大的保证,但是本身造价昂贵,而且在保密狗遗失后,软件变不可以继续使用,有一定的风险性。
2.2.2.2密码方式
用密码方式加密的软件在发行时一般附带一个密码表,当软件运行到某一时刻时询问用户密码,用户必须按照密码表输入正确密码,程序才可以继续执行,虽然实现起来很简单,但是容易被人破解,也容易使用户得到厌烦。
2.2.2.3非对称许可证加密技术
许可证管理方式是现在广泛应用的一种软件保护方式,这种方式的最大好处是可以确保一个软件拷贝只能运行于一台授权的计算机上,其主要运行原理是通过软件本身提取计算机固有信息,由于每台计算机的处理器、硬盘、网卡编号都是唯一的,而软件在每次运行前都会自动比对运行环境从而确保软件的安全性。
采用非对称许可证加密方式便是在知道算法原理的情况下,另外在注册器和验证机中加入固定监测数组使得不同批次的软件拥有不同的注册机和注册码,从而保证了每一个软件的唯一性,使得破解工作增加了巨大的难度和时间,从而保护了软件的安全性。
2.2.3安全管理队伍的建设。
在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不安全的因素降到最低。同时,要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益得到保障。
3.结束语
随着经济的发展、社会的发展、网络的普及化、信息时代的更新迅速,网络中恶意的攻击,流氓软件木马软件的横行,使得网络安全被高度重视。然而只注重防护体系是不行的,操作系统技术再提高,也还是会被漏洞破坏;防火墙技术再高,也会有黑客攻破。病毒防范技术再高,也是建立在经验的基础上,免不了被新生病毒侵害,所以,在完善的防护体系的建立下,还要注重网络安全应用的管理,只有管理的技术并用才能有效的保护用户的信息安全。总而言之,对于网络不断发展,我们要总结以往教训,吸取经验,取长补短,才能更好的保护信息安全。
参考文献
关键词 计算机;网络安全;影响因素;策略
中图分类号TP39 文献标识码A 文章编号 1674—6708(2012)76—0217—02
随着计算机网络技术的影响渗透到人类社会的各个角落,计算机网络安全问题不仅仅是一个技术问题,更成为关系到社会有序运行、国家安全的关键问题。计算机网络安全是一个涉及到许多学科的交叉学科,如计算机科学,数学、信息论、密码技术、通信技术等,其重要性在现代社会不言而喻。
从应用角度来说,计算机网络安全的含义十分宽泛。它的含义随着使用者的变化而发生变化。比如普通上网者和网络供应商对网络安全的要求就会有不同的侧重点。网络供应商除注重网络信息安全外,会更加关心如何保证网络硬件的安全以及保持网络通信的连通性。从技术角度来说,国际标准化组织将“计算机安全”定义为:为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏。计算网络安全具有以下特征:系统的可靠性,网络可以保证连续工作;数据的完整性;数据的有效性;数据的保密性[1]。
计算机网络由于本身特点,加之人为原因不可避免的受到威胁。计算机网络安全的威胁随着技术的不断发展,种类日益纷繁复杂,但是其具有共同的特点:隐蔽性和潜伏性,隐蔽性为计算机攻击提供了时间,潜伏性使其不易被发现,达到攻击效果;破坏性和危害性;突发性和扩散性,计算机网络的攻击通常是毫无征兆的,由于网络的连通性的特点,导致其扩散速度极快。
1影响计算机网络安全的因素
1.1自然因素的影响
计算机网络的构建需要以一定的硬件和软件为基础,而硬件的正常运行需要一定适宜的自然条件作为支撑,所以计算机网络安全对自然环境条件有一定的依赖性,比如自然灾害所带来的不可抗力、外部环境的恶劣性、硬件设备故障等等都会给计算机网络安全带来直接或间接的影响。
计算机信息系统是一个较精密、对环境较敏感的系统。温度、湿度、振动、冲击、环境污染等因素发生变化均会对计算机网络安全产生影响。而且现阶段,我国大多数计算机机房的设计标准中并未将自然影响纳入,基本不具备防震、防水、防火、避雷、防电磁干扰的功能。出现自然灾害和意外事故时,常常造成设备损坏、工作中断,进而数据丢失。
物理电磁辐射也常常造成信息的泄露,给计算机网络安全带来威胁。计算机网络是依靠精密且复杂的电子设备运行的,电子设备在工作时通过各类电源线会产生各种电磁辐射,而电磁辐射可以在某种程度上影响网络中的信息传输。网络的终端如显示器、打印机等在运行时,也可以产生电磁辐射泄露,也可能导致信号泄露,信息外泄。
1.2 TCP/IP协议——网络通讯协议
网络通讯协议作为互联网最基本的协议,是国际互联网连通的基础。它有网络层的IP协议和传输层的TCP协议组成,故常称为TCP/IP协议。该协议定义了电子设备连入因特网的方式,及数据在网络上的传输标准。简单来说就是,TCP负责信息在不同电子设备间的传输,直至信息完整且正确的传输到指定地点。IP则是给接入互联网的每一台电脑规定一个唯一的地址,但是作为最基本的网络协议,它却在安全性上欠缺考虑[2]。
首先TCP/IP协议对于数据流的传输采用的是明码传输,未进行相关的加密措施,而且信息在传输过程中就不受控制,这就为窃听信息提供了可能性。然后是该协议的基本体系结构,它采用的是簇的基本结构,这是目前互联网上存在许多安全问题的主要原因。如IP地址作为唯一身份标识,而不要身份认证,所以就给“黑客”留下了攻击的可能性,造成互联网上信息的传递易被拦截、篡改等。IP地址可以通过技术手段进行设置,进而获取真实的IP地址,这样就可以冒名顶替他人,盗取用户信息。
1.3计算机病毒对计算机网络安全的影响
计算机病毒简单来说是恶意代码的最突出表现。病毒就是未经授权的非法计算机程序。它具有如下特点:破坏性,对计算机系统和硬件设备均会造成伤害;自我复制性;隐蔽性;传播性;潜伏性。常见且危害较大的病毒有蠕虫病毒,它是利用应用程序的漏洞进行攻击;木马病毒是伪装成合法程序,安装在系统中,对计算机程序造成破坏。此外常见病毒还包括引导区病毒、文件型病毒、宏病毒、后门程序等[3]。
1.4 漏洞对计算机网络安全的影响
漏洞是可以为黑客利用的弱点,它可以是软件、硬件、程序设计不当或者配置不当造成。黑客可通过研究这些漏洞,寻找破坏的机会。当前主流的操作系统无一例外全部存在着漏洞和后门,为计算机网络安全带来了隐患。
1.5 管理和使用人员对计算机网络安全的影响
相当比例的计算机设备管理人员并不具备相应的上岗的技术条件,也不具有相关的安全意识和责任心,无视操作规范要求。比如采用明码传输信息、密钥反复使用、密码设置过于简单等。计算机用户在使用过程中,缺乏安全常识,同时也为计算机网络安全带来了危险。
此外,计算机网络的管理缺乏有效的评估和监控手段、缺乏安全策略、由于访问控制配置的复杂性,导致配置错误、传输信道上的安全隐患等等,都会给计算机网络安全造成威胁。同时网络安全的防御技术发展明显滞后于信息网络技术,网络技术的发展日新月异,可安全性能却少见提高[4]。
2保证计算机网络安全的策略
2.1 普及网络安全意识
强化网络安全教育,让使用者和管理者均认识到计算机网络安全的作用。同时强化网络管理,提高相关人员的专业技术素养及安全意识。网络的建立与使用要严格审批手续,确保每个终端是可追溯的。
2.2身份认证技术
网络由于其开放性,其安全性不可避免会遭到威胁。用户的信息认证是网络安全的关键技术,利用用户口令和密码等鉴别方式达到网络系统权限分级,常用的身份认证技术包括基于“可信任的第三方”的认证机制、口令认证法和智能卡技术等[5]。
2.3密码技术
密码技术通常包括数字签名和不同网络加密技术等,其中网络加密技术主要包含三种方式:链路加密方式、节点对节点加密方式和端对端加密方式。其中,节点对节点加密方式只是在链路加密方式上增加了保护机制。
2.4 防火墙与入侵检测系统的应用
防火墙技术一般分为三大类:数据包过滤技术,应用网关和技术。防火墙技术与入侵检测系统二者的联动,相辅相成,为计算机网络安全提供了保障。二者的联合应用不仅起到防御的功能,而且可以主动发现入侵,并做出相应的反应[6]。
防御措施还包括数据保护、鉴别技术、访问控制技术,而且网络系统结构设计合理与否是网络安全运行的关键,是今后研究的热点和重点。
参考文献
[1]倪超凡.计算机网络安全技术初探[J].赤峰学院学报:自然科学版,2009(12):12—16.
[2]刘远生,辛一.计算机网络安全[M].清华大学出版社,2009:108—116.
[3]郭军.网络管理[M].北京:邮电出版社,2001:100—118.
[4]岳建.浅析计算机网络安全技术[J].计算机光盘软件与应用,2011(13):20—24.
关键词:网络安全 计算机网络 入侵检测
一、 计算机网络安全的含义
计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护, 避免被窃听、篡改和伪造; 而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾害、 军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信, 保持网络通信的连续性。
从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致 因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。
二、 常见的几种网络入侵方法
由于计算机网络的设计初衷是资源共享、分散控制、分组交换,这决定了互联网具有大跨度、分布式、无边界的特征。这种开放性使黑客可以轻而易举地进入各级网络,并将破坏行为迅速地在网络中传播。同时,计算机网络还有着自然社会中所不具有的隐蔽性:无法有效识别网络用户的真实身份;由于互联网上信息以二进制数码,即数字化的形式存在,所以操作者能比较容易地在数据传播过程中改变信息内容。计算机网络的传输协议及操作系统也存在设计上的缺陷和漏洞,从而导致各种被攻击的潜在危险层出不穷,这使网络安全问题与传统的各种安全问题相比面临着更加严峻的挑战,黑客们也正是利用这样的特征研发出了各种各样的攻击和入侵方法:
1.通过伪装发动攻击
2.利用开放端口漏洞发动攻击
3.通过木马程序进行入侵或发动攻击
4.嗅探器和扫描攻击
为了应对不断更新的网络攻击手段,网络安全技术也经历了从被动防护到主动检测的发展过程。主要的网络安全技术包括:防火墙、VPN、防毒墙、入侵检测、入侵防御、漏洞扫描。其中防病毒、防火墙和VPN属早期的被动防护技术,入侵检测、入侵防御和漏洞扫描属主动检测技术,这些技术领域的研究成果已经成为众多信息安全产品的基础。
三、网络的安全策略分析
早期的网络防护技术的出发点是首先划分出明确的网络边界,然后通过在网络边界处对流经的信息利用各种控制方法进行检查,只有符合规定的信息才可以通过网络边界,从而达到阻止对网络攻击、入侵的目的。主要的网络防护技术包括:
1.防火墙
防火墙是一种隔离控制技术,通过预定义的安全策略,对内外网通信强制实施访问控制,常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。包过滤技术是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据据流中的每个数据包,根据数据包的源地址、目标地址、以及包所使用的端口确定是否允许该类数据包通过;状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别,与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性;应用网关技术在应用层实现,它使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其他网络,其目的在于隐蔽被保护网络的具体细节,保护其中的主机及其数据。
2.VPN
VPN(Virtual Private Network)即虚拟专用网络,它是将物理分布在不同地点的网络通过公用骨干网连接而成的逻辑上的虚拟子网。它可以帮助异地用户、公司分支机构、商业伙伴及供应商与内部网建立可信的安全连接,并保证数据的安全传输。为了保障信息的安全,VPN技术采用了鉴别、访问控制、保密性和完整性等措施,以防止信息被泄露、篡改和复制。VPN技术可以在不同的传输协议层实现,如在应用层有SSL协议,它广泛应用于Web浏览程序和Web服务器程序,提供对等的身份认证和应用数据的加密;在会话层有Socks协议,在该协议中,客户程序通过Socks客户端的1080端口透过防火墙发起连接,建立到Socks服务器的VPN隧道;在网络层有IPSec协议,它是一种由IETF设计的端到端的确保IP层通信安全的机制,对IP包进行的IPSec处理有AH(Authentication Header)和ESP(Encapsulating Security Payload)两种方式。
互联网,将网络与网络之间相互串连形成了一个庞大的网络体系。它的日益兴起与高速发展使人类社会大踏步迈向信息化社会,信息化也以其飞速的发展渗透入人类的生活当中。狭义的社会是封闭而又狭窄的,越来越多的网络用户足不出户便可通过互联网开阔自己的视野,获取海量的信息资源,与外界联系等。经济、文化、政治、军事等诸多领域也逐步依赖于网络。大到超级计算机,小到一部手机,都可以通过一组通用的协议相互连接,它减少了距离与隔阂的同时,也为人类生活带来了不小的隐患。网络安全问题不断扩大,并不只是感染病毒使计算机瘫痪这么简单,它往往带来了对隐私和财产的侵犯等诸多违法问题,是人类受到巨大损失。因此稳定的计算机网络系统成为社会信息化安定发展的重要保障,网络与信息安全也成为了社会热点之一。
2计算机网络安全的主要问题根源
计算机网络安全主要分为自身存在的威胁和来自外界的威胁。计算机自身威胁又包含了网络缺陷、计算机硬件威胁、和计算机软件漏洞三个方面。病毒与黑客的攻击作为来自外界的威胁,是当前导致最严重的网络安全问题的根源。下面对四个方面进行细致的分析:
2.1互联网的安全缺陷
网络构建了一个开放性的虚拟环境,仅通过一个通用的协议作为网络节点的唯一标识来进行多用会多群体的授权与认证。并根据源IP地址来判断数据的真实性和安全性。然而该协议存在一个致命性的缺陷就是不能对IP地址进行正当的维护,这也是不法分子利用这一点进行网络欺诈、设备攻击等。
2.2计算机网络硬件的隐患
电子辐射泄漏和通讯渠道易侵入是计算机网络硬件上的两大主要隐患。前者通过电磁信息增加了被窃密的风险;后者通过常用的专线、微波等,在经行信息与数据交互时埋下了不可小视的隐患。
2.3浏览器的漏洞
据国家计算机网络入侵防范中心的安全漏洞统计报告中指出,IE浏览器作为应用率最广的却多次曝出存在严重的安全漏洞,并多次被黑客远程利用,获取用户私人信息用与不法活动。据统计,平均每周的安全漏洞有180个左右,其中高危漏洞占据了漏洞总数的45%之多。
2.4病毒黑客入侵
病毒作为最常见却最难根治的威胁计算机网络安全的原因之一,具有传播速度极快而广、毒发迅速的特性。感染网络病毒后一开始并不会有所发觉只会造成系统卡顿降低工作效率等影响。然而不及时清除并会造成极其严重的影响,例如:数据剽窃、系统崩盘甚至是财产损失。造成连带效应后,不只是一个用户的计算机不能正常使用,它往往会牵连出更多用户遭到攻击,至使整个网络走向不安定的境况。
3处理威胁网络安全的有效措施
3.1安装网络安全设备或系统
随着计算机技术的不断发展,计算机病毒也会日益复杂,相对其的解决方案也层出不穷。安装防毒软件是计算机网络安全防范中广大用户的普遍选择。网络杀毒软件不同于单机杀毒软件,它更倾向于对网页或者来自于网络的资源的监察。病毒试图通过数据破坏和删除、垃圾邮件、后门攻击等方式对用户造成威胁。所以,建立系统的网络病毒方法体系是对计算机网络安全维护的最基础却最有效的办法。
3.2数据加密与防护
数据加密技术是指对信息进行重新编码,从而隐藏信息内容使非法用户无法得到信息,得到信息后无法破解获取真实内容的技术手段,包含数据存储加密、数据传输加密和数据完整性鉴别三种方式。数据存储加密技术的防范目的为防止存储环节的数据丢失。数据传输加密可以防止数据流在传输过程中被人盗取。数据完整性鉴定则是对介入信息的传送、存取、处理人的身份和相关数据进行全面细致的保密措施。通过对比验证原设定参数与当前验证输入的一致性经行安全保护。
3.3了解攻击途径
对网络攻击的了解应该作为对网络应用的基础被广大用户熟悉。只有通过了解问题的根源与途径,才能正确消除不安定因素。网络攻击主要利用协议获取信息资源。不法分子会利用公开协议或工具,手机驻留在网络系统中的主机系统的相关信息以达到不法目的。
3.4提高个人网络素质,加大网络违法行为的惩罚力度
个人网络素质同样是个人的必修课。提高网络工作人员的整体素质刻不容缓,在提升其对计算机认知和技术的同时更应加强安全防范意识和责任心。我国的计算机产业起步较晚相对应的法律不够健全,随着社会的进步,计算机也会不断扩张他的重要地位。因此,完善法律制度对违法网络行使安全的人严惩不贷同样重要。
4结论
网络安全受到威胁不仅仅是技术上的缺陷,更是安全管理的缺陷。计算机网络环境的复杂与多变,都提醒用户不能仅仅只靠杀毒软件就能万事无忧。学会更多的自我保护技巧、了解问题发生的根源便能大大减少受到侵害的几率。无法创建出绝对安全的网络环境,防范技术势必随着计算机的发展而不断前进着。只有用户将安全技术与应用管理手段结合到一起,使其相辅相成,才能享受更加高效、安全的网络系统。该论文受到北京高校“北京高等学校青年英才计划项目”、国家自然科学基金项目(No.71240002,71371128)、教育部人文社会科学研究项目13YJC630012、北京市哲学社会科学项目(14SHB015,13SHB015,11JGB077)、北京市教育科学规划项目AAA13003、北京市教育委员会科学技术研究计划项目(KM2012100038001,KM201110038002)、北京自然科学基金项目(No.9142003,9122003,9123025,《基于碳管理能力认证的北京市信息资源碳排放目标实现路径的研究》)的资助。
作者:纪凌波 卢山 单位:首都经济贸易大学信息学院
引用:
[1]高永强等.网络安全技术与应用.北京:人民邮电出版社,2003.
[2]董玉格等.网络攻击与防护-网络安全与实用防护技术.北京:人民邮电出版社,2002.
关键词 网络安全;漏洞;扫描策略
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2013)15-0045-01
计算机网络极大的改变了信息的传输与获取方式,但是也为信息带来了更严重的安全威胁,如何使用必要的安全防护与漏洞管理技术来确保计算机网络的安全已经成为当前网络研究的重点之一。
1 网络安全概述
计算机网络具有高度的开放性和自由性,这种特性使得人们在应用计算机网络进行信息传输或存储时必须考虑如何确保信息不受窃取或破坏,维护个人利益或商业利益。从本质来看,保护计算机网络的安全就是保护网络中所传输的信息的安全,确保网络中的各项内容具有完整性、真实性与机密性,确保网络服务具有连续性和稳定性,确保网络是可控的。
但是在实际应用中,计算机网络中存在多种不可控因素,这些因素使得每一针对网络安全的防护机制都被限定在有限的范围和情境中,且受人为因素的影响较大。同时,无论是何种应用还是网络都不可避免的存在一些漏洞,这些漏洞一旦被发现和利用则会造成不同程度的损失。如防火墙可有效监控内网与外网之间的通信活动,但是对于内网间的某些非法行为则是无法起作用的;即便是安全防护工具也有可能存在安全漏洞,这些漏洞很有可能被攻击者利用等。
2 安全漏洞扫描技术
安全漏洞扫描是网络安全防护技术的一种,其可以对计算机网络内的网络设备或终端系统和应用等进行检测与分析,查找出其中存在的缺陷的漏洞,协助相关人员修复或采取必要的安全防护措施来消除或降低这些漏洞,进而提升计算机网络的安全性能。
目前进行安全漏洞扫描时可以遵循的策略大致可以分为两种:主动式与被动式。其中主动式安全漏洞扫描策略可以利用网络进行系统自检,根据主机的响应可以了解和掌握主机操作系统、服务以及程序中是否存在漏洞需要修复。被动式安全漏洞扫描策略可以在服务器的基础上对计算机网络内的多项内容进行扫描与检测,进而生成检测报告反馈给网络管理人员供其分析与处理所发现的漏洞。
3 网络安全漏洞扫描方法
对现有的漏洞扫描方法进行分类可将其分为三类。
3.1 基于端口扫描的漏洞分析法
针对网络安全的入侵行为通常都是会扫描目标主机的某些端口,并查看这些端口中是否存在某些安全漏洞而实现的,因而在进行漏洞扫描时可以在网络通向目标主机的某些端口发送特定的信息以够获得某些端口信息,并根据这些信息来判断和分析目标主机中是否存在漏洞。以UNIX系统为例,Finger服务允许入侵者通过其获得某些公开信息,对该服务进行扫描可以测试与判断目标主机的Finger服务是否开放,进而根据判断结果进行漏洞修复。
3.2 基于暴力的用户口令破解法
为提升网络用户的安全性能,大多数网络服务都设置了用户名与登录密码,并为不同的用户分配了相应的网络操作权限。若能够对用户名进行破解则可以获取相应的网络访问权限,进而对网络带来安全威胁。
1)POP3弱口令漏洞扫描。POP3是一类常用的邮件收发协议,该协议使用用户名与密码来进行邮件收发操作。对其进行漏洞扫描时可以首先建立一个用户标识与密码文档,该文档中存储着常见的用户标识与登录密码,且支持更新。然后在进行漏洞扫描操作时可以与POP3所使用的目标端口进行连接,确认该协议是否处于认证状态。具体操作为:将用户标识发送给目标主机,然后分析目标主机返回的应答结果,若结果中包含失败或错误信息,则说明该标识是错误不可用的,若结果中包含成功信息,则说明身份认证通过,进一步向目标主机发送登陆密码,仿照上述过程判断返回指令。该方式可查找出计算机网络中存在的若用户名与密码。
2)FTP弱口令漏洞扫描。FTP是一类文件传输协议,其通过FTP服务器建立与用户的连接,进而实现文件的上传与下载。通过这类协议进行漏洞扫描方法与POP3方法类似,不同的是扫描时所建立的连接为SOCKET连接,用户名发送分为匿名指令与用户指令两种,若允许匿名登录则可直接登录到FTP服务器中,若不允许匿名登录则按照POP3口令破解的方式进行漏洞扫描。
3.3 基于漏洞特征码的数据包发送与漏洞扫描
系统或应用在面对某些特殊操作或特殊字符时可能会出现安全问题,为检测这种类型的漏洞可以使用特征码的方式向目标主机端口发送包含特征码的数据包,通过主句返回的信息判断其中是否存在漏洞,是否需要进行漏洞修复。
1)CGI漏洞扫描。CGI表示公用网关接口,其所包含的内容非常宽泛,可支持多种编程语言。在应用基于CGI语言标准开发的计算机应用中若处理不当则很有可能在输入输出或指令执行等方面出现意外状况,导致网络稳定性变差,网络受到安全威胁等出现,即CGI漏洞。对于该类型的漏洞,可以使用如下方式扫描分析。以Campas漏洞为例,该漏洞允许非法用户查看存储于web端的数据信息,其具有以下特征码:Get/cgi-bin/campas?%()acat/()a/etc/passwd%()a。对其进行扫描时可以使用Winsock工具与服务器的HrHP端口建立连接,连接建立后向服务器发送GET请求,请求即为Campas漏洞的特征码,然后根据服务器返回的信息确认其中是否存在该漏洞,若不存在该漏洞则服务器会返回HTTP 404的信息,若存在则会返回相应的信息,此时需要根据实际情况对漏洞进行修复。
2)UNICODE漏洞扫描。UNICODE是一种标准的编码方式,但是计算机系统在处理该类型编码时容易出现错误,对其进行漏洞扫描与上述CGI漏洞扫描方式类似,不同之处在于连接函数为CONNECT函数,通信端口为80端口,特征码也为UNICODE漏洞所具有的特征码。根据返回结果可以确认网络中是否存在该类型的安全漏洞。
4 总结
总之,计算机网络一直处于发展和变化的状态,其中可能存在的安全漏洞受多种因素的影响是不尽相同的,为获得较为全面的扫描结果所使用的扫描技术也是不断变化的。为做好计算机网络的安全防护工作,一方面要更新扫描方法发现漏洞,另一方面要及时修复漏洞,避免因漏洞而出现安全问题。
参考文献
[1]万琳.基于网络安全的漏洞扫描[J].内江科技,2008,29(5).
[2]曾鹏.浅论网络安全问题及对策研究[J].科海故事博览·科教创新,2009(4).
关键词:课程设置;网络安全;网络工程
文章编号:1672-5913(2013)14-0068-04 中图分类号:G642
0 引言
网络工程专业是伴随计算机网络技术的快速发展而在我国高校开设的一个较新领域的专业。1998年教育部增设网络工程专业(080613W),首批有11所院校开设此专业,之后全国各高校纷纷增设了可以授予网络工程工学学位和网络工程理学学位的学位点。到2012年有330所高校开设了此专业,其中重点院校超过50所。经过15年的发展,网络工程专业已经初具规模。2011年教育部将网络工程专业纳入正式目录体系(080903),从此网络工程专业成为目录内专业。同时,教育部计算机专业教指委了《网络工程专业规范(建议)》。由于没有专门的网络工程分教指委机构指导该专业的建设工作,导致各高校网络工程专业的专业定位、培养目标、培养模式和课程设置、就业方向各具特色,但也存在很多共同特性。比如,网络工程专业所设研究方向大致有网络规划构建方向、网络软件开发方向、网络安全方向和无线通信方向等。
近年来,随着网络技术的不断普及,网络安全问题日益凸显,渐渐成为人们最为关注的热点。借助山东省名校工程的契机,结合信息安全教学团队的建设,我们进一步优化了网络工程专业的培养方案。网络安全方向作为网络工程专业的一个重要学习方向,应如何设置课程,如何实现课程设置与教学团队建设结合,是本文探讨的主要问题。
1 网络安全方向课程设置现状
笔者从众多开设网络工程专业的高校中选取部分211或985学校作为研究对象,对多所学校的网络安全方向课程的设置进行了对比分析,见表1。网络安全在某些高校是作为网络工程专业的一个方向开设,如吉林大学就是在网络工程专业下设网络安全方向,开设网络攻防技术、无线网络技术等课程;而在有些院校网络工程中没有网络安全方向,而以单独的信息安全专业存在,如电子科技大学和北京邮电大学都是单独没有信息安全专业,该专业开设的安全方向课程更全面,如信息安全数学基础、密码学基础、网络安全协议等;还有一些高校既没有信息安全专业,在网络工程专业中也没有安全方向,只是在课程中设置了少量的安全类课程,如大连理工大学开设网络安全、Matlab课程,中山大学开设了密码学与网络安全课程。
2 扩展课程设置探讨
下面针对济南大学的网络工程专业安全方向开设的课程进行改革探讨。济南大学网络工程专业目前正在使用的培养方案中与安全相关的课程设置情况见表2。其中,一部分是计算机类学科基础课,一部分是网络工程专业基础选修课和专业方向课。济南大学网络工程专业中设有网络安全方向。
结合山东省名校工程的契机,笔者在调研多个名校的培养方案并结合本校实际情况的前提下,对网络安全方向课程的设置提出下面几个调整意见。
2.1 增设信息安全数学基础和网络仿真课程
虽然原有培养方案中高等数学、线性代数、概率论与数理统计、离散数学4门数学课程都占据了大量学时,但是对于网络安全方向的学生而言,后期用到的相关数学知识并不多。但是学生对网络安全真正用到的初等数论和群环域知识却一点都没有接触。因此,修改培养方案时应增设信息安全数学基础课程,学时不用太多,可以为24学时,授课内容要涉及网络安全中用到的模运算、同余理论、数论函数和群环域等知识。
目前,网络安全方向用到的数学知识均是在应用密码学课程中讲解的。大部分有关密码学的教材都会在讲解分组密码和公钥密码时,介绍一些与之密切相关的数学知识(如群环域),如由清华大学出版社出版,杨波编写的《现代密码学》(第二版)中的“密码学中一些常用的数学知识”部分。这种做法一方面占了密码学课程的部分学时,势必会减少学生学到的密码学知识;另一方面,临时讲一些数学知识并不能让学生系统地理解。因此,笔者非常赞成清华大学冯克勤教授提出的增设初等数论课程的想法。虽然冯教授是针对清华大学数学科学系本科生提出的,但对于网络安全方向的学生而言,不学习初等数论和群环域知识,很难理解和掌握后续的与安全相关的课程内容,这点在应用密码学课程中尤其明显。
例如,学习离散对数算法后,学生只知道在已知一些参数的情况下如何利用指数进行加密解密,但不能理解如何选择参数,不知道什么是本原元,如何确定一个循环群的本原元以及如何利用模运算降低计算量,如何快速的编程实现。笔者采用不同于上述冯教授提出的在大学第1学期开设初等数论课程的方式,而是在第3学期开设。因为济南大学在第1、2学期,学生必修高等数学和线性代数课程,这已经使学生无暇顾及更多的数学知识。第3学期开设信息安全数学基础可以很好地和第4学期开设的应用密码学课程衔接。另外,在信息安全数学基础课程中,安排一定的实验学时,让学生在经过第1、2学期的程序设计课程之后,通过学过的编程语言实现数论和群环域中的一些算法,理论联系实际,从而更好地掌握数学知识,为后续密码学算法的研究奠定基础。
2.2 增加网络仿真课程
现代网络技术的研究离不开仿真软件,因为我们不可能实际搭建网络,如果不合适,再拆了重新搭建,这不仅费时而且费力。现在所有与网络相关的研究都在仿真基础上进行;而如果不开设仿真课程,学生仅学习理论知识,会与实际应用脱离。济南大学的信息安全教学团队由5位博士组成,其中3人是数学专业背景,主要研究网络安全,2人是计算机学科出身,主要研究无线网络,而且5人中有2人具有工程背景。信息安全教学团队负责网络工程专业的所有安全类课程的教学,包含无线网络和网络协议等课程,这些课程都需要仿真软件的配合才能使学生真正掌握所学知识。因此,增加网络仿真课程是必须的。至于仿真课程的内容,可以选择NS2或NS3,也可以与大连理工大学相似,采用Matlab。
2.3 合并网络协议和网络安全协议课程。调整其他相关课程的学分和学时
网络协议课程主要讲TCP/IP协议,内容与吉林大学的TCP/IP协议族相似,重点在网络的分层协议,如网络层协议、传输层协议等。涉及部分安全协议,如IPsec、SSL、SNMP等,这与网络安全协议课程中再次对这些内容的讲解重复,而且安全协议本身也是网络协议的一种,因此可以考虑将安全协议和网络协议两个课程整合或一门全新的网络协议课程,去掉重复内容,增加部分学分和学时,从原有的2.5学分增加到3学分,同时学时从原有的48增加到64。网络工程专业修改培养方案后的安全方向课程设置见表3。
从表3可以看出培养方案修正前后的总学分保持不变,这是因为在增加新课的同时,调整了部分课程所占学分和学时,如减少无线网络原理与技术的学分,从原有的4学分减到3,5学分。这样一方面增加了新课,另一方面整合了重复内容的课程。
3 结语
网络安全作为网络工程专业的一个重要方向,在课程设置上有待进一步优化和扩展,结合网络技术的新发展,我们也在探讨不断增加新课程(如数字取证、数字隐藏等),减少或去掉某些过时的课程,并发挥互补的教学团队作用,在课程设置上兼顾个人的研究特长,很好地把无线网络与网络安全融合在一起。借名校工程的契机进一步推进教学改革,更好地发展学生的主体研究能力,和教师的团队配合,培养学生科学的探索精神和创造能力。
参考文献:
[1]教育部高等学校计算机科学与技术教学指导委员会,高等学校网络工程专业规范(试行)[M],北京:高等教育出版社,2012
[2]刘悦,张远,贾忠田,高等学校网络工程本科专业的科学规范探讨[J],计算机教育,2008(24):120-122