网络系统安全的解决方案探讨
开篇:润墨网以专业的文秘视角,为您筛选了一篇网络系统安全的解决方案探讨范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
【摘要】对安全需求的理解可以从多侧面、多角度入手,安全工程应该是全方位的,一般情况下,要考虑物理、网络、系统、应用等层次的安全需求。在对计算机网络安全的相关问题阐述后,从网络系统安全的层次提出了解决方案。
【关键词】网络安全;防火墙;网络系统
信息技术的使用给人们生活、工作的方方面面带来了数不尽的便捷和好处。然而,计算机信息技术也和其他科学技术一样是一把双刃剑。当大多数人们使用信息技术提高工作效率,为社会创造更多财富的同时,另外一些人利用信息技术却做着相反的事情。他们非法侵入他人的计算机系统窃取机密信息,篡改和破坏数据,给社会造成难以估量的巨大损失。
1.计算机网络安全
网络安全从其本质上来讲就是网络上的信息安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统可连续、可靠、正常地运行,网络服务不中断。
1.1 密码学
密码学是一种以秘密的方式编码信息,使只有特定的接收者才可以访问被编码的信息的方法。安全机制常常得益于密码学的应用,如基于网络的用户登录协议。不过,它们也并不是必须依赖于密码学的应用,例如Unix系统中对文件的访问控制。反过来,密码学也依赖于系统的安全性。密码算法常常用软件或硬件实现,它们能否正常运作关键取决于是否有一个安全的系统。比如,如果系统缺乏访问控制的安全性,攻击者可以修改密码系统的软件算法。可见,安全性的缺乏会直接影响密码术的效用。
1.2 危险和防护
计算机危险或攻击通常分为三类:秘密攻击、完备性攻击、可得性攻击。这三类攻击是息息相关的。也就是说,某一类攻击的技术和后果经常作为另一类攻击的辅助手段。比如:一个攻击者通过秘密攻击获知口令,这样就有权访问这个系统,然后修改系统资源,最终完成拒绝服务攻击。当遭受攻击时,系统会出错,但大多数系统由于缺乏安全机制仍认为是安全的。同样地,这些攻击的防护机制之间也是紧密相关的。一般来讲,防护有一种或多种目的:防止攻击,检测是否遭受攻击或恢复系统。所以说,一种防护机制并不是万能的。
1.3 防护
由于有许多潜在的薄弱环节和无穷尽的攻击,而每一种攻击又可能包含多种攻击技术,所以确保整个系统的安全很困难。由于系统的安全性是由它的最薄弱环节决定,因此,安全范围必须是整个系统性的。在构筑更为有用的防护方面,防火墙(Fire Wall)扮演了一个重要角色。但是,防火墙也存在一些不足之处:第一,防火墙不能滤除和阻止所有的网络灾难。像HTTP协议这样的信息可以巧妙地通过防火墙。通常,防火墙与移动代码作用是相反的。其次,防火墙目前已经成为大企业通信的瓶颈。
1.4 安全模型
安全模型(Security Model)是人们对访问被保护数据加以控制的方法的一种抽象。像防火墙一样,安全模型也有多种形式和尺寸,对于不同的应用程序和应用环境,安全模型的要求有很大不同。安全模型用途很广,如驱动和分析计算机系统的设计或形成系统操作的基础,但是它在使用中会产生许多有趣的问题,对这些安全问题目前已有一定程度的研究。
2.网络系统安全的解决方案
网络系统涉及整个网络操作系统和网络硬件平台的安全性。对于现在流行的Microsoft的Windows操作系统或者其它任何商用UNIX操作系统,目前没有绝对安全的操作系统可以选择,可选的系统范围很小,但是这些操作系统带给我们的方便快捷、应用平台等好处我们已经不能缺少,毕竟从头开发一套安全的操作系统也不太现实,因此我们应该做的就是,紧密关注操作系统厂家的安全更新和安全建议,提高自己的安全意识,积极主动地解决系统中出现的安全问题。
2.1 入侵检测技术
利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙,网络安全还远远不够:入侵者可寻找防火墙背后可能敞开的后门;入侵者可能就在防火墙内;由于性能的限制,防火墙通常不能提供实时的入侵检测能力。入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测
及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要,首先它能够对付来自内部网络的攻击,其次它能够缩短hacker入侵造成危害的时间。
入侵检测系统可分为两类:基于主机、基于网络。基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查、非法访问的闯入等,并且提供对典型应用的监视如Web服务器应用。基于主机及网络的入侵监控系统通常均可配置为分布式模式:在需要监视的服务器上安装监视模块(agent),分别向管理服务器报告及上传证据,提供跨平台的入侵监视解决方案。在需要监视的网络路径上,放置监视模块(sensor),分别向管理服务器报告及上传证据,提供跨网的入侵监视解决方案。
2.2 安全扫描技术
网络安全技术中,另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。安全扫描工具源于Hacker在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。安全扫描工具通常也分为基于服务器和基于网络的扫描器。基于服务器的扫描器主要扫描服务器相关的安全漏洞,如password文件,目录和文件权限,共享文件系统,敏感服务,软件,系统漏洞等,并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。基于网络的安全扫描器主要扫描设定网络内的服务器、路由器、网桥、交换机、访问服务器、防火墙等设备的安全漏洞,并可设定模拟攻击,以测试系统的防御能力。
2.3 伪装技术
伪装技术是近年新发展出来的技术。使用伪装技术,网络管理员能够以极低的成本构造出一套虚拟的网络和服务,并且,故意留出漏洞,并实时观察、记录入侵者的来源、操作手法。伪装技术可以帮助管理员查询入侵者,并保留入侵证据。其次,通过了解入侵者的入侵方法,完善真正的系统的保护手段。
2.4 网络安全扫描
网络系统中采用网络安全扫描的网络扫描器,对网络设备进行自动的安全漏洞检测和分析,并且在执行过程中支持基于策略的安全风险管理过程。另外,执行预定的或事件驱动的网络探测,包括对网络通信服务、操作系统、路由器、电子邮件、Web服务器、防火墙和应用程序的检测,从而识别能被入侵者利用来非法进入网络的漏洞。系统能够给出检测到的漏洞信息,包括位置、详细描述和建议的改进方案。这种策略允许管理员侦测和管理安全风险信息,并跟随开放的网络应用和迅速增长的网络规模而相应地改变。
3.结束语
随着网络经济和网络社会时代的到来,网络将会进入一个无处不有、无所不用的境地。经济、文化、军事和社会活动将会强烈地依赖网络,作为重要基础设施的网络的安全性和可靠性将成为社会各界共同关注的焦点。
参考文献
[1]张世永.网络安全原理与应用[M].上海:科学出版社,2003.
[2]刘雪娇.网络安全攻击模型与事件关联技术的研究与实现[D].华中师范大学,2009.