摘 要:对计算机网络数据安全的威胁进行分析,提出了动态口令身份验证、防火墙和入侵检测技术三种安全策略,为保障网络数据安全提供了参考。
关键词:网络;数据;安全
1引言
随着Internet的迅猛发展,信息网络技术已经渗透到各个领域中,人们在享受网络技术所提供便利的同时,也面临着网络开放性带来的数据安全问题,因此如何防御各种恶意攻击和保证数据安全成为人们更为关心的问题。本文通过对网络数据安全隐患进行研究,提出了网络数据安全的解决策略。
2网络数据安全威胁
网络安全威胁是指计算机和网络所面临的、已经发生的安全事件或潜在的安全事件的负面影响,目前网络数据安全面临的威胁主要有以下五个方面[1]。
①人为失误:一些人为的无意行为,例如:口令丢失、非法操作、访问权限设置不合理、系统安全配置不当等,都严重影响网络数据的安全。
②病毒感染:病毒一直是计算机安全最直接的威胁,网络则为病毒的迅速传播提供了途径,病毒以软件下载、邮件接收等方式进入网络,对网络进行攻击。
③网络外部的攻击:指来自局域网外部的恶意的攻击,例如:有选择地破坏网络信息的有效性和完整性,伪装为合法用户进入网络并占用大量资源,修改网络数据、窃取、破译机密信息、破坏软件执行,在中间站点拦截和读取绝密信息等。
④网络内部的攻击:在局域网内部,一些非法用户登录网站后,查看机密信息,修改信息内容及破坏系统的运行。
⑤系统漏洞:操作系统和网络软件不可避免地存在各种漏洞,黑客通过漏洞攻击网络系统,窃取网络重要信息。
3网络安全策略
3.1动态口令身份认证
目前用户身份认证主要采用静态口令来验证,当访问某资源信息时,输入系统确认的帐号和密码后,你就可以访问资源了,但这种认证方式存在网络数据流窃听、认证信息截取/重放、字典攻击、穷举尝试、窥探、社交工程、垃圾搜索等漏洞。动态口令身份认证[2]具有动态性、一次性、随机性、不可逆等特点,解决了静态口令存在的各种缺陷。动态口令系统中每个正确的动态口令只能使用一次,系统记录所有用户在某个时段内的认证结果,如果出现某一个用户多次认证失败时,系统将锁住这个用户的认证行为,避免了被穷举攻击的可能性,而且将用户信息和密钥以密文的形式保存在数据库中,保证了用户登录的安全性。
3.2防火墙
防火墙是指一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,保护内部网免受非法用户的入侵。实现防火墙技术主要有[3]:数据包过滤、应用代理技术、状态检测和自适应代理技术等。
①数据包过滤技术
数据包过滤就是根据数据包头信息和事先制定的过滤规则决定是否允许数据包通过防火墙。当数据包到达防火墙时,防火墙检查数据包包头的源地址、目的地址、源端口、目的端口和协议类型,如果是信任连接,则允许通过,否则将其丢弃。
②应用代理技术
代理服务器是运行在防火墙主机上的应用程序,对应用层协议进行分析,代理防火墙将自身映射成为一条透明线路,所有的连接数据都通过代理防火墙进行转发,由于其工作在应用层,所以防火墙还可以进行双向限制,既可以过滤外网有害数据,也可以监控内网的数据,而且网络管理员可以配置防火墙实现身份验证和连接时限的功能,进一步防止内部网络信息泄漏的隐患。
③状态检测技术
状态检测防火墙在过滤数据包同时,检查数据包之间的关联性和数据包中动态变化的状态码。它有一个检测引擎,利用抽取有关数据的方法对网络通信的各层进行监测,提取并保存各层状态信息,作为以后执行安全策略的参考,当用户访问请求到达网关的操作系统前,状态监视器要抽取相关数据进行分析,结合网络配置和安全规则做出接收、拒绝、身份认证、报警或将该通信加密处理等动作。
④自适应代理技术
自适应代理防火墙一般是通过应用层验证新的连接,同时具有代理防火墙和状态检测防火墙的特性。防火墙能够动态地产生和删除过滤规则。
3.3入侵检测技术
入侵检测系统是部署在网络的安全关键点,实时收集各种信息,根据内置的专家系统和入侵分析引擎进行分析,发现、报警和阻断潜在攻击行为的一种网络安全设备。目前,入侵检测一般采用误用检测技术和异常检测技术[4]。
①误用检测技术
误用检测是假定所有入侵活动都能够表达为一种模式,对已知的入侵行为进行分析,并建立特征模型,这样将入侵行为的检测转化为模式的匹配,若当前的活动和已知的入侵特征匹配,则认为是攻击。误用入侵检测技术对已知的攻击有较高的检测准确度,但不能检测新型的攻击或已知攻击的变形,因此需要不断的升级模型才能保证系统检测能力的完备性。
②异常检测技术
异常检测技术假设所有入侵者活动都异常于正常用户的活动,对正常用户的活动特征进行分析并建立模型,统计所有与正常模型的用户活动不同的状态数量,如果其违反统计规律时,则认为该活动可能是入侵行为。异常检测技术可检测出未知的入侵和复杂的入侵。
4,结语
除了本文介绍的3种安全策略外,还可以采用系统漏洞扫描和数据加密等技术来保障网络数据安全。计算机网络安全技术在不断的发展,没有一种技术可以解决所有问题,只有应用更多的手段,才能保证网络数据的安全。
参考文献:
[1] E·Eugenne Sehultz Russell,Ineident Response[J],机械工业出版社,2003.2.
[2] 张文,动态口令身份认证系统的设计与实现[J],微计算机信息,2005.3.
[3] 高辉,刘富星.防火墙技术分析[J],电脑知识与技术,2010.6(33).
[4] 毕战科,许胜礼.入侵检测技术的研究现状及其发展[J].软件导刊 2010.9(11).
