計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)探討

1、計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)探討摘要： 該文簡要介紹網(wǎng)絡(luò)安全技術(shù)的方案目標(biāo)、解決方案,并詳細(xì)討論采用防火墻技術(shù)、NAT技術(shù)、VPN技術(shù)、網(wǎng)絡(luò)加密技術(shù)(Ipsec)來構(gòu)成網(wǎng)絡(luò)安全的防御系統(tǒng)。關(guān)鍵詞：網(wǎng)絡(luò);安全;VPN;加密技術(shù);防火墻技術(shù)網(wǎng)絡(luò)安全是指計(jì)算機(jī)、網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然或惡意的原因而遭破壞、更改或泄露，系統(tǒng)能連續(xù)可靠、正常地運(yùn)行，使網(wǎng)絡(luò)服務(wù)不中斷。 隨著Internet的飛速發(fā)展,網(wǎng)絡(luò)應(yīng)用的擴(kuò)大,網(wǎng)絡(luò)安全風(fēng)險也變的非常嚴(yán)重和復(fù)雜。原先由單機(jī)安全事故引起的故障通過網(wǎng)絡(luò)傳給其他系統(tǒng)和主機(jī),可造成大范圍的癱瘓,再加上安全機(jī)制的缺乏和防護(hù)意識不強(qiáng),網(wǎng)絡(luò)風(fēng)險日益加重。這些風(fēng)

2、險的出現(xiàn)與網(wǎng)絡(luò)的系統(tǒng)結(jié)構(gòu)與應(yīng)用相關(guān)聯(lián)。主要包括物理安全、鏈路安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全及管理安全等六個方面。網(wǎng)絡(luò)安全性可以被粗略地分為4個相互交織的部分:保密、鑒別、反拒認(rèn)以及完整性控制。保密是保護(hù)信息不被未授權(quán)者訪問,這是人們提到的網(wǎng)絡(luò)安全性時最常想到的內(nèi)容。鑒別主要指在揭示敏感信息或進(jìn)行事務(wù)處理之前先確認(rèn)對方的身份。反拒認(rèn)主要與簽名有關(guān)。保密和完整性通過使用注冊過的郵件和文件鎖來實(shí)現(xiàn)。 1.方案目標(biāo) 本方案主要從網(wǎng)絡(luò)層次考慮,將網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)成一個支持各級別用戶或用戶群的安全網(wǎng)絡(luò),該網(wǎng)在保證系統(tǒng)內(nèi)部網(wǎng)絡(luò)安全的同時,還實(shí)現(xiàn)與Internet或國內(nèi)其它網(wǎng)絡(luò)的安全互連。本方案在保證網(wǎng)絡(luò)安全

3、可以滿足各種用戶的需求,比如:可以滿足個人的通話保密性,也可以滿足企業(yè)客戶的計(jì)算機(jī)系統(tǒng)的安全保障,數(shù)據(jù)庫不被非法訪問和破壞,系統(tǒng)不被病毒侵犯,同時也可以防止有害信息在網(wǎng)上傳播等。 2.安全需求 通過對網(wǎng)絡(luò)系統(tǒng)的風(fēng)險分析及需要解決的安全問題,我們需要制定合理的安全策略及安全方案來確保網(wǎng)絡(luò)系統(tǒng)的機(jī)密性、完整性、可用性、可控性與可審查性。即: 可用性:授權(quán)實(shí)體有權(quán)訪問數(shù)據(jù); 機(jī)密性:信息不暴露給未授權(quán)實(shí)體或進(jìn)程; 完整性:保證數(shù)據(jù)不被未授權(quán)修改； 可控性:控制授權(quán)范圍內(nèi)的信息流向及操作方式 可審查性:對出現(xiàn)的安全問題提供依據(jù)與手段 訪問控制:需要由防火墻將內(nèi)部網(wǎng)絡(luò)與外部不可信任的網(wǎng)絡(luò)隔離,對與外部網(wǎng)

4、絡(luò)交換數(shù)據(jù)的內(nèi)部網(wǎng)絡(luò)及其主機(jī)、所交換的數(shù)據(jù)進(jìn)行嚴(yán)格的訪問控制。同樣,對內(nèi)部網(wǎng)絡(luò),由于不同的應(yīng)用業(yè)務(wù)以及不同的安全級別,也需要使用防火墻將不同的LAN或網(wǎng)段進(jìn)行隔離,并實(shí)現(xiàn)相互的訪問控制。 數(shù)據(jù)加密:數(shù)據(jù)加密是在數(shù)據(jù)傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。 安全審計(jì):是識別與防止網(wǎng)絡(luò)攻擊行為、追查網(wǎng)絡(luò)泄密行為的重要措施之一。具體包括兩方面的內(nèi)容,一是采用網(wǎng)絡(luò)監(jiān)控與入侵防范系統(tǒng),識別網(wǎng)絡(luò)各種違規(guī)操作與攻擊行為,即時響應(yīng)(如報(bào)警)并進(jìn)行阻斷;二是對信息內(nèi)容的審計(jì),可以防止內(nèi)部機(jī)密或敏感信息的非法泄漏。 3.風(fēng)險分析 網(wǎng)絡(luò)安全是網(wǎng)絡(luò)正常運(yùn)行的前提。網(wǎng)絡(luò)安全不單是單點(diǎn)的安全,而是整個信息網(wǎng)的安

5、全。要知道如何防護(hù),首先需要了解安全風(fēng)險來自于何處。網(wǎng)絡(luò)安全系統(tǒng)必須包括技術(shù)和管理兩方面。風(fēng)險分析是網(wǎng)絡(luò)安全技術(shù)需要提供的一個重要功能。它要連續(xù)不斷地對網(wǎng)絡(luò)中的消息和事件進(jìn)行檢測,對系統(tǒng)受到侵?jǐn)_和破壞的風(fēng)險進(jìn)行分析。風(fēng)險分析必須包括網(wǎng)絡(luò)中所有有關(guān)的成分。 3.1物理安全風(fēng)險分析 網(wǎng)絡(luò)物理安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提,其主要風(fēng)險有:地震、水災(zāi)、火災(zāi)等環(huán)境事故;電源故障;電磁輻射造成信息被竊取。 3.2鏈路風(fēng)險分析 網(wǎng)絡(luò)安全威脅不僅在網(wǎng)上進(jìn)行攻擊。攻擊者完全有可能在傳輸線路上安裝竊聽設(shè)備,再通過一些技術(shù)讀出。因此對于一些重要信息在鏈路上必須加密,并且通過數(shù)字簽名及認(rèn)證確保數(shù)據(jù)的真實(shí)性、機(jī)密性、可靠

6、性、完整性。 3.3網(wǎng)絡(luò)安全風(fēng)險分析 與Internet互聯(lián)的安全威脅,主要為黑客的人侵;內(nèi)部局域網(wǎng)與外部網(wǎng)互聯(lián)的安全威脅,主要手段有網(wǎng)絡(luò)監(jiān)聽與惡意攻擊等。內(nèi)部局域網(wǎng)的安全威脅,主要是內(nèi)部人員的泄密。 3.4系統(tǒng)安全風(fēng)險分析 主要指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。表現(xiàn)在開發(fā)商的Back-Door(后門)以及系統(tǒng)本身的漏洞上。 3.5應(yīng)用安全風(fēng)險分析 應(yīng)用系統(tǒng)的安全涉及的方面較多,主要在電子郵件與病毒方面。 3.6管理安全風(fēng)險分析 內(nèi)部人員的破壞,管理不善,制度不健全,都可以引起管理安全風(fēng)險。因此除了技術(shù)以外,還得依靠管理實(shí)現(xiàn)網(wǎng)絡(luò)安全。 4.解決方案 4.1設(shè)計(jì)原則 針對網(wǎng)絡(luò)系統(tǒng)實(shí)際情況,解決網(wǎng)絡(luò)

7、的安全保密問題是當(dāng)務(wù)之急,考慮技術(shù)難度及經(jīng)費(fèi)等因素,設(shè)計(jì)時應(yīng)遵循的思想: 大幅度地提高系統(tǒng)的安全性和保密性； 保持網(wǎng)絡(luò)原有的性能特點(diǎn),即對網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性； 易于操作、維護(hù),并便于自動化管理,而不增加或少增加附加操作; 盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),同時便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展; 安全保密系統(tǒng)具有較好的性能價格比,一次性投資,可以長期使用; 安全與密碼產(chǎn)品具有合法性,及經(jīng)過國家有關(guān)管理部門的認(rèn)可或認(rèn)證; 分步實(shí)施原則:分級管理,分步實(shí)施。 4.2安全策略 針對上述分析,我們采取以下安全策略: 采用漏洞掃描技術(shù),對重要網(wǎng)絡(luò)設(shè)備進(jìn)行風(fēng)險評估,保證信息系統(tǒng)盡量在最優(yōu)的狀況下運(yùn)行。 采用各

8、種安全技術(shù),構(gòu)筑防御系統(tǒng),主要有: 防火墻技術(shù):在網(wǎng)絡(luò)的對外接口,采用防火墻技術(shù),在網(wǎng)絡(luò)層進(jìn)行訪問控制。 NAT技術(shù):隱藏內(nèi)部網(wǎng)絡(luò)信息。 VPN:虛擬專用網(wǎng)(VPN)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸,通過一個私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個安全的私有連接。它通過安全的數(shù)據(jù)通道將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、公司業(yè)務(wù)伙伴等與公司的企業(yè)網(wǎng)連接起來,構(gòu)成一個擴(kuò)展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機(jī)將不會覺察到公共網(wǎng)絡(luò)的存在,仿佛所有的機(jī)器都處于一個網(wǎng)絡(luò)之中。 網(wǎng)絡(luò)加密技術(shù)(Ipsec) :采用網(wǎng)絡(luò)加密技術(shù),對公網(wǎng)中傳輸?shù)腎P包進(jìn)行加密和封裝,實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄浴⑼暾?。它可解決網(wǎng)絡(luò)在公網(wǎng)的數(shù)據(jù)傳輸安全性問題,也

9、可解決遠(yuǎn)程用戶訪問內(nèi)網(wǎng)的安全問題。 4.3防御系統(tǒng) 我們采用防火墻技術(shù)、NAT技術(shù)、VPN技術(shù)、網(wǎng)絡(luò)加密技術(shù)(Ipsec),構(gòu)成網(wǎng)絡(luò)安全的防御系統(tǒng)。 4.3.1物理安全 為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全,還要防止系統(tǒng)信息在空間的擴(kuò)散。通常是在物理上采取一定的防護(hù)措施,來減少或干擾擴(kuò)散出去的空間信號。為保證網(wǎng)絡(luò)的正常運(yùn)行,在物理安全方面應(yīng)采取如下措施: 產(chǎn)品保障方面:主要指產(chǎn)品采購、運(yùn)輸、安裝等方面的安全措施。 運(yùn)行安全方面:網(wǎng)絡(luò)中的設(shè)備,特別是安全類產(chǎn)品在使用過程中,必須能夠從生成廠家或供貨單位得到迅速的技術(shù)支持服務(wù)。對一些關(guān)鍵設(shè)備和系統(tǒng),應(yīng)設(shè)置備份系統(tǒng)。 防電磁輻射方面:所有重要涉密的設(shè)備都需安

10、裝防電磁輻射產(chǎn)品,如輻射干擾機(jī)。 保安方面:主要是防盜、防火等,還包括網(wǎng)絡(luò)系統(tǒng)所有網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)、安全設(shè)備的安全防護(hù)。 4.3.2防火墻技術(shù) 防火墻是一種網(wǎng)絡(luò)安全保障手段,是網(wǎng)絡(luò)通信時執(zhí)行的一種訪問控制尺度,其主要目標(biāo)就是通過控制入、出一個網(wǎng)絡(luò)的權(quán)限,并迫使所有的連接都經(jīng)過這樣的檢查,防止一個需要保護(hù)的網(wǎng)絡(luò)遭外界因素的干擾和破壞。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監(jiān)視了內(nèi)部網(wǎng)絡(luò)和Internet之間地任何活動,保證了內(nèi)部網(wǎng)絡(luò)地安全;在物理實(shí)現(xiàn)上,防火墻是位于網(wǎng)絡(luò)特殊位置地以組硬件設(shè)備路由器、計(jì)算機(jī)或其他特制地硬件設(shè)備。防火墻可以是獨(dú)立地系統(tǒng),也可以在一個進(jìn)行網(wǎng)絡(luò)

11、互連地路由器上實(shí)現(xiàn)防火墻。 4.3.3 VPN技術(shù) VPN的安全保證主要是通過防火墻技術(shù)、路由器配以隧道技術(shù)、加密協(xié)議和安全密鑰來實(shí)現(xiàn),可以保證企業(yè)員工安全地訪問公司網(wǎng)絡(luò)。 4.3.4網(wǎng)絡(luò)加密技術(shù)(Ipsec) IP層是TCP/IP網(wǎng)絡(luò)中最關(guān)鍵的一層,IP作為網(wǎng)絡(luò)層協(xié)議,其安全機(jī)制可對其上層的各種應(yīng)用服務(wù)提供透明的覆蓋式安全保護(hù)。因此,IP安全是整個TCP/IP安全的基礎(chǔ),是網(wǎng)絡(luò)安全的核心。IPSec提供的安全功能或服務(wù)主要包括:訪問控制;無連接完整性;數(shù)據(jù)起源認(rèn)證;抗重放攻擊;機(jī)密性;有限的數(shù)據(jù)流機(jī)密性;信息交換加密技術(shù)分為兩類:即對稱加密和非對稱加密。 5結(jié)束語 在日常工作和學(xué)習(xí)中，只要我們使用網(wǎng)絡(luò)，就必然涉及到網(wǎng)絡(luò)安全的問題。目前解決網(wǎng)絡(luò)安全問題主要采取的技術(shù)手段，對防止系統(tǒng)非法入侵都有一定的效果，但它們只是起著防御功能，不能完全阻止入侵者通過蠻力攻擊或利用計(jì)算機(jī)軟硬件系統(tǒng)的缺陷闖入