7.6.1 概述
自从有了计算机网络以来,网络安全问题就一直是人们非常关注的一个现实性的问题。
计算机网络信息安全是指为了防止对网络上存放和传输的信息进行非授权访问所采取的措 施。从技术角度看,计算机网络信息安全主要体现在网络系统的可靠性、可用性、保密性和 网络信息的完整性和不可抵赖性。
网络不安全的原因是多方面的:
(1)来自外部的不安全因素,即网络上存在的攻击。
(2)来自网络系统本身的不安全因素,如网络中存在着硬件、软件、通信、操作系统和 其他方面的缺陷和漏洞,给网络攻击者以可乘之机。
(3)网络应用安全管理方面的原因,网络管理者缺乏网络安全的警惕性,忽视网络安全 和网络安全技术缺乏了解,没有制定切实可行的网络安全策略和措施。
(4)网络安全协议的原因。TCP/IP 协议的 IPv4 版在设计之初没有考虑网络安全问题,
在根本上缺乏安全机制,这是互联网存在安全威胁的主要原因。
7.6.2 网络安全防御
在网络中,正确设置和使用网络,可以使网络处于安全的运行状态中。
1.操作系统安全使用
操作系统是网络管理与控制的系统软件,是使用网络的入口点,因此操作系统的安全使 用对于网络安全至关重要。网络的漏洞大多数都是因为操作系统引起的,网络的安全问题也 大多数是因为操作系统没有正确地配置和使用引起的。
正确使用操作系统应该注意以下几点:
设置好超级用户 Administrator 的口令,口令字符个数不应少于 6 个,应采用大小写 字母、数字与符号混合的方式设置口令,并且要保护好超级用户口令。
对于服务器应该采用 NTFS 文件系统,通过设置 NTFS 权限和共享文件夹双重权限对 资源进行访问。
关闭不需要的服务程序、端口等。
尽量不用操作系统的新版本。
关闭 Guest 用户。
降低 Everyone 的权限。
正确设置文件夹、文件等资源访问的权限。
另外,Windows 操作系统在刚刚发布时一般都存在许多漏洞。经过一段时间的使用后,
微软再根据使用时发现的 BUG(存在的问题)编制出所谓的补丁程序发布在微软的网站供用 户免费下载。因此在使用操作系统时,应经常进行安全检测及查找漏洞,及时下载补丁程序,
消除安全隐患。
2.防火墙技术
在古代建筑中,为了防止邻居家发生火灾时蔓延设立了防火墙(Firewall)设施。在计算 机网络中,借用了这个概念以防止网络受到来自外面的攻击。防火墙是内部网络在与不安全 的外部网络进行连接时,在内部网络与外部网络之间设置的一种用于保证内部网络安全的、
由硬件或软件设施组成的系统。
一般来说,内部网络相对于外部网络是一个安全网络,而外部网络存在着威胁,但是为 了信息交流,内部网络还必须连接到外部网络上,因此通过防火墙进行安全保护是非常必要 的。防火墙的作用主要有两个:一个是实现网络的连接,一个是对网络的连接进行限制。
防火墙的基本功能有 5 个:
过滤进出网络的数据包。
管理进出网络的访问行为。
禁止某些网络的访问行为。
对网络攻击进行检测并警告。
对通过防火墙的受限信息进行记录。
7.6.3 网络信息安全技术
再安全的网络也不是坚不可摧的,如果网络的防线被攻破,私用网络就被暴露于公众之 下,网络的安全就会受到破坏。因此除了网络需要进行安全防护外,对网络传输的信息本身 进行安全防护也是必要的。采用的手段有信息加密、秘密密钥、公开密钥、数字签名、报文 鉴别等。
1.信息加密
对信息进行加密是一个古老的概念。最基本的信息加密算法是替代法。假设要发送一个 报文的内容是 windows,用替代的方法,使每个字母替换为按字母顺序向后移动的第 3 个字母,
转换的结果为 zlqgrzv。这样,如果报文不慎被非授权的人得到,也没有什么用途。通常原来 的报文称为明文,加密后的报文称为密文,加密的算法是替代法,加密的密钥是 3。当然如果 密钥被别人猜出,就可以方便地从密文解出明文,保密也就无从谈起了。可见,信息加密的 关键是要有一个好的加密算法和加密的密钥要保密。任何好的加密技术都不是不可攻破的。
采用穷举法就可以对任何密钥进行破解,但破解需要时间,当花费一定时间破解了密钥后,
密钥可能已经更改了,或者报文已经失去应用的价值了。
2.秘密密钥
秘密密钥加密技术加密和解密用的是同一个密钥,又称为对称加密技术。对称加密技术 具有国际标准,即由美国 IBM 公司研制的数据加密标准(DES)。DES 的加密算法是公开的,
保密的关键是双方对密钥进行保密,另外就是采用较长的密钥。DEC 采用 64 位密钥长度。
由于在加密方和解密方使用相同的秘密密钥,所以对密钥本身的保密就非常重要。在进 行密钥传递时必须保证传输通道是安全可靠的。
DES 是一个非常好的加密技术,加密、解密速度快,适合对大量数据报文进行加密,在 网络信息安全方面获得了广泛的应用。
3.公开密钥
公开密钥加密技术,又称非对称加密技术。这种加密技术的加密算法是公开的,加密和 解密用不同的密钥。其中加密的密钥是公开的,又称为公钥,解密的密码是保密的,又称为
私钥。这两个密钥是数学相关的,但通过公钥不能推导出私钥。因为公钥是公开的,所以公 钥的传递不必通过安全通道传输。
RSA 算法是典型的公开密钥加密技术。与 DES 相比较,RSA 算法的速度要慢得多,所以 不适合传输大量报文的情况。
4.数字签名
人们在日常交往中为了证明信息的真伪往往采用签名的方法。在互联网上,常用数字签 名的方法解决鉴别数字信息真伪的问题。数字签名的实质是数字加密技术,现在一般都采用 公开密钥加密技术进行数字签名。在数据发送方用私钥进行加密,实质上是签名,然后将签 了名的密文传送出去。接收方对接收到的密文用公钥进行解密获得报文。需要注意的是,数 字签名并没有解决信息加密,因为任何人都可以得到发送方的公钥,任何人都可以获得这个 报文,所以还需要与秘密密钥相配合,进行信息的加密。
5.报文鉴别
对付被动攻击可以采用加密的方式,对付主动攻击则需要采用报文鉴别技术。报文鉴别技 术主要是解决信息在传输过程中被截获并篡改的问题,通过报文鉴别可以判断出报文的完整性。
报文鉴别过程是:发送方在发送报文前先将报文进行哈希函数运算,得到一个定长的报 文摘要(MD),然后对 MD 进行加密,追加到报文后面发送出去。接收方对接收到的 MD 进 行解密,并且对报文用同样的哈希函数进行运算,用得到的 MD 与解密的 MD 进行比较,如 果相同,证明报文在传输过程中没有被篡改。
习题
一、判断题
1.http://www.scit.edu.cn/default.htm 中 http 是一种传输协议。 ( ) 2.Internet Explorer 浏览器能识别 Scripting 格式文件。 ( ) 3.当用户采用拨号方式上网时,用户计算机得到一个临时的 IP 地址。 ( )
4.TTP 是文件传输协议。 ( )
5.http://www.scit.edu.cn/default.htm 中 www.scit.edu.cn 是资源存放地址。 ( ) 6.在 WWW 上,每一个信息资源都有统一的唯一的 URL 地址。 ( ) 7.电子邮件信箱地址为 YJK@online.sh.cn,其中 online.sh.cn 是电子邮件服务器地址。
( ) 8.Internet 的 DNS 系统是一个分层定义和分布式管理的命名系统。 ( ) 9.Internet 网络是计算机和通信两大技术相结合的产物。 ( ) 10.Modem 可以通过电话线把两台计算机连接起来。 ( ) 11.在使用 Internet Explorer 浏览器时,发现好的网页,用户可以把网页地址收藏在历
史栏中。 ( )
12.Outlook Express 发送电子邮件时不通过电子邮件服务器,而是直接传到用户的计算
机上。 ( )
13.ISP 是指 Internet 服务提供商。 ( ) 14.客户机/服务器系统中提供资源的计算机叫客户机,使用资源的计算机叫服务器。
( )
15.IPv4 地址包括网络地址和网内计算机,必须符合 IP 通信协议,具有唯一性,共含有
32 个二进制位。 ( )
16.Outlook Express 发送电子邮件时,不能附加文件。 ( ) 17.E-mail 地址的格式是主机名@域名。 ( ) 18.只有具有法人资格的企业、事业单位或政府机关才能拥有 Internet 网上的域名,通常
个人用户不能拥有域名。 ( )
19.http://www.scit.edu.cn/default.htm 中 default.htm 是被访问的资源。 ( ) 20.Internet Explorer 浏览器界面具有 DOS 风格。 ( ) 21.客户机/服务器方式是 Internet 网上资源访问的主要方式。 ( ) 22.Internet Explorer 浏览器在脱机状态下不能浏览任何资源。 ( ) 23.在局域网(LAN)网络中可以采用 TCP/IP 通信协议。 ( ) 24.昨天才访问的网页,今天却忘记了网页地址,用户可以在收藏夹中找到。 ( ) 25.局域网的地理范围一般在几公里之内,具有结构简单、组网灵活的特点。 ( ) 26.ISP 是指 Internet 服务提供商。 ( ) 27.Internet Explorer 浏览器能识别.htm 格式文件。 ( ) 28.TCP 协议的主要功能就是控制 Internet 网络的 IP 包正确的传输。 ( ) 二、单选题
1.不属于浏览器的软件有__________。
A.www B.Internet Explorer C.Netscape navigator D.Mosaic
2.下列哪种上网方式的计算机得到的 IP 地址是一个临时的 IP 地址?
A.以终端方式上网的计算机 B.以拨号方式上网的计算机 C.以局域网专线方式上网的计算机 D.以主机方式上网的计算机 3.域名 indi.shcnc.ac.cn 表示主机名的是__________。
A.indi B.shcnc C.ac D.cn 4.下列哪种上网方式的计算机不需设定本机 IP 地址?__________
A.以终端方式上网的计算机 B.以拨号方式上网的计算机 C.以局域网专线方式上网的计算机 D.以主机方式上网的计算机
A.以终端方式上网的计算机 B.以拨号方式上网的计算机 C.以局域网专线方式上网的计算机 D.以主机方式上网的计算机