・212・ 价值工程 常用的网络安全技术浅析 Analysis of Common Techniques for Network Security ‘ 庞新法PANG)【in—fa (陕西省委党校科技教研部,西安710061) (Scientiifc Research Department,Shaanxi Province Party School of the CPC,Xi'an 710061,China) 摘要:随着计算机技术的普及与应用,特别是互联网的出现,基于网络连接的安全问题也日益突出,本文浅析了几种常用的网络 安全技术。 Abstract:Along with the popularization and application of computer technology,especially the emergence of the intemet,the security issues based on network have become increasingly prominent,this paper analyses several kinds of common techniques about the network security. 关键词:网络安全;病毒;防火墙 Key words:network security;virus;firewM1 中图分类号:TP312 、 文献标识码:A 文章编号:1006—431 1(2014)08—0212—02 行截获等。因此,采用密码技术,对网络上传输的报文进行 0引言 是一种很有效的反窃听手段,即使信息被截获, 黑客行为和攻击活动日益剧增。非法进入主机、非法 数据加密,般也难以破译。 修改网页、发送假冒电子邮件、盗取和转移资金、窃取信息 一等网络攻击事件屡见不鲜;计算机病毒、特洛伊木马、拒绝 1.2对付恶意软件当数据包通过网络时,黑客使用 服务攻击、电子商务入侵和盗窃等危害极大甚至导致网络 数据包嗅探器可以轻松地捕获个人的信息包,并做一个拷 瘫痪,已直接影响到国家安全、社会稳定和人民生活。本文 贝,但加密过的文件不经过专人解密,即使泄露出去了,也 据此浅析了几种常用的网络安全技术。 是无法打开的。 1密码技术 2防火墙技术 密码技术是将数据信息(明文)转化成不可识别的形 防火墙就像单位的“围墙”一样,把单位和外界隔开。 式(密文),通常是采用一定的算法对原文进行软加密,使 是由硬件和软件的组合来建立起一个安全网关(相当于 信息变得混乱,然后将密文进行传输,未授权的人不能知 “海关”),从而阻断外部对内网的威胁和非法入侵,拒敌于 道或识别,是网络安全最有效的技术之一。 内部之外。它可以通过鉴别、限制,更改跨越防火墙的数据 1.1反窃听用户在网络的信道上相互通信,其主要 流,过滤进入内网的不良信息、禁止非授权用户访问内网、 危险是被非法窃听。例如,采用搭线窃听,对线路上传输的 过滤内网用户访问非法站点。总之,出入防火墙必须经过 数据进行截获;采用电磁窃听,对用无线电传输的数据进 “安全策略”允许方可放行。防火墙的实现从层次上大体可 分为三类:包过滤防火墙、代理防火墙和复合型防火墙。 2.1包过滤防火墙包过滤防火墙是在IP层实现,它 作者简介:庞新法(1962一),男,陕西礼泉人,副教授,研究方向为 可以只用路由器来实现。包过滤防火墙=一般路由器+安 计算机教学。 科学出版社,2008. 形”这一学习案例时,在介绍全等三角形定义时,一般不会 京:[2】谢佳宇.微型投影机革命[J].IT经理世界,2009(15):48—49. 直接给出其定义,而是采取诱导的方式,使学习者自己总 【3]朱世美,邹霞.移动学习教学设计模式的构建与应用[J].现 代教育技术,2008,18(1 o1:69—72. 相等的两个三角形就是全等三角形”、“形状相等的两个三 [4]詹青龙,元梅竹.移动学习资源建设的质量屋模型构建【J]. 结定义。但是,根据八年级学生的反应,一般会做出“大小 角形就是全等三角形”、“能够完全重合的两个三角形就是 全等三角形”这三种定义,如果没有通过交互,仅仅依靠学 中国电化教育,2009(273):51—56. 【5]吴明超,李子运.微投技术支持的微型学习设计研究[J].现 习者自己的了解,很容易得到错误的定义,而如果有两三 代教育技术,201 1(21:112一ll5. 个学习者共同学习,通过交互、讨论,他们一定能够形成正 [6]叶成林,徐福荫,许骏.移动学习研究综述[J].电化教育研究, 2004,3,12—13. 确的观点,而且能够更深刻的理解这一内容。 [7】李玉斌,刘家勋.一种新的学习方式——移动学习[J】.现代 5小结 2005(1):31—32. 微投技术解决了基于手机移动学习的瓶颈问题,尽管 远距离教育,微投技术与移动学习的整合还没有具体的实施,但是由于 in large organizations[M】.Englewood Cliffs,CO:Librarie Unlimited, 其显著的优势,微投技术与移动学习的整合具有广阔的发 1989. 展前景,将更大程度的促进移动学习,为终身学习,建设学 [9]Abel,M.,Moulin,C.eta1.I.earning organizational memory and 习型社会服务。 参考文献: micro—leaming[DB/OL].http://www.mieolreaming.org. . [8]Hannum,W.H.Hansen,C.Instuctrional systems development c10】He=o ̄M.,Trier,M.eta1.Production engineering for video based [11黄怀荣,Jyri Salomaa.移动学习——理论・现状・趋势[M】.北 e—and m—learning content[DWOE].http://www.moccaonline.de. Value Engineering ・2l3・ 全控制,对通过该路由器的数据包进行安全检查。 机进行访问。 优点:①速度快:只检查数据包的包头,不检查内容。 就像单位的收发室,对收到的包裹,只检查包裹外书写的 收件人地址是否对,对就收,不对,拒收。②透明性:用户感 觉不到防火墙存在,即无需配置和登陆。 缺点:①没有过滤审核数据包内容,无法控制和阻断 外部攻击。②包过滤路由器没有用户的使用记录,我们不 能从访问中发现黑客的攻击记录。③不能识别用户与防止 IP地址的盗用,如果攻击者将自己的主机设置为一个合 4数字签名技术 当通信双方是竞争对手时,传统上采用手书签名或印 章,以便在法律上生效。网络时代,双方相距很遥远不能盖 章和手书签名,只能用电子签名(数字签名),用以标志、证 明、鉴别和确认网上双方各自身份,就像手写的签名是用 肉眼来辨别的凭证一样,数字签名是通过网络上的计算机 来识别的一种凭证。①接受者能够核实发送者对报文的签 名。②发送者事后不能抵赖对报文的签名。③接受者不能 法主机的IP地址,则很容易地通过包过滤防火墙。 伪造对报文的签名。 2.2代理防火墙代理防火墙也叫应用层网关防火 在信息交互过程中确信参与者的真实性,所有参与者 墙,它是一个“中转站”,由它负责外网和内网之间的通 都不能否认和抵赖曾经完成的操作和承诺。数字签名技术 讯,当防火墙两端的用户打算进行网络通讯的时候,两端 是解决不可否认性(不可抵赖性)的重要手段之一。 的通讯终端不会直接联系,而是由应用层的代理来负责转 5网络防病毒技术 发。代理会截获所有的通讯内容,如果符合预定的访问控 在网络环境下,计算机病毒具有不可估量的威胁性和 制规则,则代理将数据转发给目标系统,目标系统回应给 破坏力。因此计算机病毒的防范也是网络安全技术中重要 代理,然后代理再将传回的数据送回客户机,由于网络连 的一环。如选用杀毒软件及更新系统补丁、上网时一定要 接都是通过中介来实现的,所以恶意的侵害几乎无法伤害 开启病毒实时监控、不要随便点击陌生网站、不要轻易打 到被保护的真实的网络设备。 开电子邮件中的附件或者执行附件中的程序、对邮件先杀 优点:①认证机制,如最常见的用户和密码认证。②内 毒后使用等等。 容过滤,阻断攻击。就像单位的收发室,对收到的包裹,开 6访问控制技术 包检查,包内无明显的违禁品就收,有拒收,隐式的不能发 系统根据用户身份及它的访问权限,依据某些控制策 现,若包裹中有矿泉水,到底是矿泉水,还是易燃易爆物 略限制其使用数据资源能力的手段。通常用于系统管理员 品,检查不出,依然放行,故病毒无法过滤,理论上讲,检查 控制用户对服务器、目录、文件等网络资源的访问。访问控 病毒技术上很成熟,但出入数据包量很大,每一个均细查, 制是系统保密性、完整性、可用性和合法使用性的重要基 必然影Ⅱ向流量。③成熟的日志。就像进出单位大门,有详细 础,是网络安全防范和资源保护的关键策略之一。 的人员出入记录。 7实时监视技术 缺点:①速度慢,因为所有的连接请求在代理网关上 实时监视技术为计算机筑起一道动态的实时的反病 都要经过软件的接受、分析、转换转发等工作。在另一方 毒防线,通过修改操作系统,使其本身具备反病毒功能,拒 面,由于数据包的所有内容都要被审查。②新的网络协议 病毒于计算机系统之门外。时刻监视系统当中的病毒活 和网络应用都需要一套应用代理。 动,时刻监视系统状况,时刻监视硬盘、光盘、内存、电子邮 2.3复合型防火墙复合型防火墙是将数据包过滤和 代理服务结合在一起使用。从而实现了网络安全性、性能 件上的病毒传染,将病毒阻止在操作系统外部。 和透明度的优势互补。防火墙也不是万能的,①不能防御 8网络安全扫描技术 网络安全扫描技术是检测远程或本地系统安全脆弱 来自内部的攻击:就像“围墙”不能防止内部员工的盗窃, 性的一种安全技术。通过对网络的扫描,网络管理员可以 来自内部的攻击者是从网络内部发起攻击的,他们的攻击 行为不通过防火墙。②不能防御绕过防火墙的攻击行为, 了解网络的安全配置和防御手段,及时发现系统存在或潜 在的安全漏洞,客观评估网络风险等级。利用安全扫描技 就像“围墙”不能防止从大门混入的人员的盗窃。防火墙只 术,可以检测主机系统中是否被安装了窃听程序、防火墙 能对通过它的数据流进行检查,如果该数据流由于某种原 因没有通过防火墙,则防火墙就无能为力。③不能防御全 系统是否存在安全漏洞和配置错误等。 新的威胁:防火墙只能防御已知的威胁。就像家中装了防 9备份技术 用备份技术来提高数据恢复时的完整性。备份工作可 盗门,对入室盗窃可防御,你有政策,他有对策,对入窗盗 窃无能为力,网络安全协议是根据已有威胁定义的“安全 以手工完成,也可以自动完成。现有的操作系统一般都带 制度”。④防火墙不能防御数据驱动的攻击:虽然防火墙扫 有比较初级的备份系统,如果对备份要求高,应购买专用 描分析所有通过的信息,但是这种扫描分析多半是针对 的系统备份产品。 IP地址和端口号或者协议内容的,而非数据细节,就像坐 10结语 火车对上下人员开包查验,瓶子中装的是矿泉水还是易燃 网络安全是一个系统的工程,需要仔细考虑系统的安 品,分辨不清,因此对于数据驱动的攻击,比如病毒,防火 全需求,并将各种安全技术结合在一起,才能生成一个高 墙无能为力。 效、通用、安全的网络系统。 3身份验证技术 参考文献: [1】顾巧论.计算机网络安全[M】.北京:清华大学出版社,2008. 就像单位发的“出入证”。①合法用户认证:对发出请 [21李军义.计算机网络技术与应用[M].北京:北方大学出版 求的用户进行身份验证,确认其是否为合法的用户,防止 社,2006. 非法用户进入系统访问。②防止合法用户越权访问:如是 [3】蔡立军.计算机网络安全技术[M].北京:水利水电出版社, 合法用户,再审核该用户是否有权对他所请求的服务或主 2005.
