计算机网络安全防范技术分析
2020-08-21周怡燕
周怡燕
摘要:网络安全通过采用各种技术和管理措施,使计算机网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄漏,确保网络服务不中断网络及业务系统正常运行,从而确保网络及数据的可用性、完整性和保密性。
关键词:网络安全;层次体系;技术机制;入侵检测;防火墙
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2020)07-0178-05
正如世界上是不存在密不透风的墙一样,在网络安全的世界里也不可能存在不可攻破的防护。任何的程序都存在漏洞,也正是这个原因,导致了网络安全问题的层出不穷。网络安全是动态的,犹如医学的不断进步与细菌病毒的不断进化一样,网络安全攻击与反攻击(防护)是永恒的矛盾。所以,网络安全是相对的,同时网络安全也是有时限性的,需要不断的更新、加强安全措施来预防保护计算机网络和信息的安全。[1]
1 计算机网络安全层次体系
要针对网络安全问题提出合理的解决方案,首先就要对网络的整个运行情况及运行机制做一个深入的了解。只有完全了解网络的运行原理,才能根据原理及现象提出有效的解决办法。而现行的网络动作机制是基于TCP/IP协议实现,虽然现在使用的TCP/IP协议工作模型相对国际通用的OSI七层模型看起来要简单,但实际上运作原理和机制却比OSI七层模型要复杂。[2]因此,在理解网络传输的工作方式的时候,我们需要对比参照两个模型来深入理解网络的基本原理(如表1)。
在传统的网络攻击中,有很多网络攻击都是针对网络数据传输的中间环节,通过各种方式破坏数据传输、篡改数据或者窃取数据等从而达到攻击者的目的。通过OSI七层参考模型每一层的功能(如图1),我们可以非常清楚地理解数据在网络中传输的每一个过程(如图2),从而可以根据这些传输过程来实施数据传输的安全防护措施。
从图2我们可以清晰地看到,OSI七层参考模型的数据传输过程,用户的应用程序数据交到应用层后,从第七层应用层开始每一层都在数据前加上本层的封装头部,然后传输到下一层,如此类推。数据封装到数据链路层的帧头后,转交到物理层,也就是我们通常见到的各类网络接口的硬件层次,硬件通过调制后形成比特流,在网络线缆中传输到达目标对象的物理层,目标对象的物理层硬件通过将比特流解调后再传输到数据链路层,然后逐层向上解封装,最后达到目标对象应用程序,实现网络的一次数据传输。我们现实的网络中就是由无数的数据传输构成,而网络安全问题就是出现在这些数据传输之中。
然而,网络安全问题的主要原因并不是出现在网络层的数据传输,而是更多的利用与网络相关的各个层面包括操作系统、应用程序、可执行文件、用户、设备等方面存在的漏洞进行渗透,最后通过网络的连接控制、窃取、破坏各种各样的信息、系统。网络安全问题并不仅仅关注网络层面,网络层面只是其中一个方面,但网络层面又是最关键的层面。信息时代发展到今天,网络早已经是无处不在了,也正是这个原因,导致了网络安全受到广泛关注,而更进一步的,则是信息安全的关注[3]。
通过上述的分析,其实网络安全体系中包含的不仅仅是网络层面的安全问题,而是包含一个完整的网络安全层次体系(如图3)和网络安全体系结构(如图4),关注局部仅仅可以解决局部的问题,只有从多层面去进行研究、理解,才能找到合理的、有效的解决方案。而且方案也必须是可扩展、可升级的,这也正如前面提到的重点,网络安全是动态的,网络安全攻击与反攻击(防护)是永恒的矛盾;网络安全是相对的,同时网络安全也是有时限性的,需要不断的更新、加强安全措施来预防保护网络和信息的安全。
在关注网络安全的时候,我们要关注的从物理层面的安全到网络层面、系统安全层面、用户安全层面、应用安全层面、数据安全层面各个层次都可能存在的问题,并且这些层次常用的安全技术或安全机制。通过这些安全技术和安全机制根据实际的网络环境和条件制定合适的安全策略和方案,从而保证网络拥有足够的安全。
2 网络安全技术机制
网络安全问题需要解决,必不可少的就是各种强大的网络安全技术机制。OSI七层参考模型制定了在OSI环境下解决网络安全规则:安全体系结构。它扩充了基本参考模型,加入了安全问题的各个方面,为开放系统的安全通信提出了一种概念性、功能性以及一致性的途径。OSI七层参考模型中,每一层都有其对应的安全机制[4]。
因此,在建设网络的时候,通常会根据网络安全的需求以及网络安全机制将对应用的网络安全技术集成在网络建设中,为网络提供足够强大的网络安全保障。常见的网络安全集成技术主要满足包括网络安全体系中的网络安全与信息安全两部分提到的要求(如图5)。
3 网络安全管理机制
网络安全技术机制是保证网络在软硬件方面的安全,然而,导致网络安全问题事件频出的原因除了网络攻击、病毒肆虐、系统漏洞等原因之外,更重要的是网络的使用者——用户的原因。甚至可以说除了不可避免的外网网络攻击是别有用心的人在操纵之外,病毒肆虐、系统漏洞、谣言信息的发布、传播,支付账号、银行密码等等方面的网络安全问题的主要根源是网络的使用者——用户自己导致的。如何通过有效的措施防止这些由用户引起的安全性问题?一方面需求网络安全技术的支撑,另一方面也需要网络安全管理的机制来保证。[5]
所谓“无规矩不成方圆”,一个良好的管理机制带来的好处甚至比直接使用网络安全技术进行防护更有效果。“三分技术、七分管理”,网络安全尤为如此。 因此,通过将网络技术机制与网络安全管理机制的相结合将是一个可行有效的网络安全综合解决方案。
4 网络安全技术分析
4.1 防火墙技术分析
防火墙本身具有较强的抗攻击能力,它是提供信息安全服務、实现网络和信息安全的基础设施。通过防火墙技术的应用,可以大大提高内部网络对来自外部网络攻击的抵御,防火墙技术可以分为硬件防火墙与软件防火墙。[6]
硬件防火墙是指由网络安全厂商生产的软硬件一体的防火墙产品,这类产品采用X86架构,不是基于专用的硬件平台,目前市场上大多数防火墙都是这种“硬件”防火墙,和普通的PC没有太大区别,运行一些厂商专门优化的特定系统,使得整个设备可以发挥最好的性能。
软件防火墙是指在用户操作系统中安装一个防火墙软件,这些软件通过控制系统的端口与进出操作系统的流量进行检测,基本实现防火墙功能,是基于个体的防护。
还有一种是基于专用平心的芯片式硬件防火墙,这类防火墙比其他种类的防火墙速度更快,处理能力更强、安全性好、性能更高。[7]
4.2 VPN技术分析
由于移动办公的流行与BYOD的兴起,VPN(虚拟专用网络)技术已经成为网络安全体系中一个必不可少的应用技术。而在校园网络中,教师、学生可能会通过各种网络访问学校内部的资源,在没有应用VPN技术的时候,这样必然会造成极大的安全隐患,而使用VPN技术之后,从师生所处在的网络环境到学校内部网络资源池之间的连接将受到保护。使用VPN技术之后,从用户体验的层面来看,对学校内部网络的访问犹如用户的设备直连到内部网络一样,而这个过程中数据的传输却是加密的,这就是使用VPN技术的好处。[8]
4.3 入侵检测和入侵防御技术分析
互联网络的无处不在除了给人们带来便捷的服务之外,还带来了一个隐患——未知的安全威胁。现在的网络安全技术,无论是防火墙还是防病毒软件,都是基于已知的网络威胁进行研发的,这样就会出现一种现象:总是先有未知的病毒木马进行感染传播甚至攻击网络。然而,在瞬息万变的互联网络中,每一秒钟都可以产生大量的财富,也可能失去大量的财富,总是需要等待防病毒软件或防火墙的更新升级来阻止或清除这些威胁显然会导致高成本。于是,入侵检测技术及入侵检测系统就应运而生。
入侵检测系统通常仅对这些异常的行为进行告警,而无法对于采取相应的措施来保证该行为的停止。因此,人们提出入侵防御技术,通过入侵防御系统的流量一旦发现异常,那么,系统可以将这个异常流量及相关行为进行告警并阻断,保证了该异常行为的继续发生。[9]
这两个系统采用的技术手段都是基于两套系统内置的监测模型进行判断,虽然对未知的威胁具备一定的处理能力,但也会存在漏报、错报的情况。
4.4 AAA安全技术分析
使用认证手段来确定用户,通过认证这一步骤后便可以对这个用户进行策略性的授权,最后这些被授权用户所做的行为进行记录,这便是采用AAA提高网络安全性的过程。这个过程可以降低未知用户对网络造成安全威胁。
4.5 数据加密技术分析
密码技术是保证安全的最基本措施,而且密码技术广泛应用在网络、现实生活之中。通过各种的密码策略要求用户创建并使用密码来对其私隐、个人信息等方面进行保护。通过采用账号密码的方式,可以为用户提供认证手段,通常建议密码采用数字、字母、字符混合组成,并使用大小写来提高密码的复杂性。可以说,密码技术的应用为网络安全或者说整个安全领域提供一个最基础的安全性保障。
无论是网络中传输的数据、还是存储在种种存储介质的数据,如果采用明文的方式进行传输、保存,则很容易被有心人窃取,从而造成信息的泄露。为了解决这个问题,我们将在网络中传输的数据,或者存储在存储介质中的数据进行加密,确保即使数据被窃取后,窃取者还是没法获得信息的真实数据。
加密技术可以分为链路加密、节点加密和端到端加密,而加密时采用的加密算法不同又可以分为对称加密和非对称加密。其中采用对称加密技术时采用对称密钥,具有运算量小、速度快、安全强度高的特点,现在仍被广泛使用,但是这对称加密技术仍然存在密钥丢失的问题而导致信息泄露。非对称加密技术的工作原理是通过产生一对密钥,其中一个是对外公开的,另一个是个人私有的,通过这对密钥间的加密解密,可以实现数据加密,还可以实现数字签名(即确认对方身份)。非对称加密技术可以确保密文的安全性以及唯一性,大大提高了数据的安全性,但其缺点是运算量大,加密速度慢。
在实际的使用过程中,我们通常采用混合加密的方式来保证数据传输及存储的安全性。非对称加密技术用来加密传输对称加密技中的密钥,而真正的数据传输加密则使用对称加密技术的密钥。这样一方面可以确认密钥传输的安全性,另一方面可以保证数据加解密和传输的效率。[10]
4.6 防病毒技术分析
预防病毒技术包括:磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。例如,大家所熟悉的防病毒卡,其主要功能是对磁盘提供写保护,监视在计算机和驱动器之间产生的信号。以及可能造成危害的写命令,并且判断磁盘当前所处的状态:哪一个磁盘将要进行写操作,是否正在进行写操作,磁盘是否处于写保护等,来确定病毒是否将要发作。计算机病毒的预防应用包括对已知病毒的预防和对未知病毒的预防两个部分。目前,对已知病毒的预防可以采用特征判定技术或静态判定技术,而对未知病毒的预防则是一种行为规则的判定技术,即动态判定技术。[11]
4.7 系统漏洞修补技术分析
通过软件、操作系统的定时或不定时的升级、打补丁可以有效修复系统漏洞,令利用这些漏洞的恶意软件无从入手,使用系统的安全性大大提高,保证网络的安全性。常见的系统漏洞修复措施是内网搭建WSUS。WSUS是Windows Server Update Services的简称,它在以前Windows Update Services的基础上有了很大的改善。目前的版本可以更新更多的Windows补丁,同时具有报告功能和导向性能,管理员还可以控制更新过程。
其他提高网络安全的安全技术还有网络隔离技术,通软件或者物理进行隔离,保离被隔离的双方不会对对方造成安全威胁或影响。例如,交换机采用基于VLAN的網络隔离,或者是物理网络层面上采用网闸进行网络隔离。还有一些基于网络设备的安全特性如端口隔离,ARP绑定,IP与MAC地址绑定等应用特性的网络安全技术。[12]
综上所述,针对可能存在的网络安全隐患,将网络技术机制与网络安全管理机制的相结合,根据系统应用情况从防火墙技术、VPN技术、入侵检测和入侵防御技术、AAA安全技术、数据加密技术、防病毒技术、系统漏洞修补技术等技术中选择,从两方面分析制定网络安全策略,一方面是针对实际技术应用的安全策略,如系统策略、准入策略、资料存储备份恢复策略等等;另一方面就针对整个网络安全的策略,其实就是基于网络安全技术与网络安全管理等方面并结合实际需求而制定的适合现实使用的策略。如针对学校校园网络安全,可以制定以下一些有效策略:
(1)加强网络安全管理制度建设;
(2)做好物理安全防护;
(3)加强对用户的教育和培训;
(4)提高网络管理人员技术水平;
(5)规范出口、入口管理;
(6)配备网络安全设备或系统;
(7)建立全校统一的身份认证系统;
(8)建立更安全的电子邮件系统;
(9)做好备份和应急处理。
通过这些宏观策略的制定,再进一步具体到各个方面,最后落实到微观策略的实现,最终可以将整个网络安全的安全程序提高一个级别,从而降底网络安全问题所带来的负面影响以及损失。
参考文献
[1] 徐明.网络信息安全[M].西安:电子科技大学出版社,2006.
[2] 唐乾林.网络安全系统集成与建设[M].北京:机械工业出版社,2010.
[3] 周丽娟.校园网络的安全策略研究[J].长春师范学院学报,2009(9):81-84.
[4] 陈杰新.校园网络安全技术研究与应用[D].吉林:吉林大学,2010.
[5] Mark Hadfield,Christopher Chapman. Leading School-based Networks[M].Routledge,2009.
[6] IT架构设计研究组.大数据时代的IT架构设计[M].電子工业出版社,2014.
[7] Houston Carr,Charles Snyder,Bliss Bailey. Management of Network Security[M]. Prentice Hall,2009.
[8] Yusuf Bhaiji. Network Security Technologies and Solutions[M].Cisco Press,2008.
[9] 杨雅辉.网络安全体系结构[M].北京:高等教育出版社,2008.
[10] 安继芳,李海建.网络安全应用技术[M].北京:人民邮电出版社,2011.
[11] James M. Stewart,Mike Chapple,Darril Gibson.CISSP:Certified Information Systems Security Professional Study Guide[M].Sybex,2011.
[12] Douglas W. Frye, Douglas W. Frye. Network Security Policies and Procedures[M].Springer-Verlag New York Inc,2006.