论计算机网络安全技术及其发展

计算机 网络安全 会议论文

中国计算机倍惠防护论文集

论计算机网络安全技术及其发展

二炮装备研究所

姚新王立志黄泽明

内容摘要：随着计算机网络应用的广泛深入，构成计算机网络安全的威胁也日益严重，本文简要说明了信息安全级别，网络系统面临的不安全因素，常用网络安全技术及网络安全技术发展，希望能够引起对计算机网络安全问题研究的重视。

关键词：计算机网络安全；互联网；防火墙；数字签名

１引言

计算机网络的目标是通过网络实现全球资源信息的共享，但随着计算机网络应用的广泛深入，网络的安全问题变得日益复杂和突出。网络的资源共享、信息交换和分布处理提供的良好的环境，使得网络深入到社会生活的各个方面，逐步成为国家和政府机构运转的命脉和社会生活的支柱，这一方面提高了工作效率，另一方面却由于自身的复杂性和脆弱性，使其受到威胁和攻击的可能性大大增加，同时，网络应用的社会化使得社会对网络化信息系统的依赖性越来越强，对系统的任何破坏和篡改都会使整个社会面临严重的威胁。

信息安全包括信息的存储安全和信息的传输安全，１９８５年，美国国家计算机安全中心制订了“可从Ｄ至ＩＪＡ共７个级别，其中Ａ级安全等级最高，９０年代又提出了新的网络安全标准，认为为使系统免受

表卜ｌ网络安全等级划分及各安全级别的性能要求

等级性能说明

Ｄ１酌情安全保护对硬件和操作系统几乎无保护，对信息的访问无控制。

Ｃ１自选安全保护由用户注册名和口令的组合来确定用户对信息的访问权

限。

Ｃ２访问安全保护由许可权限或身份认证进一步限制用户的访问权限并对系

统加以审计。

Ｂ１被标签的安全性保为强制性访问控制，不允许文件的拥有者改变其许可权限。

护

Ｂ２结构化保护要求对计算机中所有信息加以标签，并且对设各分配单个

或多个安全级别

Ｂ３安全域保护使用安全硬件的方法来加强域的管理，终端与系统的连接

途径可信任。

Ａ核实保护系统的不同来源必须有安全保证且安全措施必须在销售过

程中实施。

安全技术国际标准化组织也开发了大量的网络管理标准，其ｑｂＩＳ０７４９８—２“开放系统互连安全体２信息安全级别信计算机系统评价准则”（ＴＣＳＥＣ），从６个方面提出了计算机安全的基本要求，将计算机系统分为攻击，对应不同的安全级别，对硬件、软件和存储信息应实施不同的安全保护，如表Ｉ－Ｉ所是。论文评选的

计算机 网络安全 会议论文

中图计算机信患防护论文集………………………………………………………………………………………………… 系结构”技术规范中规定了一系列的安全服务和安全机制，给出一种安全服务可由一个或多个安全机制联合实现，也给出安全服务与开放系统互连参考模型０ＳＩ相应层的关系，说明哪一层或若干层联合可提供哪项安全服务。，２０００年在日本东京国际标准化组织ｉＦ式通过的ＩＳ０１７７９９的信息安全管理体系，成为指导企事业单位、政府机构等建立和实施信息安全管理体系的国际标准，为保障信息安全提供了最好的选择和指南。

３网络系统面临的不安全因素

网络安全的主要目标是确保信息经网络传输到目的计算机时没有任何改变或丢失，使信息的机密性、完整性及可使用性得到保护。根据网络结构要素，对网络的威胁，主要可以分为以下四个方面：

３．１、物理层和网络拓扑结构的不安全因素

物理层和网络拓扑结构的不安全因素主要是电磁泄露，网络接口、传输线路和处理机都有可能因屏蔽措施不严而造成电磁泄露，特别是目前大多数计算机房的屏蔽和防辐射设施都不健全，对网络的安全性构成了直接的威胁。此外，犯罪分子为了获取大量的情报，也可以通过搭线接听和在现有终端上并接一个终端等手段非法获取信息，而网络黑客通过技术渗透和电话线非法获取、使用和破坏信息的行为，以及病毒入侵和线路干扰等对网络安全也构成了直接的威胁。

３．２、操作系统和应用软件的不安全冈素

操作系统和应用软件的不安全因素主要来自网络软件安全功能不健全，或安装了伪装成合法程序诱使用户泄露信息的特洛伊木马软件，对网络的直接威胁就是逻辑炸弹和计算机病毒等，其后果就是系统数据和信息被非法使用、删改和破坏。对应用软件、用户和程序资料不妥当的分类、标识和保护，也会构成网络系统的不安全冈素。目前的软件技术基本卜属于树表加工系统，树表加工技术论文评选的可以反映纵向的关系和属性，却难以控制横向的侵入，软件的不断修改过程也存在隐患和入侵的可

能，操作系统和应用软件功能的强大，使得网络系统的应用更加方便的同时，也增加了许多脆弱易受到攻击的地方。

３．３、工作人员的不安全冈素

工作人员的不安全因素主要来自工作人员保密观念不强或不懂保密规则，操作失误以及违章操作造成人为的泄密事故。工作人员的非法行为也是网络不安伞因素的一大来源，工作人员利用其对系统的了解，为获取、篡改信息或其他目的，以超越权限的非法行为，对系统进行破坏，造成系统软件或硬件的故障，对网络造成不良后果。

３．４、环境及其他无法预料的因素

主要指地震、火灾、雷电、风灾、水灾等自然灾害或温度、湿度冲击，空气洁净度变坏以及掉电、停电或静电等因素的影响。

４常用网络安全技术

４．１、物理层及网络拓扑结构的安全技术

既然电磁泄露对网络信息安全存在着重大隐，那么就要对信息的传输回路进行有效的保护。通常采取的措施主要有：

（１）对传输电缆加金属予以屏蔽，必要时埋入地下或加露天保护；

（２）传输线路应远离各种强辐射源，以免数据由于干扰而出错；

（３）监控集中器和调制解调器，以免外连；

（４）定期检查线路，以防搭线接听、外连或破坏；

（５）端口保护，即采用专用保护设备，对远程终端等端口实施安全保护；

（６）安全的网络拓扑结构设计和网络协议选用，如采用双路由或环形网络结构，可以保证整个网络不会由于局部的故障而瘫痪。

计算机 网络安全 会议论文

…………………………中国计算枧信息防护论文集

４．２、操作系统和应用程序的安全技术

操作系统的安全问题是当前网络安全中最复杂的问题，由于系统在发展过程中不可避免地存在着一些安全漏洞，同时由于系统的管理存在着各种各样的问题，如密码或系统的权限设置问题等，使得网络黑客存在着可乘之机，非法进入系统对系统造成损失，应用程序也存在着这样的问题。对操作系统和应用程序的最主要的安全措施就是使用系统安全扫描仪。操作系统扫描仪能自动全面检测操作系统的配置，找出其漏洞，内部网络扫描仪熟悉整个网络，可以系统地检测每一网络设备的安全漏洞，网络管理人员应用安全扫描仪可以对系统安全实施有效的控制。

４．３、内部网络系统数据的安全技术

对内部网络数据的保护具有重要的意义，主要措施有：

（１）用户身份认证

用户身份认证有基于令牌的身份验证和Ｋｅｒｂｅｒｏｓ算法两种，验证令牌的原理是由身份认证服务器ＡＳ负责管理用户登录，Ａｓ根据用户登录时的个人标识号ＰＩＮ（ＰｅｒｓｏｎａｌＩｄｅｎｔｉｆｉｃａｔｉｏｎＮｕｍｂｅｒ），查找内部数据库，找出相应令牌的Ｋｅｙ，根据两者产生的序列或随机数来判定用户是否合法。Ｋｅｒｂｅｒｏｓ是一种通过共同的第三方建立信任的，基于保密密钥的身份认证算法，使用ＤＥＳ力Ｈ密方法。

（２）访问控制

访问控制是对访问者及访问过程的一种权限授予，访问控制在鉴别机制提供的信息基础上，对内部文件和数据库的安全属性和共享程度进行设置，对用户的使用权限进行划分，如只读、只写、读写、修改等。

访问控制是系统数据的第一道防线，也是最重要的防线。对用户的访问控制可在网络层和信息层两个层次进行，即在用户进入网络和访问数据库或服务器时，对用户身份分别进行验证。验证机制为：在网络层采用国际通用的分布式认证协议ＲＡＤＴＵＳ，对用户的授权在接入服务器ＮＡＳ上完成，在ＮＡＳ上通过过滤的方式限制访问；在信息层采用ＣＯＯＫＩＥ机制，配合数字签名技术，保证系统的安全性。

（３）代理服务器

代理服务器的使用可以使内部网络成为一个独立的封闭同路，从而使网络更加安全。客户端发来的Ｈｔｔｐ请求，可经代理服务器转发给异地的ｗｅｂ服务器，并将异地的ＷｅｂＨ睦务器传来的响应传回客户端。通过对代理服务器的设置，可以对客户身份进行认证和对各种信息进行过滤，限制有害信息的进入和限制对某些主机或域的访问，网络管理人员也可以通过代理服务器的日志获取更多的网管信息。

（４）数据的完整性保护

数据的完整性是指数据来自正确的发送方，送到了Ｊ下确的接收方，接收方与发送方的数据内容一致、时序一致且没有重复接收，即数据的完整性包括数据的安全性和数据的可信性两方面。保护措施是增加敌方所不能控制的冗余信息，同时对数据进行加密。

目前的数据加密技术从密钥的形式上可分为基于对称密钥的加密算法和基于非对称密钥的加密算法。在对称密钥的加密算法中，加、解密使用同一密钥或相互可以解算的一对密钥；非对称密钥的加密算法中，加、解密使用不同的密钥且两个密钥不可以相互解算。非对称加密安全性比对称加密高，但对称加密比非对称加密算法简单，加、解密速度快。

（５）数字签名

基于先进密钥技术的数字签名，是系统防止数据在产生、存放和运输过程中不被篡改的主要技术手段，数字签名所用的签署信息是签名者所专有的，并且是秘密的和唯一的，签名只能由签名者的专用信息来产生。数字签名实际上是一个收发双方应用密文进行签名和确认的过程，是数据完整性、公证以及认证机制的基础。数字签名不但能使接收方确保发送源的真实性，也能保证发送接收论文评选肌

计算机 网络安全 会议论文

中嚣计算机倍患防护论文集…．

双方对自己的行为无法否认。目前数字签名技术已成为密码学中研究和应用的热点之一。

（６）防火墙技术

防火墙技术作为一种访问控制，是在内外部网络之间建立一个保护层，使外部网络对内部网络的访问受到一定的隔离，而内部网络成员仍能方便地访问外部网络，从而保护内部网络资源免受外部的非法入侵和干扰。目前防火墙的类型有三种：

ａ）包过滤防火墙

包过滤防火墙设置在网络层，可以在路由器上实现包过滤。当一个数据包满足过滤表中的规则时允许数据包通过，否则禁止。过滤表以其收到的数据包头信息为基础而建成，如数据包源ＩＰ地址、目的ＩＰ地址、传输协议类型、连接请求方向和报文类型等。包过滤防火墙可以用来禁止外部不合法用户对内部的访问，也可禁止访问某些服务类型。

ｂ）代理防火墙

代理防火墙为应用层网关级防火墙，由代理服务器和过滤路由器组成，过滤路由器负责网络互连，并对数据进行严格选择，然后将数据传给代理服务器，代理服务器类似于一个数据转发器，主要控制哪些用户能访问哪些服务类型。

ｃ）双穴主机防火墙

双穴主机防火墙是用主机来执行安全控制功能。一台双穴主机配有多个网卡，分别连接不同的网络，双穴主机从一个网络收集数据，并且有选择地把它发送到另一个网络上，网络服务由双穴主机上的服务代理来提供。内部网络和外部网络的用户可通过双穴主机上的共享数据区传递数据，从而保护内部网络不被非法访问。

４．４、反病毒技术

由于在网络环境下，计算机病毒具有不可估量的威胁性和破坏力，因此计算机病毒的防范也是网络安全性建设中重要的一环。网络反病毒技术包括预防病毒、检测病毒和消毒等三种技术。

ａ）预防病毒技术

通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术是：加密可执行程序、引导区保护、系统监控与读写控制（如防病毒卡）等。

ｂ）检测病毒技术

通过对计算机病毒的特征来进行判断的技术，如自身检验、关键字、文件长度的变化等。

ｃ）消毒技术

通过对计算机病毒的分析，开发出具有删除病毒程序并恢复原文件的软件。网络反病毒技术的实施对象包括文件型病毒、引导型病毒和网络病毒。网络反病毒技术的具体实现方法包括对网络服务器的文件进行频繁地扫描和监测：在工作站上采用防病毒芯片和对网络目录及文件设置访问权限等。

４．５、加强安全意识和保密观念‘论文评选５２

网络信息安全是一项综合性的技术，不但是技术和法律问题，更是一个人的思想意识问题，所以在尽量堵塞安全中的技术漏洞的同时，应注意人为和环境的不安全因素，加强人的安全意识和保密观念，增强用户的自我保护能力，同时要进行安全立法，运用法律手段保护信息的安全。５网络安全技术发展

当前网络信息安全技术发展主要旱现出以下一些新的特点及发展趋势：

５．１、制定信息安全发展战略和发展计划，确保信息安全沿着正确的方向发展

美国出台了电脑空间安全计划，旨在加强和保护关键基础设施、计算机系统和网络免受威胁的防御能力。日本制定出《关于防范电脑恐怖活动的特别行动计划》。俄罗斯制定了《国家信息安全构想》，明确了确保信息安全应采取的措施。英、法两国也正在制定自己的信息安全发展战略或发展

计算机 网络安全 会议论文

巾圈计算机信息防护论文集

计划。

５．２、加强信息安全技术的研究、开发和运用

随着网络安全技术的发展，安全操作系统、电子商务安全平台、数字认证、防火墙系列产品、实用非否认协议、计算机网络安全评测产品、虚拟专用网、网络入侵检测系统、“黑客”入侵防范软件、因特网网络安全监视系统、数字水印、无线通信网络的安全协议、智能卡软件安全规范、智能安全集成平台、因特网安全集成系统、安全引擎工具包、网络安全教育和新的密码体制如量子密码、ＤＮＡ密码、混沌理论等正成为美、日等国研究、开发的热点。美国国防部近日决定，今后将不再使用普通的计算机密码，而使用人体特征为密码，以阻挡黑客的攻击。

５．３、制定法规，建立机构，统一规范和管理

２０００年１０月５日，美参议院司法委员会通过了《互联网网络完备性及关键设备保护法案》。俄罗斯２０００年９月生效的一项法律规定，俄罗斯联邦安全部门获准在未经用户许可或者完全不被知晓的情况下，可以监控网络上传输的信息、窃听电话交谈和查看寻呼机留言。各国在制定法律和法规的同时，还建立了相关机构统一管理信息安全工作。法国原子能委员会也于２０００年４月建立了一个信息技术安全评估中心，该中心的职能主要是研究和鉴定新的信息系统安全项目，满足工业界对信息技术的要求，如智能芯片型信用卡保密性能的技术分析、互联网软件的安全性能鉴定、电信加密软件或计算机开发系统软件（如防火墙的安全等级）等。

５．４、加强信息安全的国际合作，共同打击网络犯罪

２０００年５月５日，法国、美国、日本、俄罗斯等工业化国家的政府代表、电脑界精英和法律专家数百人云集巴黎国际会议中心，举行有关打击网络犯罪问题的国际会议，商讨对付网络犯罪的新措施。集团首次会议呼吁，在对付网络犯罪方面应做出更快更有效的反应。据悉，美国、日本、加拿大和南非等国酝酿联合起草《世界反网络犯罪条约》。目前，美国、加拿大、法国、澳大利亚、瑞士及欧洲各国已经共同组建了电子商务监督网，加强对网上犯罪的防范。

５．５、加紧信息战准备，不断提高信息战能力

２０００年５月美军参谋长联席会议颁发的（（２０２０年联合构想》称，将“信息作战”作为联合部队夺取全面优势至关重要的能力。科索沃战争后，美国政府及其军方已经启动或将要采取的信息安全新举措主要有：修订过时的计算机法规，开始入侵侦测网建设；国防部制定信息访问新政策；陆军实施网络安全改进计划；海军运用智能卡技术实现计算机“身份”认证：空军着手验证计算机安全新概念。目前，美国发展信息战的重点是进一步加强信息战理论研究，建立信息作战体制，研究制定有关信息战的条令法规，研究新的信息战装备特别是计算机网络攻防装备和手段。据悉，美国已经研制成功微计算机芯片的“固化病毒”，正在组织力量研制“计算机病毒枪”或曰“计算机病毒炮”。美国还公开征募黑客从军，不断加大信息战的投入。据权威人士估计，在今后５一１０年，美国电子方面预算的１０％将用于信息战系统。俄罗斯新批准的《国家信息安全构想》把“信息战”问题放在突出地位，并为此专门成立了新的国家信息安全与信息对抗领导机构和建立了特种信息部队。此外，针对西方把信息攻击作为信息战主要手段的情况，俄罗斯专门提出了“信息心理对抗”的概念，在伞国范围内，特别在武装力量和其他有关部门内建立全新的“信息对抗、信息心理对抗教育和防范体系”。

我国著名计算机专家沈昌祥院士曾指出：“信息安全保障能力是２ｌ世纪综合国力、经济竞争实力和生存能力的霞要组成部分，是世纪之交世界各国在奋力攀登的制岛点”。网络信息安全是一个系统概念，完善的网络安全体系集成了防护、监控和恢复三项技术，能有效地阻挡外部入侵者，提高信息系统及数据的安全性和保密性。但随着网络技术的迅速发展，新的安全漏洞、新的黑客攻击技术会不断出现，计算机水平的发展也使得今天没有无法破译的密码，这就要求不断升级网络的安全策略和防护产品，同时提高网管人员的技术水平和安全警惕性，从技术和人为两方面堵塞漏洞。论文评选鼹

本文来源：https://www.bwwdw.com/article/srui.html