简论计算机网络系统安全的综合解决措施:计算机系统偏差应急处理措施描述
在信息化飞速发展的今天,计算机网络得到了广泛应用,但随着网络之间的信息传输量的急剧增长,一些机构和部门在得益于网络加快业务运作的同时,其上网的数据也遭到了不同程度的攻击和破坏,导致数据的安全性和自身的利益受到了严重的威胁。
1.网络安全应具备的功能
为了能更好地适应信息技术的发展,计算机网络应用系统必须具备以下功能:
访问控制,检查安全漏洞,攻击监控;加密通讯,认证,备份和恢复,多层防御,设立安全监控中心。
2.网络系统安全综合解决措施
要想实现网络安全功能,应对网络系统进行全方位防范,从而制定出比较合理的网络安全体系结构。下面就网络系统的安全问题,提出一些防范措施。
2.1 网络分段
网络分段是保证安全的一项重措施,同时也是一项基本措施,其指导思想在于将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。
网络分段可分为物理分段和逻辑分段两种方式:物理分段通常是指将网络从物理层和数据链路层上分为若干网段,各网段相互之间无法进行直接通讯。逻辑分段则是指将整个系统在网络层上进行分段。
2.2 加密技术
加密型网络安全技术的基本思想是不依赖于网络中数据路径的安全性来实现网络系统的安全,而是通过对网络数据的加密来保障网络的安全可靠性,因而这一类安全保障技术的基石是使用放大数据加密技术及其在分布式系统中的应用。
数据加密技术可以分为三类,即对称型加密、不对称型加密和不可逆加密。加密技术用于网络安全通常有二种形式,即面向网络或面向应用服务。前者通常工作在网络层或传输层,使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息,从而保证网络的连通性和可用性不受损害。此外,通过适当的密钥管理机制,使用这一方法还可以在公用的互联网络上建立虚拟专用网络并保障虚拟专用网上信息的安全性。SKIP协议即是近来IETF在这方面的努力之一。
2.3 数字签名和认证技术
认证技术主要解决网络通讯过程中通讯双方的身份认可,数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。
2.3.1 USer Name/Password认证。该种认证方式是最常用的一种认证方式,用于操作系统登录、telnet、rlogin等,但此种认证方式过程不加密,即password容易被监听和解密。
2.3.2 用于摘要算法的认证。Radius、OSPF、SNMP Security Protocol等均使用共享的Security Key,加上摘要算法进行认证,由于摘要算法是一个不可逆的过程,因此,在认证过程中,由摘要信息不能技术出共享的security key,敏感信息不在网络上传输。市场上主要采用的摘要算法有MD5和SHA―1。
2.3.3 用于PKI的认证。使用公开密钥体系进行认证和加密。该种方法安全程度较高,综合采用了摘要算法、不对称加密、对称加密、数字签名等技术,很好地将安全性和高效性结合起来。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙认证等领域。
该种认证方法安全程度很高,但是涉及到比较繁重的证书管理任务。
2.3.4 数字签名。数字签名作为验证发送者身份和消息完整性的根据。公共密钥系统(如RSA)基于私有/公共密钥对,作为验证发送者身份和消息完整性的根据,CA使用私有密钥技术其数字签名,利用CA提供的公共密钥,任何人均可验证签名的真实性。伪造数字签名从计算机能力上不可行的。并且,如果消息随数字签名一同发送,对消息的任何修改在验证数字签名时都将会被发现。
2.4 如何保证远程访问的安全性。对于从外部拨号访问总部内部局域网的用户,由于使用公用电话网进行数据传输所带来的风险,必须严格控制其安全性。首先,应严格限制拨号上网用户所访问的系统信息和资源,这一功能可通过在拨号访问服务器后设置NetScreen防火墙来实现。其次,应加强对拨号用户的身份认证,使用RADIUS等专用身份验证服务器。第三,在数据传输过程中采用加密技术,防止数据被非法窃取。一种方法是使用PGP for Business Security,对数据加密。另一种方法是采用NetScreen防火墙所提供的VPN技术。
3.结论
综上所述,对于计算机网络传输的安全问题,通常应做到以下几点。第一,应严格限制上网用户所访问的系统信息和资源,这一功能可通过在访问服务器上设置NetScreen防火墙来实现。第二,应加强对上网用户的身份认证,使用RADIUS等专用身份验证服务器。第三,在数据传输过程中采用加密技术,防止数据被非法窃取。一种方法是使用PGP for Business Security对数据加密。另一种方法是采用NetScreen防火墙所提供的VPN技术。VPN在提供网间数据加密的同时,也提供了针对单机用户的加密客户端软件,即采用软件加密的技术来保证数据传输的安全性。