基于涉密计算机网络安全保密解决方案的探究

(整期优先)网络出版时间:2014-12-22
/ 3

基于涉密计算机网络安全保密解决方案的探究

贺安鹰

贺安鹰

(江苏东大金智信息系统有限公司江苏南京211100)

摘要:随着我国信息化水平的不断提高,计算机网络的应用越来越广泛,已经成为人们日常生产生活必不可少的系统工具。但是计算机网络在给人们带来便利的同时,由于计算机网络开放的特性,一些潜在的威胁也随之出现,计算机网络安全无时无刻不在受到各种威胁因子的侵害,网络病毒的无法扫清,黑客的日益猖獗等都让人防不胜防。而涉密系统的特殊性更是需要我们重视计算机网络的安全防护。

关键词:计算机网络网络安全威胁

计算机的网络安全是通过网络对其进行有效控制和应用安全技术保险,以保证计算机随时随地保持安全的网络环境,使各种数据资料实现原有的保密性和完整性。本文通过对加强计算机网络安全保密的措施进行论述以及计算机网络存在的一些普遍安全问题进行了论述,以此提出了加强计算机网络安全的一些措施。

一、目前计算机网络系统的普遍安全问题

现代化的信息网络建设使我们在享受到计算机网络带来的高效的信息共享和快捷的信息传递的同时,系统也在面临着来自多个方面的信息攻击。

(一)黑客的入侵

我国目前的大多数计算机网络系统都是采用以广播为基础的以太网,在同一个以太网中,任意两个节点间的通信数据包可以被两个网络的节点网卡所接收,还可以让处于一个以太网络上的任意一个节点网卡所截取。此外,为了工作的便利,办公的网络系统都具备与外网和国际网络相连的出入口,所以外界和国际网络中潜在的黑客很有可能乘虚而入,侵入计算机网络进行资源的获取,黑客可以捕获到以太网中的网上数据包,并对其进行解包分析处理,以此窃取到想要得到的有用信息;在这种网络环境下,黑客非常容易将数据包窃取,导致信息的丢失。

(二)各种网络病毒的感染

随着我国网络建设水平的提高,各种网站和应用层出不穷的出现在网络中,一些附带的网络广告更是顺势滋长,为各种计算机网络病毒的出现创造了条件。目前,计算机网络病毒已经有3万多种,而且还在以每年300多种的速度不断增加,破坏力明显增强。一旦计算机受到病毒的侵袭,计算机就会遭受系统的损伤出现数据的遗失,甚至会造成系统的瘫痪死机,造成无法挽回的损失,严重影响了人们的工作和生活。

(三)数据遭受破坏

网络系统的破坏除了黑客的入侵破坏和病毒入侵以外,恶意的破坏还有很多种。数据的破坏是其中一种广泛存在的危害,数据的破坏主要体现在:破坏了服务器的硬盘引导区数据、删除或是覆盖了原有的数据文件、破坏了应用程序的数据等。此外,就是病毒的破坏,病毒会对系统的数据区产生破坏,包括主盘的引导扇区域以及文件目录等;病毒还会经常攻击文件的数据领域,致使文件被强制删除、替换、丢失程序代码等;最后就是因为各种自然灾害导致的突然断电等致使数据遭受到破坏。这种数据的破坏会严重影响到各种经营活动的顺利进行,造成较大的经济损失和人力、物力的巨大浪费。

二、对于涉密系统安全保密方案设计需要注意的问题

(一)对于涉密系统和非涉密系统的划分内容。对于这种系统的安全保密方案首先就要根据工作的要求对涉密系统和非涉密系统进行划分。再对涉密系统的规模和范围进行严格的定密标准,系统对所处理的传输内容定密的程度太高,使得保密的成本过大,应用因此受到的严重阻碍,为信息安全留下了隐患。

(二)对于涉密系统安全区域的划分。涉密系统安全区域划分主要有两个部分,一是实施安全策略地域和主客体。涉密的系统要通过局域网、逻辑子网等网络结构建设,要按照信息的密急程度和重要程度对系统进行划分。要是安全的区域需要相互的连接,要使用防火墙等安全的保密设备对网络的边界进行防护,对网络访问进行有效的控制。

(三)加强管理。管理和技术的应用应该各占一定的比例,管理在一定程度上可以有效的弥补技术的不足,如果没有管理,技术再如何完善都会出现安全问题。因此,在设计安全的保密方案时,一定要突出保密管理的重要作用,将管理与技术达到完美的统一。

三、涉密系统的安全保密内容

(一)针对系统的分析

计算机的系统安全保密方案主要说明系统资源的利用情况,比如,硬件的使用情况以及软件的使用情况和信息资源的使用情况等;系统的用户和网络管理员的联系情况,比如:系统的名称、系统的性能状况、进行访问的权限、使用的对象和进行安全保密的方法等;进行系统传输的介质、图例的相关说明等。

(二)基于安全保密系统的设计

计算机网络的安全控制系统可以有效的对计算机的终端、服务器和移动数据平台进行监控。主要的内容有:对计算机网络的使用人员进行监控和认证;对USB、光盘以及网络的接口等终端的访问进行授权和控制;对于网络上传的数据文件进行监测;对重点的涉密数据和文件进行保护。

具体的功能有:(1)计算机的安全是通信端口和服务器的连接与加密,还要对其进行有效的认证;对本地储存的硬盘进行加密设置;通过USB令牌密码协议的实现达到管理权限的控制连接;只有采用合法的授权方式才能保证服务器的正常运转。(2)客户端的安全实际上是一种有效的网络保护手段,可以通过把文件进行隐藏和保护客户端控制的文件和注册的列表,达到对系统远程线程的接收并进行监控,以有效的防止客户端遭受破坏;认证的过程是双向的,可以让客户的身份得到可靠的保障;对本地的存盘进行保密设置。(3)通过全面的加密体系建设达到对数据、指令以及策略的传输进行加密设置,就是通信安全。(4)管理安全就是指通过授权的USB令牌达到和服务器的有效认证和准确的连接,从而获得更多的管理权限;可以通过分权制衡的方法将管理员和审计员有效的分离。

四、计算机网络安全的技术应用

(一)防火墙的应用

防火墙是就是一个由软件或者硬件设备组成的,用来阻断外界对内部网络进行访问和查看的权限,处在单位或是网络用户的计算机与外界的通道之间。防火墙是目前广泛使用的网络安全屏障,为计算机配置防火墙功能是使计算机达到安全、经济的有效手段之一。

通过防火墙进行安全方案的配置,把防火墙作为中心,将需要的安全软件配置在防火墙上,在对网络的访问进行实时的监控。一旦所有的访问都经过防火墙进行操作,防火墙能够及时的把访问的信息记录下来,还能提供相应的使用数量的统计,如果发生了危险的操作,防火墙就会做出警报,提供检测的所有详细信息,防止了信息的外泄。可见有效的利用防火墙对计算机网络进行有效的监督,降低了计算机中局部重点或是敏感安全部位受到可疑目标的侵袭的风险,对计算机的安全使用造成了影响。

(二)入侵防护技术的应用

随着计算机网络攻击技术的不断提高和网络安全漏洞的不断发现,传统防火墙技术已经无法应对一些高级安全威胁。在这种情况下,入侵防护技术应运而生,入侵防护技术可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。

对于部署在数据转发路径上的入侵防护设备,可以根据预先设定的安全策略,对流经的每个报文进行深度检测(协议分析跟踪、特征匹配、流量统计分析、事件关联分析等),如果一旦发现隐藏于其中网络攻击,可以根据该攻击的威胁级别立即采取抵御措施,这些措施包括:向管理中心告警;丢弃该报文;切断此次应用会话;切断此次TCP连接。我们一般建议在内网与外部网络的出口处部署入侵防护设备。至于其它区域,可以根据实际情况与重要程度,酌情部署。

(三)数据加密技术的应用

加密技术比起防火墙更加的灵活和实用,非常适合开放环境下的计算机网络,加密的内容主要是对各种动态的信息进行有效的保护。计算机的网络侵袭主要分为主动网络侵袭和被动的网络侵袭。主动的网络侵袭可以进行有效的检测;对于被动的侵袭就可以通过数据加密的方法就行保护。机密技术一般都是在计算机内设置加密的口令,在进行信息交换的过程中如果私有的口令不被外泄,就可以保证机密数据和文件的完整。可见数据的加密技术还是操作比较简单的一种方式。

五、案例分析

中电集团下的某研究所主要为我国航空、航天等领域的国防装备提供高精尖产品,因此该所部分计算机网络系统为涉密系统。为了保证涉密计算机网络的安全可靠,该所实施了以防火墙、安全网闸、身份认证系统为主的安全防护项目。

该项目主要从下列4个方面进行系统的安全防护和加固:

(1)网络安全:网络安全是整个安全体系中的基础,包括安全网关、入侵检测、入侵防御、安全网闸等。首先防火墙作为核心的安全网关设备主要作用是在网络入口点检查网络通信,根据用户设定的安全规则,在保护内部网络安全的前提下,提供内外网络通信。入侵检测和防御系统需要实时防止外部的攻击行为,并提供给审计系统,实时分析网络中的安全威胁。同时在网络边界部署安全隔离网闸实现相互业务隔离的网络之间的数据交换。(2)应用安全:主要包括WEB应用防火墙、流量控制与管理、邮件保护系统等。WEB应用防火墙,主要实现对web平台攻击的防护,能防止基于xml脚本的攻击和SQL注入行为。流量控制管理系统提供了一套有效的网络行为监控和网络流量带宽控制机制,同时对用户的上网行为高效率管理。(3)系统安全:包括病毒防护、漏洞扫描、补丁分发等。漏洞扫描能定期对应用系统实施扫描,提供漏洞报告,补丁分发系统具备实时分发补丁的能力。(4)信息与数据安全:包括身份认证、信息保密与加解密、数据完整性验证、安全审计系统等。建设统一的身份认证体系,主要通过身份认证、访问控制、权限管理等技术措施,解决应用系统的身份认证相关问题,从而保证数据中心数据完整性、保密性和行为的不可否认性。安全审计系统作为一个独立的安全系统包括内部登录的审计,用户权限的审计、操作行为的审计等。

通过项目的实施,该涉密计算机网络系统实现了如下六大目标:

(1)完整性目标:防止存放在服务器和远程终端系统中的信息数据被非授权篡改。(2)可用性目标:确保网络和信息系统连续有效地运转。(3)保密性目标:确保在网络上传输的业务数据和敏感信息不会泄漏给任何未经授权的人和实体,或供其使用。(4)真实性目标:对通信中的对等实体所宣称的身份的真实性进行鉴别。(5)可控性目标:保证系统资源不被非法访问及非授权访问。(6)可审查性目标:能记录系统中发生的全部访问行为,为出现的安全问题进行及时的告警响应并为调查取证提供依据和手段。

结语:

本文对计算机网络常出现的安全问题进行了深入的解析,对加强计算机网络安全的方法进行了列举,重点分析了涉密系统的安全保密内容。同时介绍了计算机网络安全的几种应用技术。最后分析了某研究所涉密计算机网络安全防护系统的建设内容和达到的效果。

参考文献

[1]刘勇.基于涉密计算机网络安全保密解决方案的分析[J].信息通信,2014(2).[2]俞迪.基于涉密计算机网络安全保密解决方案的分析[J].中国新通信,2014(3).

[3]秦天增.计算机网络安全保密解决方案的分析[J].信息安全与技术,2014(8).[4]孙大勇.计算机网络安全所面临的威胁及对策[J].黑龙江科技信息,2012(10).[5]童荪.企业级计算机网络安全体系的研究与应用[D].华南理工大学,2006.