网络安全基础探究-计算机网络基础与实践

2023-11-19 理论教育版权反馈

【摘要】：系统安全主要包括操作系统安全、数据库系统安全和网络系统安全。信息安全又称数据安全，主要涉及信息的保密性、完整性、真实性、可审查性等可鉴别属性，其主要的保护方式有加密技术、数字签名、完整性验证、认证技术等。数据加密被认为是解决网络安全问题的最好途径。安全扫描器可自动检测远程或本地主机及网络系统的安全性漏洞，可用于观察网络信息系统的运行情况。

网络安全以计算机网络安全为主，是指利用计算机及通信网络管理控制和技术措施，保证网络系统及数据的保密性、完整性、网络服务可用性和可审查性，即保护网络系统的硬件、软件及系统中的数据不因偶然的及恶意的原因而遭到破坏、更改和泄露，并保证系统连续可靠地正常运行和网络服务不中断。从狭义上来说，网络安全是指计算机及其网络系统资源和信息资源不受有害因素的威胁和危害；从广义上来说，凡是涉及计算机及通信网络信息安全属性特征的相关技术和理论，都是网络安全的研究领域。

1.网络安全的特征

网络安全定义中的保密性、完整性、可用性、可控性和可审查性反映了网络信息安全的基本特征和要求，反映了网络安全的基本属性、要素与技术方面的重要特征。

（1）保密性。保密性也称机密性，是指网络信息按规定要求不泄露给非授权用户、实体或过程，即保护有用信息不泄露给非授权个人或实体，强调有用信息只被授权对象使用的特征。实现数据机密性的主要实现手段有：物理保密，防窃听——使对手侦听不到有价值的信息；信息加密——使对手即使得到加密后的信息也因为没有密钥而无法得到原文。

（2）完整性。完整性指网络数据在传输、交换、存储和处理过程保持非修改、非破坏和非丢失的特性，即保持信息原样性，使信息能正确生成、存储和传输，是最基本的安全特征。网络完整性的主要实现手段有：通过良好的协议检测被复制和修改的字段，如密码校验、数字签名技术、网络管理或中介机构的公证等。

完整性与保密性的区别在于：保密性要求信息不被泄露给未授权用户，而完整性要求信息不受到任何原因的破坏。

（3）可用性。可用性指网络信息可被授权实体正常使用或在非正常情况下能应急恢复使用的特征，是衡量网络信息系统面向用户的一种安全性能。网络可用性的主要实现手段有：身份识别；访问控制，即在网络安全环境中能够限制和控制通过通信链路对主机系统和应用的访问；业务流控制；路由选择控制，即通过对路由的选择来选择稳定的子网或链路；审计跟踪，即管理员应养成经常性地对日志进行分析的习惯，真正做到“事前预防，事后跟踪”。

（4）可控性。可控性指在网络系统中的信息传播及具体内容能够实现有效控制的特性，即网络系统中的任何信息要在一定传输范围和存放空间内可控，保证系统的保密性，使系统在任何时候都不被非授权用户恶意利用。

（5）可审查性。可审查性又称不可否认性，指网络通信双方在信息交互过程中，确信参与者本身以及参与者所提供的信息的真实同一性，即所有参与者都不可能否认或抵赖自己的真实身份，提供信息的原样性以及所完成的操作和承诺。可审查性就是建立有效的责任机制，防止实体否认其行为。实现可审查性的主要手段有数字签名等。

2.网络安全涉及的主要内容

计算机网络安全是指利用各种计算机、网络、密码技术和信息安全技术，保护在公用通信网络中传输、交换和存储的信息的保密性、完整性和可用性，并可以控制信息的传播及内容。计算机网络安全所涉及的内容主要包括以下几个方面：

（1）物理安全。物理安全又称实体安全，重点保护网络与信息系统的保密性、可生存性、可用性等属性，涉及动力安全、环境安全、电磁安全、介质安全、设备安全、人员安全等。物理安全采取的主要措施是可靠供电系统、防护体系、电磁屏蔽、容灾备份等。

（2）系统安全。系统安全主要包括操作系统安全、数据库系统安全和网络系统安全。以网络系统的特点、实际条件和管理要求为依据，通过针对性地为系统提供安全策略机制、保障措施、应急修复方法、安全建议和安全管理规范等，确保整个网络系统安全运行。

（3）信息安全。信息安全即对信息在数据处理、存储、传输、显示等过程中的保护，在数据处理层面上保障信息能够按照授权进行使用，不被窃取、篡改、冒充、抵赖。信息安全又称数据安全，主要涉及信息的保密性、完整性、真实性、可审查性等可鉴别属性，其主要的保护方式有加密技术、数字签名、完整性验证、认证技术等。

3.保障网络安全的主要技术

计算机网络安全强调的是通过采用各种安全技术和管理上的安全措施，确保网络数据的可用性、完整性和保密性，其目的是确保经过网络传输和交换的数据不会被修改、丢失和泄露等。当前，保障网络安全的技术主要有两大类型，即主动防御技术和被动防御技术。(www.chuimin.cn)

1）主动防御技术

主动防御技术一般采用数据加密、身份验证、存取控制、权限设置和VPN 等技术来实现。

（1）数据加密。数据加密被认为是解决网络安全问题的最好途径。目前对数据信息最为有效的保护技术就是加密，加密可以采用不同手段来实现。

（2）身份验证。身份验证强调一致性验证，验证要与一致性证明匹配。身份验证包括验证依据、验证系统和安全要求。

（3）存取控制。存取控制规定哪种主体对哪种客体具有何种操作权利。存取控制是内部网络安全技术的重要方面，主要包括用户限制、数据标识、权限控制、控制类型和风险分析等。

（4）权限设置。权限设置是指规定合法用户访问网络信息资源的资格范围，即控制授权用户访问网络资源，以及能够对资源进行的操作种类。

（5）VPN。VPN 是在公网基础上进行逻辑分割而虚拟构建的一种特殊通信环境，逻辑分割可以控制网络流量的流向，使其不流向非法用户，达到防范目的。VPN 具有私有性和隐蔽性。

2）被动防御技术

被动防御技术主要有防火墙技术、入侵检测系统、安全扫描器、口令验证、审计跟踪、物理保护及安全管理等。

（1）防火墙技术。防火墙是在内部网与Internet 之间实施的安全防范系统，也可认为其是一种访问控制机制，用于确定哪些内部服务允许外部访问，以及哪些外部服务允许内部访问。

（2）入侵检测系统。入侵检测系统是在系统中的检查位置执行入侵检测功能的程序或硬件执行体，可对当前的系统资源和状态进行监控，检测可能的入侵行为。

（3）安全扫描器。安全扫描器可自动检测远程或本地主机及网络系统的安全性漏洞，可用于观察网络信息系统的运行情况。

（4）口令验证。利用口令检查器中的口令验证程序检验口令集中的薄弱子口令，防止攻击者假冒身份登录系统。

（5）审计跟踪。审计跟踪将与安全相关的事件记录在系统日志文件中，事后可以对网络信息系统的运行状态进行详细审计，以及时发现系统中存在的安全弱点和入侵点，尽量降低安全风险。

（6）物理保护及安全管理。通过制定标准、管理办法和条例，加强对物理实体和信息系统的规范管理，减少人为因素的影响。

网络安全基础探究-计算机网络基础与实践

相关推荐