浅论计算机系统安全

　　21 世纪全世界随着 Internet 的发展， 使 Internet 超越了组织与国界的限制，网络丰富的信息资源给用户带来了极大的方便，但同时也给上网用户带来了安全隐患。 确保经过网络传输和交换的数据的安全是目前计算机系统安全的首要任务。 1. 目前计算机安全系统的主要技术 1.1 网络防火墙技术是一种用来加强网络之间访问控制， 防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。 它对两个或多个网络之间传输数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间通信是否被允许，并监视网络运行状态。 具体有：包过滤技术、网络地址转化技术、代理服务器技术、监测型防火墙技术。虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显的不足：无法防范通过防火墙以外其它途径的攻击，不能防止来自内部用户和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。 1.2 加密技术分为两类：即对称加密和非对称加密。 具体如下：（1）对称加密技术在对称加密技术中，对信息的加密和解密都使用相同的钥匙，信息交换双方都不必彼此研究和交换专用的加密算法。 如果在交换阶段私有密钥未曾泄露，那么机密性和报文完整性就可以得到保证。 （2）非对称加密技术在非对称加密体系中，密钥被分解为一对（即公开密钥和私有密钥）。 这对密钥中任何一把都可以作为分开密钥（加密密钥）通过非保安方式向他人公开，而另一把作为私有密钥（解密密钥）加以保存。 公开密钥用于加密，私有密钥用于解密，私有密钥只能有生成密钥交换方掌握，公开密钥可广泛公布，但它只对应于生成密钥的交换方。 非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信，广泛应用于身份认证、数字签名等信息交换领域。 1.3 PKI（PKI Key Infrastucture）技术就是利用公钥理论和技术建立的提供安全服务的基础设施。 PKI 技术是信息安全技术的核心，是一种适合电子商务、电子政务、电子事务的密码技术，他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。 一个实用的 PKI 体系应该是安全的易用的、灵活的和经济的。 它必须充分考虑相互操作性和可扩展性。 它是认证机构（CA）、注册机构（RA）、策略管理、密钥（key）与证书(Certficate)管理、密钥备份与恢复、撤消系统等功能模块的有机结合。 1.4 虚拟专用网 （Virtual Private Network,VPN） 是 近 年 来 随 着 Internet 的发展而迅速发展起来的一种技术。 现代许多企业趋向于利用 Internet 来替代他们私有数据网络。 这种利用 Internet 来传输私有信息而形成的逻辑网络就称为虚拟专用网。 虚拟专用网补救上就将 Internet 看作一种公有数据网，这种公有网和 PSZN 网在数据传输上没有本质的区别，从用户观点来看，数据都被正确传送到目的地。 相对，企业在这种公共数据网上建立的用以传输企业内部信息的网络被称为私有网。 目前 VPN 主要采用四项技术来保证安全，这四项技术分别是隧道技术（Tunneling）、加解密技术（Eneryption）密钥管理技术（Key Management）、使用者与设备身份认证技术 （Authentieation）。 （1）隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。 使用隧道传递的数据（或负载）可以是不同协议的数据帧或包。 隧道协议将这些其它协议的数据帧或包重新封装在新装在新的包头中发送。 新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。 被封装的数据包在隧道的两个端点之间通过公共互联网络上传递时所经过的逻辑路径称为隧道。 一旦到达网络终点，数据将被解包并转发到最终目的地。 （2）加解密技术对通过公共互联网络传递的数据必须经过加密， 确保网络其他未授权的用户无法读取该信息。 （3）密钥管理技术的主要任务是如何在公用数据网上安全地传递密 钥 而 不 被 窃 取 。 现 行 密 钥 管 理 技 术 又 分 为 SKIP 与 ISAKMP/ OAKLEY 两种。 SKIP 主要是利用 Diffie-Hellman 的演算法则，在网络上传输密钥在 ISAKMP 中，双方都有两把密钥，分别用于公用和私用。（4） 使用者与设备身份认证技 VPN 方案必须能够验证用户身份并严格控制只有授权用户才能访问 VPN。 另外，方案还必须能够提供审计和记费功能，显示何人在何时访问了何种信息。 身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。VPN 整合了范围广泛的用户， 从家庭的拨号上网用户到办公室连网的工作站， 直到 EP 的 Web 服务器。 用户类型、传输方法，以及由 VPN 使用的服务的混合性，增加了 VPN 设计的复杂性，同时也增加了网络安全的复杂性。 如果能有效地采用 VPN 技术，是可以防止欺诈、增强访问控制和系统控制、加强保密和认证的。 选择一个合适的 VPN 解决方案可以有效地防范网络黑客的恶意攻击。 2. 网络的安全威胁和风险主要存在于三个方面：物理层、协议层和应用层网络线路被恶意切断或过高电压导致通信中断，属于物理层的威胁；网络地址伪装、Teardrop 碎片攻击、SYNFlood 等则属于协议层的威胁；非法 URL 提交、网页恶意代码、邮件病毒等均属于应用层的攻击。从安全风险来看，基于物理层的攻击较少，基于网络层的攻击较多，而基于应用层的攻击最多，并且复杂多样，难以防范。 面对新型网络攻击手段的不断出现和高安全网络的特殊需求， 全新安全防护理念——— “安全隔离术”;应运而生。 它的目标是确保把有害攻击隔离在可信网络之外，并保证可信网络内部信息不外泄的前提下，完成网间信息的安全交换。 1)完全的隔离：采用完全独立的设备存储和线路来访问不同的网络，做到了完全的物理隔离，但需要多套网络和系统，建设和维护成本较高；2)硬件卡隔离：通过硬件卡控制独立存储和分时共享设备与线路来实现对不同网络的访问；3)数据转播隔离：利用转播系统分时复制文件的途径来实现隔离；4)空气开关隔离：通过使用单刀双掷开关， 通过内外部网络分时访问临时缓存器来完成数据交换的；5)安全通道隔离：通过专用通信硬件和专有交换协议等安全机制，来实现网络间隔离和数据交换，不仅解决了以往隔离技术存在的问题，并且在网络隔离的同时实现高效的内外数据的安全交换，它透明地支持多种网络应用，成为当前隔离技术的发展方向。 且随着互联网的发展计算机系统安全技术将会更加重要。