论文部分内容阅读
[摘要] 随着计算机技术和网络技术的发展,网络安全问题,在今天已经成为网络世界里最为人关注的问题之一危害网络安全的因素很多,它们主要依附于各种恶意软件,其中病毒和木马最为一般网民所熟悉。针对这些危害因素,网络安全技术得以快速发展,这也大大提高了网络的安全性。本文分析了目前国内外几种典型的网络安全技术, 并对网络安全系统功能与设计目标进行了有意义的探讨.
[关键词] 网络安全 构建 计算机网络 入侵检测
随着计算机信息化建设的飞速发展,计算机已普遍应用到日常工作、生活的每一个领域,比如政府机关、学校、医院、社区及家庭等。但随之而来的是,计算机网络安全也受到全所未有的威胁,计算机病毒无处不在,黑客的猖獗,都防不胜防。
1、计算机网络安全的含义
计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。
2、目前国内外几种典型的网络安全技术
一个企业级的典型网络安全措施主要包括防火墙、入侵检测、全网的病毒与外部网络的传输加密(VPN 技术)、以及网络内部的信息安全控制。如:网络安全隔离控制卡,指纹引用系统,以及服务器上的身份认证机制等。但是,只顾一味强调技术上的防范是远远不够的, 还要重视对人的管理。
2.1 防火墙系统
防火墙系统能增强机构内部网络的安全性,加强网络间的访问控制,防止外部用户非法使用内部网的资源,保护内部网络的设备不被破坏, 防止内部网络的敏感数据被窃取。防火墙系统决定了哪些内部服务可以被外界访问、外界的哪些人员可以访问内部的哪些服务、以及哪些外部服务可以被内部人员访问。要使一个防火墙有效, 所有来自和去往因特网的信息都必须经过防火墙,接受防火墙的检查。防火墙必须只允许授权的数据通过, 并且防火墙本身也必须能够免于渗透。
2.2 入侵检测系统
入侵检测通过监控系统的使用情况,来检测系统用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图。它根据用户的历史行为, 基于用户当前的操作,完成对攻击的决策并一记录下攻击证据, 为数据恢复与事故处理提供依据。目前主要有两类入侵检测系统:基于网络的和基于主机的。前者在连接过程中监视特定网段的数据流,查找每一数据包内隐藏的恶意入侵,并对发现的入侵做出及时的响应。后者是检查某台主机系统日志中记录的未经授权的可疑行为, 并及时做出响应。
2.3 虚拟专用网技术
V P N 技术可以在远程用户、公司分支机构、商业合作伙伴与公司的内部网之间建立可靠的安全连接,并保护数据的安全传输。与实际的点到点连接电路一样,VPN 系统可被设计成通过Internet,提供安全的点到点(或端到端)的“隧道”。一个VPN 至少提供如下功能:①数据加密;②信息认证和身份认证;③访问权限控制。根据用户的需求,VPN 可以用多种不同的方法实现。通常情况下,有基于防火墙的VPN、基于路由器的VPN、基于服务器的VPN 和专用的VPN 设备等。其他一些常规的安全体系如密码技术、数字签名、数字邮戳、数字凭证和认证中心等技术手段可以保护核心秘密并抵御外来非法攻击。
3、某网络安全系统的功能及其设计目标的探讨
3.1 系统的功能
结合传统的网络防火墙、入侵检测和C/S 模式的黑客监控系统的优点,本系统采用多层分布式C/s 体系结构。整个系统由监控控制台(MonitorConsole),数据中心服务器(server)以及运行于受控机上的监控代理(Agent)三部分构成,并增加一个辅助子系统:网络嗅探器。多个监控代理共同隶属于一个数据中心服务器,监控控制台可以同时访问和管理多个数据中心服务器。通过运行在各受控客户机中的监控代理服务,将受控客户机的状态、动作等关键信息实时报告给数据中心服务器,并由数据中心服务器将监控控制台的指令转达给监控代理。使网络系统管理员可以实时地监控内部网各计算机之间,以及内部网与外部网之间的一切信息通讯,并提供报警、统计、跟踪、审核等一系列功能的集成系统。
3.2 设计目标
基于智能代理的实时网络安全监控系统跟踪目前网络信息安全领域的最新进展,融合一些相关技术,最终将实现以下设计目标。
实时性:网络监控系统必须能够实时地监控网络的所有活动,随时向管理员提供准确的报告。对于高速网络来说, 可能在瞬间一台计算机就可以将敏感数据发送到内部网以外的某处,当这台计算机刚建立了外部网的非授权连接时,网络监控程序必须能够及时,迅速地发出警告,使管理人员得以采取措施设法切断这种连接,防止数据外泄,一旦延误,很有可能导致敏感数据被窃取。
完备性:网络监控系统对网络的监控必须是完备的,即不能出现某种网络设备,某些计算机,某种网络协议,或某些用户不受监控的情况。
通用性: 现代计算机软硬件平台种类繁多,对一个内部网来说,可能有不同的机型,操作系统,应用软件,网络协议,及网络设备组成。因此要求系统实现必须具有通用性以扩大系统的应用范围。
灵活性:网络监控系统必须在配置,扩充等方面具备足够的灵活性,可以根据用户的需要更改配置,方便地添加新的功能,控制安全监控的强度。性能:传统的专业化网络管理软件,如OpenView 等往往需要专门的硬件设备,系统开销极大,并且会对网络性能产生很大影响。
集成性: 网络监控系统应当与现有硬件,软件平台,网络协议和标准来处理网络数据,而无需再定义一套标准,在各种条件下做大量的数据转换工作。
易用性:网络监控系统对用户来说必须是友好的,用户可以方便,快捷地掌握监控网络的技术,而不需要经过冗长,复杂的专业技术培训。
4、结束语
网络系统安全作为一项动态工程,它的安全程度会随着时间的变化而发生变化。在信息技术日新月异的今天,需要随着时间和网络环境的变化或技术的发展而不断调整自身的安全策略。
参考文献:
[1] 张千里.网络安全新技术[M].北京:人民邮电出版社,2003.
[2] 陈彦学.信息安全理论与实务[M].北京:中国铁道出版社,2001.
[3] 杨波.网络安全理论与应用[M].北京:电子工业出版社,2002.
[4] 李淑芳.网络安全浅析.维普资讯,2006,2
[5] 杨义先.信息安全新技术[M].北京:北京邮电大学出版社,2002.
[关键词] 网络安全 构建 计算机网络 入侵检测
随着计算机信息化建设的飞速发展,计算机已普遍应用到日常工作、生活的每一个领域,比如政府机关、学校、医院、社区及家庭等。但随之而来的是,计算机网络安全也受到全所未有的威胁,计算机病毒无处不在,黑客的猖獗,都防不胜防。
1、计算机网络安全的含义
计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。
2、目前国内外几种典型的网络安全技术
一个企业级的典型网络安全措施主要包括防火墙、入侵检测、全网的病毒与外部网络的传输加密(VPN 技术)、以及网络内部的信息安全控制。如:网络安全隔离控制卡,指纹引用系统,以及服务器上的身份认证机制等。但是,只顾一味强调技术上的防范是远远不够的, 还要重视对人的管理。
2.1 防火墙系统
防火墙系统能增强机构内部网络的安全性,加强网络间的访问控制,防止外部用户非法使用内部网的资源,保护内部网络的设备不被破坏, 防止内部网络的敏感数据被窃取。防火墙系统决定了哪些内部服务可以被外界访问、外界的哪些人员可以访问内部的哪些服务、以及哪些外部服务可以被内部人员访问。要使一个防火墙有效, 所有来自和去往因特网的信息都必须经过防火墙,接受防火墙的检查。防火墙必须只允许授权的数据通过, 并且防火墙本身也必须能够免于渗透。
2.2 入侵检测系统
入侵检测通过监控系统的使用情况,来检测系统用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图。它根据用户的历史行为, 基于用户当前的操作,完成对攻击的决策并一记录下攻击证据, 为数据恢复与事故处理提供依据。目前主要有两类入侵检测系统:基于网络的和基于主机的。前者在连接过程中监视特定网段的数据流,查找每一数据包内隐藏的恶意入侵,并对发现的入侵做出及时的响应。后者是检查某台主机系统日志中记录的未经授权的可疑行为, 并及时做出响应。
2.3 虚拟专用网技术
V P N 技术可以在远程用户、公司分支机构、商业合作伙伴与公司的内部网之间建立可靠的安全连接,并保护数据的安全传输。与实际的点到点连接电路一样,VPN 系统可被设计成通过Internet,提供安全的点到点(或端到端)的“隧道”。一个VPN 至少提供如下功能:①数据加密;②信息认证和身份认证;③访问权限控制。根据用户的需求,VPN 可以用多种不同的方法实现。通常情况下,有基于防火墙的VPN、基于路由器的VPN、基于服务器的VPN 和专用的VPN 设备等。其他一些常规的安全体系如密码技术、数字签名、数字邮戳、数字凭证和认证中心等技术手段可以保护核心秘密并抵御外来非法攻击。
3、某网络安全系统的功能及其设计目标的探讨
3.1 系统的功能
结合传统的网络防火墙、入侵检测和C/S 模式的黑客监控系统的优点,本系统采用多层分布式C/s 体系结构。整个系统由监控控制台(MonitorConsole),数据中心服务器(server)以及运行于受控机上的监控代理(Agent)三部分构成,并增加一个辅助子系统:网络嗅探器。多个监控代理共同隶属于一个数据中心服务器,监控控制台可以同时访问和管理多个数据中心服务器。通过运行在各受控客户机中的监控代理服务,将受控客户机的状态、动作等关键信息实时报告给数据中心服务器,并由数据中心服务器将监控控制台的指令转达给监控代理。使网络系统管理员可以实时地监控内部网各计算机之间,以及内部网与外部网之间的一切信息通讯,并提供报警、统计、跟踪、审核等一系列功能的集成系统。
3.2 设计目标
基于智能代理的实时网络安全监控系统跟踪目前网络信息安全领域的最新进展,融合一些相关技术,最终将实现以下设计目标。
实时性:网络监控系统必须能够实时地监控网络的所有活动,随时向管理员提供准确的报告。对于高速网络来说, 可能在瞬间一台计算机就可以将敏感数据发送到内部网以外的某处,当这台计算机刚建立了外部网的非授权连接时,网络监控程序必须能够及时,迅速地发出警告,使管理人员得以采取措施设法切断这种连接,防止数据外泄,一旦延误,很有可能导致敏感数据被窃取。
完备性:网络监控系统对网络的监控必须是完备的,即不能出现某种网络设备,某些计算机,某种网络协议,或某些用户不受监控的情况。
通用性: 现代计算机软硬件平台种类繁多,对一个内部网来说,可能有不同的机型,操作系统,应用软件,网络协议,及网络设备组成。因此要求系统实现必须具有通用性以扩大系统的应用范围。
灵活性:网络监控系统必须在配置,扩充等方面具备足够的灵活性,可以根据用户的需要更改配置,方便地添加新的功能,控制安全监控的强度。性能:传统的专业化网络管理软件,如OpenView 等往往需要专门的硬件设备,系统开销极大,并且会对网络性能产生很大影响。
集成性: 网络监控系统应当与现有硬件,软件平台,网络协议和标准来处理网络数据,而无需再定义一套标准,在各种条件下做大量的数据转换工作。
易用性:网络监控系统对用户来说必须是友好的,用户可以方便,快捷地掌握监控网络的技术,而不需要经过冗长,复杂的专业技术培训。
4、结束语
网络系统安全作为一项动态工程,它的安全程度会随着时间的变化而发生变化。在信息技术日新月异的今天,需要随着时间和网络环境的变化或技术的发展而不断调整自身的安全策略。
参考文献:
[1] 张千里.网络安全新技术[M].北京:人民邮电出版社,2003.
[2] 陈彦学.信息安全理论与实务[M].北京:中国铁道出版社,2001.
[3] 杨波.网络安全理论与应用[M].北京:电子工业出版社,2002.
[4] 李淑芳.网络安全浅析.维普资讯,2006,2
[5] 杨义先.信息安全新技术[M].北京:北京邮电大学出版社,2002.