网络安全技术的研究
时间:2022-09-28 05:11:33
摘要:该文系统地介绍了网络安全的概念。对安全协议的基本原理,主要特点进行了较为深入的研究,并就网络的安全性问题剖析了三种安全协议:IPsec协议、SLL协议和SET协议。并讨论了计算机网络面临的各种安全威胁;内部网络的安全问题是每个建网单位面临的最大问题,可以认为防火墙技术是解决网络安全的一个主要手段,该文研究了防火墙的原理及其实现手段;作为一种主动的防御措施,入侵检测系统(IDS)作为网络系统安全的重要组成部分,得到了广泛的重视,IDS对计算机和网络资源上的恶意使用行为进行识别和响应,不仅检测来自外部的入侵行为,也监督内部用户的未授权活动:虚拟专用网(CVPN)技术的出现,为实现网络间的连接提供了快速安全但又相对便宜的手段,较深入地探讨了实现VPN的隧道技术,并对VPN的概念、功能、实现途径、基本构成、关键技术及发展前景等问题进行了全面论述。
关键词:网络入侵;入侵检测系统;信息安全
中图分类号:TP311 文献标识码:A文章编号:1009-3044(2009)35-9947-05
Network Safety Technology Research
ZHENG Xiao-xia
(The Basis of Teaching and Research, Dezhou Vocational and Technical College, Dezhou 253000, China)
Abstract: With the rapid development of networks, network information security problems are exposed. In this paper, the Intrusion Detection System Network Intrusion Detection System (NIDS) in the analysis, the network's invasion of the modules have carried out analysis and analysis of the system's strengths and weaknesses and development trends.
Key words: network intrusion; intrusion detection systems; information security
1 前言
1.1 因特网的发展及其安全问题
随着计算机网络应用的广泛深入,网络安全问题变得日益复杂和突出。网络的资源共享、信息交换和分布处理提供了良好的环境,使得网络深入到社会生活的各个方面,逐步成为国家和政府机构运转的命脉和社会生活的支柱。这一方面提高了工作效率,另一方面却由于自身的复杂性和脆弱性,使其受到威胁和攻击的可能性大大增加。众所周知,因特网是世界上最大的计算机网络,它连接了全球不计其数的网络与电脑。同时因特网也是世界上最开放的系统,任何地方的电脑,只要遵守共同的协议即可加入其中。因特网的特点就是覆盖的地理范围广,资源共享程度高。由于因特网网络协议的开放性,系统的通用性,无政府的管理状态,使得因特网在极大地传播信息的同时,也面临着不可预测的威胁和攻击。网络技术越发展,对网络进攻的手段就越巧妙,越多样性。一方面由于计算机网络的开放性和信息共享促进了网络的飞速发展,另一方面也正是这种开放性以及计算机本身安全的脆弱性,导致了网络安全方面的诸多漏洞。可以说,网络安全问题将始终伴随着因特网的发展而存在。所以,网络的安全性同网络的性能、可靠性和可用性一起,成为组建、运行网络不可忽视的问题。
1.2 我国网络安全现状及其相关法律与制度
1.2.1 我国网络安全现状
2007年“熊猫烧香”病毒的制作者成功抓获并被判刑,说明了政府高度重视网络安全问题。目前,国家依据信息化建设的实际情况,制订了一系列法律文件和行政法规、规章,为我国信息化建设的发展与管理起到了有利的促进和规范作用,为依法规范和保护我国信息化建设健康有序发展提供了有利的法律依据。
1.2.2 我国网络安全相关法律与原则
2003年中办下发的《关于加强信息安全保障工作的意见》是目前我国信息安全保障方面的一个纲领性文件。
我国网络信息安全立法的原则
1)国家利益原则。当今天信息已成为社会发展的重要战略资源,信息安全成为维护国家安全和社会稳定的一个焦点。信息安全首先要体现国家利益原则。
2)一致性原则。要与在我国现行法律和国际法框架下制定的法律法规相一致,避免重复立法和分散立法,增强立法的协调性,避免立法的盲目性、随意性和相互冲突。
3)发展的原则。信息安全立法既要考虑规范行为,又要考虑促进我国国民经济和社会信息化的发展。
4)可操作性原则。要对现实有针对性,对实践有指导性。
5)优先原则。急需的先立法、先实施,如信息安全等级保护、信息安全风险评估、网络信任、信息安全监控、信息安全应急处理等方面要加紧立法。
2 网络安全协议
2.1 网络安全协议对维护网络安全的作用
Internet的开放式信息交换方式使其网络安全具有脆弱性,而实现网络安全的关键是保证整个网络系统的安全性。目前几乎网络的各个层次都指定了安全协议和具备了相应的安全技术,网络安全协议可很好的保护信息在网络中传播。在安全领域,一种“安全协议”被定义为“一种控制计算机间数据传输的安全过程。
2.1.1 第二层隧道协议(L2TP)
第2层隧道协议(L2TP)是点对点隧道协议(PPTP)的一个扩展,L2TP数据包在用户数据报协议(UDP)端口1701进行交换。ISP使用L2TP来建立VPN解决方案,使用该方案,用户可以在载波网络中更多地利用VPN的优点。由于L2TP符合国际标准,因此不同开发商所开发的L2TP设备的协同能力大大增强。L2TP VPN已经成为提供商使用的产品。在装有Cisco的网络中,端到端的服务质量(QoS)可以通过QoS技术的使用来保证IPSec负责数据加密,它同样也是一种国际标准。IPSec对每个数据包的数据进行初始认证、数据完整性检测、数据回放保护以及数据的机密性保护。从设计上来看,L2TP支持多协议传输环境,它能够使用任何路由协议进行传输,包括IP、IPX以及AppleTalk。同时,L2TP也支持任何广域网传送技术,包括帧中继、ATM、X.25或SONET,它还能够支持各种局域网媒质,如以太网、快带以太网、令牌环以及FDDI。L2TP使用因特网及其网络连接以使得终端能够颁布在各个不同的地理位置上。L2TP的最大安全之处在于它使用了IPSec,IPSec可以为连接提供机密性、数据包的认,以及保护控制信息和数据包不被重新发送。
2.1.2 IPSec的技术优势:
为数据的安全传输提供了身份验证、完整性、机密性等措施,另外它的查验和安全与它的密钥管理系统相连。因此,如果未来的密钥管理系统发生变化时,IPSec的安全机制不需要进行修改。当IPSec用于VPN网关时,就可以建立虚拟专用网。在VPN网关的连内部网的一端是一个受保护的内部网络,另一端则是不安全的外部公共网络。两个这样的VPN网关建立起一个安全通道,数据就可以通过这个通道从一个本地的保护子网发送到一个远程的保护子网,这就形成了一条VPN。在这个VPN中,每一个具有IPSec的VPN网关都是一个网络聚合点,试图对VPN进行通信分析将会失败。
目的是VPN的所有通信都经过网关上的SA来定义加密或认证的算法和密钥等参数,即从VPN的一个网关出来的数据包只要符合安全策略,就会用相应的SA来加密或认证(加上AH或ESP报头)。整个安全传输过程由IKE控制,密钥自动生成,所有的加密和解密可由两端的网关,对保护子网内的用户而言整个过程都是透明的。
2.2 安全Shell(SSH)
安全Shell或者SSJ常用于远程登录系统,和过去使用的Telnet具有相同的目的。然而Telnet和SSH的最大区别是:SSH大大加强了其连接的安全性。SSH是一个应用程序,它为不可靠的、存在潜在危险的网络(如因特网)上的两台主机提供了一个加密的通信路径。因此,SSH防止了用户口令及其他敏感数据以明文方式在网络中传输。SSH解决了在因特网中最重要的安全问题:黑客窃取或破解口令的问题。
SSH拒绝数据IP欺骗攻击,保证能够是哪台主机发送了该数据。加密数据包,用以防止其他中间主机截取明文口令及其他数据。IP源路由选择,可以防止某台主机伪装它的上IP数据包来源于另一台可信主机。避免数据包传送路径上控制其他装置的人处理数据。SSH给安全领域带来一个很有趣的功能:即使用隧道的SSH技术转发某些数据包。FTP协议和X Windows协议都采用了这一功能。这中转发功能使SSH能够利用其他一些协议来控制主机终端与SSH连接的操作。你可能认为通过SSH连接的隧道将是一个很不错的VPN选择,但事实并非如此。一种更好的解决方案就是通过VPN连接的SSH隧道技术,因为这是一种很安全的连接发。总之,SSH是一个比较浒、用于加密网络TCP会话的工具,它最常用于远程登录以及增加网络的安全性。
3 网络安全技术
3.1 使用网络安全技术的意义
随着计算机网络技术的突飞猛进,网络安全的问题已经日益突出地摆在各类用户的面前。据统计资料表明,目前在互联网上大约有将近20%以上的用户曾经受过黑客的困扰。尽管黑客如此猖獗,但网络安全问题至今仍没有能够引起足够的重视,更多的用户认为网络安全问题离自己尚远,这一点从大约有40%以上的用户,特别是企业级用户没有安装防火墙便可以窥见一斑,而所有的问题都在向大家证明一个事实,大多数的黑客入侵事件都是由于未能正确安装防火墙引发的。
3.2 防火墙
防火墙(Firewall )技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,是抵抗黑客入侵和防止未授权访问的最有效手段之一,也是目前网络系统实现网络安全策略应用最为广泛的工具之一。防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入,可有效地保证网络安全。它是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它有效地监控了内部网和Internet之间的活动,保证内部网络的安全。
3.2.1 防火墙的种类
第一:从防火墙产品形态分类,防火墙可分为3种类型:
1)软件防火墙
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说,这台计算机就是整个网络的网关,俗称“个人防火墙”。软件防火墙就像其他的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络软件版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
2)硬件防火墙
硬件防火墙是指“所谓的硬件防火墙。之所以加上”所谓“二字是针对芯片级防火墙说的。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,它们都基于PC架构,也就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的UNIX、Linux和FreeBSD系统。值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。
传统硬件防火墙一般至少应具备三个端口,分别接内网、外网和DMZ区(非军事化区),现在一些新的硬件防火墙往往扩展了端口,常见的四端防火墙一般将第4个端口作为配置口、管理端口。很多防火墙还可以进一步扩展端口数目。
3)芯片级防火墙
芯片级防火墙基于专门的硬件平台及专用的操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。
第二:从防火墙所采用的技术不同,可分为包过滤型、型和监测型三大类型。
1)包过滤型
是防火墙的初级产品,其技术依据是网络中的他包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。优点是:简单实用,实现成本较低,在应用环境简单的情况下能够以较小的代价在一定程度上保证系统的安全。缺点是:只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入。
2)型
“型”防火墙也可以称为服务器,它的安全性要高于包过滤型产品,并已经开始实行向应用层发展。服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,服务器相当于一台真正的服务器;而从服务器来看,服务器又是一台真正的客户机。监测型
3)监测型
“监测型”防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙对各层的数据进行主动、实时的监测,在对这些数据加以分析的基础上,临测型防火墙有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探器,这些探测器安置在各种应用服务器和其他网络系统的节点之中,不仅检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用
第三:从网络体系结构来进行分类,可以将防火墙分为以下4种类型:
1)网络级防火墙
一般是基于源地址和目的地址、应用或协议,以及每个IP包的端口来做出通过与否的判断。网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。
2)应用级网关
也称“型”防火墙,它检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。但每一种协议需要相应的软件,使用时工作量大,效率不如网络级防火墙。
3)电路级网关
用来监近代受信任的客户机或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话是否合法,电路级网关在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高两层。另外,电路级网关还提供一个重要的安全功能:网络地址转换功能,将所有内部的IP地址映射到一个“安全”的IP地址,这个地址是由防火墙使用的。但是,作为电路级网关也存在着一睦缺陷,因为该网关是在会话层工作的,它就无法检查应用层级的数据包。
4)规则检查防火墙
该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样,规则检查闻讯火墙大OSI网络层上通过IP地址和端口号,过滤进出的数据包。可以在OSI应用层下检查数据包的内容,查看这些内容是否能符合公司网络的安全规则。规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,它并不打破客户机/服务器模式来分析应用层的数据,它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与旅游区在用层有关的,而是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级在过滤数据包上更有效。
第四:从防火墙的应用部署位置来分,可将防火墙分为3种类型
1)边界防火墙
这是最为传统的那种,它们位于内、外部网络的边蜀,所起的作用是对内、外部网络实施隔离,保护边界内部网络。这类防火墙一般都是硬件类型的,价格较贵,性能较好。
2)个人防火墙
安装于单台主机中,防护的也只是单台主机。这类防火墙应于广大的个人用户,价格最便宜,性能也最差。
3)混合式防火墙
也可以说就是“分布式防火墙”或者“嵌入式防火墙”,它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。
3.2.2 防火墙中的关键技术
在实现防火墙的众多技术中,如下技术是其实现的关键技术:
3.2.2.1 包过滤技术
包过滤技术是在网络中适当的位置上对数据包实施有选择的过滤。采用这种技术的防火墙产品,通过在网络中的适当位置对数据包进行过滤,根据所检查数据流中每个数据包的源地址、目的地址、所有的TCP端口号和TCP链路状态等要素,然后依据一组预定义的规则,以允许合乎逻辑的数据包通过防火墙进入到内部网络,而将不合乎逻辑的数据包加以删除。
优点:采用包过滤技术的包过滤防火墙具有明显的优点,
1)一个过滤由器协助防护整个网络
2)数据包过滤对用户透明
3)包过滤路由器速度快、效率高
缺点:通常它没有用户的使用记录,这样就不能从访问记录中发现黑客的攻击记录。配置烦琐也是包过滤防火墙的一个缺点。没有一定的经验,是不可能将过滤规则配置得完美的。
3.2.2.2 应用技术
技术是针对每一个特定应用服务的控制。它作用于应用层。其具有状态性的特点,能提供部分与传输有关的状态,起到外部网络向内部网络申请服务时的中间转接作用。内部网络只接受提出的服务请求,拒绝外部网络其它节点的直接请求。提供服务的可以是一台双宿网关,也可以是一台保垒主机。
3.2.2.3 状态检查技术
状态检查技术也称为应用层网关技术,是一种在网络层实现防火墙功能的技术。它是在应用层实现防火墙的功能,针对每一个特定应用进行检验。服务不允许直接与真正的服务通信,而是与服务器通信(用户的默认网关指向服务器)。各个应用在用户和服务之间处理所有的通信。
优点:1)易于配置。2)能生成各项记录。3)能灵活、完全地控制进出信息。4)能过滤数据内容。
缺点:1)速度比路由器慢。2)对用户不透明。3)对于每项服务,可能要求不同的服务器。4)服务通常要求对客户或过程进行限制。5)服务受协议弱点的限制。6)不能改进底层协义的安全性。
3.2.2.4 地址转换技术
地址转换技术是将一个IP地址用另一个IP地址代替。它主要应用于两个方面,其一是网络管理员希望隐藏内部网的IP地址。其二是内部网的IP地址是无效的。在此情况下,外部网不能访问内部网,而内部网之间主机可以互助访问。
3.2.2.5 内容检查技术
内容检查技术提供对高层服务协议数据的监控,以确保数据流的安全。它是一个利用智能方式来分析数据,使系统免受信息内容安全威胁的软件组合。
3.3 网络入侵检测
随着网络技术的发展,网络环境变得越来越复杂,网络攻击方式的不断翻新。网络系统的安全管理,是一个非常复检录烦琐的事情。入侵检测技术和漏洞扫描技术通过从目标系统和网络资源中采集信息,分析来自网络外部和内部的入侵信号和网络系统中的漏洞,甚至实时地对攻击做了反应。入侵检测系统和入侵保护系统是防火墙极其有益的补充,它能对非法入侵行为进行全面的临测和防护。在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。入侵检测技术被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供针对内部攻击、外部攻击和误操作的实时防护,大大提高了网络的安全性。
3.3.1 入侵检测系统技术
入侵检测系统技术可以采用概率统计方法、专家系统、神经网络、模式匹配、行为分析等来实现入侵检测系统的检测机制,以分析事件的审计记录、识别特定的模式、生成检测报告和最终的分析结果。
3.3.2 入侵检测系统
入侵检测系统的核心就是通过对系统数据的分析,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。将入侵检测的软件与硬件进行组合便是入侵检测系统。与其他安全产品不同的是入侵检测系统需要更多的智能必须可以对得到的数据进行分析,并得出有用的结果,一个合格的入侵检测系统能大大地简化管理员的工作,保证网络安全的运行。其实,入侵检测系统是一个曲型的“窥探设备”。它不跨接多个物理网段(通常只有一个监听端口,无须转发任何流量,而只需要在网络上被动地、无声无息地收集它所关心的报文即可。
3.4 虚拟专用网(VPN)
VPN是目前解决信息安全问题的一个最新、最成功的技术之一。所谓虚拟专用网(VPN)技术就是在公共网络上建立专用网络,使数据通过安全的“加密管道”在公共网络中传播。虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网络指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公有网络中建立专用的数据通信网络的技术。在虚拟专用网络中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的VPN为:“使用IP机制仿真出一个私有的广域网”,通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。
一个典型VPN的组成部分如图1所示。
图1各个组件作用如下:VPN服务器:接受来自VPN客户机的连接请求。VPN客户机:可以是终端计算机也可以是路由器。隧道:数据传输通道,在其中传输的数据必须经过封装。VPN连接:在VPN连接中,数据必须经过加密。隧道协议:封装数据、管理隧道的通信标准。传输数据:经过封装、加密后在隧道上传输的数据。公共网络:如Internet,也可以是其他共享网络。
3.5 访问控制的概念
访部控制是通过一个参考监视器,在每一次用户对系统目标进行访问时,都由它来调节,包括限制合法用户的行为。访问控制是信息安全保障机制的核心内容,它是实现数据保密性和完整性机制的主要手段。访问控制是为了限制访问主体(或称为发起者,是一个主动的实体;如用户、进程、服务等),对访问客体(需要保护的资源)的访问权限,从而使计算机系统在合法范围内使用;访问控制机制决定用户及代表一定用户利益的程序能做什么,及做到什么程度。所有的操作系统都支持访问控制。
访问控制的两个重要过程:1)通过鉴别(authentication)来检验主体的合法身份:2)通过授权(authorization)来限制用户对资源的访问级别。访问包括读取数据,更改数据,运行程序,发起连接等。访问控制所要控制的行为有以下几类:1)读取数据;2)运行可执行文件;3)发起网络连接等。
3.5.1 访问控制应用类型
根据应用环境的不同,访问控制主要有以下三种:1)网络访问控制;2)主机、操作系统访问控制;3)应用程序访问控制。由于本文讨论的主要为网络中的访问控制。所以主机、操作系统的访问控制
及应用程序的访问控制在这里就不做讨论。网络访问控制机制应用在网络安全环境中,主要是限制用户可以建立什么样的连接以及通过网络传输什么样的数据,这就是传统的网络防火墙。此外,加密的方法也常被用来提供实现访问控制。
3.5.2 强制访问控制(MAC)
强制访问控制与自主访问控制因实现的基本理念不同,访问控制可分为强制访问控制(Mandatory accesscontrol)和自主访问控制(Discretionary access control)。用来保护系统确定的对象,对此对象用户不能进行更改。也就是说,系统独立于用户行为强制执行访问控制,用户不能改变他们的安全级别或对象的安全属性。这样的访问控制规则通常对数据和用户按照安全等级划分标签,访问控制机制通过比较安全标签来确定的授予还是拒绝用户对资源的访问。强制访问控制进行了很强的等级划分,所以经常用于军事用途。在强制访问控制系统中,所有主体(用户,进程)和客体(文件,数据)都被分配了安全标签,安全标签标识一个安全等级。主体(用户,进程)被分配一个安全等级,客体(文件,数据)也被分配一个安全等级。访问控制执行时对主体和客体的安全级别进行比较。
用一个例子来说明强制访问控制规则的应用,如WEB服务以“秘密”的安全级别运行。例如WEB服务器被攻击,攻击者在目标系统中以“秘密”的安全级别进行操作,他将不能访问系统中安全级为“机密”及“高密”的数据。
4 网络安全策略
4.1 网络安全系统策略
从根本意义上讲,绝对安全的网络是不可能有的。只要使用,就或多或少地存在安全问题。我们在探讨安全问题的时候,实际上是指一定程度的网络安全。一般说来,网络的安全性通常是以网络的开放性、便利性和灵活性为代价的。计算机网络信息安全是一个复杂的系统工程,国际上普遍认为:它不仅涉及到技术、设备、人员管理等范畴,还应该依法律规范作保证,只有各方面结合起来,相互弥补,不断完善,才能有效地实现网络信息安全。这里仅从技术的角度探讨网络信息安全的对策。
4.2 网络安全系统策略的制定
4.2.1 物理安全策略
物理安全的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击;防止用户越权操作;确保网络设备有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入控制室和各种偷窃、破坏活动的发生。抑制和防止电磁泄漏是物理安全策略的一个主要问题。
4.2.2 数据链层路安全策略
数据链路层的网络安全需要保证通过网络链路传送的数据不被窃听,主要采用划分VLAN(虚拟局域网)、加密通信(远程网)等手段。信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。
4.2.3 网络层安全策略
网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络路由正确,避免拦截或监听。用于解决网络层安全性问题的主要有防火墙和VPN(虚拟专用网)。防火墙是在网络边界上通过建立起恶报相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入。
4.2.4 遵循“最小授权”策略
“最小授权”原则指网络中帐号设置、服务配置、主机间信任关系配置等应该为网络正常运行所需的最小限度。关闭网络安全策略中没有定义的网络服务并将用户的权限配置为策略定义的最小限度、及时删除不必要的帐号等措施可以将系统的危险性大大降低。
4.2.5 建立并严格执行规章制度的策略
在网络安全中,除了采用技术措施之外,制定有关规章制度,对于确保网络安全、可靠地运行将起到十分有效的作用。规章制度作为一项核心内容,应始终贯穿于系统的安全生命周期。一般来说,安全与方便通常是互相矛盾的。一旦安全管理与其它管理服务存在冲突的时候,网络安全往往会作出让步,或许正是由于一个细微的让步,最终导致了整个系统的崩溃。因此,严格执行安全管理制度是网络可靠运行的重要保障。
5 结论
当前,如何确保计算机网络的安全性是任何一个网络的设计者和管理者都极为关心的热点。由于因特网协议的开放性,使得计算机网络的接入变得十分容易。正是在这样得背景下,能够威胁到计算机网络安全的因素就非常多。因此,人们研究和开发了各种安全技术和手段,努力构建一种可靠的计算机网络安全系统。这种安全系统的构建实际上就是针对己经出现的各种威胁(或者是能够预见的潜在威胁),采用相应的安全策略与安全技术解除这些威胁对网络的破坏的过程。当然,随着计算机网络的扩大,威胁网络安全因素的变化使得这个过程是一个动态的过程。计算机网络安全系统的构建实际上是入侵者与反入侵者之间的持久的对抗过程。所以任何计算机网络安全体系一定不是可以一劳永逸地防范任何攻击的完美系统,人们力图建立的只能是一个动态的网络安全防护系统。它是一个动态加静态的防御,本文首先从多个角度研究了计算机网络的安全性,针对各种不同的威胁与攻击研究了解决它们的相应安全技术与安全协议。接下来,在一般意义下制定计算机网络安全系统设计的策略与原则,提出了计算机网络安全的实现模型。计算机网络安全取决于安全技术与网络管理两大方面。从技术角度来讲,计算机网络安全又取决于网络设备的硬件与软件两个方面,网络设备的软件和硬件互相配合才能较好地实现网络安全。但是,由于网络安全作为网络对其上的信息提供的一种增值服务,人们往往发现软件的处理速度成为网络的瓶颈,因此,将网络安全的密码算法和安全协议用硬件实现,实现快速的安全处理仍然将是网络安全发展的一个主要方向。另一方面,在安全技术不断发展的同时,全面加强安全技术的应用也是网络安全发展的一个重要内容。因为即使有了网络安全的理论基础,没有对网络安全的深刻认识、没有广泛地将它应用于网络中,那么谈再多的网络安全也是无用的。同时,网络安全不仅仅是防火墙,也不是防病毒、入侵监测、防火墙、身份认证、加密等产品的简单堆砌,而是包括从系统到应用、从设备到服务的比较完整的、体系性的安全系列产品的有机结合。除了网络安全技术,还要强调网络安全策略和管理手段的重要性。只有做到这些的综合,才能确保网络安全。本文尽管对计算机网络安全进行了较深入的研究。但是,计算机网络安全的问题是一个永久的课题,它将随着计算机技术、计算机网络的发展而一直存在、一直发展。计算机网络的威胁与计算机网络的安全防护的关系就象是“矛”和“盾”的关系一样,没有无坚不摧的矛、也没有无法攻破的盾。从理论上讲这种做法的正确的,但在具体的折中方法上就有大量的研究及实验工作可做。由于本文作者水平有限以及时间有限等的原因,本文的折中是有进一步研究和改进的必要的。总之,计算机网络安全技术是个永无止境的研究课题。
参考文献:
[1] Stallings W.网络安全要素一应用与标准[M].北京:人民邮电出版社,2000.
[2] 张小斌,严望佳.黑客分析与防范技术[M].北京:清华大学出版社,1999.
[3] 余建斌,黑客的攻击手段及用户对策[M].北京:人民邮电出版社,1998.
[4] 彭杰.计算机网络安全问题的探讨[M].现代电子技术,2002.
[5] 郝玉洁,.网络安全与防火墙技术[J].电子科技大学学报社科版,2002,4(1).
[6] 陈朝阳,潘雪增,平铃娣.新型防火墙的设计和实现[J].计算机工程,2002(11).
[7] 刘美兰,姚京松.入侵检测预警系统及其性能设计[C]//卿斯汉,冯登国.信息和通信安全CCICS'99:第1届中国信息和通信安全学术会议论文集.北京:科学出版社,2000.
[8] 陈晓苏,林军,肖道举.基于多的协同分布式入侵检测系统模型[J].华中科技大学学报:自然科学版,2002,30(2).
[9] 王惠芳.虚拟专用网的设计及安全性分析[J].计算机工程,2001(6).
[10] 张敏波.网络安全实战详解[M]北京:电子工业出版社,2008.
[11] Thomas T.网络经一阶[M].李栋栋,许健,译.北京:人民邮电出版社,2005.
