網絡安全計算機網絡防火墻
1網絡安全及其現狀
1.1網絡安全的概念
國際標準化組織(ISO)將“計算機安全”定義為抽象的:“數據處理系統的技術和管理安全保護,以及保護計算機硬件和軟件數據免受意外和惡意原因的影響”。計算機安全的上述定義包括物理安全和邏輯安全。邏輯安全的內容可以理解為我們常說的信息安全,是指對信息機密性、完整性和可用性的保護,而網絡安全的含義是信息安全的延伸,即網絡安全是對網絡信息機密性、完整性和可用性的保護。
1.2網絡安全的現狀
目前,計算機病毒每年給歐洲國家小企業造成的經濟損失高達220億歐元,而這些病毒主要是通過電子郵件傳播的。據反病毒廠商Trend Company統計,去年Sobig、Slammer等網絡病毒和蠕蟲導致的網絡流量堵塞給企業造成了550億美元的損失。而其他網絡危險,包括身份竊賊、間諜等造成的損失很難量化,這從網絡安全的新問題就可以看出來。
2網絡安全的主要技術
和平是網絡生存的保障。只有保證了和平,網絡才能實現自己的價值。網絡安全技術是隨著人們網絡實踐的發展而發展起來的,它涉及到廣泛的技術層面。認證、加密、防火墻和入侵檢測等主要技術是網絡安全的重要防線。
2.1認證
對合法用戶進行認證可以防止非法用戶訪問公司信息系統,使用認證機制也可以防止合法用戶訪問他們無權查看的信息。列出了以下摘要:
2.1.1認證
當系統的用戶想要訪問系統資源時,需要確認自己是否是合法用戶,也就是身份認證。用戶名和密碼等最簡單的方法常用於用戶身份認證和識別。
2.1.2消息認證
主要是通信雙方對通信內容進行驗證,確保消息是由確認的發送方生成的,消息是發送給要發送的接收方的,消息在傳輸過程中沒有被修改。
2.1.3訪問授權
主要是確認用戶對資源的訪問權限。
2.1.4數字簽名
數字簽名是壹種通過加密來認證電子信息的方法,其安全性和有用性主要取決於用戶私鑰的保護和安全哈希函數。數字簽名技術基於加密技術,可以通過對稱加密算法、非對稱加密算法或混合加密算法來實現。
2.2數據加密
加密是壹種混淆信息的方法,這樣未經授權的人就無法理解它。有兩種主要的加密類型:私鑰加密和公鑰加密。
2.2.1私鑰加密
私鑰加密也稱為對稱密鑰加密,因為用於加密信息的密鑰就是用於解密信息的密鑰。私鑰加密為信息提供了進壹步的緊湊性,並且它不提供認證,因為任何使用該密鑰的人都可以平靜地創建、加密和發送有效的消息。這種加密方法的優點是速度快,易於硬件和軟件實現。
公鑰加密
公鑰加密比私鑰加密出現的晚,私鑰加密使用相同的密鑰進行加密和解密,而公鑰加密使用兩個密鑰,壹個用於加密信息,另壹個用於解密信息。公鑰加密系統的缺點是它們通常是計算密集型的,因此比私鑰加密系統慢得多。但是,如果將它們結合起來,就可以得到壹個更復雜的系統。
2.3防火墻技術
防火墻是壹種網絡訪問控制設備,用於拒絕除明確允許通過的通信數據之外的所有通信數據。它不同於簡單的只決定網絡信息傳輸方向的路由器,而是壹個系統或壹組系統在網絡經過相關接入站點時,對網絡實施壹套接入策略。大多數防火墻結合了幾種功能來保護它們的網絡免受惡意傳輸。其中,最流行的技術是靜態包過濾、動態包過濾、狀態過濾和代理服務器技術,其安全級別依次遞增。但在實際操作中,既要考慮系統的性價比,又要考慮網絡連接能力。另外,現在好的防火墻還采用了VPN、檢查、入侵檢測技術。
防火墻的安全控制主要基於IP地址,難以為防火墻內外的用戶提供壹致的安全策略;而且防火墻只實現粗粒度的訪問控制,無法與企業內部使用的其他安全機制(如訪問控制)集成;此外,防火墻難以管理和配置,由多個系統(路由器、過濾器、代理服務器、網關、安全主機)組成的防火墻在管理中難免被忽視。
2.4入侵檢測系統
入侵檢測技術是網絡安全探索的熱點,是壹種主動的安全防護技術,對內部入侵、外部入侵和誤操作提供實時防護,在網絡系統受到危害之前攔截相應的入侵。隨著時代的發展,入侵檢測技術將向三個方向發展:分布式入侵檢測、智能入侵檢測和綜合安全防禦方案。
入侵檢測系統是入侵檢測軟件和硬件的結合。它的主要功能是檢測,此外還有壹些檢測無法阻止的入侵。檢測入侵的前兆,以便進行處理,如停封;入侵事件的歸檔,以便提供法律依據;網絡威脅程度評估與入侵事件恢復。
2.5虛擬專用網(VPN)技術
VPN是解決信息安全新問題的最新、最成功的技術課題之壹。所謂虛擬專用網(VPN)技術,就是在公網上建立壹個專用網,讓數據通過安全的“加密管道”在公網中傳播。在公共通信網絡上構建VPN有兩種主流機制,即路由過濾技術和隧道技術。目前VPN主要采用以下四種技術來保證安全:隧道技術、加解密技術(Encryption % 26amp解密)、密鑰管理技術以及用戶和設備認證技術。其中,幾種流行的隧道技術是PPTP、L2TP和Ipsec。VPN隧道機制應該能夠提供不同級別的安全服務,包括不同強度的源認證、數據加密和數據完整性。VPN也有幾種分類方式,按接入方式分私有VPN和撥號VPN;根據隧道協議,可分為第二層和第三層;根據發起方式,可以分為客戶端發起和服務器發起。
2.6其他網絡安全技術
(1)智能卡技術類似於加密技術。實際上,智能卡是壹種密鑰介質,由授權用戶持有,並由用戶賦予壹個密碼或口令,該密碼與在內網服務器上註冊的密碼壹致。智能卡技術通常與身份驗證結合使用。
(2)安全漏洞掃描技術,是壹種能夠根據網絡分析系統當前的設置和防禦手段,指出系統存在或潛在的安全漏洞,從而提高系統對網絡入侵的防禦能力的安全技術。
(3)網絡數據存儲、備份和容災規劃,是在系統或設備遇到災難時,能夠快速恢復數據,使整個系統在最短的時間內重新投入正常運行的安全技術方案。
其他網絡安全技術包括我們熟悉的各種網絡反病毒技術等等。
3網絡安全新問題的由來
在網絡設計之初,只考慮了信息交換的便利性和開放性,但對於保障信息安全的規劃卻非常有限。這樣,隨著計算機和通信技術的快速發展,網絡攻防技術升級,原有網絡固有優勢的開放性和互聯性成為信息安全風險的便捷橋梁。網絡安全已經成為壹個日益棘手的新問題,只要連接到互聯網的主機都可能受到攻擊或入侵,並遭受安全的新問題。
目前,在設計TCP/IP協議時,對新的安全問題的忽視造成了網絡本身的壹些特點,所有的應用安全協議都是基於TCP/IP的。TCP/IP協議本身的新的安全問題極大地影響了上層應用的安全。網絡的普及和應用還是近10年,操作系統的生產和應用比這要早得多,所以操作系統和軟件系統的不完善也造成了安全漏洞;在平安架構的設計和實現中,即使是再完美的架構,也可能存在很小的編程缺陷,從而帶來巨大的安全隱患。此外,安全系統中的各個組件之間缺乏密切的溝通和合作,很容易導致整個系統逐壹崩潰。
4.關於網絡安全新問題及策略的思考
網絡安全建設是壹項系統工程,也是壹項社會工程。新的網絡安全問題的策略可以從以下四個方面著手。
網絡安全的保障是從技術角度出發的。首先要建立正確的思想準備。網絡安全的特點決定了這是壹個不斷變化、快速更新的領域。而且中國在信息安全領域與發達國家還有很大差距,這意味著技術上的“持久戰”,也意味著人們在網絡安全領域的投入是壹種長期行為。其次,建立壹支高素質的人才隊伍。目前,在中國,網絡信息安全突出的新問題是人才稀缺和人才流失,尤其是拔尖人才。與此同時,網絡安全人才培養的投入仍存在較大不足。最後,在具體完成網絡安全需求時,根據實際情況,結合各種要求(如性價比等。),需要合理綜合使用多種技術。
網絡安全的保障是從管理的角度出發的。內部網是否安全不僅取決於它的技術手段,還取決於對網絡采取的綜合方法。它不僅關註物理預防因素,還關註人員素質等“軟”因素,主要側重於管理。“和平來自管理,也應該從管理中得到安全。”再好的技術和設備,沒有高質量的管理,也只是壹堆廢鐵。
網絡安全的保障是從組織系統的角度。要盡快建立健全網絡安全組織體系,明確各級責任。建立科學的認證認可組織管理體系、技術體系組織體系、各級認證認可組織體系,保障信息安全技術、信息安全工程、信息安全產品和信息安全管理。
最後,在盡快加強網絡立法和執法的同時,不斷提高全民的文明道德水平,倡導健康的“網絡道德”,增強每壹個網絡使用者的安全意識。只有這樣,才能從根本上解決網絡安全的新問題。
參考
1張千裏,陳光英。網絡安全新技術[m]。北京摘要:人民郵電出版社,2003。
2高永強,郭世澤。網絡安全技術與應用大典[m].北京摘要:人民郵電出版社,2003
3周國民。入侵檢測系統評估與技術發展[j].現代電子技術,2004(12)
4耿麥香。網絡入侵檢測技術綜述[J],網絡安全,2004(6)