ISSN 1009-3044E-mail: info@cc.net.cnComputer Knowledge and Technolgy電脯知識(shí)與技術(shù)http://www.dnzs.net.cnVoL.5,No.22, August 2009, pp.6145 -6146Tel:+86- 551-5690963 5690964網(wǎng)絡(luò)的安全技術(shù)柯亞賢(茂名市國家稅務(wù)局,廣東茂名525000)摘要:在網(wǎng)絡(luò)廣泛應(yīng)用的今天,網(wǎng)絡(luò)安全管理刻不容緩。該文通過網(wǎng)絡(luò)安全管理、設(shè)備部署策略實(shí)施等方面闡述如何保障網(wǎng)絡(luò)安全。關(guān)鍵詞:網(wǎng)絡(luò)管理;安全管理;安全技術(shù);加密;認(rèn)證中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009 -3044(2009)22-6145- -02在信息時(shí)代,信息可以幫助團(tuán)體或個(gè)人，使他們受益,同樣.信息也可以用來對(duì)他們構(gòu)成威脅,造成破壞，帶來損失。隨著網(wǎng)絡(luò)技術(shù)地迅猛發(fā)展,大量地信息在網(wǎng)絡(luò)上高速傳遞,網(wǎng)絡(luò)的安全技術(shù)刻不容緩。網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性,使其不致因偶然的或者惡意的攻擊遭到破壞,網(wǎng)絡(luò)安全既有技術(shù)方面的問題,也有管理方面的問題,兩方面相互補(bǔ)充,缺一不可。通過加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理人員以及使用人員的安全意識(shí),部署系統(tǒng)安全策略來控制對(duì)系統(tǒng)資源的訪問,這是防病毒進(jìn)程中,最容易和經(jīng)濟(jì)的方法之一。網(wǎng)絡(luò)管理員和終端操作員根據(jù)自己的職責(zé)權(quán)限,選擇不同的口令安全證書.id等,對(duì)應(yīng)用程序數(shù)據(jù)進(jìn)行合法操作,防止用戶越權(quán)訪問數(shù)據(jù)和使用網(wǎng)絡(luò)資源。在網(wǎng)絡(luò)上,要保證流暢的安全訪問,安全的管理意識(shí)和設(shè)備的部署(包括硬件和策略)是十分關(guān)鍵的,它不僅關(guān)系到網(wǎng)絡(luò)維護(hù)管理的效率和質(zhì)量,而且涉及到網(wǎng)絡(luò)的安全性。再好的防火墻,如果不加以科學(xué)的策略控制.就是虛設(shè)。通過路由訪問控制策略,工作站的本地安全策略的科學(xué)配置加上-套好的殺毒軟件也能較好地保證網(wǎng)絡(luò)的流暢和安全訪問。1計(jì)算機(jī)網(wǎng)絡(luò)安全的概念國際標(biāo)準(zhǔn)化組織將“計(jì)算機(jī)安全”定義為:“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞更改和泄漏"。上述計(jì)算機(jī)安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容,其邏輯安全的內(nèi)容可理解為我們常說的信息安全,是指對(duì)信息的保密性、完整性和可用性的保護(hù),而網(wǎng)絡(luò)安全性的含義是信息安全的引申,即網(wǎng)絡(luò)安全是對(duì)網(wǎng)絡(luò)信息保密性、完整性和可用性的保護(hù)。計(jì)算機(jī)網(wǎng)絡(luò)安全的具體含義會(huì)隨著使用者的變化而變化，使用者不同,對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)和要求也就不同。從普通使用者的角度來說,可能僅僅希望個(gè)人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時(shí)受到保護(hù),避免被竊聽篡改和偽造;而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外,還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害.軍事打擊等對(duì)網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時(shí)如何恢復(fù)網(wǎng)絡(luò)通信,保持網(wǎng)絡(luò)通信的連續(xù)性。從本質(zhì)上來講,網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性,使其不致因偶然的或者惡意的攻擊遭到破壞,網(wǎng)絡(luò)安全既有技術(shù)方面的問題,也有管理方面的問題,兩方面相互補(bǔ)充,缺一不可。 人為的網(wǎng)絡(luò)人侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。2計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全是指和網(wǎng)絡(luò)相關(guān)的安全問題。網(wǎng)絡(luò)的基本功能是為其他通信實(shí)體(主機(jī)其他網(wǎng)絡(luò)等)提供信息傳輸服務(wù)。從這個(gè)角度看,網(wǎng)絡(luò)安全的核心問題就是如何保障網(wǎng)絡(luò)安全地實(shí)施其基本功能:信息傳輸。當(dāng)我們從不同角度觀察這個(gè)功能的實(shí)施,就會(huì)產(chǎn)生不同的安全問題。例如:1)如果把網(wǎng)絡(luò)看成一種資源,那么就需要對(duì)利用這種資源的實(shí)體進(jìn)行驗(yàn)證、授權(quán)和計(jì)費(fèi);2)網(wǎng)絡(luò)正常運(yùn)行的前提是協(xié)議的正常操作:各種協(xié)議實(shí)體不能被偽造的或其它非法報(bào)文所欺騙,網(wǎng)絡(luò)必須有能力過濾報(bào)文;3)作為-種傳輸基礎(chǔ)設(shè)施,網(wǎng)絡(luò)應(yīng)該對(duì)其所傳輸?shù)臄?shù)據(jù)實(shí)施安全保護(hù);4)對(duì)于具備特定所有權(quán)的網(wǎng)絡(luò).網(wǎng)絡(luò)應(yīng)該有能力提供某種關(guān)于其自身的隱私保護(hù)的能力。網(wǎng)絡(luò)面臨的安全問題層出不窮,網(wǎng)絡(luò)安全技術(shù)也處于不斷發(fā)展當(dāng)中。5) AAA的實(shí)施技術(shù)AAA (Authentication , Authorization and Accounting :驗(yàn)證、授權(quán)和計(jì)費(fèi)):AAA定義了實(shí)施驗(yàn)證、授權(quán)和計(jì)費(fèi)的系統(tǒng)的一般框架。AA是網(wǎng)絡(luò)接人中對(duì)于網(wǎng)絡(luò)用戶的驗(yàn)證、授權(quán)和計(jì)費(fèi)技術(shù)的統(tǒng)稱。AAA不特指某種具體網(wǎng)關(guān)的協(xié)議或技術(shù),它只是一個(gè)技術(shù)框架。具體驗(yàn)證授權(quán)和計(jì)費(fèi)工作都是由特定的協(xié)議或設(shè)備來完成。-個(gè)典型的AAA應(yīng)用如圖1所示。在圖所示網(wǎng)絡(luò)中，用戶通過某個(gè)接人網(wǎng)絡(luò)和由網(wǎng)絡(luò)接人服務(wù)器(NAS,.Network Access Server)、網(wǎng)關(guān)和AAA服務(wù)器所組成的一個(gè)ISP局域網(wǎng)相連,并期望獲得對(duì)于由ISP網(wǎng)關(guān)所連接的Intemet的訪問權(quán)限。圖中NAS的基本功能是作為接人網(wǎng)和ISP之間的網(wǎng)關(guān),實(shí)現(xiàn)用戶的接人。對(duì)于不同的接人網(wǎng)絡(luò),NAS所采用的技術(shù)和具體實(shí)現(xiàn)有很多不同。比如中國煤化工1TYHCNMHG收稿日期:009-04-07本欄目責(zé)任編輯:馮蕾網(wǎng)絡(luò)透訊及安全”6145Computer Knowedge and Technolgoy電脯知識(shí)與技術(shù)第5卷第22期(2009年8月):華為3Com公司的QuidwayA8010設(shè)備提供撥號(hào)用戶的接人,S3026則可以提供以太網(wǎng)用戶的接人功能。在實(shí)際應(yīng)用中,并不是所有用戶都有權(quán)利通過接人服務(wù)器訪問Intemet,使用了接人服務(wù)的用戶也需要交納一定的費(fèi)用等。即ISP必須能夠?qū)崿F(xiàn)用戶的授權(quán)、論證和計(jì)費(fèi)等功能。圖中NAS和AAA服務(wù)器之間是客戶機(jī)和服務(wù)器的關(guān)系,負(fù)責(zé)提供上述功能。以AAA功能的驗(yàn)i證功能的實(shí)現(xiàn)為例:NAS負(fù)責(zé)收集用戶名、用戶密碼等信息,并向AAA服務(wù)器發(fā)起“訪問請(qǐng)求”,AAA服務(wù)器根據(jù)預(yù)先配資的用戶數(shù)據(jù)庫以及策略決定是否允許該用戶訪問網(wǎng)絡(luò)資源,并將認(rèn)證結(jié)果通知NAS,進(jìn)而由NAS接受或拒絕該用戶對(duì)于網(wǎng)絡(luò)的訪問請(qǐng)求。1)網(wǎng)絡(luò)防火墻技術(shù)防火墻的原意是指大樓建筑中用于將火災(zāi)隔離于一定區(qū)域的墻體。信息技術(shù)借用這個(gè)詞匯是指用于將網(wǎng)絡(luò)危險(xiǎn)和內(nèi)部網(wǎng)絡(luò)隔離開來的軟硬件設(shè)施。具體來說,防火墻是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實(shí)施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。2)安全加密技術(shù)加密技術(shù)的出現(xiàn)為全球電子商務(wù)提供了保證,從而使基于Intemet上的電子交易系統(tǒng)成為了可能,因此完善的對(duì)稱加密和非對(duì)稱加密技術(shù)仍是21世紀(jì)的主流。對(duì)稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù),加密運(yùn)算與解密運(yùn)算使用同樣的密鑰。不對(duì)稱加密,即加密密鑰不同于解密密鑰,加密密鑰公之于眾,誰都可以用,解密密鑰只有解密人自己知道。3)網(wǎng)絡(luò)主機(jī)的操作系統(tǒng)安全和物理安全措施防火墻作為網(wǎng)絡(luò)的第一道防線并不能完全保護(hù)內(nèi)部網(wǎng)絡(luò)，必須結(jié)合其他措施才能提高系統(tǒng)的安全水平。在防火墻之后是基于網(wǎng)絡(luò)主機(jī)的操作系統(tǒng)安全和物理安全措施。按照級(jí)別從低到高，分別是主機(jī)系統(tǒng)的物理安全.操作系統(tǒng)的內(nèi)核安全、系統(tǒng)服務(wù)安全、應(yīng)用服務(wù)安全和文件系統(tǒng)安全;同時(shí)主機(jī)安全檢查和漏洞修補(bǔ)以及系統(tǒng)備份安全作為輔助安全措施。這些構(gòu)成整個(gè)網(wǎng)絡(luò)系統(tǒng)的第二道安全防線,主要防范部分突破防火墻以及從內(nèi)部發(fā)起的攻擊。系統(tǒng)備份是網(wǎng)絡(luò)系統(tǒng)的最后防線.用來遭受攻擊之后進(jìn)行系統(tǒng)恢復(fù)。在防火墻和主機(jī)安全措施之后,是全局性的由系統(tǒng)安全審計(jì)、人侵檢測(cè)和應(yīng)急處理機(jī)構(gòu)成的整體安全檢查和反應(yīng)措施。它從網(wǎng)絡(luò)系統(tǒng)中的防火墻.網(wǎng)絡(luò)主機(jī)甚至直接從網(wǎng)絡(luò)鏈路層上提取網(wǎng)絡(luò)狀態(tài)信息,作為輸人提供給入侵檢測(cè)子系統(tǒng)。人侵檢測(cè)子系統(tǒng)根據(jù)-定的規(guī)則判斷是否有入侵事件發(fā)生，如果有人侵發(fā)生,則啟動(dòng)應(yīng)急處理措施,并產(chǎn)生警告信息。而且,系統(tǒng)的安全審計(jì)還可以作為以后對(duì)攻擊行為和后果進(jìn)行處理對(duì)系統(tǒng)安全策略進(jìn)行改進(jìn)的信息來源?？傊?網(wǎng)絡(luò)安全是-個(gè)綜合性的課題,涉及技術(shù),管理、使用等許多方面,既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術(shù)措施,-種技術(shù)只能解決--方面的問題,而不是萬能的。為此建立有中國特色的網(wǎng)絡(luò)安全體系,儒要國家政策和法規(guī)的支持及集團(tuán)聯(lián)合研究開發(fā)。安全與反安全就像矛盾的兩個(gè)方面,總是不斷地向上攀升,所以安全產(chǎn)業(yè)將來也是-一個(gè) 隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。3如何保障網(wǎng)絡(luò)安全1)意識(shí)安全,認(rèn)識(shí)到信息的安全風(fēng)險(xiǎn),評(píng)估系統(tǒng)的應(yīng)用風(fēng)險(xiǎn)制定合理的管理安全策略。2)概念安全.界定自身的安全區(qū)域,保證區(qū)域安全。3)拓?fù)浒踩?劃分安全類別,對(duì)不同的數(shù)據(jù)應(yīng)用進(jìn)行不同級(jí)別的安全保護(hù)。4)接入安全,把好各網(wǎng)絡(luò)進(jìn)出口,設(shè)置策略路由或防火墻,實(shí)施訪問控制。5)訪問規(guī)則安全,定義好訪問規(guī)則,科學(xué)分配訪問控制權(quán)限。參考文獻(xiàn):[1]柳純錄.信息系統(tǒng)項(xiàng)目管理師教程[M].2版.北京:清華大學(xué)出版社2008.[2]周碧英.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[]甘肅科技2008(3).[3]孫曉南,防火墻技術(shù)與網(wǎng)絡(luò)安全金[J]信息科技2008(3).柯亞賢,茂名市國家稅務(wù)局信息中心,網(wǎng)絡(luò)管理員,設(shè)備管理員。中國煤化工MYHCNMHG6146”網(wǎng)絡(luò)通訊及安全.......本欄目責(zé)任編輯:馮蕾.