本站原创摘 要:在网络高速发展的信息化时代,网络信息的安全成了我们比较关心的问题,阐述研究网络安全技术的重要性,具体分析在实际应用中网络安全的技术手段.最后探讨网络安全与安全产品研究现状及发展趋势.
关 键 词:信息安全;防火墙;加密;数字签名
1概述
随着网络信息技术的迅猛发展,我们已进入信息化时代,互联网给我们的生活带来了极大的方便,改变了我们感知世界了解世界的渠道,同时,由于互联网连接方式多样性、终端分布广泛性和网络的开放性等也对我们的信息安全构成威胁.网络信息安全是一个包含计算机应用技术、网络通信技术、信息技术、信息安全技术、应用工程数学、数论、信息方法论等技术的综合学科.要想能够提出完整的、系统的、协同的处理方案来,我们就要在平时对上述学科进行知识积累,只有这样我们才能保证信息的有效共享和相对安全.一般情况下,网络信息安全可简单的归纳为以下三方面.
1.1网络怎么写作的可用性
网络怎么写作的可用性是指所有资源在适当的时候可以被授权方访问,防止由于计算机病毒或其它人为因素而造成网络系统的“拒绝怎么写作”,简称DoS,其目的是使计算机或网络无法提供正常的怎么写作.最常见的DoS攻击有计算机网络带宽攻击和连通性攻击.
加大对网络信息访问的控制,可以有效防止“拒绝怎么写作”的发生.“防火墙”是近近几年网络安全技术的重要技术之一,它是网络信息通信的咽喉,只有通过安全策略的相关信息才允许通过防火墙,如果网络中加入防火墙,我们的网络环境就会变得相对安全.然而,网络环境的安全常常是和互联网的灵活性、开放性和便利性相矛盾的.虽然防火墙的阻断功能在加强内部局域网络安全方面起到积极作用,可是也阻碍了内部网络信息与外界网络信息的有效交流.
1.2网络信息的保密性
网络信息的保密性是指信息按指定要求不透露给未经授权的个人、实体或过程,或提供其利用的特性.应用访问控制技术,能有效地防止网络信息资源不被非法使用和访问.访问控制技术包括入网访问控制、网络权限控制、怎么写作器控制等.入网访问控制是网络访问的首层访问控制,通过用户身份判断来获取相关网络资源,控制准许用户入网的时间和准许他们入网地点;网络的权限控制通过对不同身份的用户或用户组赋予不同的权限,对不同权限的用户或用户组对信息资源的操作进行有效的限制;网络怎么写作器的安全控制包括:可以设置口令锁定怎么写作器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定怎么写作器登录时间限制、非法访问者检测和关闭的时间间隔.
1.3网络信息的完整性
网络信息的完整性是指所有资源只能由授权方或以授权的方式进行修改,完整性具有三个特殊方面:被授权行为;资源分离和保护;以及错误的检测和纠正.其目的在于防止信息被未经授权的用户篡改.由于公用网络的开放性,信息在网络传送过程中会遭遇类似的截取、中断、篡改和伪造等方法的破坏,造成数据的失真、丢失和不可用.采用加密的手段可以增强重要信息的安全性,即使信息在传输过程中被非法用户攻击,加密后的信息也不易泄漏,加密技术解决了数据的机密性要求,同时也可以用来保护数据完整性.但也不能过高估计加密的重要性,加密不能解决所有的安全问题.不当加密可能对安全毫无作用甚至降低整个系统的性能.
2目前主要网络安全技术
2.1病毒防护技术
计算机病毒是一种能够在计算机运行过程中实现损坏本机或者传染给其他计算机系统,导致计算机工作异常的一种程序.比如向计算机系统中侵入病毒、蛀虫、特洛伊木马、陷门、逻辑炸弹;或通过窃听、冒充等方式来破坏系统正常工作.
现在,成熟的反病毒技术已经能够做到对已知病毒的彻底预防和杀除,这主要涉及以下三大技术[12].
1)实时监控技术.这种技术可为计算机系统构建一道动态、实时的反病毒体系,通过修改系统程序,使其本身具备防范病毒入侵的能力,拒病毒于计算机系统之外.2)自动解压缩技术.目前在因特网、光盘以及Windows系统中接触到的大多数文件都以压缩状态存放,以便节省传输时间或节约存放空间,这就使得各类压缩文件成为计算机病毒传播的温床.3)全平台防范病毒技术.目前我们常用的操作系统有:WindowsXP、Windows7、Windowsserve、LINUX、UNIX等.为了提高反病毒软件查杀病毒的有效性,做到与系统的底层无缝连接,必须在不同的操作系统上使用相应的杀毒软件.
2.2防火墙技术
防火墙是介于两或多个网络之间,实现网络访问控制的组件集合体,它的主要功能是过滤.防火墙甚至可以检查一个包的所有内容,包括数据部分.从实现原理上分,防火墙的技术大致包括四大类:网络级防火墙、应用级网关、电路级网关和规则检查防火墙[3].
2.2.1网络级防火墙.数据包过滤技术是防火墙为系统提供安全保障的主要技术,它通过设备对进出网络的数据流进行有选择地控制与操作[4].包是网络上信息流动的其本单位,它由数据负载和协议头两个部分组成.包过滤操作一般都是在选择路由的同时对网络层数据包进行挑选或过滤.选择是根据系统内设置的过滤逻辑进行的,被称为访问控制表或规则表.规则表指定允许哪些类型的数据包可以流入或流出内部网络.
2.2.2应用级防火墙.应用级网关可对进出的数据包进行检查,由网关通过复制传送信息,阻断在安全怎么写作器、终端机机与非法的主机间建立直接联系.应用级网关能够解析应用层上的协议,可以设置复杂的访问控制,能够实现精密的注册和稽核.它针对数据过滤协议,能够对数据包进行分析并形成相应的分析的报告.应用级网关对有些不安全登录和控制所有进出的通信的环境进行严密监控,防止有价值的信息或程序被.
2.2.3电路级网关.电路级网关主要功能是监控可信的怎么写作器或客户机与不安全的主机间的TCP握手信息,通过这种方法来确定此次会话的合法性,它在会话层上进行数据包过滤,它比网络级防火墙高出二层.另外它还提供理怎么写作器功能.这种写作技巧怎么写作指派管理人员批准或拒绝特定的应用程序或一个应用的特定功能.2.2.4规则检查防火墙.该防火墙结合了以上几种防火墙的特点.其不同之处在于,它并不打破客户机和怎么写作器模式来分析应用层的数据,它允许安全的客户机和非法的主机直接建立连接.规则检查防火墙不依靠与应用层有关的写作技巧,而是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级写作技巧在过滤数据包上更有效.
2.3网络加密技术
加密技术的基本过程就是对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码,通常称为“密文”,使其只能在输入相应的密钥之后才能显示出本来内容,通过这样的途径来达到保护数据不被非法窃取、阅读的目的.该过程的逆过程为解密,即将该编码信息转化为其原来数据的过程.按加密密钥与解密密钥的对称性,加密技术可分为对称型加密、不对称型加密、不可逆加密.
1)对称型加密:是一种相对传统的加密方法,其原理是使用单一得密钥对数据进行加密和解密.信息发送方利用用密钥将信息加密,然后通过网络传给信息接收方,接收方再利用同一密钥将信息进行解密.其特点是计算量比较小、加密效率相对较高,即便传输网络不安全,信息被截取,由于信息进行了加密,信息也是安全的.然而这种算法应用在分布式系统上比较困难,主要是由于在于分布式的系统中密钥管理很困难,使用比较复杂.
2)不对称型加密:其特点是有两个密钥:一个是公共密钥,一个是私有密钥,公共密钥是公开的,是用来对元数据进行加密的,私有密钥是个人单独拥有的.要想完成整个加密和解密过程,必须把两者结合起来使用.在使用这种加密方法的时后我们要注意有效的管理和如何确认公共密钥的真实性、合法性.
3)不可逆加密:其特点是整个加密过程不用密钥,数据一旦被加密将无法解密,只有采用相同的输入数据经过相同的不可逆加密算法才能得到相同的加密数据.这种加密算法不存在密钥分发和管理的问题,可是它的加密计算工作异常复杂,只适合对数据量较小的情况经行加密.
2.4入侵检测技术[5]
入侵检测系统是一种安置在受保护网络内部的设备,用来监视网络中发生了什么事情.可以在攻击的开始、进行过程中或者攻击发生以后对攻击进行检测.入侵检测可分为如下若干类:
1)基于主机的入侵检测(也称HIDS):将其安装在要保护的怎么写作器上用于保护单台主机不受网络入侵.它通过检测系统文件、进程记录等信息,帮助系统管理人员记录或发现攻击行为或攻击企图,以便制定相应策略.HIDS检测的准确度较高,能够检测到无明显行为特征的攻击,可对各种操作系统进行有针对性的检测,适合用于加密和交换环境,成本低,不受网络环境影响.主要缺点是它检测时效性较差,占主机资源大,能够检测的攻击类型少,检测效果取决于日志系统制约,并且隐蔽性较差.
2)基于网络的入侵检测(NIDS):主要用于防止对某个网络的攻击,结合防火墙使用,利用原始的网络分组数据包来作为进行攻击分析的数据源,通过网络适配器来实时监控和分析所有通过网络进行传输的通信.当检测到入侵行为时,入侵检测系统通过报警、中断连接等方式做出回应.NIDS可对网络上的端口进行扫描、IP欺骗等常见的攻击行为进行监控,在保护多台主机的同时不影响被保护对象的性能,具有很好的隐蔽性,对入侵证据起到保护作用.缺点是防入侵欺骗能力较差,检测受硬件条件限制较大,不能对加密后的数据进行处理等.
3)分布式入侵检测:其模式是采用分布式智能写作技巧结构,由一个智能写作技巧和多个分布在各地网络的地方写作技巧组成.其中每个地方写作技巧都负责监控网络信息流的某一方面,多个地方写作技巧互相协作、分布检测来共同完成一项监测任务;写作技巧负责调控各个地方写作技巧的工作,从整体上完成对网络事件进行综合分析的任务.
3网络信息安全与安全产品研究现状及发展趋势
网络信息安全是信息安全中的研究重点之一,也是当前信息安全领域中的研究热点.研究内容包括:网络信息安全的主要技术和解决方案、网络安全产品的研发等.网络信息安全包括物理安全和逻辑安全.物理安全指网络信息在通信、计算机设备及相关设施的物理保护,免于破坏、丢失等.逻辑安全包含信息完整性、保密性、非否认性和可用性等,它是一个涉及网络安全、操作系统、数据库、应用系统、人为因素等方方面面的事情,必须综合考虑.
目前,在市场上比较流行,而又能够代表未来发展方向的安全产品大致有以下几类:防火墙、安全路由器、虚拟专用网(VPN)、安全怎么写作器、电子签证机构-用户认证产品、入侵-CA和PKI产品、安全管理中心、检测系统(IDS)、安全数据库和安全操作系统.在上述所有主要的发展方向和产品种类上,都包含了技术的应用,并且是非常基础性的应用.目前技术与通信技术、计算机技术以及芯片技术的融合正日益紧密,其产品的分界线越来越模糊,彼此也越来越不能分割.网络安全的解决是一个综合性问题,涉及诸多因素,包括技术、产品和管理等[6].
网络信息安全问题已成为世界性的问题.它不但应用于普通的电子商务,而且应用于政府和军方,关系到整个国家的经济安全和国防安全.信息技术已经成为整个社会经济发展的重要基础,在国计民生占有不可估量的地位;另外,政府主管机构、国防建设对信息技术的安全性、稳定性、可维护性和可发展性提出了越来越迫切的要求,因此,从社会经济发展和国家安全角度来讲,加大发展信息安全技术是我们今后一项长期而艰巨的任务.