关键词 网络安全 防火墙 加密 安全体系结构
由于网络的连通性,在享受网络便利的同时,用户的信息资源便有被暴露的可能。因为网络中总有这样那样好奇的或攻击性的实体存在,对个人而言,可能表现在私生活的公开化,从而带来一些意想不到的麻烦。而对于信息网络涉及到的国家政府、军事、文教等诸多领域,由于其中存贮、传输和处理的信息有许多是政府宏观调控决策、商业经济信息、银行资金转帐、股票证券、能源资源数据、科研数据等重要信息,甚至是国家机密,如果这些信息被侵犯,则会在政治、经济等方面带来不可估量的的损失。因此,网络安全就显得尤其重要。
1网络安全隐患及网络安全的特点
网络安全隐患主要表现在以下3个方面:病毒、内部用户恶意或非恶意的非法操作和网络外部的黑客。对于病毒,几乎80%应用网络的公司都受到过它的侵害。由于网络设计的不严密性,内部网络使用者可能会误入他们本不该进入的领域,出于无知或好奇修改了其中的数据。另有一些内部用户利用自身的合法身份有意对数据进行破坏。据统计,70%左右的安全问题来源于内部用户。而网络黑客一旦进入某个网络进行破坏,其造成的损失无法估量,他们是网络中最可怕的敌人,也是网络安全防范策略的首要对象。此外,还有网络协议中的缺陷,例如TCP/IP协议的安全问题、自然灾害、意外事故以及信息战等。
网络安全应具有以下4个方面的特征:
保密性信息不泄露给非授权用户、实体或过程,或供其利用。
完整性数据未经授权不能进行改变,信息在存储或传输过程中不被修改、不被破坏和丢失。
可用性可被授权实体访问并按需求使用。
可控性对信息的传播及内容具有控制能力。
2不同环境的网络安全
不同环境的网络安全包括以下几种:
运行系统安全即保证信息处理和传输系统的安全,它侧重于保证系统的正常运行,避免因系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失,避免由于电磁泄漏产生信息泄露,干扰他人。
网络上系统信息的安全主要包括用户口令鉴别,用户存取权限控制,数据存取权限、方式控制,安全审计,安全问题跟踪,计算机病毒防治,数据加密。
网络上信息传播安全即信息传播后果的安全,包括信息过滤等。它侧重于防止和控制非法、有害信息进行传播后的后果,避免公用网络上大量自由传输的信息失控。
网络上信息内容的安全它侧重于保护信息的保密性、真实性和完整性,避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为,本质上是保护用户的利益和隐私。
3网络安全的几项关键技术
3.1防火墙技术
所谓“防火墙”,是指一种将内部网和公众访问网(Internet)分开的方法,实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。
防火墙的技术实现通常是基于所谓“包过滤”技术,而进行包过滤的标准通常就是根据安全策略制定的。在防火墙产品中,包过滤的标准一般是靠网络管理员在防火墙设备的访问控制清单中设定。访问控制一般基于的标准有:包的源地址、包的目的地址、连接请求的方向(连入或连出)、数据包协议(如TCP/IP等)以及服务请求的类型(如ftp,www等)等。
除了基于硬件的包过滤技术,防火墙还可以利用代理服务器软件实现。早期的防火墙主要起屏蔽主机和加强访问控制的作用,现在的防火墙则逐渐集成了信息安全技术中的最新研究成果,一般都具有加密、解密和压缩、解压等功能,这些技术增加了信息在互联网上的安全性。现在,防火墙技术的研究已经成为网络信息安全技术的主导研究方向。
3.2数据加密技术
与防火墙配合使用的数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破坏所采用的主要技术手段之一,它的思想核心就是既然网络本身并不安全可靠,那么所有重要信息就全部通过加密处理。按作用不同,数据加密技术主要分为数据传输、数据存贮、数据完整性的鉴别密钥管理技术4种。
加密技术是一种效率高而又灵活的安全手段,值得在企业网络中加以推广。目前,加密算法有多种,大多源于美国,但是大多受到美国出口管制法的限制。现在金融系统和商界普遍使用的算法是美国数据加密标准DES。近几年来我国对加密算法的研究主要集中在密码强度分析和实用化研究上。
3.3智能卡技术
与数据加密技术紧密相关的另一项技术则是智能卡技术。所谓智能卡就是密匙的一种媒体,一般就像信用卡一样,由授权用户所持有并由该用户赋与它一个口令或密码字,该密码与网络服务器上注册的密码一致,当口令与身份特征共同使用时,智能卡的保密性能还是相当有效的。
4网络安全体系结构
在经过系统和科学的分析之后,对于网络安全问题,应该主要从以下5 个方面加以考虑:
4.1网络层的安全性
网络层的安全性问题的核心在于网络是否得到控制,即是否任何一个IP地址来源的用户都能够进入网络?如果将整个网络比作一幢办公大楼的话,对于网络层的安全考虑就如同为大楼设置守门人一样,守门人会仔细检查每一位来访者,一旦发现危险的来访者,便会将其拒之门外。
用于解决网络层安全性问题的产品主要有防火墙产品和虚拟专用网(VPN)。防火墙的主要目的在于判断来源IP,将危险或未经授权的IP数据拒之于系统之外,而只让安全的IP数据通过,一般来说,公司的内部网络若要与公众Internet相连,则应该在二者之间配置防火墙产品,以防止公司内部数据的外泄。VPN主要解决的是数据传输的安全问题,如果公司各部在地域上跨度较大,使用专网、专线过于昂贵,则可以考虑使用VPN,其目的在于保证公司内部的敏感关键数据能够安全地借助公共网络进行频繁地交换。
4.2系统的安全性
在系统安全性问题中,主要考虑的问题有2个:病毒对于网络的威胁、黑客对于网络的破坏和侵入。
病毒的主要传播途径已由过去的软盘、光盘等存储介质变成了网络,这些病毒在网络上进行传播和破坏的多种途径和手段,使得网络环境中防病毒工作变得更加复杂,网络防病毒工具必须能够针对网络中各个可能的病毒入口来进行防护。
对于网络黑客而言,他们的主要目的在于窃取数据和非法修改系统,其手段之一是窃取合法用户的口令,在合法身份的掩护下进行非法操作;其手段之二便是利用网络操作系统的某些合法但不为系统管理员和合法用户所熟知的操作指令。
4.3用户的安全性
对于用户的安全性问题所要考虑的是:是否只有那些真正被授权的用户才能够使用系统中的资源和数据?
要解决这一问题,首先要做的是应该对用户进行分组管理,并且这种分组管理应该是针对安全性问题而考虑的分组,也就是说,应该根据不同的安全级别将用户分为若干等级,每一等级的用户只能访问与其等级相应的系统资源和数据。
其次应该考虑的是强有力的身份认证,其目的是确保用户的密码不会被他人所猜测到。
4.4应用程序的安全性
这一层中我们需要解决的问题是:是否只有合法的用户才能对特定的数据进行合法的操作?
这里涉及2个方面的问题:一是应用程序对数据的合法权限;二是应用程序对用户的合法权限。例如,在公司内部,上级部门的应用程序应该能够存取下级部门的数据,而下级部门的应用程序一般不被允许存取上级部门的数据,同级部门的应用权限也应有所限制,同一部门不同业务的应用程序也不应该互相访问对方的数据,一方面可以避免数据的意外损坏,另一方面也是安全方面的考虑。
4.5数据的安全性
数据的安全性问题所要回答的问题是:机密数据是否还处于机密状态?
在数据的保存过程中,机密的数据即使处于安全的空间,也要对其进行加密处理,以保证万一数据失窃,偷盗者(如网络黑客)也读不懂其中的内容,这是一种比较被动的安全手段,但往往能收到最好的效果。
本文关键字:暂无联系方式经验交流,电工技术 - 经验交流
