淺析確保計算機網絡安全的防范技術

談勝 王照環

摘要:隨著計算機互聯網的發展,網絡信息的安全性及實現方法受到了人們極大的關注。本文闡述了計算機網絡安全存在的威脅,影響計算機網絡安全的主要因素,確保計算機網絡安全的防范措施。

關鍵詞:網絡安全需求技術手段防范策略

中圖分類號:TP3 文獻標識碼:A 文章編號:1672-3791(2012)04(c)-0040-01

1計算機網絡安全存在的威脅

由于計算機網絡分布廣泛和開放性的特征,很容易受到各種攻擊。常見的計算機網絡安全威脅主要有:竊聽,偽造,篡改,拒絕服務攻擊,電子欺詐,拒絕未經授權的訪問和傳輸。

2網絡安全需求

(1)身份認證:身份認證是授權控制的基礎。身份認證必須做到準確的將對方辨別出來。應該提供雙向的認證,即互相證明自己的身份,目前一般采用基于對稱密鑰或公開密鑰加密的方法,如kerberos,PGP等。

(2)授權控制:授權控制是控制不同用戶對信息資源訪問權限,對授權控制的要求主要有以下幾點。

①一致性,即控制沒有二義性。

②統一性,對信息資源集中管理,同意觀測安全策略。

③要求有審計功能,對所有授權記錄可以核查。

④盡可能地提供細粒度的控制。

(3)數據加密:數據加密是最基本的保證安全通信的手段。目前加密技術主要有兩大類:一類是基于對稱密鑰加密的算法,也稱為私鑰算法;另一類是基于非對稱密鑰加密的算法,也稱為公鑰算法。加密手段可以分為硬件加密和軟件加密,硬件加密速度快、效率高、安全性好、成本高;軟件加密成本低且靈活。

(4)數據完整性:數據完整性是指網上傳輸的數據應防止被修改、刪除、插入、替換或重發,以保證合法用戶接受和使用該數據的真實性。

(5)抗抵賴性:接收方要確保對方不能夠抵賴收到的信息是其發出的信息,而且不是被他人冒名、篡改過的信息。通常采用的方法是電子簽名。

3確保計算機網絡安全的技術手段

(1)防火墻技術:要想實現網絡的安全,一個很基本的方法就是把被保護的網絡從開放的、無邊界的網絡環境中獨立出來,使之成為可管理、可控制、安全的內部網絡,為實現這一目標的最基本的手段就是在網絡的對外接口,采用防火墻技術。防火墻有點像古代守護城池用的護城河,在現實生活中,Internet防火墻常常被安裝在受保護的內部網絡上并接入Internet。防火墻的主要作用是通過控制出、入一個網絡的權限,防止一個需要保護的網絡遭外界因素的干擾和破壞。從總體上看,防火墻應該具有以下基本功能:對網絡攻擊進行檢測和告警,管理進、出網絡的訪問行為并過濾進、出網絡的數據,通過防火墻的信息內容和活動,封堵某些禁止行為。

(2)NAT技術:隱藏內部網絡信息。可以用來減少對注冊地址的需求。簡單的說,NAT就是當內部節點要與外界網絡發生聯系時,在防火墻或邊緣路由器處,將內部地址替換成可路由的合法地址,從而在外部公共網上正常使用。當內部節點不需與外界網絡發生聯系時,在內部專用網絡中使用不可路由的內部地址。這只是一種過渡的解決方法

(3)VPN技術:VPN可文譯為虛擬專用網,具有虛擬特點,它并不是專有的封閉線路或者是租用某個網絡服務商提供的封閉線路,但同時又具有專線的數據傳輸功能,因為VPN能夠像專線一樣在公共網絡上處理自己公司的信息。VPN具有以下優點:①成本低;②擴展容易;③完全控制主動權。

(4)網絡加密技術(Ipsec):IPSec是安全聯網的長期方向。它通過端對端的安全性來提供主動的保護以防止專用網絡與 Internet 的攻擊。其作用是保護IP數據包的內容,通過數據包篩選及受信任通訊的實施來防御網絡攻擊。其中以接收和發送最為重要。IPSec的安全特性主要有:不可否認性、反重播性、數據完整性、數據可靠性(加密)、認證。

4安全防范策略

網絡是個動態的系統,即使最初制定的安全策略十分可靠,但是隨著網絡結構和應用的不斷變化,安全策略可能失效,下面介紹一系列比較重要的防范策略。

(1)訪問控制:將訪問控制設備放在網絡邊界處并啟用訪問控制功能,對進出網絡的信息內容進行過濾。限制網絡最大流量數及網絡連接數,按用戶和系統之間的允許訪問規則,決定允許或拒絕用戶對受控系統進行資源訪問。根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力,在會話結束后終止網絡連接。重要網段應采取技術手段防止地址欺騙。

(2)結構的安全:確保主要網絡設備的業務處理能力,具備冗余空間,保證在業務需要的高峰時滿足各方面的網絡帶寬需求,在發生網絡擁塞時候優先保護重要主機。部分重要網絡避免直接與外部連接,禁止直接部署在邊界處,采用可靠地技術手段,將重要網段與其他網段隔離。

(3)邊界防護:把不同安全級別的網絡相連接,就產生了網絡邊界。如何防護邊界呢？對于公開的攻擊,只有防護一條路,檢查非授權設備私自聯到內部網絡和內部網絡用戶私自聯到外部網絡的行為,并確定出位置,對其進行有效阻斷。

(4)入侵檢測:在網絡邊界處監視或在可能的情況下,阻止入侵者試圖控制自己的系統或網絡資源。檢測任何損害系統的機密性、完整性或可用性的行為的一種網絡安全策略。

(5)安全掃描:借助掃描軟件對計算機系統及網絡端口進行安全性檢查,能夠幫助管理員查找目標主機,找到運行的服務及其相關屬性,并發現這些服務潛在的漏洞。它只是幫助管理員找到網絡的隱患,并不能直接解決問題。

(6)日志審計系統:日志文件是包含關于系統消息的文件,這些消息通常來自于操作系統內核、運行的服務,以及在系統上運行的應用程序。日志文件包括系統日志、安全日志、應用日志等。日志審計系統通過一些特定的、預先定義的規則來發現日志中潛在的問題,顯然它是一種被動式、事后的防護或事中跟蹤的手段,很難在事前發揮作用。

5結語

顯然,保障網絡安全性與網絡服務效率永遠是一對矛盾體,要想網絡系統安全可靠,勢必會增加許多控制措施和安全設備,這會或多或少的影響使用效率和方便性。

參考文獻

[1] 馬利.姚永雷計算機網絡安全[M].清華大學出版社,2010,8.

[2] 宋凱.劉念計算機網絡[M].清華大學出版社,2010,2.

[3] 周小華.計算機網絡安全技術與解決方案[M].浙江大學出版社,2008,10.