网络安全技术探析
来源:用户上传
作者: 艾寿民 杨志帮
[摘要] 随着网络的普及,网络安全日显重要,本文从网络不安全因素入手,探讨了网络安全防范理论技术、主流网络常用安全防范技术、专用网络常用安全防范技术及目前广泛应用的网络安全系统等。
[关键词] 网络安全协议防范技术
随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。近几年来,互联网渐渐走进了老百姓的生活,人们的生活已离不开网络;同时网络给政府机构、企事业单位带来了革命性的改革。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、病毒、恶意软件和其他不轨等的攻击,所以网络信息的安全和保密是一个至关重要的问题。为了确保信息的安全与畅通,研究计算机网络的安全以及防范措施已迫在眉睫。本文结合实际工作经验,谈谈网络安全防范技术。
一、网络的不安全因素
现今的网络,存在不少的不安全因素,主要有:
1.网络协议的弱点。TCP/IP协议是如今最流行的网络协议,它最初是在封闭的环境下使用,并且它的用户都是可靠的科研工作者,因而它的设计本身并没有较多地考虑安全方面的需求,导致TCP/IP协议存在各种弱点,这些弱点带来许多直接的安全威胁。
2.网络操作系统的漏洞。操作系统是网络协议和服务得以实现的最终载体之一,它不仅负责网络硬件设备的接口封装,同时还提供网络通信所需要的各种协议和服务的程序实现。一般情况,操作系统规模都很大,其中的网络协议实现尤其复杂,这点已经决定了操作系统必然存在各种实现过程所带来的缺陷和漏洞,而某些商用操作系统的源代码封闭性更是加剧了这一现象,从而成为网络所面临的重要安全威胁之一。
3.应用系统设计的漏洞。与操作系统情况类似,应用程序的设计过程中也会带来很多由于人的局限性所导致的缺陷或漏洞。软件和硬件设计都存在这种问题,而其中软件的问题为我们所直接面对。由于在硬件设计方面,特别是芯片技术还比较落后,所以这方面的漏洞我们还很难具体化,这实际上说明,硬件的设计与漏洞是我们网络所面临的最为深刻的威胁之一。
4.网络系统设计的缺陷。网络设计专指某个地区、系统或者一个单位的内联网或外联网的设计,包括拓扑结构的设计和各种网络设备的选择等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患,由这些设备组建一个应用系统的过程也可能带来安全隐患。合理的网络设计在节约资源的情况下,还可以提供较好的安全性,不合理的网络设计则成为网络的安全威胁。
5.恶意攻击,就是人们常见的黑客攻击及网络病毒,是最难防范的网络安全威胁。随着电脑教育的大众化,这类攻击也是越来越多,影响也是越来越大 。
6.来自合法用户的攻击。这是最容易被管理者忽视的安全威胁之一。事实上,80%的网络安全事件与内部人员的参与相关。网络管理的漏洞往往是导致这种威胁的直接原因。
7.互联网的开放性。事实上,以上所列的网络安全威胁多数都是由于互联网是一个完全开放的网络环境,其中通信几乎都是不受到任何制约,互联网的开放性是导致网络安全威胁最根本的原因。
8.就是物理威胁,如电磁干扰、电磁泄漏等。
还有就是管理方面的安全了,如制度的制定是否全理有效,制度的执行是否到位等。
二、网络安全防范理论
要做到网络安全,必要的防范措施是不可少的。当前的一些网络安全所依赖的技术主要有以下几种:
1.密码技术,它是密码认证、数字签名和其他各种密码协议的统称。数据加密算法标准的提出和应用、公钥加密思想的提出是密码技术发展的重要标志,认证、数字签名和各种密码协议则从不同的需求角度将密码技术进行延伸。认证技术包括消息认证和身份鉴别。数字签名技术可以理解为手写签名在信息电子化的替代技术,主要用以保证数据的完整性、有效性和不可抵赖性等。
2.访问控制。访问控制是网络安全防范和保护的主要技术,它的主要目的是保证网络资源不被非法使用和访问。访问控制技术规定何种主体对何种客体具有何种操作权力。访问控制是网络安全理论的重要方面,主要包括人员限制、数据标识、权限控制、类型控制和风险分析。访问控制技术一般与身份验证技术一起使用,赋予不同身份的用户以不同的操作权限,以实现不同安全级别的信息分级管理。
3.PKI技术。PKI是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键技术。
三、常用主流网络安全防范技术
现在的网络根据用途可分为主流网络和专用网络,针对这两种不同的网络,网络安全措施又分为主流网络安全措施和专业网络安全措施。下面针对主流网络安全做一个简单的介绍:
1.防火墙技术是将内部网络与外部网之间的访问进行全面控制的一种机制,一般可能包括路由器、计算机等硬件,也可能包含有软件,或者同时包含硬件和软件。这些设备在物理上或逻辑上将内部网和外部网隔离开来,使得外网和内网的所有网络通信必须经过防火墙,从而可以进行各种的灵活的网络访问控制,对内部网进行尽可能的安全保障,提高内部网的安全性和健壮性,防火墙技术是当前市场上最为流行的网络安全技术,它已成为网络建设的一个基本配置。
2.VPN技术是利用不可信的公网资源建立可信的虚拟专用网,是保证局域网间通信安全的少数可行的方案之一。VPN既可在TCP/IP协议族的链路层实现(比如L2F、PPTP等安全协议),也可在网络层实现(IP Sec),其中更多情况下在网络层实现。作为最近几年才兴起的网络安全技术,VPN在国内的应用也就是最近几年的事情,但随着企业网络用户的迅速增加,VPN技术有着广阔的应用前景。
3.入侵检测技术是一种主动保护自己的网络和系统免遭非法攻击的网络安全技术。它从计算机系统或者网络中收集、分析信息,检测任何企图破坏计算机资源的完整性、机密性和可用性的行为,即查看是否有违反安全策略的行为和遭到攻击的迹象,并做出相应的反应。
4.反病毒技术是查找和清除计算机病毒的主要技术,其原理就是在杀毒扫描程序中嵌入病毒特征码引擎,然后根据病毒特征码数据库来进行对比式查杀。这种方法简单、有效,但只适用于已知病毒,并且病毒特征库需要不断升级。
5.网络隔离技术通过特殊硬件实现链路层的断开,使得各种网络攻击与入侵失去了物理通路的基础,从而避免了内部网络遭受外部攻击的可能性。
四、常用专用网络安全防范技术
专用网络由于要求更高的安全性,其防范也必更加重视,现就其主要的防范技术介绍如下:
1.系统和网络的扫描和评估。通过扫描和评估,可预知主体受攻击的可能性、将要发生的行为和产生的后果,因而这种方法受到网络安全业界的重视。这一技术的应用可帮助识别检测对象的系统资源,分析这一资源被攻击的可能指数,了解支撑系统本身的脆弱性,评估所有存在的安全风险。一些非常重要的专业应用网络,例如,银行,不能承受一次入侵带来的损失,对扫描和评估技术有强烈的需求。
2.监控和审计。监控和审计是与网络管理直接挂钩的技术。监控和审计是通过对网络通信过程中可疑、有害信息或行为进行记录以为事后处理提供依据,从而对计算机网络犯罪人员形成一个强有力的威慑,最终达到提高网络整体安全性的目的。局域网监控系统是网络监控系统中的一大类。局域网监控能够提供一套较好的内部网行为监控的机制,可以有效阻止来自内网的安全威胁。
3.全套接层协议(SSL,Secure Socket Layer)。这是由Netscape公司1994年设计开发的安全协议,主要在传输层提高应用程序之间的数据安全性。SSL采用了公开密钥和对称密钥两种加密:在建立连接过程中采用公开密钥;在会话过程中使用对称密钥。加密的类型和强度则在两端之间建立连接的过程中协商决定,保证了客户和服务器间事务的安全性。
4.HTTPS协议,SHTTP协议及SMIME协议等。HTTPS协议是建立于SSL上的HTTP安全协议,它利用SSL协议来加强HTTP协议的安全性,已经成功应用于电子商务。SHTTP(安全超文本传输协议)是一种结合HTTP而设计的消息的安全通信协议。SHTTP的设计基于与HTTP信息样板共存并易于与HTTP应用程序相整合。SHTTP协议为HTTP客户机和服务器提供了多种安全机制,这些安全服务选项是适用于万维网上各类用户的。SHTTP还为客户机和服务器提供了对称能力(及时处理请求和恢复,及两者的参数选择),同时维持HTTP的通信模型和实施特征。SMIME(Secure/Multipurpose Internet Mail Extensions)是MIME的安全版本,设计用来支持邮件的加密。基于MIME标准,SMIME为电子消息应用程序提供如下加密安全服务:认证、完整性保护、鉴定及数据保密等。传统的邮件用户代理(MUA)可以使用SMIME来加密发送邮件及解密接收邮件。然而,SMIME并不仅限于邮件的使用,它也能应用于任何可以传送MIME数据的传输机制,例如HTTP。同样,SMIME利用MIME的面向对象特征允许在混合传输系统中交换安全消息。
网络的安全是一个很大的系统工程,要从防范技术和管理上去探讨和研究,建立一套整体安全解决方案的网络系统对网络来说是尤其重要的。希望本文能抛砖引玉,能让更多的人来关心和研究网络的安全问题,为网络的安全出谋划策!
本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。
转载注明来源:https://www.xzbu.com/3/view-1505216.htm
