康學(xué)梅 黃 琳 張耕寧

[摘要]主要從物理安全、安全控制、安全服務(wù)三個(gè)方面介紹網(wǎng)絡(luò)信息安全基礎(chǔ)知識(shí),提出目前網(wǎng)絡(luò)信息安全存在的主要問(wèn)題并具體闡述針對(duì)這些問(wèn)題的防范技術(shù)。

[關(guān)鍵詞]計(jì)算機(jī)網(wǎng)絡(luò)信息安全防范技術(shù)

中圖分類號(hào):TP3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1671-7597(2009)1220046-01

計(jì)算機(jī)網(wǎng)絡(luò)信息安全是指信息的完整性、機(jī)密性和有效性,它從層次上可分為物理安全、安全控制和安全服務(wù)三個(gè)方面。物理安全是指在物理介質(zhì)層次上對(duì)存儲(chǔ)和傳輸?shù)木W(wǎng)絡(luò)信息的安全保護(hù)。它主要包括:自然環(huán)境對(duì)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備的影響;防止設(shè)備被盜竊、毀壞、電磁輻射、電磁干擾等;保證媒體所承載數(shù)據(jù)的安全性。

安全控制是指在網(wǎng)絡(luò)信息系統(tǒng)中對(duì)存儲(chǔ)和傳輸輻射信息的操作、進(jìn)程控制與管理,在網(wǎng)絡(luò)信息處理層次上對(duì)信息進(jìn)行安全保護(hù)。它主要包括:(1)操作系統(tǒng)的安全控制,即對(duì)用戶合法身份的核實(shí)、對(duì)文件讀寫權(quán)限的控制等,主要是保護(hù)存儲(chǔ)數(shù)據(jù)的安全。(2)網(wǎng)絡(luò)接口模塊的安全控制,即對(duì)來(lái)自其他機(jī)器的通信進(jìn)程進(jìn)行安全控制,主要是身份認(rèn)證、客戶權(quán)限設(shè)置與判別、日志審計(jì)等。(3)網(wǎng)絡(luò)互連設(shè)備的安全控制,即對(duì)整個(gè)子網(wǎng)內(nèi)的所有主機(jī)的傳輸信息、運(yùn)行狀態(tài)進(jìn)行安全檢測(cè)和控制,主要是通過(guò)網(wǎng)管軟件或路由器配置實(shí)現(xiàn)。

安全服務(wù)是指在應(yīng)用程序?qū)訉?duì)網(wǎng)絡(luò)信息的保密性、完整性、真實(shí)性進(jìn)行保護(hù)和鑒別,防止各種安全威脅和攻擊。它主要包括安全機(jī)制、安全連接、安全協(xié)議和安全策略等。(1)安全機(jī)制是利用密碼算法對(duì)重要而敏感的數(shù)據(jù)進(jìn)行處理。它包括以保護(hù)網(wǎng)絡(luò)信息的保密性為目標(biāo)的數(shù)據(jù)加密和解密;以保證網(wǎng)絡(luò)信息來(lái)源的真實(shí)性和合法性為目標(biāo)的數(shù)字簽名、簽名驗(yàn)證;以保護(hù)網(wǎng)絡(luò)信息的完整性,防止檢測(cè)數(shù)據(jù)被修改、插入、刪除和改變的信息認(rèn)證等。(2)安全連接是在安全處理前與網(wǎng)絡(luò)通信方之間的連接過(guò)程,它主要包括會(huì)話密鑰的分配、生成以及身份驗(yàn)證。(3)安全協(xié)議使網(wǎng)絡(luò)環(huán)境下互不信任的通信方能夠相互配合,并通過(guò)安全連接和安全機(jī)制的實(shí)現(xiàn)來(lái)保證通信過(guò)程的安全性、可靠性、公平性。(4)安全策略是安全機(jī)制、安全連接和安全協(xié)議的有機(jī)組合方式,是網(wǎng)絡(luò)信息安全性完整的解決方案,不同的網(wǎng)絡(luò)信息系統(tǒng)和不同的應(yīng)用環(huán)境應(yīng)采取不同的安全策略。

為了確保計(jì)算機(jī)網(wǎng)絡(luò)信息安全,在實(shí)際應(yīng)用中通常采用以下幾種安全技術(shù):

一、病毒防范技術(shù)

病毒是指編寫或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能、毀壞數(shù)據(jù)、能自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。它具有傳染性、非授權(quán)性、隱藏性、破壞性和不可預(yù)見(jiàn)性。目前防范病毒常見(jiàn)的措施有:(1)安裝防病毒軟件,并及時(shí)更新病毒庫(kù)。(2)加強(qiáng)數(shù)據(jù)備份和恢復(fù)措施。(3)對(duì)敏感的設(shè)備和數(shù)據(jù)建立必要的物理或邏輯隔離措施。(4)不輕易打開(kāi)來(lái)歷不明的電子郵件及其附件等。

二、防火墻技術(shù)

防火墻是指在內(nèi)部局域網(wǎng)和公眾網(wǎng)之間設(shè)置的一道屏障,它實(shí)際上是一種隔離技術(shù)。防火墻可以阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)你的機(jī)器,防止他們篡改、拷貝、毀壞你的重要信息。

實(shí)現(xiàn)防火墻的主要技術(shù)有:數(shù)據(jù)包過(guò)濾、應(yīng)用網(wǎng)關(guān)和代理服務(wù)等。目前防火墻技術(shù)的局限性:(1)防火墻不能防范網(wǎng)絡(luò)內(nèi)部的攻擊。(2)主要是基于IP控制而不是用戶身份。(3)防火墻不能阻止已經(jīng)感染病毒的軟件或文件的傳送,不能期望防火墻對(duì)每一個(gè)文件進(jìn)行掃描而查出所有的非法行為。(4)難于管理和配置,易造成安全漏洞。

三、入侵檢測(cè)技術(shù)

入侵檢測(cè)系統(tǒng)是對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識(shí)別、響應(yīng)和處理過(guò)程。入侵檢測(cè)技術(shù)主要有以下兩種:一是從具體的檢測(cè)方法上,有基于行為的入侵檢測(cè)和基于知識(shí)的入侵檢測(cè)兩類?；谛袨榈娜肭謾z測(cè),是指根據(jù)使用者的行為或資源使用狀況的正常程度來(lái)判斷是否發(fā)生網(wǎng)絡(luò)入侵;基于知識(shí)的入侵檢測(cè),是指運(yùn)用已知的攻擊方法,通過(guò)分析入侵跡象來(lái)判斷是否發(fā)生網(wǎng)絡(luò)入侵。二是從檢測(cè)系統(tǒng)所分析原始數(shù)據(jù)上,有來(lái)自系統(tǒng)日志的入侵檢測(cè)和來(lái)自網(wǎng)絡(luò)數(shù)據(jù)包中的入侵檢測(cè)兩種。入侵檢測(cè)的早期研究主要集中在主機(jī)系統(tǒng)的日志文件分析上,因?yàn)檫@時(shí)的用戶對(duì)象主要局限于本地用戶;隨著分布式大型網(wǎng)絡(luò)的推廣,用戶可隨機(jī)地從不同的客戶機(jī)上登錄,主機(jī)間也經(jīng)常需要交換信息,僅靠對(duì)操作系統(tǒng)的日志文件進(jìn)行檢測(cè),不能滿足用戶的需求,這樣就使入侵檢測(cè)的對(duì)象范圍擴(kuò)大至整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)。

四、數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是網(wǎng)絡(luò)中最基本的安全技術(shù),主要是通過(guò)對(duì)網(wǎng)絡(luò)中傳輸?shù)男畔⑦M(jìn)行數(shù)據(jù)加密來(lái)保障其安全性。加密是一種限制對(duì)網(wǎng)絡(luò)上傳輸數(shù)據(jù)的訪問(wèn)權(quán)的技術(shù)。原始數(shù)據(jù)(也稱為明文,plaintext)被加密設(shè)備(硬件或軟件)和密鑰加密而產(chǎn)生的經(jīng)過(guò)編碼的數(shù)據(jù)稱為密文(cipher text)。將密文還原為原始明文的過(guò)程稱為解密,它是加密的反向處理,但解密者必須利用相同類型的加密設(shè)備和密鑰,才能對(duì)密文進(jìn)行解密。數(shù)據(jù)加密類型可以簡(jiǎn)單地分為三種:一是根本不考慮解密問(wèn)題;二是私用密鑰加密技術(shù);三是公開(kāi)密鑰加密技術(shù)。

五、安全協(xié)議

安全協(xié)議的建立和完善,是計(jì)算機(jī)網(wǎng)絡(luò)信息安全保密走上規(guī)范化、標(biāo)準(zhǔn)化道路的基本因素。目前已開(kāi)發(fā)應(yīng)用的安全協(xié)議有以下5種:(1)加密協(xié)議。一能用于把保密數(shù)據(jù)轉(zhuǎn)換成公開(kāi)數(shù)據(jù),在公用網(wǎng)中自由發(fā)送;二能用于授權(quán)控制,無(wú)關(guān)人員無(wú)法解讀。(2)密鑰管理協(xié)議。包括密鑰的生成、分類、存儲(chǔ)、保護(hù)、公證等協(xié)議。(3)數(shù)據(jù)驗(yàn)證協(xié)議。包括數(shù)據(jù)解壓、數(shù)據(jù)驗(yàn)證、數(shù)字簽名。(4)安全審計(jì)協(xié)議。包括與安全有關(guān)的事件,如數(shù)據(jù)事件的探測(cè)、收集、控制。(5)防護(hù)協(xié)議。除防病毒卡、干擾儀、防泄露等物理性防護(hù)措施外,還用于對(duì)信息系統(tǒng)自身保護(hù)的數(shù)據(jù)(審計(jì)表等)和各種秘密參數(shù)(用戶口令、密鑰等)進(jìn)行保護(hù),以增強(qiáng)反網(wǎng)絡(luò)入侵功能。

六、身份認(rèn)證技術(shù)

身份認(rèn)證(Authentication)是系統(tǒng)核查用戶身份證明的過(guò)程,其實(shí)質(zhì)是查明用戶是否具有它所請(qǐng)求資源的存儲(chǔ)使用權(quán)。身份識(shí)別(Adentific

ation)是指用戶向系統(tǒng)出示自己的身份證明的過(guò)程。這兩項(xiàng)工作通常被稱為身份認(rèn)證。

身份認(rèn)證至少應(yīng)包括驗(yàn)證協(xié)議和授權(quán)協(xié)議。網(wǎng)絡(luò)中的各種應(yīng)用和計(jì)算機(jī)系統(tǒng)都需要通過(guò)身份認(rèn)證來(lái)確認(rèn)合法性,然后確定它的個(gè)人數(shù)據(jù)和特定權(quán)限。對(duì)于身份認(rèn)證系統(tǒng)來(lái)說(shuō),最重要的技術(shù)指標(biāo)是合法用戶的身份是否易于被別人冒充。用戶身份被冒充不僅可能損害用戶自身的利益,也可能損害其他用戶的利益或整個(gè)系統(tǒng)。因此,身份認(rèn)證是授權(quán)控制的基礎(chǔ)。

只有有效的身份認(rèn)證,才能保證訪問(wèn)控制、安全審計(jì)、入侵防范等安全機(jī)制的有效實(shí)施。身份認(rèn)證技術(shù)有以下幾種:基于口令的認(rèn)證技術(shù)、給予密鑰的認(rèn)證鑒別技術(shù)、基于智能卡和智能密碼鑰匙(USB KEY)的認(rèn)證技術(shù)、基于生物特征識(shí)別的認(rèn)證技術(shù)。

生物識(shí)別技術(shù)的核心在于如何獲取這些生物特征,并將之轉(zhuǎn)換為數(shù)字信息、存儲(chǔ)于計(jì)算機(jī)中,利用可靠的匹配算法來(lái)完成驗(yàn)證與識(shí)別個(gè)人身份的過(guò)程。與傳統(tǒng)的身份鑒定方法相比,生物識(shí)別技術(shù)具有安全、保密、方便、不易遺忘、防偽性能好、隨身“攜帶”和隨時(shí)隨地可用等優(yōu)點(diǎn)。