淺析確保計算機網(wǎng)絡(luò)安全的防范技術(shù)

談勝 王照環(huán)

摘要:隨著計算機互聯(lián)網(wǎng)的發(fā)展,網(wǎng)絡(luò)信息的安全性及實現(xiàn)方法受到了人們極大的關(guān)注。本文闡述了計算機網(wǎng)絡(luò)安全存在的威脅,影響計算機網(wǎng)絡(luò)安全的主要因素,確保計算機網(wǎng)絡(luò)安全的防范措施。

關(guān)鍵詞:網(wǎng)絡(luò)安全需求技術(shù)手段防范策略

中圖分類號:TP3 文獻標識碼:A 文章編號:1672-3791(2012)04(c)-0040-01

1計算機網(wǎng)絡(luò)安全存在的威脅

由于計算機網(wǎng)絡(luò)分布廣泛和開放性的特征,很容易受到各種攻擊。常見的計算機網(wǎng)絡(luò)安全威脅主要有:竊聽,偽造,篡改,拒絕服務(wù)攻擊,電子欺詐,拒絕未經(jīng)授權(quán)的訪問和傳輸。

2網(wǎng)絡(luò)安全需求

(1)身份認證:身份認證是授權(quán)控制的基礎(chǔ)。身份認證必須做到準確的將對方辨別出來。應(yīng)該提供雙向的認證,即互相證明自己的身份,目前一般采用基于對稱密鑰或公開密鑰加密的方法,如kerberos,PGP等。

(2)授權(quán)控制:授權(quán)控制是控制不同用戶對信息資源訪問權(quán)限,對授權(quán)控制的要求主要有以下幾點。

①一致性,即控制沒有二義性。

②統(tǒng)一性,對信息資源集中管理,同意觀測安全策略。

③要求有審計功能,對所有授權(quán)記錄可以核查。

④盡可能地提供細粒度的控制。

(3)數(shù)據(jù)加密:數(shù)據(jù)加密是最基本的保證安全通信的手段。目前加密技術(shù)主要有兩大類:一類是基于對稱密鑰加密的算法,也稱為私鑰算法;另一類是基于非對稱密鑰加密的算法,也稱為公鑰算法。加密手段可以分為硬件加密和軟件加密,硬件加密速度快、效率高、安全性好、成本高;軟件加密成本低且靈活。

(4)數(shù)據(jù)完整性:數(shù)據(jù)完整性是指網(wǎng)上傳輸?shù)臄?shù)據(jù)應(yīng)防止被修改、刪除、插入、替換或重發(fā),以保證合法用戶接受和使用該數(shù)據(jù)的真實性。

(5)抗抵賴性:接收方要確保對方不能夠抵賴收到的信息是其發(fā)出的信息,而且不是被他人冒名、篡改過的信息。通常采用的方法是電子簽名。

3確保計算機網(wǎng)絡(luò)安全的技術(shù)手段

(1)防火墻技術(shù):要想實現(xiàn)網(wǎng)絡(luò)的安全,一個很基本的方法就是把被保護的網(wǎng)絡(luò)從開放的、無邊界的網(wǎng)絡(luò)環(huán)境中獨立出來,使之成為可管理、可控制、安全的內(nèi)部網(wǎng)絡(luò),為實現(xiàn)這一目標的最基本的手段就是在網(wǎng)絡(luò)的對外接口,采用防火墻技術(shù)。防火墻有點像古代守護城池用的護城河,在現(xiàn)實生活中,Internet防火墻常常被安裝在受保護的內(nèi)部網(wǎng)絡(luò)上并接入Internet。防火墻的主要作用是通過控制出、入一個網(wǎng)絡(luò)的權(quán)限,防止一個需要保護的網(wǎng)絡(luò)遭外界因素的干擾和破壞。從總體上看,防火墻應(yīng)該具有以下基本功能:對網(wǎng)絡(luò)攻擊進行檢測和告警,管理進、出網(wǎng)絡(luò)的訪問行為并過濾進、出網(wǎng)絡(luò)的數(shù)據(jù),通過防火墻的信息內(nèi)容和活動,封堵某些禁止行為。

(2)NAT技術(shù):隱藏內(nèi)部網(wǎng)絡(luò)信息。可以用來減少對注冊地址的需求。簡單的說,NAT就是當內(nèi)部節(jié)點要與外界網(wǎng)絡(luò)發(fā)生聯(lián)系時,在防火墻或邊緣路由器處,將內(nèi)部地址替換成可路由的合法地址,從而在外部公共網(wǎng)上正常使用。當內(nèi)部節(jié)點不需與外界網(wǎng)絡(luò)發(fā)生聯(lián)系時,在內(nèi)部專用網(wǎng)絡(luò)中使用不可路由的內(nèi)部地址。這只是一種過渡的解決方法

(3)VPN技術(shù):VPN可文譯為虛擬專用網(wǎng),具有虛擬特點,它并不是專有的封閉線路或者是租用某個網(wǎng)絡(luò)服務(wù)商提供的封閉線路,但同時又具有專線的數(shù)據(jù)傳輸功能,因為VPN能夠像專線一樣在公共網(wǎng)絡(luò)上處理自己公司的信息。VPN具有以下優(yōu)點:①成本低;②擴展容易;③完全控制主動權(quán)。

(4)網(wǎng)絡(luò)加密技術(shù)(Ipsec):IPSec是安全聯(lián)網(wǎng)的長期方向。它通過端對端的安全性來提供主動的保護以防止專用網(wǎng)絡(luò)與 Internet 的攻擊。其作用是保護IP數(shù)據(jù)包的內(nèi)容,通過數(shù)據(jù)包篩選及受信任通訊的實施來防御網(wǎng)絡(luò)攻擊。其中以接收和發(fā)送最為重要。IPSec的安全特性主要有:不可否認性、反重播性、數(shù)據(jù)完整性、數(shù)據(jù)可靠性(加密)、認證。

4安全防范策略

網(wǎng)絡(luò)是個動態(tài)的系統(tǒng),即使最初制定的安全策略十分可靠,但是隨著網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用的不斷變化,安全策略可能失效,下面介紹一系列比較重要的防范策略。

(1)訪問控制:將訪問控制設(shè)備放在網(wǎng)絡(luò)邊界處并啟用訪問控制功能,對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾。限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù),按用戶和系統(tǒng)之間的允許訪問規(guī)則,決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問。根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力,在會話結(jié)束后終止網(wǎng)絡(luò)連接。重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙。

(2)結(jié)構(gòu)的安全:確保主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力,具備冗余空間,保證在業(yè)務(wù)需要的高峰時滿足各方面的網(wǎng)絡(luò)帶寬需求,在發(fā)生網(wǎng)絡(luò)擁塞時候優(yōu)先保護重要主機。部分重要網(wǎng)絡(luò)避免直接與外部連接,禁止直接部署在邊界處,采用可靠地技術(shù)手段,將重要網(wǎng)段與其他網(wǎng)段隔離。

(3)邊界防護:把不同安全級別的網(wǎng)絡(luò)相連接,就產(chǎn)生了網(wǎng)絡(luò)邊界。如何防護邊界呢？對于公開的攻擊,只有防護一條路,檢查非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為,并確定出位置,對其進行有效阻斷。

(4)入侵檢測:在網(wǎng)絡(luò)邊界處監(jiān)視或在可能的情況下,阻止入侵者試圖控制自己的系統(tǒng)或網(wǎng)絡(luò)資源。檢測任何損害系統(tǒng)的機密性、完整性或可用性的行為的一種網(wǎng)絡(luò)安全策略。

(5)安全掃描:借助掃描軟件對計算機系統(tǒng)及網(wǎng)絡(luò)端口進行安全性檢查,能夠幫助管理員查找目標主機,找到運行的服務(wù)及其相關(guān)屬性,并發(fā)現(xiàn)這些服務(wù)潛在的漏洞。它只是幫助管理員找到網(wǎng)絡(luò)的隱患,并不能直接解決問題。

(6)日志審計系統(tǒng):日志文件是包含關(guān)于系統(tǒng)消息的文件,這些消息通常來自于操作系統(tǒng)內(nèi)核、運行的服務(wù),以及在系統(tǒng)上運行的應(yīng)用程序。日志文件包括系統(tǒng)日志、安全日志、應(yīng)用日志等。日志審計系統(tǒng)通過一些特定的、預(yù)先定義的規(guī)則來發(fā)現(xiàn)日志中潛在的問題,顯然它是一種被動式、事后的防護或事中跟蹤的手段,很難在事前發(fā)揮作用。

5結(jié)語

顯然,保障網(wǎng)絡(luò)安全性與網(wǎng)絡(luò)服務(wù)效率永遠是一對矛盾體,要想網(wǎng)絡(luò)系統(tǒng)安全可靠,勢必會增加許多控制措施和安全設(shè)備,這會或多或少的影響使用效率和方便性。

參考文獻

[1] 馬利.姚永雷計算機網(wǎng)絡(luò)安全[M].清華大學(xué)出版社,2010,8.

[2] 宋凱.劉念計算機網(wǎng)絡(luò)[M].清華大學(xué)出版社,2010,2.

[3] 周小華.計算機網(wǎng)絡(luò)安全技術(shù)與解決方案[M].浙江大學(xué)出版社,2008,10.