计算机网络安全体系研究

来源:用户上传      作者: 汪澍萌 张硕 江兆银

　　【 摘 要 】 当前计算机网络广泛应用为人们所关注，计算机网络安全显得非常重要，必须采取有力的措施来保证计算机网络的安全。文章分析了计算机网络安全体系的含义以及其安全机制，并对于当前网络安全应涉及的一些内容做了介绍。
　　【 关键词 】 网络安全；计算机；网络通信
　　
　　Computer Network Security System Research
　　
　　Wang Shu-meng Zhang Shuo Jiang Zhao-yin
　　（Yangzhou Polytechnic College JiangsuYangzhou 225009）
　　
　　【 Abstract 】 the computer network is widely applied to people's attention, computer network security is very important, we must take effective measures to ensure the security of computer network. This paper analyzes the implications of computer network security system and its security mechanism, and for the current network security should be involved in some of the elements is introduced.
　　【 Keywords 】 network security; computer; network communication
　　1 引言
　　计算机技术正在日新月异地迅猛发展，功能强大的计算机和Intranet/Internet在世界范围内普及。信息化和网络化是当今世界经济与社会发展的大趋势，信息资源的深入开发利用以及各行各业的信息化、网络化己经迅速展开;全社会广泛应用信息技术，计算机网络广泛应用为人们所关注。
　　面对当前严重危害计算机网络的种种威胁，必须采取有力的措施来保证计算机网络的安全。但是现有的计算机网络大多数在建立之初都忽略了安全问题，既是考虑了安全，也仅把安全机制建立在物理安全机制上。本文分析了计算机网络安全体系的含义以及其安全机制，并对于当前网络安全应涉及的一些内容做了介绍。
　　2 计算机网络安全机制分析
　　安全性机制是操作系统、软硬件功能部件、管理程序以及它们的任意组合，为一个信息系统的任意部件检测和防止被动与主动威胁的方法。安全机制与安全性服务有关，机制是用于实现服务的程序，OSI定义的安全性机制有加密、数字签名、鉴别、访问控制、通信量填充、路由控制、公证等。安全性服务和安全性机制有一定的对应关系，例如:机密性服务可以通过加密、通信量填充和路由控制来实现。另外，加密不仅可以是机密性服务的成分，而且还可以是完整性和鉴别服务的成分。
　　各种安全机制中，加密有着最广泛的应用，并且可以提供最大程度的安全性。加密机制的主要应用是防止对机密性、完整性和鉴别的破坏。
　　数字签名是一种用于鉴别的重要技术。数字签名可以用于鉴别服务，也可以用于完整性服务和无拒绝服务。当数字签名用于无拒绝服务时，它是和公证一起使用的。公证是通过可信任的第三方来验证(鉴别)消息的。
　　对于网络终端用户来说，最通常的安全性经历是通过使用口令来实现访问控制。口令是一个字符串，用来对身份进行鉴别。在获得对数据的访问权之前，通常要求用户提交一个口令，以满足安全性要求。问卷与口令有很近的亲缘关系，它也是鉴定身份的方法。问卷使用合法用户知道而其他人不大可能知道的信息，例如询问用户亲属的姓名等，这是一个常见而且应用很广的方法。还有各种用于身份鉴别的产品，它们采用了比上述方法更好的技术。例如:一些比较声音、手写签名、指纹的系统等。
　　3 网络安全所涉及的内容
　　计算机网络安全涉及的内容主要包括保密性、安全协议设计和接入控制等。
　　3.1 保密性
　　为用户提供安全可靠的通信是计算机网络最重要的服务内容。尽管计算机网络安全不仅局限于保密性，但不能提供保密性的网络肯定是不安全的。网络的保密性机制除了为用户提供通信保密之外，同时也是许多其他安全机制的基础。
　　3.2 安全协议设计
　　计算机网络的安全性协议是网络安全的一个重要内容。如果网络通信协议存在安全缺陷，那么攻击者就可能不必攻破密码体制就可获得所需要的信息或服务。目前的安全性协议主要是针对具体的攻击设计的，那么如何保证一个协议的安全性？这通常有两种方法:一种使用形式化证明一个协议是安全的；另一种使用设计者的经验来判定。
　　3.3 接入控制
　　计算机网络的一大优点就是能够共享资源，但如果这种供销没有什么限制，将带来许多安全问题，所以有必要对接入网络的权限加以控制。但由于网络是一些地理上分散的计算机系统通过通信线路互相连接起来的一个复杂系统，所以它的接入控制机制比操作系统的访问控制机制更复杂，尤其在高安全性级别的多级安全性情况下更是如此。
　　4 网络安全标准体系结构
　　事实上，网络安全体系结构中的不同层次有不同的安全功能，要采取的安全机制也是各不相同的。
　　4.1 用户安全层
　　用户安全层不属于OSI环境，由于OSI标准是不针对非法用户进行直接防范的，但是在一些非法用户进入系统之后，对网络安全就会有很大的威胁，因此，这时的用户安全层就可以对非法用户起到遏制作用。可见，网络安全层是安全服务的最基本环节，也是一项重要的安全措施。用户安全层对用户提供访问控制安全服务，可以识别非法以及合法用户。并采用加密措施、数据完整性和认证互换机制等技术，加强网络安全服务。
　　4.2 应用安全层
　　该层主要包括OSI环境的应用层、表示层和会话层，应用安全层可以对信息传输、域名服务、远程终端等网络运行指定一条有效的运行标准，为上层用户提供数据或信息语法的表示转换。负责系统内部的数据表示与抽象数据表示之间的转换工作，还能实现数据加密和解压缩等转换功能。在这一层，用户可以实现网络身份认证、数字签名、防止否认，及加密等安全措施，不仅保护了用户信息的安全，也加强了网络信息的完整性，避免一些非法用户利用信息漏洞干扰计算机的运行。
　　4.3 端-端安全层
　　包括OSI环境的传输层端-端安全层为上层用户提供不依赖于具体网络的高效、经济、透明的端-端数据传输服务。同时可以通过上一层用户提供安全服务，以及建立一条独立的链接，或者建立多条链接，以此来分散传输的数量，间断传输的时间，这些多条的传输的信息对客户来说都是透明的。端-端安全层不得采用业务量来填充技术，但其余的技术与其他安全层是相同的。但是，由于端-端安全层的协议较少，所以人们对他的关注不如子网安全层。
　　4.4 子网安全层
　　包括OSI环境的网络层，它的主要作用就是讲数据线做一定长度的分组，再将分组信息进行传递。子网安全层可以使用的安全技术种类很多，如加密、访问控制、数字签名、路由选择控制、业务量填充和数据完整性，这些也都是子网安全层本身的特点。
　　4.5 链路安全层

　　链路安全层就是利用有效手段，将已经出现错误的链接信息转化成还没有出现错误的信息进行传递。它将数据分为一个一个的数据帧，以数据帧为单位开始传递。包括OSI环境的数据链路层和物理层，物理层的规定就是网络接口，但是，要在这个环节内做安全管理是十分有限的，主要是业务量填充和加密技术。
　　在没有出现密码学之前，加密主要在物理层进行，但如今，已经很少在物理层上做加密处理了，因为成本高，还不利于管理。数据链路层可以采用加密技术，由于不同的链路层协议的帧格式都有区别，因此，在加密时，必须采取不同的数据帧链接，可见，在链路安全层可以采用数据加密和业务量填充技术。
　　5 安全体系的实现
　　5.1 安全服务的选择
　　实际实现时，我们通常是对一个具体的网络做要求，选择一个子集加以实现。然而，怎样选择合适的子集就成为了关键的问题，因为子集的选择会直接影响到网络的安全。例如，我们在物理层提供安全加密时，当密文到达通信子网，为了开展路由选择，就必须解码。此时，计算机侵袭者就可以通过非法方式获得信息。又如，仅在网络层提供数据保密服务时，外部攻击可以采取链接上获得没有加密的三层的报文信息，其余的详细信息也很容易获得。有时，子集的选择也能满足特殊的情况。例如，当只需要保护高层的安全时，使安全服务与通信子网无关，那所有的安全服务设置就可以由高层提供。
　　5.2 软件实现和硬件实现
　　通过软件实行安全管理也是可行的，其方法是，将所有的安全实现软件结合在一起，作为DTE系统软件的一部分，同时通过计算机服务语言对这些软件进行操作。但是，一味地利用软件，会增加成本和管理难度。为了提高工作效率和安全性，实现软件和硬件的结合是进行安全服务的重要手段。
　　5.3 安全控制器(SCU)
　　硬件和软件结合的方法就是设计一种安全控制器。这种控制器可有两种类型。首先是将安全服务嵌入通信控制器，这种通信控制系统可以有协议，可以实现有效的安全服务。其次是将安全服务独立到通信控制器之外，重新设计一种新的控制器。这样做可以避免修改现有的通信控制器，区分安全控制器和通信控制器。这两种安全控制器的功能都是由硬件和软件相结合实现的。
　　6 安全技术的研究现状和动向
　　我国信息网络安全研究历经了通信保密、数据保护两个阶段，正在进入网络信息安全研究阶段，现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果，提出系统的、完整的和协同的解决信息网络安全的方案，目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究，各部分相互协同形成有机整体。 国际上信息安全研究起步较早，力度大，积累多，应用广，在上世纪70年代美国的网络安全技术基础理论研究成果“计算机保密模型”（Beu& La padula模型）的基础上，指定了“可信计算机系统安全评估准则”（TCSEC），其后又制定了关于网络系统数据库方面和系列安全解释，形成了安全信息系统体系结构的准则。
　　安全协议作为信息安全的重要内容，其形式化方法分析始于上世纪80年代初，目前有基于状态机、模态逻辑和代数工具的三种分析方法，但仍有局限性和漏洞，处于发展的提高阶段。作为信息安全关键技术密码学，近年来空前活跃，美、欧、亚各洲举行的密码学和信息安全学术会议频繁。在我国信息网络安全技术的研究和产品开发仍处于起步阶段，仍有大量的工作需要我们去研究、开发和探索，以走出有中国特色的产学研联合发展之路，赶上或超过发达国家的水平，以此保证我国信息网络的安全，推动我国国民经济的高速发展。
　　7 结束语
　　网络安全的重要性已经有目共睹，特别是随着全球信启、基础设施和各个国家的信息基础逐渐形成，信息电子化己经成为现代社会的一个重要特征。信息本身就是时间、就是财富、就是生命、就是生产力。因此，各国开始利用电子空间的无国界性和信息战来实现其以前军事、文化、经济侵略所达不到的战略目的。随着计算机技术的高速发展，攻击网络的技术的不断更新，单一的安全防护策略则是不安全的，网络安全将是一个系统的概念。未来的计算机网络安全防护策略方向应该是安全措施高度综合集成的。
　　
　　参考文献
　　[1] 赵立志,林伟.浅析网络安全技术[J]. 民营科技, 2008,(3):193.
　　[2] 李铁.网络安全层次分析[J]. 甘肃科技, 2008,24(3):16-17.
　　[3] 杨战武.网络安全技术探讨[J].中国科技信息,2008,(6):109-110.
　　[4] 姜健.计算机通信网络安全与防护策略[J].科技咨询,2008,(4):113-114.
　　
　　作者简介：
　　汪澍萌（1978-），男，汉族，江苏扬州人，扬州市职业大学，讲师；研究方向：计算机网络、现代教育技术。
　　张硕（1967-），女，汉族，山东人，扬州市职业大学，副教授；研究方向：计算机网络、现代教育技术。
　　江兆银（1972-），男，汉族，扬州人，扬州市职业大学，副教授；研究方向：现代教育技术、数据库。

转载注明来源:https://www.xzbu.com/8/view-2267945.htm