网络安全态势紧张,网络安全事件频发
据国家互联网应急中心(CNCERT),2019年上半年,CNCERT新增捕获计算机恶意程序样本数量约3200万个,计算机恶意程序传播次数日均达约998万次,CNCERT抽样监测发现,2019年上半年我国境内峰值超过10Gbps的大流量分布式拒绝服务攻击(DDoS攻击)事件数量平均每月约4300起,同比增长18%;国家信息安全漏洞共享平台(CNVD)收录通用型安全漏洞5859个。网站安全方面,2019年上半年,CNCERT自主监测发现约4.6万个针对我国境内网站的仿冒页面,境内外约1.4万个IP地址对我国境内约2.6万个网站植入后门,同比增长约1.2倍,可见我国网络安全态势紧张。
网络安全行业的发展短期内是通过频繁出现的安全事件驱动,短中期离不开国家政策合规,中长期则是通过信息化、云计算、万物互联等基础架构发展驱动。2020年网络安全领域将进一步迎来网络安全合规政策及安全事件催化,例如自2020年1月1日起施行《中华人民共和国密码法》,2020年3月1日起施行《网络信息内容生态治理规定》等。2020年作为
“十三五”收官之年,将陆续开始编制网络安全十四五规划。在各种因素的驱动下,2020年我国网络安全行业将得到进一步发展。
——以上数据来源于前瞻产业研究院《中国网络安全行业发展前景预测与投资战略规划分析报告》。
2. 网络安全未来发展怎么样
网络安全工程师的工作还有以下几个优点:
1、职业寿命长:网络工程师工作的重点在于对企业信息化建设和维护,其中包含技术及管理等方面的工作,工作相对稳定,随着项目经验的不断增长和对行业背景的深入了解,会越老越吃香。
2、发展空间大:在企业内部,网络工程师基本处于“双高”地位,即地位高、待遇高。就业面广,一专多能,实践经验适用于各个领域。
3、增值潜力大:掌握企业核心网络架构、安全技术,具有不可替代的竞争优势。职业价值随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨。
3. 计算机网络安全技术的发展趋势
计算机网络安全技术的发展趋势
在信息化时代里,计算机网络安全越来越受到重视,下面是我为大家搜索整理的关于计算机网络安全技术的发展趋势,欢迎参考阅读,希望对大家有所帮助!想了解更多相关信息请持续关注我们应届毕业生培训网!
在网络信息建设快速发展的现实情况中同时带来了一系列的网络安全问题。计算机网络信息技术给人们生活工作提供了很大的方便,但是网络信息被盗取破坏的安全问题给人们带来了很大的烦恼,因此提高网络技术防护水平有着重要的意义。
1、计算机网络安全相关概念
保护计算机系统正常运行,网络系统中的软件、硬件和数据不被恶意攻击或其他因素破坏、修改或者遗失是计算机网络安全的主要内容。其中包括网络数据在没有经过授权的情况不被改变,信息在传输过程中确保信息的完整性而不会被破坏或丢失;保护信息不被未获得权限的计算机截取或使用;能够对信息传播进行有效控制等。
但是计算机网络安全问题时有发生,其中影响网络安全的因素有很多:
(1)网络系统设计问题,网络设计问题可导致网络安全问题的发生,由于网络系统在设计中缺乏全面的考虑和规范地设计,因此会出现安全漏洞,并且导致网络系统的拓展性不强。
(2)网络硬件配置问题,网络系统的质量会极大程度上受到网络中枢企业服务器的影响,其服务器运行是否稳定以及功能是否完善都决定了网络系统质量水平;另外,如果在网卡的选配上使用不当也会导致网络不稳定现象。
(3)网络安全策略不够严密,网络安全策略是网络安全计划实施前的准备或者是对计算机网络安全防护设置具体行动。但是在网络防火墙设置中往往会因为扩大了访问权限,导致不法人员对网络系统的恶意破坏。
(4)局域网安全问题,局域网常常用来局域内计算机之间的联系和资源共享,它共享数据的开放性也导致了信息容易被无意或有意的篡改,因此局域网也给网络安全性制造了麻烦。如果在局域网中设置访问控制配置,一定程度上可以提高安全性,但是其设置比较复杂,并且还会给别人提供可乘之机
2、计算机网络安全技术发展趋势
网络安全控制技术主要集中在防病毒、防火墙以及入侵检验这三项技术中。这三项技术的研发和使用给网络环境提供了安全保障,但是随着网络环境不断复杂化,上述三项技术在目前水平整体技术框架中仍显得不足。为了提高网络系统的安全性,强化这三项的防护能力是计算机网络安全技术的.主要发展趋势。
1.防火墙技术发展趋势
当今的防护墙技术水平以及产品都不是很成熟,在防护网络安全上存在一定的缺陷,使得客户的需求得不到满足,用户的需求是防火墙技术不断向前发展的动力,所以在以后的防火墙技术发展中提高它的安全性能,提高处理速度以及丰富功能是它的主要发展方向,这些技术特点中创新是关键性因素,只有加大技术创新的投入才能使得防火墙技术更加稳定地快速发展。目前各大安全防护软件在防火墙技术性能研究方面主要集中在它的易用性、实用性以及稳定性上深入探讨。防火墙技术会随着网络环境形势变化而发展,并逐渐获得用户更大的好感。防火墙技术在算法和技术方面取得了较大的成就,但是防火墙技术如果被应用到计算加速和应用层性能分析方面,就能扩大服务功能为用户网络系统应用层进行安全保护,因此对芯片加速问题和对深度内容过滤的内容研究,是防火墙技术发展的重要突破口,也是防火墙技术的创新之处,网络安全公司应该着力致力于这项技术的研究从而破解如今网络安全问题形势严峻的问题。
为了面对当前网络安全问题的挑战,就要建立起基于不同架构的功能防火墙,为促进我国网络安全环境进一步努力。想要达到这个目的就需要相关部门和研究人员投入更大的物力和财力进行研究,总之防火墙技术在环境的推动下会更具有人性化和可靠性。
2.入侵检测技术发展趋势
入侵检测技术的工作原理是:通过搜集、分析多方面的信息对系统进行检测,检测内容包括系统是否被攻击以及有无违反网络系统安全策略的行为。以后的入侵检测技术发展主要借助两种手段对系统进行检测。
(1)安全防御检测,通过运用网络安全风险管理体系中整体工程措施对网络安全管理问题进行全方面的处理,包括对加密通道、防火墙以及防病毒等方面对网络结构和网络系统进行全方位的检查和分析,工程风险管理体系再生成可行的解决办法解决入侵问题。
(2)智能化检测,智能化监测手段是未来提高入侵检测技术发展水平的突破口之一。目前,常用的智能化检测方法主要是采用免疫原理法、模糊技术法以及神经网络手段等,特殊问题下还会用到遗传算法,通过上述方法加强对泛化入侵的辨识。其智能化检测手段仍有很大的发展空间。
3.防病毒技术发展趋势
提高防病毒技术发展水平主要是提高相关技术对网络系统病毒的查杀率,在未来的防病毒技术产品中其发展趋势主要集中在反病毒和反黑有机结合方面以及从入口处拦截病毒。威胁病毒和黑客是网络安全的两大真兇。在以后的技术研究中能够更好的实现用户根据实际需求进行智能扫描。在入口处拦截病毒是防病毒的根源之处,目前有很多生产商正在研发相关软件和程序研发,将防毒程序和软件直接配置在安全网关上面。
总之,计算机网络安全技术在维护用户利益和国家机密安全有着不可替代的作用,随着网络环境的不断复杂化,提高网络安全防火墙技术、防入侵技术以及防病毒技术是当前解决网络安全问题的重要手段。
;4. 网络安全未来发展怎么样
在大数据的发展下,我国较为重视网络安全问题
实际上,我国政府较为重视网络安全问题的发展,仅在2020-2021年,我国就发布了多条政策规范网络安全的发展。但是在有明确规定的情况下,滴滴依然选择了收集个人信息的行为是对我国网络安全的极大挑战。因此,我国应加快修订《网络安全审查办法》,加强数据安全建设,保护我国公民的数据隐私安全。
在我国政府的重视下,不断推出政策促进网络安全市场的发展促使我国网络安全市场规模不断提升。2020年,我国网络安全行业市场规模达到了513亿元,较2019年同比提升16.06个百分点。滴滴事件后,我国或会更加重视网络安全的发展,未来我国网络安全的市场规模或将进一步提高。
5. 计算机安全发展现状
随着网络技术的迅速发展和网络应用的广泛普及,网络安全问题日益突出。如何对网络
上的非法行为进行主动防御和有效抑制,是当今亟待解决的重要问题。本期专题就计算机网
络安全研究的现状、发展动态以及相关的理论进行了论述,并介绍了几种计算机安全模型及
开发方法。
1.开放式互联网络的安全问题研究 本文介绍了计算机安全研究的现状和发展动态,并对
公钥密码体制和OSI的安全体系结构进行了详细的分析。
2.计算机安全模型介绍 存取控制模型和信息流模型是计算机安全模型的两大主流,作者
在文章中对此分别做了介绍。
3.计算机安全策略模型的开发方法 本文涉及两类安全模型的开发方法,即函数型方法和
关系型方法,文中详细叙述了这两类开发方法中的状态机模型与边界流方法开发的具体步骤
。
4.Internet上防火墙的实现 目前,防火墙已成为实现网络安全策略最有效的工具之一。
防火墙的体系结构是什么?防火墙有几种类型?作者将在文章中做介绍。开放式互联网络的安
全问题研究
上海交通大学金桥网络工程中心 余巍 唐冶文 白英彩
一、开放系统对安全的需求
当前,我国正处在Internet的应用热潮中,随着国民经济信息化的推进,人们对现代信息
系统的应用投入了更多的关注。人们在享受网络所提供的各种好处的同时,还必须考虑如何
对待网上日益泛滥的信息垃圾和非法行为,必须研究如何解决Internet上的安全问题。
众所周知,利用广泛开放的物理网络环境进行全球通信已成为时代发展的趋势。但是,如
何在一个开放的物理环境中构造一个封闭的逻辑环境来满足集团或个人的实际需要,已成为
必须考虑的现实问题。开放性的系统常常由于节点分散、难于管理等特点而易受到攻击和蒙
受不法操作带来的损失,若没有安全保障,则系统的开放性会带来灾难性的后果。
开放和安全本身是一对矛盾,如何进行协调,已成为我们日益关心的问题。因此,必须对
开放系统的安全性进行深入和自主的研究,理清实现开放系统的安全性所涉及的关键技术环
节,并掌握设计和实现开放系统的安全性的方案和措施。
二、计算机安全概论
在现实社会中会遇到各种威胁,这些威胁来自各方面,有些是由于我们自身的失误而产生
的,有些是各种设施和设备失常而造成的,也有一些是由各种自然灾害引起的。这些危害的一
个共同特点是"被动的",或者说是带有偶然性的,它不属于本文所要研究的范畴。最危险的威
胁是"主动的"。所谓"主动威胁"是指人故意做出的,这些人出于各种各样的目的,他们的目标
就是要使对手蒙受损失,自己获得利益。 计算机安全包括:
·计算机实体的安全 如计算机机房的物理条件及设施的安全标准、计算机硬件的安装
及配置等。
·软件安全 如保护系统软件与应用软件不被非法复制、不受病毒的侵害等 。
·计算机的数据安全 如网络信息的数据安全、数据库系统的安全。
·计算机的运行安全 如运行时突发事件的安全处理等。包括计算机安全技术、计算机
安全管理和计算机安全评价等内容。
对于计算机网络的安全问题,一方面,计算机网络具有资源的共享性,提高了系统的可靠
性,通过分散负荷,提高了工作效率,并具有可扩充性;另一方面,正是由于这些特点,而增加了
网络的脆弱性和复杂性。资源的共享和分布增加了网络受攻击的可能性。现在的网络不仅有
局域网(LAN),还有跨地域采用网桥(Bridge)、网关(Gateway)设备、调制解调器、各种公用
或专用的交换机及各种通信设备,通过网络扩充和异网互联而形成的广域网(WAN)。由于大大
增加了网络的覆盖范围和密度,更难分清网络的界限和预料信息传输的路径,因而增加了网络
安全控制管理的难度。
计算机网络系统的安全性设计和实现包括以下五个因素:
·分析安全需求 分析本网络中可能存在的薄弱环节以及这些环节可能造成的危害和由
此产生的后果。
·确定安全方针 根据上述安全需求分析的结果,确定在网络中应控制哪些危害因素及
控制程度、应保护的资源和保护程度。
·选择安全功能 为了实现安全方针而应具备的功能和规定。
·选择安全措施 实现安全功能的具体技术和方法。
·完善安全管理 为有效地运用安全措施,体现安全功能,而采取的支持性和保证性的技
术措施,包括有关信息报告的传递等。
本文主要讨论网络资源的安全性,尤其是网络在处理、存储、传输信息过程中的安全性
,因此,衡量网络安全性的指标是可用性、完整性和保密性。
·可用性(Availability) 当用户需要时,就可以访问系统资源。
·完整性(Integrity) 决定系统资源怎样运转以及信息不能被未授权的来源替代和破坏
。
·机密性(Confidentiality) 定义哪些信息不能被窥探,哪些系统资源不能被未授权的
用户访问。
任何信息系统的安全性都可以用4A的保密性来衡量,即:
·用户身份验证(Authentication) 保证在用户访问系统之前确定该用户的标识,并得
到验证(如口令方式)。
·授权(Authorization) 指某个用户以什么方式访问系统。
·责任(Accountablity) 如检查跟踪得到的事件记录,这是业务控制的主要领域,因为
它提供证据(Proof)和迹象(Evidence)。
·保证(Assurance) 系统具有什么级别的可靠程度。
三、计算机安全研究的现状与发展动态
60年代以前,西方注意的重点是通信和电子信号的保密。60年代中期,美国官方正式提出
计算机安全问题。1981年美国成立了国防部安全中心(NCSC),1983年正式发布了《桔皮书》
,此书及以后发布的一系列丛书,建立了有关计算机安全的重要概念,影响了一代产品的研制
和生产,至今仍具有权威性。 ISO在提出OSI/RM以后,又提出了ISO/7498-2(安全体系结构)。
另外,从80年代中期开始,CEC(Commission of European Communications)以合作共享成果
的方式进行了一系列工作,探讨和研究了适用于开放式计算机系统的环境和可集成的安全系
统。 随着Internet网上商业应用的发展,发达国家开始了防火墙的研究和应用工作。
近年来,国内外在安全方面的研究主要集中在两个方面:一是以密码学理论为基础的各种
数据加密措施;另一是以计算机网络为背景的孤立的通信安全模型的研究。前者已更多地付
诸于实施,并在实际应用中取得了较好的效果;而后者尚在理论探索阶段,且不健全,特别是缺
乏有机的联系,仅局限于孤立地开展工作。ISO在1989年提出了一个安全体系结构,虽然包括
了开放式系统中应该考虑的安全机制、安全管理以及应提供的安全服务,但只是一个概念模
型,至今仍未能有真正适用于实际的形式化的安全模型。尽管如此,众多的学者和科研机构在
此基础上还是进行了许多有益的探索。
对于分布式安全工程的实施,MIT于1985年开始进行Athena工程,最终形成了一个着名的
安全系统Kerb-deros。这个系统是一个基于对称密码体制DES的安全客户服务系统,每个客户
和密钥中心公用一个密钥。它的特点是中心会记住客户请求的时间,并赋予一个生命周期,用
户可以判断收到的密钥是否过期。它的缺点在于,网上所有客户的时钟必须同步。另外,它忽
略了一个重要的问题———安全审计。在网络环境下,必须考虑多级安全的需要,如美国军用
DDN网的多级安全性研究。此外,还应考虑不同域之间的多级安全问题。由于各个域的安全策
略有可能不同,因此,必须考虑各个域之间的协调机制,如安全逻辑和一致性的访问控制等。
Internet的基础协议TCP/IP协议集中有一系列缺陷,如匿名服务及广播等,因此,可能会
导致路由攻击、地址欺骗和假冒身份所进行的攻击。为此,提出了大量的RFC文档,表明了TC
P/IP协议和Internet之间密不可分的关系。随着应用的深入,TCP/IP中的各种问题首先在In
ternet上发现,并在实际中得到了解决。有的学者考虑到Unix环境下的远程过程调用中,采用
UDP方式易受到非法监听,以及DES算法密钥传输的困难性,建议采用公钥体制。
有关Internet的安全应用,已有大量的文献报导。如采用一个能提供安全服务并适用于
开放式环境的企业集成网EINET,它根据Internet的服务是采用Client/Server结构的特点,向
用户提供一个"柔性"的安全框架,既能兼顾安全性又能兼顾开放性,使用户不会因为安全机制
的提供而影响对网上数据的正常访问。它以OSI的安全体系为基础,构造了一个三层的安全体
系结构,即安全系统、安全操作和安全管理。最后,将安全系统集成到Internet上的各种应用
中,如FTP、Telnet、WAIS和E-mail等。又如,对Internet上的各种浏览工具Gopher、WAIS和
WWW的安全性提出了建议,像末端用户认证机制、访问控制、数据安全及完整性,等等。考虑
到Client/Server结构的特点,可以运用对象管理组(Object Management Group)实施多级分
布式安全措施,并提出一个基于OSI考虑的通用的安全框架,将安全模块和原有的产品进行集
成。
在有的文献中讨论了公用交换电信网在开放环境下所面临的威胁,并在政策措施方面提
出公司应与政府合作,通过OSI途径,开发实用的工具,进行公用网的安全管理。同时指出了在
分布式多域的环境下,建立一个国际标准的分布式安全管理的重要性,并着重从分布式管理功
能服务的角度进行了阐述。由于网络的开放性和安全性是一对矛盾,所以,必须对在网络通信
中,由于安全保密可能引起的一系列问题进行探讨。现在,网络上采用的安全信关设备只能保
证同一级别上保密的有效性,对于不同级别的用户必须进行协议安全转换,因此而形成网络通
信的瓶颈。因此,采用保密信关设备进行互联只是权宜之计。要解决这个问题,就必须从网络
的安全体系上进行考虑。目前,高速网的安全问题已经逐渐被人们所重视,如ATM和ISDN网络
安全性研究等。主要的研究问题有:高性能快速加密算法的研究、信元丢失对密码系统的影
响等。
在一个安全系统中,除了加密措施外,访问控制也起很重要的作用。但是,一般的访问控
制技术,如基于源、目的地址的网关节点上的滤波技术,由于处于网络层,不能对应用层的地
址信息进行有意义的决策,因而不能对付冒名顶替的非法用户。另外,由于常见的访问控制矩
阵比较稀疏,增加用户项时效率不高,而且不能进行有效的删除操作。因此,应该研究一种有
效的动态访问控制方法。
四、公钥密码体制
计算机网络安全的发展是以密码学的研究为基础的。随着密码学研究的进展,出现了众
多的密码体制,极大地推动了计算机网络安全的研究进程。
1.对称密码体制
一个加密系统,如果加密密钥和解密密钥相同,或者虽不相同,但可以由其中一个推导出
另一个,则是对称密码体制。最常见的有着名的DES算法等。其优点是具有很高的保密强度,
但它的密钥必须按照安全途径进行传递,根据"一切秘密寓于密钥当中"的公理,密钥管理成为
影响系统安全的关键性因素,难于满足开放式计算机网络的需求。
DES是一种数据分组的加密算法,它将数据分成长度为64位的数据块,其中8位作为奇偶校
验,有效的密码长度为56位。首先,将明文数据进行初始置换,得到64位的混乱明文组,再将其
分成两段,每段32位;然后,进行乘积变换,在密钥的控制下,做16次迭代;最后,进行逆初始变
换而得到密文。
对称密码体制存在着以下问题:
·密钥使用一段时间后就要更换,加密方每次启动新密码时,都要经过某种秘密渠道把密
钥传给解密方,而密钥在传递过程中容易泄漏。
·网络通信时,如果网内的所有用户都使用同样的密钥,那就失去了保密的意义。但如果
网内任意两个用户通信时都使用互不相同的密钥,N个人就要使用N(N-1)/2个密钥。因此,密
钥量太大,难以进行管理。
·无法满足互不相识的人进行私人谈话时的保密性要求。
·难以解决数字签名验证的问题。
2.公钥密码体制
如果将一个加密系统的加密密钥和解密密钥分开,加密和解密分别由两个密钥来实现,并
且,由加密密钥推导出解密密钥(或由解密密钥推导出加密密钥)在计算上是不可行的,一般系
统是采用公钥密码体制。采用公钥密码体制的每一个用户都有一对选定的密钥,一个可以公
开,一个由用户秘密保存。公钥密码体制的出现是对现代密码学的一个重大突破,它给计算机
网络的安全带来了新的活力。
公钥密码体制具有以下优点:
·密钥分配简单。由于加密密钥与解密密钥不同,且不能由加密密钥推导出解密密钥,因
此,加密密钥表可以像电话号码本一样,分发给各用户,而解密密钥则由用户自己掌握。
·密钥的保存量少。网络中的每一密码通信成员只需秘密保存自己的解密密钥,N个通信
成员只需产生N对密钥,便于密钥管理。
·可以满足互不相识的人之间进行私人谈话时的保密性要求。
·可以完成数字签名和数字鉴别。发信人使用只有自己知道的密钥进行签名,收信人利
用公开密钥进行检查,即方便又安全。
由于具有以上优点,在短短的几十年中,相继出现了几十种公钥密码体制的实现方案。如
:W·Deffie和M·E·Hellmanbit提出了一种称为W·Deffie和M·E·Hellman协议的公钥交换
体制,它的保密性是基于求解离散对数问题的困难性;Rivest、Shamir和Adleman提出了基于
数论的RSA公钥体制,它的依据是大整数素因子的分解是十分困难的;我国学者陶仁骥、陈世
华提出的有限自动机密码体制,是目前唯一的以一种时序方式工作的公钥体制,它的安全性是
建立在构造非线性弱可逆有限自动机弱逆的困难性和矩阵多项式分解的困难性上的;Merkle
和Herman提出了一种将求解背包的困难性作为基础的公钥体制。此外,在上述基础上还形成
了众多的变形算法。
五、ISO/OSI安全体系结构
安全体系结构、安全框架、安全模型及安全技术这一系列术语被认为是相互关联的。安
全体系结构定义了最一般的关于安全体系结构的概念,如安全服务、安全机制等;安全框架定
义了提供安全服务的最一般方法,如数据源、操作方法以及它们之间的数据流向;安全模型是
表示安全服务和安全框架如何结合的,主要是为了开发人员开发安全协议时采用;而安全技术
被认为是一些最基本的模块,它们构成了安全服务的基础,同时可以相互任意组合,以提供更
强大的安全服务。
国际标准化组织于1989年对OSI开放互联环境的安全性进行了深入的研究,在此基础上提
出了OSI安全体系,定义了安全服务、安全机制、安全管理及有关安全方面的其它问题。此外
,它还定义了各种安全机制以及安全服务在OSI中的层位置。为对付现实中的种种情况,OSI定
义了11种威胁,如伪装、非法连接和非授权访问等。
1.安全服务
在对威胁进行分析的基础上,规定了五种标准的安全服务:
·对象认证安全服务 用于识别对象的身份和对身份的证实。OSI环境可提供对等实体认
证和信源认证等安全服务。对等实体认证是用来验证在某一关联的实体中,对等实体的声称
是一致的,它可以确认对等实体没有假冒身份;而数据源点鉴别是用于验证所收到的数据来源
与所声称的来源是否一致,它不提供防止数据中途修改的功能。
·访问控制安全服务 提供对越权使用资源的防御措施。访问控制可分为自主访问控制
和强制型访问控制两类。实现机制可以是基于访问控制属性的访问控制表、基于安全标签或
用户和资源分档的多级访问控制等。
·数据保密性安全服务 它是针对信息泄漏而采取的防御措施。可分为信息保密、选择
段保密和业务流保密。它的基础是数据加密机制的选择。
·数据完整性安全服务 防止非法篡改信息,如修改、复制、插入和删除等。它有五种形
式:可恢复连接完整性、无恢复连接完整性、选择字段连接完整性、无连接完整性和选择字
段无连接完整性。
·访抵赖性安全服务 是针对对方抵赖的防范措施,用来证实发生过的操作。可分为对发
送防抵赖、对递交防抵赖和进行公证。
2.安全机制
一个安全策略和安全服务可以单个使用,也可以组合起来使用,在上述提到的安全服务中
可以借助以下安全机制:
·加密机制 借助各种加密算法对存放的数据和流通中的信息进行加密。DES算法已通过
硬件实现,效率非常高。
·数字签名 采用公钥体制,使用私有密钥进行数字签名,使用公有密钥对签名信息进行
证实。
·访问控制机制 根据访问者的身份和有关信息,决定实体的访问权限。访问控制机制的
实现常常基于一种或几种措施,如访问控制信息库、认证信息(如口令)和安全标签等。
·数据完整性机制 判断信息在传输过程中是否被篡改过,与加密机制有关。
·认证交换机制 用来实现同级之间的认证。
·防业务流量分析机制 通过填充冗余的业务流量来防止攻击者对流量进行分析,填充过
的流量需通过加密进行保护。
·路由控制机制 防止不利的信息通过路由。目前典型的应用为IP层防火墙。
·公证机制 由公证人(第三方)参与数字签名,它基于通信双方对第三者都绝对相信。目
前,Internet上的许多Server服务都向用户提供此机制。
3.安全管理
为了更有效地运用安全服务,需要有其它措施来支持它们的操作,这些措施即为管控。安
全管理是对安全服务和安全机制进行管理,把管理信息分配到有关的安全服务和安全机制中
去,并收集与它们的操作有关的信息。
OSI概念化的安全体系结构是一个多层次的结构,它本身是面向对象的,给用户提供了各
种安全应用,安全应用由安全服务来实现,而安全服务又是由各种安全机制来实现的。如图所
示。
@@05085000.GIF;图1 OSI安全系统层次结构@@
OSI提出了每一类安全服务所需要的各种安全机制,而安全机制如何提供安全服务的细节
可以在安全框架内找到。
一种安全服务可以在OSI的层协议上进行配置。在具体的实现过程中,可以根据具体的安
全需求来确定。OSI规定了两类安全服务的配置情况:即无连接通信方式和有连接通信方式。
4.安全层协议扩展和应用标准
国际标准化组织提出了安全体系结构,并致力于进行安全层协议的扩展和各种应用标准
的工作。
为了把安全功能扩展到层协议上,目前,有两个小组负责这方面的工作。一是ISO/IEC分
委会中的JTC1/SC6,主要负责将安全功能扩展到传输层及网络层的服务和协议上;另一个是J
TC1/SC21,负责把安全功能扩展到表示层和应用层上。目前,在建立会话(相当于应用层连接
)的同时,可以进行经过登记的双向验证交换,这使任何OSI应用在进行会话时均可采用公钥密
码验证机制。此外,保密交换应用服务单元也是OSI/IEC和CCITT正在研究的问题。如果这一
问题解决,将能把保密信息交换(如公钥验证交换)综合到应用层协议中。
在应用方面,OSI大都包含了安全功能,如MHS(文电作业系统)和目录验证应用协议均对安
全性进行了综合的考虑,而且两者都应用了公钥密码体制。
(1)公钥密码技术的安全标准
ISO/IEC分委会下的JTC1/SC27小组负责制定整个信息安全技术领域的标准,其中也包括
OSI。该小组主要以公钥密码技术为基础制定安全标准,其中包括双方、三方、四方的公钥验
证技术。
(2)网络层公钥密码技术
网络层可以提供端到端加密和子网保密。这不仅可以使寻址信息和高层协议信息受到保
护,而且对网络管理人员控制以外的应用也可进行保护。网络安全协议(NLSP)标准由ISO/IE
C的JTC1/SC6小组负责。该协议采用了公钥和对称密码相混合的方式来实现安全任务,采用对
称式密码体制(如DES)来保证机密性,而用公钥系统(如RSA)进行验证。对于在大型网络系统
中建立保密呼叫来说,这一混合体制很有前途。
(3)目录验证框架
OSI目录标准(CCITT X.500)为计算机/通信系统的互联提供了逻辑上完整、物理上分散
的目录系统。目录涉及互联系统复杂的配置关系和数量上众多的用户,因此,在目录环境中的
机密性证书和签名证书的分发,有着极为重要的作用。
目录验证框架包括:
·验证机制的描述;
·目录中用户密钥的获取方法;
·RSA算法描述;
·解释材料。
(4)用于文电作业系统的公钥密码
CCITT 1984年版的MHS(X.400)中未提出安全要求,但1988年版增加了以下安全内容:验证
、完整性、机密性、访问控制和防复制性。这些服务可用混合方式由公钥密码加以保护。
六、存在的问题及解决方法
1.加密的效率及可靠性问题
在网络中引入安全服务和安全管理后,如同等实体鉴别及访问控制等机制,网络的安全性
加强了,但是,网络的通信效率下降,实时性变差。效率下降的主要原因是由于加密算法的复
杂性而引起计算量的增大。因此,应该研究简单、适用且效率高的加密算法。为了提高加密
的速度,还应该对加密算法的硬件实现进行研究。
2.安全保密和网络互通问题
安全保密的特性决定了网络加密会损害网络的互通性。目前,流行的做法是在网络中引
入保密网关设备,即在网关设备上设置安全功能,实现安全协议的转换。但是,这种做法存在
着许多问题,它会造成网络通信的瓶颈,引起通信效率的下降。因此,采用保密网关设备只是
权宜之计,还必须从整个网络的安全体系结构出发,采取措施。现有的OSI安全体系只是针对
网络通信的安全而言,而开放式系统的安全不仅与网络通信有关,还和参与通信的末端系统有
关。目前,这两者只是孤立地进行研究。要实现不同域内的系统中不同级别用户之间的安全
互通,我们应将两者结合起来。
3.网络规模和网络安全问题
由于网络规模扩大了,相应地,网络的薄弱环节和受到攻击的可能性也就增加了,密钥的
分配和安全管理问题也就比较突出。因此,必须对鉴别机制、访问控制机制和密钥的分发机
制进行研究。
4.不同安全域内的多级安全问题
由于不同安全域内的安全政策不同,且每一个安全域的用户不同,其相应的安全级别也不
同。因此,要实现不同域内不同级别的用户之间的安全互通,必须对中间的协调机制进行研究
。应对OSI安全体系结构进行研究,理清安全需求、安全服务和安全机制在OSI各层中的位置
与作用, 并通过对安全管理数据库(SMIB)和安全管理模块的分析, 研究SMIB分配和使用的安
全管理协议及各管理Agent之间的相互协作和通信问题, 从而进一步研究OSI安全设施的集成
。
(计算机世界报 1997年 第5期)
6. 现代计算机网络面临的困难
互联网技术在全球甄华的发展速度很迅猛,在给人们工作带来方便和带来物质享受的同时,也在承担着来自网络的安全威胁,例如像数据被剽窃、黑客的侵袭、系统内部的信息被盗等,所以计算机网络安全已越来越受到人们的高度重视,研究计算机网络安全的防范措施就成了必然趋势。
【关键词】计算机网络安全计算机病毒黑客攻击防范措施
一、计算机网络安全
参照国际标准化组织ISO关于计算机安全的定义,计算机网络安全一般是指采取相应的管理、技术和措施,保护计算机网络系统中硬件、软件和数据资源不遭到更改、泄露和破坏,使计算机网络系统正常运行,让网络发挥更大更好的作用。
二、计算机网络安全面临的主要问题
1.黑客的威胁和攻击。这是计算机网络所面临的最大威胁。黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击或信息炸弹;破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。黑客们常用的攻击手段有获取口令、电子邮件攻击、特洛伊木马攻击、www的欺骗技术和寻找系统漏洞等。
2.计算机病毒。计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中被明确定义(Computer Virus)是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。计算机病毒具有隐蔽性、潜伏性、破坏性和传染性的特点。