计算机网络安全管理技术

计算机网络安全管理技术内容摘要：

络安全的常用防护技术 10 加密技术 加密技术是网络安全的核心， 现代密码技术发展至今二十余年， 其技术已由传统的只注重保密性转移到保密性、真实性、完整性和可控性的完美结合。 加密技术是解决网络上信息传输安全的主要方法，其核心是加密算法的设计。 加密算法按照密钥的类型 , 可分为非对称密钥加密算法和对称密钥加密算法。 (1)非对称密钥加密 1976 年，美国学者 Dime 和 Henman 为解决信息公开传送和密钥管理问题， 提出一种新的密钥交换协议， 允许在不安全的媒体上的通讯双方交换信息， 安全地达成一致的密钥， 这就是 “ 公开密钥系统 ”。 相对于 “ 对称加密算法 ”这种方法也叫做 “非对称加密算法 ”。 与对称加密算法不同， 非对称加密算法需要两个密钥： 公开密钥（ publickey和私有密（ privatekey ）。 公开密钥与私有密钥是一对， 如果用 公开密钥对数据进行加密， 只有用对应的私有密钥才能解密； 如果用私有密钥对数据进行加密， 那么只有用 对应的公开密钥才能解密。 因为加密和解密使用的是两个不同的密钥， 所以这种算法叫作非对称加密算法。 (2)对称加密技术 对称加密采用了对称密码编码技术，它的特点是文件加密和解密使用相同的密钥， 即加密密钥也可以用作解密密钥， 这种方法在密码学中叫做对称加密算法， 对称加密算法使用起来简单快捷， 密钥较短， 且破译困难， 除了数据加密标准（ DNS） ， 另一个对称密钥加密系统是国际数据加密算法（ IDEA），它比 DNS 的加密性好， 而且对计算机功能要求也没有那么高。 IDEA 加密标准由 PGP （ Pretty GoodPrivacy ）系统使用。 【 5】 防火墙 网络防火墙技术是一种用来加强网络之间访问控制， 防止外部网络用户以非法手段进入内部网络， 访问内部网络资源， 保护内部网络的特殊网络互联设备。 它对两个或多个网络之问传输的数据包按照一定的安全策略来实施检查， 以决定网络之间的通信是否被允许，并监视网络运行状态。 根据防火墙所采用的技术不同， 我们可以将它分为 4 种基本类型：包过滤型、网络地址转换型，代理型和监测型。 (1) 包过滤型 包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技 术。 网络上的数据都是以 “ 包 ” 为单位进行传输的，数据被分割成为一定大小的数据 11 包， 每一个数据包中都会包含一些特定信息 ， 如数据的源地址、目标地址、TCP/UDP 源端口和目标端口等。 防火墙通过读取数据包中的地址信息来判断这些 “ 包 ” 是否来自可信任的安全站点， 一旦发现来自危险站点的数据包， 防火墙便会将这些数据拒之门外。 系统管理员也可以根据实际情况灵活制订判断规则。 包过滤技术的优点是简单实用， 实现成本低。 它是一种完全基于网络层的安全技术， 只能根据数据包的源、目标端口等网络信息进行判断， 无法识别基于 应用层的恶意侵入， 有经验的黑客很容易伪造 IP 地址，骗过包过滤型防火墙，达到入侵网络的目的。 (2) 网络地址转换型 网络地址转换是一种用于把 IP 地址转换成临时的、外部的 IP地址标准。 它允许具有私有 IP 地址的内网访问因特网。 在内网通过安全网卡访问外网时， 将产生一个映射记录。 系统将外出的源地址映射为一个伪装的地址， 让这个伪装的地址通过非安全网卡与外网连接， 这样对外就隐藏了真实的内网地址。 在外网通过非安全网卡访问内网时， 它并不知道内网的连接情况， 而只是通过一个开放的 IP 地址来请求访问。 防火墙 根据预先定义好的映射规则来判断这个访问是否安全。 当符合规则时，防火墙认为是安全的访问， 可以接受访问请求。 当不符合规则时，防火墙认为该访问是不安全的， 就屏蔽外部的连接请求。 网络地址转换的过程对于用户来说是透明的， 不需要用户进行设置，用户只要进行常规操作即可。 (3) 代理型 代理型防火墙也可以被称为代理服务器， 它的安全性要高于包过滤型产品， 并已经开始向应用层发展。 代理服务器位于客户机与服务器之间， 完全阻挡了二者间的数据交流。 当客户机需要使用服务器上的数据时， 首先将数据请求发给代理服务器， 代理 服务器再根据这一请求向服务器索取数据， 然后由代理服务器将数据传输给客户机。 由于外部系统与内部服务器之问没有直接的数据通道， 外部的恶意侵害也就很难伤害到企业内部网络系统。 代理型防火墙的优点是安全性较高， 可以针对应用层进行侦测和扫描， 对付基于应用层的侵入和病毒都十分有效。 其缺点是对系统的整体性能有较大的影响， 而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。 (4) 监测型 监测型防火墙是新一代的产品， 这一技术实际已经超越了最初的防火墙定义。 监测型防火墙 能够对各层的数据进行主动、实时的监测， 在对这些数据加 12 以分析的基础上， 监测型防火墙能够有效地判断出各层中的非法侵入。 同时， 这种检测型防火墙产品一般还带有分布式探测器， 这些探测器安置在各种应用服务器和其他网络的节点中， 不仅能够检测来自网络外部的攻击， 同时对自内部的恶意破坏也有极强的防范作用。 虽然监测型防火墙安全性上已超越了包过滤型和代理服务器防火墙， 但由于监测型防火墙技术的实现成本较高， 也不易管理， 所以目前在实用中的防火墙产品仍然以代理型产品为主，但在某些方面也已经开始使用监测型防火墙。 网络防病毒技术 (1) 病毒预防技术 计算机病毒的预防技术是指通过一定的技术手段防止计算机病毒对系统的破坏。 计算机病毒的预防应包括对已知病毒的预防和对未知病毒的预防。 预防病毒技术包括 : 磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。 (2) 病毒检测技术 计算机病毒的检测技术是指通过一定的技术判定出计算机病毒的一种技术。 计算机病毒的检测技术有两种 : 一种是判断计算机病毒特征的监测技术。 病毒特征包括病毒关键字、特征程序段内容、传染方式、文件长度的变化等。 另一种是文件自身检测技术 , 这是 一种不针对具体病毒程序的特征进行判断 , 而只是通过对文件自身特征的检验技术 , 如出现差异 , 即表示该文件已感染上了病毒 , 达到了检测病毒存在的目的。 (3) 病毒消除技术 计算机病毒的消除技术是计算机病毒检测技术发展的必然结果 , 是计算机病毒传染程序的一种逆过程。 但由于杀毒软件的更新是在病毒出现后才能研制 , 有很大的被动性和滞后性 , 而且由于计算机软件所要求的精确性 , 致使某些变种病毒无法消除 , 因次应经常升级杀毒软件。 (4) 结语 目前，国内市场上已经出现了防火墙、安全路由器、安全网关、黑客入侵监测 、系统脆弱性扫描软件等网络安全产品。 但是我国的信息网络安全技术的研究和产品开发仍处于起步阶段 , 仍有大量的工作需要我们去研究、开发和探索 , 以走出有中国特色的产学研联合发展之路 , 赶上或超过发达国家的水平 , 以此保证我国信息网络的安全 ,推动我国国民经济的高速发展。 【 6】 13 第五章 计算机网络不安全因素分析 随着计算机网络的不断扩张、计算机应用知识和应用技术的普及化，网络用户群体日益扩大，但这个群体来自各个阶层，其复杂程度也在日益增加，会对网络造成危害的各类人物有增无减，显然，网络中的安全问题已日趋严 重。 网络的不安全因素是不法分子入侵的主要方面，因此，对计算机网络有威胁的不安全因素进行分析由为重要。 网络硬件方面的不安全因素 (1) 非法终端 偷偷并接在合法终端通信接口上进行通信的终端。 或当合法用户从网上断开时，非法用户乘机接入并操纵该计算机通信接口，或由于某种原因使信息传到非法终端。 应选择符合实际需要的技术先进的端口保护专用设备，使终端不易受破坏。 (2) 搭线窃听 随着信息传递的不断增加，传递数据的密级也在不断提高，不法分子为了获取大量经济、政治和军事等机密情报，往往会在通信线路上安装监 听设备，非法窃听他人信息。 当窃听到他们感兴趣的密级信息时，就非法接收下来。 这种行为，虽然不影响通信线路上所传信息的传输，但该信息已被不法分子所获取。 这种行为具有隐蔽性，通信双方不易觉察。 因此通信线路应尽可能埋在地下，各连接点应放置在受监视的地方，以防外连的企图，并要定期检查，以检测是否有被窃听。 (3) 注入非法信息 通过通信线路有预谋地注入非法信息，截获所传信息，再删除原有信息，或注入非法信息再发出，使接收者收到错误信息。 应进行信息流安全控制，防止不法分子通过流量和流向分析手段确定攻击的目标。 (4) 非法入侵 不法分子通过技术渗透或利用通信线路入侵网络，非法使用、破坏和获取数据及系统资源。 目前的网络系统大多数采用口令来防止非法访问，一旦口令被窃，很容易侵入网络。 14 (5) 电磁泄漏 网络端口、传输线路和处理机都有可能因屏蔽不良而造成电磁泄漏。 传送的 信息将会被他人有意或无意地接收到，因而造成信息的泄漏。 应尽可能采用光缆， 因为光缆不存在因各种电磁辐射引起的电磁泄漏，而且抗干扰性能极好。 (6) 线路干扰 当公共载波转接设备陈旧和通信线路质量低劣时，会产生线路干扰，导致数 据传输出错。 调制解调器会随 着传输速率的上升，迅速增加错误。 网络软件方面的不安全因素 网络软件方面经常遇到的不安全因素主要有以下几点 : (1) 所采用的病毒监控软件 所采用的病毒监控软件功能不强或版本未及时升级，使计算机病毒有孔可入，侵入内部网络，不断繁殖并扩散到网上的各计算机来破坏系统。 轻者使系统 出错或处理能力下降，重者可使整个系统瘫痪或崩溃。