时间:2023-03-14 15:14:55
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇安全网络论文范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
档案信息化以计算机技术为基础,与以往的纸质档案资料相比,具有以下特征:
1.1设备依赖性。
不同于过往的档案记载,信息化的档案资料再也不是一支笔、一份纸记录的过程,从输入到输出都是经由计算机与其辅助设备实现,管理与传输也都依赖各种软件与网络资源共享,信息处理速度与质量在某些程度上依赖于计算机的性能与软件的适应性。
1.2易控性和可变性。
信息化的档案资料一般是以通用的文档、图片、视频、音频等形式储存下来,这给信息共享带来了便利,但也增加了档案资料的易控性和可变性,对于文档资料可以通过office工具删除修改文字、对于图片资料可以通过photoshop轻易地改变其原有的面貌、对于音频和视频资料可以通过adobeaudition和premiere工具的剪辑变成完全不同的模样,这些都造成了档案信息易丢失的现象。
1.3复杂性。
档案信息量不断增加、信息存储形式也变得丰富多样,不仅有前文所述的文档、图像、视频、音频等形式,不同格式之间的信息资料还可以相互转换,如视频与图片、文字与图片的转换等等,进一步增加了档案信息的复杂性。
2目前网络环境下档案信息安全管理存在的问题
2.1网络环境下档案信息安全问题的特性。
档案信息化有其显著特征,在此基础上的档案信息安全问题属性也发生了较大变化。首先表现在信息共享的无边界性,发达的网络技术使得整个世界变成一张巨大的网,上传的信息即使在大洋彼岸也能及时查看,一旦信息泄露,传播的范围广、造成的危害难以估量。同时,在某种程度上档案信息化系统也存在着脆弱性问题,计算机病毒可以入侵系统的众多组成部分,而任何一部分被攻击都可能造成整个系统的崩溃。此外,网络安全问题还存在一定的隐蔽性,无需面对面交流,不用对话沟通,只需打开一个网页或是鼠标轻轻点击,信息就会在极短时间内被窃取,造成严重后果。
2.2网络环境下档案信息安全面临的主要问题。
1)档案信息化安全意识薄弱。很多情况下,档案信息被窃取或损坏并不是因为入侵者手段高明,而是档案信息管理系统自身安全漏洞过多,其本质原因是档案信息管理安全意识不够。受传统档案管理观念的桎梏、自身技术水平的限制,很多管理人员并未将档案信息看作极为重要的资源,对相关资料处理的随意性大,也无法觉察到潜在的风险,日常操作管理不规范,增加了档案安全危机发生的可能性。
2)档案信息化安全资金投入不够。现代信息环境复杂多变,数据量急剧增加,信息管理难度也越来越大,对各种硬件、软件设备的要求也进一步提高,需要企业在档案信息管理方面投入更多的人力、物力,定期检查系统漏洞。而就目前情况而言,大部分企业在这方面投入的资源还远远达不到要求,档案信息管理的安全性得不到有效保障。
3)档案信息化安全技术问题。技术问题首先表现在互联网自身的开放性特征中,互联网的基石是TCP/IP协议,以效率和及时沟通性为第一追求目标,必然会导致安全性的牺牲,诸如E-mail口令与文件传输等操作很容易被监听,甚至于不经意间计算机就会被远程操控,许多服务器都存在可被入侵者获取最高控制权的致命漏洞。此外,网络环境资源良莠不齐,许多看似无害的程序中夹杂着计算机病毒代码片段,隐蔽性强、传染性强、破坏力大,给档案信息带来了严重威胁。
3网络环境下实现档案信息安全保障原则
3.1档案信息安全的绝对性与相对性。
档案信息安全管理工作的重要性是无需置疑的,是任何企业特别是握有核心技术的大型企业必须注重的问题,然而,档案信息管理并没有一劳永逸的方法,与传统档案一样,不存在绝对的安全保障,某一时期看起来再完善的系统也会存在不易发现的漏洞,随着科技的不断发展,会愈来愈明显地暴露出来。同时,档案信息安全维护技术也没有绝对的优劣之分,根据实际情况的需求,简单的技术可能性价比更高。
3.2管理过程中的技术与非技术因素。
档案信息管理工作不是单一的网络技术维护人员工作,也不是管理人员的独角戏,而需要技术与管理的有机结合。档案管理人员可以不具备专业网络技术人才的知识储备量,但一定要具备发现安全问题的感知力与责任心,对于一些常见入侵迹象要了然于心,对于工作中出现的自身无法解决的可疑现象应及时通知更专业的技术人员查看。可根据企业实际情况建立完善的档案安全管理机制,充分调动各部门员工的力量,以系统性、全面性的理念去组织档案信息管理工作。
4网络环境下档案信息安全管理具体保障方法
4.1建立制度屏障。
完善的制度是任何工作顺利进行的前提与基础,对于复杂网络环境下的档案信息安全管理工作来说更是如此。在现今高度发达的信息背景下,档案管理再不是锁好一扇门、看好一台计算机的简单工作,而是众多高新技术的集合体,因此,做好档案信息安全管理工作首先要加强安全意识的宣传,包括保密意识教育与信息安全基础教育,加强档案管理人员特别是技术操作人员的培训工作。同时,应注重责任制度的落实,详细规定库房管理、档案借阅、鉴定、销毁等责任分配,详细记录档案管理培训与考核工作、记录进出档案室的人员信息,具体工作落实到人。在实际操作中,应严格记录每一个操作步骤,将档案接收、借阅、复制等过程完整、有条理地编入类目中,以便日后查阅。
4.2建立技术屏障。
网络环境下的信息安全技术主要体现在通信安全技术和计算机安全技术两个方面。
1)通信安全技术。通信安全技术应用于档案资料的传输共享过程中,可分为加密、确认与网络控制技术等几大类。其中,信息加密技术是实现档案信息安全管理的关键,通过各种不同的加密算法实现信息的抽象化与无序化,即使被劫持也很难辨认出原有信息,这种技术性价比高,较小的投入便可获得较高的防护效果。档案信息确认技术是通过限制共享范围达到安全性要求,每一个用户都掌握着识别档案信息是否真实的方案,而不法接收者难以知晓方案的实际内容,从而预防信息的伪造、篡改行为。
2)计算机安全技术。从计算机安全角度入手,可采用芯片卡识别制度,每一名合法使用者的芯片卡微处理机内记录特有编号,只有当编号在数据库范围内时方可通过认证,防止档案信息经由计算机存储器被窃的现象发生。同时,应加强计算机系统的防火墙设计,注意查找系统漏洞。
4.3建立法律屏障。
【关键词】VPN;远程教育;远程教育平台
【中图分类号】 G40-057 【文献标识码】A【论文编号】1009―8097(2009)12―0130―03
一 引言
远程教育具有用户数量多、分布范围广、接入方式多样化的特征,如何保证远程教育得以顺利开展,是构建远程教育系统时应该考虑的主要问题[1]。随着Internet的迅速发展,各种宽带接入方式的出现,虚拟专用网技术(VPN)也应运而生。VPN是利用开放的公众网络建立专用数据传输通道,将远程的站点、伙伴、移动办公人员等连接起来,并且提供安全的端到端的数据通信,是一种虚拟技术。把VPN技术应用于远程教育系统的构建中,既可以保证数据安全,又可以节省远程用户的访问费用,同时可以在VPN上开展不同形式的远程教学。本文结合实际,探讨高校远程教育VPN网络平台的实现过程[2]。
二 建设目标
总体目标是利用VPN技术建立一个基于Internet的远程教育系统的私有网络,实现在该VPN网络平台上,远程教育各个管理应用系统数据的安全传输,以及对接入用户身份的有效认证和方便控制。尤其在对教师、学员等移动用户的接入身份认证上,需要将VPN系统和高校远程教育应用系统的身份认证模块无缝整合,实现VPN接入和应用系统用户身份的集中管理和统一控制,极大方便系统管理员管理和用户使用。
三 系统设计
在我校远程教育系统信息中心,通过千兆光纤连接到互联网。由于中心网点是整个系统的核心,要确保高可靠性,所以在出口处部署2台100/1000M自适应级安全网关,实现双机热备功能。对于分支机构,根据各分支机构的不同情况,分别部署硬件安全网关设备和软件网关到各驻外机构。对于老师这类移动用户,采用“USB KEY”硬件方式进行身份认证,通过配套的安全客户端软件实现远程移动安全接入[3]。对于学员这类移动用户,采用“用户名+密码”纯软件方式进行身份认证(在安全客户端启动界面上输入),结合安全客户端软件实现远程移动安全接入(如图1)。
图1 系统网络拓扑示意图
1 服务端
在网络的出口处,部署VPN安全网关(安全网关综合利用了隧道技术、加密技术、认证技术来保护大学远程教育系统和下属市、县远程教育系统内网的安全通讯、安全传输)[4]。另外,安全网关可以提供高可靠性的双机热备功能,可以在主设备发生故障时,备份网关自动快速进行状态切换,确保系统工作不中断。安全网关可以实现以下几方面功能:
(1) 和远地分支机构网络边界部署的VPN安全网关或安全客户端建立VPN加密隧道,确保数据传输安全;并能够通过VPN通讯策略的灵活设置,根据用户要求实现对指定网段/范围/IP地址的PC的应用系统数据传输进行加密保护。
(2) 对总部内网的防火墙防护:安全网关具备优良的状态检测防火墙功能,可以防御外网对内部主机的端口扫描、各种DoS/DDoS攻击等恶意攻击行为,还可以抵御各种常用的应用层攻击。另外,可以通过VPN安全网关上的访问控制策略,对内网PC进行严格的基于“五元组+时间”的访问控制[5]。如:为确保安全性,可对允许上网的PC进行IP和MAC绑定,并通过网关中的安全策略设置对这些PC的数据流进行状态检测,以确保不能被仿冒;也可以使用网关中的“用户上网认证”功能,使用户在使用浏览器上网浏览时,首先要通过网关的访问密码认证;禁止某些URL网址的访问等[6]。
(3) 安全网关具备八个等级的QoS控制功能,能够为VOIP和视频等需要优先的网络应用保留带宽和优先处理,这样当网络拥挤时,也能够保障VOIP和视频的畅通和话音质量。安全网关能够将访问控制策略与保留带宽绑定,并能为这些应用设定优先级,共有8个处理等级可以设置。
2 各地分支机构
可以根据各分支机构的不同情况,分别部署硬件安全网关或安全客户端系统(配合USB KEY)到各驻外机构。具有子网的各驻外机构采用ADSL或者其他宽带方式(如Cable Modem、FTTB等)接入Internet。建议在有一定规模的局域网出口处,部署中低端型号的安全网关,如:SGW25A或SGW25B;建议在仅有少数终端的分支机构(如办事处),在需要联入远程教育网的终端上安装安全客户端软件(与USB KEY配合使用),并与上网软件或NAT软件配合构成软件网关,从而和总部联网实现VPN加密通讯(如图2)。
图2 中等规模分支机构网络示意图
可根据用户的网络接入带宽和网络规模,选择合适的安全网关产品。对于规模较小的网点,可以采用安全客户端软件加硬件USB KEY实现和总部的互连(如图3)。
图3 小规模分支机构网络示意图
3 教师和学员等移动用户
远程教育系统的用户数目庞大,主要包括教师和学员。
对于大数量的用户,需要有一个很好的组织方式,方便管理和维护,并且和应用系统能够无缝整合,实现VPN接入身份认证和应用系统身份认证完全实现统一:统一管理、单点登录[7]。对于教师,由于数量较少,人员比较稳定,而且使用的系统与内部管理关联紧密,所以需要更高的安全性。建议采用安全客户端配套USB KEY来解决教师和总部VPN安全网关的互联互通。
对于学员,由于数量庞大,而且分布在全国各地,不便进行现场支持,而且稳定性相对较差,所以建议采用纯软件版的安全客户端系统实现和总部VPN安全网关的互联互通,同时通过“帐户名+口令”的方式进行VPN接入身份认证;并且通过定制,实现VPN接入的“帐户名+口令”与应用系统的“帐户名+口令”完全一致,实现单点登录。
根据上述方法,一种对用户(教师和学员)实现统一管理的方法,可采用LDAP目录来保存用户信息,所有的用户信息都保存在LDAP服务器上[8]。
LDAP是Lightweight Directory Access Protocol的缩写,基于X.500标准,但是简化了很多并且可以根据需要定义。与X.500不同的是LDAP支持TCP/IP,这是访问Internet所必须的。通过LDAP可以访问存储在LDAP目录中的信息。LDAP目录采用树型层次结构来存储数据,就象DNS的主机名一样,LDAP目录中记录的的标志名(Distinguished Name)用来读取单个记录,并回溯到目录树的顶部。
大多数的LDAP服务器都为读密集型的操作进行专门的优化。因此,当从LDAP服务器中读取数据的时候会比从关系型数据库中读取数据快一个数量级。也是因为专门为读的性能进行优化,大多数的LDAP目录服务器并不适合存储需要经常改变的数据。对于学员组织结构这样需要经常查询,但是很少修改的信息,非常适合存储在LDAP目录中。
LDAP允许根据需要使用ACL(访问控制列表)来控制对数据的读写权限,指定不同的用户可以拥有不同的操作权限,实现用户信息的分级管理。
针对我校远程教育网的情况,LDAP目录用来存储学院的学员信息,LDAP目录可以根据学院的组织结构来组织。LDAP目录以学院为根目录,以不同的系为下一级目录,如果有需要,每个系可形成再下一级的目录,最后的记录项保存学员的相关信息。同时,通过使用LDAP的ACL,允许学院的管理员对所有用户信息有读写权限,而系管理员只对本系的用户信息有完全的读写权限。
采用LDAP目录来存储用户信息,可以根据学院组织结构来组织用户,方便地实现用户的分级管理,减少管理员的工作量。当用户通过VPN客户端请求连接到安全网关时,先以SSL方式连接到SGW25C安全网关,并上传“帐户名和密码”,安全网关从LDAP服务器获取用户的相关信息,并校验用户身份。如果用户身份校验通过,安全客户端将和安全网关通过IKE协商建立VPN隧道,通过隧道访问内网应用服务器。LDAP服务器由应用系统管理员进行管理。
四 结束语
远程教育平台的发展日新月异,新技术在远程教育中的应用更是层出不穷,如何选择最佳的技术和开发方案,并遵循合理的开发规范来设计现代远程教育平台,一直是业界研究的热点。VPN具有较高的安全性,良好的扩展性,灵活的控制策略,强大的管理功能等优势,随着技术的进一步发展,VPN还能够提供QoS服务质量保证,支持各种多媒体业务,因此,VPN在远程教育中将会得到更广泛的应用[9]。
――――――――
参考文献
[1] 姜庆.MPLSVPN在现代远程教育中的应用[J].软件导刊(教育技术),2008,(7):62-64.
[2] 高海英等.VPN技术[M].北京:机械工业出版社.2004.
[3] 肖晓梅.利用VPN实现高校校园网的远程访问[J].中国教育信息化,2008,(9):34-35.
[4] 梁炳超.VPN技术在高校图书馆远程访问中的应用[J].现代情报,2008,(4):82-84.
[5] 刘卫国.VPN技术在高校图书馆的应用[J].图书馆工作与研究,2007,(6):39-41.
[6] 朱伟珠.利用VPN技术实现高校图书馆资源共享[J].情报科学,2007,(7):1058-1061.
[7] 王春海,张晓莉,田浩编著.VPN网络组建案例实录[J].北京:科学出版社,2008.
【关键词】隧道技术,应用,研究
中图分类号:U45文献标识码: A
一、前言
由于网络的发展和完善以及速度的不断提高,越来越多的公司逐步进行运用隧道技能。大规模的组建VPN网络已经成为一种趋势,这种技术越来越多地遭到用户的广泛重视。
二、VPN的隧道技术
VPN技术比较复杂,它涉及到通信技术、密码技术和现代认证技术,是一项交叉科学。具体来讲,目前VPN主要采用下列四项技术来保证其安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption&Decryption)、密钥管理技术、使用者与设备身份认证技术(Authentication)。隧道技术是VPN的基本技术,类似于点对点连接技术,它在公用网中建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道技术的基本工作原理是在源局域网与公网的接口处将数据作为负载封装在一种可以在公网上传输的数据格式之中,在目的局域网与公网的接口处将数据解封装,取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。
三、隧道技术
1、第二层隧道协议
第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。创建隧道的过程类似于在双方之间建立会话;隧道的两个端点必须同意创建隧道并协商隧道各种配置变量,如地址分配,加密或压缩等参数。第二层隧道协议有L2F、PPTP、L2TP等。
(一)、点对点隧道协议(PPTP)
PPTP将PPP数据桢封装在IP数据报内通过IP网络,如Internet传送。PPTP还可用于专用局域网络之间的连接。PPTP使用一个TCP连接对隧道进行维护,使用通用路由封装(GRE)技术把数据封装成PPP数据桢通过隧道传送。可以对封装PPP桢中的负载数据进行加密或压缩。
(二)、第2层转发(L2F)
L2F是Cisco公司提出的隧道技术,作为一种传输协议L2F支持拨号接入服务器将拨号数据流封装在PPP桢内通过广域网链路传送到L2F服务器(路由器)。L2F服务器把数据包解包之后重新注入(inject)网络。与PPTP和L2TP不同,L2F没有确定的客户方。应当注意L2F只在强制隧道中有效。
(三)、第2层隧道协议(L2TP)
L2TP结合了PPTP和L2F协议。设计者希望L2TP能够综合PPTP和L2F的优势。L2TP是一种网络层协议,支持封装的PPP桢在IP,X.25,桢中继或ATM等的网络上进行传送。当使用IP作为L2TP的数据报传输协议时,可以使用L2TP作为Internet网络上的隧道协议。L2TP还可以直接在各种WAN媒介上使用而不需要使用IP传输层。
2、第三层隧道协议
IPSec是指IETF(因特网工程任务组)以RFC形式公布的一组安全IP协议集,是为IP及其以上协议(TCP和UDP等)提供安全保护的安全协议标准。其目标是把安全机制引入IP协议,通过使用密码学方法支持机密性和认证服务等安全服务。IPSec通过在IP协议中增加两个基于密码的安全机制―认证头(AH)和封装安全载荷(ESP)来支持IP数据报的认证、完整性和机密性。IPSec协议族包括:IP安全架构、认证头AH、封闭安全载荷ESP和Internet密钥交换(IKE)等协议。IP安全架构协议指定了IPSec的整个框架,是IP层安全的标准协议。AH协议定义了数据源认证和完整性验证的应用方法。ESP为IP数据报文提供数据源验证、数据完整性校验、抗重播和数据加密服务。IKE为AH和ESP提供密钥交换机制,在实际进行IP通信
时,可以根据实际安全需求,同时使用AH和ESP协议,或选择使用其中的一种。
3、新兴的隧道协议
SSL是Netscape公司设计的主要用于web的安全传输协议。SSL被设计为使TCP提供一个可靠的端到端的安全服务,它不是一个单一的协议,而是由多个协议组成记录协议定义了要传输数据的格式,它位于可靠的传输协议TCP之上,用于各种更高层协议的封装。记录协议主要完成分组和组合,压缩和解压缩,以及消息认证和加密等功能。所有传输数据包括握手消息和应用数据都被封装在记录中。握手协议允许服务器与客户机在应用程序传输和接收数据之前互相认证、协商加密算法和密钥。通信双方首先通过SSL握手协议建立客户端与服务器之间的安全通道,SSL记录协议通过分段、压缩、添加MAC以及加密等操作步骤把应用数据封装成多条记录,最后再进行传输。
四、隧道技术的应用模型
1、端到端安全应用
IPSec存在于一个主机或终端系统时,每一个离开和进入的PI数据包都可得到安全保护。PI包的安全保护可以从数据源一直到数据被接收。制定相应的安全策略,一对独立的SA可以保护两个端点之间的全部通信―Tenlet、SMTP、WEB和FTP等。或者,根据两个端点之间通信的协议的不同(TCP和UDP)和端口的不同,分别用不同的SA保护两个端点之间的不同的通信。在这种模式下,通信的端点同时也是PISec的端点。所以,端到端安全可以在传送模式下,
利用PISec来完成;也可以在隧道模式下,利用额外IP头的新增来提供端到端的安全保护。
2、虚拟专用网
IPSec存在于路山器等网络互连设备时,司一以构建虚拟专用网VPN。VPN是“虚拟的”,因为它不是一个物理的、明显存在的网络。两个不同的物理网络通过一条穿越公共网络的安全隧道连接起来,形成一个新的网络VPN。VPN是“专川的”,因为被加密的隧道可以提供数据的机密性。而今,人们从传统的专线网络转移到利用公共网络的网络,逐渐意识到节省费用的VPN重耍性。通过在路山器上配置PISec,就可以构建一个VPN。在路山器的一端,连接着一个受保护的私有网络,对这个网络的访问要受到严格的拧制。在另一端连技的是一个不安全的网络帐Internet。在两个路山器之间的公共网络上建立一条安全隧道,通信就可以从一个受保护的本地子网安全地传送到另一个受保护的远程子网。这就是VPN,在VPN中,母一个具有IPSec的路由器都是一个网络聚合点。在两个PISec的路山器之间通常使用隧道模式,可以采用多种安全策略,建立一对或多对SA,试图对VPN进布J屯通信分析将是非常困难的。如果在一个本地私有网络中的数据包的目的地是VPN的远程网络―它是从一个路由器发送到另一个路山器的、加密的数据包。
3、移动IP
在端到端安IP全中,数据包由产生和l或接收通信的那个主机进行加密和解密.在VPN中,
网络中的一个路由器对一个受安全保护的网络中的主机(或多个)的数据包进行加密和解密。这两个组合一般称为移动IP。移动IP一般是独立的,它要求计问受安全保护的网络,它是一个移动的客户,不停留在某个固定的地方。他必须通过旅店、或任何一个可以进行internetPOP的地方,安全地访问公司资源。在移动IP的方案中,移动主机和路由器都支持PISec,它们之间可以建立一条安个隧道。它们能够在外出数据包抵达通信线路之前对它进行安全保护:能够在对进入包进行IP处理之前,验证它们的安全保护。具有PISec的路山器保护的是移动主机想要访问的那个网络,它也可以是支持V户N的路山器,允许其它的移动主机进行安全的远程访问。在这种方案中,一方是移动主机,它既是通信方。另一方将PISec当作一项服务提供给另一个网络实体。
4、嵌套式隧道
有时,需要支持多级网络安全保护。比如下面一个例子:一个企业有一个安全网关,以防止其网络受到竞争者或黑客的侵犯和攻击,而企业内部另有一个安全网关,防止某些内部员工进入敏感的子网。比如银行系统的企业网。这种情况下,如果某人希望对网络内部的保护子网进行访问,就必须使用嵌套式隧道。
5、链式隧道
一种常见的网络安全配置是Hub-and-spoke。从一个网络横过Hub-and-spoke网络,到达另一个网络的数据包都由一个安全网关加密,由中心路由器解密,再加密,并由保护远程网络的另一个安全网关解密。
6、隧道交换模型
如果从交换的角度来看,它也可以称为隧道交换模型。在中心路由器所连接的四个网络可以是不同类型的网络,隧道的实现方式也可以不同,但是,不同网络的两个节点在进行数据传输时,并不关心隧道的实现媒体,隧道可以接力的方式进行数据的传递。从安全的角度,假设每一个隧道是安全的,且中心路由器也是安全的,那么任何两个节点之间的通信也应该是安全的。假设隧道间彼此不能信任,那么可以只将隧道的连接看作是一条数据的传输通道,再使用前面所论述的隧道模型实现安全保护,如点到点的隧道安全模式。
五、结束语
由于Internet基础设施的完善,隧道技能必将将在网建等各范畴,发挥着越来越重要的效果。实现隧道技能的多种多样,它们各有各的优势,如今,市场上大多数都在使用VPN这类技能。
参考文献
[1]毛小兵,VPN演进之隧道交换.《计算机世界》2000
[2]沈鑫剡.IP交换网原理、技术及实现[M].北京:人民邮电出版社,2003.
本文结合工作实际的维护工作介绍防火墙技术的部分应用,对如何保护各类网络和应用的安全,如何保护信息安全成为了本文探讨的重点。
关键词:bss网、mss网、防火墙
正文
1、 防火墙 简介
通过防火墙的运用,将那些危险的连接和攻击行为隔绝在外。从而降低网络的整体风险。。
1.1防火墙功能
防火墙的基本功能是对网络通信进行筛选屏蔽以防止未授权的访问进出计算
机网络,简单的概括就是,对网络进行访问控制。
防火墙是一种计算机硬件和软件的结合,使不同网络之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成。
1.2防火墙基本原理
防火墙是指一种将内部网和公众访问网(如Internet)分开的方法,实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络
2、 防火墙种类
从实现原理上分,防火墙的技术包括四大类:网络级防火墙(也叫包过滤
型防火墙)、应用级网关、电路级网关和规则检查防火墙。
2.1网络级防火墙
一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。
2.2应用级网关
应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。
2.3电路级网关
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session)是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。电路级网关还提供一个重要的安全功能:服务器(Proxy Server)。
2.4规则检查防火墙
该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。
3、防火墙实际应用
在实际工作中,按照承载业务的不同,某运营商的网络大致可以分为两类。
一是BSS网络,用于承载运营商的计费业务;二是MSS网络,用于满足日常办公的需要;
3.1 网络结构
3.2网络说明
如图3-1所示,BSS网络承载主用IP承载网,一条ATM可以承载办公网,N*2M电路作为MSS网络备用电路,达到了热备和扩容的目的。而且出口的拥塞不会影响MSS网络的使用,保证日常办公正常。
3.3安全域的划分
安全域的划分根据设备的用途、存储数据的重要性等因素,分为五个层级。从0-4安全等级依次递减。划分设备安全等级的原则包括以下几个要点:
存储私密数据,除系统工程师外不允许其他人随意访问的设备安全等级最高;
需要存取数据,又要提供对外接口的设备,安全等级次之;
有互联网出口的网络安全等级更低,如:办公网设备;
公网或VPN接入的设备可信度最低,所以安全等级最低。
3.4核心安全区域划分
3.4.1 核心安全网络图3-3
3.4.2
如图3-3所示,以两对防火墙作为分割线。PIX525以内的主机属于第0级;PIX525和NetScreen 500F之间的主机属于第1级;NetScreen 500F以外BSS网络设备,没有互联网出口,属于第2级;办公网设备属于第3级;通过互联网由VPN接入的设备等级最低,统一归属于第4安全等级。
以两对防火墙作为分割线。PIX525以内的主机属于第0级;PIX525和NetScreen 500F之间的主机属于第1级;NetScreen 500F以外BSS网络设备,没有互联网出口,属于第2级;办公网设备属于第3级;通过互联网由VPN接入的设备等级最低,统一归属于第4安全等级。
3.5地市网络安全域的划分
地市网络可以分为两级,纯生产终端划入高安全区域,办公终端划入低安全区域,中间增加安全隔离设备。注意到这里BSS网络和MSS网络的概念已经被淡化了,我们只是根据重要程度的不同把所有设备置入了不同的安全区域里,再根据业务需要定制访问控制列表。
3.6访问控制列表
参照图3-3所示,我们把最重要的设备至于0级,并为其分配独立的IP地址空间。在安全设备上启用NAT功能(地址映射),对1-4级设备隐藏其真实地址,即0级设备从表象上看是不存在的。并制订严格的访问策略,仅允许指定主机访问特定主机的特定协议端口。默认拒绝一切网络连接请求。
1级设备的访问控制列表是双向的,对内允许特定服务器对特定主机数据库端口的访问;对外允许特定的客户群访问特定的协议端口。
2级设备是指重要性较低的生产设备。此级设备可根据业务需求设定访问控制策略。
3-4级就是办公终端了,因为其能与互联网互通,或者通过互联网接入,所以较易感染病毒或受到攻击。一般仅开放最小的系统访问权限,给预最为严格的认证,和路由控制。
为了更好的保护0-1级设备,我们在接口处设置了入侵检测系统,并对进入0-1级区域的操作进行了审计。审计系统还可以关联系统帐户和访问进程,限制合法的用户只能通过合法的程序操作授权范围内的数据。
4、.部分配置
4.1限制客户端物理位置和设备的功能(即要求软件、硬件VPN产品在使用过程中只能是公司指定的地点、机器和人员)通过访问控制列表来实现。
又比如通过MAC访问列表,限制只有特定物理地址的主机才能接入:
4.2控制访问时间的功能(包括按小时、按天的控制)
论文摘要:文章主要针对在电子商务应用中所经常使用到的几种信息安全技术作了系统的阐述,分析了各种技术在应用中的侧重点,强调了在电子商务应用中信息安全技术所具有的重要作用。
21世纪是知识经济时代,网络化、信息化是现代社会的一个重要特征。随着网络的不断普及,电子商务这种商务活动新模式已经逐渐改变了人们的经济、工作和生活方式,可是,电子商务的安全问题依然是制约人们进行电子商务交易的最大问题,因此,安全问题是电子商务的核心问题,是实现和保证电子商务顺利进行的关键所在。
信息安全技术在电子商务应用中,最主要的是防止信息的完整性、保密性与可用性遭到破坏;主要使用到的有密码技术、信息认证和访问控制技术、防火墙技术等。
1密码技术
密码是信息安全的基础,现代密码学不仅用于解决信息的保密性,而且也用于解决信息的保密性、完整性和不可抵赖性等,密码技术是保护信息传输的最有效的手段。密码技术分类有多种标准,若以密钥为分类标准,可将密码系统分为对称密码体制(私钥密码体制)和非对称密码体制(公钥密码体制),他们的区别在于密钥的类型不同。
在对称密码体制下,加密密钥与解密密钥是相同的密钥在传输过程中需经过安全的密钥通道,由发送方传输到接收方。比较著名的对称密钥系统有美国的DES,欧洲的IDEA,Et本的RC4,RC5等。在非对称密码体制下加密密钥与解密密钥不同,加密密钥公开而解密密钥保密,并且几乎不可能由加密密钥导出解密密钥,也无须安全信道传输密钥,只需利用本地密钥的发生器产生解密密钥。比较著名的公钥密钥系统有RSA密码系统、椭圆曲线密码系统ECC等。
数字签名是一项专门的技术,也是实现电子交易安全的核心技术之一,在实现身份认证、数据完整性、不可抵赖性等方面有重要的作用。尤其在电子银行、电子证券、电子商务等领域有重要的应用价值。数字签名的实现基础是加密技术,它使用的是公钥加密算法与散列函数一个数字签名的方案一般有两部分组成:数字签名算法和验证算法。数字签名主要的功能是保证信息传输的完整性、发送者身份的验证、防止交易中抵赖的发生。
2信息认证和访问控制技术
信息认证技术是网络信息安全技术的一个重要方面,用于保证通信双方的不可抵赖性和信息的完整性。在网络银行、电子商务应用中,交易双方应当能够确认是对方发送或接收了这些信息,同时接收方还能确认接收的信息是完整的,即在通信过程中没有被修改或替换。
①基于私钥密码体制的认证。假设通信双方为A和B。A,B共享的密钥为KAB,M为A发送给B的信息。为防止信息M在传输信道被窃听,A将M加密后再传送,如图1所示
由于KAB为用户A和B的共享密钥,所以用户B可以确定信息M是由用户A所发出的,这种方法可以对信息来源进行认证,它在认证的同时对信息M也进行了加密,但是缺点是不能提供信息完整性的鉴别。通过引入单向HASH函数,可以解决信息完整性的鉴别问题,如图2所示
在图2中,用户A首先对信息M求HASH值H(M),之后将H(M)加密成为m,然后将m。和M一起发送给B,用户B通过解密ml并对附于信息M之后的HASH值进行比较,比较两者是否一致。图2给出的信息认证方案可以实现信息来源和完整性的认证。基于私钥的信息认证的机制的优点是速度较快,缺点是通信双方A和B需要事先约定共享密钥KAB。
②基于公钥体制的信息认证。基于公钥体制的信息认证技术主要利用数字签名和哈希函数来实现。假设用户A对信息M的HASH值H(M)的签名为SA(dA,H(m),其中dA为用户A的私钥),用户A将M//SA发送给用户B,用户B通过A的公钥在确认信息是否由A发出,并通过计算HSAH值来对信息M进行完整性鉴别。如果传输的信息需要报名,则用户A和B可通过密钥分配中心获得一个共享密钥KAB,A将信息签名和加密后再传送给B,如图3所示。由图3可知,只有用户A和B拥有共享密钥KAB,B才能确信信息来源的可靠性和完整性。
访问控制是通过一个参考监视器来进行的,当用户
对系统内目标进行访问时,参考监视器边查看授权数据库,以确定准备进行操作的用户是否确实得到了可进行此项操作的许可。而数据库的授权则是一个安全管理器负责管理和维护的,管理器以阻止的安全策略为基准来设置这些授权。
③防火墙技术。防火墙是目前用得最广泛的一种安全技术,是一种由计算机硬件和软件的组合。它使互联网与内部网之间建立起一个安全网关,可以过滤进出网络的数据包、管理进出网络的访问行为、对某些禁止的访问行为、记录通过防火墙的信息内容和活动及对网络攻击进行检测和告警等。防火墙的应用可以有效的减少黑客的入侵及攻击,它限制外部对系统资源的非授权访问,也限制内部对外部的非授权访问,同时还限制内部系统之间,特别是安全级别低的系统对安全级别高的系统的非授权访问,为电子商务的施展提供一个相对更安全的平台,具体表现如下:
①防火墙可以强化网络安全策略。通过以防火墙为中心的安全方案配置,能将所有安全软件配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙身上。
②对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
③防止内部信息的外泄。通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。
防火墙可以同样阻塞有关内部网络中的DNS信息,这样台主机的域名和IP地址就不会被外界所了解。
④网络安全协议。网络协议是网络上所有设备之间通信规则的集合。在网络的各层中存在着许多协议,网络安全协议就是在协议中采用了加密技术、认证技术等保证信息安全交换的安全网络协议。目前,Intemet上对七层网络模型的每一层都已提出了相应的加密协议,在所有的这些协议中,会话层的SSL和应用层的SET与电子商务的应用关系最为密切。
①ssL协议(SecureSocketsLayer)安全套接层协议。SSL使用对称加密来保证通信保密性,使用消息认证码(MAC)来保证数据完整性。SSL主要使用PKI在建立连接时对通信双方进行身份认证。SSL协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性。它主要适用于点对点之间的信息传输,提供基于客户/服务器模式的安全标准,它在传输层和应用层之间嵌入一个子层,在建立连接过程中采用公开密钥,在会话过程中使用私人密钥。加密的类型和强度则在两端之间建立连接的过程中判断决定。
SSL安全协议是国际上最早应用于电子商务的一种网络安全协议,至今仍然有很多网上商店使用。在传统的邮购活动中,客户首先寻找商品信息,然后汇款给商家,商家将商品寄给客户。这里,商家是可以信赖的,所以客户先付款给商家。在电子商务的开始阶段,商家也是担心客户购买后不付款,或使用过期的信用卡,因而希望银行给予认证。SSL安全协议正是在这种背景下产生的。所以,它运行的基点是商家对客户信息保密的承诺。显然,SSL协议无法完全协调各方间的安全传输和信任关系。
②SET协议SecureElectronicTransaction)安全电子交易。为了克服SSL安全协议的缺点,实现更加完善的即时电子支付,SET协议应运而生。
1 移动互联网的安全现状
自由开放的移动网络带来巨大信息量的同时,也给运营商带来了业务运营成本的增加,给信息的监管带来了沉重的压力。同时使用户面临着经济损失、隐私泄露的威胁和通信方面的障碍。移动互联网由于智能终端的多样性,用户的上网模式和使用习惯与固网时代很不相同,使得移动网络的安全跟传统固网安全存在很大的差别,移动互联网的安全威胁要远甚于传统的互联网。
⑴移动互联网业务丰富多样,部分业务还可以由第三方的终端用户直接运营,特别是移动互联网引入了众多手机银行、移动办公、移动定位和视频监控等业务,虽然丰富了手机应用,同时也带来更多安全隐患。应用威胁包括非法访问系统、非法访问数据、拒绝服务攻击、垃圾信息的泛滥、不良信息的传播、个人隐私和敏感信息的泄露、内容版权盗用和不合理的使用等问题。
⑵移动互联网是扁平网络,其核心是IP化,由于IP网络本身存在安全漏洞,IP自身带来的安全威胁也渗透到了移动专业提供论文写作和写作论文的服务,欢迎光临dylw.net互联网。在网络层面,存在进行非法接入网络,对数据进行机密性破坏、完整性破坏;进行拒绝服务攻击,利用各种手段产生数据包造成网络负荷过重等等,还可以利用嗅探工具、系统漏洞、程序漏洞等各种方式进行攻击。
⑶随着通信技术的进步,终端也越来越智能化,内存和芯片处理能力也逐渐增强,终端上也出现了操作系统并逐步开放。随着智能终端的出现,也给我们带来了潜在的威胁:非法篡改信息,非法访问,或者通过操作系统修改终端中存在的信息,产生病毒和恶意代码进行破坏。
综上所述,移动互联网面临来自三部分安全威胁:业务应用的安全威胁、网络的安全威胁和移动终端的安全威胁。
2 移动互联网安全应对策略
2010年1月工业和信息化部了《通信网络安全防护管理办法》第11号政府令,对网络安全管理工作的规范化和制度化提出了明确的要求。客户需求和政策导向成为了移动互联网安全问题的新挑战,运营商需要紧紧围绕“业务”中心,全方位多层次地部署安全策略,并有针对性地进行安全加固,才能打造出绿色、安全、和谐的移动互联网世界。
2.1 业务安全
移动互联网业务可以分为3类:第一类是传统互联网业务在移动互联网上的复制;第二类是移动通信业务在移动互联网上的移植,第三类是移动通信网与互联网相互结合,适配移动互联网终端的创新业务。主要采用如下措施保证业务应用安全:
⑴提升认证授权能力。业务系统应可实现对业务资源的统一管理和权限分配,能够实现用户账号的分级管理和分级授权。针对业务安全要求较高的应用,应提供业务层的安全认证方式,如双因素身份认证,通过动态口令和静态口令结合等方式提升网络资源的安全等级,防止机密数据、核心资源被非法访问。
⑵健全安全审计能力。业务系统应部署安全审计模块,对相关业务管理、网络传输、数据库操作等处理行为进行分析和记录,实施安全设计策略,并提供事后行为回放和多种审计统计报表。
⑶加强漏洞扫描能力。在业务系统中部署漏洞扫描和防病毒系统,定期对主机、服务器、操作系统、应用控件进行漏洞扫描和安全评估,确保拦截来自各方的攻击,保证业务系统可靠运行。
⑷增强对于新业务的检查和控制,尤其是针对于“移动商店”这种运营模式,应尽可能让新业务与安全规划同步,通过SDK和业务上线要求等将安全因素植入。
2.2 网络安全
移动互联网的网络架构包括两部分:接入网和互联网。前者即移动通信网,由终端设备、基站、移动通信网络和网关组成;后者主要涉及路由器、交换机和接入服务器等设备以及相关链路。网络安全也应从以上两方面考虑。
⑴接入网的网络安全。移动互联网的接入方式可分为移动通信网络接入和Wi-Fi接入两种。针对移动通信接入网安全,3G以及未来LTE技术的安全保护机制有比较全面的考虑,3G网络的无线空口接入采用双向认证鉴权,无线空口采用加强型加密机制,增加抵抗恶意攻击的安全特性等机制,大大增强了移动互联网的接入安全能力。针对Wi-Fi接入安全,Wi-Fi的标准化组织IEEE使用安全机制更完善的802.11i标准,用AES算法替专业提供论文写作和写作论文的服务,欢迎光临dylw.net代了原来的RC4,提高了加密鲁棒性,弥补了原有用户认证协议的安全缺陷。针对需重点防护的用户,可以采用VPDN、SSLVPN的方式构建安全网络,实现内网的安全接入。
⑵承载网网络及边界网络安全。1)实施分域安全管理,根据风险级别和业务差异划分安全域,在不同的安全边界,通过实施和部署不同的安全策略和安防系统来完成相应的安全加固。移动互联网的安全区域可分为Gi域、Gp域、Gn域、Om域等。2)在关键安全域内部署人侵检测和防御系统,监视和记录用户出入网络的相关操作,判别非法进入网络和破坏系统运行的恶意行为,提供主动化的信息安全保障。在发现违规模式和未授权访问等恶意操作时,系统会及时作出响应,包括断开网络连接、记录用户标识和报警等。3)通过协议识别,做好流量监测。依据控制策略控制流量,进行深度检测识别配合连接模式识别,把客户流量信息捆绑在安全防护系统上,进行数据筛选过滤之后把没有病毒的信息再传输给用户。拦截各种威胁流量,可以防止异常大流量冲击导致网络设备瘫痪。4)加强网络和设备管理,在各网络节点安装防火墙和杀毒系统实现更严格的访问控制,以防止非法侵人,针对关键设备和关键路由采用设置4A鉴权、ACL保护等加固措施。
2.3 终端安全
移动互联网的终端安全包括传统的终端防护手段、移动终端的保密管理、终端的准入控制等。
⑴加强移动智能终端进网管理。移动通信终端生产企业在申请入网许可时,要对预装应用软件及提供者 进行说明,而且生产企业不得在移动终端中预置含有恶意代码和未经用户同意擅自收集和修改用户个人信息的软件,也不得预置未经用户同意擅自调动终端通信功能、造成流量耗费、费用损失和信息泄露的软件。
⑵不断提高移动互联网恶意程序的样本捕获和监测处置能力,建设完善相关技术平台。移动通信运营企业应具备覆盖本企业网内的监测处置能力。
⑶安装安全客户端软件,屏蔽垃圾短信和骚扰电话,监控异常流量。根据软件提供的备份、删除功能,将重要数据备份到远程专用服务器,当用户的手机丢失时可通过发送短信或其他手段远程锁定手机或者远程删除通信录、手机内存卡文件等资料,从而最大限度避免手机用户的隐私泄露。
⑷借鉴目前定期PC操作系统漏洞的做法,由指定研究机构跟踪国内外的智能终端操作系统漏洞信息,定期官方的智能终端漏洞信息,建设官方智能终端漏洞库。向用户宣传智能终端安全相关知识,鼓励安装移动智能终端安全软件,在终端厂商的指导下及时升级操作系统、进行安全配置。
3 从产业链角度保障移动互联网安全
对于移动互联网的安全保障,需要从整体产业链的角度来看待,需要立法机关、政府相关监管部门、通信运营商、设备商、软件提供商、系统集成商等价值链各方共同努力来实现。
⑴立法机关要紧跟移动互联网的发展趋势,加快立法调研工作,在基于实践和借鉴他国优秀经验的基础上,尽快出台国家层面的移动互联网信息安全法律。在法律层面明确界定移动互联网使用者、接入服务商、业务提供者、监管者的权利和义务,明确规范信息数据的采集、保存和利用行为。同时,要加大执法力度,严专业提供论文写作和写作论文的服务,欢迎光临dylw.net厉打击移动互联网信息安全违法犯罪行为,保护这一新兴产业持续健康发展。
⑵进一步加大移动互联网信息安全监管力度和处置力度。在国家层面建立一个强有力的移动互联网监管专门机构,统筹规划,综合治理,形成“事前综合防范、事中有效监测、事后及时溯源”的综合监管和应急处置工作体系;要在国家层面建立移动互联网安全认证和准入制度,形成常态化的信息安全评估机制,进行统一规范的信息安全评估、审核和认证;要建立网络运营商、终端生产商、应用服务商的信息安全保证金制度,以经济手段促进其改善和弥补网络运营模式、终端安全模式、业务应用模式等存在的安全性漏洞。
⑶运营商、网络安全供应商、手机制造商等厂商,要从移动互联网整体建设的各个层面出发,分析存在的各种安全风险,联合建立一个科学的、全局的、可扩展的网络安全体系和框架。综合利用各种安全防护措施,保护各类软硬件系统安全、数据安全和内容安全,并对安全产品进行统一的管理,包括配置各相关安全产品的安全策略、维护相关安全产品的系统配置、检查并调整相关安全产品的系统状态等。建立安全应急系统,做到防患于未然。移动互联网的相关设备厂商要加强设备安全性能研究,利用集成防火墙或其他技术保障设备安全。
⑷内容提供商要与运营商合作,为用户提供加密级业务,并把好内容安全之源,采用多种技术对不合法内容和垃圾信息进行过滤。软件提供商要根据用户的需求变化,提供整合的安全技术产品,要提高软件技术研发水平,由单一功能的产品防护向集中统一管理的产品类型过渡,不断提高安全防御技术。
⑸普通用户要提高安全防范意识和技能,加装手机防护软件并定期更新,对敏感数据采取防护隔离措施和相关备份策略,不访问问题站点、不下载不健康内容。
4 结束语
解决移动互联网安全问题是一个复杂的系统工程,在不断提高软、硬件技术水平的同时,应当加快互联网相关标准、法规建设步伐,加大对互联网运营监管力度,全社会共同参与进行综合防范,移动互联网的安全才会有所保障。
[参考文献]
关键词:网络;安全;技术;机制
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 19-0000-01
Analysis of Computer Network Security Technology and Mechanisms
Zhou Wanhong
(Panzhihua Iron and Steel Group,Panzhihua Steel and Vanadium Co.,Ltd.Department of Transportation,Panzhihua617000,China)
Abstract:With the development of computer networks,more in-depth computer applications,computer systems and network security issues become increasingly prominent and complex,this paper describes the current computer network security threats facing some of the key,and the current major network security technology to take some of the and mechanisms.
Keywords:Metwork;Security;Technology;Mechanism
一、网络安全概述
随着计算机网络的发展,尤其是Internet的广泛应用,使得计算机的应用更加广泛深入,同时计算机系统和网络的安全问题日益突出和复杂。一方面,网络系统提供了资源的共享性;另一方面,也正因为这些特点,增加了网络系统的脆弱性和网络安全的复杂性,资源共享增加了网络受威胁和攻击的可能性。随着资源共享的加强,网络安全问题日益突出。
影响网络安全的因素很多,这些因素可宏观地分为人为因素和自然因素,重点是人为因素。主要的网络安全威胁有以下几种:(1)自然灾害、意外事故;(2)计算机犯罪;(3)人为失误,如使用不当,安全意识差等;(4)“黑客”行为,由于黑客的入侵或侵扰,如非法访问、非法连接等;(5)内部与外部泄密;(6)信息丢失等等。
网络安全从其本质上来讲就是网络上的信息安全,是指网络系统中的硬件、软件及其数据收到保护,不受偶然的或恶意的原因而遭到破坏、更改、泄漏,网络系统连续可靠正常地运行,网络服务不中断。网络安全内容既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。
二、网络安全技术
(一)防火墙技术
“防火墙”是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,把互联网和内部网隔开,有效地控制互联网对内部网的访问,阻挡外部网络的侵入。
防火墙可分为:
1.包过滤防火墙:原理是将收到的包(即分组)与规则表进行匹配,对符合规则的数据包进行处理,不符合规则的就丢弃。这种技术既缺乏效率又容易产生安全漏洞。
2.状态检测防火墙:原理是将属于同一连接的所有包作为一个整体的数据流看待,通过规则表与连接状态的共同配合,大大提高了系统的传输效率和安全性。
(二)入侵检测技术
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测过程分为三部分:信息收集、信息分析、信息处理。
信息收集:由放置在不同网段的传感器或不同主机的来收集信息,包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。
信息分析:收集到的有关系统、网络、数据及用户活动的状态和行为等信息,被送到检测引擎,当检测到某种误用模式时,产生一个告警并发送给控制台。
结果处理:控制台按照告警产生预先定义的响应采取相应措施。
(三)漏洞检测技术
漏洞检测技术是对网络系统进行检查,发现其中存在的薄弱环节和所具有的攻击性特征。通常采取两种策略,被动式策略和主动式策略。被动式策略基于主机检测,对系统中不合适的设置、口令以及其他同安全规则相背的对象进行检查;主动式策略基于网络检测,通过执行一些脚本文件对系统进行攻击,并记录它的反应,从而发现其中的漏洞。
(四)数据加密技术
数据加密技术是指将一个信息经过加密钥匙及加密函数转换,变成无意义的密文,而接收方则将此密文经过解密函数、解密钥匙还原成明文。是为了提高信息系统及数据的安全性和保密性,防止数据被外部侦听破析所采用的重要手段之一,是网络安全技术的基石。
三、网络安全机制
(一)加密机制
加密是提供数据保密的最常用方法。用加密的方法与其它技术相结合,可以提供数据的保密性和完整性。分为对称加密机制和非对称加密机制。
1.对称加密机制:使用相同的秘钥对数据进行加密和解密,发送者和接收者使用相同的密钥。
2.非对称加密机制:运用某种数学方法使得加密过程成为一个不可逆过程,即用公钥加密的信息只能用与该公钥配对的私钥才能解密。特点是发送者和接收者使用不同密钥。
(二)数据完整性机制
数据完整性包括两种形式:一是数据单元的完整性,另一种是数据单元序列的完整性。数据单元完整性包括两个过程,一个过程发生在发送实体,另一个过程发生在接收实体。保证数据完整性的一般方法是:发送实体在一个数据单元上加一个标记,这个标记是数据本身的函数,如一个分组校验,或密码校验函数,它本身是经过加密的。接收实体是一个对应的标记,并将所产生的标记与接收的标记相比较,以确定在传输过程中数据是否被修改过。
数据单元序列的完整性要求数据标号的连续性和时间标记的正确性,以防止假冒、丢失、重发、插入或修改数据。
(三)业务流量填充机制
这种机制主要是对抗非法者在线路上监听数据并对其进行流量和流向分析。采用的方法一般由保密装置在无信息传输时,连续发出伪随机序列,使得非法者不知道哪些是有用信息,哪些是无用信息。
(四)路由控制机制
在一个大型网络中,从源点到目的节点可能有多条线路,有些线路可能是安全的,而另一些线路是不安全的。路由控制机制可使发信者选择特殊的路由,以保证数据安全。
参考文献:
[1]飞思科技产品研发中心.纵横四海――局域网组建与管理[M].北京:电子工业出版社,2002