张军虹
(国网河北省电力公司盐山县供电分公司)
摘要:近年来计算机技术取得了突飞猛进的发展,互联网的应用也越来越广泛,在网络环境下运行的各种应用系统越来越多,通过网络传输的各种信息也在不断增加。从目前集团公司计算机技术的应用情况来看也是如此,目前集团公司已经建立了企业网站,电子邮件等系统,并且已经实施了ERP、电子商务、HR等信息系统,许多重要信息都存储在网络服务器中,因此网络系统的安全至关重要。这就要求我们对安全问题进行深入分析研究,在整个集团建立多层次的网络安全体系。本文立足于集团公司网络系统安全体系的规划与实施,对集团网络系统方面存在的安全问题进行了深入分析,针对这些问题给出了总体解决方案并在集团内进行了全面实施。
关键词:网络安全; 用户权限; 安全策略;
前言:本文主要从以下几个方面着手开展工作,第一,从网络安全的角度对集团网络系统存在的安全问题进行了系统的分析。第二,根据集团网络系统存在的安全问题,从网络系统平台、传输加密系统、用户权限管理和病毒防范控制系统等几个方面进行规划设计,形成了一套比较全面的网络系统安全方案。第三,根据网络系统安全方案对网络系统平台进行了安全策略的实施,主要包括域用户策略、单点登录策略、VLAN划分和防火墙策略、复杂密码策略、补丁更新策略及传输加密系统的实施,提高了系统的安全性。第四,实现了用户权限管理系统,包括用户和角色管理模块、资源管理模块、审计管理模块的功能设计和程序实现。通过用户权限管理系统的实现,在集团内建立了统一的用户权限管理系统,对信息资源的访问实现了有效的控制和访问过程跟踪,保证了信息系统的安全性。第五,建立了病毒防范控制系统,在集团内全面部署了中央集中控管的防病毒系统,并在反垃圾系统中增加了病毒检测功能,提高了病毒防范的效率,同时实施了客户端检测系统,对于客户端防病毒系统安装运行情况进行定期检测,保证了防病毒系统的实施效果。。
1 网络安全主要技术分析
1.1信息加密技术
加密技术是网络安全的基础。在网络信息传输过程中,采用信息加密技术即利用技术手段把重要的数据变为乱码(加密)传递,以防数据在传输过程中被他人窃听。目前加密技术有对称加密和非对称加密两种。
(1)对称加密技术
对称加密的特点是文件加密和解密用的是同一密钥,即加密密钥也可用做解密密钥。 如数据加密标准算法(DES)就是一种著名的常规密钥算法,它是128位对称密码算法,支持着美国的电子商务活动。它采用替换和移位的加密方法,具有加密速度快的特点,常用于加密长报文。它将需要加密的信息划分成若干数据组,每组64位,然后以组为单位,在密钥的控制下进行一系列的线性或非线性的变化而得到密文。 由于DES具有不需要同步的优点,在分组交换网中被广泛采用。 对称加密算法的优点是使用简单快捷,密钥较短, 缺点是难管理, 不适应开放网络中大量的信息交流。
(2)非对称加密
非对称加密是加密和解密需要用一对密钥——公钥和私钥各一把。如用公钥对文件加密,只有用对应的私钥才能解密,反之亦然。 非对称加密算法采用一个对外公开的加密算法和一个对外保密的解密算法来对信息进行加解密。非对称加密算法的算法速度较慢,不宜对大量的数据进行加密,如公开密钥算法RSA算法,它将加密密钥和解密密钥分开,并将加密密钥以公钥簿的形式在网络上公布,解决了加密密钥管理的难题。由于公开密钥算法比常规密钥算法安全,但速度慢, 因此在实际应用中常把两种算法结合起来使用。如作为E-mail保密通信标准的PEM(保密增强邮件)算法就是采用DES加密信息,而用RSA传递会话密钥。这样既发挥了DES 加密速度快的优势,又解决了密钥管理的难题。
1.2身份认证技术
通过建立身份认证系统(如Kerberos网络用户认证系统),可实现网络用户的集中统一授权, 防止未经授权的非法用户使用网络资源。在网络环境中,信息传至接收方后,接收方首先要确认信息发送方的合法身份,然后才能与之建立一条通信链路。身份认证技术主要通过一次性口令技术和数字签名来验证用户身份是否合法, 以减少采用公共网络进行数据传输的风险。
(1)一次性口令技术
口令并不在网络上传输而是在两段进行字符串的匹配。客户端利用从服务器上得到的连接请求和自身的口令计算出或从列表中选择一个新的字符串并将之返回给服务器。在服务器上利用比较算法进行匹配。如果匹配,就允许建立连接。所有连接请求和字符串都只使用一次。目前,常采用口令加密和将用户账号与相应口令分开存放的方法来对口令进行管理。
(2)数字签名
数字签名是通过密码算法对数据文件进行加密解密变换实现的。
期刊文章分类查询,尽在期刊图书馆 对文件进行一般加密解决了数据安全传输过程的部分问题,采用则可判断传输的数据是否完整、是否被改动以及确定数据发送人的身份。 如新加坡在《电子交易法令》中提及的“散列功能”技术就是一种数字签名技术。它是把数据文件的二进制码相累加,去掉最后的若干位。 其特点是它代表了文件的特征,数据文件如改变,数字签名的值也将发生变化。“散列功能”技术对发送数据的双方都是公开的。通过采用数字签名,基本实现了在公开网络上数据的安全传输。数字签名具有三个方面的作用:①接收者可以核实发送者对报文的签名; ②发送者事后不能否认对报文的签名; ③接收者不能伪造被签名文件。数字签名既是一种信息接收者对信息发送者进行身份认证的手段,也是一种反抵赖的措施。数字签名一般采用公开密钥技术实现, 也可采用Hash 签名。
1.3防火墙技术
防火墙是一种隔离技术, 通过对特定的网段和服务建立有效的访问控制,在内外网之间形成一道安全屏障。它能让“同意”进入的外部信息到达内网,同时将“不同意”的信息拒之门外,使得大多数的外部攻击的恶意程序(如计算机病毒和木马程序等)在到达内网之前就能被阻止,以保障网络安全。
(1)防火墙的技术类型
防火墙的实现技术可分成网络级和应用级。网络级防火墙可基于源地址、目的地址、应用协议和IP包的端口来做出是否允许信息通过的判断,具有速度快和对用户透明的特点。应用级防火墙从应用程度来进行存取控制,可以理解应用层上的协议,常使用应用网关或代理服务器来区分各种应用。通过检查进出的数据包,防止受信任服务器或客户机与不受信任的主机间建立直接联系。
(2)防火墙的主要功能
防火墙的主要有两种功能即具有IP地址鉴别和地址转移。IP地址鉴别是通过鉴别数据包的IP地址与网关接口是否相符,防止以修改IP地址的方式进行非授权访问。网络地址转移是通过在广域网和局域网之间运行一个被称为“地址转移”的进程,将局域网内部使用的IP地址映射到一个由防火墙使用的“安全”的IP地址,以屏蔽掉局域网内部真正的IP地址,从而对局域网起到保护作用。如CheckPoint公司的防火墙产品 FireWall,在实现技术上采用面向对象的体系结构,定义了七种管理器:网络对象管理器、用户管理器、 服务管理器、资源管理器、时间管理器、服务器管理器和密钥管理器。 同时通过对包过滤器及各种应用代理建立起统一的规则库来实现功能扩充, 对局域网可起到较好的保护作用。
1.4交换式虚拟局域网技术
交换式虚拟局域网技术是一种以交换机作为网络中心,同时采用虚拟局域网逻辑拓扑结构来加强网络安全的技术。以交换机作为网络中心是通过在网络设计中采用以交换机为中心的网络格局,使数据仅在两个节点之间传送,从而有效地防止非法监听。虚拟局域网是很多物理网络的逻辑集合,这些网络集合看起来好像一个物理网络。 采用交换式虚拟局域网技术可以使以太网的广播机制实际上变为点到点连接, 将传统的基于广播的局域网技术发展为面向连接的技术, 使得信息通信通常只在某个虚拟局域网内部进行。
1.5数据安全存储技术
随着社会信息化建设的发展,网络系统中数据的安全性问题就显得愈来愈突出。由于计算机网络系统的脆弱性,致使系统安全风险总是存在的。因此,制定系统的应急和灾难恢复计划,以便在灾难发生时,能够采取各种有力的措施使损失减到最小程度就显得特别重要。 为了解决数据安全及应用的不间断问题,应采用全方位数据存储备份及恢复技术对系统数据进行全面、可靠和多层次的备份。数据安全存储技术是指在网络环境下,对数据进行集中备份管理, 实现备份自动化和灾难恢复的技术。
(1)备份自动化
目前被广泛采用的存储备份方法有三种:完全备份、增量备份和差异备份。完全备份就是将服务器上所有需要备份的数据进行备份, 它把系统数据的完整副本存储到一份或一组磁带上。完全备份的优点是容易进行系统的恢复,缺点是需要备份的数据量大,耗费时间多。增量备份是只备份自上次备份以后有变化的数据。增量备份的优点是备份的数据量小,减少了备份的耗费时间。缺点是不能记录系统已经删除的数据。差异备份就很好地解决了增量备份的缺点,它对上次进行完全备份后所有发生改变的数据进行备份,而不是从上次备份的时间开始算。差异备份和增量备份相比,其另一优点是在对服务器系统的数据进行恢复时,恢复量小,减少了恢复过程出现故障的机会。
(2)系统恢复技术
系统恢复有硬件恢复和软件恢复两种方法。硬件恢复是借助备份服务器等备份恢复设备进行系统恢复; 软件恢复则是采用具有系统恢复功能的软件, 比如使用数据恢复工具软件, 当文件被误删除或文件分配表(FAT)被破坏造成文件信息丢失之后,此类软件能通过直接扫描磁盘抽取包括文件名、文件类型、原始位置、创建日期、删除日期、文件长度等在内的信息,用户可以根据这些信息恢复自己需要的文件,甚至可以通过TCP/IP网络协议对网络上的其他计算机中丢失的文件进行恢复,从而为整个网络上的数据文件提供保护。
结束语:随着社会信息化程度的提高,计算机信息网络已成为重要的信息交换手段。 充分认识信息网络的脆弱性和潜在威胁, 综合运用信息加密、身份认证、防火墙、交换式虚拟局域网、数据安全存储和漏洞检测等安全控制技术。同时还必须认识到企业信息网络系统技术目前正处于蓬勃发展的阶段, 新技术层出不穷。因此,进行网络安全防范要不断追踪新技术,及时升级、完善自身的防御措施才能保证网络的正常运行。
参考文献:
[1]朱丽娜 李灿平 朱东昭:一种新的网络安全系统模型.计算机工程[J].2010,30(8):144-167
[2]袁 捷:IP网络安全解决方案探讨.电信工程技术与标准化[J]. 2010:82-85
[3]黄叔武 杨一平主编:计算机网络工程教程[M].北京: 清华大学出版社,2012年
论文作者:张军虹
论文发表刊物:《电力设备》2016年第11期
论文发表时间:2016/8/24
标签:备份论文; 密钥论文; 网络论文; 数据论文; 系统论文; 技术论文; 数字签名论文; 《电力设备》2016年第11期论文;