浅析计算机网络技术的应用

  • 格式:doc
  • 大小:36.50 KB
  • 文档页数:8

浅析计算机网络技术的使用

1 前言

随着计算机技术和网络技术在世界范围内不断普及,人类社会已经开始步入计算机网络时代。随着人类新的发展时期的到来,计算机和互联网将会带给社会怎样的变化将是我们今后十分关注的问题。宽带网络的蓬勃发展更是让人们欣喜地感受着共享网上资源的独特魅力。网络的巨大能量为人们提供了强有力的通信手段和尽可能完善的服务。从而极大的方便了人们,剧烈地改变着人们的工作、学习、生活和习惯方式。那么,在网络上应该注意哪些问题呢?

2 网络分析

2.1方案目标

本方案主要从网络层次考虑,将网络系统设计成一个支持各级别用户或用户群的安全网络,该网在保证系统内部网络安全的同时,还实现和Internet或国内其它网络的安全互连。本方案在保证网络安全可以满足各种用户的需求,比如:可以满足个人的通话保密性,也可以满足企业客户的计算机系统的安全保障,数据库不被非法访问和破坏,系统不被病毒侵犯,同时也可以防止诸如反动淫秽等有害信息在网上传播等。需要明确的是,安全技术并不能杜绝所有的对网络的侵扰和破坏,它的作用仅在于最大限度地防范,以及在受到侵扰的破坏后将损失尽量降低。具体地说,网络安全技术主要作用有以下几点:

1)采用多层防卫手段,将受到侵扰和破坏的概率降到最低;

2)提供迅速检测非法使用和非法初始进入点的手段,核查跟踪侵入者的活动;

3)提供恢复被破坏的数据和系统的手段,尽量降低损失;

4)提供查获侵入者的手段。 网络安全技术是实现安全管理的基础,近年来,网络安全技术得到了迅猛发展,已经产生了十分丰富的理论和实际内容。

2.2安全需求

对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性和可审查性。 访问控制:需要由防火墙将内部网络和外部不可信任的网络隔离,对和外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的使用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。

2.3风险分析

风险分析是网络安全技术需要提供的一个重要功能。它要连续不断地对网络中的消息和事件进行检测,对系统受到侵扰和破坏的风险进行分析。风险分析必须包括网络中所有有关的成分。

3 网络方案

3.1 设计原则

针对网络系统实际情况,解决网络的安全保密问题,考虑技术难度及经费等因素,设计时应遵循如下思想:

1)大幅度地提高系统的安全性和保密性;

2)保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;

3)易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;

4)尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;

5)安全和密码产品具有合法性,及经过国家有关管理部门的认可或认证;

6)分步实施原则:分级管理和分步实施。

3.2 防御系统

我们采用防火墙技术、NAT技术、VPN技术、网络加密技术(IPSEC)、身份认证技术、多层次多级别的防病毒系统、入侵检测技术,构成网络安全的防御系统。

4 网络实施

4.1 物理安全

物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。为保证信息网络系统的物理安全,还要防止系统信息在空间的扩散。通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。为保证网络的正常运行,在物理安全方面应采取如下措施:

1)产品保障方面:主要指产品采购、运输、安装等方面的安全措施。

2)运行安全方面:网络中的设备,特别是安全类产品在使用过程中,必须能够从生成厂家或供货单位得到迅速的技术支持服务。对一些关键设备和系统,应设置备份系统。

3)防电磁辐射方面:所有重要涉密的设备都需安装防电磁辐射产品,如辐射干扰机。

4)保安方面:主要是防盗、防火等,还包括网络系统所有网络设备、计算机安全设备的安全防护。

4.2 防火墙技术

防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。有效地监视了内部网络和Internet之间地任何活动,保证了内部网络地安全;在物理实现上,防火墙是位于网络特殊位置的硬件设备――路由器、计算机或其他特制的硬件设备。防火墙可以是独立地系统,也可以在一个进行网络互连地路由器上实现防火墙。用防火墙来实现网络安全必须考虑防火墙的网络拓扑结构:

1)屏蔽路由器:又称包过滤防火墙。

2)双穴主机:双穴主机是包过滤网关的一种替代。

3)主机过滤结构:这种结构实际上是包过滤和代理的结合。

4)屏蔽子网结构:这种防火墙是双穴主机和被屏蔽主机的变形。

4.3 VPN技术

VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现,可以保证企业员工安全地访问公司网络。

VPN有三种解决方案:

1)如果企业的内部人员移动或有远程办公需要,或者商家要提供客户端的安全访问服务,就可以考虑使用远程访问虚拟网。访问虚拟网通过一个拥有专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问。访问虚拟网能使用户随时、随地的以所需的方式访问企业资源。最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务,就可以和公司的VPN网关建立私有的隧道连接。

2)如果要进行企业内部各分支机构的互连,使用企业内部虚拟网是很好的方式。越来越多的企业需要在全国乃至全世界范围内建立各种办事机构、分公司、研究所等,各个分公司之间传统的网络连接方式一般是租用专线。显然,在分公司增多、业务范围越来越广时,网络结构也趋于复杂,所以花的费用也越来越大。利用VPN特性可以在Internet上组建世界范围内的Intranet VPN。利用Internet的线路保证网络的互联性,利用隧道、加密等VPN特性可以保证信息在整个Internet VPN上安全传输。

3)如果提供两面三个客户端之间的安全访问服务,则可以考虑Extranet VPN。利用VPN技术可以组建安全的Exrranet。既可以向客户、合作伙伴提供有效的信息服务,又可以保证自身的内部网络安全。Extranet VPN通过一个使用专用连接的共享基础设施,将客户,供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。

4.4 网络加密技术(IPSEC)

IP层是TCP/IP网络中最关键的一层,IP作为网络层协议,其安全机制可对其上层的各种使用服务提供透明的覆盖式安全保护。因此,IP安全是整个TCP/IP安全的基础,是网络安全的核心。IPSEC提供的安全功能或服务主要包括:

1)访问控制

2)无连接完整性

3)数据起源认证

4)机密性

5)有限的数据流机密性

4.4.1 对称加密技术

在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。

4.4.2 非对称加密/公开密钥加密

在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛使用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。

4.5 身份认证

在一个更为开放的环境中,支持通过网络和其他系统相连,就需要“调用每项服务时需要用户证明身份,也需要这些服务器向客户证明他们自己的身份。”的策略来保护位于服务器中的用户信息和资源。

1) 认证机构(CA)就是一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅和密码有关系,而且和整个PKI系统的构架和模型有关。此外,灵活的是CA能否得到市场认同的一个关键,它不需支持各种通用的国际标准,能够很好地和其他厂家的CA产品兼容。

2) 注册机构(RA)是用户和CA的接口,所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。

3) 策略管理在PKI系统中,制定并实现科学的安全策略管理是非常重要的这些安全策略必须适应不同的需求,并且能通过CA和RA技术融入到CA 和RA的系统实现中。同时,这些策略应该符合密码学和系统安全的要求,科学地使用密码学和网络安全的理论,并且具有良好的扩展性和互用性。

4) 密钥备份和恢复 为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。 5) 证书管理和撤消系统 证书是用来证明证书持有者身份的电子介质,是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消,证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的发布机制来撤消证书或采用在线查询机制,随时查询被撤消的证书。

4.6 多层次多级别的防病毒系统

防病毒产品可以在每个入口点抵御病毒和恶意小程序的入侵,网络中的PC机、服务器和Internet网关。它有一个功能强大的管理工具,可以自动进行文件更新,使管理和服务作业合理化,并可用来从控制中心管理企业范围的反病毒安全机制,优化系统性能、解决及预防问题、保护企业免受病毒的攻击和危害。

防病毒系统设计原则

1)整个系统的实施过程应保持流畅和平稳,做到尽量不影响网络系统的正常工作。

2)安装在原有使用系统上的防毒产品必须保证其稳定性,不影响其它使用的功能。在安装过程中应尽量减少关闭和重启整个系统。

3)防病毒系统的管理层次和结构应尽量符合机关自身的管理结构。