网络系统安全解决方案探讨.docVIP

网络系统安全解决方案探讨 　　【摘要】对安全需求的理解可以从多侧面、多角度入手，安全工程应该是全方位的，一般情况下，要考虑物理、网络、系统、应用等层次的安全需求。在对计算机网络安全的相关问题阐述后，从网络系统安全的层次提出了解决方案。 　　【关键词】网络安全；防火墙；网络系统 　　信息技术的使用给人们生活、工作的方方面面带来了数不尽的便捷和好处。然而，计算机信息技术也和其他科学技术一样是一把双刃剑。当大多数人们使用信息技术提高工作效率，为社会创造更多财富的同时，另外一些人利用信息技术却做着相反的事情。他们非法侵入他人的计算机系统窃取机密信息，篡改和破坏数据，给社会造成难以估量的巨大损失。 　　1.计算机网络安全 　　网络安全从其本质上来讲就是网络上的信息安全，是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统可连续、可靠、正常地运行，网络服务不中断。 　　1.1 密码学 　　密码学是一种以秘密的方式编码信息，使只有特定的接收者才可以访问被编码的信息的方法。安全机制常常得益于密码学的应用，如基于网络的用户登录协议。不过，它们也并不是必须依赖于密码学的应用，例如Unix系统中对文件的访问控制。反过来，密码学也依赖于系统的安全性。密码算法常常用软件或硬件实现，它们能否正常运作关键取决于是否有一个安全的系统。比如，如果系统缺乏访问控制的安全性，攻击者可以修改密码系统的软件算法。可见，安全性的缺乏会直接影响密码术的效用。 　　1.2 危险和防护 　　计算机危险或攻击通常分为三类：秘密攻击、完备性攻击、可得性攻击。这三类攻击是息息相关的。也就是说，某一类攻击的技术和后果经常作为另一类攻击的辅助手段。比如：一个攻击者通过秘密攻击获知口令，这样就有权访问这个系统，然后修改系统资源，最终完成拒绝服务攻击。当遭受攻击时，系统会出错，但大多数系统由于缺乏安全机制仍认为是安全的。同样地，这些攻击的防护机制之间也是紧密相关的。一般来讲，防护有一种或多种目的：防止攻击，检测是否遭受攻击或恢复系统。所以说，一种防护机制并不是万能的。 　　1.3 外围防护 　　由于有许多潜在的薄弱环节和无穷尽的攻击，而每一种攻击又可能包含多种攻击技术，所以确保整个系统的安全很困难。由于系统的安全性是由它的最薄弱环节决定，因此，安全范围必须是整个系统性的。在构筑更为有用的外围防护方面，防火墙（Fire Wall）扮演了一个重要角色。但是，防火墙也存在一些不足之处：第一，防火墙不能滤除和阻止所有的网络灾难。像HTTP协议这样的信息可以巧妙地通过防火墙。通常，防火墙与移动代码作用是相反的。其次，防火墙目前已经成为大企业通信的瓶颈。 　　1.4 安全模型 　　安全模型（Security Model）是人们对访问被保护数据加以控制的方法的一种抽象。像防火墙一样，安全模型也有多种形式和尺寸，对于不同的应用程序和应用环境，安全模型的要求有很大不同。安全模型用途很广，如驱动和分析计算机系统的设计或形成系统操作的基础，但是它在使用中会产生许多有趣的问题，对这些安全问题目前已有一定程度的研究。 　　2.网络系统安全的解决方案 　　网络系统涉及整个网络操作系统和网络硬件平台的安全性。对于现在流行的Microsoft的Windows操作系统或者其它任何商用UNIX操作系统，目前没有绝对安全的操作系统可以选择，可选的系统范围很小，但是这些操作系统带给我们的方便快捷、应用平台等好处我们已经不能缺少，毕竟从头开发一套安全的操作系统也不太现实，因此我们应该做的就是，紧密关注操作系统厂家的安全更新和安全建议，提高自己的安全意识，积极主动地解决系统中出现的安全问题。 　　2.1 入侵检测技术 　　利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险。但是，仅仅使用防火墙，网络安全还远远不够：入侵者可寻找防火墙背后可能敞开的后门；入侵者可能就在防火墙内；由于性能的限制，防火墙通常不能提供实时的入侵检测能力。入侵检测系统是近年出现的新型网络安全技术，目的是提供实时的入侵检测 　　及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要，首先它能够对付来自内部网络的攻击，其次它能够缩短hacker入侵造成危害的时间。 　　入侵检测系统可分为两类：基于主机、基于网络。基于主机的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连接、系统日志检查、非法访问的闯入等，并且提供对典型应用的监视如Web服务器应用。基于主机及网络的入侵监控系统通常均可配置为分布式模式：在需要监视的服务器上安装监视模块（agent），分别向管理服务器报告及上传证据，提供跨平台的入侵