网络安全的整体模式.pdfVIP

62 福建电脑 2008年第8期 网络安全的整体模式 刁玉平 (广东商学院广州广东510320) 【摘要】：由于计算机网络环境的复杂性，其安全受到各种威胁。本文首先比较详细介绍了计算机内网、外网以及内网 与外网之阃网络边界的一些主要安全措施。进而提出了一个相对全面的网络整体安全模式。 【关键词】：网络安全；内网；外网；网络边界；网络整体安全模式 随着Intemet的迅速发展．网络已经渗透到人们生活和工作 据驱动型的攻击。可见，单纯的防火墙策略已经无法满足对安全 的各个角落。全世界的军事、经济、社会、文化各个方面都越来越 高度敏感部门的需要．网络的防卫必须采用一种纵深的、多样化 依赖于计算机网络。然而，每年全球由于网络安全问题造成的损 的手段。 失相当巨大，网络安全的现状不容乐观。网络病毒、木马、垃圾邮 Detection 1．2．2入侵检测IDS0ntrusionSystem) 件泛滥成灾，黑客的不法攻击。内部人员的信息泄漏。时刻威胁 依赖防火墙建立网络的组织往往是”外紧内松”．无法阻止 着企业和用户的信息安全。因而加强计算机网络安全监管、建立 内部人员所做的攻击。对信息流的控制缺乏灵活性，从外面看似 一个相对全面的网络整体安全模式已经是刻不容缓了! 非常安全，但内部缺乏必要的安全措施。而入侵检测技术作为一 1．计算机网络安全防御体系 种积极主动的网络安全防御措施．有效地弥补了防火墙的不足。 计算机网络是由公共网把一个个的内部网络连接起来．实 所谓入侵检测便是对入侵行为的发觉．它通过对计算机网 现数据的传输和资源的共享。由此可见．计算机网络的安全既包 络或计算机系统中的若干关键点收集信息并对其进行分析．从 括外网(即公共网)的安全，也包括内网(即内部网络)的安全，还中发现网络或系统中是否有违反安全策略的行为和被攻击的迹 包括外网与内网之间的网络边界的安全。 象。进行人侵检测的软件与硬件的组合便是入侵检测系统。与其 1．1外网的安全措施 他安全产品不同的是。入侵检测系统需要更多的智能，它必须可 数据加密是实现分布式系统和网络环境下数据安全的重要 以将得到的数据进行分析，并得出有用的结果。目前一些较成熟 段之一，是一种主动安全防御策略．可以用很小的代价为信息提 的技术，比如专家系统、模式匹配、神经网络、人工免疫等等。已 供相当大的安全保护。 经应用到了入侵检测领域。入侵技术从规模与方法上发生了很 加密即将网络中传输的信息用一定的加密算法使之由明文 大变化．人侵的手段与技术也有了进步与发展。入侵检测被认为 变成密文，然后通过网络传输。到达目的网点后。再将密文还原 是防火墙之后的第二道安全闸门．在不影响网络性能的情况下 成明文，此过程称为解密。网络信息加密的目的是保护网内的数 能对网络进行监测．从而提供对内部攻击、外部攻击和误操作的 据、文件、口令和控制信息。保护网上传输的数据。加密数据传输 实时保护。大大提高了网络的安全性。 主要有三种：一是链接加密。在网络节点问加密，在节点间传输 目前．入侵检测系统主要存在以下五个问题：一是虚警率太 加密的信息。传送到节点后解密。不同节点闻用不同的密码。二 高；二是检测速度太慢；三是没有主动防御能力；四是缺乏准确 是节点加密。与链接加密类似．不同的只是当数据在节点问传送 定位和处理机制；五是性能普遍不足。面对层出不穷的攻击手 时，不用明码格式传送．而是用特殊的加密硬件进行解密和重加 段．单纯的入侵检测系统己显得有点力不从心，由于防火墙与入 密，这种专用硬件通常放置在安全保险箱中。三是首尾加密。对 侵检测技术具有较强的互补性．实现防火墙与入侵检测的联动 进入网络的数据加密．然后待数据从网络传