一、网络安全的概念
国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此可以将计算机网络的安全理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。
计算机网络安全包括物理安全和逻辑安全。所谓物理安全主要是指把文件服务器放置在安全的环境中,防止有破坏预谋的人接近物理设备;所谓逻辑安全是指使用密码及其他形式的软件保护,实现各种权限特性的安排。
二、网络安全的脆弱性及面临的威胁
对于计算机网络安全来说,计算机系统本身的脆弱性和通信设施的脆弱性共同构成了计算机网络系统的潜在威胁及脆弱性。而校园网络面临的威胁大体可分为对网络中数据信息的危害和对网络设备的危害。具体来说,危害网络安全的主要威胁有:非授权访问,冒充合法用户,破坏数据的完整性,干扰系统正常运行,减慢系统的响应时间等;病毒与恶意攻击,线路窃听。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等,这些安全隐患发生任何一次对整个网络都将是致命性的。
三、网络安全防范的内容
一个安全的计算机网络应该具有机密性、完整性、可用性、可控性、可审查性与可保护性等特点。计算机网络不仅要保护计算机网络设备安全和计算机网络系统安全,还要保护数据安全等。因此针对计算机网络本身可能存在的安全问题,实施网络安全保护方案以确保计算机网络自身的安全性是每一个计算机网络都要认真对待的一个重要问题。网络安全防范的重点主要有两个方面:一是计算机病毒,二是黑客犯罪。
四、网络安全的主要技术
网络安全的主要技术有防火墙、 报文验证、身份识别、数字签名、信息加密和防病毒技术等。
(一)防火墙技术
1、防火墙的概念及原理
防火墙的本义原是指古代人们房屋之间修建的那道墙,这里所说的防火墙是指隔离在本地网络与外界网络之间的一道防御系统,是在本地网络与外界网络之间实施特定访问控制策略的系统。它是保护可信网络(用户内部网)不受非可信的外部网(国际互联网、外部网)访问的机构,是整体安全防护体系的一个重要组成部分。其原理如下图所示:
应该说,在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(局域网如校园网)的连接,同时不会妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信量,从而完成看似不可能的任务;仅让安全、核准了的信息进入,同时又抵制对内部网构成威胁的数据。防火墙技术是对黑客防范最严,安全性较强的一种方式,任何关键性的服务器,都建议放在防火墙之后。
2、防火墙的分类
尽管计算机网络防火墙所提供的保护的方式与水平各不相同,但概括起来主要有四种:
(1)信息包过滤防火墙
所谓信息包过滤防火墙是指具有进出信息包的路由器或计算机。信息包过滤防火墙通过检测信息包TCP和IP标题中包含的信息(源地址、目的地址、应用程序或协议、TCP/UDP源端口码、TCP/UDP目的端口码),决定接受和拒绝该信息。其优点是简单实用,实现成本较低,能以较小的代价在一定程度上保证系统的安全。但其缺陷也是明显的,信息包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过信息包过滤型防火墙。
(2)链路级网关
链路级网关放置在内部网和外部网之间,监视从可信客户机或服务器到非可信主机及从非可信主机到可信客户机或服务器之间的TCP通信,以便确定被请求的会话是否合法。它提供了一种重要的安全功能:代理服务器的概念。代理服务器是利用一种称为地址转换的过程将所有的可信客户机的IP地址映射到与防火墙相关的IP地址。
(3)应用级网关
与链路级网关相同,应用极网关对进出可信网络的信息包进行阻断,并运行代理程序复制和转发跨网关的信息。同时它也起到了一种代理服务器的作用,防止任何可信服务器或客户机与非可信主机之间的直接连接。
(4)复合型防火墙
复合型防火墙是信息包过滤防火墙、链路级网关和应用级网关相结合的产物。具有上述三类防火墙的特性。提供了更佳的性能和安全性。复合型防火墙只要有以下几种:双归属网关、屏蔽主机网关和屏蔽子网防火墙。
(二)报文验证
所谓报文验证就是指在两个通信实体之间建立通信联系之后,对每个通信实体收到的信息进行验证以保证所收到的信息是真实的。它主要包括以下内容:报文是有确认的发方产生的;报文内容没有被非法修改过;报文是按照与其传送时间相同的顺序收到的。
(三)身份识别
系统的安全性常常依赖于对终端用户身份的正确识别与检验,以防止用户的欺诈行为。身份验证一般包括两个方面的含义:一个是识别,一个是验证。所谓的识别是指对系统中的每个合法用户都具有识别能力。所谓验证是指系统对访问者自称的身份进行验证,以防假冒。身份的验证主要有以下几种方法:口令和通行字的方法;利用信物的身份验证;利用人类生物学特性进行身份验证。
(四)数字签名
数字签名技术是基于公共密钥的身份验证,公开密钥的加密机制虽提供了良好的保密性,但难以鉴别发送者,即任何得到公开密钥的人都可以生成和发送报文,数字签名机制则在此基础上提供了一种鉴别方法,以解决伪造、抵赖、冒充和篡改等问题。大多数电子交易采用两个密钥加密:密文和用来解码的密钥一起发送,而该密钥本身又被加密,还需要另一个密钥来解码。这种组合加密被称为数字签名,它有可能成为未来电子商业中首选的安全技术。
(五)信息加密
信息加密是网络信息安全的核心技术之一,它对网络信息安全起着别的安全技术无可替代的作用。数据加密技术是与防火墙配合使用的技术,是通过对信息的重新组合,使得只有收发双方才能解码还原信息,是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要技术手段之一。
(六)防病毒技术
在所有计算机安全威胁中,计算机病毒是最为严重的,它不仅发生的频率高、损失大,而且潜伏性强、覆盖面广。校园网络中,计算机病毒具有不可估量的威胁性和破坏力。它的防范是网络安全技术中重要的一环。防病毒技术包括预防病毒、检测病毒、消除病毒等技术。
1、预防病毒技术
计算机病毒预防是指在病毒尚未入侵或刚刚入侵时,就拦截、阻击病毒的入侵或立即报警。对计算机病毒必须以预防为主。目前预防病毒采用的技术主要有:
(1)安装防计算机病毒软件,并及时、可靠升级反病毒产品。
(2)不使用来历不明、无法确定是否带有病毒的磁盘。
(3)不做非法的软件复制,不使用盗版软件。
(4)对重要程序或数据要经常做备份,以便在感染上病毒后尽快得到恢复。
(5)严禁在计算机上玩来历不明的网络游戏、计算机游戏等软件,不登陆不了解的网站,不要打开来历不明的电子邮件。
(6)定期对计算机进行系统病毒检测等。
2、检测病毒技术
检测病毒技术是通过对病毒的特征来进行判断的侦测技术,如自身校验、关键字、文件长度的变化等。病毒检测一直是病毒防护的支柱,但随着病毒的数目和可能的切入点的大量增加,识别古怪代码串的进程变得越来越复杂,而且容易产生错误和疏忽。因此,建议防病毒技术应将病毒检测、多层数据保护和集中式管理等多种功能集成起来,形成多层次防御体系,既具有稳健的病毒检测功能,又具有客户机/服务器数据保护能力,也就是覆盖全网的多层次方法。
3、消除病毒技术,通过对病毒的分析,开发出具有杀病毒程序并恢复原文件的软件。大量的病毒针对网上资源和应用程序进行攻击,这样的病毒存在于信息共享的网络介质上,因而要在网关上设防,在网络入口实时杀毒。对于内部病毒,如客户机感染的病毒,通过服务器防病毒功能,在病毒从客户机向服务器转移的过程中杀掉,把病毒感染的区域限制在最小范围内。
五、结束语
校园网络安全是一个长期的、动态的过程,内部人员的蓄意破坏、管理操作者的失误、网络黑客的攻击、操作系统公开或未公开的漏洞、网络架构的变动、网络安全人才的缺乏都将导致网络系统的不安全,因此,校园网络安全及技术防范任重而道远。
你可以使用这个链接引用该篇文章 http://publishblog.blogchina.com/blog/tb.b?diaryID=3767651