網路安全態勢緊張,網路安全事件頻發
據國家互聯網應急中心(CNCERT),2019年上半年,CNCERT新增捕獲計算機惡意程序樣本數量約3200萬個,計算機惡意程序傳播次數日均達約998萬次,CNCERT抽樣監測發現,2019年上半年我國境內峰值超過10Gbps的大流量分布式拒絕服務攻擊(DDoS攻擊)事件數量平均每月約4300起,同比增長18%;國家信息安全漏洞共享平台(CNVD)收錄通用型安全漏洞5859個。網站安全方面,2019年上半年,CNCERT自主監測發現約4.6萬個針對我國境內網站的仿冒頁面,境內外約1.4萬個IP地址對我國境內約2.6萬個網站植入後門,同比增長約1.2倍,可見我國網路安全態勢緊張。
網路安全行業的發展短期內是通過頻繁出現的安全事件驅動,短中期離不開國家政策合規,中長期則是通過信息化、雲計算、萬物互聯等基礎架構發展驅動。2020年網路安全領域將進一步迎來網路安全合規政策及安全事件催化,例如自2020年1月1日起施行《中華人民共和國密碼法》,2020年3月1日起施行《網路信息內容生態治理規定》等。2020年作為
「十三五」收官之年,將陸續開始編制網路安全十四五規劃。在各種因素的驅動下,2020年我國網路安全行業將得到進一步發展。
——以上數據來源於前瞻產業研究院《中國網路安全行業發展前景預測與投資戰略規劃分析報告》。
2. 網路安全未來發展怎麼樣
網路安全工程師的工作還有以下幾個優點:
1、職業壽命長:網路工程師工作的重點在於對企業信息化建設和維護,其中包含技術及管理等方面的工作,工作相對穩定,隨著項目經驗的不斷增長和對行業背景的深入了解,會越老越吃香。
2、發展空間大:在企業內部,網路工程師基本處於「雙高」地位,即地位高、待遇高。就業面廣,一專多能,實踐經驗適用於各個領域。
3、增值潛力大:掌握企業核心網路架構、安全技術,具有不可替代的競爭優勢。職業價值隨著自身經驗的豐富以及項目運作的成熟,升值空間一路看漲。
3. 計算機網路安全技術的發展趨勢
計算機網路安全技術的發展趨勢
在信息化時代里,計算機網路安全越來越受到重視,下面是我為大家搜索整理的關於計算機網路安全技術的發展趨勢,歡迎參考閱讀,希望對大家有所幫助!想了解更多相關信息請持續關注我們應屆畢業生培訓網!
在網路信息建設快速發展的現實情況中同時帶來了一系列的網路安全問題。計算機網路信息技術給人們生活工作提供了很大的方便,但是網路信息被盜取破壞的安全問題給人們帶來了很大的煩惱,因此提高網路技術防護水平有著重要的意義。
1、計算機網路安全相關概念
保護計算機系統正常運行,網路系統中的軟體、硬體和數據不被惡意攻擊或其他因素破壞、修改或者遺失是計算機網路安全的主要內容。其中包括網路數據在沒有經過授權的情況不被改變,信息在傳輸過程中確保信息的完整性而不會被破壞或丟失;保護信息不被未獲得許可權的計算機截取或使用;能夠對信息傳播進行有效控制等。
但是計算機網路安全問題時有發生,其中影響網路安全的因素有很多:
(1)網路系統設計問題,網路設計問題可導致網路安全問題的發生,由於網路系統在設計中缺乏全面的考慮和規范地設計,因此會出現安全漏洞,並且導致網路系統的拓展性不強。
(2)網路硬體配置問題,網路系統的質量會極大程度上受到網路中樞企業伺服器的影響,其伺服器運行是否穩定以及功能是否完善都決定了網路系統質量水平;另外,如果在網卡的選配上使用不當也會導致網路不穩定現象。
(3)網路安全策略不夠嚴密,網路安全策略是網路安全計劃實施前的准備或者是對計算機網路安全防護設置具體行動。但是在網路防火牆設置中往往會因為擴大了訪問許可權,導致不法人員對網路系統的惡意破壞。
(4)區域網安全問題,區域網常常用來局域內計算機之間的聯系和資源共享,它共享數據的開放性也導致了信息容易被無意或有意的篡改,因此區域網也給網路安全性製造了麻煩。如果在區域網中設置訪問控制配置,一定程度上可以提高安全性,但是其設置比較復雜,並且還會給別人提供可乘之機
2、計算機網路安全技術發展趨勢
網路安全控制技術主要集中在防病毒、防火牆以及入侵檢驗這三項技術中。這三項技術的研發和使用給網路環境提供了安全保障,但是隨著網路環境不斷復雜化,上述三項技術在目前水平整體技術框架中仍顯得不足。為了提高網路系統的安全性,強化這三項的防護能力是計算機網路安全技術的.主要發展趨勢。
1.防火牆技術發展趨勢
當今的防護牆技術水平以及產品都不是很成熟,在防護網路安全上存在一定的缺陷,使得客戶的需求得不到滿足,用戶的需求是防火牆技術不斷向前發展的動力,所以在以後的防火牆技術發展中提高它的安全性能,提高處理速度以及豐富功能是它的主要發展方向,這些技術特點中創新是關鍵性因素,只有加大技術創新的投入才能使得防火牆技術更加穩定地快速發展。目前各大安全防護軟體在防火牆技術性能研究方面主要集中在它的易用性、實用性以及穩定性上深入探討。防火牆技術會隨著網路環境形勢變化而發展,並逐漸獲得用戶更大的好感。防火牆技術在演算法和技術方面取得了較大的成就,但是防火牆技術如果被應用到計算加速和應用層性能分析方面,就能擴大服務功能為用戶網路系統應用層進行安全保護,因此對晶元加速問題和對深度內容過濾的內容研究,是防火牆技術發展的重要突破口,也是防火牆技術的創新之處,網路安全公司應該著力致力於這項技術的研究從而破解如今網路安全問題形勢嚴峻的問題。
為了面對當前網路安全問題的挑戰,就要建立起基於不同架構的功能防火牆,為促進我國網路安全環境進一步努力。想要達到這個目的就需要相關部門和研究人員投入更大的物力和財力進行研究,總之防火牆技術在環境的推動下會更具有人性化和可靠性。
2.入侵檢測技術發展趨勢
入侵檢測技術的工作原理是:通過搜集、分析多方面的信息對系統進行檢測,檢測內容包括系統是否被攻擊以及有無違反網路系統安全策略的行為。以後的入侵檢測技術發展主要藉助兩種手段對系統進行檢測。
(1)安全防禦檢測,通過運用網路安全風險管理體系中整體工程措施對網路安全管理問題進行全方面的處理,包括對加密通道、防火牆以及防病毒等方面對網路結構和網路系統進行全方位的檢查和分析,工程風險管理體系再生成可行的解決辦法解決入侵問題。
(2)智能化檢測,智能化監測手段是未來提高入侵檢測技術發展水平的突破口之一。目前,常用的智能化檢測方法主要是採用免疫原理法、模糊技術法以及神經網路手段等,特殊問題下還會用到遺傳演算法,通過上述方法加強對泛化入侵的辨識。其智能化檢測手段仍有很大的發展空間。
3.防病毒技術發展趨勢
提高防病毒技術發展水平主要是提高相關技術對網路系統病毒的查殺率,在未來的防病毒技術產品中其發展趨勢主要集中在反病毒和反黑有機結合方面以及從入口處攔截病毒。威脅病毒和黑客是網路安全的兩大真凶。在以後的技術研究中能夠更好的實現用戶根據實際需求進行智能掃描。在入口處攔截病毒是防病毒的根源之處,目前有很多生產商正在研發相關軟體和程序研發,將防毒程序和軟體直接配置在安全網關上面。
總之,計算機網路安全技術在維護用戶利益和國家機密安全有著不可替代的作用,隨著網路環境的不斷復雜化,提高網路安全防火牆技術、防入侵技術以及防病毒技術是當前解決網路安全問題的重要手段。
;4. 網路安全未來發展怎麼樣
在大數據的發展下,我國較為重視網路安全問題
實際上,我國政府較為重視網路安全問題的發展,僅在2020-2021年,我國就發布了多條政策規范網路安全的發展。但是在有明確規定的情況下,滴滴依然選擇了收集個人信息的行為是對我國網路安全的極大挑戰。因此,我國應加快修訂《網路安全審查辦法》,加強數據安全建設,保護我國公民的數據隱私安全。
在我國政府的重視下,不斷推出政策促進網路安全市場的發展促使我國網路安全市場規模不斷提升。2020年,我國網路安全行業市場規模達到了513億元,較2019年同比提升16.06個百分點。滴滴事件後,我國或會更加重視網路安全的發展,未來我國網路安全的市場規模或將進一步提高。
5. 計算機安全發展現狀
隨著網路技術的迅速發展和網路應用的廣泛普及,網路安全問題日益突出。如何對網路
上的非法行為進行主動防禦和有效抑制,是當今亟待解決的重要問題。本期專題就計算機網
絡安全研究的現狀、發展動態以及相關的理論進行了論述,並介紹了幾種計算機安全模型及
開發方法。
1.開放式互聯網路的安全問題研究 本文介紹了計算機安全研究的現狀和發展動態,並對
公鑰密碼體制和OSI的安全體系結構進行了詳細的分析。
2.計算機安全模型介紹 存取控制模型和信息流模型是計算機安全模型的兩大主流,作者
在文章中對此分別做了介紹。
3.計算機安全策略模型的開發方法 本文涉及兩類安全模型的開發方法,即函數型方法和
關系型方法,文中詳細敘述了這兩類開發方法中的狀態機模型與邊界流方法開發的具體步驟
。
4.Internet上防火牆的實現 目前,防火牆已成為實現網路安全策略最有效的工具之一。
防火牆的體系結構是什麼?防火牆有幾種類型?作者將在文章中做介紹。開放式互聯網路的安
全問題研究
上海交通大學金橋網路工程中心 余巍 唐冶文 白英彩
一、開放系統對安全的需求
當前,我國正處在Internet的應用熱潮中,隨著國民經濟信息化的推進,人們對現代信息
系統的應用投入了更多的關注。人們在享受網路所提供的各種好處的同時,還必須考慮如何
對待網上日益泛濫的信息垃圾和非法行為,必須研究如何解決Internet上的安全問題。
眾所周知,利用廣泛開放的物理網路環境進行全球通信已成為時代發展的趨勢。但是,如
何在一個開放的物理環境中構造一個封閉的邏輯環境來滿足集團或個人的實際需要,已成為
必須考慮的現實問題。開放性的系統常常由於節點分散、難於管理等特點而易受到攻擊和蒙
受不法操作帶來的損失,若沒有安全保障,則系統的開放性會帶來災難性的後果。
開放和安全本身是一對矛盾,如何進行協調,已成為我們日益關心的問題。因此,必須對
開放系統的安全性進行深入和自主的研究,理清實現開放系統的安全性所涉及的關鍵技術環
節,並掌握設計和實現開放系統的安全性的方案和措施。
二、計算機安全概論
在現實社會中會遇到各種威脅,這些威脅來自各方面,有些是由於我們自身的失誤而產生
的,有些是各種設施和設備失常而造成的,也有一些是由各種自然災害引起的。這些危害的一
個共同特點是"被動的",或者說是帶有偶然性的,它不屬於本文所要研究的范疇。最危險的威
脅是"主動的"。所謂"主動威脅"是指人故意做出的,這些人出於各種各樣的目的,他們的目標
就是要使對手蒙受損失,自己獲得利益。 計算機安全包括:
·計算機實體的安全 如計算機機房的物理條件及設施的安全標准、計算機硬體的安裝
及配置等。
·軟體安全 如保護系統軟體與應用軟體不被非法復制、不受病毒的侵害等 。
·計算機的數據安全 如網路信息的數據安全、資料庫系統的安全。
·計算機的運行安全 如運行時突發事件的安全處理等。包括計算機安全技術、計算機
安全管理和計算機安全評價等內容。
對於計算機網路的安全問題,一方面,計算機網路具有資源的共享性,提高了系統的可靠
性,通過分散負荷,提高了工作效率,並具有可擴充性;另一方面,正是由於這些特點,而增加了
網路的脆弱性和復雜性。資源的共享和分布增加了網路受攻擊的可能性。現在的網路不僅有
區域網(LAN),還有跨地域採用網橋(Bridge)、網關(Gateway)設備、數據機、各種公用
或專用的交換機及各種通信設備,通過網路擴充和異網互聯而形成的廣域網(WAN)。由於大大
增加了網路的覆蓋范圍和密度,更難分清網路的界限和預料信息傳輸的路徑,因而增加了網路
安全控制管理的難度。
計算機網路系統的安全性設計和實現包括以下五個因素:
·分析安全需求 分析本網路中可能存在的薄弱環節以及這些環節可能造成的危害和由
此產生的後果。
·確定安全方針 根據上述安全需求分析的結果,確定在網路中應控制哪些危害因素及
控製程度、應保護的資源和保護程度。
·選擇安全功能 為了實現安全方針而應具備的功能和規定。
·選擇安全措施 實現安全功能的具體技術和方法。
·完善安全管理 為有效地運用安全措施,體現安全功能,而採取的支持性和保證性的技
術措施,包括有關信息報告的傳遞等。
本文主要討論網路資源的安全性,尤其是網路在處理、存儲、傳輸信息過程中的安全性
,因此,衡量網路安全性的指標是可用性、完整性和保密性。
·可用性(Availability) 當用戶需要時,就可以訪問系統資源。
·完整性(Integrity) 決定系統資源怎樣運轉以及信息不能被未授權的來源替代和破壞
。
·機密性(Confidentiality) 定義哪些信息不能被窺探,哪些系統資源不能被未授權的
用戶訪問。
任何信息系統的安全性都可以用4A的保密性來衡量,即:
·用戶身份驗證(Authentication) 保證在用戶訪問系統之前確定該用戶的標識,並得
到驗證(如口令方式)。
·授權(Authorization) 指某個用戶以什麼方式訪問系統。
·責任(Accountablity) 如檢查跟蹤得到的事件記錄,這是業務控制的主要領域,因為
它提供證據(Proof)和跡象(Evidence)。
·保證(Assurance) 系統具有什麼級別的可靠程度。
三、計算機安全研究的現狀與發展動態
60年代以前,西方注意的重點是通信和電子信號的保密。60年代中期,美國官方正式提出
計算機安全問題。1981年美國成立了國防部安全中心(NCSC),1983年正式發布了《桔皮書》
,此書及以後發布的一系列叢書,建立了有關計算機安全的重要概念,影響了一代產品的研製
和生產,至今仍具有權威性。 ISO在提出OSI/RM以後,又提出了ISO/7498-2(安全體系結構)。
另外,從80年代中期開始,CEC(Commission of European Communications)以合作共享成果
的方式進行了一系列工作,探討和研究了適用於開放式計算機系統的環境和可集成的安全系
統。 隨著Internet網上商業應用的發展,發達國家開始了防火牆的研究和應用工作。
近年來,國內外在安全方面的研究主要集中在兩個方面:一是以密碼學理論為基礎的各種
數據加密措施;另一是以計算機網路為背景的孤立的通信安全模型的研究。前者已更多地付
諸於實施,並在實際應用中取得了較好的效果;而後者尚在理論探索階段,且不健全,特別是缺
乏有機的聯系,僅局限於孤立地開展工作。ISO在1989年提出了一個安全體系結構,雖然包括
了開放式系統中應該考慮的安全機制、安全管理以及應提供的安全服務,但只是一個概念模
型,至今仍未能有真正適用於實際的形式化的安全模型。盡管如此,眾多的學者和科研機構在
此基礎上還是進行了許多有益的探索。
對於分布式安全工程的實施,MIT於1985年開始進行Athena工程,最終形成了一個著名的
安全系統Kerb-deros。這個系統是一個基於對稱密碼體制DES的安全客戶服務系統,每個客戶
和密鑰中心公用一個密鑰。它的特點是中心會記住客戶請求的時間,並賦予一個生命周期,用
戶可以判斷收到的密鑰是否過期。它的缺點在於,網上所有客戶的時鍾必須同步。另外,它忽
略了一個重要的問題———安全審計。在網路環境下,必須考慮多級安全的需要,如美國軍用
DDN網的多級安全性研究。此外,還應考慮不同域之間的多級安全問題。由於各個域的安全策
略有可能不同,因此,必須考慮各個域之間的協調機制,如安全邏輯和一致性的訪問控制等。
Internet的基礎協議TCP/IP協議集中有一系列缺陷,如匿名服務及廣播等,因此,可能會
導致路由攻擊、地址欺騙和假冒身份所進行的攻擊。為此,提出了大量的RFC文檔,表明了TC
P/IP協議和Internet之間密不可分的關系。隨著應用的深入,TCP/IP中的各種問題首先在In
ternet上發現,並在實際中得到了解決。有的學者考慮到Unix環境下的遠程過程調用中,採用
UDP方式易受到非法監聽,以及DES演算法密鑰傳輸的困難性,建議採用公鑰體制。
有關Internet的安全應用,已有大量的文獻報導。如採用一個能提供安全服務並適用於
開放式環境的企業集成網EINET,它根據Internet的服務是採用Client/Server結構的特點,向
用戶提供一個"柔性"的安全框架,既能兼顧安全性又能兼顧開放性,使用戶不會因為安全機制
的提供而影響對網上數據的正常訪問。它以OSI的安全體系為基礎,構造了一個三層的安全體
系結構,即安全系統、安全操作和安全管理。最後,將安全系統集成到Internet上的各種應用
中,如FTP、Telnet、WAIS和E-mail等。又如,對Internet上的各種瀏覽工具Gopher、WAIS和
WWW的安全性提出了建議,像末端用戶認證機制、訪問控制、數據安全及完整性,等等。考慮
到Client/Server結構的特點,可以運用對象管理組(Object Management Group)實施多級分
布式安全措施,並提出一個基於OSI考慮的通用的安全框架,將安全模塊和原有的產品進行集
成。
在有的文獻中討論了公用交換電信網在開放環境下所面臨的威脅,並在政策措施方面提
出公司應與政府合作,通過OSI途徑,開發實用的工具,進行公用網的安全管理。同時指出了在
分布式多域的環境下,建立一個國際標準的分布式安全管理的重要性,並著重從分布式管理功
能服務的角度進行了闡述。由於網路的開放性和安全性是一對矛盾,所以,必須對在網路通信
中,由於安全保密可能引起的一系列問題進行探討。現在,網路上採用的安全信關設備只能保
證同一級別上保密的有效性,對於不同級別的用戶必須進行協議安全轉換,因此而形成網路通
信的瓶頸。因此,採用保密信關設備進行互聯只是權宜之計。要解決這個問題,就必須從網路
的安全體繫上進行考慮。目前,高速網的安全問題已經逐漸被人們所重視,如ATM和ISDN網路
安全性研究等。主要的研究問題有:高性能快速加密演算法的研究、信元丟失對密碼系統的影
響等。
在一個安全系統中,除了加密措施外,訪問控制也起很重要的作用。但是,一般的訪問控
制技術,如基於源、目的地址的網關節點上的濾波技術,由於處於網路層,不能對應用層的地
址信息進行有意義的決策,因而不能對付冒名頂替的非法用戶。另外,由於常見的訪問控制矩
陣比較稀疏,增加用戶項時效率不高,而且不能進行有效的刪除操作。因此,應該研究一種有
效的動態訪問控制方法。
四、公鑰密碼體制
計算機網路安全的發展是以密碼學的研究為基礎的。隨著密碼學研究的進展,出現了眾
多的密碼體制,極大地推動了計算機網路安全的研究進程。
1.對稱密碼體制
一個加密系統,如果加密密鑰和解密密鑰相同,或者雖不相同,但可以由其中一個推導出
另一個,則是對稱密碼體制。最常見的有著名的DES演算法等。其優點是具有很高的保密強度,
但它的密鑰必須按照安全途徑進行傳遞,根據"一切秘密寓於密鑰當中"的公理,密鑰管理成為
影響系統安全的關鍵性因素,難於滿足開放式計算機網路的需求。
DES是一種數據分組的加密演算法,它將數據分成長度為64位的數據塊,其中8位作為奇偶校
驗,有效的密碼長度為56位。首先,將明文數據進行初始置換,得到64位的混亂明文組,再將其
分成兩段,每段32位;然後,進行乘積變換,在密鑰的控制下,做16次迭代;最後,進行逆初始變
換而得到密文。
對稱密碼體制存在著以下問題:
·密鑰使用一段時間後就要更換,加密方每次啟動新密碼時,都要經過某種秘密渠道把密
鑰傳給解密方,而密鑰在傳遞過程中容易泄漏。
·網路通信時,如果網內的所有用戶都使用同樣的密鑰,那就失去了保密的意義。但如果
網內任意兩個用戶通信時都使用互不相同的密鑰,N個人就要使用N(N-1)/2個密鑰。因此,密
鑰量太大,難以進行管理。
·無法滿足互不相識的人進行私人談話時的保密性要求。
·難以解決數字簽名驗證的問題。
2.公鑰密碼體制
如果將一個加密系統的加密密鑰和解密密鑰分開,加密和解密分別由兩個密鑰來實現,並
且,由加密密鑰推導出解密密鑰(或由解密密鑰推導出加密密鑰)在計算上是不可行的,一般系
統是採用公鑰密碼體制。採用公鑰密碼體制的每一個用戶都有一對選定的密鑰,一個可以公
開,一個由用戶秘密保存。公鑰密碼體制的出現是對現代密碼學的一個重大突破,它給計算機
網路的安全帶來了新的活力。
公鑰密碼體制具有以下優點:
·密鑰分配簡單。由於加密密鑰與解密密鑰不同,且不能由加密密鑰推導出解密密鑰,因
此,加密密鑰表可以像電話號碼本一樣,分發給各用戶,而解密密鑰則由用戶自己掌握。
·密鑰的保存量少。網路中的每一密碼通信成員只需秘密保存自己的解密密鑰,N個通信
成員只需產生N對密鑰,便於密鑰管理。
·可以滿足互不相識的人之間進行私人談話時的保密性要求。
·可以完成數字簽名和數字鑒別。發信人使用只有自己知道的密鑰進行簽名,收信人利
用公開密鑰進行檢查,即方便又安全。
由於具有以上優點,在短短的幾十年中,相繼出現了幾十種公鑰密碼體制的實現方案。如
:W·Deffie和M·E·Hellmanbit提出了一種稱為W·Deffie和M·E·Hellman協議的公鑰交換
體制,它的保密性是基於求解離散對數問題的困難性;Rivest、Shamir和Adleman提出了基於
數論的RSA公鑰體制,它的依據是大整數素因子的分解是十分困難的;我國學者陶仁驥、陳世
華提出的有限自動機密碼體制,是目前唯一的以一種時序方式工作的公鑰體制,它的安全性是
建立在構造非線性弱可逆有限自動機弱逆的困難性和矩陣多項式分解的困難性上的;Merkle
和Herman提出了一種將求解背包的困難性作為基礎的公鑰體制。此外,在上述基礎上還形成
了眾多的變形演算法。
五、ISO/OSI安全體系結構
安全體系結構、安全框架、安全模型及安全技術這一系列術語被認為是相互關聯的。安
全體系結構定義了最一般的關於安全體系結構的概念,如安全服務、安全機制等;安全框架定
義了提供安全服務的最一般方法,如數據源、操作方法以及它們之間的數據流向;安全模型是
表示安全服務和安全框架如何結合的,主要是為了開發人員開發安全協議時採用;而安全技術
被認為是一些最基本的模塊,它們構成了安全服務的基礎,同時可以相互任意組合,以提供更
強大的安全服務。
國際標准化組織於1989年對OSI開放互聯環境的安全性進行了深入的研究,在此基礎上提
出了OSI安全體系,定義了安全服務、安全機制、安全管理及有關安全方面的其它問題。此外
,它還定義了各種安全機制以及安全服務在OSI中的層位置。為對付現實中的種種情況,OSI定
義了11種威脅,如偽裝、非法連接和非授權訪問等。
1.安全服務
在對威脅進行分析的基礎上,規定了五種標準的安全服務:
·對象認證安全服務 用於識別對象的身份和對身份的證實。OSI環境可提供對等實體認
證和信源認證等安全服務。對等實體認證是用來驗證在某一關聯的實體中,對等實體的聲稱
是一致的,它可以確認對等實體沒有假冒身份;而數據源點鑒別是用於驗證所收到的數據來源
與所聲稱的來源是否一致,它不提供防止數據中途修改的功能。
·訪問控制安全服務 提供對越權使用資源的防禦措施。訪問控制可分為自主訪問控制
和強制型訪問控制兩類。實現機制可以是基於訪問控制屬性的訪問控製表、基於安全標簽或
用戶和資源分檔的多級訪問控制等。
·數據保密性安全服務 它是針對信息泄漏而採取的防禦措施。可分為信息保密、選擇
段保密和業務流保密。它的基礎是數據加密機制的選擇。
·數據完整性安全服務 防止非法篡改信息,如修改、復制、插入和刪除等。它有五種形
式:可恢復連接完整性、無恢復連接完整性、選擇欄位連接完整性、無連接完整性和選擇字
段無連接完整性。
·訪抵賴性安全服務 是針對對方抵賴的防範措施,用來證實發生過的操作。可分為對發
送防抵賴、對遞交防抵賴和進行公證。
2.安全機制
一個安全策略和安全服務可以單個使用,也可以組合起來使用,在上述提到的安全服務中
可以藉助以下安全機制:
·加密機制 藉助各種加密演算法對存放的數據和流通中的信息進行加密。DES演算法已通過
硬體實現,效率非常高。
·數字簽名 採用公鑰體制,使用私有密鑰進行數字簽名,使用公有密鑰對簽名信息進行
證實。
·訪問控制機制 根據訪問者的身份和有關信息,決定實體的訪問許可權。訪問控制機制的
實現常常基於一種或幾種措施,如訪問控制信息庫、認證信息(如口令)和安全標簽等。
·數據完整性機制 判斷信息在傳輸過程中是否被篡改過,與加密機制有關。
·認證交換機制 用來實現同級之間的認證。
·防業務流量分析機制 通過填充冗餘的業務流量來防止攻擊者對流量進行分析,填充過
的流量需通過加密進行保護。
·路由控制機制 防止不利的信息通過路由。目前典型的應用為IP層防火牆。
·公證機制 由公證人(第三方)參與數字簽名,它基於通信雙方對第三者都絕對相信。目
前,Internet上的許多Server服務都向用戶提供此機制。
3.安全管理
為了更有效地運用安全服務,需要有其它措施來支持它們的操作,這些措施即為管控。安
全管理是對安全服務和安全機制進行管理,把管理信息分配到有關的安全服務和安全機制中
去,並收集與它們的操作有關的信息。
OSI概念化的安全體系結構是一個多層次的結構,它本身是面向對象的,給用戶提供了各
種安全應用,安全應用由安全服務來實現,而安全服務又是由各種安全機制來實現的。如圖所
示。
@@05085000.GIF;圖1 OSI安全系統層次結構@@
OSI提出了每一類安全服務所需要的各種安全機制,而安全機制如何提供安全服務的細節
可以在安全框架內找到。
一種安全服務可以在OSI的層協議上進行配置。在具體的實現過程中,可以根據具體的安
全需求來確定。OSI規定了兩類安全服務的配置情況:即無連接通信方式和有連接通信方式。
4.安全層協議擴展和應用標准
國際標准化組織提出了安全體系結構,並致力於進行安全層協議的擴展和各種應用標准
的工作。
為了把安全功能擴展到層協議上,目前,有兩個小組負責這方面的工作。一是ISO/IEC分
委會中的JTC1/SC6,主要負責將安全功能擴展到傳輸層及網路層的服務和協議上;另一個是J
TC1/SC21,負責把安全功能擴展到表示層和應用層上。目前,在建立會話(相當於應用層連接
)的同時,可以進行經過登記的雙向驗證交換,這使任何OSI應用在進行會話時均可採用公鑰密
碼驗證機制。此外,保密交換應用服務單元也是OSI/IEC和CCITT正在研究的問題。如果這一
問題解決,將能把保密信息交換(如公鑰驗證交換)綜合到應用層協議中。
在應用方面,OSI大都包含了安全功能,如MHS(文電作業系統)和目錄驗證應用協議均對安
全性進行了綜合的考慮,而且兩者都應用了公鑰密碼體制。
(1)公鑰密碼技術的安全標准
ISO/IEC分委會下的JTC1/SC27小組負責制定整個信息安全技術領域的標准,其中也包括
OSI。該小組主要以公鑰密碼技術為基礎制定安全標准,其中包括雙方、三方、四方的公鑰驗
證技術。
(2)網路層公鑰密碼技術
網路層可以提供端到端加密和子網保密。這不僅可以使定址信息和高層協議信息受到保
護,而且對網路管理人員控制以外的應用也可進行保護。網路安全協議(NLSP)標准由ISO/IE
C的JTC1/SC6小組負責。該協議採用了公鑰和對稱密碼相混合的方式來實現安全任務,採用對
稱式密碼體制(如DES)來保證機密性,而用公鑰系統(如RSA)進行驗證。對於在大型網路系統
中建立保密呼叫來說,這一混合體制很有前途。
(3)目錄驗證框架
OSI目錄標准(CCITT X.500)為計算機/通信系統的互聯提供了邏輯上完整、物理上分散
的目錄系統。目錄涉及互聯系統復雜的配置關系和數量上眾多的用戶,因此,在目錄環境中的
機密性證書和簽名證書的分發,有著極為重要的作用。
目錄驗證框架包括:
·驗證機制的描述;
·目錄中用戶密鑰的獲取方法;
·RSA演算法描述;
·解釋材料。
(4)用於文電作業系統的公鑰密碼
CCITT 1984年版的MHS(X.400)中未提出安全要求,但1988年版增加了以下安全內容:驗證
、完整性、機密性、訪問控制和防復制性。這些服務可用混合方式由公鑰密碼加以保護。
六、存在的問題及解決方法
1.加密的效率及可靠性問題
在網路中引入安全服務和安全管理後,如同等實體鑒別及訪問控制等機制,網路的安全性
加強了,但是,網路的通信效率下降,實時性變差。效率下降的主要原因是由於加密演算法的復
雜性而引起計算量的增大。因此,應該研究簡單、適用且效率高的加密演算法。為了提高加密
的速度,還應該對加密演算法的硬體實現進行研究。
2.安全保密和網路互通問題
安全保密的特性決定了網路加密會損害網路的互通性。目前,流行的做法是在網路中引
入保密網關設備,即在網關設備上設置安全功能,實現安全協議的轉換。但是,這種做法存在
著許多問題,它會造成網路通信的瓶頸,引起通信效率的下降。因此,採用保密網關設備只是
權宜之計,還必須從整個網路的安全體系結構出發,採取措施。現有的OSI安全體系只是針對
網路通信的安全而言,而開放式系統的安全不僅與網路通信有關,還和參與通信的末端系統有
關。目前,這兩者只是孤立地進行研究。要實現不同域內的系統中不同級別用戶之間的安全
互通,我們應將兩者結合起來。
3.網路規模和網路安全問題
由於網路規模擴大了,相應地,網路的薄弱環節和受到攻擊的可能性也就增加了,密鑰的
分配和安全管理問題也就比較突出。因此,必須對鑒別機制、訪問控制機制和密鑰的分發機
制進行研究。
4.不同安全域內的多級安全問題
由於不同安全域內的安全政策不同,且每一個安全域的用戶不同,其相應的安全級別也不
同。因此,要實現不同域內不同級別的用戶之間的安全互通,必須對中間的協調機制進行研究
。應對OSI安全體系結構進行研究,理清安全需求、安全服務和安全機制在OSI各層中的位置
與作用, 並通過對安全管理資料庫(SMIB)和安全管理模塊的分析, 研究SMIB分配和使用的安
全管理協議及各管理Agent之間的相互協作和通信問題, 從而進一步研究OSI安全設施的集成
。
(計算機世界報 1997年 第5期)
6. 現代計算機網路面臨的困難
互聯網技術在全球甄華的發展速度很迅猛,在給人們工作帶來方便和帶來物質享受的同時,也在承擔著來自網路的安全威脅,例如像數據被剽竊、黑客的侵襲、系統內部的信息被盜等,所以計算機網路安全已越來越受到人們的高度重視,研究計算機網路安全的防範措施就成了必然趨勢。
【關鍵詞】計算機網路安全計算機病毒黑客攻擊防範措施
一、計算機網路安全
參照國際標准化組織ISO關於計算機安全的定義,計算機網路安全一般是指採取相應的管理、技術和措施,保護計算機網路系統中硬體、軟體和數據資源不遭到更改、泄露和破壞,使計算機網路系統正常運行,讓網路發揮更大更好的作用。
二、計算機網路安全面臨的主要問題
1.黑客的威脅和攻擊。這是計算機網路所面臨的最大威脅。黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統的運行,並不盜竊系統資料,通常採用拒絕服務攻擊或信息炸彈;破壞性攻擊是以侵入他人電腦系統、盜竊系統保密信息、破壞目標系統的數據為目的。黑客們常用的攻擊手段有獲取口令、電子郵件攻擊、特洛伊木馬攻擊、www的欺騙技術和尋找系統漏洞等。
2.計算機病毒。計算機病毒在《中華人民共和國計算機信息系統安全保護條例》中被明確定義(Computer Virus)是指編制者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用並且能夠自我復制的一組計算機指令或者程序代碼。計算機病毒具有隱蔽性、潛伏性、破壞性和傳染性的特點。