前言:中文期刊网精心挑选了网络安全的关键技术范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全的关键技术范文1
【关键词】 安全风险 网络安全 风险评估 关键技术
引言:现如今人类已对网络产生依赖性,相关统计数据显示我国网民高达七亿人。人们通过网络进行在线商务洽谈、交易支付、资源共享。自网络诞生以来,安全问题就备受社会各界关注。网络应用中稍有不慎就有可能遭到攻击或入侵,一些黑客利用木马或后门软件,便可盗取他们账户、密码、网银信息,使网络用户遭受经济损失。个人信息丢失相对来说影响比较小,但如果是国家信息或者企业信息被窃取,将影响到社会和谐稳定。企业信息多为商业机密,一旦泄露极有可能会影响正常运营,给企业带来负面影响,甚至诱使企业倒闭。为了保障网络安全,提高网络安全性,做好网络安全风险评估具有重要意义。
一、网络安全风险研究现状及评估意义
计算机网络指的是将不同地理位置的独立功能的多台计算机及其外部设备,通过通信线路连接起来,在操作系统及网络软件与硬件在网络通信协议的管理及协调下,实现的信息资源共享和传递的计算机系统。网络建设目的是计算机之间互联、信息共享、资源整合[1]。
计算机网络发展至今已历经四个阶段分为是:远程终端连接阶段、计算机网络阶段、网络互联阶段、国际互联网与信息高速公路阶段。计算机网络具有开放性特点,用户群体庞大,任何人都可以成为网络用户。进入二十一世纪后,网络几乎实现了世界范围的推广和应用,全球网络用户不计其数。但正是因为网络的开放性特点,也为一些不法之徒提供了便利,网络攻击不仅给社会造成了不良影响,更给某些企业带来了经济损失。
近些年,网络安全问题已成为社会各界广泛关注的焦点,有许多学者曾针对网络安全风险问题展开研究。林文教授曾经在论文《层次化网络安全风险量化评估研究》中提出,网络安全是是网络应用的前提条件,若无法保证网络的安全,致使用户私人信息泄露,用户便会逐渐远离网络,这无疑会制约网络发展[2]。现如今网络行业已成为经济支柱产业,若网络产业发生倒退,必然给经济发展造成不利影响,网络安全风险问题不能小视。近些年,网络攻击事件笔笔皆是,网络风险随之增加,对网络安全风险进行评估,科学规避网络风险势在必行。
二、威胁网络安全的常见网络攻击手段
网络上存在大量不确定和不安全因素,自网络诞生以来就存在非法入侵、数据盗取破坏等行为。这个世界上没有百分之百安全的网络,网络发展和应用中信息盗取、黑客入侵、病毒攻击频频发生[3]。
二零一五年,携程网络就曾遭受网络攻击,造成网站无法访问,用户信息大量丢失,APP完全陷入瘫痪。此次攻击,使携程遭受直接经济损失超过五百万美元,股票下跌百分之十一点二。网络攻击手段多种多样,五花八门,但大多都是通过软件漏洞、物理漏洞、数据漏洞进行攻击,威胁网络安全,来实现截获、窃取、破解用户信息、破坏用户系统目的。想要进行有效的网络安全风险评估,必须要了解网络攻击手段。常见网络攻击手段有:IP欺骗攻击、口令攻击、数据劫持攻击、网络窃听攻击等等。
其中口令攻击最为常见是黑客常用的网络攻击手段之一,黑客确定攻击目标后,利用穷举法,通过“字典”便可进行口令测试,破解网络口令。口令攻击在UNIX系统网络攻击中,由于UNIX系统并不会对错误口令尝试进行提示或封锁用户系统,可无限尝试错误口令,所以UNIX系统容易遭受口令攻击。口令测试成功网络遭到入侵时系统不会向管理员发送报告,黑客通过FTP或Telnet就可以进行系统数据加密文件破解[4]。
网络攻击中数据劫持攻击和网络窃听攻击危害巨大,将直接造成用户密码信息的泄漏,导致网络陷入瘫痪,这种攻击通常发生在网络文件传输过程中。IP欺骗攻击是目前较为流行的攻击手段,通过伪装网络主机,复制主机TCP/IP地址,提供虚假网络认证来骗取返回报文,导致主机无法连接网络,造成计算机网络无法使用,这种攻击主要发生在IP协议传送报文时。
通过分析不难看出网络攻击的危害性和严重性,网络攻击无处不在,网络应用中必须针对网络攻击特点和特征,做好安全风险评估,提高网络安全性,降低网络风险。
三、网络安全风险评估的关键技术
网络安全风险威胁着网络用户系统安全、信息安全、网络安全,对网络安全风险进行评估,构建网络风险评估框架,是做好网络安全防护的前提条件,对提高网络安全性有着重要意义。下面通过几点来分析网络安全风险评估关键技术:
3.1定性评估技术
定性评估技术是较为常用的网络安全风险评估技术,采用德尔菲法,利用推倒演绎理论来实现对网络安全进行分析,判断网络安全状态。定性评估技术在具体评估过程中要先采用背对背通信方式获取安全影响因素,利用匿名数据筛选的方式,对数据进行处理结果分析,通过多次反馈与征询判断网络安全风险因素和网络安全系数,进行安全风险评估。
3.2定量评估技术
定量评估技术与其他评估技术相比,评估结果更加直观,评估有效性更好,但评估复杂性和难度较大,应用中存在一定局限性。这种评估技术主要利用嫡权系数法,通过数据指标量化方式进行网络安全风险评估。定量评估技术的原理是,利用嫡权系数法计算参数权重,度量系统不确定因素,把安全风险进行量化,根据极值特征评估网络安全风险。评估中若熵值越大,网络安全风险越大,安全风险影响因素越多。若熵值ei最大值是1,风险因素对系统安全影响越小,说明网络安全性较高。
3.3综合评估技术
网络安全风险影响因素较多,具有多变性和复杂性,一些时候若无法通过定性评估技术或定量评估技术取得良好评估效果,便可应用综合评估技术。综合评估技术是通过将各种评估技术有机结合方式,来提高评估有效性和准确性,判断网络安全系数,达到网络安全风险评估目的。
综合评估方法主要包括:威胁树法、障碍树法、层次分析法等。综合评估技术大多以定量评估为基础,以定性评估为核心,继承了这两种评估技术优点,进一步提高了评估准确性。
四、结束语
网络安全的关键技术范文2
关键词:IPv6;网络安全;关键技术
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)34-0047-02
1 IPv6相比IPv4的优势
首先,IPv6将IP地址从32位增加到128位,地址数约是IPV4的1028倍。第二,IPv4得包头有13个域,IPv6得包头缩减为8个域。数据包包头选项更少了,从而加快了路由器的择址速度。第三,IPv6支持更丰富的选项。各选项现在以独立头的形式存在,而不是作为IP头的选项,这显得更灵活,允许路由器忽略那些与他们无关的头,使包的处理速度更快[3]。第四,内置的安全性。IPv6协议强制使用IP安全(IP Security ,IPSec)这就为网络安全性提供了一种基于标准的解决方案,并且提高了不同IPv6实现方案之间的互操作性。第五,IPv6提供了一些新的功能,当发送方需要对一些数据流进行特殊处理,比如一些非默认服务质量(QoS)的处理,可以标记这些数据流的包,更好的支持服务质量。第六,IPv6的可扩展性,以支持认证、数据完整性以及数据机密性等[1]。
2 IPv6安全机制
由于IPv4本身没有提供有效的安全机制,黑客往往通过软件漏洞、内部植入威胁、逻辑炸弹、特洛伊木马等手段改变整个报文,使得用户数据遭到各种各样的攻击。要解决网络的安全问题,必须首先解决IP的安全问题。1995年互联网工程任务组决定开始研究用于保护网络安全通信的体系结构,即IPsec(网络安全体系结构)。IPSec是IPv6的一个组成部分,它是一个开发功能是协议的基本框架,用以保证IP网络上数据通信的安全性。
2.1 IPSec基本结构
IPSec中最主要的两个部分:鉴别首部AH,用来鉴别源点和检查数据完整性,但不能保密。封装安全载荷(ESP),它比AH复杂得多,不仅具备AH的功能,还能够提供保密功能。同时对数据的传输规定了2种模式:传输模式和隧道模式[2],如图1所示:
2.2安全关联
安全关联(SA,Security Association)的概念是IPSec的基础。是通信双方对某些要素的一种协定,用户保护它们之间的数据流密钥的生存期。实现IPSec数据完整性的认证头(AH,Authentication Header)和用来实现数据的机密性的封装安全载荷(ESP,Encapsulating Secutity Payload)均使用SA。
2.3 安全策略数据库(SPD)
数据包怎样或按照什么要的规则安全的流入和流出,这就是我们所说的安全策略。而IPSec中⑺有的安全策略都存放在一起,就形成了安全策略数据库。在对数据包进行处理的过程中,需要根据“选择符”在此数据库中一一检索,最终找到这个数据包所需要的安全服务。对于一个数据库,必定少不了谈到它的管理功能,包括策略的新建、删除和修改。当然怎么样管理安全策略,还要根据IPSec真实的处理过程。
2.4安全关联数据库(SADB)
简单地说,安全关联数据库就是用来存放安全关联(SA)。在数据包流入或流出过程中,都会创建一个适当的SA,存放在数据库中,且不能与其他SA重复。SA是单向的,也就是说,数据包的流入和流出都需要建立单独的SA。正因为它单向来的,所以它的结构也非常简单。比如:Host A通过Internet给Host B发送数据,采用封装安全载荷(ESP)进行安全传输。这时Host A建立一个SA,用于处理数据包的流出;由于SA是单向的,Host B还需要建立一个用于处理数据包的流入的SA。在此过程中所产生的密码算法、密钥等参数由两个单向的SA共同享有。
2.5认证头(AH)
认证头(AH),作为一种网络协议,只能确保数据包在传输过程中没有被篡改,且数据包一个新的而非重放的包,不定义任何加密算法。AH在数据包中的位置,取决于采用哪种传输模式:传输模式(如图2)和隧道模式(如图3)。在传输模式中,AH用于保护上一层传输层TCP或UDP协议,确保两个独立主机通信的安全性,也有一定的局限,比如Host A和Host B之间要进行通信,可是在Internet和Host A之间有个用于保护它的安全网关,数据包经过网关之后,网关用它的IP地址替换数据包中的源地址,重新计算ICV,当数据包到达Host B时,它计算出来的ICV和Host A计算出来的不匹配,就会发生弃包的现象。
2.6封装安全载荷
封装安全载荷(ESP),也是网络协议的一种。它除了能实现AH的所有功能外,还增加了额外的服务:使用加密器对数据提供保密服务。和AH的情况一样,ESP在数据包中的位置取决于ESP的操作模式:传输模式(如图4)和隧道模式(如图5)。
值得注意的是,AH要对整个IP数据包进行身份认证,而ESP 只对头部、传输协议头、传输协议数据部分进行身份认证。在传输模式中,当主机的IP地址为私有的或是在主机后有一个保护它的地址的安全网关,可以通过ESP来提供认证和加密保护,由于它只能认证和加密其中的一部分(如图4所示),网关可以修改IP头,而恰巧ESP的头未被修改,且目的端对IP头的校验和加密都正确,数据包将被目的主机认定成功。这样提高的认证的速度,也暴漏了ESP的弱点,在数据包的传输过程中,如果IP头被修改的部分校验成功,目的主机也无法检测到任何的修改。与传输模式不同,隧道模式验证整个原IP头,新IP头部被验证和加密[3]。如果新IP头也被验证和加密,就会出现和AH协议一样的局限性(上文已介绍)。总之,AH和ESP 都有自己的优缺点,将二者结合使用,既提供的认证服务也有加密服务,将提高数据通信的安全性。
2.7 Internet 密钥交换(IKE)
Internet密钥交换协议(IKE)在RFC2409中定义,不只可以为IPsec提供安全关联,也可以为其他安全些提供。前文中已经提到,IPsec中使用的AH和ESP均使用SA,SA可以手工创建或者动态建立,而IKE的一个主要功能就是动态建立SA并对它进行管理和维护[4]。IKE属于混合型协议,建立在Internet安全关联和密钥管理协议(ISAKMP)定义的一个框架上,同时,IKE还实现了两种密钥管理协议(Oakley和SKEME)的一部分。此外,IKE还定义了它自己的密钥交换方式。
3 IPv6存在的安全问题
网络安全永远是一个相对的概念。相对IPv4协议来说是有所改进,但IPv6也不能解决网络安全中的所有问题。IPv6协议使IP地址由32位增加到128位,解Q的IP地址数量紧缺的问题,使网络黑客入侵个人计算机盗窃数据的难度增加,但庞大的地址空间同样也给网络管理人员增加了管理复杂度;IPv6将IPsec视为自己的一部分,有效解决了网络层的安全问题,但其他层的协议的安全性还和IPv4一样存在风险;IPv6和IPv4有很长一段时间是共同存在的,不可能一夜就取代IPv4,双协议栈机制要求主机必须拥有一个IPv4地址,如果使用范围很大,又会出现IP地址不足的情况,也会给网络带来未知的新的安全问题[5]。
4 总结
随着互联网、物联网、“物联网+”的快速发展,IPv6将代替IPv4已经成为事实,IPsec作为IPv6固有的一部分,能够保证数据的完整性、数据机密性,防止IP欺骗等各种攻击。虽然两种协议在共存期间,可能会出现新的安全问题,但IP安全协议是目前用于保护IP通信的最好的解决方案。
参考文献:
[1] 高峰等. IPv4向IPv6过渡机制与安全问题[J]. 现代电信科技, 2009(10).
[2] 王丽雯. 基于IPv6的网络安全架构分析与研究[D]. 西安:西安科技大学, 2008.
[3] 刘晔, 彭泽武. IPv6 网络安全问题分析[J]. 实践与经验, 2013(10).
网络安全的关键技术范文3
关键词:网络安全;入侵检测;工作原理;发展趋势
中图分类号:TP3 文献标识码:A 文章编号:1009-3044(2017)07-0036-02
对电脑系统进行破坏操作,以非法获得他人信息资料的行为,就可以视为是入侵行为。目前,网络安全的主要防范技术就是防火墙技术,虽然这种技术具有一定的防范优势,但较为被动,并不能自动对电脑进行检测,而入侵检测技术较为主动,能够对电脑系统进行实时的监控和防护,可以及时发现对电脑进行入侵的操作,并予以制止,既能蜃柚雇饫吹亩褚馇秩耄同时还能对用户的操作进行监管,一旦用户出现违规操作就会发出警报,提升了信息资料的安全系数。
1入侵检测技术
入侵,英文为“Intrusion”,是指企图入侵计算机系统,对其可用性、保密性以及完整性进行破坏的一系列操作行为,而入侵检测就是指对企图进行入侵的行为进行检测的一项技术。主要是通过将计算机网络以及计算机系统中的重要结点信息收集起来,并对其进行分析和判断,一旦出现有违规操作或者有恶意攻击的情况,就会立即将这一情况反映到系统管理人员处,对入侵行为进行检测的硬件以及软件被称为入侵检测系统。入侵检测系统在电脑运转时,该系统会进行如下几点操作:(1)对用户和系统的活动进行监视和分析;(2)对系统的构造以及不足之处进行审计;(3)对入侵行动进行识别,将异常的行为进行统计和分析,并上报到后台系统中;(4)对重要系统以及数据文件是否完整进行评估,并会对系统的操作进行跟踪和审计。该系统具有识别出黑客入侵和攻击的惯用方式;对网络的异常通信行为进行监控;对系统漏洞进行识别;对网络安全管理水平进行提升。
2工作原理及流程
2.1工作原理
1)对异常行为进行检测
在使用异常检测这项技术时,会假定系统中存在的入侵行为都属于异常,所以想要在系统中建立正常活动专属的文件,就要对非正常的文件的系统状态数量进行全面的统计,进而对入侵行为进行有效的鉴别。比如,电脑程序员的日常正规操作和编辑人员的日常正规操作具有一定的差别,这时就应对工作人员的日常操作进行记录,并设立用户专属的正常活动文件。这样操作之后,即使入侵者盗窃了用户的账号进行操作,也会因为与专属文件中的活动不符而被视为是入侵行为,系统会做出相应的反应。但值得注意的是,入侵行为与非日常行为操作并不相同,通常会存在两种可能:一种是用户自己的异常操作被系统视为是入侵,即“伪肯定”警报真实性不足;另一种是恶意入侵的操作因为与用户的正常操作极为相符,导致系统将入侵行为默认为是正常行为,即“伪否定”,这种错误行为造成的后果较为严重。因此,进行异常检测的重点问题就是要能选择出正确的“阈值”,进而保证两种问题能够得到有效的控制,并能够实际的管理需要系统进行有区域性的重点监视。现在异常检测所使用的方法主要有预测模式生成法、统计法以及神经网络法三种。
2)基于相关知识对特征进行检测
所谓特征检测,也被称之为Misusedetedton,能够通过一种模式将假设的入侵人员操作行为表示出来,目的就是为了找出与这些操作行为相符的模式,保护网络系统安全。不过这种检测方式也存在一定的弊端,它只能检测出已经存在的入侵行为,并不能将新型的入侵行为检测出来。对入侵行为的判断只能基于电脑系统中已经建立的模式之上,而特征检测系统目前的关键问题就是对攻击模式能够涉及和实际攻击有所关联的全部要素的确定问题以及对入侵活动进行特征匹配的问题。就理论层面而言,想要使检测系统能够将入侵的活动完全检测出啦,就必须要确保能够运用数学语言将所有的入侵行为全面描述出来,从此可以看出,该检测方式最大的问题就是独立性不足,不仅系统的移植性较差,维护工作的任务量过重,同时还无法将入侵行为变为抽象性的知识,在对已知知识的检测也受到了一定的限制,特别是内部人员如果进行违规操作时,很难将其检测出来。现行使用的违规检测方式主要有神经网络、基本规则以及状态转换分析三种方式。
2.2工作流程
在对电脑进行入侵检测时,系统的工作流程主要分为三个步骤:第一步,要对信息进行统计。在进行检测之前,首先就要对网络流量内容以及用户接连活动等方面的信息进行收集和统计;第二步,对信息进行分析。在对需要的信息进行收集和统计之后,相关技术人员就应对这些信息进行分析,目前常用的分析方式为完整性分析、模式匹配以及统计分析三种,模糊匹配与统计分析会在电脑运转过程中对系统进行实时监测,而在事后分析时多使用完整性分析法;最后一步就是对电脑系统的操作进行实时登记和报警,同时对入侵行为进行一定程度的反击处理。入侵检测系统的主要目标就是为了对入侵的行为做出相应的处理,即对入侵行为进行详细的日志记录和实时报警以及进行一定程度的回击入侵源。现在鉴别入侵活动的技术方式有基本活动、用户特征以及入侵者特征三种。
3入侵检测系统分类
按照检测数据的来源,入侵检测系统可以分为主机方面的检测系统以及网络方面的检测系统两种,下面我们来分别了解一下:
3.1主机方面的检测系统
这种检测系统的数据源是由系统日志以及应用程序日志等组成的,同时也可以使用像监督系统调用等方式对主机的信息进行分析和收集。在对主机进行检测时,一般会在主要检测的主机上安装入侵检测系统,这样能够对检测对象的系统审计日志和网络连接情况主动进行科学的分析和评定。当出现与特征或统计规律不同的操作时,还系统就会将其视为是入侵行为,并会自动进行相应的处理。如果主机设定的文件发生变化,在主机检测系统就会对新操作与记录的入侵行为进行对比,如果对比度较高,检测系统就会将对这一操作进行报警,并自动进行相应的处理。
3.2网络方面的检测系统
在网络系统的基础上进行检测时,系统的数据源则是由原始网络包组成的。检测系统此时会在运转系统的随机模式中任意选择一个网络适配器来对两络中的通信业务实施全面的监视与分析。当该系统检测到有入侵的行为时,系统就会进行一系列的反应,不同的检测系统做出的反应也会不同,但主要措施基本相同,像通知以及反击等等。
4入侵检测系统的运用实践
4.1贝叶斯聚类
以贝叶斯聚类为基础对入侵行为进行检测的方法,是对电脑的数据进行分析,并从中找出不同的数据集合,从而将异常用户区分出来。在二十世纪九十年代,相关学者研发出了自动分类程序,属于无监督的数据分类技术,这种技术的研发成功为贝叶斯统计技术运用的实施奠定了良好地基础。这种检测的方式具有两方面的优势:一方面,以提供的数为依据,这种检测方式能够自动对类型数目进行断定;另一方面,对于聚类准确、相似测量以及停顿规则,并没有过多的要求。
一般检测的技术基本都是以监督分类的形式为主,是通过对用户行为的检测设定出用户的常规操作的范围,但贝叶斯的分类与其有所不同,能够将分类数以及具有相似操作用户自然分成一类,较为理想化。不够由于这种检测方式的使用时间较短,还没有在入侵检测系统中进行实验,所以一些细节方面的问题,像自动分类程度的处理以及审计跟踪等方面的具体操作没有明确,导致在使用时无法将这一优势无法充分发挥出来。
4.2模式匹配
在入侵检测中,模式匹配这一方式最为简单、传统。在使用这种检测方式时,首先要在系统中设置入侵特征库,之后,检测系统会对收集的数据进行检测,一旦数据与库中的入侵特征不符时,检测系统就会自动将其视为是入侵行为。虽然这种检测方式具有计算简便以及准确率较高等优势,但也存在一定的缺点,这种检测方式只能对库中的入侵形式进行检测,一旦入侵者对操作进行修改,检测系统就很难将其识别出来。相关人员虽然也会对库内特征不断进行更新,但由于网络发展速度过快的特性,更新的速度相对较难,直接增加了检测的难度。
4.3特征选择
特征选择的检测方式是挑选出检测性能较好度量构成子集,并以此作为主要的检测手段对已经检测出的入侵行为进行预测、分类。这种检测方式的不足之处在于无法对用户的异常活动以及恶意入侵行为作出准备的判定,而且这种进行断定的过程也较为复杂,在对度量子集进行选择时,主要的参考依据就是入侵类别,且一个度量子集并不能对所有的入侵行为进行检测,如果仅使用一种子集,很有可能会出现检测遗漏的现象,从而使网络安全受到威胁。最佳的子集检测入侵方式就是能够自动进行子集的选择,从而实现对入侵行为的全面检测。该行业的学者提出了利用遗传方式来对所有的子集进行搜寻,并自动找出适合的子集对操作行为进行检测,这种方法主要是运用了学习分离器的方式形成了基因突变算子以及遗传交叉算子,将测量性能较低的子集筛除之后,使用遗传算子生成的子集再次进行测量,并将这样的测量方式和测量性能较高的子集有机结合在一起,检测的效果会更加明显、高效。
4.4神经网络
由于神经网络的检测方式具有较强的自学习、自适应以及自组织能力的优势,因此多在环境信息以及背景知识较为不利的环境中使用。使用这种检测对入侵行为进行检测,能够将未知的入侵行为检测出来。数据信息预处理功能会将审计日志以及网络访问行为等信息进行处理,获得输入向量,之后神经网络会对向量展开分析,进而得到用户常规的操作方式,并进行记录,以此判断出操作与之不符的入侵活动。
5入侵检测系统的发展趋势
随着人们对于网络安全重视的程度越来越高,入侵检测技术水平也得到了显著的提升,已经开始朝向更加智能化、自动化的方向发展,尤其是以孤立点挖掘为基础的检测技术更是今后入侵检测系统的主要发展趋势。所谓孤立点挖掘就是指对大量的信息数据进行筛选,找出其中与常规数据有着明显不同的,且较为小众、较为新颖的数据检测方式。使用这种方式能够将大规模数据中的异常数据挖掘出来,从而有效避免因这些数据的异常而带来的负面影响。虽然入侵的手段也在不断进行着变化,但就整体的网络行为而言,入侵行为还是会产生小部分的异常数据,而使用这一技术能够准确找出这些数据,并对其进行适当的处理,可以更好地将入侵行为的本质呈现出来,所以在今后进行入侵行为检测时,可以使用这种技术将入侵检测转变为孤立点数据发掘行为。与其他的入侵检测技术相比,孤立点挖掘检测技术并不需要进行训练,可以直接进行使用,有效避免了因训练模式不完善而造成的检测遗漏等情况。就实践消耗的角度而言,是以进行距离对比为主的,虽然相对于其他入侵检测的方式,这种方式的检测需要大量的时间和空间,但其算法性能较高,对于入侵的阻击效率也较为理想,值得进行大面积推广。
网络安全的关键技术范文4
通信网络的传输内容涉及各个领域,有些信息甚至关乎国家和企业的机密,因而加强通信网络的安全性显得格外重要。本文在论述通信网络安全意义的基础上,对通信网络中的安全分层进行阐述,并结合以往有关保障通信网络安全的研究成果,就如何克服通信网络中的安全问题提出几点技术性建议。
【关键词】
通信网络;安全分层;关键技术
通信网络作为信息传递的一个主要载体,在政治、经济、文化、外交、军事等不同领域的信息交流与沟通都发挥着重要的建设性作用。一旦通信网络安全遭受威胁,造成信息泄露问题,将严重影响到相关领域的工作安全和效率。只有充分保障通信网络过程的严密性,才能为信息社会的长久平稳发展奠定坚实基础。
1通信网络的安全分层
通信网络安全首先体现在网络作为一种传播载体的安全性上,通过确保通信网络自身的可靠性及网络服务的可控性,为信息在网络上的顺畅流通搭建牢固桥梁,从而加强信息流动过程中的完整性和机密性。为了达到以上目标,我们需要做好以下五方面的工作:①使用安全的网络产品进行信息的采集、传递和存储;②建立健全信息安全管理机制,明确保障信息安全的策略和途径;③需要制定具体明确的信息安全评估标准和测评等级;④需要完善通信网络故障及安全恢复机制;⑤需要研发可靠的通信网络问题检测系统,以做到对各种网络问题的精确定位。通信网络安全主要包括三个方面的内容:承载网安全、网络服务安全和信息传递安全:(1)承载网安全。其主要涉及传输网、互联网、帧中继网、移动通信网、电话网所承载的网络。该层的网络安全包括网络的可靠性和生存性,体现在其具有较为完整的通信链路及独立的拓扑结构,在网络结构实现以及数据传输业务等方面具有较强的突破性,比如ATM网、DDN网、电话网和移动通信网等通信网络。(2)网络服务安全。网络服务安全则指运营商所提供的服务的可用性及可控性,包括IVPN业务、VOIP业务和ATM专线业务。在该层中,网络的交互性得到极大体现,对该层的安全维护应该将重点放在承载网的建设以及服务安全防护体系的保障上。(3)信息传递安全。主要包括信息完整性和机密性。实际操作中,可依靠三种途径对其进行维护,通过建立报文鉴别机制,完善加密机制、密钥分发过程或研发数字签名等技术,从而为通信网络加一把安全锁。
2通信网络安全的关键技术
通信网路安全保障的关键技术要以通信网络中的安全分层为标准,宏观把握全局,全方位、立体化地选择相应的技术策略,以实现通信网络每个环节的无懈可击,具体实施可参考以下技术策略。
2.1安全分析及评估现代通信网络是一个庞大而复杂的系统架构,在网络规模日益扩大、网络功能不断丰富的当今,通信网络的安全性越来越受到硬件功能及网络拓扑结构的影响。只有加强通信网络的管理,才能提高相关硬件设备的有效管理,做到网络安全隐患的准确检测和分析,全面提升各个环节的可行性和可控性。目前较为常用的管理策略包括网管数据完整性鉴别技术、网管数据通信加密技术、网管节点访问控制技术。
2.2精细设计网络拓扑结构网络节点失效或是链路中断都可能引发通信中断故障,为用户的安全使用构成了阻碍。因此,技术人员可采用冗余与备份技术来解决该问题,比如可在部署传输网时使用环形的拓扑结构,在部署VOIP网时采用双归属连接模式。这种方法不仅能提高网络的稳定性,同时还能提升网络的可用性与生存性。
2.3网络故障检测技术网络故障检测,即当网络突然出现故障时,网络运营商用相关技术进行故障检测及分析的过程。无论是传统的电信网络,还是ATM网络或是IP网络,都在网络故障检测方面有所设计。以以太网为例,该网络通过物理层信号来判断接收链路的连通性,或是利用IP层通过CIMP来检验网络的接通性。
2.4保护倒换技术通过保护倒换技术,可将出现故障的传输网节点或链路在不影响继续传输的情况下把流量切换到事先指定的备用路径上,成熟的传输网络可在50ms内完成这一转换过程。此外,IP网络也可运用这种技术,但是保护转换机制一般要通过路由器协议重新计算可行路径而实现。
2.5信息加密技术在通信网络的运行过程中,信息加密技术是保障信息安全的最好途径之一。在加密过程中,可采用DES算法、对称加密算法与公开密钥算法。针对不同级别的信息选择与之相适应的加密算法,比如对称加密算法适合加密数据,其加密与解密的速度极快。而公开密钥密码则是对称密码的补充,在密钥分配及身份认证上具有显著的优势。
2.6网络访问限制在实施网络访问限制的过程中,最常用和最基本的手段就是建立信息防火墙,通常在互联网国际出入口、接入互联网的企业网络入口需要加设防火墙,作为抵抗网络恶意侵袭的防火墙。
3结语
在保障信息网络安全的过程中,技术、管理和投入占据着重要的地位,尤其是技术因素,在很大程度上制约着网络安全网的构建。虽然我国在突破技术难关方面已经取得了一些成就,但是我们仍需认清现实,意识到通信网络的脆弱性和多变性,积极探索新路径,开拓新境界,以实现通信网络安全的高层次突围。
参考文献
[1]武萍.通信网络中的安全分层及关键技术分析[J].硅谷,2013(14):44.
[2]冯枧瑞.通信网络安全的分层及关键技术探究[J].信息通信,2014(3):102.
网络安全的关键技术范文5
[关键词] 网络安全 关键技术 铁路网 网络管理 防护体系
一、引言
铁路系统的计算机应用和信息化建设已具规模,TMIS、客票、调度、集装箱和物资等管理信息系统相继建成并已投入使用。在铁道部、铁路局、基层站段三级网络的支撑下,以TMIS和电子政务应用为核心的各项计算机应用系统已在铁路运输生产中发挥着越来越重要的作用。对于现代营销、现代物流和电子商务等应用系统,仅具有连通功能的网络是无法满足其要求的,针对大型企业网络安全方面存在的漏洞和隐患,利用简单的技术防范措施已无法解决。必须调整网络结构,克服平面网络结构先天性的抵御攻击能力差、控制乏力的弱点,并采用先进的技术、加强基础设施和有效的网络管理,形成保证网络和信息安全的纵深立体防御体系。
二、建立计算机网络安全体系
对于网络而言,没有绝对保证的信息安全,只有根据网络自身特点,合理运用网络安全技术,建立适应性的安全运行机制,才能从技术上最大限度地保证信息安全。
1.网络安全关键技术
由防火墙(Firewall)、PKI(Public Key Infrastructure)公钥安全体系、虚拟局域网(VLAN)和物理隔离与信息交换系统等构成了网络安全的关键技术。
2.创建铁路网络立体安全防护体系
网络安全防护体系是由安全操作系统、应用系统、防火墙、网络监控、安全扫描、通信加密、网络反病毒等多个安全组件共同组成的,每个组件只能完成其中部分功能。
(1)路由器。路由器是架构网络的第一层设备,也是网络入侵者的首要攻击目标,因此路由器必须安装必要的过滤规则,滤掉被屏蔽的IP地址和服务。例如,我们首先屏蔽所有的IP地址,然后有选择的放行一些地址进入我们的网络。路由器也可以过滤服务协议,允许需要的协议通过,而屏蔽其他有安全隐患的协议。
(2)入侵监测系统IDS。入侵监测系统是被动的,它监测你的网络上所有的包(packets)。其目的就是捕捉危险或有恶意的动作,并及时发出警告信息。它是按用户指定的规则运行的,它的功能和防火墙有很大的区别,它是对端口进行监测、扫描等。入侵检测系统是立体安全防御体系中日益被普遍采用的成分,它能识别防火墙通常不能识别的攻击,如来自企业内部的攻击;在发现入侵企图之后提供必要的信息,帮助系统移植。
(3)防火墙。防火强可防止“黑客”进入网络的防御体系,可以限制外部用户进入内部网,同时过滤掉危及网络的不安全服务,拒绝非法用户的进入。同时可利用其产品的安全机制建立VPN(Virtual Private Networks)。通过VPN,能够更安全地从异地联入内部网络。
(4)物理隔离与信息交换系统(网闸)。铁路内部网是铁路运输系统的指挥中枢,调度指令必须实时、准确下达。内部网调度服务的实时可用性成为铁路信息系统最为核心的安全需求。因此不能因为信息化建设过程中对外网访问的需求而影响内部网络系统的安全性及可用性。物理隔离与信息交换系统是运用物理隔离网络安全技术设计的安全隔离系统,它保证内部网络与不可信网络物理隔断,能够阻止各种已知和未知的网络层和操作系统层攻击,提供比防火墙、入侵检测等技术更好的安全性能,既保证了物理的隔离,又实现了在线实时访问不可信网络所必需的数据交换。
(5)交换机。目前局域网大多采用以交换机为中心、路由器为边界的网络格局。核心交换机最关键的工作是访问控制功能和三层交换功能。访问控制对于交换机就是利用访问控制列表ACL来实现用户对数据包按照源和目的地址、协议、源和目的端口等各项的不同要求进行筛选和过滤。还有一项非常关键的工作就是划分VLAN。
(6)应用系统的认证和授权支持。建立应用系统提升安全性的支撑平台,实现应用系统保护的功能包括以下几个方面:
①应用系统网络访问漏洞控制。应用系统软件要求按安全软件标准开发,在输入级、对话路径级和事务处理三级做到无漏洞;集成的系统要具有良好的恢复能力,这样才能保证内部生产网中的系统避免因受攻击而导致的瘫痪、数据破坏或丢失。
②数字签名与认证。应用系统须利用CA提供的数字证书进行应用级的身份认证,对文件和数据进行数字签名和认证,保证文件和数据的完整性以及防止源发送者抵赖。
③数据加密。对重要的数据进行加密存储。
(7)操作系统的安全。保证操作系统的安全包括以下内容:
①操作系统的裁剪。不安装或删除不必要使用的系统组件。
②操作系统服务裁剪。关闭所有不使用的服务和端口,并清除不使用的磁盘文件。
③操作系统漏洞控制。在内部网中建立操作系统漏洞管理服务器,我们在内部网中安装了微软WSUS Server及第三方安全管理软件(BES),对网络内所有联网主机的操作系统进行监控,一旦发现存在系统漏洞或者安全隐患,立即强制其安装相应的系统补丁或者组件。
(8)病毒防护。网络病毒网关与网络版的查杀病毒软件(McAfee EPO + Clients)相结合,构成了较为完整的病毒防护体系,能有效地控制病毒的传播,保证网络的安全稳定。
三、计算机网络安全管理
有效的技术手段只是网络安全的基础工作,但仅靠网络安全技术是绝对无法确保信息安全的。严格的计算机网络安全管理制度,才能充分发挥网络安全技术的效能,才能使网络信息更加安全可靠。
四、结束语
目前计算机网络已经深入到铁路运输生产管理、客户服务、物流和客货运营销等各个领域。不解决安全问题,可能造成巨大的经济损失。创建铁路计算机网络安全防护体系,将是铁路信息化建设的有力保障。但建立计算机信息安全体系是一个复杂而又庞大的系统工程,涉及的问题也比较多。只有继续对计算机网络安全体系进行深入的研究和探讨,才能更好的实现网络安全,保证中国铁路信息化建设的正常进行。
参考文献:
[1]邱雪松:网络管理体系结构.北京邮电大学,1999.7
[2]蒋苹:计算机信息系统安全体系设计.计算机工程与科学,2003,01
网络安全的关键技术范文6
关键词 计算机 网络安全 防火墙
中图分类号:TP393 文献标识码:A
如果要从众多的元素中选择几个词语作为当前时代的代名词的话,相信绝大多数人都会选择“计算机”和“网络”。在当代,计算机和网络将人们带入到了一个前所未有的奇妙世界中,极大地改变了人们的生活方式和生活习惯。在计算机网络非常普及的情形下,任何一个普通的个人都能够花费很小的成本从计算机和网络中获取海量的资讯、进行实时的交流等等。在计算机网络运行过程中,网络安全是不可避免的又受到人们广泛关注的重要问题。防火墙技术是网络安全的重要组成部分,起到的是最基础的被动防御的作用,所以其重要性不言而喻。
1计算机网络安全和防火墙概述
计算机网络安全,顾名思义就是针对计算机运行过程中的硬件、软件等出现的问题和隐患,采取一系列措施保证不会因为各种主客观的原因造成数据的破坏、机密的泄漏等等,维持整个系统的正常运行。网络安全其实是一个较为系统的概念,针对于不同领域的人具有不同的解读。从个人或者是企业的用户来说,网络安全就是能够保证个人在网络中的各种浏览、交流活动和企业的各种信息不致泄漏,确保在交流的过程中仅仅是双向的,而不存在恶意第三方的窃听、冒充等等行为。对于网络的管理者来说,网络安全就是在网络运行过程中不致受到其他外界的非法占用和控制。对于其他的特殊部门例如安保部门来说,网络安全就是确保其在网络中进行的任何活动都不致让授权之外的任何人知晓或者控制。对于整个社会来说,网络安全则有了另一个方面的概念就是让公众在网络上获取的资讯是健康的、正确的、科学的。
2计算机网络安全技术类型
通过必要的技术手段能够确保网络安全。我们这里所说的网络安全主要指的是个人、网站运营商、管理者和其他部门的网络安全,也就是狭义上的网络运行安全,对网站内容的安全不在本文的讨论之列。
首先是加密技术。这是确保网络安全最直接最有效的方式。加密技术具体来说,就是在数据传输时进行算法上的密钥加密,将某些数据经过算法上的处理,形成一段不能被读出的代码,将这段代码解读的逆过程就是加密的过程。加密不仅能够对软件进行加密,也能够对硬件加密。
其次是权限设置。权限设置包含的内容较多,有身份认证、访问限制等等。身份认证是通过一系列的检测手段,认定用户的身份是被许可的,当前较为常用的是口令、指纹识别、虹膜识别等等手段。访问限制与加密技术其实是不同的两种手段,访问限制是对整个网络资源的限制而不是对特定内容的限制,它能够赋予或者限制某些主机资源的访问。
3防火墙关键技术分析
防火墙其实是一个极具传统色彩的具现化的概念。它的概念来源是古时候,在起火时为了防止火势蔓延而建立起来的一道墙,人们将其命名为防火墙。现在的防火墙则是根据这个概念生动的再现。它指的是在互联网和内部网络中间设置的一道限制,使得内部网络不会受到外部非法用户的侵入。
防火墙的关键技术包括下面的几个方面:(1)传送技术,它运用各种先进的手段,将需要交流的信息分割成一定长度的多个信息包,信息包中包含有一定的信息。这些信息会通过不同的路径达到目的地,全部信息包到达时再重组成为完整的信息。(2)过滤技术,对进出网络的各种数据流都要进行必要的限制,通过一系列规则设定,将一些不在规则内的数据流阻隔在网络之外。(3)技术。通俗地说,就类似于通过一个的设定,让外部网络和内部网络之间的交流并不能直接进行,这样的话就能够防止外部网络探知内部网络的信息和数据。除此之外,防火墙技术还涉及到一定的加密算法技术、安全监测和控制技术、安全内核技术等等多个层次的多个方面的共同防范。防火墙也不是孤立的,它与其他的计算机技术和网络技术是相互促进的。未来防火墙技术要发展,必须要系统的全面的考虑。
4结语
网络安全看似很简单,实则是一个庞大的涉及面极广的系统的体系和学科,它拥有无比丰富的内涵,对我们生活的点点滴滴都起到一定的影响作用,对社会发展也产生不小的影响。特别是在当前,计算机和网络基本上已经朝着全民普及的方向发展,这种情况下网络安全的重要性就尤为重要。防火墙技术是网络安全管理中的重要组成部分,它是一种被动的防御性的措施,能够给用户以基础的安全保障。当前防火墙技术还有一定的局限性,未来一定会朝着远程管理、抵御攻击并进行必要的反击、适用性强等等特点,为未来人们的生活和社会建设作出突出的贡献。
参考文献
[1] 李华飚,柳振良,王恒.防火墙核心技术精解[M].北京:中国水利水电出版社,2005.
