关键词:网络安全;安全技术;风险分析
随着信息技术的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。以下从网络安全的方案目标、网络安全的安全需求、风险分析、网络安全的解决方案等方面剖析了当前网络安全存在的主要问题,并对常见网络攻击从技术层面提出了解决方案,希望通过网络安全建设逐步消除网络安全的隐患。
一、网络安全的方案目标
本方案主要从网络层次考虑,将网络系统设计成一个支持各级别用户或用户群的安全网络,该网在保证系统内部网络安全的同时,还实现与Internet或国内其它网络的安全互连。本方案在保证网络安全可以满足各种用户的需求,比如:可以满足个人的通话保密性,也可以满足企业客户的计算机系统的安全保障,数据库不被非法访问和破坏,系统不被病毒侵犯,同时也可以防止诸如反动淫秽等有害信息在网上传播等。
需要明确的是,安全技术并不能杜绝所有的对网络的侵扰和破坏,它的作用仅在于最大限度地防范,以及在受到侵扰的破坏后将损失尽旦降低。具体地说,网络安全技术主要作用有以下几点:(1)采用多层防卫手段,将受到侵扰和破坏的概率降到最低;(2)提供迅速检测非法使用和非法初始进入点的手段,核查跟踪侵入者的活动;(3)提供恢复被破坏的数据和系统的手段,尽量降低损失;(4)提供查获侵入者的手段。网络安全技术是实现安全管理的基础,近年来,网络安全技术得到了迅猛发展,已经产生了十分丰富的理论和实际内容。
二、安全需求
通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即,可用性:授权实体有权访问数据。机密性:信息不暴露给未授权实体或进程。完整性:保证数据不被未授权修改。可控性:控制授权范围内的信息流向及操作方式。可审查性:对出现的安全问题提供依据与手段。访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。安全审计:是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏。
三、风险分析
网络安全是网络正常运行的前提。网络安全不单是单点的安全,而是整个信息网的安全,需要从物理、网络、系统、应用和管理方面进行立体的防护。要知道如何防护,首先需要了解安全风险来自于何处。网络安全系统必须包括技术和管理两方面,涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。无论哪个层面上的安全措施不到位,都会存在很大的安全隐患,都有可能造成网络的中断。根据国内网络系统的网络结构和应用情况,应当从网络安全、系统安全、应用安全及管理安全等方面进行全面地分析。风险分析是网络安全技术需要提供的一个重要功能。它要连续不断地对网络中的消息和事件进行检测,对系统受到侵扰和破坏的风险进行分析。风险分析必须包括网络中所有有关的成分。
四、解决方案
(一)设计原则。针对网络系统实际情况,解决网络的安全保密问题是当务之急,考虑技术难度及经费等因素,设计时应遵循如下思想:①大幅度地提高系统的安全性和保密性;②保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;③易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;④尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;⑤安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;⑥安全与密码产品具有合法性,及经过国家有关管理部门的认可或认证;⑦分步实施原则:分级管理分步实施。
(二)安全策略。针对上述分析,我们采取以下安全策略:(1)采用漏洞扫描技术,对重要网络设备进行风险评估,保证信息系统尽量在最优的状况下运行。(2)采用各种安全技术,构筑防御系统,主要有:①防火墙技术:在网络的对外接口,采用防火墙技术,在网络层进行访问控制。②NAT技术:隐藏内部网络信息。③VPN:虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。公共网络似乎只由本网络在独占使用,而事实上并非如此。④网络加密技术(Ipsec):采用网络加密技术,对公网中传输的IP包进行加密和封装,实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题。⑤认证:提供基于身份的认证,并在各种认证机制中可选择使用。⑥多层次多级别的企业级的防病毒系统:采用多层次多级别的企业级的防病毒系统,对病毒实现全面的防护。⑦网络的实时监测:采用入侵检测系统,对主机和网络进行监测和预警,进一步提高网络防御外来攻击的能力。(3)实时响应与恢复:制定和完善安全管理制度,提高对网络攻击等实时响应与恢复能力。(4)建立分层管理和各级安全管理中心。
从网络经济发展对网络安全产品带来的需求看,防火墙、杀毒软件、信息加密、入侵检测、安全认证等产品市场将具有巨大的市场前景,其中防火墙和高端的杀毒软件将占据市场的主要份额;同时,现有对网络进行被动防守的做法,将逐渐向网络主动检测和防御的技术方向发展。
参考文献:
[1]雷震甲.网络工程师教程.[M].北京:清华大学出版社,2004
[2]王春森.系统设计师.[M].北京:清华大学出版社,2001
[3]张铎.电子商务加油站.[M].北京:北京邮电出版社,2001
[4]劳帼龄.网络安全与管理.[M].北京:高等教育出版社,2003