第24卷第6期煤炭技术V01.24,No.062005年6月CoalTechn010盯Jun,2005浅谈网络安至产品陶铁军(黑龙江科技学院网络中心,黑龙江哈尔滨150027)摘要:随着互联网的广泛应用和电子商务、电子政务的迅速发展,网络安全产品日益受到人们的重视。
文中探讨了网络安全产品中存在的问题,展望了网络安全产品未来的发展方向。
关键词:互联网;网络安全;防火墙中圈分类号:仍93文献标识码:A文章编号:1008—8725(2005)06一0059—020前言网络安全是信息安全研究内容之一,也是当前信息领域的研究热点。
互联网的普及将信息共享服务上升到一个新高度,同时互联网也使得信息安全问题日益突出而复杂。
信息安全问题使个人隐私受到挑战,并已威胁到国家的政治、经济、军事、文化、意识形态等领域。
在此着重介绍目前人们所关注网络安全产品及其的研究发展方向。
1网络安全产品目前,在市场上比较流行,而又能够代表未来发展方向的安全产品大致有以下几类:(1)防火墙。
防火墙在某种意义上可以说是一种访问控制产品。
它在内部网络与不安全的外部网络之问设置障碍,阻止外界对内部资源的非法访问,防止内部对外部的不安全访问。
主要技术有包过滤技术、应用网关技术及代理服务技术。
防火墙能够较为有力地防止黑客利用不安全的服务对内部网站的攻击,并且能够实现数据流的监控、过滤、记录和报告功能,较好地隔断内部网络与外部网络的连接。
但它本身可能存在安全问题,也可能是一个潜在的瓶颈。
(2)安全路由器。
由于wAN连接需要专用的路由器设备,因而可通过路由器来控制网络传输,通常采用访问控制列表技术来控制网络信息流。
(3)虚拟专用网(vPN)。
虚拟专用网(vPN)是在公共数据网络上,通过采用数据加密技术和访问控制技术,实现两个或多个可信内部网之间的互联。
VPN的构筑通常都要求采用具有加密功能的路电器或防火墙,以实现数据在公共信道上的可信传递。
(4)安全服务器。
安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题,其实现功能包括对局域网资源的管理和控制,对局域网内用户的管理,以及局域网中所有安全相关事件的审计和跟踪。
(5)电子签证机构一CA和Pl(I产品。
电子签证机构(cA)作为通信的第三方,为各种服务提供可信任的认证服务。
CA可向用户发行电子签证证书,为用户提供成员身份验证和密钥管理等功能。
PⅪ产品可以提供更多的功能和更好的服务,将成为所有应用的计算基础结构的核心部件。
(6)用户认证产品。
由于Ic卡技术的日益成熟和完善,IC卡被更为广泛地用于用户认证产品中,用来存储用户的个人私钥,并与其他技术如动态口令相结合,对用户身份进行有效的识别,同时,还可以利用Ic卡上个人私钥与数字签名技术结构,实现数字签名机制。
随着模式识别技术的发展,诸如指纹、视网膜、脸部特征等高级的身份识别技术也将投入应用,并与数字签名等现有技术结合,必将使得对用户身份的认证和识别更趋于完善。
(7)安全管理中心。
由于网上的安全产品较多,且分布在不同的位置,这就需要建立一套集中管理的机制和设备,即安全管理中心,它用来给各网络安全设备分发密钥,监控网络安全设备的运行状态,负责收集网络安全设备的审计信息等。
(8)入侵检测系统(IDs)。
入侵检测,作为传统保护机制(比如访问控制,身份识别等)的有效补充,形成了信息系统中不可或缺的反馈链。
(9)安全数据库。
大量的信息存储在计算机数据库内,有些信息是有价值的,也是敏感的,需要保护。
安全数据库可以确保数据库的完整性、可靠性、有效性、机密性、可审计性及存取控制与用户身份识别等。
(10)安全操作系统。
给系统中的关键服务器提供安全运行平台,构成安全WWW服务、安全丌P服务、安全SMlP服务等,并作为各类网络安全产品的坚实底座,确保这些安全产品的自身安全。
2当前网络安全产品存在的问题2.1目前防火墙的实现主要基于软件或者硬件软件防火墙通过直接在专用或通用操作系统上运行防火墙软件来实现安全控制存取访问。
该体系的优点是成本低、灵活性好、升级方便,只需对软件进行改动即可;但性能依赖于其运行平台的性能,会造成网络速度的严重下降,在高流量的情况下,极有可能造成系统崩溃,失去了防火墙的作用。
硬件防火墙采用专用集成芯片(ASIc)来处理数据。
这种防火墙的特点是具有较高的系统吞吐量,但是基于ASIC的体系结构也有其缺点。
一旦指令或逻辑被嵌入芯片,那么改变这些指令使之增加新的安全功能时十分困难,甚至需要重新设计芯片。
2.2实现Ⅵ啊功能VPN的发展趋势就是实现端到端的安全vPN,因为这样才能真正做到完全的加密。
、rPN实际上是通过软件实现的技术,作为VPN载体的硬件可以有以下几种:一种是路由器,就是通过把ⅥIN软件加载在路由器上,使它既是一台路由器,又是一台vPN设备,也就是所谓的安全路由器,这是目前最常见的;再有就是防火墙,在企业防火墙上实现vPN的功能;最后一种是专用的vPN硬件,在这种设备中,加密也通过硬件实现,可以大大提高安全效率。
在路由器上通过软件实现Ⅵ'N功能,具有一定的局限性。
因为路由器的CPU和内存资源都是有限的,在用软件实现vPN时,它们既要负担路由协议的运行,又要完成vPN加密算法,而安全加密算法是收稿日期:2005一03一15;修订日期:2005—04一15作者简介:陶铁军(1963一),男,黑龙江鸡西人,高级经济师,吉林大学计算机学院硕士研究生,研究方向为计算机软件技术,Tel:045l一88037760E—mail:90Ve瑚ent_hk@hotnlail.com。
万方数据万方数据第24卷第6期煤炭技术V01.24,No.062005年6月CoalTechnolo耵Jun·2005竣德甲、乙线频:苗自喜人邑田击的原因与对策魏义岭(鹤岗矿业集团公司水电热力公司,黑龙江鹤岗154100)摘要:竣德甲、乙线作为矿井变电所的电源,其供电可靠性至关重要,但由于种种原因每年都会发生雷击跳闸事故。
为保证煤矿的安全生产,必须采取防范措施。
关键词:电力线路;雷击;接地极;接地电阻中图分类号:TM75文献标识码:B文章编号:1008—8725(2005)06—0060—020引言电力线路遭雷击的后果是人所共知的,所以防止雷击一直是电力系统研究的一项重要课题。
鹤岗矿业集团水电热力公司所属竣德甲、乙线是向竣德煤矿送电的两条35kv输电线路,由于途径野外开扩地带和高冈,频繁因雷击而跳闸,庆幸的是没出现两条线路同时跳闸的事故。
一旦这两条线路同时跳闸不能向竣德矿供电,则在雨季水大季节,井下没有准备的最不利情况下,将在30min发生灾难性的淹井事故,后果不堪设想。
因此,分析研究竣德甲、乙线频遭雷击的原因,积极采取防范措施是十分必要的。
1竣德甲、乙线频遭雷击的原因1.1不利的地理条件是频遭雷击的首要条件q4—口e^—L—一#与芒^—‘q41;亡弋—Lq亡——}q4^—L口芒^—L百芒^—Lq芒——L守吐—;4弋—L喵4弋—L噶4^,}q4^—}q亡—;芒^req毒—i4^—L冒4^—L写4—;皂弋—o苜吐1;4^—Lq4^—}q4“;e1—L1日-o非常复杂的,需要占用大量的系统资源,这必然严重影响路由器的工作速度。
2.3安全服务器一种方案是用普通服务器加防火墙等软件来实现,另一种方案是在内部加入l台“牺牲服务器”,使外部恶意攻击掉入陷阱,从而保护内部网不受攻击。
银行、铁路等行业的服务器要求有很高的可用性,这种要求常由“高可用(HA)服务器”来满足。
解决方案是2台服务器共享磁盘阵列。
当一台服务器出现故障,其当前正在运行的任务可在几秒钟之内转移到另一台上执行,与此同时对出现故障的服务器进行修复。
大规模信息服务和数据银行服务使主服务器难于兼顾处理和I/0需求,而由一种专用的存储服务器专门承担数据(或文件)服务工作。
这种服务器多具有HA结构,系统内每台服务器有大容量的内存、强大的L/0能力和海量磁盘阵列或磁带库。
这种服务器似乎像以前的“外围机”,但与后者比较有质的飞跃。
2.4IDS入侵检测系统(1)攻击者不断增加的知识,日趋成熟多样自动化工具,以及越来越复杂细致的攻击手法,使IDs必须不断跟踪最新的安全技术,才能不致被攻击者远远超越。
(2)恶意信息采用加密的方法传输。
网络入侵检测系统通过匹配网络数据包发现攻击行为,IDs往往假设攻击信息是通过明文传输的,因此对信息的稍加改变便可能骗过IDs的检测。
TFN现在便已经通过加密的方法传输控制信息。
还有许多系统通过VPN(虚拟专用网)进行网络之间的互联,如果IDS不了解其所用的隧道机制,会出现大量的误报和漏报。
(3)不断增大的网络流量。
用户往往要求IDs尽可能快的报警,因此需要对获得的数据进行实时分析,这导致对所在系统的要求越来越高,商业产品一般都建议采用当前最好的硬件环境(如NFR5.O要求主频最少700以上的机器)。
尽管如此,对百兆以上的流量,单一的IDs系统仍很难应付。
随着网络流量的进一步加大(许多大型IcP目前都有数百兆的带宽),对IDs将提出更大的挑战,在PC机上运行纯软件系统的方式需要突破。
3网络安全产品的发展趋势(1)由过去单一的网络安全产品,向多种安全产品及多种安全技术的综合应用进行转变。
随着网络处理器(NP)技术的成熟和发展,基于NP技术的网络安全产品以其优异的运行速度和良好的升级能力,使得在原来防火墙/vPN产品线基础上,增加IDs、内容过滤网关、防御攻击、深度检测、内容安全、流量控制、高可用性、安全管理等网络安全产品,从而构建覆盖网络七层协议的全方位多层次安全防御系统。
(2)由以防火墙为核心的”联动”安全解决方案发展为以企业安全平台(简称ESP)为核心的全面联动安全解决方案,使各种安全产品协同工作,并提供智能的、主动的、全面的防护手段。
(3)以全程安全服务为核心构建企业信息安全保障体系,真正体现信息安全行业“三分技术,七分管理”的硬道理。
Net、7|l协rkSecuritvProductsTA0Tie—iun(NetworkCenter,Heilon舀iangInstituteofscience锄dTechnology,Harbin150027,China)Abstr粕t:wiIhtherapiddevelopmentofIntemetaIlde—commercial,e—Govemment盘ir,peoplepaygreaterattelItiontomenetworkseclIri—typmducts.Thispaperprobesintotheproblemsexi8tinginthenetworksecIlrityproducts,putsforwardthedevelopmenttrendoftllenetworkcurityproducts.Keywords:intemet;networksecurityproducts;fhwan收稿日期:2005—02—15;修订日期:2005一04—14作者简介:魏义岭(1971一),男,工程师,1995年毕业于中国矿业大学电气自动化专业,现工作于鹤岗矿业集团水电热力公司,Tel:0468—3711991。
