摘 要:摘要:计算机网络安全是网络系统信息安全的唯一保障,通常情况下,信息在存储和传输过程中,都需要计算机网络安全实现对其安全的保障。为了可以使网络信息的传输安全得到一定的保障,以防出现网络信息的监听、假冒用户身份、篡改网络信息、对信息进行否认、信息重放等情况。本文针对计算机网络安全模型、安全技术应用等问题的分析,指出相应的技术的应用。
关键词:关键词:计算机网络安全问题;安全技术应用
中图分类号:TP393.08 文献标识码:A 文章编号:
计算机网络安全是网络系统信息安全的唯一保障,通常情况下,信息在存储和传输过程中,都需要计算机网络安全实现对其安全的保障。为了可以使网络信息的传输安全得到一定的保障,以防出现网络信息的监听、假冒用户身份、篡改网络信息、对信息进行否认、信息重放等情况。通常情况下,法律、政策、企业制度以及计算机网络安全教育都是计算机网络信息安全系统中所包含的内容;而审计和管理措施的技术和社会措施等则是技术措施中所包含的相关内容。
1. 网络安全模型
通常情况下,Internet是通信方传递信息的主要平台,只有在这种前提下,另一方才能准确地接收到信息,通信双方相互之间的消息才能得到共享和相互传递。在此基础上安全可以得到一定保障的方法有以下几种:第一,在发送信息的过程中,实现安全的相互交换;第二,针对某些秘密消息可以实现双方共享,并且还可以保障这些消息不会被攻击者所破坏,同时第三方也应该保证其可靠性。而设计安全服务通常有以下几方面内容:第一,安全是设计执行过程中应该严格遵循的条件,这样的话,攻击者对于所传输的信息也无法破坏;第二,针对秘密信息一定要有一定的安全保障;第三,针对秘密信息的方法一定要进行相应的设计和分配;第四,将通信双方使用的协议进行明确,这样的话,可以使信息的安全性得到一定的保障。
2. 安全技术应用
2.1安全电子邮件
(1)PGP。鉴别、机密性、压缩、电子邮件、兼容性和分段等是构成PGP实际操作的几个重要方面。一次性会话的一般密钥、公开密钥、私有密钥和口令短语的密钥等类型都是其运用的主要方式。
(2)S/MIME。RSA数据安全技术在Interner电子邮件的方式进行扩充,这其实就是S/MIME。它所发挥的功能主要是加密,使数据实现安全性、可靠性。而Office2000中的Outlook Express在Internet上运用S/MIME的保护下进行电子邮件的发送和接收,其主要过程中是:将数字证书进行获取,然后选择数字证书,其次将数字证书进行发送,找到他人的数字证书,最后进行电子邮件的接收和发送以及将数字证书进行相应的备份。
2.2网络层安全—IO Sec
IP安全协议主要是为网络层提供的协议。在此项协议中,主要体现出两种比较重要的协议:也就是身份认证AH协议和封装安全负载F SP协议。前一种虽然可以将身份认证和数据完整地提供出来,但是保密性并没有得到一定的保障。而第二种不仅可以将提供出来的数据据具有一定的完整性,而且保密性也是比较强的。
针对AH和F SP,这两个主机应该相互结合,将网络层逻辑连接建立起来。网络层逻辑连接可以定义为三元组,安全协议标识符、单工连接的源IP地址和32位连接标识符都是其中包体现出来的内容。
2.3web安全
随着“社会网络、Web2.0、SaaS”的兴起,网络本身已经成为社会生活的一部分。在这种环境下,与传统的病毒制造不同,当前各种木马程序、间谍软件、恶意软件等以利益驱动的攻击手段越来越多。事实上,随着当前Web应用开发越来越复杂与迅速,攻击者可以很容易地通过各种漏洞实施诸如:注入攻击、跨站脚本攻击、以及不安全的直接对象关联攻击,从而进一步通过各种隐蔽的技术手段盗窃企业机密、用户隐私、信用卡账号、游戏账号密码等能够轻易转化成利益所得的信息。另外,通过木马、漏洞控制海量的普通用户主机组成僵尸网络,利用这些“肉鸡”,控制者可以通过多种方式获取利益,比如发起攻击、点击广告、增加流量等行为。
3. 入侵检测技术
入侵者通常指黑客和解密高手,可分为假冒者、非法者和秘密用户。审计记录是入侵检测的基础工具。一般运用原有审计记录和专门检测的审计记录等方法。
(1)异常检测模型:检测与可接受行为之间的偏差。如果可以定义每项可接受的行为,那么每项不可接受的行为就应该是入侵。首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。这种检测模型漏报率低,误报率高。因为不需要对每种入侵行为进行定义,所以能有效检测未知的入侵。
(2)误用检测模型:检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为,那么每种能够与之匹配的行为都会引起告警。收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。这种检测模型误报率低、漏报率高。对于已知的攻击,它可以详细、准确地报告出攻击类型,但是对未知攻击却效果有限,而且特征库必须不断更新。
4. 防火墙
进出局域网的通信量要通过防火墙,通过物理上阻塞不经过防火墙的局域网访问实现。只有被授权的通信量才能进出防火墙。防火墙对于渗透是免疫的。
4.1防火墙的特点
(1)限制未经授权的用户访问本企业的网络和信息资源的措施,访问者必需要能适用现行所有的服务和应用。
(2)提供基于状态检测技术的IP地址、端口、用户和时间的管理控制。
(3)访问控制对象的多种定义方式支持多种方式定义访问控制对象:IP/mask,IP区间,IP/mask与通配符,IP区间与通配符等,使配置防火墙的安全策略极为方便。
(4)高效的URL和文件级细粒度应用层管理控制;应用层安全控制策略主要针对常用的网络应用协议http和ftp,控制策略可以实现定义访问源对象到目标对象间的常用协议命令通过防火墙的权限,源对象可以是网段、主机。
(5)双向NAT,提供IP地址转换和IP及TCP/UDP端口映射,实现IP复用和隐藏网络结构。【1】
4.2防火墙的功能
防火墙设置单个阻塞点,使无授权的用户无法破坏网络内部信息,使潜在的易受攻击的服务无法进入网络,针对类型不同的IP欺骗和路由选择攻击进行保护,而网络安全管理可以通过单个阻塞点的运用变得简单化,在单个系统或者系统集中都可以具备相同的安全能力。防火墙所提供的
场所是具有监视作用的,为安全也能得到一定的保障。在防火墙系统中,审计和警告一定要进行实施。防火墙虽然是Internet功能的平台,但是与安全却没有任何关系。
4.3防火墙的分类
(1)包过滤路由器。包过滤机制是包过滤防火墙的工作原理,这种系统主要将数据传输的一般结构作为依据,但是这些结构中所使用的数据主要是以IP地址信息和协议所使用的端口信息为主要内容,根据这些信息,系统可以自主进行选择,看是不是要将数据包发到写一个地址。
(2)应用级网关。只要需要在网络上进行工作,看到堡垒主机、代理网关、代理服务器这样的词汇就比较常见了。其实这几个名词所体现出来的意识都是一样的,它们都属于应用级网关型防火墙的内容。
比较包过滤级别的防火墙安全度,应用级网关型防火墙要高出很多。当前,所有的方法都是要将数据传送出去,它能够给数据提供一个程序将客户应用程序的数据进行接收,同时,中转站所要发往的目标就是这个程序。
所有经过应用级网关防火墙的数据,都有两选择,一个是通过,要么被拒绝。
(3)电路级网关。电路级网关型防火墙的运行方式和应用级网关型防火墙基本上是一样的,但是针对它来讲还是存在一个比较特殊性质的,那就是非交互式的应用程序是它经常面对的。当用户的身份通过相应验证以后,电路级网关型防火墙对于用户穿过网关来访问服务器就会允许了,在这个过程中,电路级网关型型防火墙只是对用户和服务器之间的连接进行转换这么简单。
(4)堡垒主机。防火墙管理人员指定的某一个系统就是堡垒主机,在网络安全过程中,它能够发挥极其重要的作用。通常情况下,可以使应用级网关和电路级网关有更适合的平台。
参考文献:
[1] http://hi.baidu.com/ysz20088/blog.2007
[2] 杨月江,刘士杰,耿子林.网络安全管理的分析与研究[J].商场现代化. 2008(02)
[3] 王旭东.试论电子政务的网络信息安全问题[J].中国高新技术企业. 2008(09)
[4] UTM设备面面谈——中小企业网络安全一步到位解决之道[J].计算机安全. 2006(03)
[5] 祁玉红.校园网络安全存在的问题与对策[J].科技创新导报. 2009(36)
