关键词:网络信息安全
计算机具有惊人的存贮功能,使它成为信息保管、管理的重要工具。但是存贮在内存贮器的秘密信息可通过电磁辐射或联网交换被泄露或被窃取,而大量使用磁盘、磁带、光盘的外存贮器很容易被非法篡改或复制。由于磁盘经消磁十余次后,仍有办法恢复原来记录的信息,存有秘密信息的磁盘被重新使用时,很可能被非法利用磁盘剩磁提取原记录的信息。计算机出故障时,存有秘密信息的硬盘不经处理或无人监督就带出修理,也能造成泄密。如何在保证网络信息畅通的同时,实现信息的保密,我认为应从以下几个方面做起:
1建立完善的网络保管制度
1.1建立严格的机房管理制度,禁止无关人员随便进出机房,网络系统的中心控制室更应该有严格的出人制度。同时机房选址要可靠,重要部门的机房要有必要的保安措施。
1.2规定分级使用权限。首先,对计算机中心和计算机数据划分密级,采取不同的管理措施,秘密信息不能在公开的计算机中心处理,密级高的数据不能在密级低的机中心处理;其次,根据使用者的不同情况,规定不同使用级别,低级别的机房不能进行高级别的操作;在系统开发中,系统分析员、程序员和操作员应职责分离,使知悉全局的人尽可能少。
1.3加强对媒体的管理。录有秘密文件的媒体,应按照等密级文件进行管理,对其复制、打印、借阅、存放、销毁等均应遵守有关规定。同一片软盘中不要棍录秘密文件和公开文件,如果同时录有不同密级的文件,应按密级最高的管理。还应对操作过程中临时存放过秘密文件的磁盘以及调试运行中打印的废纸作好妥善处理。
2从技术上保证网络档案信息的安全
2.1使用低辐射计算机设备。这是防止计算机辐射泄密的根本措施,这些设备在设计和生产时,已对可能产生信息辐射的元器件、集成电路、连接线和等采取了防辐射措施,把设备的信息辐射抑制到最低限度。
2.2屏蔽。根据辐射量的大小和客观环境,对计算机机房或主机内部件加以屏蔽,检测合格后,再开机上作。将计算机和辅助设备用金周屏蔽笼(法拉第笼)封闭起来,并将全局屏蔽笼接地,能有效地防止计算机和辅助设备的电磁波辐射。不具备上述条件的,可将计算机辐射信号的区域控制起来,不许外部人员接近。
2.3干扰。根据电子对抗原理,采用一定的技术措施,利用干扰器产生噪声与if调:机设备产生的信息辐射一起向外辐射。对计算机的辐射信号进行一于扰,增加接收还原解读的难度,保护计算机辐射的秘密信息。不具备上述条件的,也可将处理重要信息的计算机放在中间,四周置放处理一般信息的计算机。这种方法可降低辐射信息被接收还原的可能性。
2.4对联网泄密的技术防范措施:一是身份鉴别。计算机对用户的识别,主要是核查用户输人的口令,网内合法用户使用资源信息也有使用权限问题,因此,对口令的使用要严格管理。二是监视报警。对网络内合法用户工作情况作详细记录,对非法用户,计算机将其闯人网络的尝试次数、时间。电话号码等记录下来,并发出报警,依此追寻非法用户的下落。三是加密。将信息加密后存贮在计算机里,并注上特殊调用口令。
3加强对工作人员的管理教育
【关键词】网络安全协议;计算机通信技术;安全协议分析;安全;协议设计
作者简介:景泉,硕士研究生,辽宁石化职业技术学院计算机系,讲师,研究方向:网络测量
在最近几十年,信息技术的发展十分迅速,随着技术的进步,人们对于信息的传输和处理早已经不受到时间和空间的约束,信息网络在诸多行业之中被应用,信息网络甚至成为很多领域生存的基础,其中以金融领域和军事领域尤为明显,而且在如今的很多领域之中,如果没有了信息网络,那么整个领域可能都会有瘫痪之虞。而伴随着信息网络覆盖范围以及信息网络重要性的日益增长,网络安全问题已经成为了一个摆在人们面前的大问题,因为互联网具有很高程度的开放性,而且互联网上的信息都是可以共享的,这使得互联网可以将人们的生活相互连接在一起,帮助人们进行交互,可是这也衍生出了一系列的问题,而安全问题更是首当其冲,在这种情况下,网络安全协议就成为了确保互联网信息安全的一个十分重要的手段,通过网络安全协议来对互联网加以管控,这样才能在确保网络安全的前提下,让互联网可以更好地服务于人们的生活以及各个领域。而想要编写安全系数更高的安全协议,就一定要更加深入的了解网络安全协议,对网络安全协议的逻辑性分析部分进行系统学习和研究,这样可以从很大程度上提高网络安全协议在使用过程之中的安全性。
1网络安全协议综述
“协议”在人们日常工作生活中出现的频率越来越高,因此人们对于协议也有了一定程度上的了解。协议在绝大多数情况下指的是以完成某一个或者某几个目标为目的,且涉及到两个或者两个个体以上的情况下,由两个个体所执行的一种程序。所以从定义上来说,协定一般具备这样几个特征:(1)协议是一个过程,而且这一过程中的某几个目标存在着一定的顺序,这一顺序由协议的制定个体决定,在执行的过程之中依照既定的顺序依次执行,而且这一顺序在执行过程中不得更改;(2)协议最少要拥有两个参与其中的个体,除此之外在协议执行的过程当中,每一个参与个体都有自己要完成的环节,可是有一点要注意,这一环节并不属于协议当中的内容;(3)协议的最终目的是为了达成某一目的,故协议中应当包含对目的的预期。从以上的分析之中我们不难发现,计算机网络的安全协议其实就是在计算机通过网络传输信息数据过程之中,用来确保信息安全的一种程序。在通过信息网络传输数据的过程之中,安全协议最主要的作用就是,使用允许的一切方法来确保信息完整且有效,最常用的是密钥的分配以及对身份的认证。信息网络安全协议与上个世纪七十年代被首次使用,这一协议在当时为信息安全提供了很大程度上的安全保障,可是伴随着信息技术水平的飞速发展,安全协议同样需要与时俱进,这样才能更加适应日益多元化的信息交互方式。和从前相比,如今的科技水平已经突飞猛进,安全协议也随着科技的发展不断的完善,而其效果和从前相比也更加全面,目前最常用的网络安全协议一般情况下是SSL协议和SET协议这两种。这两种网络协议都是通过对信息进行加密来确保信息安全。
2密码协议的分类
从安全协议出现至今,还没有确定的安全协议分类规则,所以也就没有人对安全协议进行进一步的分类,可是想要将密码类型的协议严格地按照一定的规定,来进行分类几乎是做不到的,我们只能从不同的角度来对安全协议进行一个大致上的分类即:(1)认证建立协议;(2)密钥建立协议;(3)认证密钥建立协议。
3协议的安全性及其作用意义
3.1网络安全协议的安全性及其攻击检验
信息技术在最近几年的发展可以称得上是日新月异,而更多更完善地安全协议也被人们设计出来并得到了广泛应用,可是在绝大多数情况下,安全协议在应用之初由于测试机制的不完善,会存在着大量的设计安全漏洞。可以导致网络安全协议无效的因素有很多,而最为常见的是因为安全协议的编写者对信息网络没有十分深入的了解,更加没有进行系统的学习,而对安全协议本身的研究也并不够深入,这样其设计出的安全协议在使用过程之中,暴露出大量问题也就不难理解了,和设计用密码进行加密的加密程序相同,通过寻找协议的漏洞来寻找协议不安全的部分,相比于完善整个协议来说要简单得多。绝大多数情况下,在一个新的安全协议被设计出来之后要对其进行安全性分析,而在分析过程中采用的主要手段就是对其进行模拟攻击,而这样的测试主要是针对以下三个方面:(1)对协议中用于信息加密的算法进行攻击;(2)对算法以及协议本身的加密手段进行攻击;(3)对协议本身进行攻击。由于篇幅所限,下文中主要讨论的是对协议本身进行攻击测试,即默认前两者皆安全
3.2安全协议的设计方法
在网络安全协议设计的过程中,一般情况下会通过设计来加强协议的复杂性以及协议对于交织攻击的抵御能力,在此基础上还要确保协议有一定程度的简单性以及经济性。前者是为了确保协议自身尽可能的安全,而后者是为了使协议可以在更大的范围内加以使用。必须要有先设定某一方面的临界条件,才可以让设计出来的协议满足以上四个要求,而这也就是网络安全协议的设计规则。
(1)具备抵御常规攻击的能力。不论哪一种网络安全协议,最重要也是最根本的一个功能就是可以有效防御来自于网络的攻击,换而言之也就是,要求网络协议对于明文攻击以及混合式攻击有防御的能力,也就是要求安全协议可以保护所传输的信息,而不让攻击者从中取得密钥,除此之外对于已经超出使用期限的信息的筛选也应当归属在其中,也就是说同样不能让攻击者从过期信息中找出漏洞从而获取密钥。
(2)应当可以应用在任何网络结构的任何协议层。因为网络结构组成的不同,其协议层能够接受的信息长度也不尽相同,如果想要安全协议应用在更为广泛的环境之中,那么就要网络协议的密钥消息长度可以满足最短一种密钥层的需求,只有这样才能尽可能地提高网络协议的使用范围。
4结语
总而言之,在网络信息技术日新月异的现在,网络安全协议已经在计算机通信网络之中被广泛的使用。计算机通信网安全协议使用范围的逐渐扩大,不单单提高了计算机网络在传输数据过程之中的安全程度,更进一步为计算机处理信息数据提供了更大的助力。
参考文献:
[1]邱修峰,刘建伟,陈杰等.Adhoc网络安全协议仿真系统设计与实现[J].江西师范大学学报(自然科学版),2012,36(02):135~140.
城域网内部安全和城域网边界安全。
究竟该如何构建电力IP城域网的安全体系?
目前,城域网已经进入成熟稳定的发展时期,基于城域网的数据业务应用在社会经济生活中的地位日益重要,但城域网的发展也面临着网络病毒泛滥、DoS攻击、广播包等大量的安全问题。
相对于电信、教育等行业来说,电力城域网建设起步时间相对稍晚,但电力行业的业务有其特殊性和重要性,对于提供承载服务的基础网络平台要求非常高,因此电力IP城域网从一开始就按照高标准、规范性、技术适用的要求进行建设。
伴随着电力IP城域网的建设,网络安全的问题也必将越来越突出,如何设计一个稳定、可靠、安全和经济的城域网,应对日益增多的网络攻击、病毒破坏和黑客入侵等问题已成为电力行业信息化建设所关注的重点。
电力IP城域网面临的主要安全挑战包括:城域网内部安全和城域网边界安全。
城域网内部安全
城域网的内部安全根据实现城域网的网络技术特点,通过MPLSVPN、网络设备安全管理、路由认证、应用服务协议安全等安全手段,实现电力IP城域网的内部安全。
电力行业的业务应用既需要通过网络实现互联,同时不同业务之间需要在网络上安全隔离,如果为每种业务单独组建一个物理网络,那么网络的基础建设成本将足一个天文数字,而且这么多网络的维护和管理。也将与通过信息化建设节约运营成本的初衷相违背。因此.通过VPN技术,在一个物理网络上虚拟出多个逻辑私有网络,为不同的业务提供承载服务,就成了必然之选。
目前已经证明MPLSVPN技术是IP城域网建设的最好选择,由于MPLSVPN在骨干网中使用LSP隧道进行标签交换,较之普通的IP转发具有更好的安全级别。它具有天然的安全特性,不同的VPN用户之间由于无法获知对方的路由信息,从而可以理解为存在于不同的私有网络之中。
根据电力业务的需求,在电力IP城域网上通过MPLS技术划分多个业务VPN,确保不同业务之间的设备无法获知对方的路由信息。在同一种业务中通过合理设置.可以保证即使是相同的业务,如果没有互访需求。也无法相互访问。
通过设备访问的控制以及SNMP协议安全,有效地实现对电力IP城域网中数量众多的网络设备进行安全管理。
路由认证就是运行于不同设备的相同的动态路由协议之间,对相互传递的路由刷新报文进行的确认,以便使得设备能够接受真正而安全的路由刷新报文。任何运行一个不支持路由认证的路由协议,都存在着巨大的安全隐患。某些恶意的攻击者可以利用这些漏洞,向网络发送不正确或者不一致的路由刷新,由于设备无法证实这些刷新,而使得设备被欺骗,最终导致网络的瘫痪。
可以根据路由协议的不同而设计,路由协议的加密可以防止路由协议更新包的欺骗和伪造,从而保证全网路由的可靠性。目前,多数路由协议支持路由认证,并且实现的方式大体相同。认证过程有基于明文的,也有基于更安全的MD5校验。MD5认证与明文认证的过程类似,只不过密钥不在网络上以明文方式直接传送。
RIPv2、OSPF、BGP4路由协议支持MD5路由认证,而IS-IS只支持基于明文的路由认证。
网络设备的某些应用服务协议或是与网络运行无关,或是对网络运行有危害,或是协议本身有安全缺陷,如果这些特性被恶意攻击者利用,会增加网络的危险。因此,网络设备应严格限制或关闭这些协议。如限制ICMP协议、NTP协议,关闭finger服务、IP源路由、IP重定向、定向广播报文转发、TCP/UDP小端口服务等。
城域网边界安全
在解决IP城域网安全问题中,城域网的边界安全非常重要,几乎所有的数据流都来自于或流向于城域网的边界。目前解决城域网边界安全的主要技术包括:防火墙;入侵检测;网络流量分析――对边界不同类型的业务流进行准确的流量和流向分析与计量。
防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
电力IP城域网需要与省级电力骨干网互联,随着各种应用业务的投入使用。地市访问省数据中心的数据量将会日趋增多,而且全省统一Internet出口,这也造成地市城域网对省级骨干网访问的数据量非常庞大。