论文部分内容阅读
摘 要 本文简要介绍了信息安全纵深防护体系的作用,从功能模型和具体应用模型两个方面对完整的计算机网络信息安全纵深防护模型进行了研究,最后就该模型中的关键技术进行了分析和讨论。
关键词 信息安全;纵深防护体系;计算机网络;关键技术
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2013)11-0000-00
现代社会中信息具有重要的价值,保障信息传输、存储以及应用的安全已经成为当前计算机领域的一个重点问题。在信息安全防御中存在多种防御技术和防御层次,随着所使用的技术和层次逐渐增多,网络应用及信息传输所需要经过的监控和检查次数也就会越来越多,这样就能够在某一层次失守的情况下仍然能够保护信息不被窃取或破坏,这种信息保护方式就被称为纵深防御思想。应用纵深安全防护思想可以对计算机网络系统的各个层面应用多种安全防护技术,这些防护技术组成一个异构网络结构,可以对网络信息进行联动联防,极大的提高计算机信息网络的安全性能。
1 计算机网络信息安全纵深防御模型分析
1.1 功能模型
计算机网络纵深安全防御模型是动态多层次的,其最早由NSA起草生成,经过多次修改后最新版本的信息防护模块由保护、检测、响应以及恢复四个部分组成。如图1所示
图1 PDRR模型
由图1可以看出,四个模块组成一个有机的整体对计算机网络中的信息进行保护。
其中,保护是指应用特定的安全防护技术对信息网络进行加固和控制,该部分的内容通常为静态的,包括防火墙技术、用户访问控制及身份验证技术、数据信息加密技术的等。
检测是指按照所制定的安全防护策略对用户行为、信息传输方式和内容等进行监控和检查。该部分内容由于涉及主动防御部分内容还需要向用户或防护体系提供响应依据,故其是动态的。该模块会主动对计算机网络信息系统相关内容进行扫描和监测,及时发现系统中存在的安全威胁和安全漏洞,将其反馈给安全防护体系,以便用户在没有发生信息损失的情况下及时作出响应。
响应是指对检测过程中发现的问题进行实时处理,消除潜在的安全隐患,保证信息网络和信息系统运行在稳定、安全状态。
恢复是指为防止信息网络或信息系统被攻破后为用户带来损失,按照一定的备份恢复机制对网络中的数据信息进行保存和备份,即便发生信息破坏等事件,也能够尽快从故障状态恢复,将损失降到最低。
1.2 多层纵深安全防护模型
由上节可知,完整的计算机网络纵深安全防护模型包含四部分内容,每部分内容又包含若干种计算机技术,这些技术相互搭配即可实现对计算机网络的纵深保护。一个完整的,配置适当的纵深安全防护模型如下图2所示。
图2 多层纵深安全防护模型
由图2可以看出,第一节中提出的安全防护模块已经按照其防护和作用位置进行了具体化处理,四个防护内容被有机融合成为一个整体。在计算机网络和外网进行通信时首先需要经由防火墙对通信规则进行过滤。之后在网络内部则需要综合使用多种防御技术如身份验证、入侵检测、安全协议控制等对网络用户和网络行为进行控制。在最底层的信息保护中,一方面需要对信息采取必要的加密处理,让其由明文信息变为不可识别的密文信息;另一方面则需要对计算机网络中的重要信息进行备份处理,以防信息发生破坏后还能够被恢复使用。此外,在信息应用的各个层面还应该使用必需的杀毒软件。
2 纵深安全防护模块中的关键技术分析
2.1 防火墙技术
防火墙将计算机内部网络和外部网络分成两个部分,内网和外网之间进行数据通信时只有符合通信规则和用户所制定的安全策略的信息内容才能够通过防火墙。
目前防火墙按照功能的不同可以分为包过滤和代理防火墙两种。前者会对信息的承载单位即数据包进行检查,包括收发地址、TCP端口号等,只有允许范围内的数据包才能够通过。后者则是将防火墙充当一个代理服务器,内外网之间的数据通信都需要通过代理服务器进行转发,这样就可以将被保护的网络结构很好的隐藏起来,提升安全性能。
2.2 用户身份认证及访问控制策略
当用户需要对网络进行访问时,若能够对用户的身份进行认证,根据认证结果向用户分配具体的网络访问权限,则可以很大程度的提升计算机网络的信息安全性。
用户身份认证技术可以判断用户是否具有网络使用权限并向用户分配可应用于网络的安全密钥或口令,用户只能在权限范围内访问或使用网络信息资源。这样就有效避免了非法用户的网络接入。
访问控制技术则是将网络内容划分为多个等级,只有符合等级要求的用户才能够对限制的资源进行访问和使用,即便用户经过了网络内的身份认证,若没有足够的权限也无法获取相应的内容。这样就可以极大的保证网络信息资源在安全可控范围内。
2.3 入侵检测技术
入侵检测技术是一种主动防御技术。部署该技术的系统会主动收集所在网络的多种数据和用户行为,同时程序执行过程和数据使用过程进行记录,然后再利用数据分析工具对所收集到的信息进行分析和检测,若发现异常行为或入侵行为,则出发报警系统并向控制中枢提供警报信息供用户或安全监控系统指定和采取适当的应对措施。
2.4 数据加密技术
数据加密技术是保护计算机网络信息安全的核心技术,可以利用多种加密算法和加密密钥等将明文信息转变为无法识别的密文信息,只有使用对应的解密算法和解密密钥才能够将信息回复出来。这样就可以保证信息传输和存储的安全性,即便发生了信息泄露也无法确切知道信息内容,实现对网络信息的保密。
3 总结
总之,计算机网络存在多个层次和多种结构,若只使用一种或少数几种安全防护技术很难做到为网络信息的全面防护。为切实保障网络信息的安全,必须综合应用多种信息安全技术形成完整的计算机网络纵深防护体系,对计算机网络中各个层面的信息进行保护,切实增强信息的安全性。
参考文献
[1]张雨.计算机网络信息安全纵深防护模型分析[J].电子制作,2013(6).
[2]李海燕,王艳萍.计算机网络安全问题与防范方法的探讨[J].煤炭技术,2011,30(9).
[3]黄卢记,栾江峰,肖军.计算机网络信息安全纵深防护模型分析[J].北京师范大学学报(自然科学版),2012,48(2).
[4]邵力.网络纵深防御方法的研究与实践[D].成都:四川大学,2005(9).
关键词 信息安全;纵深防护体系;计算机网络;关键技术
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2013)11-0000-00
现代社会中信息具有重要的价值,保障信息传输、存储以及应用的安全已经成为当前计算机领域的一个重点问题。在信息安全防御中存在多种防御技术和防御层次,随着所使用的技术和层次逐渐增多,网络应用及信息传输所需要经过的监控和检查次数也就会越来越多,这样就能够在某一层次失守的情况下仍然能够保护信息不被窃取或破坏,这种信息保护方式就被称为纵深防御思想。应用纵深安全防护思想可以对计算机网络系统的各个层面应用多种安全防护技术,这些防护技术组成一个异构网络结构,可以对网络信息进行联动联防,极大的提高计算机信息网络的安全性能。
1 计算机网络信息安全纵深防御模型分析
1.1 功能模型
计算机网络纵深安全防御模型是动态多层次的,其最早由NSA起草生成,经过多次修改后最新版本的信息防护模块由保护、检测、响应以及恢复四个部分组成。如图1所示
图1 PDRR模型
由图1可以看出,四个模块组成一个有机的整体对计算机网络中的信息进行保护。
其中,保护是指应用特定的安全防护技术对信息网络进行加固和控制,该部分的内容通常为静态的,包括防火墙技术、用户访问控制及身份验证技术、数据信息加密技术的等。
检测是指按照所制定的安全防护策略对用户行为、信息传输方式和内容等进行监控和检查。该部分内容由于涉及主动防御部分内容还需要向用户或防护体系提供响应依据,故其是动态的。该模块会主动对计算机网络信息系统相关内容进行扫描和监测,及时发现系统中存在的安全威胁和安全漏洞,将其反馈给安全防护体系,以便用户在没有发生信息损失的情况下及时作出响应。
响应是指对检测过程中发现的问题进行实时处理,消除潜在的安全隐患,保证信息网络和信息系统运行在稳定、安全状态。
恢复是指为防止信息网络或信息系统被攻破后为用户带来损失,按照一定的备份恢复机制对网络中的数据信息进行保存和备份,即便发生信息破坏等事件,也能够尽快从故障状态恢复,将损失降到最低。
1.2 多层纵深安全防护模型
由上节可知,完整的计算机网络纵深安全防护模型包含四部分内容,每部分内容又包含若干种计算机技术,这些技术相互搭配即可实现对计算机网络的纵深保护。一个完整的,配置适当的纵深安全防护模型如下图2所示。
图2 多层纵深安全防护模型
由图2可以看出,第一节中提出的安全防护模块已经按照其防护和作用位置进行了具体化处理,四个防护内容被有机融合成为一个整体。在计算机网络和外网进行通信时首先需要经由防火墙对通信规则进行过滤。之后在网络内部则需要综合使用多种防御技术如身份验证、入侵检测、安全协议控制等对网络用户和网络行为进行控制。在最底层的信息保护中,一方面需要对信息采取必要的加密处理,让其由明文信息变为不可识别的密文信息;另一方面则需要对计算机网络中的重要信息进行备份处理,以防信息发生破坏后还能够被恢复使用。此外,在信息应用的各个层面还应该使用必需的杀毒软件。
2 纵深安全防护模块中的关键技术分析
2.1 防火墙技术
防火墙将计算机内部网络和外部网络分成两个部分,内网和外网之间进行数据通信时只有符合通信规则和用户所制定的安全策略的信息内容才能够通过防火墙。
目前防火墙按照功能的不同可以分为包过滤和代理防火墙两种。前者会对信息的承载单位即数据包进行检查,包括收发地址、TCP端口号等,只有允许范围内的数据包才能够通过。后者则是将防火墙充当一个代理服务器,内外网之间的数据通信都需要通过代理服务器进行转发,这样就可以将被保护的网络结构很好的隐藏起来,提升安全性能。
2.2 用户身份认证及访问控制策略
当用户需要对网络进行访问时,若能够对用户的身份进行认证,根据认证结果向用户分配具体的网络访问权限,则可以很大程度的提升计算机网络的信息安全性。
用户身份认证技术可以判断用户是否具有网络使用权限并向用户分配可应用于网络的安全密钥或口令,用户只能在权限范围内访问或使用网络信息资源。这样就有效避免了非法用户的网络接入。
访问控制技术则是将网络内容划分为多个等级,只有符合等级要求的用户才能够对限制的资源进行访问和使用,即便用户经过了网络内的身份认证,若没有足够的权限也无法获取相应的内容。这样就可以极大的保证网络信息资源在安全可控范围内。
2.3 入侵检测技术
入侵检测技术是一种主动防御技术。部署该技术的系统会主动收集所在网络的多种数据和用户行为,同时程序执行过程和数据使用过程进行记录,然后再利用数据分析工具对所收集到的信息进行分析和检测,若发现异常行为或入侵行为,则出发报警系统并向控制中枢提供警报信息供用户或安全监控系统指定和采取适当的应对措施。
2.4 数据加密技术
数据加密技术是保护计算机网络信息安全的核心技术,可以利用多种加密算法和加密密钥等将明文信息转变为无法识别的密文信息,只有使用对应的解密算法和解密密钥才能够将信息回复出来。这样就可以保证信息传输和存储的安全性,即便发生了信息泄露也无法确切知道信息内容,实现对网络信息的保密。
3 总结
总之,计算机网络存在多个层次和多种结构,若只使用一种或少数几种安全防护技术很难做到为网络信息的全面防护。为切实保障网络信息的安全,必须综合应用多种信息安全技术形成完整的计算机网络纵深防护体系,对计算机网络中各个层面的信息进行保护,切实增强信息的安全性。
参考文献
[1]张雨.计算机网络信息安全纵深防护模型分析[J].电子制作,2013(6).
[2]李海燕,王艳萍.计算机网络安全问题与防范方法的探讨[J].煤炭技术,2011,30(9).
[3]黄卢记,栾江峰,肖军.计算机网络信息安全纵深防护模型分析[J].北京师范大学学报(自然科学版),2012,48(2).
[4]邵力.网络纵深防御方法的研究与实践[D].成都:四川大学,2005(9).