论文部分内容阅读
[摘 要]本文详细介绍了网络信息安全与安全策略技术对应的关系。特别在网络安全、数据库安全、密码技术、防火墙技术等方面对信息安全进行了系统防御分析研究和综合论述。可供同行参考。
[关键词]网络安全 数据库安全 密码技术 防火墙技术
1 引言
计算机网络具有站点分布广域性、体系结构开放性、资源信息共享性和信息通道共用性等特点。因此,增加了网络的实效性和观赏性。与此同时,信息在网络上传送和存储的时候,都很可能被非法窃听、截取、篡改、破坏而导致不可估量的损失。相应地不可避免地带来了网络系统的脆弱性、安全隐患。网络数据库是网络的核心部分,数据信息存放其中,这些共享设备的数据资源既要面对大众的可用性需求,又要面对被窃取、篡改、毁坏的危险。因此,探索和研究计算机信息安全问题有着重要的现实意义和深远的历史意义。
2 网络系统安全
2.1 面临的威胁和安全因素
网络系统中面临的威胁主要是:对网络中信息的威胁和对设备的威胁。
影响计算机网络安全的因素主要有3方面:
(1)人为的无意失误:操作员安全配置不当造成的安全漏洞;用户安全意识不强如口令选择不慎、账号随意转借他人等。
(2)人为的恶意攻击:这是计算机网络面临最大威胁。此类攻击主要有:
主动攻击,破坏信息的有效性和完整性。
被动攻击,在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。
(3)网络软件的漏洞;网络软件不可能是完全没有缺陷和漏洞,这些漏洞恰好成为网络攻击的首选目标。
2.2 安全策略
2.2.1 物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户的越权操作;建立完备的安全管理制度,防止非法进入计算机控制中心和各种偷窃、破坏活动的发生。
2.2.2 访问控制
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全措施必须相互配合才能起到真正的保护作用,但访问控制是保证网络安全的最重要的核心策略之一。
(1)入网访问控制;(2]网络的权限控制;f3)网络监测和锁定控制;(4)网络端口和节点的安全控制
(5)防火墙控制;(6)信息加密策略;(7)入侵检测技术;(8)智能卡技术
(9)VPN技术;(10)VLAN技。
2.2.3 网络安全管理策略
加强网络的安全管理,制定有关规章制度,确保网络的安全可靠地运行将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和管理范围;制定有关网络操作使用规程;制定网络系统的维护制度和应急措施等。
3 数据库安全
数据库是通用化的相关数据集合。它不仅包括数据本身,而且包括关于数据之间的联系,数据库技术主要研究如何存取、使用和管理数据。
分布式数据库系统(DDBMs)是一组数据集,它们逻辑上属于同一个系统,但是物理上分散在用计算机网络连接的多个场地上。分布式数据库并不是简单地把集中式数据库用网络连接起来,使网络上的合法用户能够分别登录到各个数据库。
网络数据库是运行在计算机网络环境中,可供多个事务同时共享数据的数据库系统。
3.1 数据库管理系统
数据库安全是处于数据库管理系统(DBMs)的管理与控制下,而DBMS又是建立在操作系统上的。
DBMS提供可靠的保护措施以确保数据库的安全。DBMS对数据库的安全从如下3个方面提供帮助:用户授权;防止非授权用户使用系统的问题;统计数据库的安全性。
3.2 访问控制
访问控制是数据库管理员的基本手段,它是对用户访问数据库各种资源,如表、视窗、各种目录以及实用程序等所授予的权利。这种数据庠管理手段是由DBMS提供的。数据库用户按其访问权限的等级,一般可分为3类:一般用户、具有支配部分数据库资源特权的用户、具有DBA特权的用户。
3.3 数据加密
数据库访问控制的安全措施是防止从数据库系统中窃取数据。但如果有人窃取存储数据的介质,如磁盘、磁带等,或从通信线路上窃取,则数据库系统本身就无法控制了。为了防止这类窃密,比较好的方法就是对数据加密。
3.4 跟踪审查
跟踪审查是一种数据库安全的监视措施,它对某些保密的数据跟踪并记录有关这些数据的访问活动,一但发现潜在的窃密企图,重复进人的、相似的查询,可以根据这些数据进行事后分析和调查。
4 密码技术
密码技术包括密码设计、密码分析、密钥管理、验证技术等。
对数据进行加密,都有其实现的方法,这种加密的方法称为加密算法。
4.1 对称密钥加密技术
对称密钥加密又称作私钥加密,因为加密和解密使用相同密钥,并且密钥是保密的,不向外公布。
4.2 非对称密钥加密技术
非对称密钥加密技术又称为公开密钥加密技术。它有两个不同的密钥:一个是公钥,另一个是私钥,在进行数据加密时,发送方用公开密钥将数据加密,对方收到数据后使用私钥进行解密。
5 防火墙技术
随着互联网的迅速发展,网上信息已经成为人民生活中不可缺少的一部分,网络安全问题也被人们高度重视,作为保护局域子网的一种有效手段,防火墙技术备受青睐。
5.1 定义
防火墙作为内部网与外部网之间的一种访问控制设备,常常安装在内部网和外部网连接处。防火墙是由路由器、堡垒主机、或任何提供网络安全的设备的组合,是安全策略的一个部分。
5.2 技术原理
5.2.1 包过滤技术
包过滤技术是一种基于网络层的防火墙技术。根据设置好的过滤规则,通过检查IP数据包来确定是否该数据包通过。
5.2.2 代理技术
代理技术是与包过滤技术完全不同的另一种防火墙技术。其主要思想就是在两个网络之间设置一个“中间检查站”,两边的网络应用可以通过这个检查站相互通信,但是它们之间不能越过它直接通信。 5.2.3 状态监视技术 这是第三代防火墙技术,集成了前两者的优点。能对网络通信的各层实行检测。同包过滤技术一样,它能够检测通过IP地址、端口号以及TCP标记过滤进出的数据包。
状态监视器的监视模块支持多种协议和应用程序,可方便地实现应用和服务的扩充。此外,它还可监测RPC和UDP端口信息,而包过滤和代理都不支持此类端口。这样,通过对各层进行监测,状态监视器实现网络安全的目的。
5.3 体系结构
5.3.1 包过滤防火墙
它是最基本、最简单的一种防火墙,可以在一般的路由器上实现,也可以在基于主机的路由器上实现。
内部网络的所有出入都必须通过过滤路由器,路由器审查每个数据包,根据过滤规则决定允许或拒绝数据包。
5.3.2 双宿主主机防火墙
这种防火墙系统由一种特殊的主机来实现。这台主机拥有两个不同的网络接口,一端接外部网络,一端接需要保护的内部网络,并运行代理服务器,故被称为双宿主主机防火墙。
5.3.3 屏蔽主机网关防火墙
它由一台过滤路由器和一台堡垒主机组成。在这种配置下,堡垒主机配置在内部网络上,过滤路由器则放置在内部网路和外部网络之间。
5.3.4 屏蔽子网防火墙
屏蔽子网防火墙在屏蔽主机网关防火墙的配置上加上另一个包过滤路由器。
在屏蔽主机网关防火墙中,堡垒主机最易受到攻击,而且内部网对堡垒主机是完全公开的,入侵者只要破坏了这一层的保护,那么入侵也就成功了。屏蔽子网防火墙被凭就是在被屏蔽主机结构中再增加一台路由器的安全机制,这台路由器的意义就在于它能够在内部网和外部网之间构筑出一个安全子网,从而使得内部网与外部网之间有两层隔断。用子网来隔离堡垒主机与内部网,就能减轻入侵者冲开堡垒主机后而给内部网带来的冲击力。
6 结语
网络安全、数据库安全、密码技术、防火墙技术等方法,单独应用在计算机网络中各有其局限性,采用复合技术才能保障计算机网络和信息安全运行和存储,计算机网络的安全措施必须要全方位地考虑到来自不同渠道的隐患和威胁,确保网络系统安全、信息的保密性、完整性和可用性。
[关键词]网络安全 数据库安全 密码技术 防火墙技术
1 引言
计算机网络具有站点分布广域性、体系结构开放性、资源信息共享性和信息通道共用性等特点。因此,增加了网络的实效性和观赏性。与此同时,信息在网络上传送和存储的时候,都很可能被非法窃听、截取、篡改、破坏而导致不可估量的损失。相应地不可避免地带来了网络系统的脆弱性、安全隐患。网络数据库是网络的核心部分,数据信息存放其中,这些共享设备的数据资源既要面对大众的可用性需求,又要面对被窃取、篡改、毁坏的危险。因此,探索和研究计算机信息安全问题有着重要的现实意义和深远的历史意义。
2 网络系统安全
2.1 面临的威胁和安全因素
网络系统中面临的威胁主要是:对网络中信息的威胁和对设备的威胁。
影响计算机网络安全的因素主要有3方面:
(1)人为的无意失误:操作员安全配置不当造成的安全漏洞;用户安全意识不强如口令选择不慎、账号随意转借他人等。
(2)人为的恶意攻击:这是计算机网络面临最大威胁。此类攻击主要有:
主动攻击,破坏信息的有效性和完整性。
被动攻击,在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。
(3)网络软件的漏洞;网络软件不可能是完全没有缺陷和漏洞,这些漏洞恰好成为网络攻击的首选目标。
2.2 安全策略
2.2.1 物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户的越权操作;建立完备的安全管理制度,防止非法进入计算机控制中心和各种偷窃、破坏活动的发生。
2.2.2 访问控制
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全措施必须相互配合才能起到真正的保护作用,但访问控制是保证网络安全的最重要的核心策略之一。
(1)入网访问控制;(2]网络的权限控制;f3)网络监测和锁定控制;(4)网络端口和节点的安全控制
(5)防火墙控制;(6)信息加密策略;(7)入侵检测技术;(8)智能卡技术
(9)VPN技术;(10)VLAN技。
2.2.3 网络安全管理策略
加强网络的安全管理,制定有关规章制度,确保网络的安全可靠地运行将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和管理范围;制定有关网络操作使用规程;制定网络系统的维护制度和应急措施等。
3 数据库安全
数据库是通用化的相关数据集合。它不仅包括数据本身,而且包括关于数据之间的联系,数据库技术主要研究如何存取、使用和管理数据。
分布式数据库系统(DDBMs)是一组数据集,它们逻辑上属于同一个系统,但是物理上分散在用计算机网络连接的多个场地上。分布式数据库并不是简单地把集中式数据库用网络连接起来,使网络上的合法用户能够分别登录到各个数据库。
网络数据库是运行在计算机网络环境中,可供多个事务同时共享数据的数据库系统。
3.1 数据库管理系统
数据库安全是处于数据库管理系统(DBMs)的管理与控制下,而DBMS又是建立在操作系统上的。
DBMS提供可靠的保护措施以确保数据库的安全。DBMS对数据库的安全从如下3个方面提供帮助:用户授权;防止非授权用户使用系统的问题;统计数据库的安全性。
3.2 访问控制
访问控制是数据库管理员的基本手段,它是对用户访问数据库各种资源,如表、视窗、各种目录以及实用程序等所授予的权利。这种数据庠管理手段是由DBMS提供的。数据库用户按其访问权限的等级,一般可分为3类:一般用户、具有支配部分数据库资源特权的用户、具有DBA特权的用户。
3.3 数据加密
数据库访问控制的安全措施是防止从数据库系统中窃取数据。但如果有人窃取存储数据的介质,如磁盘、磁带等,或从通信线路上窃取,则数据库系统本身就无法控制了。为了防止这类窃密,比较好的方法就是对数据加密。
3.4 跟踪审查
跟踪审查是一种数据库安全的监视措施,它对某些保密的数据跟踪并记录有关这些数据的访问活动,一但发现潜在的窃密企图,重复进人的、相似的查询,可以根据这些数据进行事后分析和调查。
4 密码技术
密码技术包括密码设计、密码分析、密钥管理、验证技术等。
对数据进行加密,都有其实现的方法,这种加密的方法称为加密算法。
4.1 对称密钥加密技术
对称密钥加密又称作私钥加密,因为加密和解密使用相同密钥,并且密钥是保密的,不向外公布。
4.2 非对称密钥加密技术
非对称密钥加密技术又称为公开密钥加密技术。它有两个不同的密钥:一个是公钥,另一个是私钥,在进行数据加密时,发送方用公开密钥将数据加密,对方收到数据后使用私钥进行解密。
5 防火墙技术
随着互联网的迅速发展,网上信息已经成为人民生活中不可缺少的一部分,网络安全问题也被人们高度重视,作为保护局域子网的一种有效手段,防火墙技术备受青睐。
5.1 定义
防火墙作为内部网与外部网之间的一种访问控制设备,常常安装在内部网和外部网连接处。防火墙是由路由器、堡垒主机、或任何提供网络安全的设备的组合,是安全策略的一个部分。
5.2 技术原理
5.2.1 包过滤技术
包过滤技术是一种基于网络层的防火墙技术。根据设置好的过滤规则,通过检查IP数据包来确定是否该数据包通过。
5.2.2 代理技术
代理技术是与包过滤技术完全不同的另一种防火墙技术。其主要思想就是在两个网络之间设置一个“中间检查站”,两边的网络应用可以通过这个检查站相互通信,但是它们之间不能越过它直接通信。 5.2.3 状态监视技术 这是第三代防火墙技术,集成了前两者的优点。能对网络通信的各层实行检测。同包过滤技术一样,它能够检测通过IP地址、端口号以及TCP标记过滤进出的数据包。
状态监视器的监视模块支持多种协议和应用程序,可方便地实现应用和服务的扩充。此外,它还可监测RPC和UDP端口信息,而包过滤和代理都不支持此类端口。这样,通过对各层进行监测,状态监视器实现网络安全的目的。
5.3 体系结构
5.3.1 包过滤防火墙
它是最基本、最简单的一种防火墙,可以在一般的路由器上实现,也可以在基于主机的路由器上实现。
内部网络的所有出入都必须通过过滤路由器,路由器审查每个数据包,根据过滤规则决定允许或拒绝数据包。
5.3.2 双宿主主机防火墙
这种防火墙系统由一种特殊的主机来实现。这台主机拥有两个不同的网络接口,一端接外部网络,一端接需要保护的内部网络,并运行代理服务器,故被称为双宿主主机防火墙。
5.3.3 屏蔽主机网关防火墙
它由一台过滤路由器和一台堡垒主机组成。在这种配置下,堡垒主机配置在内部网络上,过滤路由器则放置在内部网路和外部网络之间。
5.3.4 屏蔽子网防火墙
屏蔽子网防火墙在屏蔽主机网关防火墙的配置上加上另一个包过滤路由器。
在屏蔽主机网关防火墙中,堡垒主机最易受到攻击,而且内部网对堡垒主机是完全公开的,入侵者只要破坏了这一层的保护,那么入侵也就成功了。屏蔽子网防火墙被凭就是在被屏蔽主机结构中再增加一台路由器的安全机制,这台路由器的意义就在于它能够在内部网和外部网之间构筑出一个安全子网,从而使得内部网与外部网之间有两层隔断。用子网来隔离堡垒主机与内部网,就能减轻入侵者冲开堡垒主机后而给内部网带来的冲击力。
6 结语
网络安全、数据库安全、密码技术、防火墙技术等方法,单独应用在计算机网络中各有其局限性,采用复合技术才能保障计算机网络和信息安全运行和存储,计算机网络的安全措施必须要全方位地考虑到来自不同渠道的隐患和威胁,确保网络系统安全、信息的保密性、完整性和可用性。