浅析网络安全【中文3140字】 【中英文WORD】

浅析网络安全【中文3140字】 【中英文WORD】,中文3140字,中英文WORD,浅析网络安全【中文3140字】,【中英文WORD】,浅析,网络安全,中文,3140,中英文,WORD Security of Computer Network System 【中文3140字】 浅析网络安全 摘要：针对计算机网络系统存在的安全性和可靠性问题，本文从网络安全的重要性、理论基础、具备功能以及解决措施等方面提出一些见解，并且进行了详细的阐述，以使广大用户在计算机网络方面提高安全防范意识。 关键词：计算机网络 虚拟专用网技术 加密技术 防火墙 随着计算机网络技术的发展，网络的安全性和可靠性已成为不同使用层次的用户共同关心的问题。人们都希望自己的网络系统能够更加可靠地运行， 不受外来入侵者干扰和破坏。所以解决好网络的安全性和可靠性问题，是保证网络正常运行的前提和保障。 一、 网络安全的重要性 在信息化飞速发展的今天，计算机网络得到了广泛应用，但随着网络之间的信息传输量的急剧增长，一些机构和部门在得益于网络加快业务运作的同时，其上网的数据也遭到了不同程度的攻击和破坏。 攻击者可以窃听网络上的信息， 窃取用户的口令及数据库的信息；还可以篡改数据库内容， 伪造用户身份， 否认自己的签名。更有甚者，攻击者可以删除数据库内容，摧毁网络节点，释放计算机病毒等等。这致使数据的安全性和自身的利益受到严重的威胁。 根据美国 FBI（美国联邦调查局）的调查，美国每年因为网络安全造成的经济损失超过170 亿美元。75个公司报告财政损失是由于计算机系统的安全问题造成的。超过 50%安全威胁来自内部。而仅有 59%损失可以定量估算。在中国，针对银行、证券等金融领域的计算机系统的安全问题所造成的经济损失金额已高达数亿元， 针对其他行业的网络安全威胁也时有发生。 由此可见，不论是有意的攻击，还是无意的误操作， 都将会给系统带来不可估量的损失。所以，计算机网络必须有足够强的安全措施。无论是在局域网还是在广域网中，网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性， 这样才能确保网络信息的保密性、 完整性和可用性。 二、 网络安全的理论基础 国际标准化组织（ISO）曾建议把计算机安全定义为： “计算机系统要保护其硬件、数据不被偶然或故意地泄露、更改和破坏。 ”为了帮助计算机用户区分和解决计算机网络安全问题，美国国防部公布了 “桔皮书”（orange book， 正式名称为“可对多用户计算机系统安全级别的划分进行了规定。信计算机系统标准评估准则” ） 桔皮书将计算机安全由低到高分为四类七级：D1、C1、C2、B1、B2、B3、A1。其中 D1级是不具备最低安全限度的等级，C1 和 C2 级是具备最低安全限度的等级，B1 和 B2 级是具有中等安全保护能力的等级，B3 和 A1 属于最高安全等级。 在网络的具体设计过程中，应根据网络总体规划中提出的各项技术规范、设备类型、性能要求以及经费等，综合考虑来确定一个比较合理、性能较高的网络安全级别，从而实现网络的安全性和可靠性。 三、 网络安全应具备的功能 为了能更好地适应信息技术的发展，计算机网络应用系统必须具备以下功能： （1）访问控制：通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。 （2）检查安全漏洞：通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。 （3）攻击监控：通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取响应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等） 。 （4）加密通讯：主动地加密通讯，可使攻击者不能了解、修改敏感信息。 （5）认证：良好的认证体系可防止攻击者假冒合法用户。 （6）备份和恢复：良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。 （7）多层防御：攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。 （8） 设立安全监控中心：为信息系统提供安全体系管理、监控、保护及紧急情况服务。 四、网络系统安全综合解决措施。 要想实现网络安全功能，应对网络系统进行全方位防范，从而制定出比较合理的网络安全体系结构。下面就网络系统的安全问题，提出一些防范措施。 物理安全可以分为两个方面：一是人为对网络的损害；二是网络对使用者的危害。最常见的是施工人员由于对地下电缆不了解， 从而造成电缆的破坏， 这种情况可通过立标志牌加以防范； 未采用结构化布线的网络经常会出现使用者对电缆的损坏， 这就需要尽量采用结构化布线来安装网络；人为或自然灾害的影响，需在规划设计时加以考虑。 访问控制安全， 访问控制识别并验证用户， 将用户限制在已授权的活动和资源范围之内。网络的访问控制安全可以从以下几个方面考虑。 （1）口令：网络安全系统的最外层防线就是网络用户的登录，在注册过程中，系统会检查用户的登录名和口令的合法性，只有合法的用户才可以进入系统。 （2）网络资源属主、属性和访问权限：网络资源主要包括共享文件、共享打印机、网络通信设备等网络用户都有可以使用的资源。 资源属主体现了不同用户对资源的从属关系， 如建立者、修改者和同组成员等。资源属性表示了资源本身的存取特性，如可被谁读、写或执行等。访问权限主要体现在用户对网络资源的可用程度上。利用指定网络资源的属主、属性和访问权限可以有效地在应用级控制网络系统的安全性。 （3）网络安全监视：网络监视通称为“网管” ，它的作用主要是对整个网络的运行进行动态地监视并及时处理各种事件。 通过网络监视可以简单明了地找出并解决网络上的安全问题，如定位网络故障点、捉住 IP 盗用者、控制网络访问范围等。 （4）审计和跟踪：网络的审计和跟踪包括对网络资源的使用、网络故障、系统记账等方面的记录和分析。一般由两部分组成：一是记录事件，即将各类事件统统记录到文件中；二是对记录进行分析和统计，从而找出问题所在。 数据传输安全，传输安全要求保护网络上被传输的信息，以防止被动地和主动地侵犯。对数据传输安全可以采取如下措施： （1） 加密与数字签名：数字签名是数据的接收者用来证实数据的发送者确实无误的一种方法，它主要通过加密算法和证实协议而实现。 （2）防火墙：防火墙（Firewall）是 Internet 上广泛应用的一种安全措施，它可以设置在不同网络或网络安全域之间的一系列部件的组合。它能通过监测、限制、更改跨越防火墙的数据流，尽可能地检测网络内外信息、结构和运行状况，以此来实现网络的安全保护。 （3）Username/Password 认证：该种认证方式是最常用的一种认证方式，用于操作系统登录、telnet（远程登录） 、rlogin（远程登录）等，但此种认证方式过程不加密，即 password容易被监听和解密。 （4）使用摘要算法的认证：Radius（远程拨号认证协议） 、OSPF（开放路由协议）、SNMP Security Protocol 等均使用共享的 Security Key（密钥），加上摘要算法（MD5）进行认证，但摘要算法是一个不可逆的过程， 因此，在认证过程中，由摘要信息不能计算出共享的 security key，所以敏感信息不能在网络上传输。市场上主要采用的摘要算法主要有 MD5 和 SHA‐1。 （5）基于 PKI 的认证：使用 PKI（公开密钥体系）进行认证和加密。该种方法安全程度较高，综合采用了摘要算法、不对称加密、对称加密、数字签名等技术，很好地将安全性和高效性结合起来。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙认证等领域。该种认证方法安全程度很高，但是涉及到比较繁重的证书管理任务。 （6）虚拟专用网络（VPN）技术：VPN 技术主要提供在公网上的安全的双向通讯，采用透明的加密方案以保证数据的完整性和保密性。 总结：综上所述，对于计算机网络传输的安全问题，我们必须要做到以下几点。第一，应严格限制上网用户所访问的系统信息和资源，这一功能可通过在访问服务器上设置 NetScreen防火墙来实现。第二，应加强对上网用户的身份认证，使用 RADIUS 等专用身份验证服务器。一方面，可以实现对上网用户账号的统一管理；另一方面，在身份验证过程中采用加密的手段，避免用户口令泄露的可能性。第三，在数据传输过程中采用加密技术，防止数据被非法窃取。一种方法是使用 PGP for Business Security 对数据加密。另一种方法是采用 NetScreen防火墙所提供的 VPN 技术。VPN 在提供网间数据加密的同时，也提供了针对单机用户的加密客户端软件，即采用软件加密的技术来保证数据传输的安全性。 4