论文部分内容阅读
摘 要 网络安全技术是指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理的安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,以及其他的安全服务和安全机制策略,其目标是确保计算机网络的持续健康运行。
关键词计算机网络;网络故障;网络维护;安全技术
中图分类号 TP393文献标识码A 文章编号1673-9671-(2009)111-0027-01
1物理隔离技术
相对于防火墙、VLAN、VPN等逻辑隔离而言的物理隔离技术,是指采用物理方式将被保护的网络从开放、无边界、自由的环境中独立出来,保护网络内数据安全、准确、完整。实现物理隔离可以在三个层次进行:
⑴ 单机级,又分为单主板安全隔离和网络安全隔离卡技术两种,前者主要依靠双硬盘技术,将内、外网络转换功能做入BIOS中,并将插槽也分为内网和外网,由BIOS控制某种网络环境下,只能使用该种网络环境下的设备,而不能使用其他网络环境下的设备;后者是通过网络安全隔离卡上的硬件逻辑控制器实现在物理层的访问控制,同时采用了硬件钥匙来保证隔离卡本身的安全不被攻破,其安全防护完全符合物理隔离的要求。
⑵集线器级,这类集线器需要与专用的客户端隔离卡相配合使用,在集线器上安装网络选择器,根据不同的电平信号,选择不同的网络连接。
2网络认证技术
(1)口令认证,当被认证对象要求访问提供服务的系统时,提供服务的认证方要求被认证对象提交该对象的口令,认证方收到口令后,将其与系统中存储的用户口令进行比较,以确认被认证对象是否为合法访问者。但这种明文输入的口令,很容易泄密,传输过程中也可能被截获,系统中所有用户的口令以文件形式存储在认证方,攻击者还可以利用系统中存在的漏洞获取系统的口令文件。而且这种认证只能进行单向认证,即系统可以认证用户,而用户无法对系统进行认证,这使得攻击者可能伪装成系统骗取用户的口令。
(2)双因素认证,除口令外,还必须拥有系统颁发的令牌访问设备,当用户向系统登录时,用户除输入口令外,还必须输入令牌访问设备所显示的数字,该数字与认证服务器同步,不断变化。这种方法比基于口令的认证方法具有更好的安全性,在一定程度上解决了口令认证方法中的问题
(3)Kerberos,该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下, Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。
(4)CHAP,使用3次握手周期性的验证对端身份。在链路建立初始化时这样做,也可以在链路建立后任何时间重复验证。
(5)X.509证书及认证框架,X.509给出的鉴别框架是一种基于公开密钥体制的鉴别业务密钥管理。一个用户有两把密钥:一把是用户的专用密钥,另一把是其他用户都可利用的公共密钥。用户可用常规密钥(如DES)为信息加密,然后再用接收者的公共密钥对DES进行加密并将之附于信息之上,这样接收者可用对应的专用密钥打开DES密锁,并对信息解密。
3病毒防护技术
在早期的单机环境下,病毒主要有寄生性、隐蔽性、非法性、传染性、破坏性、潜伏性、可触发性等特点,随着计算机网络在工作、生活、学习中发挥着越来越重要的作用,各种网络安全问题逐渐增多,网络病毒越发趋于复杂,除具有单机环境下的特点外,还呈现出感染速度快、扩散面广、传播的形式复杂多样、难于彻底清除、破坏性大等新的特点。与此同时,许多防病毒厂商也升级了一些新的防病毒技术,主要包括数字免疫系统 、监控病毒源技术 、主动内核技术 、“分布式处理”技术 、安全网管技术。
4防火墙技术
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合,包括计算机硬件和软件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外,还有多种防火墙产品正朝着数据安全与用户认证,防止病毒与黑客侵入等方向发展。
5入侵检测系统(Intrusion detection system,简称IDS)
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。它作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。与其他安全产品不同的是,入侵检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作,保证网络安全的运行。具体说来,入侵检测系统的主要功能有:监测并分析用户和系统的活动,.核查系统配置和漏洞,.评估系统关键资源和数据文件的完整性,识别已知的攻击行为,统计分析异常行为,操作系统日志管理、并识别违反安全策略的用户活动。
信息网络的发展本身就是信息安全防护技术和信息安全攻击技术不断搏弈的过程。随着信息安全技术的发展,我们经历了从基本安全隔离、主机加固阶段、到后来的网络认证阶段、直到将行为监控和审计也纳入安全的范畴。这样的演变不仅仅是为了避免恶意攻击,更重要的是为了提高网络的可信度。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以网络安全技术将来也是一个随着反安全技术发展而不断发展的技术。
参考文献
[1] (美)GoncalvesM,宋书名,朱智强,徐开勇.防火墙技术指南[M].北京:机械工业出版社 .
[2]龚俭,陆晟,王倩:计算机网络安全导论[M].南京:东南大学出版社.
[3]戴宗坤.信息系统安全[M].北京:金城出版社.
[4]晏蒲柳.大规模智能网络管理模型方法[J].计算机应用研究.
[5]周杨,家海,任宪坤,王沛瑜.网络管理原理与实现技术[M].北京:清华大学出版社.
关键词计算机网络;网络故障;网络维护;安全技术
中图分类号 TP393文献标识码A 文章编号1673-9671-(2009)111-0027-01
1物理隔离技术
相对于防火墙、VLAN、VPN等逻辑隔离而言的物理隔离技术,是指采用物理方式将被保护的网络从开放、无边界、自由的环境中独立出来,保护网络内数据安全、准确、完整。实现物理隔离可以在三个层次进行:
⑴ 单机级,又分为单主板安全隔离和网络安全隔离卡技术两种,前者主要依靠双硬盘技术,将内、外网络转换功能做入BIOS中,并将插槽也分为内网和外网,由BIOS控制某种网络环境下,只能使用该种网络环境下的设备,而不能使用其他网络环境下的设备;后者是通过网络安全隔离卡上的硬件逻辑控制器实现在物理层的访问控制,同时采用了硬件钥匙来保证隔离卡本身的安全不被攻破,其安全防护完全符合物理隔离的要求。
⑵集线器级,这类集线器需要与专用的客户端隔离卡相配合使用,在集线器上安装网络选择器,根据不同的电平信号,选择不同的网络连接。
2网络认证技术
(1)口令认证,当被认证对象要求访问提供服务的系统时,提供服务的认证方要求被认证对象提交该对象的口令,认证方收到口令后,将其与系统中存储的用户口令进行比较,以确认被认证对象是否为合法访问者。但这种明文输入的口令,很容易泄密,传输过程中也可能被截获,系统中所有用户的口令以文件形式存储在认证方,攻击者还可以利用系统中存在的漏洞获取系统的口令文件。而且这种认证只能进行单向认证,即系统可以认证用户,而用户无法对系统进行认证,这使得攻击者可能伪装成系统骗取用户的口令。
(2)双因素认证,除口令外,还必须拥有系统颁发的令牌访问设备,当用户向系统登录时,用户除输入口令外,还必须输入令牌访问设备所显示的数字,该数字与认证服务器同步,不断变化。这种方法比基于口令的认证方法具有更好的安全性,在一定程度上解决了口令认证方法中的问题
(3)Kerberos,该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下, Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。
(4)CHAP,使用3次握手周期性的验证对端身份。在链路建立初始化时这样做,也可以在链路建立后任何时间重复验证。
(5)X.509证书及认证框架,X.509给出的鉴别框架是一种基于公开密钥体制的鉴别业务密钥管理。一个用户有两把密钥:一把是用户的专用密钥,另一把是其他用户都可利用的公共密钥。用户可用常规密钥(如DES)为信息加密,然后再用接收者的公共密钥对DES进行加密并将之附于信息之上,这样接收者可用对应的专用密钥打开DES密锁,并对信息解密。
3病毒防护技术
在早期的单机环境下,病毒主要有寄生性、隐蔽性、非法性、传染性、破坏性、潜伏性、可触发性等特点,随着计算机网络在工作、生活、学习中发挥着越来越重要的作用,各种网络安全问题逐渐增多,网络病毒越发趋于复杂,除具有单机环境下的特点外,还呈现出感染速度快、扩散面广、传播的形式复杂多样、难于彻底清除、破坏性大等新的特点。与此同时,许多防病毒厂商也升级了一些新的防病毒技术,主要包括数字免疫系统 、监控病毒源技术 、主动内核技术 、“分布式处理”技术 、安全网管技术。
4防火墙技术
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合,包括计算机硬件和软件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外,还有多种防火墙产品正朝着数据安全与用户认证,防止病毒与黑客侵入等方向发展。
5入侵检测系统(Intrusion detection system,简称IDS)
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。它作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。与其他安全产品不同的是,入侵检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作,保证网络安全的运行。具体说来,入侵检测系统的主要功能有:监测并分析用户和系统的活动,.核查系统配置和漏洞,.评估系统关键资源和数据文件的完整性,识别已知的攻击行为,统计分析异常行为,操作系统日志管理、并识别违反安全策略的用户活动。
信息网络的发展本身就是信息安全防护技术和信息安全攻击技术不断搏弈的过程。随着信息安全技术的发展,我们经历了从基本安全隔离、主机加固阶段、到后来的网络认证阶段、直到将行为监控和审计也纳入安全的范畴。这样的演变不仅仅是为了避免恶意攻击,更重要的是为了提高网络的可信度。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以网络安全技术将来也是一个随着反安全技术发展而不断发展的技术。
参考文献
[1] (美)GoncalvesM,宋书名,朱智强,徐开勇.防火墙技术指南[M].北京:机械工业出版社 .
[2]龚俭,陆晟,王倩:计算机网络安全导论[M].南京:东南大学出版社.
[3]戴宗坤.信息系统安全[M].北京:金城出版社.
[4]晏蒲柳.大规模智能网络管理模型方法[J].计算机应用研究.
[5]周杨,家海,任宪坤,王沛瑜.网络管理原理与实现技术[M].北京:清华大学出版社.