浅析计算机网络安全
2014-07-08李长红
李长红
(中电投江西核电有限公司,江西九江 332000)
浅析计算机网络安全
李长红
(中电投江西核电有限公司,江西九江 332000)
本文介绍了网络环境下信息安全技术和所要解决的问题,重点对网络安全策略和几种常见的安全技术进行了谈论(如数据加密、防火墙技术、入侵检测技术、身份认证技术等),并对网络信息安全技术的发展趋势进行了展望。
网络安全技术
1 计算机网络安全概述
随着现代网络中的应用越来越复杂,安全问题以出人意料的速度增长,并且在攻击方式、攻击目标上呈现多样化发展趋势。对近两年来黑客和病毒对网络所造成的威胁进行总结,可以看出三个特点:
(1)攻击手段多样化。(2)混合攻击主流化。(3)零日漏洞趋势化。
复杂的网络应用,伴随而来的是不断出现的是应用漏洞,借助于这些无法规避的漏洞,黑客可通过多种手段入侵网络,而且这种从漏洞发现到被黑客利用的时间间隔越来越短,呈现“零日漏洞”状态,如何做好中小型企业信息安全工作将显得至关重要。
2 网络安全因素
2.1 客观因素
(1)网络资源的共享性。资源共享在为我们提供方便的同时,也为系统安全的攻击者通过共享资源进行破坏提供了机会。(2)网络操作系统的漏洞。操作系统漏洞是计算机操作系统本身所存在的问题或技术缺陷。由于网络协议实现的复杂性,决定了操作系统必然存在各种的缺陷和漏洞。(3)网络系统设计的缺陷。网络设计是指拓扑结构设计和各种网络设备的选择等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患。(4)网络的开放性。任何一个用户都可以通过互联网找到自己想要获取的信息。(5)恶意攻击。恶意攻击就是人们常见的黑客攻击及网络病毒,是最难防范的网络安全威胁。随着电脑的大众化,这类攻击越来越多,影响也越来越大。现在黑客攻击方式虽然千变万化,但都有一个共同点,就是使受害主机或网络无法及时接收并处理外界请求。具体表现方式有以下几种:
(1)制造大流量无用数据,造成通往被攻击主机的网络拥塞,使被攻击主机无法正常和外界通信。(2)利用被攻击主机提供服务或传输协议上处理重复连接的缺陷,反复高频的发出攻击性的重复服务请求,使被攻击主机无法及时处理其它正常的请求。(3)利用被攻击主机所提供服务程序或传输协议的本身实现缺陷,反复发送畸形的攻击数据引发系统错误而分配大量系统资源,使主机处于挂起状态甚至死机。
2.2 主观因素
主要是计算机系统网络管理人员缺乏安全防范意识和必备技术能力。
3 常用的网络安全技术
由于网络所带来的诸多不安全因素,使得网络使用者必须通过采取相应的网络安全技术来堵塞安全漏洞。网络安全技术能从不同角度来保护网络不受侵犯,保证网络信息系统的安全运行,网络安全基本技术主要包括网络加密技术、防火墙技术、身份验证技术、网络防病毒技术、UTM技术、桌面管理技术和入侵检测技术IDS。
3.1 网络加密技术
网络加密的目的是保证数据传输的安全性。加密技术是保证网络安全最有效的技术之一,加密不但可以防止非授权用户窃听,而且还是对付恶意软件的有效方法之一。数据加密可以通过在通信的三个层次来实现:链路加密、节点加密和端到端加密。
3.1.1 链路加密
链路加密的目的是保护网络节点之间的链路信息安全。链路加密是所有消息在被传输之前均需进行加密,并对每一个节点接收到的消息进行解密,再使用下一个链路的密钥对消息进行加密并进行传输,直到在到达目的地之前,一条消息可能要经过许多通信链路的传输。 链路加密通常用在点对点的同步或异步线路上,它要求先对在链路两端的加密设备进行同步,然后使用一种链模式对链路上传输的数据进行加密。
3.1.2 节点加密
节点加密的目的是对源节点到目的节点之间的传输链路提供加密保护。节点加密是指节点处采用一个与节点机相连的密码装置,密文在该装置中被解密并被重新加密。节点加密要求报头和路由信息以明文形式传输,以便中间节点能得到如何处理消息的信息。
3.1.3 端对端加密
端点加密的目的是对源端用户到目的端用户的数据提供加密保护,端到端加密是数据从源点到终点的传输过程中始终以密文形式存在。采用端到端加密,消息在被传输到达终点前的整个传输过程中均受到保护不再进行解密,即使出现节点被损坏也不会发生消息泄露事件。
3.2 防火墙技术
防火墙技术是设置在被保护网络和外部网络之间的一道屏障,用来保护网络的安全,防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力,它是提供信息安全服务、实现网络和信息安全的基础设施。防火墙的组成可以表示为:防火墙=过滤器+安全策略+网关+验证工具,在网络中它可对信息进行分析、隔离、限制,既可限制非授权用户访问敏感数据,又可允许合法用户自由的访问网络资源,从而保护网络的安全。
3.3 身份验证技术
身份验证技术是用户向系统出示自己身份证明的过程,身份认证是系统查核用户身份证明的过程,这两个过程是判明和确认通信双方真实身份的两个重要环节,这两项工作统称为身份验证。它的安全机制在于首先对发出请求的用户进行身份验证,确认其是否为合法的用户,如是合法用户,再审核该用户是否有权对他所请求的服务或主机进行访问。
3.4 网络防病毒技术
病毒预防技术就是通过一定的技术手段防止计算机病毒对系统的传染和破坏。计算机病毒具有不可估量的威胁性和破坏力,针对现在大多数中小型企业采用的“Client-Server”的工作模式,如何做好网络防病毒方法和技术是将是一件非常重要的事情。
3.5 UTM技术
UTM是将多种安全能力(尤其是传统上讲的防火墙能力、防病毒能力、攻击保护能力)融合在一个产品之中,实现全面立体一体化防御的安全解决方案。UTM产品作为安全的多面手,其基础应用不可忽视,目前在技术上,UTM主要从两个方面来提高网络安全的:
一类是以高性能防火墙为基础的UTM设备。这类设备一般都集成了全功能的防火墙,并在此基础上加入VPN、IDS、防病毒等功能,并取代防火墙。另一类是以高端IPS为基础,不断演化出UTM设备,包括防火墙、VPN、带宽管理、网页内容过滤等安全模块都会被安放到IPS的平台之上。这种方法对于IPS的性能、误报率、可靠性的要求都相当高,但是带来的好处也是显而易见,鉴于IPS的优势,可以对日益增多的系统渗透与复合攻击进行阻断与控制。对于以IPS为基础的UTM产品,所集成的防火墙必须是全功能产品,特别是像NAT、动态端口等功能都要支持。如果仅仅集成了精简版的防火墙,那么延伸到高端应用的UTM就会不合适。
3.6 桌面管理技术
与19世纪意大利经济学者帕累托得出的80/20法则相反,目前80%的安全隐患来自网络内部,因此对于企业网络来说,管理内部网络成为了首要任务。桌面管理技术就是这样一种针对企业网络内部终端管理的技术,这种管理技术引入了多种安全手段,从终端的桌面管理入手,对终端的操作系统、应用软件、外围设备进行管理。它可以直接控制终端运行的应用软件,使用的硬件,通过配合杀毒系统、补丁系统等,它能够自动对终端进行全面体检,自动杀毒、自动打补丁;除此之外,通过桌面管理技术,还可以实现终端之间端到端的访问控制,从而达到防止非法终端入侵内部网络的可能性。
3.7 入侵检测技术IDS
IDS通过抓取网络上的所有报文,分析处理后,形成异常报告,并提供重要的数据和行为模式分析报告,使网络安全管理员清楚地了解网络上发生的事件,并能够采取行动阻止可能的破坏。它既是一种实时检测系统,也是记录审计系统,可以做到实时保护,事后分析取证,同时它通过与防火墙的联动,可以更有效的阻止非法入侵和破坏。
4 网络信息安全技术发展趋势
随着网络技术的日益普及,以及人们对网络安全意识的增强,许多用于网络的安全技术得到强化并不断有新的技术得以实现。不过,从总的看来,信息安全问题并没有得到所有单位领导的重视,致使很多单位的网络信息安全的保护还处于初级阶段,有的甚至不设防。所以,在安全技术提高的同时,提高人们对网络信息安全的认识是非常必要的。随着信息安全技术的发展,基于UTM、IDS和桌面管理安全产品将成为今后市场的主流。
5 结语
计算机网络的安全问题,不是通过一两种设备、几套方案就能一劳永逸解决的,对于企业网络系统来说,要想很好的保证计算机网络的安全运行,有必要采用以下几条建议:
(1)以人为本,建立完善的管理规范,从制度上保障网络安全。(2)遵从2/8原则,明确80%的安全威胁来自企业网络内部,加强内部终端桌面安全,保障终端之间点对点通信安全。(3)借助当今先进的IPS、IDS、UTM等技术,建立完善的过虑、防范、预警机制,快速分析各种网络攻击,用快速反应来降低攻击带来的损失。(4)采用必要的冗余机制,保障关键网络设备、网络应用不会因某一攻击全面瘫痪。
[1]陶阳.计算机与网络安全.重庆:重庆大学出版社,2005.
[2]陈斌.《计算机网络安全与防御》.信息技术与网络服务,2006.
This article describes the information security technology and the problems should be solved under the network environment. .It focuses on the network security tactics and common network information security technology, such as data encryption firewall technology, instrution detection,authentication technology. It also researches on the development trend of the information safe practice of the network.
Network Security Technology