CIO关注:浅析计算机网络安全问题及对策

一、网络安全及其现状

(一)网络安全的概念。国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。

(二)网络安全的现状。目前欧州各国的小型企业每年因计算机病毒导致的经济损失高达几百亿欧元,而这些病毒主要是通过电子邮件进行传播的。据某反病毒厂商称,像Sobig、Slammer等网络病毒和蠕虫造成的网络大塞车,曾经就给企业造成了几百亿美元的损失。而包括从身份窃贼到间谍在内的其他网络危险造成的损失则很难量化,网络安全问题带来的损失由此可见一斑。

二、计算机网络信息安全的威胁

(一)自然灾害。计算机信息系统仅仅是一个智能的机器,易受自然灾害及环境(温度、湿度、振动、冲击、污染)的影响。

(二)黑客的威胁和攻击。黑客问题的出现,并非是黑客能够制造入侵的机会,而是他们善于发现漏洞,即信息网络本身的不完善性和缺陷,成为被攻击的目标或利用为攻击的途径,并构成了自然或人为的破坏。

(三)计算机病毒。计算机病毒是一个程序,一段可执行码,破坏计算机的正常运行,使之无法正常使用甚至使整个操作系统或者硬盘损坏。就像生物病毒一样,计算机病毒有独特的复制能力,可以很快地蔓延,常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制和传送时,它们就随之一起蔓延开来病毒程序不是独立存在的,它隐蔽在其它可执行的程序之中,既有破坏性又有传染性和潜伏性。轻则影响机器运行速度,重则使机器处于瘫痪,会给用户带来不可估量的损失。

(四)垃圾邮件和间谍软件。一些人利用电子邮件地址的“公开性”和系统的“可广播性”进行商业、宗教、政治等活动,把自己的电子邮件强行“推入”别人的电子邮箱,强迫他人接受垃圾邮件。与计算机病毒不同,问谍软件的主要目的不在于对系统造成破坏,而是窃取系统或是用户信息。

三、网络安全的主要技术

(一)认证。

对合法用户进行认证可以防止非法用户获得对公司信息系统的访问,使用认证机制还可以防止合法用户访问他们无权查看的专题研究信息。现列举如下:

1.身份认证。当系统的用户要访问系统资源时要求确认是否是合法的用户,这就是身份认证。常采用用户名和口令等最简易的方法进行用户身份的认证识别。

2.报文认证。主要是通信双方对通信的内容进行验证,以保证报文由确认的发送方产生,报文传到了要发给的接受方,传送中报文没被修改过。

3.访问授权。主要是确认用户对某资源的访问权限。

4.数字签名。数字签名是一种使用加密认证电子信息的方法,其安全性和有用性主要取决于用户私钥的保护和安全的哈希函数。数字签名技术是基于加密技术的,可用对称加密算法、非对称加密算法或混合加密算法来实现。

(二)数据加密。

加密就是通过一种方式使信息变得混乱,从而使未被授权的人看不懂它。主要存在两种主要的加密类型:私钥加密和公钥加密。

1.私钥加密。私钥加密又称对称密钥加密,因为用来加密信息的密钥就是解密信息所使用的密钥。这种方法的优点是速度很快,很容易在硬件和软件中实现。

2.公钥加密。公钥加密比私钥加密出现得晚,私钥加密使用同一个密钥加密和解密,而公钥加密使用两个密钥,一个用于加密信息,另一个用于解密信息。公钥加密系统的缺点是它们通常是计算密集的,因而比私钥加密系统的速度慢得多,不过若将两者结合起来,就可以得到一个更复杂的系统。

(三)防火墙技术。

防火墙是网络访问控制设备,用于拒绝除了明确允许通过之外的所有通信数据,它不同于只会确定网络信息传输方向的简单路由器,而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。大多数防火墙都采用几种功能相结合的形式来保护自己的网络不受恶意传输的攻击,它们的安全级别依次升高,但具体实践中则既要考虑体系的性价比,又要考虑安全兼顾网络连接能力。

(四)入侵检测系统

入侵检测技术是网络安全研究的一个热点,是一种积极主动的安全防护技术,提供了对内部入侵、外部入侵和误操作的实时保护,在网络系统受到危害之前拦截相应入侵。随着时代的发展,入侵检测技术将朝着三个方向发展:分布式入侵检测、智能化入侵检测和全面的安全防御方案。入侵检测系统(Intrusion Detection System,简称IDS)是进行入侵检测的软件与硬件的组合,其主要功能是检测,除此之外还有检测部分阻止不了的入侵;网络遭受威胁程度的评估和入侵事件的恢复等功能。

(五)虚拟专用网(VPN)技术。

VPN是目前解决信息安全问题的一个最新、最成功的技术课题之一,所谓虚拟专用网(VPN)技术就是在公共网络上建立专用网络,使数据通过安全的“加密管道”在公共网络中传播。用以在公共通信网络上构建VPN有两种主流的机制,这两种机制为路由过滤技术和隧道技术。目前VPN主要采用了如下四项技术来保障安全:隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。

(六)防病毒技术。

随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,计算机病毒防范不仅仅是一个产品、一个策略或一个制度,它是一个汇集了硬件、软件、网络以及它们之间相互关系和接口的综合系统。

四、小结

总的来说,网络安全不仅仅是技术问题,同时也是一个安全管理问题。我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。