计算机网络安全技术的应用
2022-11-12姚尧
姚尧
(哈尔滨职业技术学院 黑龙江省哈尔滨市 150001)
现如今,我国俨然进入互联网时代。在互联网时代,计算机网络技术相较于过去应用范围更加广泛,同时计算网络用户的数量也是成倍数级上涨。随着计算机网络技术的广泛应用,广大人民群众的生产与生活发生了重大变化。不过,网络安全问题的出现则在一定的程度上影响了计算机网络技术应用效果。由于计算机网络安全技术在防范网络安全问题,保护网络,提高网络运行水平方面发挥着重要作用。因此,要重视计算机网络安全技术,掌握计算机网络安全技术应用技巧,从而构建安全的计算机网络,使计算机网络充分服务于经济建设、人民生产生活。
1 网络安全概述
1.1 网络安全的主要威胁
网络具有其的强大性,能够为人民生产以及生活提供诸多便利,但是网络也具有其的脆弱性,即在网络运行的过程中容易受到各方面的威胁。本次主要从以下方面研究了网络安全的主要威胁:
(1)内部窃密和破坏。内部人员相较于外部人员更容易接触计算机,也更容易进入计算机,窃取计算机中的重要数据资料,或者破坏计算机,影响计算机正常运行。
(2)窃听和截收。攻击者通过侦听网络上的数据流,截获机密通讯数据的方式,获取信息。而对于计算机的应用主体来讲,其就会因攻击者窃取信息而产生一定的损失。
(3)非法访问。在计算机网络中,设置了访问权,以限制没有获取访问权的人进入计算机网络。不过,攻击者就在不具备访问权的情况下入侵计算机网络,获得访问权。攻击者对网络的访问被称之为“非法访问”。
(4)破坏信息的完整性。攻击者可能会破坏信息,从而影响信息的完整性。其中,会通过篡改信息、删除信息、插入信息的方式,破坏信息的完整性。
(5)冒充。攻击者通过冒充合法身份的方式,侵入计算机系统,从中获取机密信息,或者破快计算机网络,降低计算机网络运行水平,严重的情况下会导致整个计算机网络陷入瘫痪的状态。
(6)流量分析攻击。攻击者通过分析正在通信的双方的通信流量,获取相关信息。
(7)其他威胁。天灾人祸属于其他类型的网络安全威胁。比如,在发生自然灾害时,计算机网络的运行水平将会受到极大的影响;在发生战争时,军火则也会对计算机网络的运行造成消极影响。
1.2 主要的网络安全机制
网络安全机制属于计算机网络安全防范手段。在网络安全机制的作用下,计算机网络运行的安全性将会得到充分的保障。本次主要研究了以下网络安全机制,希望可为计算机网络安全防范提供一定的指导。
1.2.1 数据加密机制
数据加密机制是通过密码技术将明文转换成密文进行传输(加密),同时再在接收方将密文恢复成明文(解密)(图1)。而通过传输的过程中进行加密处理,就可以更好地保护信息。数据加密技术处于一种科学的计算机网络安全技术。当前,数据加密技术常被应用在计算机网络安全防范中。
图1:加密解密过程
1.2.2 访问控制机制
访问控制是通过明确用户访问权限,阻止不具有访问权的人员进入计算机网络,防止不具有访问权的人员随意删除、修改或者窃取信息,以此达到保护计算机网络信息的目的。管理员可以使用访问控制技术,追踪用户在网络中的活动。如果网络活动异常,就需要及时组织访问,避免遭受严重的损失。可以说,管理员通过使用访问技术就可以最大限度地防止黑客入侵网络,从而保护网络,增强网络的安全性。正是基于访问控制技术的应用优势,该技术得到了相关人员的关注,同时也得到了良好的应用。
1.2.3 数据完整性机制
数据完成性机制是保护数据以防数据传输过程中出现丢失、篡改、恶意添删、重放、乱序等问题。附加量、顺序号、时间标记和密码链是数据完成性机制的重要组成部分。通过将这些合理地应用在计算机网络安全防范中,就可以极大地保护数据信息,增强数据信息的完整性。由于数据完整性是相关人员使用数据的重要条件,所以要保护数据的完整性。
1.2.4 数字签名机制
传统签名是通过在纸张上书写名字的方式,进行签名,而数字签名是在移动设备上书写名字的方式,进行签名。传统签名与数字签名的比较具体如表1所示。整体来讲,数字签名是传统签名的数字化。数字签名与传统签名方式具有同等的效力。对于数字签名人员来讲,其不应该因与传统签名防止不一致而不承认该签名方式的法律效力。
表1:数字签名和传统签名的比较
1.2.5 实体认证机制
实体认证主要是通过用户名、密码或者一些其它的实体特征方式,认证用户的身份。在获取的认证后,就可以获得相应的使用权。密码技术、信息认证技术、生物识别技术等属于认证技术。密码技术,即在进入计算机网络系统时,需要输入所设置的密码;信息认证技术,即通过识别被填入信息的方式,对用户的身份进行认证;生物识别技术,即基于人们的生物特征,对用户的身份进行认证,其中人脸识别技术、指纹识别技术等就属于生物识别技术。
1.2.6 公证机制
公正机制即在两个或多个实体在进行相互通信时,需要借助第三方公证人提供一种保证,从而使信息在通信过程中得到保护。公证人是通信行为的管理者、通信信息的监督者。公证人是通信实体建立合作关系的对象,所以公证人显然已经得到了通信实体的信任。为满足通信实体人的通信安全需求,公证人需要获取必要的信息,从而更好地完成工作。PKI体系结构中的CA证书的颁布机构是常见的公正机制,在通信安全认证中发挥着重要价值
1.2.7 其它的安全机制
除了以上网络安全机制之外,还有其他类型的安全机制,如业务填充机制、路由控制机制、普适性安全机制等。而这些机制同样对于提高计算机网络安全保护水平具有积极意义。对于相关人员而言,其有必要加大对为计算机网络安全机制的研究力度,选择合适的计算机网络安全机制,科学的保护计算机网络,促进计算机网络稳定运行。
2 网络安全目标以及实现网络安全目标的方法
2.1 网络安全目标
2.1.1 机密性
网络安全建设水平影响用户对计算机系统的使用效果。当前,用户在使用计算机时遇到了一些网络安全问题。为保证网络安全问题解决效果,有必要明确网络安全目标,便于为计算机网络安全建设提供科学的指导。而机密性则是网络安全建设的重要目标。机密性指的是通过充分保护计算机信息系统的方式,防止信息泄露。在计算机信息系统建设时,一定要尽可能地保护用户信息,提高系统防御能力,避免被非法分子攻击。物理保密、信息加密、防窃听等属于科学的保密技术。相关人员可以根据实际需求,选择合适的保密技术,对数据信息进行加密,从而强化保密效果
2.1.2 完整性
完整性即保证信息数据在生成、存储以及传输等过程中保持原来的样子。从目前现状来讲,有的攻击者会在这些环节对计算机系统进行攻击,从而破坏信息数据的完整性。除了通过非法攻击的方式会影响信息数据的完整性之外,病毒入侵、设备故障等也会影响信息数据的完整性。在这种情况下,用户就不容易充分利用信息数据,完成相应的工作。对于计算机网络安全防范人员来讲,其需要选择合适的技术,保护信息系统,确保信息数据的完整性。
2.1.3 鉴别与授权
鉴别与授权也是加强计算机网络安全建设的目标。鉴别与授权即在鉴别技术的作用下就可以鉴别访问人员的身份信息,从而科学地对其进行访问授权。如果访问人员的身份信息不正确,那么就不可访问网络,反之就可以获得相应的访问权限。鉴别与授权是通过模拟辨别、分析用户信息的方式,防止身份被冒充,从而起到保护网络信息的作用。
2.1.4 不可抵赖性
不可抵赖性即网络活动同样置于相关规范下,而参与网络活动的人员都不可以对自己的真正开展的网络行为,进行否定。信息源证据与接收证据则是网络活动主体不可否定自己行为的证据。其中,信息源证据指的是信息发放方通过发送信息而产生的证据,而接收证据指的是信息接收方通过发接收信息而产生的证据。
2.2 实现网络安全目标的方法
机密性、完整性、鉴别与授权、不可抵赖性是网络安全的目的。为实现这四种目标,需要构建合适的网络安全防范方案,从而加强网络安全,保护网络信息数据(表2)。机密性是网络安全建设的目标之一。为保护信息安全,防止泄露信息,可以采取加密技术,对信息进行加密处理。比如,可以使用对称加密法与非对称加密法进行加密。为实现信息完整性的目标,可以使用数字签名的方式,保护信息。一般而言,主要通过结合使用非对称加密法与HASA摘要算法的方式,对信息进行管理,从而保证信息的完整性。在加强鉴别与合理进行授权方面,可以使用数字证书、数字签名方式,进行鉴别与授权。其中,数字证书则是通过发放数字证书的方式,对用户的身份进行认证,以此做好信息数据的安全保护工作。为防止参与网络活动的主体对自己的行为进行抵赖,则可以采取数字签名的方式,规范他们的行为。
表2:解决网络安全目标的主要方法
3 网络安全技术在第三方信息交换系统中的应用实现
3.1 集群技术的实现
通过应用集群技术,可以实现无单点故障,保证网络负载均衡。在集群技术的作用下,计算机系统的性能将会大为增强,同时也可以减少应用成本。由此可见,集群技术对于提高计算机系统应用水平具有重要的意义。在计算机信息系统中,可以将网络负载均衡集群和故障切换集群这两种集群技术,保护计算机信息系,强化计算机系统运行效果。
3.1.1 网络负载均衡NLB集群的实现
在计算机信息系统中,可以应用计算机自带的NLB集群,对系统进行安全保护。在NLB集群中,需要对集群中的每个节点配置两块物联网卡。其中,一块物联网卡应用于工作环境,另外一块物联网卡用来连接心跳交换机。通过对集群中的每个节点配置两块物联网卡,就可以更好地确保集群节点能够顺利进行通信。由于心跳网卡在促进集群节点相互通信中起着关键作用,本次重点分析了心跳网卡的应用要点:为提升通信水平,有必要在集群中每个节点的hosts文件中定义其它机器节点的主机名与第二块也跳网卡IP地址的对应关系(主机名包括简单主机名及主机名全称)。在做好以上工作后,需要重视端口规则,防止集群产生端口冲突,影响通信水平。
3.1.2 故障切换集群的实现
故障切换集群在处理单点故障,提高计算机运行水平中发挥着重要作用。为实现故障切换集群,可以从以下方面加强故障切换集群建设。在一个故障切换集群中,全部的机器都需要加入同一个Windows域中,从而更好地控制计算机。另外,所有计算节点使用的DNS服务器必须要为该域的域DNS肥服务器。此外,还需要共享同一个存储设备,从而有效地发挥故障切换集群的作用。在故障切换集群建设中,还需要在每个节点配置大于两块的网卡。而通过配置合理数量的网卡,不仅可以保证节点进行顺畅的通信,而且可以保证故障防范效果。
3.2 ADFS和代理的部署
ADFS和代理的部署的要点如下介绍:事先在DNS服务器中解析ADFS集群的名字;在配置集群一上两个节点的ADFS服务器W及集群二上两个节点的ADFS代理时,需要使用域用户;在集帮一的两个机器节点和集群二的两个机器节点上使用泛名证书来配置ADFD务器集群和ADFS代理集群;进行测试连接,即输入联合身份验证服务名称,点击测试连接,而显示成功联系就表示已经成功进行了测试连接,反之则没有连接成功。如果没有连接成功,就需要分析ADFS和代理部署过程,及时发现问题,从而解决问题,确保连接成功。
3.3 CA证书有效性实现
CA证书是计算机网络安全建设的要点。在研究计算机网络安全技术时,可以将CA证书作为研究的切入点,积极地在计算机网络信息系统中实现CA证书。本次从以下方面研究了CA证书有效性实现的要点:一是用户CA证书及Web服务器证书的有效期。CA证书是有年限的。在到期后,需要同归续订的方式,获得CA证书,从而保护计算机信息系统。CA证书需要保证密匙的长度,以此强化计算机信息系统安全保护效果。其中,如果用户CA证书为四年以上时,建议密钥长度为2048位,尽最大限度地避免攻击者入侵网络系统,便于确保计算机网络系统稳定运行。二是通过企业CA证书服务的Web接口能自动发放、获取用户CA证书。默认CA证书模板申请证书、定制证书模板申请证书是申请证书的两大类别。前者具有自动颁布的功能,而后者需要通过手动配置的方式,才可以进行自动颁布。可见,前者的申请证书使用更为便利。企业使用计算机时可以采取默认CA证书模板申请证书,从而避免经历繁琐的流程。三是把通过第三方(如税务局)替最终用户申请到的用户证书,通过U盘等方式安全转交给最终用户并使用。在第三方计算机信息系统中,系统应用主体可以为用户申请用户证书。对于用户来讲,其可以使用密码保护方式保存在证书交换文件中,该密码可由用户输入或税务局代为输入。系统应用主体可以采取U盘等方式,把证书交给用户。在这种情况下,用户就可以进行使用了。
3.4 服务器端证书自动发放的实现
为实现服务器端证书自动发放,需要研究申请方法。本次共研究了三种申请方法,分析了三种申请方法的劣势与优势(表3)。一是在其IIS中申请域证书。该申请方式比较简单,但是也存在局限性,比如只能为域内的Web服务器申请,同时还只能使用默认模板的证书,即证书的选择性并不强。此外,但服务器端证书有效期的时间并不长。一般而言,两年就到期了。二是使用MMC的证书控制台进行申请。对服务器的要求具有限制,即服务器必须是域控制器或者是域成员。可以说,该种申请方式的便利性并不是很强。不过,该申请方式也具有其优点,使用该方法还可以申请的两种类型的证书,即默认模板的证书、自定义模板的证书。而在自定义模板证书下,获得的Web服务器证书有效期时间长于第一种申请方式所获得的服务器端证书,主要表现在:该方式可以获得具有2年以上有效期的服务器端证书。三是先在IIS中申请Web服务器证书,然后使用证书申请文件然后通过IE访问证书服务Web接口,使用证书申请文件申请证书,从而得到发放的Web服务器证书,最后,就可以在Web服秦器的IIS中安装已得到的证书。该种申请方法的适应性明显好于以上两种申请方式,同时还可以不受Web服务器域内与域外的局限。同时还可以其他用户申请证书。用户可以根据实际需求以及实际情况,选择合适的Web服务器证书申请方式,从而获取所需要的Web服务器证书。
表3:Web服务器证书申请方式优缺点对比
3.5 客户端证书的系统应用
在个人证书申请后,系统应用主体可以通过U盘拷贝等方式下发给用户。对于用户来讲,其需要在计算机上安装个人证书。在这种情况下,才可以使用第三方信息交换平台。而在使用平台时,用户需要输入用户名以及密码,从而进入平台。之后,用户就可以在自己的权限范围内进行合理的操作。对于管理员来讲,其需要获知系统运行信息数据,结合实际情况,对用户进行权限管理,以此保证用户以及计算机系统应用的安全性。
3.6 持续性加强网络安全建设
在做好关于技术手段的计算机网络安全建设后,还需要通过加大计算机网络安全管理力度的方式,推进计算机网络安全建设工作,从而巩固建设成果。具体可以开展以下工作:
(1)增强网络安全防范意识。意识影响行为,对于管理员来讲,其需要认识到网络安全问题对用户造成的损害,不断增强网络安全防范意识,用自己的实际行动,做好网络安全建设工作。
(2)明确网络安全建设责任。在计算机网络安全建设时,需要明确网络安全建设责任,合理地为相关人员分配工作,并督促他们落实以及相互配合完成工作。在这种情况下,就可以更好地构建网络安全使用屏障。
(3)加大网络安全宣传力度。可以在微信、抖音、快手等平台宣传网络安全建设的意义以及方法,激发相关人员参与网络安全建设的积极性。同时还可以开展线下宣传活动,便于相关人员及时配合开展网络安全建设工作。
(4)培养网络安全建设人才。在加强网络安全建设的过程中,会使用计算机网络安全技术。合理使用计算机网络安全技术并非一项简单的工作。如果工作人员的素养不高、专业能力不想,就难以胜任此工作。所以,需要重视网络安全建设人才培养工作,从而组件高素质人才队伍。其中,可以通过培训教育的方式,开展人才培养活动。
(5)开展病毒查杀专项行动。根据计算机信息系统安全运行现状、安全运行需求等,制定病毒查杀专项方案,从而顺利开展病毒查杀专项行动。在查杀病毒时,可以采取定期与不定期相结合的查杀方式,以便全面防护计算机网络系统。
4 结论
综上所述,计算机网络在运行的过程中会遭受攻击者的威胁而降低运行水平,甚至为用户带来经济损失,影响用户人身安全。加强计算机网络安全建设是促进计算机网络健康运行的重要方式。计算机网络安全技术则是加强计算机网络安全建设的要点,因此需要紧紧地围绕着“计算机网络安全技术”,进行网络保护以及网络建设,从而为用户高效使用计算机网络带来便利。