计算机网络安全技术探讨

摘　要： 该文简要介绍网络安全技术的方案目标、解决方案,并详细讨论采用防火墙技术、NAT技术、VPN技术、网络加密技术(Ipsec)来构成网络安全的防御系统。

关键词：网络;安全;VPN;加密技术;防火墙技术
　　网络安全是指计算机、网络系统的硬件、软件及其系统中的数据受到保护，不因偶然或恶意的原因而遭破坏、更改或泄露，系统能连续可靠、正常地运行，使网络服务不中断。
　　随着Internet的飞速发展,网络应用的扩大,网络安全风险也变的非常严重和复杂。原先由单机安全事故引起的故障通过网络传给其他系统和主机,可造成大范围的瘫痪,再加上安全机制的缺乏和防护意识不强,网络风险日益加重。这些风险的出现与网络的系统结构与应用相关联。主要包括物理安全、链路安全、网络安全、系统安全、应用安全及管理安全等六个方面。网络安全性可以被粗略地分为4个相互交织的部分:保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问,这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来实现。
　　1.方案目标
　　本方案主要从网络层次考虑,将网络系统设计成一个支持各级别用户或用户群的安全网络,该网在保证系统内部网络安全的同时,还实现与Internet或国内其它网络的安全互连。本方案在保证网络安全可以满足各种用户的需求,比如:可以满足个人的通话保密性,也可以满足企业客户的计算机系统的安全保障,数据库不被非法访问和破坏,系统不被病毒侵犯,同时也可以防止有害信息在网上传播等。
　　2.安全需求
　　通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即:
　　可用性:授权实体有权访问数据;
　　机密性:信息不暴露给未授权实体或进程;
　　完整性:保证数据不被未授权修改；
　　可控性:控制授权范围内的信息流向及操作方式
　　可审查性:对出现的安全问题提供依据与手段
　　访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。
　　数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。
　　安全审计:是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏。
　　3.风险分析
　　网络安全是网络正常运行的前提。网络安全不单是单点的安全,而是整个信息网的安全。要知道如何防护,首先需要了解安全风险来自于何处。网络安全系统必须包括技术和管理两方面。风险分析是网络安全技术需要提供的一个重要功能。它要连续不断地对网络中的消息和事件进行检测,对系统受到侵扰和破坏的风险进行分析。风险分析必须包括网络中所有有关的成分。
　　3.1物理安全风险分析
　　网络物理安全是整个网络系统安全的前提,其主要风险有:地震、水灾、火灾等环境事故;电源故障;电磁辐射造成信息被窃取。
　　3.2链路风险分析
　　网络安全威胁不仅在网上进行攻击。攻击者完全有可能在传输线路上安装窃听设备,再通过一些技术读出。因此对于一些重要信息在链路上必须加密,并且通过数字签名及认证确保数据的真实性、机密性、可靠性、完整性。
　　3.3网络安全风险分析
　　与Internet互联的安全威胁,主要为黑客的人侵;内部局域网与外部网互联的安全威胁,主要手段有网络监听与恶意攻击等。内部局域网的安全威胁,主要是内部人员的泄密。
　　3.4系统安全风险分析
　　主要指网络操作系统、应用系统的安全。表现在开发商的Back-Door(后门)以及系统本身的漏洞上。
　　3.5应用安全风险分析
　　应用系统的安全涉及的方面较多,主要在电子邮件与病毒方面。
　　3.6管理安全风险分析
　　内部人员的破坏,管理不善,制度不健全,都可以引起管理安全风险。因此除了技术以外,还得依靠管理实现网络安全。
　　4.解决方案
　　4.1设计原则
　　针对网络系统实际情况,解决网络的安全保密问题是当务之急,考虑技术难度及经费等因素,设计时应遵循的思想:
　　①大幅度地提高系统的安全性和保密性；
　　②保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性；
　　③易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
　　④尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;
　　⑤安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;
　　⑥安全与密码产品具有合法性,及经过国家有关管理部门的认可或认证;
　　⑦分步实施原则:分级管理,分步实施。
　　4.2安全策略
　　针对上述分析,我们采取以下安全策略:
　　㈠采用漏洞扫描技术,对重要网络设备进行风险评估,保证信息系统尽量在最优的状况下运行。
　　㈡采用各种安全技术,构筑防御系统,主要有:
　　①防火墙技术:在网络的对外接口,采用防火墙技术,在网络层进行访问控制。
　　②NAT技术:隐藏内部网络信息。
　　③VPN:虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。
　　④网络加密技术(Ipsec) :采用网络加密技术,对公网中传输的IP包进行加密和封装,实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题。
　　4.3防御系统
　　我们采用防火墙技术、NAT技术、VPN技术、网络加密技术(Ipsec),构成网络安全的防御系统。
　　4.3.1物理安全
　　为保证信息网络系统的物理安全,还要防止系统信息在空间的扩散。通常是在物理上采取一定的防护 措施,来减少或干扰扩散出去的空间信号。为保证网络的正常运行,在物理安全方面应采取如下措施:
　　①产品保障方面:主要指产品采购、运输、安装等方面的安全措施。
　　②运行安全方面:网络中的设备,特别是安全类产品在使用过程中,必须能够从生成厂家或供货单位得到迅速的技术支持服务。对一些关键设备和系统,应设置备份系统。
　　③防电磁辐射方面:所有重要涉密的设备都需安装防电磁辐射产品,如辐射干扰机。
　　④保安方面:主要是防盗、防火等,还包括网络系统所有网络设备、计算机、安全设备的安全防护。
　　4.3.2防火墙技术
　　防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监视了内部网络和Internet之间地任何活动,保证了内部网络地安全;在物理实现上,防火墙是位于网络特殊位置地以组硬件设备———路由器、计算机或其他特制地硬件设备。防火墙可以是独立地系统,也可以在一个进行网络互连地路由器上实现防火墙。
　　4.3.3 VPN技术
　　VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现,可以保证企业员工安全地访问公司网络。
　　4.3.4网络加密技术(Ipsec)
　　IP层是TCP/IP网络中最关键的一层,IP作为网络层协议,其安全机制可对其上层的各种应用服务提供透明的覆盖式安全保护。因此,IP安全是整个TCP/IP安全的基础,是网络安全的核心。IPSec提供的安全功能或服务主要包括:①访问控制;②无连接完整性;③数据起源认证;④抗重放攻击;⑤机密性;⑥有限的数据流机密性;信息交换加密技术分为两类:即对称加密和非对称加密。
　　5结束语
　　在日常工作和学习中，只要我们使用网络，就必然涉及到网络安全的问题。目前解决网络安全问题主要采取的技术手段，对防止系统非法入侵都有一定的效果，但它们只是起着防御功能，不能完全阻止入侵者通过蛮力攻击或利用计算机软硬件系统的缺陷闯入未授权的计算机或滥用计算机及网络资源。因此，我们必须不断学习，不断积累经验，提高自身素质，制定出严密的安全防范措施，尽可能提高网络系统的安全可靠性。
　　
参考文献:
[1]郭军.网络管理[M].北京:北京邮电大学出版社,2001.
[2]雷震甲.网络工程师教程[M].北京:清华大学出版社,2004.
[3]杨晨光.计算机网络安全[M].西安:西安电子科技大学出版社,2002.