[论文关键词]计算机网络 信息安全 探讨
[论文摘要]计算机网络日益成为重要信息交换手段,认清网络的脆弱性和潜在威胁以及现实客观存在的各种安全问题,采取强有力的安全策略,保障网络信息的安全,是每一个国家和社会以及个人必须正视的事情。本文针对计算机网络应用相关的基本信息安全问题和解决方案进行了探讨。
随着计算机网络技术的不断发展,全球信息化己成为人类发展的大趋势,计算机网络已经在同防军事领域、金融、电信、证券、商业、教育以及日常生活巾得到了大量的应用。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击。所以网上信息的安全和保密是一个至关重要的问题。因此,网络必须有足够强的安全措施,否则网络将是尤用的,相反会给使用者带来各方面危害,严重的甚至会危及周家安全。
一、信息加密技术
网络信息发展的关键问题是其安全性,因此,必须建立一套有效的包括信息加密技术、安全认证技术、安全交易议等内容的信息安全机制作为保证,来实现电子信息数据的机密性、完整性、不可否认性和交易者身份认证忡,防止信息被一些怀有不良用心的人看到、破坏,甚至出现虚假信息。
信息加密技术是保证网络、信息安全的核心技术,是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成不可直接读取的秘文,阻止非法用户扶取和理解原始数据,从而确保数据的保密忭。ⅱ月文变成秘文的过程称为加密,南秘文还原成明文的过程称为解密,加密、解密使用的町变参数叫做密钥。WWw.133229.COm
传统上,几种方法町以用来加密数据流,所有这些方法都町以用软件很容易的实现,当只知道密文的时候,是不容易破译这些加密算法的。最好的加密算法埘系统性能几乎没有影响,并且还可以带来其他内在的优点。例如,大家郜知道的pkzip,它既压缩数据义加密数据。义如,dbms的一些软件包包含一些加密方法使复制文件这一功能对一些敏感数据是尢效的,或者需要用户的密码。所有这些加密算法都要有高效的加密和解密能力。
二、防火墙技术
“防火墙”是一个通用术i五,是指在两个网络之间执行控制策略的系统,是在网络边界上建立的网络通信监控系统,用来保障计算机网络的安全,它是一种控制技术,既可以是一种软件产品,又可以制作或嵌入到某种硬什产品中。防火墙通常是巾软什系统和硬什设备组合而成,在内部网和外部网之间构建起安全的保护屏障。
从逻辑上讲,防火墙是起分隔、限制、分析的作用。实际上,防火墙是加强intranet(内部网)之间安全防御的一个或一组系统,它南一组硬件设备(包括路由器、服务器)及相应软件构成。所有来自intemet的传输信息或发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件传输、远程登录、布特定的系统问进行信息交换等安全的作用。
防火墙可以被看成是阻塞点。所有内部网和外部网之间的连接郝必须经过该阻塞点,在此进行检查和连接,只有被授权的通信才能通过该阻塞点。防火墙使内部网络与外部网络在一定条件下隔离,从而防止非法入侵及非法使用系统资源。同时,防火墙还日,以执行安全管制措施,记录所以可疑的事件,其基本准则有以下两点:
(1)一切未被允许的就是禁止的。基于该准则,防火墒应封锁所有信息流,然后对希单提供的服务逐项丌放。这是一种非常灾用的方法,可以造成一种十分安全的环境,为只有经过仔细挑选的服务才被允许使用。其弊端是,安全件高于片j户使片j的方便件,用户所能使用的服务范同受到限制。
(2)一切未被禁止的就是允许的。基于该准则,防火埔转发所有信息流,然后逐项屏蔽可能有害的服务。这种方法构成了一种更为灵活的应用环境,可为用户提供更多的服务。其弊端是,在口益增多的网络服务面前,网管人员疲于奔命,特别是受保护的网络范嗣增大时,很难提供町靠的安全防护。
较传统的防火墙来说,新一代防火墙具有先进的过滤和代理体系,能从数据链路层到应用层进行全方位安全处理,协议和代理的直接相互配合,提供透明代理模式,使本系统的防欺骗能力和运行的健壮件都大大提高;除了访问控制功能外,新一代的防火墙还集成了其它许多安全技术,如nat和vpn、病毒防护等、使防火墙的安全性提升到义一高度。
三、网络入侵检测与安全审计系统设计
在网络层使用了防火墙技术,经过严格的策略配置,通常能够在内外网之问提供安全的网络保护,降低了网络安全风险。但是,仪仪使用防火墙、网络安全还远远不够。因为日前许多入侵手段如icmp重定向、盯p反射扫描、隧道技术等能够穿透防火墒进入网络内部;防火墙无法防护不通过它的链接(如入侵者通过拨号入侵);不能防范恶意的知情者、不能防范来自于网络内部的攻击;无法有效地防范病毒;无法防范新的安全威胁;南于性能的限制,防火墙通常不能提供实时动态的保护等。
因此,需要更为完善的安全防护系统来解决以上这些问题。网络入侵监测与安全审计系统是一种实时的网络监测包括系统,能够弥补防火墒等其他系统的不足,进一步完善整个网络的安全防御能力。网络中部署网络入侵检测与安全审计系统,可以在网络巾建立完善的安全预警和安全应急反应体系,为信息系统的安全运行提供保障。
在计算机网络信息安全综合防御体系巾,审计系统采用多agent的结构的网络入侵检测与安全审计系统来构建。整个审计系统包括审计agent,审计管理中心,审计管理控制台。审计agent有软什和硬什的形式直接和受保护网络的设备和系统连接,对网络的各个层次(网络,操作系统,应用软件)进行审计,受审计巾心的统一管理,并将信息上报到各个巾心。审计巾心实现对各种审计agent的数据收集和管理。审计控制会是一套管理软件,主要实现管理员对于审计系统的数据浏览,数据管理,规则没置功能。管理员即使不在审计中心现场也能够使用审计控制台通过远程连接审计中心进行管理,而且多个管理员可以同时进行管理,根据权限的不同完成不同的职责和任务。
四、结论
当前信息安全技术发展迅速,但没有任一种解决方案可以防御所有危及信息安全的攻击,这是“矛”与“盾”的问题,需要不断吸取新的技术,取众家所长,才能使“盾”更坚,以防御不断锋利的“矛”,因此,要不断跟踪新技术,对所采用的信息安全技术进行升级完善,以确保相关利益不受侵犯。
我同信息网络安全技术的研究和产品开发尚处于起步阶段,就更需要我们去研究、丌发和探索,以走m有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国网络信息的安全,推动我国围民经济的高速发展。