《浅析网络安全的相关措施技术》由会员分享,可在线阅读,更多相关《浅析网络安全的相关措施技术(3页珍藏版)》请在金锄头文库上搜索。
1、如何保证网络安全浅析网络安全的相关措施技术随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。 任何形式的互联网服务都会导致安全方面的风险,网络安全的关键是将风险降到最低程度,目前网络安全主要的防护措施有一,VPN 技术 VPN 的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和
2、安全密钥来实现,可以保证企业员工安全地访问公司网络。 VPN 有三种解决方案: (1)如果企业的内部人员移动或有远程办公需要,或者商家要提供 B2C 的安全访问服务,就可以考虑使用远程访问虚拟网(Access VPN)。 AccessVPN 通过一个拥有专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问。AccessVPN 能使用户随时、随地以所需的方式访问企业资源。最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地 ISP 提供的 VPN 服务,就可以和公司的 VPN 网关建立私有的隧道连接。 (2)如果要进行企业内部各分支机构的互连,使用企业内部虚拟网(Intr
3、anet VPN)是很好的方式。越来越多的企业需要在全国乃至全世界范围内建立各种办事机构、分公司、研究所等,各个分公司之间传统的网络连接方式一般是租用专线。显然,在分公司增多、业务范围越来越广时,网络结构也趋于复杂,所以花的费用也越来越大。利用 VPN 特性可以在Internet 上组建世界范围内的 Intranet VPN。利用 Internet 的线路保证网络的互联性,利用隧道、加密等 VPN 特性可以保证信息在整个 Internet VPN 上安全传输。 (3)如果提供 B2B 之间的安全访问服务,则可以考虑 Extranet VPN。 利用 VPN 技术可以组建安全的 Exrranet
4、。既可以向客户、合作伙伴提供有效的信息服务,又可以保证自身的内部网络安全。Extranet VPN 通过一个使用专用连接的共享基础设施,将客户,供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。 二,网络加密技术(Ipsec) IP 层是 TCP/IP 网络中最关键的一层,IP 作为网络层协议,其安全机制可对其上层的各种应用服务提供透明的覆盖式安全保护。因此,IP 安全是整个 TCP/IP 安全的基础,是网络安全的核心。IPSec 提供的安全功能或服务主要包括: 1访问控制 2无连接完整性 3数据起源认证 4抗重放攻击 5机
5、密性 6有限的数据流机密性 信息交换加密技术分为两类:即对称加密和非对称加密。 对称加密技术 在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有 N 个交换对象,那么他就要维护 N 个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重 DES 是 DES(数据加密标准)的一种变形,这种方法使用两个独立的 56
6、为密钥对信息进行 3 次加密,从而使有效密钥长度达到 112 位。 非对称加密/公开密钥加密 在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是
7、 RSA 公钥密码体制。 RSA 算法 RSA 算法是 Rivest、Shamir 和 Adleman 于 1977 年提出的第一个完善的公钥密码体制,其安全性是基于分解大整数的困难性。在 RSA 体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分解两大素数之积。RSA 算法的描述如下: 公开密钥:n=pq(p、q 分别为两个互异的大素数,p、q 必须保密) 与(p-1)(q-1)互素 私有密钥:d=e-1 mod(p-1)(q-1) 加密:c=me(mod n),其中 m 为明文,c 为密文。 解密:m=cd(mod n) 利用目前已经掌握的知识和理论,分解 2048bit
8、 的大整数已经超过了 64 位计算机的运算能力,因此在目前和预见的将来,它是足够安全的。 三, 身份认证 在一个更为开放的环境中,支持通过网络与其他系统相连,就需要“调用每项服务时需要用户证明身份,也需要这些服务器向客户证明他们自己的身份。”的策略来保护位于服务器中的用户信息和资源。 认证机构 CA(Certification Authorty)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由 CA 签发的网络用户电子身份证明证书,任何相信该 CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA 也要采取一系列相应的措施来防止电子证书被伪造或篡改。
9、构建一个具有较强安全性的 CA 是至关重要的,这不仅与密码学有关系,而且与整个 PKI 系统的构架和模型有关。此外,灵活也是 CA 能否得到市场认同的一个关键,它不需支持各种通用的国际标准,能够很好地和其他厂家的 CA产品兼容。 密钥备份和恢复 为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个 PKI 系统强健性、安全性、可用性的重要因素。 证书管理与撤消系统 证书是用来证明证书持有者身份的电子介质,它是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是
10、,有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消,证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的发布机制撤消证书或采用在线查询机制,随时查询被撤消的证书。 四, 防火墙技术 防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监视了内部网络和 Internet 之间地任何活动,保证了内部网络地安全;在物理实现上,防火墙是位于网络特殊位置地以组硬件设备路由器、计算机或其他特制地硬件设备。防火墙可以是独立地系统,也可以在一个进行网络互连地路由器上实现防火墙。用防火墙来实现网络安全必须考虑防火墙的网络拓扑结构: (1)屏蔽路由器:又称包过滤防火墙。 (2)双穴主机:双穴主机是包过滤网关的一种替代。 (3)主机过滤结构:这种结构实际上是包过滤和代理的结合。 (4)屏蔽子网结构:这种防火墙是双穴主机和被屏蔽主机的变形。 网络安全其实是一种相对安全,一般来说,安全性越高其实现就越复杂。新的安全问题的出现需要新的技术和手段来解决
