常用网络系统安全技术分析
2018-10-19彭城
彭城
前言:随着信息网络技术应用的深入,用户对于网络和信息系统的依赖日益提高。如何有效的保障信息网络的安全,已经成为一个十分重要的课题。对目前信息网络的安全应该从用户需求和网络实际情况出发,在系统安全、硬件安全、通讯安全、管理安全等多个方面加强管理。
关键词:网络系统安全防护硬件设备软件系统
在网络信息的安全防护中,需要采用各种安全设备、软件、网络设备、操作系统、专用设备、应用系统和网管系统等来共同实现网络中的运行安全、技术安全和管理安全的安全防护。要想对网络信息安全进行集中有效的管理,首先必然对这些设备和系统进行归纳、认识和了解,这些子系统共同存在、相互协作,构成计算机网络的“安全防护网”。
一、安全防护的手段
提到网络系统安全,首先被大家认可的应该就是防火墙了。防火墙主要用于划分内外网络边界并建立过滤机制和访问控制。一般情况下内部网络被认为是安全和可信赖的,外部网络通常被认为是不安全和不可信赖的。防火墙的作用就是防止不希望的、未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全级别。防火墙可以实现通过策略控制外部网络特定用户对内部特定资源的访问,根据策略对特定的数据内容进行过滤和控制;完整地记录网络的访问操作。
可见防火墙为计算机网络安全构建了第一道安全屏障,除此以外我们还应该考虑到病毒的威胁。计算机病毒是一种恶意的计算机程序,具有可自我复制性、传染性、潜伏性、破坏等。在网络环境上,它又具有传统环境下不可估量的威胁和破坏力。目前,病毒传播的主要途径已经从原来的磁盘,变化为现在的90%以上通过互联网传播。防病毒技术包括预防、检测和清杀病毒三种技术。为了保证防病毒系统的一致性、完整性和自升级能力,必须有一个完善的病毒防护管理体系,负责防病毒软件的自动分发、升级、集中配置和管理,统一事件和告警处理,保证整体企业和单位范围内病毒防护体系的一致性和完整性。
去年大规模爆发的勒索病毒又提醒我们,黑客对于敏感网络系统的入侵时刻都在进行着,网络用户在提升杀毒技术的同时,防范黑客的入侵也是不能忽视的。入侵检测系统一般包括控制台和探测器,控制台用作制定及管理所有探测器,探测器用作监听进出网络的访问行为,根据控制台的指令执行相应行为。可以说在整个网络系统的安全防护中,防火墙、杀毒技术和防入侵是一套和“敌人”短兵相接的组合拳。除此以外,我们还需要在通信保密、虚拟专用网等方面提升安全防护的档次,为这套组合拳提供攻守兼备的能力。
我们先来看看通信保密。对于核心数据信息在计算机网络上的使用和传输,具有较高的保密性要求。数据在网络上传输的安全性主要体现在信息在传送过程中可能被窃取、被截获、被篡改和被防冒时网络的应对能力。这些情况的发生是在没有采取安全措施的情况下,数据都是以明文的形式在网上传输的。为了防范数据在网络传输过程中被非法窃取而造成泄露,需要采用加密技术对数据进行加密后传输,被截获的数据以乱码形式表现,不具备解密的实际意义。通信密码技术主要有链路层加密和網络层加密两种方式。链路层加密主要是对于连接各涉密网节点的广域网线路,根据线路种类不同可以采用相应的链路加密设备,以保证各节点涉密网之间交换的数据都是加密传送。链路层加密机制是采用点对点的加密和解密。网络层加密是针对网络分布较广、网点较多采用网络加密机来实现一点对一点或者一点对多点之间的加密,同时支持网络内的某些主机通过加密隧道,而另一些主机仍以明文方式传输,以达到安全、传输效率的最佳平衡。
为了将物理分布在不同地点的网络通过公用骨干网,特别是通过Internet连接,形成了一种逻辑上的虚拟专用网——VPN。为了保障信息的安全,VPN技术采用了鉴别、访问控制、保密性、完整性等措施,以防止信息被泄露、篡改和复制。VPN虽然不是物理上的真正的专用网络,却能够实现物理专用网络的功能,它是被特别范围下私有化的,未经授权的用户是不能够使用已建立的VPN通道的,这就使得通信内容能够抗击非法修改和非法破解,对传输内容提供了完整性和机密性保护。
二、网络中的硬件设备防护
网络设备中,路由器和交换机绝对是知名度最高的明星设备。路由器的作用是连通不同的网络,另一个作用是选择信息传送的线路。选择通畅快捷的近路,能大大提高通信速度,减轻网络系统通信负荷,节约网络系统资源,提高网络系统畅通率,从而让网络系统发挥出更大的效益。路由器通常用于节点众多的大型网络环境,它处于ISO/OSI模型的网络层。与交换机相比,在实现骨干网的互联方面,路由器特别是高端路由器有着明显的优势。路由器高度的智能化,对各种路由协议、网络协议和网络接口的广泛支持,还有其独具的安全性和访问控制等功能和特点是网桥和交换机等其他互联设备所不具备的。路由器的中低端产品可以用于连接骨干网设备和小规模端点的接入,高端产品可以用于骨干网之间的互联以及骨干网与互联网的连接。特别是对于骨干网的互联和骨干网与互联网的互联互通,不但技术复杂,涉及通信协议、路由协议和众多接口,信息传输速度要求高,而且对网络安全性的要求也比其他场合高得多。
交换机是一种基于网卡硬件地址(MAC)识别的网络设备,能完成封装转发数据包功能。交换机可以检测网络中设备的MAC地址,并把其存放在内部地址表中,通过在数据帧的始发者和目标接收者之间建立临时的交换路径,使数据帧直接由源地址到达目的地址。交换机又分二层交换机和三层交换机。三层交换是相对于传统交换概念而提出的。众所周知,传统的交换技术是在OSI网络标准模型中的第二层一一数据链路层进行操作的,而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。简单地说,三层交换技术就是:二层交换技术+三层转发技术。三层交换技术的出现,解决了局域网中网段划分之后,网段中子网必须依赖路由器进行管理的局面,解决了传统路出器低速、复杂所造成的网络瓶颈问题。
三、网络中的软件系统防护
操作系统是计算机系统中负责支撑应用程序运行环境以及用户操作环境的系统软件。同时也是计算机系统的核心与基石。操作系统位于底层硬件与用户之间,是两者沟通的桥梁。用户可以通过操作系统的用户界面输入命令。操作系统则对命令进行解释,驱动硬件设备,实现用户要求。操作系统的职责通常包括对硬件的直接监管、对各种计算资源的管理、以及提供诸如作业管理之类的面向应用程序的服务等等。操作系统中的日志系统对于系统安全来说非常重要,它记录了系统每天发生的各种各样的事情,包括那些曾经或者正在使用系统的用户信息,更重要的是在系统受到黑客攻击后,日志可以记录下攻击者留下的痕迹,通过查看这些痕迹,系统管理员可以发现黑客攻击的某些手段以及特点,从而为抵御下一次攻击做好准备。
从整个计算机系统来看,用户的决定性超过了一切软、硬件,因此安全防范手段的根本其实在于建立网络风险预警机制,依靠多项安全技术构建的网络安全体系来实现。用户需要不断的在原有的安全设施上进行升级和完善,依照不同情况选择有针对性的软、硬件,统一管理,才能提升网络系统的安全性。
参考文献:
[1]郭启全.网络安全法与网络安全等级保护制度培训教程.电子工业出版社,2018第一版.
[2]吴培飞、陈云志.网络安全管理与技术防护.电子工业出版社,2017第一版.
[3]马利、姚永雷.计算机网络安全.清华大学出版社,2016第一版.
[4]兰巨龙程东年.信息网络安全与防护技术.人民邮电出版社,2014第一版.