任务概述
网络安全是一个相对概念,不存在绝对安全,所以必须未雨绸缪、居安思危;并且安全威胁是一个动态过程,不可能根除威胁,所以唯有积极防御、有效应对。那么面对网络的复杂性,我们采用什么样的防范技术才能减少或者消除各种网络威胁呢?
任务目标
●能够掌握常见的网络安全技术
学习内容
为了应对网络安全威胁,需要不断提升防范技术和组建安全管理团队,这是网络复杂性对确保网络安全提出的客观要求。从技术上讲,网络安全防护体系主要由防病毒、防火墙、入侵检测等多个安全组件组成,一个单独的组件无法确保网络信息的安全。目前广泛运用的网络安全技术主要有:防病毒技术、防火墙技术、信息加密技术、数字签名技术、入侵检测技术、系统容灾技术等,以下对这几项技术分别进行简单的分析。
一、病毒防范技术
计算机病毒实际上就是一种在计算机系统运行过程中能够传染和侵害计算机系统的功能程序。病毒经过系统穿透或违反授权攻击成功后,攻击者通常要在系统中植入木马或逻辑炸弹等程序,为以后攻击系统、网络提供方便条件。随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,对计算机信息系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC机上,对本机和本机链接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其他资源传染,网络防病毒软件会立刻检测到并加以删除。
二、防火墙(Fire Wall)技术
防火墙技术是指网络之间通过预定义的安全策略,对内外网通信强制实施访问控制的安全应用措施。它对网络之间传输的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。由于它简单实用且透明度高,可以在不修改原有网络应用系统的情况下达到一定的安全要求,所以被广泛使用。
三、数据加密技术
数据加密技术就是对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息的真实内容的一种技术手段。数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破译所采用的主要手段之一。
数据加密技术主要是通过对网络数据的加密来保障网络的安全可靠性,能够有效地防止机密信息的泄漏。另外,它也广泛地被应用于信息鉴别、数字签名等技术中,用来防止电子欺骗,对信息处理系统的安全起到了极其重要的作用。
四、数字签名技术
数字签名(Digital Signature)技术是非对称加密算法的典型应用。所谓数字签名就是附加在数据单元上的一些数据,或是对数据单元所做的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)伪造。它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。基于公钥密码体制和私钥密码体制都可以获得数字签名,目前主要是基于公钥密码体制的数字签名。
数字签名技术主要用来解决以下信息安全问题:
(1)否认:事后发送者不承认文件是他发送的。
(2)伪造:有人自己伪造了一份文件,却声称是某人发送的。
(3)冒充:冒充别人的身份在网上发送文件。
(4)篡改:接收者私自篡改文件的内容。
数字签名机制可以确保数据文件的完整性、真实性和不可抵赖性。
五、入侵检测技术
入侵检测技术主要分成两大类型:
(1)异常入侵检测:异常入侵检测方法依赖于异常模型的建立,不同模型构成不同的检测方法。异常检测是通过观测到的一组测量值偏离度来预测用户行为的变化,然后做出决策判断的检测技术。
(2)误用入侵检测:误用入侵检测指的是通过对预先定义好的入侵模式与观察到的入侵发生情况进行模式匹配来检测入侵。入侵模式说明了那些导致安全突破或其他误用的事件的特征、条件、排列和关系。一个不完整的模式可能表明存在入侵的企图。
六、系统容灾技术
一个完整的网络安全体系,只有防范和检测措施是不够的,还必须具有灾难容忍和系统恢复能力。因为任何一种网络安全设施都不可能做到万无一失,一旦发生漏防漏检事件,其后果将是灾难性的。此外,天灾人祸、不可抗力等所导致的事故也会对信息系统造成毁灭性的破坏。这就要求即使发生系统灾难,也能快速地恢复系统和数据,才能完整地保护网络信息系统的安全。现阶段主要有基于数据备份和基于系统容错的系统容灾技术。数据备份是数据保护的最后屏障,不允许有任何闪失,但本地的离线介质有时也不能保证安全。数据容灾通过IP容灾技术来保证数据的安全。数据容灾使用两个存储器,在两者之间建立复制关系,一个放在本地,另一个放在异地。本地存储器供本地备份系统使用,异地容灾备份存储器实时复制本地备份存储器的关键数据,二者通过IP相连,构成完整的数据容灾系统,也能提供数据库容灾功能。
七、漏洞扫描技术
漏洞扫描是自动检测远端或本地主机安全的技术,它查询TCP/IP各种服务端口,并记录目标主机的响应,收集关于某些特定项目的有用信息。这项技术的具体实现就是安全扫描程序。
扫描程序可以在很短的时间内查出现存的安全脆弱点。扫描程序开发者搜集、研究可得到的攻击方法,并把它们集成到整个扫描中,扫描后以统计的格式输出,便于参考和分析。
八、物理安全
为保证信息网络系统的物理安全,还要防止系统信息在空间的扩散。通常是在物理上采取一定的防护措施来减少或干扰扩散出去的空间信号。为保证网络的正常运行,在物理安全方面应采取如下措施:
(1)产品保障方面:主要指产品采购、运输、安装等方面的安全措施。
(2)运行安全方面:网络中的设备,特别是安全类产品在使用过程中,必须能够从生产厂家或供货单位得到迅速的技术支持服务。对一些关键设备和系统,应设置备份系统。
(3)防电磁辐射方面:所有重要涉密的设备都需安装防电磁辐射产品,如辐射干扰机。
(4)保安方面:主要是防盗、防火等,还包括网络系统所有网络设备、计算机、安全设备的安全防护。
计算机网络安全是个综合性和复杂性的问题。除了以上介绍的几种网络安全技术之外,还有一些被广泛应用的安全技术,如身份验证、存取控制、安全协议等。面对网络安全行业的飞速发展以及整个社会越来越快的信息化进程,各种新技术将会不断出现。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。