计算机网络安全综述

科技资讯
科技资讯S I N &T N OLOGY I N FORM TI ON 2008N O.23
SCI ENC E &TEC HNO LO GY I N FO RM A TI ON 信息技术
1网络安全现状及技术分析
作为信息安全的重要内容,安全协议的形式化方法分析始于20世纪80年代初,目前主要有基于状态机、模态逻辑和代数工具的3种分析方法,但仍有局限性和漏洞,处于发展提高阶段。

黑客入侵事件不断发生,网络安全[1]
监控管理理论和机制的研究就备受重视。

黑客入侵手段的研究分析、系统脆弱性检测技术、报警技术、信息内容分级标识机制、智能化信息内容分析等研究成果己经成为众多安全工具软件的基础。

网络系统中存在着许多设计缺陷和情报机构有意埋伏的安全陷辨。

在CPU 芯片中,利用现有技术条件,可以植入无线发射接收功能,在操作系统、数据库管理系统或应用程序中能够预先安置从事情报收集、受控激发的破坏程序。

这些功能,可以接收特殊病毒;接收来自网络或空间的指令来触发C PU 的自杀功能;搜集和发送敏感信息;通过特殊指令在加密操作中将部分明文隐藏在网络协议层中传输等。

而且,通过惟一识别CPU 的序列号,可以主动、准确地识别、跟踪或攻击一个使用该芯片的计算机系统,根据预先的设定收集敏感信息或进行定向破坏。

信息安全关键技术的公开密钥密码体制克服了网络信息系统密钥管理的困难,同时解决了数字签名间题,并可用于身份认证,各种密码算法面临着新的密码体制,如量子密码、D N A 密码、混浊理论等的挑战。

基于具体产品的增强安全功能的成果,很难保证没有漏洞。

2网络不安全的主要因素计算机网络安全的脆弱性是伴随计算机网络一同产生的,在网络建设中,网络特性决定了不可能无条件、无限制地提高其安全性能。

要使网络方便快捷,又要保证网络安全,而网络安全只能在“两难选择”所允许的范围中寻找支撑点,可以说任何一个计算机网络都不是绝对安全的。

2.1互联网具有的不安全性
互联网的不安全性主要表现在如下方面:网络的开放性,导致网络的技术是全开放的,使得网络所面临的破坏和攻击来自多方面。

可能来自物理传输线路的攻击,也可能来自对网络通信协议的攻击,以及对软件和硬件实施的攻击。

网络的国际性,意味着网络的攻击不仅来自本地网络的用户,而且可以来自互联网上的任何一个机器,也就是说,网络安全面临的是国际化的挑战。

网络的自由性,意味着网络最初对用户的
使用并没有提供任何的技术约束,用户可以自由地访问网络,自由地使用和发布各种类型的信息。

另外,互联网使用的T C P/I P(传输控制协议/网际协议),以及FT P(文件传输协议)、E -m a i l (电子邮件)、R PC(远程程序通信规则)、N FS(网络文件系统)等都含有许多不安全的因素,存在着许多安全漏洞。

2.2操作系统存在的安全问题操作系统软件统设计时的疏忽或考虑不周而留下的“破绽”,都给网络安全留下了许多“后门”。

操作系统的程序是可以动态连接的,例如:I /O 的驱动程序和系统服务,这些程序和服务可以通过打“补丁”的方式进行动态连接,许多U N I X 操作系统的版本升级也都是采用打补丁的方式进行的。

操作系统不安全[2]的另一原因在于它可以创建进程,支持进程的远程创建与激活,支持被创建的进程继承创建进程的权利,这些机制提供了在远端服务器上安装“间谍”软件的条件。

若将间谍软件以打补丁的方式“打”在一个合法的用户上,尤其“打”在一个特权用户上,黑客或间谍软件[3]就可以使系统进程与作业的监视程序都监测不到它的存在。

操作系统的无口令入口,以及隐蔽通道(原是为系统开发人员提供的便捷入口),也是黑客人侵的通道。

2.3数据的安全问题在网络中,数据是存放在数据库中的,供不同的用户共享。

然而,数据库存在许多不安全因素,例如:授权用户超出了访问权限进行数据的更改活动;非法用户绕过安全内核,窃取信息资源等。

对于数据库的安全而言,就是要保证数据的安全可靠和正确有效,即确保数据的安全性、完整性和并发控制。

数据的安全性就是防止数据库被故意的破坏和非法的存取;数据的完整性是防止数据库中存在不符合语义的数据,以及防止由于错误信息的输入、输出而造成无效操作和错误结果;并发控制就
是在多个用户程序并行存取数据时,保证数据库的一致性。

2.4传输线路的安全问题尽管在光缆、同轴电缆、微波、卫星通信中窃听其中指定一路的信息是很困难的,但是从安全的角度来说,没有绝对安全的通信
线路。

2.5网络安全管理问题网络系统缺少安全管理人员,缺少安全管理的技术规范,缺少定期的安全测试与检查,缺少安全监控,是网络最大的安全问题之一。

3网络安全的主要威胁网络系统的安全威胁[3]主要表现在主机可能会受到非法入侵者的攻击,网络中的敏感数据有可能泄露或被修改,从内部网向公共网传送的信息可能被他人窃听或篡改等等。

表1所列为典型的网络安全威胁。

　
4网络信息安全保护技术网络信息安全强调的是通过技术和管理手段,能够实现和保护消息在公用网络信息系统中传输、交换和存储流通的保密性、完整性、可用性、真实性和不可抵赖性。

因此,当前采用的网络信息安全保护技术主要是两个
类型:主动防御技术和被动防御技术。

4.1主动防御保护技术
主动防御保护技术一般采用数据加密、计算机网络安全综述
高敬瑜
(无锡商业职业技术学院信息工程系
江苏无锡
214153)
摘要:本文从网络安全现状、不安全因素、主要威胁、网络信息安全保护技术、网络信息安全机制等方面论述网络安全问题。

同时,对网络安全防范措施提出补充。

关键词:网络安全安全机制保护技术中图分类号:TN915.08文献标识码:A 文章编号:1672-3791(2008)08(b)-0019-02
表1典型的网络安全
威胁19
C E CE ECH A
科技资讯科技资讯S I N &T NOLOGY I NFORM TI ON
2008N O .23
SC I ENC E &TEC HN OLO GY I NFO RM ATI O N
信息技术
身份鉴别、存取控制、权限设置和虚拟专用网络等技术来实现。

①数据加密。

密码技术被公认为是保护网络信息安全的最实用方法。

对数据最有效的保护就是加密,因为加密的方式可用不同手段来实现。

②身份鉴别。

身份鉴别强调一致性验证,验证要与一致性证明相匹配。

通常,身份鉴别包括:验证依据、验证系统和安全要求。

③存取控制。

存取控制表征主体对客体具有规定权限操作的能力。

存取控制的内容包括:人员限制、访问权限设置、数据标识、控制类型和风险分析等。

它是内部网络信息安全的重要方面。

④权限设置。

规定合法用户访问网络信息资源的资格范围,即反映能对资源进行何种操作。

⑤虚拟专用网技术。

使用虚拟专用网或虚拟局域网。

虚拟网技术就是在公网基础上进行逻辑分割而虚拟构建的一种特殊通信环境,使其具有私有性和隐蔽性。

4.2被动防御保护技术
被动防御保护技术主要有防火墙技术、入侵检测系统、安全扫描器、口令验证、审计跟踪、物理保护及安全管理等。

①防火墙技术。

防火墙是内部网与I (或一般外网)间实现安全策略要求的
访问控制保护,是一种具有防范免疫功能的系统或系统组保护技术,其核心的控制思想是包过滤技术。

②入侵检测系统。

I D S(I nt r usi on D et ec-t i on Syst em )就是在系统中的检查位置执行入侵检测功能的程序或硬件执行体,可对当前的系统资源和状态进行监控,检测可能的入侵行为。

③安全扫描器。

它可自动检测远程或本地主机及网络系统的安全性漏洞点的专用功能程序,可用于观察网络信息系统的运行情况。

④口令验证。

它利用密码检查器中的口令验证程序查验口令集中的薄弱子口令。

防止攻击者假冒身份登入系统。

⑤审计跟踪。

它对网络信息系统的运行状态进行详尽审计,并保持审计记录和日志,帮助发现系统存在的安全弱点和入侵点,尽量降低安全风险。

⑥物理保护与安全管理。

它通过制定标准、管理办法和条例,对物理实体和信息系统加强规范管理,减少人为管理因素不力的负面影响。

5网络信息安全机制
I SO 对信息系统安全体系结构制定了开放
系统互连(OSI )基本参考模型(I SO )。

为了实施鉴别、访问控制、数据保密、
数据完整性、抗否认可选的五种安全服务功能,I SO7498-2又具体提出如下8类安全机制:加密机制,数字签名机制,访问控制机制,数据完整性机制,鉴别交换机制,通信业务填充机制,路由控制机制,公证机制。

6结语
网络安全技术在经历大的挑战之后迅速发展,给网络带来了客观和肯定的安全,但我们在分享安全技术的成果时,更要注意内部管理,杜绝低级的网络安全隐患。

参考文献
[1]王其良,高敬瑜.计算机网络安全技术[M ].
北京大学出版社,2006,11.
[2]陈波.计算机系统安全原理与技术[M ].机
械工业出版社,2006,1.
[3]许治坤,王伟,郭添森,等.网络渗透技术
[M ].电子工业出版社,2005,5.
不论是对背景不变区域(禁止外人闯入区域)还是对背景发生变化区域(比如各大银行、超级市场)的监控,视频录像都是监控系统不可或缺的一个功能。

在各大银行、超级市场这些监控区域录像往往采用循环录像的方法,这样可便于日后的查询管理。

但视频信息占用的存储空间非常大,很短一段时间内磁盘空间就可能被用完。

如果对于背景不变区域的监控也采用这种方法将对磁盘空间产生极大的浪费。

在嵌入式视频监控系统中,运动目标检测及报警不仅可以自动替代监视人员的部分工作,提高监控系统的自动化水平,还可以提高监控存储的效率。

嵌入式视频监控系统对运动目标自动进行检测,一旦出现运动物体或有异物闯入,就会发出报警信号报警或将异常图像通过彩信发至手机,可在很大程度上减轻监视人员的视觉负担。

正是基于对运动目标自动进行检测,本文提出了一种针对背景不变区域监控存储的新策略,基于运动目标检测的视频存储策略:只在开始监控的很小一段时间内存储录像,之后若出现异常,报警的同时对异常区域录像,以便日后查看和分析。

1视频监控系统结构
嵌入式视频监控系统以数字视频压缩为核心,以网络传输为重点,以智能实用的图像分析技术为特色,进一步推动了监控系统的普及应用。

目前常用的视频监控系统结构如图1所示。

传统的视频监控系统视频格式是M PE G-4。

而新一代视频编码标准H .264与其相比有很多优势:在同样质量下,其编码效率能提高40%左右以及更高的传输可靠性。

因此,我们开发出了基于H .264的嵌入式视频监控系统。

系统体系结构如图2所示:
本系统由前端(采集子系统和主控子系统)和后端组成。

①前端采集子系统:负责监控现场视频信号的采集。

主要由信号采集设备和可遥控设备两部分组成。

前者包括视频、音频、报警信号采集设备,主要有摄像机(4个)、音频采集头(m i c)、报警探测器等数据采集器件,这些设备负责监控现场的视频图像、声音、非法侵入等信号和数据;后者包括可控机电设备云台,它按照主控系统发来的指令进行动作。

②前端主控子系统:对来自前端采集子系统的视频模拟信号进行数字化,然后对数字视频数据进行压缩、传输与存储。

③后端:分PC 客户端和手机客户端,负责接收服务器传来的视频流并实时显示以及控制云台的转动。

对于PC 客户端,还可保存视频图像,回放视频图像。

2运动目标检测
嵌入式视频监控在企融、交通、超市、安全保密等多个领域有着广泛应用[2],出现异常进行报警是其不可或缺的一部分。

在嵌入式视频监控系统中,运动目标的检测对于及时报警、提高硬盘空间的利用率、提高监控系统的智能化程度、减轻监控人员的劳动强度、基于运动目标检测的视频存储策略
赵志明江楠
(郑州轻工业学院郑州
450002)
摘要:运动目标检测和视频存储是嵌入式视频监控系统中的两个重要功能。

对于背景不变区域监控的存储,本文提出了一种基于背景减除算法(运动目标检测)的视频存储策略。

该策略大大提高了磁盘空间的利用率。

关键词:视频监控视频存储运动目标检测背景减除算法中图分类号:TP311文献标识码:A 文章编号:1672-3791(2008)08(b )-0020-0220C E C E EC H A nt er net 7498。