来源:信息通信杂志 更新时间:2013-04-01
数字化企业是通过数字化的信息系统进行连接和沟通。如何在开放的网络环境中保证数据和系统的安全性,关键因素是整合现有的技术资源,构建一个完善、合理、有效的网络安全防御系统。本文从网络安全、数据安全、系统安全三方面论述了网络安全防御系统的构建。
1 网络安全防御系统的构建
网络安全防御系统整体上可分为局域网和广域网两部分,网络结构采用双网结构。整个网络防御系统采用多种安全技术手段,大致可分为:网络安全,数据安全,系统安全。
1.1网络安全
网络安全一般包括信息安全和控制安全两方面的内容。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”。控制安全则指身份认证、不可否认性、授权和访问控制等。伴随互联网络高速发展而普遍存在的网络安全问题集中体现在网络威胁和网络犯罪两个方面。
网络威胁已经超越国界。据有关部门统计,目前我国95%与国际互联网相联的网络管理中心都遭受过境内外黑客的攻击或入侵,其中银行、金融和证券机构是黑客攻击的重点。另据中国国家互联网应急中心(CNCERT)发布的报告,2010年上半年中国有23.3万个IP地址对应主机被僵尸程序控制,参与控制中国计算机的境外僵尸网络控制服务器IP有4584个,主要来自美国、土耳其和印度。网络威胁的另一典型案例就是被媒体炒得沸沸扬扬的维基工作室对美国五角大楼计算机系统的入侵。维基工作室利用黑客技术实现远程异地网络入侵,非法获得近40万份有关伊拉克战争和1万5千份阿富汗战争秘密文件,并擅自向美国、英国、法国、德国和阿拉伯等国媒体公布,引发轩然大波。美国联邦调查局的调查也表明,因为与互联网连接而成为攻击对象的组织连续3年不断增加,遭受拒绝服务攻击(DoS)的数量每年增长30%以上,全球平均每20秒就发生1次网上入侵事件。
网络犯罪呈上升趋势,网络安全问题造成重大经济损失。
根据有关方面统计,美国每年由于网络安全问题而遭受的经济损失超过170亿美元,法国超过i00亿法郎,德国和英国也都在数十亿美元以上。在“2010年中国诚信年论坛”上,阿里巴巴首席执行官卫哲也指出“在电子商务逐渐成为业界主流的时候,黑色产业链也瞄上电子商务,全世界网络贸易欺诈的犯罪涉嫌金额去年首次超过贩毒。”
(1)网络病毒的防范。在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。学校、政府机关、企事业单位等网络一般是内部局域网,就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,保证上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,及时为每台客户端计算机打好补丁’加强日常监测,使网络免受病毒的侵袭。
(2)安全网络拓扑。整个网络拓扑设计为双网结构,即内部LAN网中的所有主机对服务器的访问与Internet用户对服务器的访问是通过两条不同的行道进行,其安全性体现在两个方面:一是将内外信息传递信道加以区分,以保证网络不同敏感信息进入外部公共访问区域:二是由于外网为公共访问区域,从安全风险的角度来讲远远大于内网,采用双网结构保证了在外网出现问题时内网仍然能够正常工作。
(3)配置防火墙。防火墙是指一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,保护内部网免受非法用户的入侵。利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。
防火墙是任何一个网络安全系统的重要组成部分,用户根据需求及积累的经验建立一套有效的防火墙防御规则。功能上主要有:网络地址转换NAT隐藏内部地址,保证内部安全;网络隔离DMZ,物理上隔开内外网段;对各种带有攻击嫌疑的数据包进行过滤;提供内部IP地址与MAC地址的绑定;防止IP欺骗,防止DoS攻击。实现防火墙技术主要有:数据包过滤、应用代理技术、状态检测和自适应代理技术等。
(4)采用实时入侵检测
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测系统是部署在网络的安全关键点,实时收集各种信息,根据内置的专家系统和入侵分析引擎进行分析,发现、报警和阻断潜在攻击行为的一种网络安全设备。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。通过实时入侵检测功能,能够通过对网络数据的收集和分析,与入侵行为的规则集进行匹配,判断入侵行为的发生,并提供实时报警功能,并切断非法连接。入侵行为规则集中已经包括了已定义的入侵方式,并允许用户自行定义。目前,入侵检测一般采用误用检测技术和异常检测技术。
(5)IP盗用问题的解决。在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时,路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符,如果相符就放行。否则不允许通过路由器,同时给发出这个IP广播包的工作站返回一个警告信息。
1.2数据安全
计算机本身是非常脆弱的,容易受到各种各样的安全威胁,比如数据的窃取、篡改、破坏,计算机病毒的渗透和攻击等,使得数据的保密性、完整性、可用性和真实性受到严重影响。沈昌绪院士说过“信息想要安全,首先要对使用者进行控制和管理,要进行信息的访问控制”。HDS CT0 HuYoshida也说“安全从鉴别开始,另外还要通过加密的方式来确保数据的完整性”。从保护数据的角度讲,数据安全可以细分为三部分:数据加密、数据传输安全和身份认证管理。
数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据,通过使用不同的密钥,可用同-an密算法将同一明文加密成不同的密文。当需要时,可使用密钥将密文数据还原成明文数据,称为解密。数据加密被公认为是保护数据传输安全唯一实用的方法和保护存储数据安全的有效方法,它是数据保护在技术上最重要的防线。数据传输安全是指数据在传输过程中必须要确保数据的安全性,完整性和不可篡改性。身份认证的目的是确定系统和网络的访问者是否是合法用户,主要采用登录密码、代表用户身份的物品(如智能卡、Ic卡等)或反映用户生理特征的标识鉴别访问者的身份。与防火墙相比,数据加密技术比较灵活,更加适用于开放的网络。它通过变换和置换等各种方法将被保护信息置换成密文,然后再进行信息的存储或传输,即使加密信息在存储或者传输过程为非授权人员所获得,也可以保证这些信息不为其认知,从而达到保护信息的目的。根据密钥类型的不同可以将现代密码技术分为两类:对称加密技术(私钥密码体系)和非对称加密技术(公钥密码体系)。
(1)对称加密技术。对称加密技术是最古老的,一般说“密电码”采用的就是对称密钥。对称式加密就是加密和解密使用同一个密钥,而且通信双方都必须获得这把钥匙,保持钥匙的秘密,通常称之“Session Key”。由于对称加密是建立在共同保守秘密的基础之上的,在管理和分发密钥的过程中,任何一方泄密就会造成密钥的失效,存在着潜在的危险和复杂的管理难度。其优点是运算量小、速度快,目前仍被广泛采用。如美国政府所采用的DES力W密标准就是一种典型的“对称式”加密法,它的Session Key长度为56b。
(2)非对称加密。非对称式加密就是加密和解密所使用的不是同一个密钥,通常有两个密钥,称为“公钥”和“私钥”,它们两个必须配对使用,否则不能打开加密文件。这里的“公钥”是指可以对外公布的,“私钥”则不能,只能由持有人_个人知道,它的优越性就在这里。对于对称式的加密方法,如果是在网络上传输加密文件,就很难把密钥告诉对方,不管用什么方法都有可能被窃听到。而非对称式的加密方法有两个密钥,且其中的“公钥”是可以公开的,也就不怕别人知道,收件人解密时只要用自己的私钥即可以,这样就很好地避免了密钥的传输安全性问题。这种加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。
1.3系统安全
(1)鉴别认证机制。在整个网络防御系统中,使用了两种鉴别认证机制。①网络部分,通过SSL力I密通道以及证书机关,对使用本系统提供的web服务的用户进行服务器与外部用户间的双向鉴别。②系统鉴别部分,采用Ic卡的方式对所有用户进行身份鉴别,所有内部用户的Ic卡均通过统一的发卡中心发放,只有持卡用户能够登录网络,普通网络用户无法远程登录。
(2)安全操作系统。整个防御系统的所有服务器必须具有良好的安全特性,首先,在登录控制上采用基于IC卡的本地登录控制和基于安全的远程登录,避免不合法用户对系统安全造成危害;其次,采用特定的检测工具随时对系统进行检测;最后,采用加密文件系统对文件加密保护,用户只有知道口令的情况下,采用读取文件。
(3)定期安全扫描。由于网络环境中的复杂性,需要定期对网上的各种设备实施安全扫描,发现潜在的软硬件漏洞,及时修复。尤其是对于木马和病毒,发现问题,及时推出相应的补丁或查杀工具。防止其进入和蔓延。要定期对防病毒软件进行更新升级。
2 结语
整合现有的网络安全技术,让它们在网络系统中能够各司其职,彼此协作,这样才能够构建相对完善的网络安全防御系统,有效阻止攻击者的入侵,真正起到保证网络信息的安全。