网络的安全技术

摘要:在网络广泛应用的今天,网络安全管理刻不容缓。该文通过网络安全管理、设备部署、策略实施等方面阐述如何保障网络安全。

关键词:网络管理;安全管理;安全技术;加密;认证

中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)22-pppp-0c

在信息时代,信息可以帮助团体或个人,使他们受益,同样,信息也可以用来对他们构成威胁,造成破坏,带来损失。随着网络技术地迅猛发展,大量地信息在网络上高速传递,网络的安全技术刻不容缓。网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。

通过加强内部网络管理人员以及使用人员的安全意识,部署系统安全策略来控制对系统资源的访问,这是防病毒进程中,最容易和经济的方法之一。网络管理员和终端操作员根据自己的职责权限,选择不同的口令、安全证书、id等,对应用程序数据进行合法操作,防止用户越权访问数据和使用网络资源。

在网络上,要保证流畅的安全访问,安全的管理意识和设备的部署(包括硬件和策略)是十分关键的,它不仅关系到网络维护管理的效率和质量,而且涉及到网络的安全性。再好的防火墙,如果不加以科学的策略控制,就是虚设。通过路由访问控制策略,工作站的本地安全策略的科学配置加上一套好的杀毒软件也能较好地保证网络的流畅和安全访问。

1 计算机网络安全的概念

国际标准化组织将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。

从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。

2 计算机网络安全技术

网络安全是指和网络相关的安全问题。网络的基本功能是为其他通信实体(主机、其他网络等)提供信息传输服务。从这个角度看,网络安全的核心问题就是如何保障网络安全地实施其基本功能:信息传输。当我们从不同角度观察这个功能的实施,就会产生不同的安全问题。例如:

1) 如果把网络看成一种资源,那么就需要对利用这种资源的实体进行验证、授权和计费;

2) 网络正常运行的前提是协议的正常操作:各种协议实体不能被伪造的或其它非法报文所欺骗,网络必须有能力过滤报文;

3) 作为一种传输基础设施,网络应该对其所传输的数据实施安全保护;

4) 对于具备特定所有权的网络,网络应该有能力提供某种关于其自身的隐私保护的能力。

网络面临的安全问题层出不穷,网络安全技术也处于不断发展当中。

5) AAA的实施技术

AAA(Authentication,Authorization and Accounting :验证、授权和计费):AAA定义了实施验证、授权和计费的系统的一般框架。AAA是网络接入中对于网络用户的验证、授权和计费技术的统称。AAA不特指某种具体的协议或技术,它只是一个技术框架。具体验证、授权和计费工作都是由特定的协议或设备来完成。一个典型的AAA应用如下图所示:

在图所示网络中,用户通过某个接入网络和由网络接入服务器(NAS,Network Access Server)、网关和AAA服务器所组成的一个ISP局域网相连,并期望获得对于由ISP网关所连接的Internet的访问权限。

图中NAS的基本功能是作为接入网和ISP之间的网关,实现用户的接入。对于不同的接入网络,NAS所采用的技术和具体实现有很多不同。比如华为3Com公司的Quidway A8010设备提供拨号用户的接入,S3026则可以提供以太网用户的接入功能。

在实际应用中,并不是所有用户都有权利通过接入服务器访问Internet,使用了接入服务的用户也需要交纳一定的费用等。即ISP必须能够实现用户的授权、论证和计费等功能。图中NAS和AAA服务器之间是客户机和服务器的关系,负责提供上述功能。以AAA功能的验证功能的实现为例:NAS负责收集用户名、用户密码等信息,并向AAA服务器发起“访问请求”,AAA服务器根据预先配置的用户数据库以及策略决定是否允许该用户访问网络资源,并将认证结果通知NAS,进而由NAS接受或拒绝该用户对于网络的访问请求。

1) 网络防火墙技术

防火墙的原意是指大楼建筑中用于将火灾隔离于一定区域的墙体。信息技术借用这个词汇是指用于将网络危险和内部网络隔离开来的软硬件设施。具体来说,防火墙是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。

2) 安全加密技术

加密技术的出现为全球电子商务提供了保证,从而使基于Internet上的电子交易系统成为了可能,因此完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道。

3) 网络主机的操作系统安全和物理安全措施

防火墙作为网络的第一道防线并不能完全保护内部网络,必须结合其他措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措施。按照级别从低到高,分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全;同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。这些构成整个网络系统的第二道安全防线,主要防范部分突破防火墙以及从内部发起的攻击。系统备份是网络系统的最后防线,用来遭受攻击之后进行系统恢复。在防火墙和主机安全措施之后,是全局性的由系统安全审计、入侵检测和应急处理机构成的整体安全检查和反应措施。它从网络系统中的防火墙、网络主机甚至直接从网络链路层上提取网络状态信息,作为输人提供给入侵检测子系统。入侵检测子系统根据一定的规则判断是否有入侵事件发生,如果有入侵发生,则启动应急处理措施,并产生警告信息。而且,系统的安全审计还可以作为以后对攻击行为和后果进行处理、对系统安全策略进行改进的信息来源。

总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。

3 如何保障网络安全

1) 意识安全,认识到信息的安全风险,评估系统的应用风险制定合理的管理安全策略。

2) 概念安全,界定自身的安全区域,保证区域安全。

3) 拓扑安全,划分安全类别,对不同的数据应用进行不同级别的安全保护。

4) 接入安全,把好各网络进出口,设置策略路由或防火墙,实施访问控制。

5) 访问规则安全,定义好访问规则,科学分配访问控制权限。

参考文献:

[1] 柳纯录.信息系统项目管理师教程[M].2版.北京:清华大学出版社,2008.

[2] 周碧英.浅析计算机网络安全技术[J].甘肃科技,2008(3).

[3] 孙晓南.防火墙技术与网络安全[J].信息科技,2008(3).