计算机网络安全分析研究_彭沙沙.docx

《计算机网络安全分析研究_彭沙沙.docx》由会员分享，可在线阅读，更多相关《计算机网络安全分析研究_彭沙沙.docx（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、计算机网络安全分析研究 彭沙沙，张红梅，卞东亮 (空军工程大学理学院，陕西西安 710051) 摘要： 计算机网络安全是促进网络事业健康发展的前提，在分析网络安全产生的原因及目前网络所面临威胁的基础 上，以安全防御作为出发点，从技术及管理两大方面，提出了防护计算机网络安全的具体措施与有效方案。技术上介绍了防 火墙、访问控制技术、网络防病毒技术、数据加密技术、容灾技术等，重点从入侵检测系统技术 （ IDS)、 虚拟专用网 （ VPN)技 术、云安全等新型技术的原理、实施手段及应用领域等方面做了论述。 关键词 ：计算机网络安全；网络安全威胁；网络安全防范措施；网络安全技术；网络安全管理 中 图分

2、类 号 ： TN919-34 文献标识码： A 文章编号： 1004-373X(2012)04-0109-04 Analysis of computer network security PENG Sha-sha, ZHANG hongmei, BIAN Dong-liang (Science College, Air Force Engineering University， Xian 710051， China) Abstract： Computer network security (CNS) is a prerequisite to promote the development of

3、 network healthily. Based on the analysis of causes against CNS and threats that confront the network security, the specific methods and measures to protect computer network are proposed in two aspects of technology and management. The technologies of firewalls, access control, network anti-virus, d

4、ata encryption, disaster recovery are introduced. The security principles, implementation methods and application fields of the new technologies such as intrusion detection system technology (IDS) , virtual private network (VPN) technology and cloud security are elaborated emphatically. Keywords： co

5、mputer network security； network security threat； network security measures； network security technology； network security managemen 引言 随着计算机网络的普及和发展，网络的运用已经渗 透到各个领域。信息社会，人们对网络的依赖程度也曰 益加深，但随着网络迅速的发展，网络安全俨然已经成 为一个潜在的巨大问题。在网络发展的大好前景下，网 络信息安全为其笼罩上了一片乌云。虽然我国的计算 机制造业有了很大进步，但是其核心部件的制造技术仍 然是很薄弱的。计算机软件的开发和研

6、制也同样受到 国外市场的垄断，尤其是操作系统，所以我国目前运用 着大量来自境外的计算机软、硬件，这就使得我国的网 络安全问题不得不警钟长鸣。 1 计 算 机 网 络 安 全 网络安全是一门涉及计算机科学、网络技术、通信 收稿日期： 2011-0909 基金项目：军内武器系统科研项目 （ KJ2010182);陕西省电子 信息系统综合集成重点实验室基金资助项目 (201107Y16) 技术、密码技术、信息安全技术、应用数学、数论、信息论 等多种学科的综合性学科。国际标准化组织 （ ISO)定 义是指网络系统的硬件、软件及其系统的数据受到保 护，不受偶然的或者恶意的原因而遭到破坏、更改、泄 露，系

7、统连续可靠正常的运行，网络服务不中断。主要 涉及了机密性、完整性、可用性、可审性、真实性、可控 性、抗否认性等属性造成网络安全问题的原因。 .1网络最初设计的理念 网络发展的早期，人们更加看重、强调的是网络的 方便性和可用性，却忽略了网络的安全性。那时，网络 的使用仅限于一个很小的范围，因此网络安全并没有被 重视。但是随着科学技术的发展，以及人类需求的更 新，网络克服了地理上的限制，把分布在一个个小范围 内的网络分支，成功地联系起来，直至遍布全世界。由 于网络的关联性导致此时在传送敏感性信息时，信息的 安全就受到了极大的威胁。同时，各类网络产品都是在 基础网络协议上发展起来的，或多或少都存在有

8、安全 隐患。 .2网络的开放性 因特网最根本的特征就是开放性，整个因特网就是 建立在自由开放的基础上的。当今网络的资源日益广 泛应用，同时也为黑客的倾入提供了可乘之机。资源共 享与网络安全之间的矛盾也日尖锐化。 1.3网络的控制管理性变差 随着网络遍布全世界，私有网络也因需求不可避免 地与外部公众网直接或者间接地联系起来。由于网络 的关联性，导致只需攻击网络链条中最薄弱的一个环节 就可以使整个安全体系崩溃。从而使网络的运行环境 更加复杂化，可控性急剧降低，网络安全性也变差。 2 网 络 安 全 面 临 的 威 胁 现如今，网络所面临的威胁是多方面的，不仅仅是 对网络信息的威胁，同样也包括网络设

9、施。总结起来可 分为 3点：一是人为的疏忽大意，如操作员因配置不当 造成安全漏洞，例如，防火墙的配置不当，就会给外来的 攻击创造机会，用户安全意识不强，口令选择不慎，或者 不及时地更新防护系统，都会造成网络安全的威胁； 二是人为恶意攻击，可分为主动攻击与被动攻击，主动 攻击是指攻击者通过修改、删除、延迟、复制、插入一些 数据流，有目的财破坏信息，可以归纳为中断、篡改、伪 造、拒绝服务 4种。被动攻击则是对信息进行截获，偷 听或者监视，主动攻击时比较容易被发现，但是被动攻 击则很难被发现；三是网络软件的漏洞和 “ 后门 ” ，软件 在设计和编程时，难免都会有漏洞，这就成了黑客下手 攻击的对象，同

10、时，软件开发人员为了便于维护而设置 的软件 “ 后门 ” ，也可能成为网络安全的很大隐患；四是 管理不当，造成网络设施无意或恶意的损坏。 3网 络 安 全 的 防 御 措 施 网络安全是一项复杂的工程，它涉及了技术、设备、 管理使用及立法制度等各个方面的因素。想要很好地 实现信息安全，就必须形成一套完备的网络信息安全体 系，使得技术、设备、管理使用及立法制度等方面因素协 同发展，缺一不可。 3. 1传 统 技 术 3. 1. 1防火墙 防火强是一种专属的硬件，也可以是架设在一般硬 件上的一套软件。在逻辑上，防火墙是一个分离器、限 制器和分析器，主要作用是当 2个或多个网络之间通信 时，防火墙能

11、起到控制访问的尺度，过滤信息。常见的 防火墙类型有包过滤型、应用代理型、网络地址转换 的 NAT和监测型。防火墙的运用可最大限度地提高内外 网络的正常运行，但是不能防止从 LAN内部的攻击， 这也就成了防火墙最大的局限性。同时，随着技术的发 展，一些破译的方法也使得防火墙存在一定的隐患，所 以在防火墙的技术上还有待更好的开发。常用的防火 墙有天网、瑞星，还有 360防火墙等。 3. 1.2访 问 控 制 技 术 提及访问控制技术，就必须提到访问控制技术设计 到的 3个基本概念及主体、客体和访问授权。主体：可 以对其他实体施加动作的主动实体，有时也可称为用户 或者访问者，包括用户本身、用户组、终

12、端、卡机，甚至应 用服务程序等。客体：接受其他实体访问的被动实体， 它可以是信息、文件、记录，也可以是一个处理器、存储 器、网络接点等。访问授权：主体对客体访问的允许权， 访问授权对每一对的主题和客体是给定的。 访问控制技术是通过设置访问权限来限制访问主 体对访问客体的访问，阻止未经允许的用户有意或无意 地获取数据的技术。这项技术是网络安全防范和保护 的主要策略之一，它的主要任务是保证网络资源不被非 法使用和访问。访问控制技术涉及的范围比较广，包 括：入网访问控制、网络权 限控制、目录级控制以及属性 控制等多种手段。 3.1.3网络防病毒技术 计算机病毒可以是一个程序，也可以一段可执行 码，能

13、破坏计算机的正常运行，使之无法正常使用，甚至 使整个操作系统或者硬盘损坏，它们就像生物病毒一 样，同样可以大量自我复制并传播，造成大面积的计算 机网络安全问题。 防病毒技术根据计算机网络病毒的作用来讲，可分 为病毒防御技术、病毒检测技术、病毒清除技术等。网 络大都采用 CUent-Server的工作模式，需要从服务器 和工作站 2个结合方面解决防范病毒的问题。随着计 算机网络技术的发展，网络 防病毒技术的发展也将曰新 月异，其发展方向可大致以下述几种为主：网络操作系 统和应用程序集成防病毒技术、集成化网络防病毒技 术、网络开放式防病毒技术等。建立起一套全方位、多 层次的防病毒系统，并及时进行系

14、统升级，以确保网络 免于病毒的侵袭。 3. 1.4数 据 加 密 技 术 数据加密技术是指在数据传输时，对信息进行一些 形形色色的加法运算，将其重新编码，从而达到隐藏信 息的作用，使非法用户无法读取信息内容，有效保护了 信息系统和数据的安全性，是网络安全核心技术之一。 数据加密技术可在网络 OSI7层协议的多层实现，从 加 密技术应用的逻辑位置看，常用的数据加密方式有：链 路加密（网络层以下的加密）、节点加密 （ 协议传输层上 的加密）、端对端加密（网络层以上的加密 ） 等。按照不 同的作用，数据加密技术可以分为：数据存储、数据传 输、数据完整性的鉴别以及密钥管理技术等。 信息的加密算法或是解

15、密算法都是在一组密钥控 制下进行的。根据加密密钥和解密密钥是否相同，可将 目前的加密体制分为 2种：一种是当加密密钥与解密密 钥对应相同时，称之为私钥加密或者对称加密体制，典 型代表是美国的数据加密标 志 （ DES);另一种是加密密 钥与解密密钥不相同，通称其为公钥或者非对称加密。 这种加密方式，加密密钥是可以公开的，但是解密密钥 则是由用户自己持有的，典型代表为 RSA体制。 在目前的数据加密系统中，对信息的安全性保护， 主要取决于对密钥的保护，而不是对系统和硬件本身的 保护，所以密钥的保密和安全管理在数据系统中是极其 重要的。 3.1.5容灾技术 信息时代，数据越来越突出，数据的安全性更

16、是影 响一个机构发展的生存关键。如何使数据在灾难发生 时不丢失，保障服务系统尽快正常运行，容灾技术将成 为解决这一问题的能手。 提及容灾技术就必须提出灾难，即一切影响计算机 正常工作的事件都称为灾难，包括：自然灾害、设备故 障、人为破坏等。容灾就是在上诉灾难发生时，在保证 生产系统的数据尽量少丢失的情况下，保持生产系统的 业务不间断运行。 容灾的评价指标公认为： RPCK针对数据丢失）、 RTO(针对服务丢失）。从其对系统的保护分类来说， 可将容灾分为数据容灾和应用容灾。数据容灾就是建 立一个异地的数据系统，该系统是本地关键应用数据的 一个实时恢复；应用容灾是在数据容灾的基础上，在异 地建立一

17、套完整的与本地生产系统相当的备份应用系 统。在灾难发生后，将应用迅速切换到备用系统，使生 产系统的业务正常运行。 3. 2 新 型 技 术 3.2.1入侵检测系统技术 （ IDS) 入侵检测技术是继 “ 防火墙 ” 之后，近 10年来新一 代网络安全保障技术，在很大程度上它弥补了防火墙的 不足。它是通过对网络或者计算机系统中若干关键点 收集信息并分析，检测其中是否有违反安全策略的行 为，是否受到攻击，能够有效地发现入侵行为合法用户 滥用特权的行为，是一种集检测、记录、报警、响应技术， 能主动保护自己免受攻击的动态网络安全 策略，也是 P2DR的核心部分。 虽然目前很多 “ 防火墙 ” 都集成有

18、入侵检测的模块， 但是由于技术和性能上的限制，与专业的入侵检测系统 还是无法相比的。专业的入侵检测系统是一种积极主 动的网络安全防护工具，提供了对内部、外部攻击和误 操作的实时防护，在网络系统受到危害之前拦截相应入 侵。目前入侵检测系统常用的入侵检测方法包括：特征 检测、异常检测、状态检测、协议分析等。 同时入侵检测系统也存在着一些问题，比如误报； 再比如，当受到精巧及有组织的攻击时，要找出这样复 杂的攻击是有难度的。从总体上来讲，入侵检测系统的 发展趋势可以概括为分布式入侵检测与 CIDF、 应用层 入侵检测、智能层入侵检测、与网络安全其他相结合的 入侵检测、建立入侵检测系统评价体系。由于入

19、侵检测 系统存在的弊端，已经不能满足网络的发展需求，今后 的入侵检测技术主要朝着以下几个方面发展：智能化入 侵检测、大规模分布式入侵检测、应用层入侵检测、分布 式入侵检测与通用入侵检测等。 3. 2. 2虚拟专用网 （ VPN)技术 虚拟专用网 （ Virtual Private Network, VPN)是一 种基于公共数 据网，给用户一种直接连接到私人局域网 感觉的服务。 VPN技 术 是 依 靠 Internet服 务 提 供 商 (ISP)和其他网络服务提供商 （ NSP)， 在公用网络中建 立专用的数据通信网络技术。在虚拟专用网中，任意两 个节点之间的连接并没有传统专用网所需的端到端

20、的 物理链路，而是利用某种公众网的资源动态组成的。按 照实现技术不同， VPN可分为 PPTP ( Point-to-Point Tunneling Protocol) ,L2TP(Layer 2 Tunneling Protocol) , MPLS (Multi-Protocol Label Switch), IPSecCInternet Protocol Security) S SSL (Secure Sockets Lay- er)等。 虚拟专用网的作用很多，比如：实现网络安全，简化 网络设计，降低成本，容易扩展，连接灵活，完全控制主 动权等等。在此主要探讨它的安全性，虚拟专用网大多 传

21、输的是私有信息，所以用户数据的安全性就更为关 注。目前， VPN主要采用四项技术来保证信息安全，分 别是隧道技术、加解密技术、密钥管理技术、使用者与设 备身份认证技术。通过这些技术能有力地抵制不法分 子篡改、偷听、拦截信息的能力，保证数据的机密性。 3. 2. 3 云安全 云安全是网络时代信息安全的最新体现，随着云计 算成为了网络发展的热门话题，相继提出了 “ 云安全 ” 的 概念。 云计算是一个新兴的商业计算模型，是分布式处 理、并行处理和网络计算的发展，是一种基于互联网的 超级计算模式。它利用高速互联网的传输能力，将数据 的处理过程从个人计算机或服务器移到互联网上的超 级计算机集群中。云计

22、算是一个虚拟的计算资源池，它 通过互联网为用户提供资源池内的计算资源。对 用户 而言，云计算具有随时获取、按需使用、随时扩展、按使 用付费等优点。同时，云计算具有效益好、经营集约化、 设备利用率高、节能降耗、服务后台化、货币化、即时化、 弹性化等等诸多特点。 随着云计算的日渐推广和普及，云计算安全的问题 也逐渐浮出水面。和传统的安全风险不同，在云计算中 恶意用户和黑客都是云端互动环节攻击数据中心的，其 具体变现有信息体的伪造、编造、假冒以及病毒攻击等 等，并且这些危害不仅仅是发生在服务定制和交付这 2个出入口，还贯穿于服务的组织、加工、整理、包装过 程中。 与之相对应的，提出了云安全概念。云安

23、全通过网 络的大量客服端对网络中软件行为的异常监测，获取互 联网中木马、恶意程序的最新信息，推送到服务端进行 自动分析和处理，再把病毒和木马的解决方案分发到每 一个客服端。云安全技术应用后，识别和查杀病毒不再 仅仅依靠本地硬盘中的病毒库，而是依靠庞大的网络服 务，实时即时采集、分析以及处理。 云安全的概念提出后，曾引发了广泛的争议，许多 人认为它是伪命题，但是随着各大公司运用云安全技术 实现了新一代的查杀概念，云 安全技术成为了不争的事 实。但同时，由于云安全仍然是门较新的技术，所以还 存在许多问题需要深入的探宄、解决并且依靠时间来 证实。 3. 3管 理 使 用 及 立 法 “ 三分技术七分

24、管理 ” ，一直都是安全界的名言，网 络安全管理也不例外，即使有了再好的技术，没有妥善 的管理措施和立法保护措施，网络安全同样也会受到不 小的威胁。只有当安全技术和计算力安全管理措施紧 密结合，才能使计算机网络安全达到最好成效。 3.3.1对 设 备 的 管 理 计算机机房应设在适宜的环境下，以保证计算机系 统的安全性和可靠性。同时要注意机房的温度、湿度、 空气清洁度、虫害、震动、冲击以及电气干扰等方面，都 要有相应的标准。机房不但能抵制自然灾害的侵略，同 时也要能防范人为地破坏。定期对机房周边，机房和计 算机设备进行检查，确保外在安全无隐患。 3.3.2开展网络安全教育和网络道德教育，增强网

25、络 安全防范意识 仅仅通过技术来解决网络安全问题，是不够的，只 有增强了网络安全防范意识，才能使网络安全发挥到最 大效能。 培养网络安全意识，就是通过对网民及网络管理人 员开展网络安全普及教育，使人们意识到网络安全的重 要性，了解并掌握一定的网络安全防范措施。经过定期 的网络自查和安全更新，就能排除一些不良的网络安全 威胁。比如，及时打好系统补丁、使用杀毒软件进行计 算机病毒查杀、不得使用各类移动存储设备在互联网和 内网之间传播不安全程序、文件等。 在网络道德教育方面，目前俨然己成为网络安全管 理一个很重要的环节。由于计算机技术的大力发展，网 络犯罪己日趋恶劣化、低龄化、复杂化、广泛化、损失严

26、 重化。所以通过教育宣传等手段来增强人们网络道德 观，提高他们对网络不良文化和违法行为的免疫力、抵 制力。尤其是在中学生中，一定要重视这一问题的教 育，提早让学生对网络信息有着正确的判断分析能力。 3.3.3严格制定并遵守网络安全规章制度 遵照国家和本部门相关信息安全的技术标准和管 理规范，针对本部门专项应用，对信息管理和对系统流 程的各个环节进行安全评估，设定安 全应用等级，明确 人员职责，制定安全规章制度的分步实施方案，要求相 关人员严格遵守操作，达到安全和应用的科学平衡。 3.3.4完善网络安全立法，加强网络法律监管 我国目前已经出台了多项有关网络安全的法律，但 是与网络发展的速度相比还

27、是相对滞后的，而且现有的 法律大多过于庞杂，其间的协调性和相通性也不够，缺 乏系统规范性和权威性。因此加快制定和完善网络安 全的相关法律是迫在眉睫的。在制定网络安全相关法 律时，可以借鉴国外成功的经验，与国际有关的法律法 规相接轨，并结合我国的实际情况，趋利避害，最终既定 出一套适用于我国的网络安全法律。 仅仅有了网络法是不够的，还必须加强网络法律的 监管力度。建立一支高素质的网络执法队，使其熟练掌 握网络信息技术、安全技术，能够在第一时间内发现不 法的网络犯罪行为，提高执法效率。加大网络违法犯罪 的处罚力度，查封和大力打击网络有毒、有害的信息，定 时整顿网络的秩序。让网络安全相关法律也真正做

28、到 “ 有法可依，有法必依，执法必严，违法必宄 ” 的原则。 4 结语 众所周知不管是要想更好更快实现以上的技术，还 是管理及立法，都需要资金的辅助，所以应在网络安全工 程事业投入足够的资金，以 确保我国网络安全工程事业 的稳步发展。相信，通过国家高度的重视，技术人员不懈 的努力，管理人员认真的态度，广大网民不断提高的网络 安全意识，网络安全发展前景定会一片光明。现今时代， 网络是否安全，己经影响到各行各业的生死存亡以及发 展状况，也是未来社会发展好坏的一个重要的影响因素。 总之，只有把好了网络安全的关卡，网络时代的网络空间 才会为人类最大限度发挥其保障、服务的作用。 (下转第 116页） 给

29、出应答信号（第 4个波形第 1个脉冲 ）； 收到 MMH总 线给出的应答（同步 ） 信号后， ISA总 线 将 数 据 信 号 11010101发送（第 3个波形 ）； 由于 MMH总 线 数 据 信 号采用的是负逻辑，因此， MMH总 线 上 收 到 了 发 送 的 信号 00101010(第 5个波形）。实验结果证明，设计的 电路可以实现 ISA总线到 MMH总线的数据转换。由 MMH总线向 ISA总线传输数据的实验结果如图 5(b) 所示，当MMH总线发送的数据为 00110011时， ISA总 线接收的数据为 11001100。 用设计的电路插板更换导弹测试设备上的俄制电 路插板，并用

30、测试设备对某型导弹进行常规测试，测试 结果 符合测试要求。实际应用证明，设计的电路达到设 计目的，可以可靠地实现 ISA总线 /MMH总线之间的 数据转换。 5 结语 ISA总线和 MMH总线是 2种 完 全 不 同 的 总 线 ， ISA总线采用美制标准，而 MMH总线采用俄制标准， 因此在俄制测试设备中， IS A总线 / M M H总 线 的 转 换 电路板是必备的。本文设计的电路完全能代替俄制电 路板实现数据转换功能，极大提高了部队装备的保障 力；同时，由于俄制电路板价格较贵，因此采用国产器件 实现的该转换电路也具有较高的经济价值。 参考文献 1 贺小亮，李艾华，王帆胜 .基于 ISA

31、总线的数据釆集卡的设 计及应用 J.电子测量技术， 2008,31(6):129-130. 2 曲伟，孙志安 .基于 FPGA实现高速串行链路数据恢复的方 法J.计算机测量与控制， 2011(19) :219-221. 3 李海峰，汪毅，陈晓冬，等 .基于 FPGA的 单探测器偏振 OCT信号解调系统设计 J.现代科学仪器， 2011 (7): 15-17. 4 麻志鹏，沈小林 .PCI总线接口的 FPGA设计与实现 J. 2011(11) ： 95-99. 5 马或，王丹利，王丽英 .CPLD/FPGA可编程逻辑器件实用 教程 M.北京：机械工业出版社， 2006. 6 冯志江，黄凤鸣 .基

32、于 CPLD和 ISA总线的数据采集系统设 计J.电子设计工程， 2010(3):103-105. 作 者 简 介 ： 王 朕 男 ， 1979年出生，山东聊城人，硕士研究生，讲师。从事开关电源和自动测试系统研究。 (上接第 112页） 参考文献 1 罗宝庆，张俊 .浅谈计算机病毒的危害及防范 J.经济技术 协作信息， 2010(20) : 1039-1042. 2 赵粮，裘晓峰 .云计算环境的安全威胁和保护 J.中国计算 机通讯学会， 2010,6(5): 47-50. 3 张云勇，陈清金，潘松柏 .云计算安全关键技术 J.电信科 学， 2010(8) :11-15. 4 佚名 .云计算环境

33、下安全模型与传统安全模型的差异 EB/ OL. 2010-08-03. 2011-05-09, http： /datacenter, chirr 5 包延芳 . 浅 析 网 络 防 火 墙 技 术 J.今 日 科 苑 ， 2008 (2): 11-13. 6 王玲 .网 络 信 息 安 全 的 数 据 加 密 技 术 J.信 息 安 全 与 通信 保密， 2007(9) :15-17. 7 文瑞映 .ORACLE数 据库的各份与恢复 J.电脑知识与技 术， 2006(23) :34-36. 8 VOLLBRECHT J R. State machines for extensible authentication protocol (EAP) peer and authenticator, RFC4137 R. S. 1. ： RFC, 2005. 9 雷震甲 .网络工程师教程 M.北京：清华大学出版社， 2004. 10 HOWARD L. An approach for using LDAP as a network information service, RFC2307 R. S. 1. ： RFC, 1998. 作者简介：彭沙沙女， 1987年出生，山东莱州人，硕士研究生。主要研究方向为网络信息系统。