论文部分内容阅读
摘 要:公安和国防信息共享、现代通信、电子商务等领域的服务不但需要内部信息的交流,还需要互联网的支持才能实现,但接入互联网对用户信息点额安全带来的冲击也是很多人担忧的,因此建立计算机网络安全防御体系是必要与迫切地。
关键词:防御;安全;信息化;互联网
中图分类号:TP393.08
1 计算机网络安全的概述
随着计算机技术的迅速发展,计算机上处理的业务由基于单机的数学运算、文件处理,基于简单链接的内部网络的业务处理、办公自动化,发展到基于企业内部网(Intranet)、企业外部网(Extranet)、全球互联网(Internet)的世界范围内的信息共享和业务处理。计算机网络的应用领域已从传统的小型业务逐渐向大型关键业务扩展。随着政府上网、企业上网、教育上网、家庭上网等,互联网在经济、军事、文教等诸多领域得到广泛应用。
网络在为人们提供便利、带来效益的同时,也使信息安全面临着前所未有的巨大挑战。计算机网络存储、传输和处理着政府宏观调控决策、商业经济、银行资金转账、股票证券、资源、国防和科研等大量关系国计民生的重要信息,许多信息直接关系到国家的安全。如何保护个人、企业、国家的机密信息不受黑客和间谍的入侵;如何保证网络安全不间断的工作,是国家和单位信息化建设必须考虑的重要问题。
2 网络安全防御体系设计的必要性与迫切性
随着计算机技术的发展,TMIS和电子政务的应用与各项计算机应用系统联系越来越紧密,当然其在服务行业,公安系统、铁路系统也发挥巨大的作用。然而网络钓鱼、欺诈、病毒攻击等安全威胁使接入互联网对企业信息的安全带来了很大的挑战。因此要改变越来网络系统的结构,用以提高平面网络结构抵御攻击能力、改善对网络系统的用户信息的安全。这也可以实现对账号风险的预警,全面保护账号安全,构建安全的上网环境,让数亿网民受益。
3 组建计算机网络防御体系的思路
依照现在计算机网络的技术水平,结合各个生产领域对互联网功能的额要求和其要求能达到的安全级别及安全保密的规定,量身定做一套安全防御体系,组建时要注意以下几点:
(1)组建网络结构时要把外部服务网与内部服务网分开。
(2)把信息系统按照不同的安全等级进行划分,不同的安全等级对应不同的管理方式。
(3)网络安全上要充分开展网络访问控制、防火墙设置、网络动态隔离和病毒网关及日志管理。
(4)要对网络的流量进行监控和保护。
(5)要对访问机制进行升级与改善。达到用数字证书对登录用户身份的鉴别与授权。
(6)日志和审计系统也是防御系统所必要的。
在设计网络架构时,出于安全带额考虑,对重要行业的计算机网络要进行层次结构的改变,就是把传统的平面结构用层次结构来替代,外部网、办公网和生产网在不同层次结构上独立运行。把外层结构与互联网进行连接,同时,外层网络与内层网络进行屏蔽保护,进而达到外层网络对内层网络的保护。在不同的网络区域边界,通过边界保卫策略实施多点控制,使网络划分为不同级别的保护层次和区域,控制各层次之间的信息流。
4 构建网络防御体系所要具备的安全因素
在很多领域都会涉及到信息安全这个概念,他们共同特点是强调信息的存储、传输及网络审计等三方面。
4.1 鉴别
显而易见,鉴别就是对网络的使用者进行身份的识别与验证,使用最多的是对网络使用者的所熟知的秘密进行识别,比如口令、密码;二是通过网络使用者贴身物品进行识别,如磁卡和密令牌;三是利用网络使用者的独有的身体或生理特征进行辨别,如指纹、容貌、声音等。
(1)口令机制:口令是使用者与系统预先约定的相代码,它是经过使用者同意或选择有系统分配来完成的约定。使用前,用户把事先设置好的信息提交给系统,系统会自动把用户提交的信息与系统预先设置好的内容相同进行比对,如果相吻合,用户就可以登录系统。
(2)智能卡:智能卡是基于口令机制基础上建立的,使用时,不但要验证使用者的口令信息,还要对物理智能卡进行鉴别。物理智能卡就是一种与使用者进行身体接触并判别的一种方式。为保障智能卡使用的可靠性,很多系统在用户陆时,不但对智能卡进行识别,同时还验证身份识别码(PIN)。两者验证都通过,用户才能进入系统。智能卡比传统的口令机制有更高的可靠性,其缺点是不便于携带,而且开户、使用费用高。
(3)主体特征鉴别。通过使用者独一无二的生理或身体特的鉴别可靠性与安全性都是很高的。因此市面上视网膜扫描仪、声音鉴别等设备很受市场的欢迎与青睐。
4.2 数据传输安全系统
其是对传输中的数据流进行加密达到数据传输中的安全。达到对传输数据加密的形式有很多,可以按照层次来区分,使用较广泛的层次加密有三种分别是:链路加密、端到端加密、节点加密,前两者的普及率比较高,且使用较广泛。链路加密的工作原理是在通信链路上对数据进行操作,而对信源和信宿没有加密操作,它对信息提供安全保护方式主要是在各链路的信息流中加入密钥来实现的。链路加密是面向节点的,对于网络高层主体是透明的,它对高层的协议信息(地址、检错、帧头帧尾)都加密,因此数据在传输中是密文的,但在中央节点必须解密得到路由信息。
4.3 保证数据的完整性
现在,在动态信息传输的过程中,很多协议都是采用收错重传、丢弃后续包的方式来保证信息完整性和准确性,黑客正是利用这一点在信息包内加入病毒程序对用户电脑或数据进行攻击,为了保证数据的安全性,确保数据的完整性也是所做工作中重要的一部分。有效的方法有以下几种:
(1)报文鉴别:与数据链路层的CRC控制类似,将报文名字段(或域)使用一定的操作组成一个约束值,称为该报文的完整性检测向量ICV(Integrated Check Vector)。把约束值与数据捆绑在一起进行加密,这样攻击者由于不能对所做工作中重要的一部分报文进行解密,从而确保信息的安全性。因此,确保数据不被修改。这样,计算机把接收方收到数据后解密并计算ICV与明文中的ICV对比,如果相同则认为有效。 (2)消息完整性编码MIC:是一种通过一种简单的函数来计算消息摘要的一种方法,函数信息和数据信息都会被接收方接收,接收方重新计算摘要后还要对接收的内容进行验证与检错。
(3)防抵赖技术的主要作用是能为源和目的地提供证明,数字签名是防抵赖技术中使用比较普遍的一种方法,数字签名就是按照某种系统默认的数据传送与接收协议,实现发送方已经发送数据,接收方已经接收数据的一种方法。
4.4 数据库安全
主要是对对数据库中的数据和资源进行有效的保护,其常用的方式有一下几种:
(1)硬件完整性,就是数据不会因为硬件方面受到损坏而是数据信息发生变化问题。
(2)逻辑完整性,就是在一般性情况下数据库的结构框架不会发生改变。
(3)元素完整性,保证数据库中的各个元素不失真。
(4)数据的加密。
要保证数据库的安全,不但在设计系统时要以安全数据库系统为蓝本(就是设计的每个环节都要在一套成熟的设计策略指导下进行);还要在合法的前提下参照现行的成熟度额技术和得到用户普遍认可的数据库进行设计。这样,设计系统的安全性和稳定性都能得到保证。在某些重要或涉密网络都应该使用此系统来提高系统的安全性。
这些都是建立计算机网络安全防御体系所要做的前提工作。
5 构建计算机网络安全防御体系
现在很多企事业单位的生产网和办公网之间虽然有很多防火墙的隔离,但不影响用户办公网和生产网进行数据交流,在某种程度上可以把生产网安全域和办公网安全域看成一个整体,这个可以统称为内部安全域。每个安全域均配有一套完整的平台,内部安全域的平台部署在办公网,负责所有用户管理和办公网与生产网认证授权,外网平台负责对外部用户的省份认证和授权。
(1)路由器。网络的入口的初始位置是路由器,为了保证王珞丹额安全要对路由器做必要的设置,常用地方法是在路由器中设置过滤规则。
(2)防火墙。在防火墙中设置一种访问的尺度,当外部网络信息与计算机进行交流时,允许防火墙认为安全的信息进入自己的内部网络,同时屏蔽对计算机网络体系或数据库造成威胁的信息,这样可以最大化的保证用户的重要信息的安全,也能减少黑客对网络和数据库的破坏与攻击!
(3)入侵监测系统IDS。为了保护企业单位网络系统的安全,在网络网关的重要位置安装检测系统,不间断的监控网络和信息系统,对访问的异常行进行有效的控制与处理。为了保证监控该系统的可靠性,入侵监测系统会对往上的每个包进行检查。
(4)物理隔离与信息交换系统。企业网内部对外网的建设与信息共享的限度是以保障内部网络系统的安全性及可用性为前提的。不要一味的追求信息化而忽略内部网络安全带额重要性。
(5)交换机。现在很多用户的局域网中片I交换机与路由器为边界相结合的网络格局应用比较普遍。交换机最重要的是控制功能和3层交换功能。访问控制对于交换机就是利用访问控制列表ACL来实现用户对数据包按照源和目的地址、协议、源和日的端口等各项的不同要求进行筛选和过滤。
(6)应用系统的认证和授权。升级应用系统的系统,建立安全性的支撑平台,最终实现应用系统的保护。
(7)操作系统的安全。在官方网站更新最新的操作系统,对系统的漏洞和不足要及时的修复。这些对提高操作系统的安全也是很重要的。
(8)病毒查杀。系统诊断工具与在线服务版的杀毒软件相结合,这样内外结合所建立的病毒查杀机制,对病毒抵御与免疫效果是很明显的,同时对抑制病毒的传播和保证网络的安全起到很关键的作用。
6 结语
随着计算机网络技术的发展,计算机网络系统已经在铁路运输生产管理、公安内部系统、移动通信业务、电子商务、交通客运等很多领域得到广泛的应用。当然,建立计算机网络安全防护体系,是建设信息化社会的重要一步。计算机体系是一个复杂而又庞大的系统工程,需要处理的问题也很多。只有锲而不舍的对计算机网络安全体系进行研讨,发现问题,解决问题,吸取教训对计算机网络安全防御体系不断的更新才能适宜现在社会的发展。
参考文献:
[1]切斯维克贝罗维.防火墙与因特网安全[M].戴宗坤.北京:机械工业出版社.
[2]宁章.计算机及网络安全与防护基础[M].北京:北京航空航天大学出版社.
[3]关振胜.公钥基础设施PKI与认证机构CA[M].北京:电子工业出版,2002.
[4]王春,林海波.网络安全与防火墙技术[M].北京:清华大学出版社,2000.
作者简介:陈舜杰,男,上海人,副科长,助工,研究方向:网络安全。
作者单位:上海市公安局青浦分局,上海 201700
关键词:防御;安全;信息化;互联网
中图分类号:TP393.08
1 计算机网络安全的概述
随着计算机技术的迅速发展,计算机上处理的业务由基于单机的数学运算、文件处理,基于简单链接的内部网络的业务处理、办公自动化,发展到基于企业内部网(Intranet)、企业外部网(Extranet)、全球互联网(Internet)的世界范围内的信息共享和业务处理。计算机网络的应用领域已从传统的小型业务逐渐向大型关键业务扩展。随着政府上网、企业上网、教育上网、家庭上网等,互联网在经济、军事、文教等诸多领域得到广泛应用。
网络在为人们提供便利、带来效益的同时,也使信息安全面临着前所未有的巨大挑战。计算机网络存储、传输和处理着政府宏观调控决策、商业经济、银行资金转账、股票证券、资源、国防和科研等大量关系国计民生的重要信息,许多信息直接关系到国家的安全。如何保护个人、企业、国家的机密信息不受黑客和间谍的入侵;如何保证网络安全不间断的工作,是国家和单位信息化建设必须考虑的重要问题。
2 网络安全防御体系设计的必要性与迫切性
随着计算机技术的发展,TMIS和电子政务的应用与各项计算机应用系统联系越来越紧密,当然其在服务行业,公安系统、铁路系统也发挥巨大的作用。然而网络钓鱼、欺诈、病毒攻击等安全威胁使接入互联网对企业信息的安全带来了很大的挑战。因此要改变越来网络系统的结构,用以提高平面网络结构抵御攻击能力、改善对网络系统的用户信息的安全。这也可以实现对账号风险的预警,全面保护账号安全,构建安全的上网环境,让数亿网民受益。
3 组建计算机网络防御体系的思路
依照现在计算机网络的技术水平,结合各个生产领域对互联网功能的额要求和其要求能达到的安全级别及安全保密的规定,量身定做一套安全防御体系,组建时要注意以下几点:
(1)组建网络结构时要把外部服务网与内部服务网分开。
(2)把信息系统按照不同的安全等级进行划分,不同的安全等级对应不同的管理方式。
(3)网络安全上要充分开展网络访问控制、防火墙设置、网络动态隔离和病毒网关及日志管理。
(4)要对网络的流量进行监控和保护。
(5)要对访问机制进行升级与改善。达到用数字证书对登录用户身份的鉴别与授权。
(6)日志和审计系统也是防御系统所必要的。
在设计网络架构时,出于安全带额考虑,对重要行业的计算机网络要进行层次结构的改变,就是把传统的平面结构用层次结构来替代,外部网、办公网和生产网在不同层次结构上独立运行。把外层结构与互联网进行连接,同时,外层网络与内层网络进行屏蔽保护,进而达到外层网络对内层网络的保护。在不同的网络区域边界,通过边界保卫策略实施多点控制,使网络划分为不同级别的保护层次和区域,控制各层次之间的信息流。
4 构建网络防御体系所要具备的安全因素
在很多领域都会涉及到信息安全这个概念,他们共同特点是强调信息的存储、传输及网络审计等三方面。
4.1 鉴别
显而易见,鉴别就是对网络的使用者进行身份的识别与验证,使用最多的是对网络使用者的所熟知的秘密进行识别,比如口令、密码;二是通过网络使用者贴身物品进行识别,如磁卡和密令牌;三是利用网络使用者的独有的身体或生理特征进行辨别,如指纹、容貌、声音等。
(1)口令机制:口令是使用者与系统预先约定的相代码,它是经过使用者同意或选择有系统分配来完成的约定。使用前,用户把事先设置好的信息提交给系统,系统会自动把用户提交的信息与系统预先设置好的内容相同进行比对,如果相吻合,用户就可以登录系统。
(2)智能卡:智能卡是基于口令机制基础上建立的,使用时,不但要验证使用者的口令信息,还要对物理智能卡进行鉴别。物理智能卡就是一种与使用者进行身体接触并判别的一种方式。为保障智能卡使用的可靠性,很多系统在用户陆时,不但对智能卡进行识别,同时还验证身份识别码(PIN)。两者验证都通过,用户才能进入系统。智能卡比传统的口令机制有更高的可靠性,其缺点是不便于携带,而且开户、使用费用高。
(3)主体特征鉴别。通过使用者独一无二的生理或身体特的鉴别可靠性与安全性都是很高的。因此市面上视网膜扫描仪、声音鉴别等设备很受市场的欢迎与青睐。
4.2 数据传输安全系统
其是对传输中的数据流进行加密达到数据传输中的安全。达到对传输数据加密的形式有很多,可以按照层次来区分,使用较广泛的层次加密有三种分别是:链路加密、端到端加密、节点加密,前两者的普及率比较高,且使用较广泛。链路加密的工作原理是在通信链路上对数据进行操作,而对信源和信宿没有加密操作,它对信息提供安全保护方式主要是在各链路的信息流中加入密钥来实现的。链路加密是面向节点的,对于网络高层主体是透明的,它对高层的协议信息(地址、检错、帧头帧尾)都加密,因此数据在传输中是密文的,但在中央节点必须解密得到路由信息。
4.3 保证数据的完整性
现在,在动态信息传输的过程中,很多协议都是采用收错重传、丢弃后续包的方式来保证信息完整性和准确性,黑客正是利用这一点在信息包内加入病毒程序对用户电脑或数据进行攻击,为了保证数据的安全性,确保数据的完整性也是所做工作中重要的一部分。有效的方法有以下几种:
(1)报文鉴别:与数据链路层的CRC控制类似,将报文名字段(或域)使用一定的操作组成一个约束值,称为该报文的完整性检测向量ICV(Integrated Check Vector)。把约束值与数据捆绑在一起进行加密,这样攻击者由于不能对所做工作中重要的一部分报文进行解密,从而确保信息的安全性。因此,确保数据不被修改。这样,计算机把接收方收到数据后解密并计算ICV与明文中的ICV对比,如果相同则认为有效。 (2)消息完整性编码MIC:是一种通过一种简单的函数来计算消息摘要的一种方法,函数信息和数据信息都会被接收方接收,接收方重新计算摘要后还要对接收的内容进行验证与检错。
(3)防抵赖技术的主要作用是能为源和目的地提供证明,数字签名是防抵赖技术中使用比较普遍的一种方法,数字签名就是按照某种系统默认的数据传送与接收协议,实现发送方已经发送数据,接收方已经接收数据的一种方法。
4.4 数据库安全
主要是对对数据库中的数据和资源进行有效的保护,其常用的方式有一下几种:
(1)硬件完整性,就是数据不会因为硬件方面受到损坏而是数据信息发生变化问题。
(2)逻辑完整性,就是在一般性情况下数据库的结构框架不会发生改变。
(3)元素完整性,保证数据库中的各个元素不失真。
(4)数据的加密。
要保证数据库的安全,不但在设计系统时要以安全数据库系统为蓝本(就是设计的每个环节都要在一套成熟的设计策略指导下进行);还要在合法的前提下参照现行的成熟度额技术和得到用户普遍认可的数据库进行设计。这样,设计系统的安全性和稳定性都能得到保证。在某些重要或涉密网络都应该使用此系统来提高系统的安全性。
这些都是建立计算机网络安全防御体系所要做的前提工作。
5 构建计算机网络安全防御体系
现在很多企事业单位的生产网和办公网之间虽然有很多防火墙的隔离,但不影响用户办公网和生产网进行数据交流,在某种程度上可以把生产网安全域和办公网安全域看成一个整体,这个可以统称为内部安全域。每个安全域均配有一套完整的平台,内部安全域的平台部署在办公网,负责所有用户管理和办公网与生产网认证授权,外网平台负责对外部用户的省份认证和授权。
(1)路由器。网络的入口的初始位置是路由器,为了保证王珞丹额安全要对路由器做必要的设置,常用地方法是在路由器中设置过滤规则。
(2)防火墙。在防火墙中设置一种访问的尺度,当外部网络信息与计算机进行交流时,允许防火墙认为安全的信息进入自己的内部网络,同时屏蔽对计算机网络体系或数据库造成威胁的信息,这样可以最大化的保证用户的重要信息的安全,也能减少黑客对网络和数据库的破坏与攻击!
(3)入侵监测系统IDS。为了保护企业单位网络系统的安全,在网络网关的重要位置安装检测系统,不间断的监控网络和信息系统,对访问的异常行进行有效的控制与处理。为了保证监控该系统的可靠性,入侵监测系统会对往上的每个包进行检查。
(4)物理隔离与信息交换系统。企业网内部对外网的建设与信息共享的限度是以保障内部网络系统的安全性及可用性为前提的。不要一味的追求信息化而忽略内部网络安全带额重要性。
(5)交换机。现在很多用户的局域网中片I交换机与路由器为边界相结合的网络格局应用比较普遍。交换机最重要的是控制功能和3层交换功能。访问控制对于交换机就是利用访问控制列表ACL来实现用户对数据包按照源和目的地址、协议、源和日的端口等各项的不同要求进行筛选和过滤。
(6)应用系统的认证和授权。升级应用系统的系统,建立安全性的支撑平台,最终实现应用系统的保护。
(7)操作系统的安全。在官方网站更新最新的操作系统,对系统的漏洞和不足要及时的修复。这些对提高操作系统的安全也是很重要的。
(8)病毒查杀。系统诊断工具与在线服务版的杀毒软件相结合,这样内外结合所建立的病毒查杀机制,对病毒抵御与免疫效果是很明显的,同时对抑制病毒的传播和保证网络的安全起到很关键的作用。
6 结语
随着计算机网络技术的发展,计算机网络系统已经在铁路运输生产管理、公安内部系统、移动通信业务、电子商务、交通客运等很多领域得到广泛的应用。当然,建立计算机网络安全防护体系,是建设信息化社会的重要一步。计算机体系是一个复杂而又庞大的系统工程,需要处理的问题也很多。只有锲而不舍的对计算机网络安全体系进行研讨,发现问题,解决问题,吸取教训对计算机网络安全防御体系不断的更新才能适宜现在社会的发展。
参考文献:
[1]切斯维克贝罗维.防火墙与因特网安全[M].戴宗坤.北京:机械工业出版社.
[2]宁章.计算机及网络安全与防护基础[M].北京:北京航空航天大学出版社.
[3]关振胜.公钥基础设施PKI与认证机构CA[M].北京:电子工业出版,2002.
[4]王春,林海波.网络安全与防火墙技术[M].北京:清华大学出版社,2000.
作者简介:陈舜杰,男,上海人,副科长,助工,研究方向:网络安全。
作者单位:上海市公安局青浦分局,上海 201700