計(jì)算機(jī)網(wǎng)絡(luò)信息安全技術(shù)研究

趙　秦

摘要:確保網(wǎng)絡(luò)安全己經(jīng)是一件刻不容緩的大事,解決網(wǎng)絡(luò)安全課題具有十分重要的理論意義和現(xiàn)實(shí)背景。本文分析了常用網(wǎng)絡(luò)安全策略和安全技術(shù),以及網(wǎng)絡(luò)安全技術(shù)的發(fā)展趨勢(shì)。

關(guān)鍵詞:計(jì)算機(jī)網(wǎng)絡(luò);信息安全技術(shù);發(fā)展趨勢(shì)

隨著 Internet 在全球的普及和發(fā)展,越來(lái)越多的計(jì)算機(jī)用戶可以通過(guò)網(wǎng)絡(luò)足不出戶地享受豐富的信息資源、方便快捷地收發(fā)信息。計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)和人們的學(xué)習(xí)、工作緊密的聯(lián)系在一起,成為許多人生活中不可或缺的重要部分。人們?cè)谙硎芫W(wǎng)絡(luò)帶來(lái)的巨大便利的同時(shí),網(wǎng)絡(luò)安全也正受到前所未有的考驗(yàn)。網(wǎng)絡(luò)安全是個(gè)百說(shuō)不厭的話題。諸如系統(tǒng)被破壞、數(shù)據(jù)丟失、機(jī)密被盜和直接、間接的經(jīng)濟(jì)損失等[1,2]。本文分析了常用網(wǎng)絡(luò)安全策略和安全技術(shù),以及網(wǎng)絡(luò)安全技術(shù)的發(fā)展趨勢(shì)。

1 常用網(wǎng)絡(luò)安全技術(shù)

1.1 網(wǎng)絡(luò)安全策略

主要從政策制度及物理保護(hù)兩方面討論。(1)政策制度。有效的政策制度環(huán)境,是保障網(wǎng)絡(luò)安全、促進(jìn)互聯(lián)網(wǎng)健康發(fā)展的重要基礎(chǔ)。政策是政府經(jīng)濟(jì)管理職能的體現(xiàn),包括政策的制訂和執(zhí)行兩方面。網(wǎng)絡(luò)安全需要政府綜合運(yùn)用各種手段,解決諸如結(jié)構(gòu)、布局、組織等一系列發(fā)展需要解答的問(wèn)題。政府要針對(duì)各種網(wǎng)絡(luò)安全問(wèn)題,采取切實(shí)有效的對(duì)策、措施,不斷提高防范和保障能力,為人們創(chuàng)造一個(gè)能夠確保公眾信心的、安全的網(wǎng)絡(luò)應(yīng)用環(huán)境。法律制度的建立是依法行政所必須的,也是政府行使職能的基礎(chǔ)。網(wǎng)絡(luò)安全已成為國(guó)家安全的一個(gè)重要組成部分和非傳統(tǒng)安全因素的一個(gè)重要方面。(2)物理保護(hù)。保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全,是整個(gè)計(jì)算機(jī)信息系統(tǒng)安全的前提。物理安全對(duì)應(yīng)體系層次模型的物理層,用以保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故,以及操作錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞,電纜、終端、路由器和其他系統(tǒng)硬件容易受到物理危害。

1.2 常用網(wǎng)絡(luò)安全技術(shù)

防火墻技術(shù)。防火墻(Firewall)是內(nèi)部網(wǎng)絡(luò)(局域網(wǎng))和國(guó)際互連網(wǎng)(Internet)之間的一道安全屏障,是指設(shè)置在兩個(gè)網(wǎng)絡(luò)之間的一組組件(既可以是一組硬件,也可以是一組軟件,還可以是軟、硬件的組合),用于檢測(cè)和控制兩個(gè)網(wǎng)絡(luò)之間的通信流,允許合法信息包通過(guò),阻止非法信息包通過(guò),以達(dá)到對(duì)重要信息的存儲(chǔ)和訪問(wèn)的控制,保護(hù)信息系統(tǒng)的安全。防火墻能夠確保護(hù)諸如電子郵件、文件傳輸、遠(yuǎn)程登錄以及特定系統(tǒng)間信息交換的安全。具體有如下主要功能:防火墻是網(wǎng)絡(luò)安全的屏障;防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略;對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì);防止內(nèi)部信息的泄露。防火墻的工作原理是按照事先規(guī)定的配置和規(guī)則,監(jiān)控所有通過(guò)防火墻的數(shù)據(jù)流,只許授權(quán)的數(shù)據(jù)通過(guò),同時(shí)記錄有關(guān)的聯(lián)接來(lái)源、服務(wù)器提供的通信量和試圖入侵的任何企圖,以方便網(wǎng)絡(luò)管理員的檢測(cè)和跟蹤。防火墻的體系結(jié)構(gòu)主要有三種:雙重宿主主機(jī)體系結(jié)構(gòu)、屏蔽主機(jī)體系結(jié)構(gòu)和屏蔽子網(wǎng)體系結(jié)構(gòu)。

入侵檢測(cè)系統(tǒng)(IDS)。為了能實(shí)時(shí)地監(jiān)控網(wǎng)絡(luò)用戶的行為,入侵檢測(cè)技術(shù)近年來(lái)迅速發(fā)展起來(lái),入侵檢測(cè)技術(shù)已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域的熱點(diǎn)研究問(wèn)題。入侵檢測(cè)就是通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象。而進(jìn)行入侵檢測(cè)的軟、硬件的組合就是入侵檢測(cè)系統(tǒng)(Intrusion DetectionSystem,簡(jiǎn)稱 IDS)。入侵檢測(cè)系統(tǒng)的主要功能有如下幾點(diǎn):識(shí)別黑客常用入侵與攻擊手段;監(jiān)控網(wǎng)絡(luò)異常通信;鑒別對(duì)系統(tǒng)漏洞及后門的利用;完善網(wǎng)絡(luò)安全管理;顯著提高網(wǎng)絡(luò)安全管理的質(zhì)量。

防病毒技術(shù)。在所有計(jì)算機(jī)安全威脅中,計(jì)算機(jī)病毒是較為嚴(yán)重的,它不僅發(fā)生的頻率高、損失大,而且潛伏性強(qiáng)、覆蓋面廣。計(jì)算機(jī)病毒防護(hù)是網(wǎng)絡(luò)安全的一個(gè)重要領(lǐng)域。病毒防護(hù)技術(shù)目前主要有主機(jī)防病毒,網(wǎng)關(guān)防病毒兩種形式:主機(jī)防病毒的特點(diǎn)是通過(guò)主機(jī)防病毒代理引擎,實(shí)時(shí)監(jiān)測(cè)電腦的文件訪問(wèn)和網(wǎng)絡(luò)交換,把文件與預(yù)存的病毒特征碼相比對(duì),發(fā)現(xiàn)病毒就通過(guò)刪除病毒特征串實(shí)現(xiàn)解毒,或把文件隔離成非執(zhí)行文件的方式,保護(hù)電腦主機(jī)不受侵害;網(wǎng)關(guān)防病毒是重要的防病毒措施,它采用御毒于網(wǎng)門之外的原則,在網(wǎng)關(guān)位置對(duì)可能導(dǎo)致病毒進(jìn)入的途徑,進(jìn)行截留查殺,對(duì)于管理規(guī)范的網(wǎng)絡(luò)是必要的安全措施。

1.3 其它的網(wǎng)絡(luò)安全技術(shù)

加密技術(shù)。數(shù)據(jù)加密技術(shù)就是對(duì)信息進(jìn)行重新編碼,從而達(dá)到隱藏信息內(nèi)容,使非法用戶無(wú)法獲取信息真實(shí)內(nèi)容的一種技術(shù)手段。常用的加密傳輸方式有,鏈路加密,結(jié)點(diǎn)加密和端到端加密。

身份認(rèn)證。在這個(gè)數(shù)字世界中,一切信息包括用戶的身份信息都是用一組特定的數(shù)據(jù)來(lái)表示的,計(jì)算機(jī)只能識(shí)別用戶的數(shù)字身份,所有對(duì)用戶的授權(quán)也是針對(duì)用戶數(shù)字身份的授權(quán)。常用的身份認(rèn)證技術(shù)包括,口令認(rèn)證,數(shù)字簽名,認(rèn)證和數(shù)字證書等。

訪問(wèn)控制技術(shù)。訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略,它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問(wèn)。通過(guò)對(duì)特定的網(wǎng)段和服務(wù)建立有效的訪問(wèn)控制體系,可在大多數(shù)的攻擊到達(dá)之前進(jìn)行阻止,從而達(dá)到限制非法訪問(wèn)的目的。

安全掃描技術(shù)。網(wǎng)絡(luò)安全掃描技術(shù)是網(wǎng)絡(luò)安全領(lǐng)域的重要技術(shù)之一。通過(guò)對(duì)網(wǎng)絡(luò)的掃描,網(wǎng)絡(luò)管理員可以了解網(wǎng)絡(luò)的安全配置和運(yùn)行的應(yīng)用服務(wù),及時(shí)發(fā)現(xiàn)安全漏洞,客觀評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)。安全掃描技術(shù)主要分為兩類:主機(jī)安全掃描技術(shù)和網(wǎng)絡(luò)安全掃描技術(shù)。

數(shù)據(jù)備份和災(zāi)難恢復(fù)。備份不僅在網(wǎng)絡(luò)系統(tǒng)發(fā)生硬件故障或人為失誤時(shí)起到保護(hù)作用,也在入侵者進(jìn)行非授權(quán)訪問(wèn)或?qū)W(wǎng)絡(luò)攻擊及破壞數(shù)據(jù)完整性時(shí)起到保護(hù)作用。備份是系統(tǒng)災(zāi)難恢復(fù)的前提之一,同時(shí)亦是維護(hù)網(wǎng)絡(luò)安全的技術(shù)手段之一。

VPN 技術(shù)。VPN 采用加密和認(rèn)證技術(shù),在公共網(wǎng)絡(luò)上建立安全專用隧道的網(wǎng)絡(luò),從而實(shí)現(xiàn)在公網(wǎng)上傳輸私有數(shù)據(jù)、達(dá)到私有網(wǎng)絡(luò)的安全級(jí)別。VPN 通過(guò)使用點(diǎn)到點(diǎn)協(xié)議用戶級(jí)身份驗(yàn)證的方法進(jìn)行驗(yàn)證,并且采用點(diǎn)對(duì)點(diǎn)加密算法和網(wǎng)際協(xié)議安全機(jī)制對(duì)數(shù)據(jù)進(jìn)行加密,這些身份驗(yàn)證和加密手段由遠(yuǎn)程VPN 服務(wù)器強(qiáng)制執(zhí)行。

2 網(wǎng)絡(luò)安全技術(shù)發(fā)展趨勢(shì)

2.1 防火墻和 IDS 結(jié)合聯(lián)動(dòng)技術(shù)

為了克服防火墻在實(shí)際應(yīng)用中存在的局限,防火墻廠商率先提出了聯(lián)動(dòng)思想。防火墻聯(lián)動(dòng)即通過(guò)組合的方式,將其他安全技術(shù)與防火墻技術(shù)進(jìn)行整合,在提高防火墻自身功能和性能的同時(shí),由其他技術(shù)完成防火墻所缺乏的功能,以適應(yīng)網(wǎng)絡(luò)安全整體化、立體化的要求。實(shí)現(xiàn)入侵檢測(cè)和防火墻之間的聯(lián)動(dòng)有兩種方式。一種是緊密結(jié)合,即把入侵檢測(cè)系統(tǒng)嵌入到防火墻中,即入侵檢測(cè)系統(tǒng)的數(shù)據(jù)來(lái)源不再來(lái)源于抓包,而是流經(jīng)防火墻的數(shù)據(jù)流。所有通過(guò)的包不僅要接受防火墻檢測(cè)規(guī)則的驗(yàn)證,還需要經(jīng)過(guò)入侵檢測(cè),判斷是否具有攻擊性,以達(dá)到真正的實(shí)時(shí)阻斷,這實(shí)際上是把兩個(gè)產(chǎn)品合成一體。第二種方式是通過(guò)開(kāi)放接口來(lái)實(shí)現(xiàn)聯(lián)動(dòng),即防火墻或者入侵檢測(cè)系統(tǒng)開(kāi)放一個(gè)接口供對(duì)方調(diào)用,按照一定的協(xié)議進(jìn)行通信、警報(bào)和傳輸。目前開(kāi)放協(xié)議的常見(jiàn)形式有:安全廠家提供 IDS 的開(kāi)放接口,供各個(gè)防火墻廠商使用,以實(shí)現(xiàn)互動(dòng)。這種方式比較靈活,不影響防火墻和入侵檢測(cè)系統(tǒng)的性能。

2.2 入侵防御系統(tǒng)(IPS)

入侵防御系統(tǒng)(IPS)定義為任何能夠檢測(cè)已知和未知攻擊并且在沒(méi)有人為的干預(yù)下能夠自動(dòng)阻止攻擊的硬件或者軟件設(shè)備。入侵防御系統(tǒng)(IPS)具有檢測(cè)入侵和對(duì)入侵做出反應(yīng)兩項(xiàng)功能,可以說(shuō)是將防火墻、IDS 系統(tǒng)、防病毒和漏洞掃描系統(tǒng)等技術(shù)的優(yōu)點(diǎn)與自動(dòng)阻止攻擊的功能融為一體,實(shí)現(xiàn)對(duì)安全事件的共同檢測(cè)和深度防御。入侵防護(hù)系統(tǒng)(IPS)傾向于提供主動(dòng)防護(hù),其設(shè)計(jì)宗旨是預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截,避免其造成損失,而不是簡(jiǎn)單地在傳送異常流量的同時(shí)或之后發(fā)出警報(bào)。IPS 最大的特點(diǎn)就在于,它不但能檢測(cè)到入侵的發(fā)生,而且有能力中止入侵活動(dòng)的進(jìn)行;并且,IPS 能夠從不斷更新的模式庫(kù)中發(fā)現(xiàn)各種各樣新的入侵方法,從而做出更智能的保護(hù)性操作,并減少漏報(bào)和誤報(bào)。

3 結(jié)語(yǔ)

網(wǎng)絡(luò)安全是保證 Internet/Intranet 健康發(fā)展的基礎(chǔ),是保證企業(yè)信息系統(tǒng)正常運(yùn)行,保護(hù)國(guó)家信息基礎(chǔ)設(shè)施成功建設(shè)的關(guān)鍵。隨著信息網(wǎng)絡(luò)技術(shù)應(yīng)用的深入,各類業(yè)務(wù)工作對(duì)網(wǎng)絡(luò)和信息系統(tǒng)的依賴日益提高。本文就常用網(wǎng)絡(luò)安全技術(shù)進(jìn)行總結(jié)分析,并就網(wǎng)絡(luò)安全發(fā)展趨勢(shì)進(jìn)行總結(jié)。

參考文獻(xiàn)

[1] 吳慧. 計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)研究[J]. 硅谷, 2009,05

[2] 呂欣. 我國(guó)信息網(wǎng)絡(luò)安全現(xiàn)狀和趨勢(shì)[J]. 中國(guó)信息界, 2008,10