计算机网络信息安全技术研究
作者:赵 秦
来源:《中国新技术新产品》2009年第14期
摘要:确保网络安全己经是一件刻不容缓的大事,解决网络安全课题具有十分重要的理论意义和现实背景。本文分析了常用网络安全策略和安全技术,以及网络安全技术的发展趋势。 关键词:计算机网络;信息安全技术;发展趋势
随着 Internet 在全球的普及和发展,越来越多的计算机用户可以通过网络足不出户地享受丰富的信息资源、方便快捷地收发信息。计算机网络已经和人们的学习、工作紧密的联系在一起,成为许多人生活中不可或缺的重要部分。人们在享受网络带来的巨大便利的同时,网络安全也正受到前所未有的考验。网络安全是个百说不厌的话题。诸如系统被破坏、数据丢失、机密被盗和直接、间接的经济损失等[1,2]。本文分析了常用网络安全策略和安全技术,以及网络安全技术的发展趋势。
1 常用网络安全技术
1.1 网络安全策略
主要从政策制度及物理保护两方面讨论。(1)政策制度。有效的政策制度环境,是保障网络安全、促进互联网健康发展的重要基础。政策是政府经济管理职能的体现,包括政策的制订和执行两方面。网络安全需要政府综合运用各种手段,解决诸如结构、布局、组织等一系列发展需要解答的问题。政府要针对各种网络安全问题,采取切实有效的对策、措施,不断提高防范和保障能力,为人们创造一个能够确保公众信心的、安全的网络应用环境。法律制度的建立是依法行政所必须的,也是政府行使职能的基础。网络安全已成为国家安全的一个重要组成部分和非传统安全因素的一个重要方面。(2)物理保护。保证计算机信息系统各种设备的物理安全,是整个计算机信息系统安全的前提。物理安全对应体系层次模型的物理层,用以保护计算机网络设备、设施及其它媒体免遭地震、水灾、火灾等环境事故,以及操作错误及各种计算机犯罪行为导致的破坏,电缆、终端、路由器和其他系统硬件容易受到物理危害。 1.2 常用网络安全技术
龙源期刊网 http://www.qikan.com.cn
防火墙技术。防火墙(Firewall)是内部网络(局域网)和国际互连网(Internet)之间的一道安全屏障,是指设置在两个网络之间的一组组件(既可以是一组硬件,也可以是一组软件,还可以是软、硬件的组合),用于检测和控制两个网络之间的通信流,允许合法信息包通过,阻止非法信息包通过,以达到对重要信息的存储和访问的控制,保护信息系统的安全。防火墙能够确保护诸如电子邮件、文件传输、远程登录以及特定系统间信息交换的安全。具体有如下主要功能:防火墙是网络安全的屏障;防火墙可以强化网络安全策略;对网络存取和访问进行监控审计;防止内部信息的泄露。防火墙的工作原理是按照事先规定的配置和规则,监控所有通过防火墙的数据流,只许授权的数据通过,同时记录有关的联接来源、服务器提供的通信量和试图入侵的任何企图,以方便网络管理员的检测和跟踪。防火墙的体系结构主要有三种:双重宿主主机体系结构、屏蔽主机体系结构和屏蔽子网体系结构。
入侵检测系统(IDS)。为了能实时地监控网络用户的行为,入侵检测技术近年来迅速发展起来,入侵检测技术已经成为网络安全领域的热点研究问题。入侵检测就是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。而进行入侵检测的软、硬件的组合就是入侵检测系统(Intrusion DetectionSystem,简称 IDS)。入侵检测系统的主要功能有如下几点:识别黑客常用入侵与攻击手段;监控网络异常通信;鉴别对系统漏洞及后门的利用;完善网络安全管理;显著提高网络安全管理的质量。
防病毒技术。在所有计算机安全威胁中,计算机病毒是较为严重的,它不仅发生的频率高、损失大,而且潜伏性强、覆盖面广。计算机病毒防护是网络安全的一个重要领域。病毒防护技术目前主要有主机防病毒,网关防病毒两种形式:主机防病毒的特点是通过主机防病毒代理引擎,实时监测电脑的文件访问和网络交换,把文件与预存的病毒特征码相比对,发现病毒就通过删除病毒特征串实现解毒,或把文件隔离成非执行文件的方式,保护电脑主机不受侵害;网关防病毒是重要的防病毒措施,它采用御毒于網门之外的原则,在网关位置对可能导致病毒进入的途径,进行截留查杀,对于管理规范的网络是必要的安全措施。 1.3 其它的网络安全技术
加密技术。数据加密技术就是对信息进行重新编码,从而达到隐藏信息内容,使非法用户无法获取信息真实内容的一种技术手段。常用的加密传输方式有,链路加密,结点加密和端到端加密。
身份认证。在这个数字世界中,一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。常用的身份认证技术包括,口令认证,数字签名,认证和数字证书等。
访问控制技术。访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。通过对特定的网段和服务建立有效的访问控制体系,可在大多数的攻击到达之前进行阻止,从而达到限制非法访问的目的。
龙源期刊网 http://www.qikan.com.cn
安全扫描技术。网络安全扫描技术是网络安全领域的重要技术之一。通过对网络的扫描,网络管理员可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。安全扫描技术主要分为两类:主机安全扫描技术和网络安全扫描技术。
数据备份和灾难恢复。备份不仅在网络系统发生硬件故障或人为失误时起到保护作用,也在入侵者进行非授权访问或对网络攻击及破坏数据完整性时起到保护作用。备份是系统灾难恢复的前提之一,同时亦是维护网络安全的技术手段之一。
VPN 技术。VPN 采用加密和认证技术,在公共网络上建立安全专用隧道的网络,从而实现在公网上传输私有数据、达到私有网络的安全级别。VPN 通过使用点到点协议用户级身份验证的方法进行验证,并且采用点对点加密算法和网际协议安全机制对数据进行加密,这些身份验证和加密手段由远程VPN 服务器强制执行。
2 网络安全技术发展趋势
2.1 防火墙和 IDS 结合联动技术
为了克服防火墙在实际应用中存在的局限,防火墙厂商率先提出了联动思想。防火墙联动即通过组合的方式,将其他安全技术与防火墙技术进行整合,在提高防火墙自身功能和性能的同时,由其他技术完成防火墙所缺乏的功能,以适应网络安全整体化、立体化的要求。实现入侵检测和防火墙之间的联动有两种方式。一种是紧密结合,即把入侵检测系统嵌入到防火墙中,即入侵检测系统的数据来源不再来源于抓包,而是流经防火墙的数据流。所有通过的包不仅要接受防火墙检测规则的验证,还需要经过入侵检测,判断是否具有攻击性,以达到真正的实时阻断,这实际上是把两个产品合成一体。第二种方式是通过开放接口来实现联动,即防火墙或者入侵检测系统开放一个接口供对方调用,按照一定的协议进行通信、警报和传输。目前开放协议的常见形式有:安全厂家提供 IDS 的开放接口,供各个防火墙厂商使用,以实现互动。这种方式比较灵活,不影响防火墙和入侵检测系统的性能。 2.2 入侵防御系统(IPS)
入侵防御系统(IPS)定义为任何能够检测已知和未知攻击并且在没有人为的干预下能够自动阻止攻击的硬件或者软件设备。入侵防御系统(IPS)具有检测入侵和对入侵做出反应两项功能,可以说是将防火墙、IDS 系统、防病毒和漏洞扫描系统等技术的优点与自动阻止攻击的功能融为一体,实现对安全事件的共同检测和深度防御。入侵防护系统(IPS)倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在传送异常流量的同时或之后发出警报。IPS 最大的特点就在于,它不但能检测到入侵的发生,而且有能
龙源期刊网 http://www.qikan.com.cn
力中止入侵活动的进行;并且,IPS 能够从不断更新的模式库中发现各种各样新的入侵方法,从而做出更智能的保护性操作,并减少漏报和误报。 3 结语
网络安全是保证 Internet/Intranet 健康发展的基础,是保证企业信息系统正常运行,保护国家信息基础设施成功建设的关键。随着信息网络技术应用的深入,各类业务工作对网络和信息系统的依赖日益提高。本文就常用网络安全技术进行总结分析,并就网络安全发展趋势进行总结。 参考文献
[1] 吴慧. 计算机网络安全技术研究[J]. 硅谷, 2009,05
[2] 吕欣. 我国信息网络安全现状和趋势[J]. 中国信息界, 2008,10
因篇幅问题不能全部显示,请点此查看更多更全内容