论文部分内容阅读
摘 要:当前计算机网络广泛应用为人们所关注,计算机网络安全显得非常重要,必须采取有力的措施来保证计算机网络的安全。本文分析了计算机网络安全体系的含义以及其安全机制,并对于当前网络安全应涉及的一些内容做了介绍。
关键词:网络安全;计算机;网络通信
中图分类号:TP393.08
计算机技术正在日新月异地迅猛发展,功能强大的计算机和Intranet/Internet在世界范围内普及。信息化和网络化是当今世界经济与社会发展的大趋势,信息资源的深入开发利用以及各行各业的信息化、网络化己经迅速展开;全社会广泛应用信息技术,计算机网络广泛应用为人们所关注。
面对当前严重危害计算机网络的种种威胁,必须采取有力的措施来保证计算机网络的安全。但是现有的计算机网络大多数在建立之初都忽略了安全问题,既是考虑了安全,也仅把安全机制建立在物理安全机制上。本文分析了计算机网络安全体系的含义以及其安全机制,并对于当前网络安全应涉及的一些内容做了介绍。
1 计算机网络安全机制分析
安全性机制是操作系统、软硬件功能部件、管理程序以及它们的任意组合,为一个信息系统的任意部件检测和防止被动与主动威胁的方法。安全机制与安全性服务有关,机制是用于实现服务的程序,OSI定义的安全性机制有加密、数字签名、鉴别、访问控制、通信量填充、路由控制、公证等。安全性服务和安全性机制有一定的对应关系,例如:机密性服务可以通过加密、通信量填充和路由控制来实现。另外,加密不仅可以是机密性服务的成分,而且还可以是完整性和鉴别服务的成分。
2 网络安全标准体系结构
2.1 用户安全层
用户安全层不属于OSI环境,由于OSI标准是不针对非法用户进行直接防范的,但是在一些非法用户进入系统之后,对网络安全就会有很大的威胁,因此,这时的用户安全层就可以对非法用户起到遏制作用。可见,网络安全层是安全服务的最基本环节,也是一项重要的安全措施。用户安全层对用户提供访问控制安全服务,可以识别非法以及合法用户。并采用加密措施、数据完整性和认证互换机制等技术,加强网络安全服务。
2.2 应用安全层
该层主要包括OSI环境的应用层、表示层和会话层,应用安全层可以对信息传输、域名服务、远程终端等网络运行指定一条有效的运行标准,为上层用户提供数据或信息语法的表示转换。负责系统内部的数据表示与抽象数据表示之间的转换工作,还能实现数据加密和解压缩等转换功能。在这一层,用户可以实现网络身份认证、数字签名、防止否认,及加密等安全措施,不仅保护了用户信息的安全,也加强了网络信息的完整性,避免一些非法用户利用信息漏洞干扰计算机的运行。
2.3 端—端安全层
包括OSI环境的传输层端—端安全层为上层用户提供不依赖于具体网络的高效、经济、透明的端-端数据传输服务。同时可以通过上一层用户提供安全服务,以及建立一条独立的链接,或者建立多条链接,以此来分散传输的数量,间断传输的时间,这些多条的传输的信息对客户来说都是透明的。端—端安全层不得采用业务量来填充技术,但其余的技术与其他安全层是相同的。但是,由于端—端安全层的协议较少,所以人们对他的关注不如子网安全层。
2.4 子网安全层
包括OSI环境的网络层,它的主要作用就是讲数据线做一定长度的分组,再将分组信息进行传递。子网安全层可以使用的安全技术种类很多,如:加密、访问控制、数字签名、路由选择控制、业务量填充和数据完整性,这些也都是子网安全层本身的特点。
2.5 链路安全层
链路安全层就是利用有效手段,将已经出现错误的链接信息转化成还没有出现错误的信息进行传递。它将数据分为一个一个的数据帧,以数据帧为单位开始传递。包括OSI环境的数据链路层和物理层,物理层的规定就是网络接口,但是,要在这个环节内做安全管理是十分有限的,主要是业务量填充和加密技术。
在没有出现密码学之前,加密主要在物理层进行,但如今,已经很少在物理层上做加密处理了,因为成本高,还不利于管理。数据链路层可以采用加密技术,由于不同的链路层协议的帧格式都有区别,因此,在加密时,必须采取不同的数据帧链接,可见,在链路安全层可以采用数据加密和业务量填充技术。
3 安全体系的实现
3.1 安全服务的选择
实际实现时,我们通常是对一个具体的网络做要求,选择一个子集加以实现。然而,怎样选择合适的子集就成为了关键的问题,因为子集的选择会直接影响到网络的安全。例如,我们在物理层提供安全加密时,当密文到达通信子网,为了开展路由选择,就必须解码。此时,计算机侵袭者就可以通过非法方式获得信息。又如,仅在网络层提供数据保密服务时,外部攻击可以采取链接上获得没有加密的三层的报文信息,其余的详细信息也很容易获得。有时,子集的选择也能满足特殊的情况。例如,当只需要保护高层的安全时,使安全服务与通信飞网无关,那所有的安全服务设置就可以由高层提供。
3.2 软件实现和硬件实现
通过软件实行安全管理也是可行的,其方法是,将所有的安全实现软件结合在一起,作为DTE系统软件的一部分,同时通过计算机服务语言对这些软件进行操作。但是,一味的利用软件,会增加成本和管理难度。为了提高工作效率和安全性,实现软件和硬件的结合,是进行安全服务的重要手段。
3.3 安全控制器(SCU)
硬件和软件结合的方法就是设计一种安全控制器。这种控制器可有两种类型。首先是将安全服务嵌入通信控制器,这种通信控制系统可以有协议,可以实现有效的安全服务。其次是将安全服务独立到通信控制器之外,重新设计一种新的控制器。这样做可以避免修改现有的通信控制器,区分安全控制器和通信控制器。这两种安全控制器的功能都是由硬件和软件相结合实现的。
4 安全技术的研究现状和动向
我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。国际上信息安全研究起步较早,力度大,积累多,应用广,在70年代美国的网络安全技术基础理论研究成果“计算机保密模型”(Beu& La padula模型)的基础上,指定了“可信计算机系统安全评估准则”(TCSEC),其后又制定了关于网络系统数据库方面和系列安全解释,形成了安全信息系统体系结构的准则。
安全协议作为信息安全的重要内容,其形式化方法分析始于80年代初,目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限性和漏洞,处于发展的提高阶段。作为信息安全关键技术密码学,近年来空前活跃,美、欧、亚各洲举行的密码学和信息安全学术会议频繁。在我国信息网络安全技术的研究和产品开发仍处于起步阶段,仍有大量的工作需要我们去研究、开发和探索,以走出有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。
参考文献:
[1]赵立志,林伟.浅析网络安全技术[J].民营科技,2012(03):193.
[2]李铁.网络安全层次分析[J].甘肃科技,2013(24):16-17.
作者单位:国网江西省电力公司赣西供电分公司,江西新余 338000
关键词:网络安全;计算机;网络通信
中图分类号:TP393.08
计算机技术正在日新月异地迅猛发展,功能强大的计算机和Intranet/Internet在世界范围内普及。信息化和网络化是当今世界经济与社会发展的大趋势,信息资源的深入开发利用以及各行各业的信息化、网络化己经迅速展开;全社会广泛应用信息技术,计算机网络广泛应用为人们所关注。
面对当前严重危害计算机网络的种种威胁,必须采取有力的措施来保证计算机网络的安全。但是现有的计算机网络大多数在建立之初都忽略了安全问题,既是考虑了安全,也仅把安全机制建立在物理安全机制上。本文分析了计算机网络安全体系的含义以及其安全机制,并对于当前网络安全应涉及的一些内容做了介绍。
1 计算机网络安全机制分析
安全性机制是操作系统、软硬件功能部件、管理程序以及它们的任意组合,为一个信息系统的任意部件检测和防止被动与主动威胁的方法。安全机制与安全性服务有关,机制是用于实现服务的程序,OSI定义的安全性机制有加密、数字签名、鉴别、访问控制、通信量填充、路由控制、公证等。安全性服务和安全性机制有一定的对应关系,例如:机密性服务可以通过加密、通信量填充和路由控制来实现。另外,加密不仅可以是机密性服务的成分,而且还可以是完整性和鉴别服务的成分。
2 网络安全标准体系结构
2.1 用户安全层
用户安全层不属于OSI环境,由于OSI标准是不针对非法用户进行直接防范的,但是在一些非法用户进入系统之后,对网络安全就会有很大的威胁,因此,这时的用户安全层就可以对非法用户起到遏制作用。可见,网络安全层是安全服务的最基本环节,也是一项重要的安全措施。用户安全层对用户提供访问控制安全服务,可以识别非法以及合法用户。并采用加密措施、数据完整性和认证互换机制等技术,加强网络安全服务。
2.2 应用安全层
该层主要包括OSI环境的应用层、表示层和会话层,应用安全层可以对信息传输、域名服务、远程终端等网络运行指定一条有效的运行标准,为上层用户提供数据或信息语法的表示转换。负责系统内部的数据表示与抽象数据表示之间的转换工作,还能实现数据加密和解压缩等转换功能。在这一层,用户可以实现网络身份认证、数字签名、防止否认,及加密等安全措施,不仅保护了用户信息的安全,也加强了网络信息的完整性,避免一些非法用户利用信息漏洞干扰计算机的运行。
2.3 端—端安全层
包括OSI环境的传输层端—端安全层为上层用户提供不依赖于具体网络的高效、经济、透明的端-端数据传输服务。同时可以通过上一层用户提供安全服务,以及建立一条独立的链接,或者建立多条链接,以此来分散传输的数量,间断传输的时间,这些多条的传输的信息对客户来说都是透明的。端—端安全层不得采用业务量来填充技术,但其余的技术与其他安全层是相同的。但是,由于端—端安全层的协议较少,所以人们对他的关注不如子网安全层。
2.4 子网安全层
包括OSI环境的网络层,它的主要作用就是讲数据线做一定长度的分组,再将分组信息进行传递。子网安全层可以使用的安全技术种类很多,如:加密、访问控制、数字签名、路由选择控制、业务量填充和数据完整性,这些也都是子网安全层本身的特点。
2.5 链路安全层
链路安全层就是利用有效手段,将已经出现错误的链接信息转化成还没有出现错误的信息进行传递。它将数据分为一个一个的数据帧,以数据帧为单位开始传递。包括OSI环境的数据链路层和物理层,物理层的规定就是网络接口,但是,要在这个环节内做安全管理是十分有限的,主要是业务量填充和加密技术。
在没有出现密码学之前,加密主要在物理层进行,但如今,已经很少在物理层上做加密处理了,因为成本高,还不利于管理。数据链路层可以采用加密技术,由于不同的链路层协议的帧格式都有区别,因此,在加密时,必须采取不同的数据帧链接,可见,在链路安全层可以采用数据加密和业务量填充技术。
3 安全体系的实现
3.1 安全服务的选择
实际实现时,我们通常是对一个具体的网络做要求,选择一个子集加以实现。然而,怎样选择合适的子集就成为了关键的问题,因为子集的选择会直接影响到网络的安全。例如,我们在物理层提供安全加密时,当密文到达通信子网,为了开展路由选择,就必须解码。此时,计算机侵袭者就可以通过非法方式获得信息。又如,仅在网络层提供数据保密服务时,外部攻击可以采取链接上获得没有加密的三层的报文信息,其余的详细信息也很容易获得。有时,子集的选择也能满足特殊的情况。例如,当只需要保护高层的安全时,使安全服务与通信飞网无关,那所有的安全服务设置就可以由高层提供。
3.2 软件实现和硬件实现
通过软件实行安全管理也是可行的,其方法是,将所有的安全实现软件结合在一起,作为DTE系统软件的一部分,同时通过计算机服务语言对这些软件进行操作。但是,一味的利用软件,会增加成本和管理难度。为了提高工作效率和安全性,实现软件和硬件的结合,是进行安全服务的重要手段。
3.3 安全控制器(SCU)
硬件和软件结合的方法就是设计一种安全控制器。这种控制器可有两种类型。首先是将安全服务嵌入通信控制器,这种通信控制系统可以有协议,可以实现有效的安全服务。其次是将安全服务独立到通信控制器之外,重新设计一种新的控制器。这样做可以避免修改现有的通信控制器,区分安全控制器和通信控制器。这两种安全控制器的功能都是由硬件和软件相结合实现的。
4 安全技术的研究现状和动向
我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。国际上信息安全研究起步较早,力度大,积累多,应用广,在70年代美国的网络安全技术基础理论研究成果“计算机保密模型”(Beu& La padula模型)的基础上,指定了“可信计算机系统安全评估准则”(TCSEC),其后又制定了关于网络系统数据库方面和系列安全解释,形成了安全信息系统体系结构的准则。
安全协议作为信息安全的重要内容,其形式化方法分析始于80年代初,目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限性和漏洞,处于发展的提高阶段。作为信息安全关键技术密码学,近年来空前活跃,美、欧、亚各洲举行的密码学和信息安全学术会议频繁。在我国信息网络安全技术的研究和产品开发仍处于起步阶段,仍有大量的工作需要我们去研究、开发和探索,以走出有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。
参考文献:
[1]赵立志,林伟.浅析网络安全技术[J].民营科技,2012(03):193.
[2]李铁.网络安全层次分析[J].甘肃科技,2013(24):16-17.
作者单位:国网江西省电力公司赣西供电分公司,江西新余 338000