信息安全技术论文-浅谈网络系统安全技术及其应用

《信息安全技术论文-浅谈网络系统安全技术及其应用》由会员分享，可在线阅读，更多相关《信息安全技术论文-浅谈网络系统安全技术及其应用（8页珍藏版）》请在金锄头文库上搜索。

1、信息安全技术论文-浅谈网络系统安全技术及其应用浅谈网络系统安全技术及其应用摘要：网络系统安全技术是面向保护网络环境下信息系统通信和数据 处理安全的。互连网的开放性和匿名性给计算机黑客、病毒等提供契机， 利用起网络來犯罪，严重威胁网络信息的安全。本论文介绍了国际标准化 组织（IOS）提出的开放系统互连（OSI）安全体系结构，也对防火墙相关 的知识发表了自己的见解和想法。关键词：网络信息安全；OSI安全体系结构；防火墙互联网正以惊人的速度改变着人们的生活方式和工作效率。从商业机 构到个人都将越來越多地通过互连网处理银行事务、发送电子邮件、购物、 炒股和办公。这无疑给社会、企业乃至个人带来了前所未有

2、的便利，所有 这一切都得益于互连网的开放性和匿名性特征。然而，正是这些特征也决 定了互连网不可避免地存在着信息安全隐患。网络安全所包含的范围很广: 我们日常上网时碰到的邮件病毒，QQ密码被盗，大一点的比如一个企业 或政府的网站被黑，数据内容被篡改，更大的乃至一个国家的国防，军事 信息泄漏，被截获。所有这些都属于网络安全所研究讨论的范畴。1.网络安全的基本概念（1）网络安全威胁的类型网络威胁是对网络安全缺陷的潜在利用，这些缺陷可能导致非授权访 问、信息泄露、资源耗尽、资源被盗或者被破坏等。网络安全所面临的威 胁可以来自很多方面，并且随着时间的变化而变化。网络安全威胁的种类 冇：窃听、假冒、重放、

3、流量分析、数据完整性破坏、拒绝服务、资源的 非授权使用等。（2）网络安全机制应具有的功能采取措施对网络信息加以保护，以使受到攻击的威胁减到最小是必须 的。一个网络安全系统应有如下的功能：身份识别、存取权限控制、数字 签名、保护数据完整性、审计追踪、密钥管理等。2.0SI安全体系结构国际标准化组织（IOS, International Standardization Organization ）在1983年制定了著名的IOS 7498标准，面向计算机网络通信提出了著名的 开放系统互连（OSb Open System Interconnection）参考模型。这一标准定 义了网络通信协议的7层模型

4、，从低到高包含物理层（第1层）、数据链 路层（第2层）、网络层（第3层）、传输以（第4欣）、会话层（第5层）、 表示层（第6层）和应用层（第7层），成为实现网络系统结构设计和标 准化的纲领性文件。为了给OSI参考模型提供安全功能，IOS于1988年发布了 IOS 7489-2 标准，作为IOS 7498标准的补充，它给出了网络安全系统的一般结构，它 和后继的相关安全标准给出的网络信息安全架构被称为OSI安全体系结构。 OSI安全体系结构指出了网络系统需要的安全服务和实现体制，并给出了 各类安全服务在OSI网络7层中的位置，这种在不同网络层次不同安全需 求的技术路线对后来网络信息系统安全的发展起

5、到了重耍作用。表1给出了 OSI安全体系结构定义的主要安全服务及它们的实现机制和网络层次。从标准中看，OSI第14层的安全服务以“底层网络安全协 议”的方式提供，主要包括传输层安全协议（TLSP, Transportation Layer Security Protocol）和网络层安全协议（NLSP, Network Layer Security Protocol ）； OSI第57层的安全服务以“安全组件”的方式提供,他们主 要包括系统安全组件和安全通信组件，前者负责与安全相关的处理, 如加密、解密、数字签名、认证等，后者负责与安全相关的信息在系统Z 间的传输。在表1中，路由控制实际是指在

6、网络设备上进行安全处理，选 择字段机密性或选择字段完整性是指在应用中仅仅一部分数据是需要保 密或不允许篡改的。从表1可看出，相同安全需求可以在不同的网络协议栈层次得到满足。 虽然在高层能够实现更多的安全，但在实现安全功能的网络层次方面主耍 需要考虑：若在较低的网络协议栈层次满足这些需求，一般在成本、通用 性和适用面等方面具有一定优势，但是，一些实现条件要求或约束使安全 性必须在更高的网络层次实现。综合地看，OSI安全体系结构中的安全服 务为网络系统主要提供了以下4类不同层次的安全性（见图1）。图1 OSI安全体系结构4个主耍的安全结构层（1）应用级安全那些与应用直接相关的安全需求一般只能在应用

7、层完成，OSI安全组 件通过各类信息安全技术保护应用层数据的安全，实现的安全性被称为应 用级安全。（2）端系统级安全当安全构件在应用层以下和网络层以上实现吋，OSI安全体系结构实现了端系统到端系统之间的通信安全，网络信息系统获得了端系统级安全。 选择实现端系统级安全的主要场合一般对通信安全的要求较高，但这里的 安全通信并非面向特定的应用，而是以一种安全的方式实现相应网络层次 的功能。（3）网络级安全在OSI安全体系结构中，在网络层提供安全功能能够实现网络到网络 之间的安全通信，获得网络级安全。网络级安全在OSI规范中也被称为子 网级安全，这是因为OSI规范认为分布在各个地理位置上的网络是整个网

8、 络的子网。（4）链路级安全为了在数据传输中对所有的上层协议通信进行透明的保护，安全应用 的设计者可以选择实现链路级安全，方法是在链路层保护通信帧的内容。 但一般这指适合点到点通信的场合，在这些场合下，有限的连接点可以认 为是可信的。例如，大型网络通信中心之间可以采取这类技术保护它们之 间的数据传输。但是，在公共网络中，链路层保护显然难以实施，而且实 施代价较高。3. 防火墙技术通常保障网络信息安全的方法有两大类：以“防火墙”技术为代表的 被动防卫型和建立在数据加密、用户授权确认机制上的开放型网络安全保 障技术。“防火墙” （Firewall）安全保障技术主耍是为了保护与互联网相连的 企业内部

9、网络或单独节点。它具冇简单实用的特点，并且透明度高，可以在 不修改原有网络应用系统的情况下达到一定的安全要求。防火墙一方面通 过检查、分析、过滤从内部网流出的IP包，尽可能地对外部网络屏蔽被保 护网络或节点的信息、结构，另一方面对内屏蔽外部某些危险地址，实现 对内部网络的保护。实现防火墙的技术包括四大类：网络级防火墙（也叫包过滤型防火墙）、 应用级网关、电路级网关和规则检查防火墙。（1）网络级防火墙一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作 出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙，大多 数的路由器都能通过检查这些信息來决定是否将所收到的包转发，但它不 能

10、判断出一个IP包来自何方，去向何处。（2）应用级网关应用级网关能够检查进出的数据包，通过网关复制传递数据，防止在 受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能 够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和 稽核。但每一种协议需耍相应的代理软件，使用时工作量大，效率不如网 络级防火墙。（3）电路级网关电路级网关用来监控受信任的客户或服务器与不受信任的主机间的 TCP握手信息，这样来决定该会话（Session）是否合法，电路级网关是在OSI模 型中会话层上来过滤数据包，这样比包过滤防火墙要高二层。（4）规则检查防火墙该防火墙结合了包过滤防火墙、电路级网关和应

11、用级网关的特点。它 同包过滤防火墙一样，规则检查防火墙能够在OSI网络层上通过IP地址 和端口号，过滤进出的数据包。它也象电路级网关一样，能够检查SYN和 ACK标记和序列数字是否逻辑有序。当然它也象应用级网关一样，可以在 OSI应用层上检查数据包的内容，查看这些内容是否能符合公司网络的安 全规则。4. 其他网络信息安全技术（1）数据加密与用户授权访问控制技术与防火墙相比，数据加密与用户授权访问控制技术比较灵活，更加适 用于开放的网络。用户授权访问控制主要用于对静态信息的保护，需要系 统级别的支持，一般在操作系统中实现。（2）入侵检测技术入侵检测系统（Intrusion Detection S

12、ystem简称IDS）是从多种计算机系 统及网络系统中收集信息，再通过这此信息分析入侵特征的网络安全系统。 IDS被认为是防火墙之后的第二道安全闸门，它能使在入侵攻击对系统发 生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入 侵攻击过程中，能减少入侵攻击所造成的损失;在被入侵攻击后，收集入侵 攻击的相关信息，作为防范系统的知识，添加入策略集中，增强系统的防 范能力，避免系统再次受到同类型的入侵。入侵检测的作用包括威慑、检 测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证 计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授 权或异常现象的技术，是一种用

13、于检测计算机网络中违反安全策略行为的 技术。（3）防病毒技术随着计算机技术的不断发展，计算机病毒变得越来越复杂和高级，对 计算机信息系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件, 从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒 软件一般安装在单台PC上，即对本地和本地工作站连接的远程资源采用 分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒, 一旦病毒入侵网络或者从网络向其它资源传染，网络防病毒软件会立刻检 测到并加以删除。（4）安全管理队伍的建设在计算机网络系统中，绝对的安全是不存在的，制定健全的安全管理 体制是计算机网络安全的重要保证，只冇通过网络

14、管理人员与使用人员的 共同努力，运用一切可以使用的工具和技术，尽一切可能去控制、减小一 切非法的行为，尽可能地把不安全的因素降到最低。同时，要不断地加强 计算机信息网络的安全规范化管理力度，大力加强安全技术建设，强化使 用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以 前直为某些管理人员所忽略，为了更好地进行安全管理工作，应该对本 网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依 据管理制度严肃处理。只有共同努力，才能使计算机网络的安全可靠得到 保障，从而使广大网络用户的利益得到保障。5. 对网络信息安全的前景的展望随着网络的发展，技术的进步，网络安全面临的挑战也在增大。一方面，对网络的攻击方式层出不穷，攻击方式的增加意味着对网络威胁的增 大；随着硬件技术和并行技术的发展，计算机的计算能力迅速提高。另一 方面，网络应用范围的不断扩大，使人们对网络依赖的程度增大，对网络 的破坏造成的损失和混乱会比以往任何时候都大。这些网络信息安全保护 提出了更高的要求，也使网络信息安全学科的地位越显得重要，网络信息 安全必然随着网络应用的发展而不断发展。