本文關(guān)鍵詞：網(wǎng)絡(luò)安全基本知識，由筆耕文化傳播整理發(fā)布。

網(wǎng)絡(luò)安全基本知識

來源:北大青鳥廣州海珠校區(qū)

    當前網(wǎng)絡(luò)安全越來越被人們所重視，各大中小企業(yè)對網(wǎng)絡(luò)安全也越來越重視，同時對網(wǎng)絡(luò)安全工程師需求也越來越多。技術(shù)過硬的網(wǎng)絡(luò)安全工程師，不但要使企業(yè)內(nèi)部運行網(wǎng)絡(luò)安全，還能防止受到外部的攻擊，減少企業(yè)的損失以及被網(wǎng)絡(luò)黑客入侵要挾。本文作者日常接到許多學(xué)生的對網(wǎng)絡(luò)安全提出的疑問，現(xiàn)在寫篇文章講述網(wǎng)絡(luò)安全的基本概念和常識，讓大家對網(wǎng)絡(luò)安全有個基本了解。

一、計算機網(wǎng)絡(luò)安全技術(shù)
    隨著計算機網(wǎng)絡(luò)技術(shù)的普及和越來越廣泛地應(yīng)用于工業(yè)、農(nóng)業(yè)、交通等國民經(jīng)濟各個領(lǐng)域和國防建設(shè)和軍事領(lǐng)域，計算機網(wǎng)絡(luò)時常出現(xiàn)的安全問題日益增多，存在的安全隱患，促使人們采取各種方案保護計算機網(wǎng)絡(luò)的安全。下面介紹了計算機安全技術(shù)的解決方案。

1.防火墻
    目前，常見的防火墻主要有三類：
    （1）分組過濾型防火墻：數(shù)據(jù)分組過濾或包過濾，包過濾原理和技術(shù)可以認為是各種網(wǎng)絡(luò)防火墻的基礎(chǔ)構(gòu)件。
    （2）應(yīng)用代理型防火墻：應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。
    （3）復(fù)合型防火墻：復(fù)合型防火墻將數(shù)據(jù)包過濾和代理服務(wù)結(jié)合在一起使用。
目前出現(xiàn)的新技術(shù)類型主要有以下幾種狀態(tài)監(jiān)視技術(shù)、安全操作系統(tǒng)、自適應(yīng)代理技術(shù)、實時侵入檢測系統(tǒng)等�；旌鲜褂脭�(shù)據(jù)包過濾技術(shù)、代理服務(wù)技術(shù)和其他一些新技術(shù)是未來防火墻的趨勢。
2.物理隔離網(wǎng)絡(luò)
    所謂“物理隔離”是指內(nèi)部網(wǎng)不直接或間接地連接公共網(wǎng)。實現(xiàn)物理隔離的方法有：
    （1）一人雙機：在資金充足的情況下，給需要的人員配備2臺電腦，1臺接入互聯(lián)網(wǎng)，1臺只接入內(nèi)部網(wǎng)。
    （2）網(wǎng)絡(luò)安全隔離卡：在電腦上加裝1塊網(wǎng)絡(luò)安全隔離卡，并再配備1塊硬盤，隨時根據(jù)使用者的要求，在內(nèi)外網(wǎng)之間進行切換。
    （3）隔離計算機。
3.防病毒網(wǎng)關(guān)
    防病毒網(wǎng)關(guān)放置在內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)連接處。當在內(nèi)部網(wǎng)絡(luò)內(nèi)發(fā)現(xiàn)病毒時，可能已經(jīng)感染了很多計算機，防病毒網(wǎng)關(guān)可以將大部分病毒隔離在外部，同時具有反垃圾郵件和反間諜軟件的能力。當出現(xiàn)新的病毒時，治理員只要將防病毒網(wǎng)關(guān)升級就可以抵御新病毒的攻擊。目前，代表性的產(chǎn)品有億郵防病毒網(wǎng)關(guān)、中網(wǎng)電子郵件防病毒網(wǎng)關(guān)、北信源防毒網(wǎng)關(guān)等。
4.抗攻擊網(wǎng)關(guān)
    抗攻擊網(wǎng)關(guān)可以避免拒絕服務(wù)攻擊（DoS）和連接耗盡攻擊等網(wǎng)絡(luò)攻擊帶來的問題，用戶只需將抗攻擊網(wǎng)關(guān)架設(shè)在路由器之前就可以使用，通過獨立的監(jiān)控系統(tǒng)就可以實時監(jiān)控和報警，并可以給出安全事件報告。目前，抗攻擊網(wǎng)關(guān)的類型主要有入侵檢測、指紋識別、免疫型等。入侵檢測和指紋識別需要大量消耗CPU和內(nèi)存才能計算識別出攻擊，然后，給出過濾規(guī)則，這種機制本身就輕易遭受拒絕服務(wù)攻擊，因此，免疫型抗攻擊網(wǎng)關(guān)是今后發(fā)展的趨勢。以中網(wǎng)宙斯盾抗攻擊網(wǎng)關(guān)為例，它本身對攻擊是免疫的，不需要大量計算，將數(shù)據(jù)包直接轉(zhuǎn)發(fā)過去，但不能產(chǎn)生攻擊。
5.虛擬專用網(wǎng)
    隨著商務(wù)的發(fā)展，辦公形式的改變，分支機構(gòu)之間的通信有很大需求，假如使用公用的互聯(lián)網(wǎng)絡(luò)來進行通信，而不是架設(shè)專用線路，這樣，就可以顯著降低使用成本。VPN（virtualprivatenetwork）即虛擬專用網(wǎng)是解決這一問題的方法。VPN建立一條通過公眾網(wǎng)絡(luò)的邏輯上的專用連接，使得用戶在異地訪問內(nèi)部網(wǎng)絡(luò)時，能夠和在本地訪問一樣的資源，同時，不用擔(dān)心泄密的問題。采用IPSec協(xié)議的產(chǎn)品是市場的主流和標準，有相當多的廠商都推出了相應(yīng)產(chǎn)品。
6.認證
    目前，常用的身份識別技術(shù)主要是基于RADIUS的鑒別、授權(quán)和治理（AAA）系統(tǒng)。RADIUS（remoteauthentica2tiondialinuserservice）是網(wǎng)絡(luò)遠程接入設(shè)備的客戶和包含用戶認證與配置信息的服務(wù)器之間信息交換的標準客戶或服務(wù)器模式。它包含有關(guān)用戶的專門簡檔，如，用戶名、接入口令、接入權(quán)限等。這是保持遠程接入網(wǎng)絡(luò)的集中認證、授權(quán)、記費和審查的得到接受的標準。華為、思科等廠商都有使用RADIUS技術(shù)的產(chǎn)品。

7.入侵檢測和集中網(wǎng)管
    入侵檢測（intrusiondetection）是對入侵行為的發(fā)覺，是一種增強系統(tǒng)安全的有效方法，能檢測出系統(tǒng)中違反系統(tǒng)安全性規(guī)則或者威脅到系統(tǒng)安全的活動。目前，入侵檢測系統(tǒng)的產(chǎn)品很多，僅國內(nèi)的就有東軟、海信、聯(lián)想等十幾種;集中網(wǎng)管主要體現(xiàn)在對網(wǎng)管的集中上，網(wǎng)管集中的實現(xiàn)方式主要包括存放網(wǎng)管系統(tǒng)的物理平面集中和通過綜合集中網(wǎng)管實現(xiàn)對不同廠商網(wǎng)管系統(tǒng)的集中管控。大唐、朗訊、華勤等廠商各自有不同的集中網(wǎng)管產(chǎn)品上市。

二、WSNs安全技術(shù)
    WSNs多用于軍事，非凡現(xiàn)場的警戒保護、商業(yè)區(qū)域的安防，作為任務(wù)型網(wǎng)絡(luò)，不僅要進行數(shù)據(jù)傳輸，而且要進行數(shù)據(jù)采集和融合，任務(wù)的協(xié)同控制等，如何保證任務(wù)執(zhí)行的機密性，數(shù)據(jù)產(chǎn)生的可靠性數(shù)據(jù)融合的高效性以及數(shù)據(jù)傳輸?shù)陌踩�，是WSNs安全方面需要研究的重要內(nèi)容。在3個重要的環(huán)節(jié)上，節(jié)點的物理分布和數(shù)據(jù)的采樣和數(shù)據(jù)的傳輸過程，應(yīng)該對無關(guān)的各方和人員保密。由于傳感器網(wǎng)絡(luò)中節(jié)點隨機部署、網(wǎng)絡(luò)拓撲的動態(tài)性以及信道的不穩(wěn)定性，使傳統(tǒng)的安全機制無法適用。因此，需要設(shè)計新型的網(wǎng)絡(luò)安全機制。目前，有關(guān)保證WSNs安全的方案和措施歸納起來主要有以下幾種：
1.對物理攻擊的防護
    WSNs在開放的環(huán)境中大量分布著傳感器節(jié)點，這些節(jié)點很輕易被攻擊者捕捉，然后，破壞其物理結(jié)構(gòu)或是從節(jié)點中提取密鑰、修改程序甚至用攻擊者自己的傳感器來替代它們。
2.私有性問題
    保證網(wǎng)絡(luò)中的傳感信息只有可信實體才可以訪問是保證私有性問題的最好方法，這可通過數(shù)據(jù)加密和訪問控制來實現(xiàn);另外一種方法是限制網(wǎng)絡(luò)所發(fā)送信息的粒度，因為信息越具體，越有可能泄露私有性，比如：1個簇節(jié)點可以通過對從相鄰節(jié)點接收到的大量信息進行匯集處理，并只傳送處理結(jié)果，從而達到數(shù)據(jù)匿名化。
3.實現(xiàn)機密性
    攻擊者可以以一種低風(fēng)險、匿名的方式收集來自WSNs的大量可被遠程訪問的數(shù)據(jù)，同時監(jiān)視多個站點。通過監(jiān)聽數(shù)據(jù)，輕易發(fā)現(xiàn)通信的內(nèi)容，即消息截取或通過分析得出與機密通信相關(guān)的信息，即流量分析。
4.據(jù)融合安全
    在WSNs中，眾多的節(jié)點會產(chǎn)生大量的冗余信息，浪費十分有限的網(wǎng)絡(luò)資源，而數(shù)據(jù)融合是節(jié)省網(wǎng)絡(luò)通信資源的有效方法。但是，假如融合節(jié)點遭到攻擊，那么，得到的數(shù)據(jù)將可能無效甚至有害。目前的一種解決方法是融合——承諾——證實的安全數(shù)據(jù)融合方案。但是，總體而言，當前對于安全數(shù)據(jù)融合的研究不多，還有大量的工作需要完成。
5.認證和安全路由
    認證是對抗假冒節(jié)點或惡意數(shù)據(jù)的有效方法。比如：鏈路層安全體系結(jié)構(gòu)TinySec能發(fā)現(xiàn)注入網(wǎng)絡(luò)的非授權(quán)的數(shù)據(jù)包，提供消息認證和完整性、消息機密性、語義安全和重放保護等基本安全屬性。最近安全路由提出的方案是入侵容忍路由協(xié)議INSENS，它答應(yīng)惡意節(jié)點威脅它四周的少量節(jié)點，但威脅被控制在一定范圍內(nèi)，通過使用冗余機制來實現(xiàn)這種功能。
6.防止DoS攻擊
    有一種方法是建立基于冗余的防護機制，這使得即使有部分節(jié)點被攻陷，也不會導(dǎo)致整個WSNs系統(tǒng)崩潰。防御DoS攻擊的方法沒有一個固定的方法，它隨著攻擊者攻擊方法的不同而不同。一些跳頻和擴頻技術(shù)可以用來減輕網(wǎng)絡(luò)堵塞問題。恰當?shù)恼J證可以防止在網(wǎng)絡(luò)中插入無用信息，然而，這些協(xié)議必須十分有效，否則，它也會被用來當作DoS攻擊的手段。
7.密鑰治理
    與密鑰治理協(xié)議緊密相關(guān)的WSNs應(yīng)用層技術(shù)—內(nèi)網(wǎng)數(shù)據(jù)處理。典型的有：
    （1）數(shù)據(jù)聚集技術(shù)。
    （2）數(shù)據(jù)融合技術(shù)。
    （3）被動參與技術(shù)（passiveparticipate）。
    現(xiàn)有WSNs的密鑰治理協(xié)議大多數(shù)是基于對稱加密算法的。因為公鑰加密算法（如RSA）是計算密集型的算法，，每執(zhí)行一個安全操作都需要CPU執(zhí)行幾百萬甚至更多的乘法指令操作。
三、結(jié)束語
    計算機網(wǎng)絡(luò)技術(shù)的應(yīng)用促進了社會經(jīng)濟發(fā)展，但是隨著經(jīng)濟的發(fā)展，也涌現(xiàn)了大批網(wǎng)絡(luò)黑客，據(jù)某大型機構(gòu)調(diào)查，網(wǎng)絡(luò)黑客一年中讓網(wǎng)絡(luò)經(jīng)濟損失達到2億美元，所以，企業(yè)對待網(wǎng)絡(luò)安全問題刻不容緩。

友情提示：如果您對北大青鳥的學(xué)費、課程、就業(yè)有疑問，可以撥打電話：4000-020-998，我們會有專業(yè)課程顧問細心為你解答問題，免費為你定身做前景分析和職業(yè)規(guī)劃�。c擊立即咨詢）

  本文關(guān)鍵詞：網(wǎng)絡(luò)安全基本知識，由筆耕文化傳播整理發(fā)布。