自從計算機網絡誕生以來,網絡安全是一個受到人們普遍關注的課題。網絡安全極其重要,網絡只有安才可以保證網絡生活能夠有序進行、網絡系統不遭破壞、信息不被竊取、網絡服務不被非法中斷等。隨著人們對計算機網絡依賴程度的提高,信息系統的安全性顯得愈加重要,如何保證網絡通信的安全性成為人們必須面對的問題。因此,有必要制定并實施計算機通信網絡安全防護策略,以維護計算機通信網絡正常工作秩序,防范計算機犯罪,預防計算機安全事故,有效保證計算機通信網絡的安全。
1、計算機通信網絡安全威脅
在計算機通信網絡環境中,可能經常存在以下幾種攻擊:1)泄密:將消息內容泄漏給沒有合法權利的其他人或程序;2)傳輸分析:通過分析通信雙方的通信模式,確定連接的頻率和持續時間,或者是確定通信的消息數量和長度;3)偽裝:攻擊者產生一條消息并聲稱該消息來自某一合法實體,或者攻擊者發送有關收到或未收到消息的欺詐應答;4)內容修改:對消息的內容進行修改,包括插入、刪除、轉換和替代等;5)發送方否認:發送方否認未發送某條消息;6)接收方否認:接收方否認收到某條消息。
2、安全認證技術
信息的安全傳輸是由加密技術來保證的,而對通信雙方實體身份的確認是通過認證技術來實現的。安全認證是最重要的安全服務之一,因為所有其他的安全服務都依賴于該服務。認證技術可以抵抗假冒攻擊的危險,也可用來確保身份,它是用來獲得對誰或對什么事情信任的一種方法。一個身份的合法擁有者被稱作一個實體。各種物理形式的主體也需要認證,例如人、設備或計算機系統中運行的應用等。對密碼系統的攻擊有兩種:一種是被動攻擊,攻擊者只是對截獲的密文進行分析而已。另一種是主動攻擊,攻擊者通過采取刪除、增添、重放、偽造等手段主動向系統注入假消息。為了保證信息的可認證性,抵抗主動攻擊,一個安全的認證體制至少應該滿足以下幾個要求:1)假定的接受者能夠檢驗和證實消息的合法性、真實性和完整性。2)消息的發送者對所發的消息不能抵賴,有時也要求消息的接受者不能否認所收到的消息。3)除了合法的消息發送者外,其他人不能偽造合法的消息。認證體制中通常存在一個可信中心或可信第三方,用于仲裁、頒發證書或管理某些信息。
3、防火墻技術
防火墻技術是現在市場上應用范圍最廣、最容易被用戶接受的網絡安全產品之一。防火墻將內部可信區域與外部威脅區域有效隔離,將網絡的安全策略制定和信息流集中管理控制,為網絡邊界提供保護。使用防火墻,可以防止非法用戶對網絡資源的訪問。防火墻是使用過濾器來阻斷一定類型的通信傳輸。網關是一臺機器或一組機器,它提供中繼服務,以補償過濾器的影響。一般情況下,兩個網關通過內部過濾器到內部的連接比外部網關到其他內部主機的連接更為開放。就網絡通信而言,兩個過濾器或網關本身,都是可以省去的,具體情況隨防火墻的變化而變化。防火墻按照事先規定好的配置和規則,監測并過濾所有通向外部網和從外部網傳來的信息,只允許授權的數據通過。防火墻還應該能夠記錄有關的連接來源、服務器提供的通信量以及試圖闖入者的任何企圖,以方便系統管理員的監測和跟蹤,并且防火墻本身也必須能夠免于滲透。
4、加密技術
加密技術通常分為兩大類:對稱式和非對稱式。對稱式加密就是加密和解密所使用的密鑰是相同的,或者可以從一個密鑰推算出另一個密鑰。非對稱式加密就是加密和解密所使用的不是同一個密鑰,通常有兩個密鑰,稱為公鑰和私鑰,它們兩個必需配對使用,否則不能打開加密文件。這里的公鑰是指可以對外公布的;而“私鑰”則不能,只能由持有人一個人知道。它的優越性就在這里,因為對稱式的加密方法如果是在網絡上傳輸加密文件就很難把密鑰告訴對方,不管用什么方法都有可能被別竊聽到。而非對稱式的加密方法有兩個密鑰,且其中的公鑰是可以公開的,也就不怕別人知道,收件人解密時只能用自己的私鑰解密,這樣就很好地避免了密鑰的傳輸安全性問題。公鑰密碼的提出,開創了現代密碼發展的新紀元。如果沒有公鑰密碼,那么在大型、開放的電子網絡環境中建設具有普適性的信息安全基礎設施則是一件不可想象、無法實現的事。
公鑰密碼體制的概念是在解決單鑰密碼體制中最難解決的兩個問題時提出的,這兩個問題分別是密鑰分配和數字簽名。單鑰密碼體制在進行密鑰分配時,要求通信雙方或者已經有一個共享的密鑰,或者可以借助一個密鑰分配中心來分配密鑰。對前者的要求,常常可用人工方式傳送雙方最初共享的密鑰,但是這種方法成本很高,而且還要依賴于通信過程的可靠性,這同樣是一個安全問題的隱患。對于第2個要求則完全依賴于密鑰分配中心的可靠性,同時密鑰分配中心往往需要很大的內存容量來處理大量的密鑰。公鑰密碼技術和對稱密碼技術的比較可以從算法和密鑰兩個方面來進行。在算法方面,公鑰密碼體制的算法容易用精確的數學術語描述,它建立在特定的已知數學問題上,安全性依賴于這種數學問題的求解是計算上不可能的。與此相對,傳統密碼體制的算法以復雜紊亂的數學方程為基礎。雖然求解單個方程并不困難,但由于它被多次迭代和攪亂,以至無法用解析法求解。在密鑰方面,這兩種密碼體制的密鑰產生方式也不同。在對稱密碼體制中,加密密鑰和解密密鑰可以簡單地互相推導,因此它們是以簡單的方法隨機選擇的。在公開密鑰密碼體制中,由公開密鑰不能簡單地推出秘密密鑰。秘密密鑰是按照特定的要求選擇的,而公開密鑰又是由秘密密鑰利用確定的步驟有效地計公鑰密碼體制作為一種加密技術,它也是易受窮舉攻擊的,其解決方法也是使用較長的密鑰。由于公鑰密碼體制使用的是某種可逆的數學函數,計算函數值的復雜性可能不是密鑰長度的線性函數,而是比線性函數增長更快的函數,所以一方面為了抗窮舉攻擊,密鑰長度要足夠長;另一方面為了便于實現,解決公鑰密碼加解密速度較慢的問題,要求密鑰長度盡可能短。在實際實現中,一般用公鑰密碼來進行密鑰的管理和數字簽名。
5、結束語
尚需說明的是,單一的技術或產品是無法滿足通信網絡對安全的要求。只有將技術和管理有機結合起來,從控制整個通信網絡安全建設、運行和維護的全過程入手,才能提高網絡的整體安全水平。恰當的管理活動、規范的各項組織業務活動,是通信網絡有序運行、獲取安全的重要保障。
京公網安備 11010502049343號