| 标题 | 网络安全技术 |
| 范文 | 张士敏 华北电力大学计算机科学与技术学院,河北保定071003 摘要 随着网络技术的进步、电子商务的发展,网络已深入到生活的方方面面,随之出现的网络安全问题日益严竣。如何保障网络的稳定正常运行,维护人们的合法网络权益成为了一个急需解决的问题。本文从目标、需求及方案三方面浅述了如何维护网络的安全。 关键词 防火墙;VPN;网络加密;身份认证 中图分类号TP39 文献标识码A 文章编号 1674-6708(2012)61-0195-02 0 引言 随着互联网的迅猛发展和广泛应用,网络在给人们带来便利提高效益的同时,它的安全性逐渐成为一个越来越现实的严峻问题。各种网络安全事件频发,影响着企业或组织的正常运行,因此研究如何解决网络安全问题,维持网络的正常运行具有十分现实的意义。 1 方案目标 本方案的目标是将网络系统设计成一个支持各级用户或用户群的安全网络。具体来说,安全目标有以下几点: 1)采取多层防护手段,将受到入侵和破坏的概率降到最低;2)提供迅速检测非法使用和非法入侵的手段,核查并跟踪入侵者的活动;3)提供恢复被破坏的数据和系统的手段,尽量降低损失。 2 安全需求 根据网络安全的风险分析及需要解决的问题,我们需要制定合理的方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。机密性即信息不泄露给未授权实体或进程;完整性保证了数据不被未授权的人或实体更改;可用性即授权实体能够访问数据;可控性保证能控制授权范围内的信息流向及操作方式;可审查性是对出现的安全问题提供依据与手段。 3 解决方案 3.1 设计原则 根据网络的实际情况,解决安全保密问题是当务之急,并且考虑技术难度及经费等,设计时遵循如下原则: 1)大幅度地提高系统的保密性;2)易于操作维护,便于自动化管理;3)尽量不影响原网络拓扑结构,同时便于系统扩展;4)安全系统有较高的性价比。 3.2 安全策略 1)采用漏洞扫描技术,对核心交换机等重要设备进行扫描防护; 2)采用多种技术,构筑防御系统,主要有:防火墙技术、虚拟专用网(VPN)、网络加密、身份认证等。 3.3 防御系统 3.3.1 物理安全 物理安全是保护计算机及各种网络设备免遭地震、水灾、火灾等环境事故以及人为失误或错误。为保证系统正常运行,应采取如下措施: 1)产品保障方面:指网络设备采购、运输、安装等方面的安全措施; 2)运行安全方面:各种设备,特别是安全类产品在使用过程中,必须能从厂家或供货商得到迅速的技术支持; 3)保安方面:主要指防盗、防火等。 3.3.2 防火墙技术 防火墙实质是对通信的网络进行访问控制,其目标是通过控制信息进出网络的权限,使所有连接都经过检查,防止被保护的网络遭外界的干扰和破坏。防火墙根据事先定义的规则来检测要进入被保护网络的信息是否能够进入。 根据采用的技术可将防火墙分为3类:包过滤型、代理型和监测型。 1)包过滤型 包过滤型依据是网络信息的分包传输。要传输的数据被分成一定大小的包,每个包中都含有特定信息,如源地址、目标地址等。防火墙通过读取数据包中的特定信息来判断数据是否来自可信站点 ,若发现来自危险站点,防火墙则会拒绝这些数据进入。此技术优点是简单实用,成本低。 其缺点是只能根据数据包的特定信息判断数据是否安全,无法识别恶意入侵。 2)代理型 代理型防火墙也叫代理服务器,其安全性高于包过滤产品。代理服务器位于客户机与服务器之间,当客户机要与服务器通信时,先把请求发给代理服务器,代理服务器再根据其请求向服务器索取数据,再由代理服务器将数据传给客户机。代理服务器就是客户机与服务器间的“传话筒”。此种防火墙优点是安全性高,缺点是设置复杂,对整体性能有很大影响。 3)监测型 监测型防火墙能够对各层数据实时主动地监控,再分析,最后判断出各层中是否有攻击行为。同时,这种产品一般还带有探测器,这些探测器安装在应用服务器和网络的关键节点中,不仅能检测来自外部的攻击,还能对内部的恶意破坏进行防范。但此类产品成本高,所以应用较少。 3.3.3 VPN技术 VPN通过防火墙、隧道技术、加密解密等实现,是在公共网络中建一道专线。它主要有3种: 1)远程访问虚拟网(Access VPN)。Access VPN通过拥有相同策略的共享设施,来提供远程访问。适用于企业内部常有流动人员远程办公的情况; 2)企业内部虚拟网(Intranet VPN)。越来越多的企业需要在各地建立办事处、分公司等,传统的通信方式是使用花销大的租用专线方式。而使用Intranet VPN可以保证分公司安全地传输信息; 3)Extranet VPN。此方式使用专用连接的共享设施,将合作伙伴连接到企业内部网。 3.3.4加密技术 加密可以保证信息的机密性。它是把要传输的信息用某种算法和参数通过某种运算形成无意义信息。要传输的信息为明文,某种算法为加密算法,无意义的信息为密文,参数为密钥。加密技术可分为对称加密技术和非对称加密技术。对称加密技术加密和解密密钥相同。代表算法有DES,IDEA等。非对称加密技术也叫公开密钥技术,其加解密密钥不同。加密密钥公开,解密密钥私有,不公开。非对称加密广泛应用于身份认证、数字签名等领域。代表算法是RSA。目前新的加密技术有密码专业芯片、量子加密等。 3.3.5 身份认证 现在越来越多的人通过虚拟的网络通信,进行电子商务等活动,怎样保证对方的合法身份呢?这就需要身份认证。身份认证的目的是验证信息收发方是否有合法的身份证明。身份认证主要有3个机构组成。 1)认证机构CA CA是一个权威实体,主要职责是颁发证书、验证用户身份的真实性。由CA签发网络用户身份证明——证书,任何相信该CA的人,也应当相信由CA颁发证书的用户。 2)注册机构RA RA是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅可以面对面登记,也可以远程登记。 3)证书管理与撤消系统 随着电子商务等活动的发展,越来越多的证书就需要证书管理系统。当已颁发证书不再有效时就需要撤消。证书撤消系统利用周期性发布机制发布撤消的证书,也有在线查询可随时查询已撤消的证书。 4 结论 本文主要介绍了一个多层次的网络安全解决方案,来为用户提供信息的保密性、完整性和身份的认证,使网络服务更安全可靠。 参考文献 [1]石志国,等.计算机网络安全教程.北京:清华大学出版社,2009. [1]侯丽波,等.网络安全实用技术.北京:清华大学出版社,2011. [1]商新娜,等.计算机网络安全与应用技术.北京:清华大学出版社,2011. |
| 随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。