信息化网络安全应用

摘要:该文从分析信息化网络安全现状与威胁,给出解决问题的应对措施,并对安全工作改善提出建议,为信息化网络安全应用提供参考。

关键词:信息化 ;网络;安全

中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)09-2102-02

Information-based Network Security Applications

ZHU Wei-xiong

(Zhaoqing Yingyi Information Technology Co., Ltd. Zhaoqing 526040, China)

Abstract: This paper from the analysis of information network security status and threats, are given to solve the problem of response measures, and to make recommendations to improve safety for the information-based network security applications to provide reference.

Key words: information technology; networking; security

信息化网络正高速发展,人们越来越多利用网络进行一些如银行事务,电子邮件、电子商务和自动化办公等应用,给社会、企业、个人带来方便,但网络特别是互联网的开放性、互联性、匿名性也给网络应用带来了安全隐患。

1 网络的安全威胁

国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。网络安全面临威胁来自多方面,并随着时间变化而更新着,网络的威胁主要有:

1) 由于在广播网络系统中,每个结点都可以读取网上传送的数据,网络体系结构允许监视器接受网上传送的所有数据,使得窃取网上的数据或非授权访问变得很容易。

2) 利用重放数据帧的方法,产生被授权的效果,假冒另一实体进行网络非授权活动。

3) 网络资源的非授权使用,与所定义的安全策略使用不一致,非法越权使用网络资源。

4) 破坏数据完整性,包括设备故障或人为有意无意破坏修改系统信息。

5) 受到网络攻击使网络设备或数据遭到破坏,并可能产生拒绝某种网络服务功能的后果。

2 信息化网络安全应用

信息化网络应用既有保密性和稳定要求较高信息系统子网,又有互联网接入易遭攻击的资源共享子网,需要对信息系统均衡、全面的保护。充分、全面、完整地对系统的安全漏洞和安全威胁进行分析强调安全防护、监测和应急恢复,目前网络安全检查措施有数据备份、防火墙、数据加密、数字签名、身份认证、入侵检测、病毒防护等提供多层次全方位防护。

1) 数据备份与数据恢复能最大限度地降低系统风险不仅备份系统中数据,还备份网络中安装的应用程序、数据库系统、用户设置、系统参数等信息,及时迅速恢复整个网络。硬件备份方案有磁盘镜像、磁盘阵列(RAID),双机容错等,可以防止部分物理故障。磁盘镜像在每次向文件服务器的主磁盘写入数据采用写后读校验,将数据再同样写到备份磁盘上,但未能使服务器的磁盘I/O速度提高,一般应用在分支机构作数据备份。磁盘双工应用二级容错技术,在磁盘控制器出现故障时,起到数据保护作用,数据库服务器一般采用磁盘冗余阵列, RAID5技术磁盘数据I/O、效率、容量利用率较高,其中RAID6和RAID7是RAID5的改进版有条件可考虑使用。

2) 防火墙硬件将网络分为内网和外网,能有效地监视内部网络和Internet之间活动,保证内部网络的安全,只有内部访问策略授权的通信才能被允许通过。在物理实现上,防火墙是一组硬件设备,路由器、计算机或其他特定的硬件设备。防火墙有包过滤防火墙、应用防火墙,工作层次越高,则工作效率越低,安全性越高,较小的分支机构可以使用基于路由器的防火墙,公司内部使用具有安全操作系统的防火墙,由内到外,由外到内业务均经过防火墙,严格限制外部网络用户进入内部具有抗穿透攻击能力。

3) 数据加密就是通过一种方式使信息变得混乱,从而使未被授权的人看不懂它。主要存在两种主要的加密类型:私钥加密和公钥加密。VPN和IPsec用于各分支机构的互联传输方面,通过信息重新组合使得只有通信双方才能解码并还原信息,一般采用DES和RAS技术,通信双方通过加/解密函数和密钥对通讯信息加密解密而使信息得以保护不被监听。

4) 数字签名与手写签名一样,使得收信人可以确认消息来自发信者,收信者不能编造或改变信息,发信者也不能否认,多应用在电子商务方面,较多使用报文摘要算法(MD5)和安全散列算法(SHA),SHA算法速度比MD5较慢但安全性较高。

5) 身份认证要求用户使用一项网络服务前需输入用户名及密码,实现用户的身份认证,并给用户一定的使用权限。可给硬件如虚拟专用网(VPN)、服务器、路由器等,软件操作系统、应用软件进行加密保护,权限外用户将无法使用功能。

6) 反病毒软件是最常用安全保护措施之一,较常见的病毒有寄生病毒、存储器驻留病毒、引导区病毒、隐形病毒、多形病毒等。可采用较先进的类属解密对多形病毒进行激活解密自身结构,使得反病毒程序可以容易检出甚至复杂的多形病毒,同时保持较快的扫描速度。数字免疫当病毒进入系统,免疫系统立刻能识别来,对它进行分析隔离,并将这个病毒信息传递到其他地方,使它运行前能被检测出来。

7) 入侵检测是一种积极主动的安全防护技术,提供了对内部入侵、外部入侵和误操作的实时保护,在监视或者可能的情况下,对可能损害系统的机密性、完整性或可用性等行为进行检测,通过监视受保护系统的状态和活动,阻止入侵或者试图控制网络系统或资源,采用异常检测或误用检测的方式,监视限制非授权或恶意的系统及网络行为,为防止入侵行为提供有效的方法。随着时代的发展,入侵检测技术将朝着三个方向发展:分布式入侵检测、智能化入侵检测和全面的安全防御方案。

8) 虚拟专用网(VPN)就是在公用网上建立分支机构或项目部互连的专用虚拟网络。VPN之外用户无法访问VPN内部网络资源,VPN内部用户之间可以实现安全安全通信。在Internet上建立隧道技术可以在不同协议层如数据链路层、网络层实现。利用点对点协议(PPP),可传送多种上层隧道协议(PPTP、L2TP),创建隧道就地址分配、加密、认证和压缩等参数进行沟通,也可利用SSL VPN、IPsec VPN协议建立秘密隧道,使用预加密、数据完整性和身份认证技术。

3 信息化网络安全建议

1) 信息安全不仅是技术问题,也是管理问题,要高度重视信息安全管理,在加强信息系统的软硬件建设的同时,对信息安全管理工作也不能松懈和忽视。企业的信息安全政策不应再单单是信息部门的责任,企业对于组织安全的认知,应通过整体安全分析与定期安全检查获得提升。

2) 严格执行信息安全标准,减少内部的弱点和威胁,使安全隐患不再有机可乘。对于安全事件的处置,提倡强制实施应变作业流程,并针对特定目标提供安全训练,协助建立必要的作业程序,经常性对网络进行检测,扫描网络系统的安全漏洞,以及时发现安全隐患、及时打上补丁,降低并控制安全事件的损害。

3) 信息安全技术的日新月异,使得安全管理有着很大的不确定性。再严密的安保措施也不能保证网络安全的万无一失,因此必须增强信息安全管理的危机处理能力,将危机处理程序标准化,在危机来临之际,采取有效措施,积极将损失减少到最小程度。同时针对各种安全事件拟定一套顺畅且有效的应变措施,如为了封堵某一网络蠕虫病毒的传播,自动配置防火墙,阻塞已中病毒主机的IP地址或者该病毒传播所利用的TCP/UDP端口等等。

4) 网络安全和信息安全是信息资源共享的前提,发展信息化必须高度重视信息网络安全体系的建设。安全体系的建立并不是单一技术的堆叠,而应是整体预防体系,积极争取网络安全认证机构的合作和支持,同时加强信息安全技术平台的建设,加强企业内部的安全技术建设和监察管理工作,保障信息网络安全。

4 结束语

随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。只有重视信息化网络安全工作,才能使网络稳定运行,实现安全访问可控性,数据储存完整性,数据传送保密性,商务活动认证性等目标,从而更好地为计算机网络增值服务。

参考文献:

[1] 雷震甲.网络工程师教程[M].北京:清华大学出版社,2006.

[2] 张公忠.现代网络技术教程[M].北京:电子工业出版社,2000.

[3] 李宏乔,杨峰.宽带网络技术原理[M].北京:机械工业出版社,2002.