李仁乐
(山西广播电视大学长治分校 山西省长治市 046000)
当今社会,计算机网络得到了高速的发展。可以说,人们的生活几乎离不开计算机网络,但是网络安全也备受人们的重视。在网络数据传输的过程中,要保证数据传输的安全性,就要使用信息加密技术,防止信息被获取和修改。计算机网络安全结构的建设是关系网络安全的重要环节,设计好的计算机安全结构能够保证网络安全功能的完整性,降低安全管理的开销,增强网络安全的功能。计算机网络具有较高的便利性,利用网络可以使我们随时随地办公和交换信息。但是,计算机网络也会受到骚扰和攻击,影响到信息的正常传输,使得网络安全得不到保证,降低了信息可信度。以此,创建计算机网络安全结构具有重要意义。
计算机网络由两部分组成通信网络和信息资源,信息资源在通信网络中可以传递,实现信息的共享和使用。通信网络如同现实生活中的高速公路。但是二者在传递内容和形式上有着不同,另外传输速度上后者无法与前者相比。
计算机网络受到的威胁可以分为人为因素和非人为因素两种。非人为因素的威胁指的是在非人为破坏的情况下,硬件设备和软件出现问题,导致信息无法正确保存和传输。比如由于地震、火山爆发、雷暴等自然天气造成的网络故障或信息传输失败,还有意外断电导致的信息传输的丢失等。人为因素的威胁指的人为对网络的破坏,导致的各种网络安全问题。比如计算机病毒和木马的攻击,和数据的非法泄露、截取、更改等。
针对计算机网络受到的威胁,计算机网络安全可以分为实体安全和信息安全两个方面。实体安全指的是计算机网络中的硬件设备、操作系统及软件的安全。信息安全指的是计算机通信网络中信息的存储和传递的安全[1]。
信息加密是网络安全的一项重要技术,信息加密技术是通过算法保护信息传输与存储数据不被泄露和更改的技术。利用加密算法把数据转换成另外的形式,如果没有密钥就无法解读报文。密钥是加密和解密算法在加密和解密数据时的重要参数。目前已经有两百多种转换算法标准,如IDEA 算法、RSA 算法与DES 算法等,它们主要分为对称和非对称密钥系统两类。对称密钥系统的加密和解密密钥是相同,发送方和接收方要把密钥保存好,一旦泄露,信息安全就得不到保障。非对称密钥系统的加密密钥和解密密钥是不同的,加密密钥是公开的,无需保密,而解密密钥是私有的,不能公开,需保密,一旦泄露,信息安全就得不到保障。
图1:防火墙的工作原理
图2:CA 认证模型示意图
DES 算法为高对称加密系统,有效密钥长度为56 位,其具有较快的加密速度。但是其安全性已经无法满足实际需求。RSA 算法是能够同时实现加密与数字签名的算法,方便操作与理解。RSA 算法是目前使用最为广泛的非对称密钥算法。
将密钥加密技术应用到数据传输和存储中,即便是被黑客入侵,也不易被窃取者得到正确密钥,有效保证数据内容的安全。但是密码总是会被破译,此也是密码加密技术发展的动力。随着科学技术持续发展,在此过程中要创造更加可靠的加密算法,才能够提高计算机网络的安全性[2]。
防火墙为目前使用最经济、普遍的网络安全技术。它是由硬件设备和软件构成,在内外部网、公用网、专用网中创建的保护屏障。网络防火墙是对网络安全保证的第一道城墙,实现网络的安全就要安装并开启防火墙,网络防火墙将目的地址、源地址、协议、应用和IP 包端口作为基础对数据包是否通过进行判断,还能够对每条规则是否相符进行检查,与规则不符,就利用默认规则丢弃此包。基于UDP 与TCP 数据包端口号,网络防火墙对是否允许创建指定连接进行判断,比如Telnet 连接。内外网之间的访问都要需经过网络防火墙,进行访问控制,进而保证内部网的安全性[3]。图1 为防火墙的工作原理。
防火墙也不是万能的,它不能阻止来自网络外部所有的威胁,而且也不能阻止内部网络用户对自身网络的攻击。它也不能防范大多数的病毒[4]。
PKI 公钥基础设施,它是一种利用公钥密码加密技术为基础的网络安全平台。核心部件CA 认证机构,主要功能是负责电子证书的申请、发放及认证等工作,使得网络中的用户在传递数据时,都有自己的数字证书,保证数据来源身份的真实性。PKI 主要利用公钥加密技术和数字证书等技术。CA 认证机构为每位经过身份确认的申请者分发数字证书,数字证书的内容包括认证机构的信息、用户的信息、分配的公钥、数字签名及有效期等。发送者在发送信息时,要将加密的信息和数字签名捆绑在一起,发给接受者。接受者通过信息中的数字签名来,来验名发送者身份的真伪[5]。图2 为CA 认证模型示意图。
通过研究单位内部网和互联网的安全域表示,目前单位内部网络指的是具备业务性质与办公的网络,假如不限制网络行为,就会严重威胁到内部重要生产业务系统。网络安全域的建设重点是为内网和互联网区提供安全防护。内部网的网络安全除了应用防火墙技术、信息加密技术和认证技术外,网络安全还要从以下三个方面进行:
(1)内部网区的建设;
(2)安全防护支撑区的设置;
(3)网络安全制度的制定[6]。
3.3.1 内部网区的建设
在计算机的内网中,主要承担着单位生产和办公等业务。在内网中,每一位用户都要做好安全认证。只有进过身份认证,才能够进行下一步。内网中的服务器、客户端和其他设备等,都需要用户的身份认证。通过了身份认证,接下来面对的是权限分配的问题,这就需要引进访问控制技术,来决定谁能使用那种资源,谁进入那个系统,同时在使用资源时,拥有那种权限。不同级别的用户,拥有不同的权限。这些权限比如有读取数据、修改数据、上传、下载等。这样会使信息资源得到合理合法的使用[7]。
还会使用到入侵检测技术,它通过对网络和计算机中的重要信息进行访问,并进行分析,来判断是否遭到入侵。访问的这些信息包括日志文件、流量、文件和程序的违规操作等。一旦发现入侵,能够发出报警信号。
在内网中,日志也是保障计算机安全的重要措施,它可以把计算机的登陆信息及操作信息以文件的形式记录下来,为以后的查询提供方便。这个文件与一般文件不同的是,该文件是由系统来管理的,一般的用户不能修改[8]。
3.3.2 安全防护支撑区的设置
实现安全防护支撑区的设置,在此区域放置安全技术防护设备,比如防病毒系统、准入控制设备、IDS 设备、桌面安全系统等。在此区域还可以实现一些安全防护支撑系统相应技术设备,比如漏扫系统,能够及时的发现系统与设备中的安全风险,及时使信息系统隐患打上补丁;堡垒机,能够实时监控内网络中所有节点的状态和活动轨迹,以便报警和实时处理;日志审计,实现网内设备的日志分析、收集,从而使信息安全人员通过综合日志审计平台掌握网络整体的安全状态[9]。
3.3.3 网络安全制度的制定
网络安全的具体操作者是人,因此要从人的角度去考虑,建立完善的网络安全管理制度。安全制度是内网安全保障的重要环节。它的主要内容应该包括网络中各个岗位的职责划分,每个岗位的实施步骤和注意事项。另外还要提出有效的应急预案,在出现安全问题时,做到有章可循。同时要建立网络安全知识培训机制,切实提高全体人员的网络安全知识和防范意识。操作者规范了,网络才会更安全[10]。
在计算机技术不断发展的过程中,计算机网络在人类生活中的作用也不断提高,网络安全问题也不断的增加,对网络安全造成危害的犯罪行为也逐渐出现。所以,就要重视网络安全问题,并且使用积极有效的应对策略,基于实际网络情况,创建完整网络防御系统,相互协调,充分发挥各自的优势,对计算机网络安全进行保护。以此,本文分析了计算机网络安全原理,提出了基于加密技术的计算机网络安全结构设计。