计算机网络安全体系结构研究
2015-06-12直敏
直 敏
(盘锦职业技术学院 信息系,辽宁 盘锦 124000)
0 引 言
自从上世纪60年代末互联网诞生至今,计算机网络的发展速度飞快,几乎超出了人类的想象。计算机网络在人类生活中的应用越来越广泛,全球不计其数的交友、购物等网站掌握着亿万用户的个人信息,近年来发生的诸如“3Q”大战、安卓APP木马软件等,近日更爆出好莱坞艳照门事件,令每个网络用户都忧心忡忡,担心自己的个人信息或隐私被窃。如今人类生活已经离不开网络,面对如此现状,计算机网络安全问题亟待解决。
1 计算机网络安全体系结构的设计
中国互联网网络安全报告显示,去年国家互联网应急中心(CNCERT)共接收境内网络安全事件报告30 684起,较2012年增长71.2%[1]。其中感染病毒的比例为83.6%,病毒新增301万个。应对的手段主要包括有网络防火墙技术、信息加密技术、身份认证技术等[2]。但只有建立一个系统完整的防范体系,才能有效地维护计算机网络安全。
1.1 网络防火墙技术设计
防火墙技术是目前最为普遍也最为经济的网络安全技术,所谓防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障[3]。网络防火墙是保障网络安全网的第一道“城墙”,创建一个网络,首先就是要安装并开启防火墙,网络防火墙基于源地址和目的地址、应用、协议以及每个IP包的端口来判断是否通过该包,它可以检查每一条规则直至发现包中的信息与某规则相符,否则就会使用默认规则要求丢弃该包。其次,通过定义基于TCP或UDP数据包的端口号,网络防火墙能够判断是否允许建立特定的连接,如Telnet,FTP连接。内外网的所有连接都必须经过网络防火墙,实现了内外网的访问控制和隔离,对内部网络进行监控,对可疑入侵动作进行分析、阻止和记录,保护了内部网的安全[4]。防火墙工作原理如图1所示。
图1 防火墙工作原理
但是网络防火墙并不是一夫当关,第一,不管各种防火墙开发者如何吹嘘,网络防火墙不能防病毒;第二,支持实时服务请求要求数据在网络防火墙之间的更新不能延迟过大;第三,网络防火墙采用的滤波技术通常使网络的性能降低52%以上,一般高速路由器的价格并不经济。
1.2 信息加密技术设计
图2 Diffe-Hellman公开密钥密码算法过程
作为网络安全的另一个重要技术,信息加密技术是利用数学或物理手段,对电子信息在传输过程中和存储体内进行保护,以防止泄漏的技术。通过密码算术对数据进行转化,使其变成没有正确密钥就无法读懂的报文。密钥是指含有用来以数学方式转换报文的双重密码。目前,转换算法标准已经有200多种,世界上最流行的几种加密体制和加密算法有:RSA算法、CCEP算法、DES算法等。主要分为私钥加密算法和公钥加密算法,如图2所示。
RSA算法是第一个能同时用于加密和数字签名的算法,也易于理解和操作。RSA是被研究的最广泛的公钥算法,RSA密钥长度随着保密级别提高,增加很快。对同一安全级别所对应的密钥长度,见表1。
表1 RSA算法安全级别密钥长度对照表
DES算法是比较高对称加密系统,有效密钥长度只有56位,加密速度快是它的特色,但是就安全程度而言,已经不能满足现代计算机的要求,而RSA算法经历了各种攻击的考验,被认为是目前最优秀的公钥方案之一。
密码技术从古沿用至今,经历了几千年的变化,曾在战争年代保护军方信息,如今在和平年代同样保护着我们的生活。在计算机网络中采用密码技术对传输和储存的数据进行加密,即使路由器、交换机等被未被授权的用户入侵,传输的数据被截获或者储存的数据被木马侵蚀,由于用加密算法进行了转换,窃取者无法得到正确的密钥,从而得知数据内容的可能性微乎其微。但是任何密码都有被破译的一天,这也是密码加密技术不断发展的动力,光靠信息加密技术保护计算机网络安全是不能长久有效的,加密算法在不断地创新,科技技术也在不断发展,在此消彼长的进程中,我们要创造出比加密算法更为可靠的计算机网络安全的保护措施[5]。
1.3 身份认证技术
计算机网络中用户的身份信息都是用特定的数据来表示,计算机只能识别这组数据。身份认证技术保证了以数字身份进行操作的操作者的物理身份与数字身份相对应,作为防护网络资产的第一道关口,身份认证有着举足轻重的作用。常见的认证方式有静态密码、IC卡、短信密码、动态口令等。应用最多的当属静态密码,各大网站和各类客户端大多采取用户名和静态密码来进行身份认证,这种身份认证方式保密程度较低,多是在固定终端时使用。IC卡和短信密码较之静态密码又多了一层保护,不仅要对静态密码进行识别,更要对固定介质进行身份认证,但是仍然不能避免被截取的可能。而动态口令具有随机性、一次性、动态性等特点,较之前几种认证方式更为优越,动态口令往往每60s变化一次,过期失效,即使被监听也往往因为时效性而保证了数据安全。但是该密码这么短的时间里也同样存在风险,现在已有基于事件同步的双向认证动态口令牌,以用户动作触发的同步原则,做到了一个密码只用一次,把每个用过的密码写入日记,并且由于是双向认证,服务器客户端相互验证,从而杜绝被木马窃取密码的可能[6]。动态口令身份认证的方式如图3所示。
目前87%以上的世界500强企业都使用动态口令身份认证方式来保护登录安全,其被广泛应用在网上银行、电子政务、电子商务等领域。
2 计算机网络安全体系结构的实现
通过全面了解计算机网络,整个网络措施应按系统体系建立。具体由物理安全、网络安全、信息安全等组成安全控制系统。
首先,网络防火墙实现了内外网的隔离及访问控制。防火墙设置在内部网与外部网之间,有效地保护内部网安全,也是最经济的措施,它也是不同网络之间唯一的信息出入口[7]。网络防火墙主要的种类是包过滤型,能根据用户的安全政策来控制出入网络的信息流,起到允许、拒绝、监测的关键作用,同时可实现网络地址转换与实时告警等功能。由于网络防火墙安装内部网络与外部路由器之间的通道上,也起到隔离内部网络与外部网络的作用。在不同的内部网络之间,防火墙也起到隔离保护的作用。通过在交换机上划分虚拟局域网,可以将整个网络划分为几个不同的广播域,实现内部不同网段的物理隔离,能有效防止一个网段的错误或者危险传播整个网络[8]。有时,一个局域网的某个网段比另一个网段更受信任或者更敏感,将信任网段或者敏感网段与不信任网段或者不敏感网段划分在不同虚拟局域网段内,可以有效阻止局部网络安全问题影响全局网络,造成严重后果。
图3 动态口令身份认证过程
其次,对数据信息安全的保护至关重要。随着计算机网络的应用越来越广泛,用户在网络上存储、传输的数据信息也越来越多,甚至商业机密、企业内部资料、个人隐私都在网络云端存储,通过内部网络或者个人组建的局域网进行传输。通过加密技术对数据进行加密,用加密算法将重要的数据进行转换,即使数据在传输中被木马截取,没有正确的密钥,也无法知悉其数据中真实的内容。同样,被存储在终端或者云端的数据也有可能在防火墙被木马攻破的时候被黑客窃取,只要之前对其进行了加密转换,黑客所窃取的也只不过是一串数据而已。
最后,在用户管理方面,每一个用户都匹配一个唯一的用户名和密码。对于内部网络而言,每一个用户都有自己不同的身份,并在操作数据时要求进行身份认证或者授权。当登录到外部网络时,对存储有用户信息的重要文件都要进行严格的身份认证和授权限制,确保了用户身份的真实性和合法性及访问权限的控制。因此,当用户到网站管理员处申请身份口令时,建议用户使用复杂不易被猜测出的口令、密码,并且为了加强信息保护的安全性,可以使用比静态密码更有力的身份认证方式,如USB KEY、动态口令等认证方式[2]。几种认证方式的结合,改良了密码的静态性、固定性、重复性等缺点,有效地防止了用户口令、密码被木马窃取,使存储在外部网络的数据的安全性得到保障。这种组合认证已经被广泛应用,网上银行、支付宝等都提示用户使用这种更高级的身份认证方式,以保护用户的财产利益。
3 结 语
随着计算机技术的不断发展和网络应用的演变,计算机网络在人类生活中的作用不可估量,伴随的网络安全问题也日渐增多,危害网络安全的犯罪行为已经大量出现,因此,我们要重视网络安全问题并采取积极有效的应对措施,要从现在网络实际情况出发,构建一个完整的网络安全防御系统,内外结合、相互协调、相互制约,采用合作的方式但是又发挥各自的优势,取长补短,经济、有效、稳定地保护计算机网络的安全。
[1] 赵中营,徐佩锋.网络安全技术及缺陷[J].计算机光盘软件与应用,2013(17):20-22.
[2] 潘泓宇.计算机网络安全方案的设计与实现[J].硅谷,2011(11):80-81.
[3] 刘斌.计算机网络安全方案的设计与实现[J].淮北职业技术学院学报,2011(3):123-124.
[4] 仇宇.Internet网络安全与防火墙技术的探讨[J].绵阳师范学院学报,2004(5):28-30.
[5] 李学勇,屠全良.网络安全的现状及发展趋势[J].太原大学学报,2005,4(2):35-36.
[6] 应合理.计算机网络安全综述[J].西北建筑工程学院学报,2002,19(3):56-58.
[7] 王秋华,章坚武,骆懿.网络安全体系结构的设计与实现[J].杭州电子科技大学学报,2005(10):43-44.
[8] 刘棣华,黄春梅,杨子一,等.网络安全与入侵检测[J].长春工业大学学报:自然科学版,2002,23(S0):24-25.