互联网的迅猛发展和广泛应用推进了数据信息在全球范围的共享,人们通过客户端即可搜索和获取所需信息,并通过计算机技术上传。公共通信网络具备丰富的传输和存储功能,在为人们提供有效信息的同时也增添了信息泄露的风险,存在不法分子利用通信平台来毁坏或窃听相关信息,使得个人和隐秘信息遭遇泄露,造成财产或文化上的种种损失。政府、银行等事业单位系统对数据安全的要求极高,一旦传输和存储过程出现问题即会引发重大的信息泄露隐患,将客户或部门信息置于危险的边缘,所以构建敏感系统和部门的网络安全体系至关重要。数据信息安全问题并不是阻止人们使用互联网的原因,为了正确看待网络的利与弊,需要在资源利用和效率提高上深入分析,进一步研发更科学、有效的安全系统。在网络信息化过程中缩短服务端和用户端之间的距离,使得全球用户能够随时随地获取自己所需的资源和信息。网络信息系统在早期建设过程中并未考虑用户的身份和目的,所以埋下了一定的安全隐患,而现阶段只有真正意识到问题的重要性并投入研究和设计才能解决用户安全问题,不断提高人们对互联网技术的信心。
1、网络安全特征与网络安全体系结构
计算机网络安全特征众多,为用户安全设置了多层保障。最基本的真实性、保密性是技术运用的基础,除授权用户外其他人不能接触到相关信息。可用性和可靠性是实行保密性的前提,可控性和不可否认性是为网络使用的后续工作提供借鉴和属性,七项网络主要安全特征决定了其安全体系结构的好坏。
真实性要求使用网络的用户身份得到确认,网络并不会单纯相信用户口头或单方面的身份承认,因为要考虑到冒充和鉴别问题,所以真实性要重点致力于用户实体身份的确定。完整性要求用户在未授权的情况下不能修改、删除、破坏网络信息,进一步保证信息的安全性和正确性,这提高了网络系统的警惕度,当出现人为攻击、设备故障、误码等情况时能及时阻止和调整过来。对可靠性的定义更多是从规定范围出发,指在一定条件或时间下实现某类功能达到的程度,网络信息系统稳定运行和投入建设都需要极强的可靠性才能实现。被授权实体或用户在拥有访问需求时会选择所需功能或模块,可用性决定了用户能否实现自身需求的机会,在安全性上也有所保障,满足用户在时间、实体等方面的要求。为了有效判断实用性,一般对比工作时间和系统正常使用时间的差值,以便做出准确判断。不可否认性是指用户与用户之间如果参与了信息交互活动,那么要对参与者信任并配合,保证彼此的真实统一性,不能对完成的操作或承诺做出否认,而为了防止一方用户抵赖的事情发生,可以将所持证据和信息保存传输给终端,帮助解决纠葛,而现阶段常用数字签名技术来予以保护。可控性重点把握控制范围,将不良内容或信息阻止在外,保证和控制公共网络的清洁度、科学性。
计算机网络安全体系结构侧重功能的实现与服务的安排,使得安全机制和安全服务符合相关法律法规,同时能真正提供有效数据信息和维护用户信息安全。系统安全元素是组成整个系统的根基之一,所以不但要保证各个元素的实现,还要联系和维护好元素之间的关系。无论是国家公众信息网还是企业内外联网,都需要一个完善的安全机制来提供服务,安全机制和安全服务之间已经搭建起了稳定的桥梁,两者相辅相成、相得益彰。安全服务能够有效地处理数据及数据传输问题,要利用信息网络来保证安全性。安全功能汇总起来即为安全服务,底层协议会保证安全服务的如序进行,对进入系统的信息实施屏蔽活动,让安全体系稳定运行,而这个过程实现了五类安全服务,以数据保密、认证、访问控制等服务为主。安全管理并不是单纯从安全或管理角度出发,而是两者的综合体,实现安全的管理和管理的安全并重,为用户提供分配密钥参数及认证服务,针对有激活加密要求的客户进行相关介绍和配合,而为了保证管理的安全,要从系统和信息两方面出发,真正意义上打造可靠的计算机网络安全体系结构。
2、网络安全体系的三维结构
设计出合理的网络安全体系框架才能实现用户和终端需求的安全需求。网络安全主要是指软件或系统数据的安全问题,网络安全结构的构建并不是从体系或功能上就能实现的,而需要从安全服务、实体单元、协议层次3个方面共同完成。图1所示的计算机网络安全体系三维结构模式很清晰地罗列出了三者及其分支项目的关系,以进一步巩固安全体系。
(1)国际标准组织早期推出的一款安全体系结构模型就罗列了安全服务平面这一项,而安全服务一项在认证、抗抵赖的基础上增加了可用性。应用环境会在用户动态要求或市场变化中发生变化,而这种变化会直接导致安全服务需求的改变。但是考虑到安全服务之间的依赖性,所以完全独立和依赖的情况都不可能出现,当出现特殊情况时不同安全服务之间会根据具体要求进行组合,保证最终提供的服务能满足终端和用户的双层要求。
(2)网络通讯协议为协议层次平面提供了分层基础,分层的安全管理主要从物理层、网络层、应用层等方面出发,形成环环相扣的联系和服务。虽然提供的安全服务不同,可因为各项之间的依赖性而彼此存在着。
(3)实体安全单元管理从应用系统、计算机系统、计算机网络三方面出发来设计和执行。基本单元的分层为安全技术和系统运行提供了有效条件,使其成为三维结构中的基础工程。
(4)安全管理包括安全服务和安全机制、协议层次三方面,但它并不处于正常通信的范围内,而是一类为正常通信业务提供安全索引和保障的服务。执行安全机制或平面管理都需要依靠安全管理展开活动,保证整个网络信息系统的有序运行。
计算机网络安全体系三维结构模型依靠三个平面来形成稳固的结构。为了提供最科学、有效的用户身份验证服务,客户会选择随意的3个坐标来表明自身身份,这项服务在初始进入网络系统时就会出现,用户直接输入用户名和用户口令,验证正确后就能顺利进入下一个界面。网络层会提供计算机系统有效的身份验证服务,使得用户端和服务端能形成良好的互动和契合,使得对IP地址的认证变得更加简单便捷。对防火墙系统的应用通常会采取访问控制模式,使得计算机网络系统授权范围安全可靠。
3、网络安全体系构建
3.1加强访问控制策略
访问控制是为用户和终端做出的强制性行为,旨在进一步防范不良信息的侵入,这种保护措施从源头就掐断了危险,防止非法访问对网络系统或用户造成伤害。访问控制的目的是为了构建起一层网络系统安全屏障,被授权用户拥有自己的账号和El令,以此作为鉴别授权和非授权用户之间区别的标志,网络访问权限将无访问权的用户排除在外,针对设备、目录、文件都会设置不同的访问空间,而并非全部开放给用户。通过加强访问控制策略来保护网络资源,对互联网的长期、稳定发展都是有益的,不断从内部防御上寻找方法,形成有效的验证和甄别功能。
3.2信息加密技术
对网络安全体系的构建不仅要从策略上加强,还需要开发出具有强大功能的信息加密技术,真正意义上做到对有效网络资源的保护。为了解决非法用户截取、删除、修改、打乱网络数据的问题,应该使用密码、口令、文件的形式来设置屏障,而信息加密技术正是为了阻止传输过程中的不法行为,经常使用节点、端点、链路3种加密方式来提升网络系统可靠性。信息数据的安全性尤为重要,所以从资源上进行保护是首要选择。Windows XP系统是微软公司重点推出的一款产品,它在信息加密上的作用十分显著,一旦出现非法截获的情况,信息传输并未完全受到非法影响,此时解密规则会建立起相应的保护屏障,非法截获者在无解密规则的前提下无法对传输的任何信息实施不良的措施,通过信息加密技术来保障计算机网络安全无疑是一种科学、有效的方式。
3.3病毒防范体系
为了解决系统漏洞问题,建立起相应的病毒防范系统很有必要,预防信息泄露、系统崩溃的情况出现。现阶段网络技术快速发展,病毒侵入的概率也越来越大,为研究和开发专门针对病毒的检测软件提供了巨大的空间。网络系统中的病毒防范体系涉及多方面的工作,最基本的功能包括病毒的预防、清理和查杀,还需要定时或不定时地检测和修补漏洞,降低和组织病毒入侵系统的概率。针对病毒库的管理也不是单纯检测或修补可以完成的,还应该不断更新换代,以便提高对新型病毒的防御能力,同时能快速地处理好顽固病毒,以免出现二次传播的情况,构建病毒防范体系无疑对提高系统安全性有重要作用。
3.4防火墙技术
防火墙是一类解决不同区域网络保护问题的技术,通过屏蔽路由器、代理服务器来形成一道关卡,使得本地和外地网络能抵抗非法访问和控制。代理防火墙和包过滤防火墙最为常见,在企业网络安全体系中应用广泛,而双穴防火墙较少使用。包过滤防火墙的优点在于能有效地对网络信息流进行调配,缺点是不具备内容检查功能。代理防火墙则具备了良好的内容检查功能,因此将两种防火墙技术结合起来能很好地保护企业计算机网络系统。
3.5建立安全实时防御和恢复系统
计算机系统附带的检测系统漏洞、查杀病毒功能并不能完全将所有病毒阻挡在外,目前病毒更新的速度极快,无疑增加了系统被病毒侵入的风险。网络资源作为一个对多数用户开放的空间,要完全做到保密是不切实际的,而为了提高网络系统安全性,建立安全实时防御和恢复系统很有必要,使系统在意外遭受病毒侵害时能最快速、有效地恢复传输信息和数据,降低系统侵入损失程度。首先要建立安全反映机制,使得系统第一时间接收入侵部分信息,通过人侵检测机制和安全检测预警机制来构建预防系统,继而发挥安全恢复机制的作用,保证信息恢复的速度和质量。
4、结语
网络技术的快速发展促进了各种应用软件和程序的研究和开发,帮助计算机网络系统扩宽了涉足领域,网络技术在各大领域的广泛使用促进了网络安全体系的构建,使得网络信息安全管理变得至关重要。近年来,网络系统遭遇非法用户人侵和破坏的事情屡见不鲜,病毒的更新换代更是增加了安全检查和修补的难度,为了从真正意义上保护网络资源和用户信息安全,从源头和结构上构建起双重安全保护体系很有必要,要通过多个安全服务机制来加强防范,形成用户信赖的异构安全管理体系。
本文作者:网友 来源:网络
CIO之家 www.ciozj.com 微信公众号:imciow