本站原创摘 要 为提供安全高效的网络服务,现代计算机网络中必须部署与之应用相匹配的安全防护体系.本文首先简要介绍了安全防护技术对计算机网络的作用和意义,然后分析了计算机网络安全防护体系的构成,最后对其中所使用的关键技术进行了研究和讨论.
关 键 词 计算机网络;安全防护;关键技术
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2013)15-0065-01
计算机网络是现代数字信息传输与存储的主要通道之一,随着其在日常应用中的深入,基于网络的信息安全问题越来越多,针对网络信息的信息窃取与泄露事件时有发生,因此建立完善可用的计算机网络安全防护体系显得日趋重要.为提供高效可靠的安全防护性能,诸多安全防护技术被应用到计算机网络,如数据加密与签名认证、主动防御技术、网络访问控制技术、防火墙技术等.这些技术在某些方面具有良好的应用效果,但是存在一定的应用局限性.为提升计算机网络的适应性、动态性和灵活性,必须应用多种相互匹配的安全防护技术构成安全防护体系,为计算机网络提供足够的安全防护措施.
1.计算机网络安全防护体系
传统的计算机网络安全防护更多集中在网络运行过程的安全防护技术应用,但是随着网络攻击手段的演变与增加,传统的防火墙技术、数据加密技术、用户身份认证技术等安全防护手段已经无法满足应用需求,针对计算机网络的安全防护开始从被动防御向主动防御转变,由单独安全防护技术应用向网络安全防护体系建设发展.综合来看,计算机网络安全防护体系主要由三部分内容构成:网络安全评估部分、安全防护相关技术部分以及网络安全服务部分.每一部分中又包含若干具体的网络安全防护措施,他们共同作用向计算机网络提供安全防护服务.计算机网络的安全防护体系结构图如图1所示.
2.计算机网络安全防护体系中的关键技术
2.1 系统漏洞扫描
任何计算机网络中都不可避免的存在漏洞或缺陷,这些漏洞或缺陷一旦被恶意利用即有可能对计算机网络以及网络中的用户造成安全威胁.为解决和预防因漏洞所带来的安全问题,要定期对计算机网络进行漏洞扫描和漏洞修复.
2.2 网络访问与应用管理技术
为增强网络应用的规范性,同时提升网络安全问题发生后的追溯与分析能力,可以使用身份认证技术对网络用户进行身份认证,并为用户分配对应的网络操作权限.这一方面可以提升非法用户访问网络的难度,另一方面还可以对网络用户的异常操作行为进行记录与追踪.
2.3 防火墙技术
防火墙技术是一种内网与外网通信过程中的网络访问控制技术.该技术可以按照用户设定的安全防护策略对不同网络之间的信息传输与网络访问等行为进行监控与数据检查,以确认网络运行是否正常,数据通信是否被允许.目前常用的防火墙技术有滤防火墙、地址转换防火墙以及防火墙等三种.
其中,滤防火墙技术会对网络中传输的数据包进行地址审查,确认数据传输域发送地址是否可信任,若地址不可信则滤除该信息的接收与发送操作;地址转换防火墙技术可以将内网的IP地址转换为外网的IP地址,从而隐藏通信终端的真实地址,避免外网与内网终端之间建立直接通信连接;防火墙技术使用服务器技术将通信双方的通信数据进行接收与转发,使得客户端与网络服务器之间的数据通信需要经过两次通路才能够实现,这样便提升了内网的安全性.
2.4 入侵检测技术
入侵检测技术是一种主动防御技术,该技术可以应用多种相关技术制定与网络环境相匹配的安全规则,并利用该规则对从网络中获取的数据信息进行分析,进而对网络的运行状态进行监控,判断网络中是否存在安全威胁.入侵检测技术根据检测数据的类型可以分为异常检测与滥用监测两种.前者以用户的统计行为习惯作为特征参量来辨认网络中是否存在入侵行为,该技术是一种自适应技术,可用于对未知攻击行为进行检测与防御;后者则是以网络信息检测规则来判断是否存在入侵行为,由于该技术是基于规则而实现的,因而其主要用于对已知的攻击类型与攻击行为进行检测与防御.
2.5 数据加密与数字签名技术
数据加密技术主要用于防止数据在计算机网络传输过程中产生的信息泄露或窃取,其根据加密数据应用类型不同可以分为传输加密、存储加密以及完整性验证等三种.
在传输加密中,端加密技术可以将需要传输的明文数据信息转变为密文信息,该信息只有使用与之相匹配的解密算法和解密密钥才能够恢复成为正确的明文信息,线路加密技术可以对信息传输的路径进行加密,使数据的传输路径得到安全保护.
在存储加密中,数据加密算法可以将需要存储的信息转换为密文信息,该密文信息在需要存取时需要进行用户身份验证与权限审查,只有合法用户在其权限范围内才能够对数据进行相应的操作.
在数据完整性验证中,数据中包含了发件人、收件人以及数据相关内容的验证与鉴别信息,在验证数据完整性时需要数据使用对象按照相应的验证参数进行特征验证,确认信息是否完整或受到篡改.数字签名技术在数据完整性验证中具有非常重要的应用意义.
2.6 其他网络安全服务
为构成一个完整有效的网络安全服务体系,除了上述安全防护技术外,还应该在网络中提供应急保障服务,以确保出现安全问题时能够尽量减小问题所造成的影响,最短时间内将网络恢复到正常运行状态.这就要求一方面要建立和完善应急服务体系,如双系统待机等,保证一条网络出现问题时可以及时切换到备用网络;另一方面要建立和完善数据恢复体系,如服务器双热备份等,保证网络服务器出现数据损毁或缺失时能够存在备用数据库将其恢复.此外,科学规范的网络安全使用培训也是非常有必要的,其可以降低人为因素所带来的网络安全威胁.