论文部分内容阅读
摘要: 随着计算机及计算机网络技术的发展,网络工程的安全性越来越被关注。因此,首先简述网络安全技术,并详细探讨安全技术在网络工程中的应用,分别从需求、拓扑、系统安全以及网络扫描等方面进行剖析,希望为其他网络工程安全性建设提供一定的参考及借鉴作用。
关键词: 网络工程;安全技术;网络安全
中图分类号:TP3文献标识码:A文章编号:1671-7597(2010)0320093-01
0 引言
网络安全是一个关系国家安全和主权、社会稳定、民族文化的继承和发扬的重要问题,其重要性正随着全球信息化步伐的加快而变得越来越重要,安全问题刻不容缓。从小的方面来说,网络安全关乎一个单位的生存发展。企事业单位极为重要的人事、财务、科研等数据资料,随着电子化办公的普及,放入计算机网络势在必行,没有了网络安全性,将造成灾难性的结果。可见,安全技术在网络工程中的有效应用是至关重要的。
1 网络安全技术概述
首先是物理方面的安全技术。例如,保护网络关键设备(如交换机、大型计算机等),制定严格的网络安全规章制度,采取防辐射、防火以及安装不间断电源(UPS)等措施。特别是设备机房的建设应该满足相关标准。其次是访问控制。对用户访问网络资源的权限进行严格的认证和控制。例如,进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限等等[1]。
此外,为了防止计算机网络病毒,安装网络防病毒系统等。其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。近年来,围绕网络安全问题提出了许多解决办法,例如防火墙技术等。防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限,从而保护网络资源。其他安全技术包括密钥管理、数字签名、认证技术、智能卡技术和访问控制等等。
2 安全技术在网络工程中的应用剖析
2.1 需求分析。一般网络工程系统的规模在100个终端以上,这些用户单位对网络工程系统的需求很全面,比如文档资料的共享、软件资源的共享、打印机等硬件资源的共享、服务器账户的管理、终端用户的安全认证、Internet的接入、数据远程传输、硬件系统热冗余配置、系统服务不中断、专业的网络管理、信息发布等。这些用户单位一般规模较大,对网络工程设备及安全产品的资金投入重在性能和安全性,管理人员常采用专职工作的方式。
2.2 网络拓扑。考虑到网络安全技术的实用性,网络的扩展与高可靠性,我们采用当前主流的星型网络拓扑结构。星形网中所有的主机和其他设备均通过一个中央连接单元或是核心交换机连接在一起。利用中央结点可方便地提供服务和重新配置网络;除中央节点外的其它单个连接点的故障只影响一部分设备,不会影响全网;系统容易检测和隔离故障,便于维护;控制介质访问的方法很简单,从而访问协议也十分简单。如图1所示。
2.3 网络系统安全。网络系统涉及整个网络操作系统和网络硬件平台的安全性。对于现在流行的Microsoft的Windows操作系统或者其它任何商用UNIX操作系统,目前没有绝对安全的操作系统可以选择,可选的系统范围很小,但是这些操作系统带给我们的方便快捷、应用平台等好处我们已经不能缺少,毕竟从头开发一套安全的操作系统也不太现实,因此我们应该做的就是,紧密关注操作系统厂家的安全更新和安全建议,提高自己的安全意识,积极主动地解决系统中出现的安全问题。对于网络硬件平台的安全性,我们可以选择的范围大很多,网络硬件的厂家非常多,为我们带来了丰富的产品。
首先网络系统在各个边界采用防火墙系统,并使用与网络防火墙系统联动的专用入侵检测系统(IDS)对服务器与重点保护网段加以监控、记录,并与防火墙一起构成一个动态的防御、报警系统,这是现今网络系统首先必须的配置。其次,将计算机网络病毒防护系统架构在多种平台的服务器群上:HP-UX(分别安装Lotus Domino、用户邮件系统、oracle)、Linux(安装Web、TRS),SUN Solaris(DNS),Windows NT/2000 Server上,构成一个病毒防护系统[2]。再次,使用一套网络安全扫描系统定期检查整个网络交换平台上主要网络设备、服务器、操作系统的安全漏洞,并建议安全措施,以达到不断增强网络安全性的目的。
2.4 网络安全扫描。网络工程系统中采用网络安全扫描的网络扫描器,对网络设备进行自动的安全漏洞检测和分析,并且在执行过程中支持基于策略的安全风险管理过程。另外,执行预定的或事件驱动的网络探测,包括对网络通信服务、操作系统、路由器、电子邮件、Web服务器、防火墙和应用程序的检测,从而识别能被入侵者利用来非法进入网络的漏洞。系统能够给出检测到的漏洞信息,包括位置、详细描述和建议的改进方案。这种策略允许管理员侦测和管理安全风险信息,并跟随开放的网络应用和迅速增长的网络规模而相应地改变。
采用基于主机的安全评估的系统扫描。与网络扫描的区别在于它提供了基于主机的安全评估策略来分析系统漏洞。网络扫描是在网络层扫描各种设备来发现安全漏洞,系统扫描是在系统层上通过依附于主机上的扫描代理侦测主机内部的漏洞[3]。这些扫描代理的安全策略可以通过系统扫描控制台进行集中管理和配置。系统扫描在相当严格的基础上对安全风险级别进行划分。在UNIX系统上,它对大量的安全问题能自动产生修补程序脚本。一旦系统被确认处于安全的状态后,系统扫描会用一种数字指纹锁定系统配置,以便更容易发现非法访问。数据库扫描是针对数据库管理系统风险评估的检测工具。能够利用它来建立数据库的安全规则,通过运行审核程序来提供有关安全风险和位置的简明报告。
3 小结
网络工程系统应该需要满足企事業用户的计算机系统的安全、数据信息不被非法访问和破坏、系统不被病毒侵犯等,同时也需要防止反动淫秽等有害信息在网上传播等,这正是本论文所追求的目标。需要明确的是,安全技术并不能杜绝所有对网络的侵扰和破坏,安全技术的作用仅在于最大限度地防范,以及在受到侵扰的破坏后将损失尽量降低。
参考文献:
[1]李伟,网络安全实用技术标准教程,北京:清华大学出版社,2005.
[2]罗斌、郭峥嵘,网络安全设计标准教程,北京:清华大学出版社,2005.
[3]赵泉,网络安全与电子商务,北京:清华大学出版社,2005.
关键词: 网络工程;安全技术;网络安全
中图分类号:TP3文献标识码:A文章编号:1671-7597(2010)0320093-01
0 引言
网络安全是一个关系国家安全和主权、社会稳定、民族文化的继承和发扬的重要问题,其重要性正随着全球信息化步伐的加快而变得越来越重要,安全问题刻不容缓。从小的方面来说,网络安全关乎一个单位的生存发展。企事业单位极为重要的人事、财务、科研等数据资料,随着电子化办公的普及,放入计算机网络势在必行,没有了网络安全性,将造成灾难性的结果。可见,安全技术在网络工程中的有效应用是至关重要的。
1 网络安全技术概述
首先是物理方面的安全技术。例如,保护网络关键设备(如交换机、大型计算机等),制定严格的网络安全规章制度,采取防辐射、防火以及安装不间断电源(UPS)等措施。特别是设备机房的建设应该满足相关标准。其次是访问控制。对用户访问网络资源的权限进行严格的认证和控制。例如,进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限等等[1]。
此外,为了防止计算机网络病毒,安装网络防病毒系统等。其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。近年来,围绕网络安全问题提出了许多解决办法,例如防火墙技术等。防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限,从而保护网络资源。其他安全技术包括密钥管理、数字签名、认证技术、智能卡技术和访问控制等等。
2 安全技术在网络工程中的应用剖析
2.1 需求分析。一般网络工程系统的规模在100个终端以上,这些用户单位对网络工程系统的需求很全面,比如文档资料的共享、软件资源的共享、打印机等硬件资源的共享、服务器账户的管理、终端用户的安全认证、Internet的接入、数据远程传输、硬件系统热冗余配置、系统服务不中断、专业的网络管理、信息发布等。这些用户单位一般规模较大,对网络工程设备及安全产品的资金投入重在性能和安全性,管理人员常采用专职工作的方式。
2.2 网络拓扑。考虑到网络安全技术的实用性,网络的扩展与高可靠性,我们采用当前主流的星型网络拓扑结构。星形网中所有的主机和其他设备均通过一个中央连接单元或是核心交换机连接在一起。利用中央结点可方便地提供服务和重新配置网络;除中央节点外的其它单个连接点的故障只影响一部分设备,不会影响全网;系统容易检测和隔离故障,便于维护;控制介质访问的方法很简单,从而访问协议也十分简单。如图1所示。
2.3 网络系统安全。网络系统涉及整个网络操作系统和网络硬件平台的安全性。对于现在流行的Microsoft的Windows操作系统或者其它任何商用UNIX操作系统,目前没有绝对安全的操作系统可以选择,可选的系统范围很小,但是这些操作系统带给我们的方便快捷、应用平台等好处我们已经不能缺少,毕竟从头开发一套安全的操作系统也不太现实,因此我们应该做的就是,紧密关注操作系统厂家的安全更新和安全建议,提高自己的安全意识,积极主动地解决系统中出现的安全问题。对于网络硬件平台的安全性,我们可以选择的范围大很多,网络硬件的厂家非常多,为我们带来了丰富的产品。
首先网络系统在各个边界采用防火墙系统,并使用与网络防火墙系统联动的专用入侵检测系统(IDS)对服务器与重点保护网段加以监控、记录,并与防火墙一起构成一个动态的防御、报警系统,这是现今网络系统首先必须的配置。其次,将计算机网络病毒防护系统架构在多种平台的服务器群上:HP-UX(分别安装Lotus Domino、用户邮件系统、oracle)、Linux(安装Web、TRS),SUN Solaris(DNS),Windows NT/2000 Server上,构成一个病毒防护系统[2]。再次,使用一套网络安全扫描系统定期检查整个网络交换平台上主要网络设备、服务器、操作系统的安全漏洞,并建议安全措施,以达到不断增强网络安全性的目的。
2.4 网络安全扫描。网络工程系统中采用网络安全扫描的网络扫描器,对网络设备进行自动的安全漏洞检测和分析,并且在执行过程中支持基于策略的安全风险管理过程。另外,执行预定的或事件驱动的网络探测,包括对网络通信服务、操作系统、路由器、电子邮件、Web服务器、防火墙和应用程序的检测,从而识别能被入侵者利用来非法进入网络的漏洞。系统能够给出检测到的漏洞信息,包括位置、详细描述和建议的改进方案。这种策略允许管理员侦测和管理安全风险信息,并跟随开放的网络应用和迅速增长的网络规模而相应地改变。
采用基于主机的安全评估的系统扫描。与网络扫描的区别在于它提供了基于主机的安全评估策略来分析系统漏洞。网络扫描是在网络层扫描各种设备来发现安全漏洞,系统扫描是在系统层上通过依附于主机上的扫描代理侦测主机内部的漏洞[3]。这些扫描代理的安全策略可以通过系统扫描控制台进行集中管理和配置。系统扫描在相当严格的基础上对安全风险级别进行划分。在UNIX系统上,它对大量的安全问题能自动产生修补程序脚本。一旦系统被确认处于安全的状态后,系统扫描会用一种数字指纹锁定系统配置,以便更容易发现非法访问。数据库扫描是针对数据库管理系统风险评估的检测工具。能够利用它来建立数据库的安全规则,通过运行审核程序来提供有关安全风险和位置的简明报告。
3 小结
网络工程系统应该需要满足企事業用户的计算机系统的安全、数据信息不被非法访问和破坏、系统不被病毒侵犯等,同时也需要防止反动淫秽等有害信息在网上传播等,这正是本论文所追求的目标。需要明确的是,安全技术并不能杜绝所有对网络的侵扰和破坏,安全技术的作用仅在于最大限度地防范,以及在受到侵扰的破坏后将损失尽量降低。
参考文献:
[1]李伟,网络安全实用技术标准教程,北京:清华大学出版社,2005.
[2]罗斌、郭峥嵘,网络安全设计标准教程,北京:清华大学出版社,2005.
[3]赵泉,网络安全与电子商务,北京:清华大学出版社,2005.