张雯政
桂林市水利电力勘测设计研究院 广西桂林 541001
摘要:当前,随着互联网技术的飞速发展,对于计算机网络应用的安全性方面的要求也越来越高。随着网络应用的普及,计算机网络的开放性和共享性使网络安全受到威胁,网络的安全与防范已经成为信息战略的核心任务。为了解决网络安全问题,需要科学分析网络受到的各方面威胁以及相关特点,并采取措施来应对并保证网络的安全和可靠性。本文在此对几个关键的计算机网络安全技术的应用及有效保障措施做了一定的研究。
关键词:计算机网络;安全技术;保障措施
前言:计算机网络的出现构成了庞大的数据信息系统,人们可以方便快捷的使用,随之而来网络安全问题也逐渐受到了人们的重视。其网络的布局十分复杂,主机和终端之间的层次关系难以准确定位,加之系统对外开放,这些特点都使得计算机网络容易成为黑客攻击和恶意软件入侵的标靶,所以网上信息的安全和保密是一个至关重要的问题。
一、计算机网络安全技术概述
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面,即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安全包括信息的完整性、保密性和可用性。
计算机和网络技术具有的复杂性和多样性,使得计算机和网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类,而且许多攻击都是致命的。蠕虫、后门(Back-doors)、Rootkits、DOS(DenialofServices)和Sniffer(网路监听)是大家熟悉的几种黑客攻击手段,但这些攻击手段却都体现了它们惊人的威力,时至今日,有愈演愈烈之势。这几类攻击手段的新变种,与以前出现的攻击方法相比,更加智能化,攻击目标直指互联网基础协议和操作系统层次。
二、几种关键的计算机网络安全技术的应用
1、防火墙技术
防火墙技术是设置在被保护网络和外部网络之间的一道屏障,用来保护网络的安全,防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力,它是提供信息安全服务、实现网络和信息安全的基础设施。防火墙的组成可以表示为:防火墙=过滤器+安全策略+网关+验证工具,在网络中它可对信息进行分析、隔离、限制,既可限制非授权用户访问敏感数据,又可允许合法用户自由的访问网络资源,从而保护网络的安全。
2、数据加密与用户授权访问控制技术
与防火墙相比,数据加密与用户授权访问控制技术比较灵活,更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护,需要系统级别的支持,一般在操作系统中实现。数据加密主要用于对动态信息的保护。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法,这种变换是受“密钥”控制的。在传统的加密算法中,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,称为“对称密钥算法”。这样的密钥必须秘密保管,只能为授权用户所知,授权用户既可以用该密钥加密信急,也可以用该密钥解密信息,DES是对称加密算法中最具代表性的算法。如果加密/解密过程各有不相干的密钥,构成加密/解密的密钥对,则称这种加密算法为“非对称加密算法”或称为“公钥加密算法”,相应的加密/解密密钥分别称为“公钥”和“私钥”。在公钥加密算法中,公钥是公开的,任何人可以用公钥加密信息,再将密文发送给私钥拥有者。私钥是保密的,用于解密其接收的公钥加密过的信息。
3、入侵检测技术
入侵检测是对计算机和网络资源的恶意使用行为进行识别,目的在于监测和发现可能存在的攻击行为(包括来自系统外部的入侵行为和来自内部用户的非授权行为),并采取相应的防护手段。入侵检测技术,可以分为异常检测、误用监测及两种方式的结合。异常监测是指已知网络的正常活动状态,如果当前网络状态不符合正常状态,则认为有攻击发生。异常检测中建立了一个对应正常网络活动的特征原型。所有与特征原型中差别很大的行为均被视为异常。其关键在于选择一个区分异常事件的阈值。误用检测是根据入侵者在入侵时的某些行为过程的特征,建立一种入侵行为模型。如果用户的行为或者行为过程与入侵方案模型一致,则判断入侵发生。在实际使用的入侵检测系统多数同时使用了以上两种办法。
4、防病毒技术
随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,其扩散速度也越来越快,对计算机网络系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。
单机防病毒软件一般安装在单台PC上,它们主要注重于所谓的“单机防病毒”,即对本地和本工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其它资源感染,网络防病毒软件会立刻检测到并加以删除。
三、有效保障计算机网络安全的几个重要措施
1、实施网络分段
实施网络分段的目的在于把非法用户和网络资源进行相互隔离,以求实现限制用户进行非法访问之目的。目前,网络分段的具体方式有以下两种:一是物理分段。物理分段一般是指把网络从物理层、数据链路层上划分成几个网段,各个网段之间不能进行直接通讯。二是逻辑分段。逻辑分段主要是指在网络层上对整个系统实施分段。
2、应用身份认证
一般来说,基于WEB的计算机应用系统往往涉及很多重要数据和机密数据,这些数据一旦泄漏,后果很严重。为了充分保护这些机密数据,可以通过对用户认证技术实现,以保证系统数据的安全,而用户认证技术主要涉及到Session对象和HTTP haeders两个部分,通过判断用户输入的URL以及口令验证方式等实现对访问的控制。广泛应用身份认证技术能够充分保证计算机网络系统的安全。
3、VLAN划分
在集中式网络环境下,通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。VLAN内部的连接采用交换实现,而VLAN与VLAN之间的连接则采用路由实现。当然,计算机网络安全不是仅有很好的网络安全设计方案就万事大吉,还必须要有很好的网络安全的组织结构和管理制度来保证。要通过组建完整的安全保密管理组织机构,制定严格的安全制度,指定安全管理人员,随时对整个计算机系统进行严格的监控和管理。
4、加强网络安全管理
加强网络安全管理主要包括有:加强计算机网络安全运行维护的规章制度和应急处理方案;对网络恶意攻击者进行适当的处罚,遏制网络犯罪;制定计算机操作和使用规范,做好硬件保护;进行计算机安全等级划分;加强计算机网络安全保护队伍建设,培养高素质人才,以应对不断发展的计算机网络技术。?
四、计算机网络安全的发展趋势
可以说,未来计算机网络安全发展趋势应该是手段多样化、综合化以及应对主动化的发展趋势。随着计算机系统和网络技术的日益发展,对于其安全性问题的关注也在日益引起人们的关注与应对。由于网络攻击技术手段的发展,原来的攻击手段的单一性已经转变为攻击手段的多样性和综合性,这就要求现在的计算机网路系统的安全性技术要向着多样性和综合性发展,以积极主动性来应对所面临的挑战,采取先进和全面的防护措施和应对处理方法去确保网络信息的安全性,从而更好的保护用户在使用网络时的安全性。
五、结语
综上,计算机网络安全是一个综合性的课题,实际工作中要制定合理的目标、技术方案和相关的配套法规等,做好计算机网络安全防范措施,不断的创新和发展保障计算机安全的各项技术,完好、实时地保证信息的完整性和正确性,为网络提供强大的安全服务。
参考文献:
[1]刘远生.计算机网络安全[M].北京:清华大学出版社,2009.
[2]杜婷.计算机网络安全建设方法及安全技术[J].中国新技术新产品,2009,(8):27-27.