前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络安全的起源主题范文,仅供参考,欢迎阅读并收藏。
关键词 网络安全技术;入侵检测技术;防火墙技术;校园网
中图分类号TP39 文献标识码A 文章编号 1674-6708(2013)95-0230-02
随着计算机网络开放性、共享性及互相性的程度不断提高,网络安全问题逐渐增多,如窃取和修改网络上的信息、破解网络系统的密码、各种病毒或者黑客破环电脑的应用软件和系统设备等。因此,人们更加重视系统的操作系统的运行以及网络的安全性与可靠性,尤其是近几年来发展迅速的校园网络,存在不同程度的安全问题。因此,需要采取有效措施,使校园网变得更加安全可靠。
1常用的网络安全技术
1.1入侵检测技术
目前,网络入侵是一种影响力最大、关注程度较高的攻击行为。入侵检测系统是一种网络完全检测系统,专门用于检测网络的入侵。按照该系统的服务性质,可以将其分为三类:1)入侵检测:通过研究和分析获得的信息,可以检测到存在的入侵行为。这类系统具有管理简单、处理信息效率高的特点;2)异常检测:这类系统可以利用统计信息与采集信息的方法检测出网络或者系统中存在的异常情况,并自动地向网络管理员发出警告,使其采取行之有效的措施对网络与系统中存在的安全隐患进行及时地处理。可见,通过利用这种检测能力较强的系统,对发现存在的安全隐患具有十分重要的作用;3)攻击警告:能够及时做出事件安全性的评估和预测,从而通过入侵检测系统的判断来检测其是否具有攻击性。在运用的时候,可以根据当地的相关政策来对其进行调整,使其发挥更好的检测效果。
1.2防火墙技术
防火墙技术的主要功能是加强网络访问控制、检查网络间传输的数据包和链接方式以及监视网络的运作情况。目前,防火墙大致分为三类:1)包过滤防火墙:它主要运用过滤逻辑来过滤数据包以达到转发数据包的目的。因为包过滤对数据包的文件信息和数据信息是无法辨识的,所以只用一台机器来保护整个网络。一般情况下,包过滤需要使用两块网卡,一块网卡在公网中使用,另一块在内网中使用。在对网上的通信进行控制时,包过滤是利用双向方法完成的。通信包过滤技术虽然运行速度比较快,然而在具体操作时只能按照数据包筛选的安全性规则进行,而不能分别处理客户提出的各种各样的服务要求,所以只能生硬地拒绝或认可某种类型的服务,不能具体地控制服务中的某个操作。由此可见,过滤包技术并不能对内部网络进行有效的保护;2)应用层网关:它的主要组成部分是用户端的客户和防火墙端的服务器,除了能够理解应用信息之外,还能理解数据包的信息。应用层能对用户进行可靠的认证及提供详细的注册信息。与包过滤路由器相比,应用层的过滤规则检测与配置较简单,但需要用户安装专业的软件;3)电路层网卡:仅需要靠TCP进行连接,不需要再对其进行任何的包处理或包过滤,和导线的功能比较相似,在内外部连接之间对字节进行复制,不需要任何的包处理和包过滤。然而,因为这是在防火墙和内外部之间完成衔接的,这就对内部网络起到了一定的隐藏和保护作用。
2 网络安全技术在校园网中的应用
2.1校园网防火墙
校园网防火墙主要由两部分构成,它们是服务器和包过滤服务器,二者在校园网中的应用如下:
1)服务器的应用。服务器是一种专门用于接收网络服务中客户请求的服务器程序或者应用程序,其在防火墙主机上运作时,会依据相应的安全方案将客户的要求转变成具体的服务。器就相当于服务的网关,在完成既定服务时起到连接作用;
2)包过滤路由器的应用。包过滤路由器通常只有一个在主机内部和外部使用的多口IP路由器。通过路由器不仅能够发送数据包,还能按照站制定的安全规则对数据包进行检查,并决定数据包发送与否。站点制定安全规则的依据主要有两个,第一个是路由器获知的信息,如数据包进出端口的情况等;第二个是IP包中的相关信息,如协议、IP的目的地址、VDP源端口以及IP源端口等。校园防火墙的位置有四处:内部网到安全系数比较高的网的链路处;内部网到Internet出口链路处;远程拨号服务器和路由器或者骨干交换机之间;主干交换机到服务器区域工作组交换机的骨干链路上。
2.2校园网入侵检测系统布置
判断防御体系完整有效与否的一个重要因素是入侵检测能力。目前,防火墙的静态防御存在一些不足,需要采用更强大更完整的入侵检测体系。依据校园网的特点,在建立入侵检测体系时,入侵检测技术可以选择的分布式,在工作站上设置主机,在中心交换机上安装入侵检测系统的IDS中心服务器,并在各个校区的子网中设置网络。入侵检测系统具有三种功能,入侵检测、网络监视及网络管理,能在有效的时间内获取内外网之间发送的全部数据。为了能够检测到网络上出现的异常现象和入侵行为,可以通过内部设置的攻击特征库,并利用模式合适和智能分析的方法实现,还能准确地对相关资源信息进行监控,能够为管理员进行网络管理提供理论依据。若入侵情况较严重,入侵检测系统就会立刻做出警示,以便校园管理员采用有效的措施进行处理。校园网入侵检测系统能够通过主机、IDS中心服务器以及网络来对整个网络环境进行控制和监测,从而对周围的环境节点进行保护。尤其是安全性较高的网络环境更能够对网络范围进行更好的控制。网络能够对关系到整个主机即将遭遇的攻击进行检测,是因为它能对网络范围内的所有的数据进行访问。
3 结论
采取有效措施将入侵检测技术与防火墙技术结合起来,既能使防火墙在入侵检测技术的协助下及时地发现意想不到的攻击,又能使入侵检测技术在防火墙的协助下有效阻断外部网络的攻击行为,从而保障校园的网络安全。
参考文献
【关键词】员工安全等级;粗糙集理论;人工神经网络
1.引言
电力行业是国民经济的基础产业,它直接关系到经济发展和社会稳定。然而,电力企业员工在生产过程中,由于知识、能力与经验的不足或者心理因素等原因,为了追求某些利益,从而导致人身事故、电网事故、设备事故和火灾事故等人因事故[1]。据统计60%-70%电力生产事故是由人的失误造成的,所以减少人因失误是有效控制电力生产事故发生的关键[2-3]。
目前专门针对电力企业生产中人因失误的研究成果还不是很丰富,对电力企业生产中人的不安全行只分析了其对电力系统的影响,提出了防范不安全行为的措施,并没有对不安全行为的严重程度进行划分。另外,一些地区已经开始着手进行了员工等级的鉴定工作,但标准和方法不一致且过于简单造成了结果的不具有可比性,并且存在着评价周期长、缺乏准确性等诸多弊端。所以,需要构建统一的电力企业员工安全等级评价模型。
2.电力企业员工安全等级评价模型的设计
电力企业中现行的管理经验和方法缺乏系统性和前瞻性,管理还比较粗放,特别是员工的习惯性违章仍屡禁不止,为了从根本上提高电力企业员工的安全意识,减少人因事故的发生,本文在充分研究电企中人因失误问题的基础上,基于粗糙集与BP神经网络设计了电力企业员工安全等级评价模型,模型框架如图1所示。
评价前,首先要确定宽泛的评价属性集,然后收集数据,界定属性值语义,并对每个属性界定属性值,最后构建出属性约简决策表。构建员工属性决策表是进行员工安全等级评价的首要问题,决策表是一类特殊而重要的知识表达系统,多数决策问题都可以用决策表形式来表达。
评价中,将粗糙集作为人工神经网络的前置系统,以减少神经网络的复杂性。
评价后,为了进一步检验评价模型的性能,评价结束后要对评价结果进行仿真分析。利用相关函数对网络进行仿真,并计算输出结果和目标输出之间的误差,从而作为网络训练结果优劣的判别依据。
3.评价核心要素的提取方法
在评价过程中,为了解决人工神经网络当输入的信息空间维数较大时,网络结构复杂和训练时间长的问题,所以在这里使用粗糙集作为神经网络的前置系统[4]。
3.2 属性约简算法
粗糙集的属性约简就是指在保持原始决策表条件属性和决策属性之间的依赖关系不发生变化的前提下删除冗余的属性和属性值[5]。粗糙集的属性约简算法有很多种,本文使用的是基于区分矩阵的约简算法。算法具体如下:
(1)计算区分矩阵,将区分矩阵的核赋给约简后的集合;
(2)找出不含和指标的指标组合;
(3)将不包含和指标的指标集表示为合取范式;
(4)将合取范式转换为析取范式的形式;
(5)根据需要选择合理的指标组合。
4.BP神经网络的实现
6.结论
笔者在综合分析国内外相关研究基础上,提出了电力企业员工安全等级的概念,并基于粗糙集与人工神经网络设计了电力企业生产中员工安全等级评价模型,模型将粗糙集作为神经网络的前置系统,用以缩减神经网络学习时的训练样本,可达到简化神经网络结构、提高评价模型工作效率的目的,同时BP神经网络能够有效减少噪声对粗糙集评价过程的影响。最后,通过实例对模型进行应用,仿真结果说明,该网络能够较好地对电力企业员工安全等级进行评估。
参考文献
[1]袁周.电力生产事故人因分析与预防简明问答[M].北京:中国电力出版社,2007.
[2]马京源,李哲,何宏明,钟定珠.电气误操作事故人因因素分析与控制[J].中国电力,2010(5):72-76.
[3]林杰.安全行为科学理论在电力生产中的应用研究[D].贵州:贵州大学硕士论文,2006.
网络信息的安全管理主要内容包括服务和管理,所以其系统的设计需要准确地将管理内容分类。管理内容可以分为以下几种:(1)信息运行的基础阶段有两个部分,分别是自制的系统号和信息的IP地址地域名称。(2)网络信息服务的信息能够由服务器信息提供,包括服务器的访问状态和相关配置,以确保其负载平衡,让信息服务的完整性和实用性得以实现。(3)作为包括姓名、身份还有部门职位等一些基本信息的载体,用户信息是能够使信息可以安全的被访问并且控制的重要环节。(4)通过信息服务所提供的信息资源就是网络信息资源,主要包括信息的、过滤和导航等。
2计算机信息管理在网络安全中的应用现状
从1955年计算机管理系统的起源到今天,其功能经过逐步发展渐渐得到完善,功能也从单一变得广泛。计算机信息系统安全的一个重要环节就是系统的运行安全,因为需要计算机信息系统的运行过程中的安全得到保证,才能正确处理信息,发挥系统各项功能,其中主要的四个方面内容是审计跟踪、系统风险管理、应急处理、备份与恢复。网络信息管理技术中的信息除了基础信息还包括一些延伸性的网络信息,即域名、IP地址等方面,用于访问控制,提供用户所需信息,防御恶意信息,为用户日常使用提供安全服务。通常来说,计算机网络信息安全具有随着计算机系统的更新而更新的动态适应性。计算机网络信息运行过程中的威胁因素具有多样性和不确定性,致使其安全监控过程中存在混乱。建立健全网络信息安全系统要求每个系统内部环节相互配合,包括安全测试、需求分析、日常监理等。要防范攻击和病毒侵入,需要保证网络信息安全系统时刻处于动态保护中。由工业和信息化相关部门的数据可知,自2009年起,宽带注册频率逐年升高、普及率逐渐上升,迄今为止,我国网民的规模已达到4亿。然而与此同时,不法分子对浏览器的恶意篡改等行为使病毒泛滥威胁到了国内很多互联网用户,受到病毒威胁的用户所受到的损失巨大。因此,发展计算机管理系统在网络安全方面的应用是亟待解决的问题。
3计算机信息管理对于网络安全问题的解决对策
3.1加强操作系统的安全防护。在运用计算机信息管理技术时操作系统是不可或缺的。我们使用的网络操作系统在实际应用过程中容易出现纰漏,导致安全问题。所以对于操作系统需要实施特定的防护措施,提高网络安全性。例如,建立安全防护系统时时扫描安全漏洞,做到积极发现、迅速处理,继而提出有效的安全运行方案和补救方案。强化访问控制,确保网络上网口令的安全保存;完善相关验证制度法规;及时更新系统补丁,从而尽可能避免各种病毒入侵。此外,应该统一管理防火墙、VPN等网络中与安全性相关的产品,建立完善详细的操作系统日志,便于管理员对其行为进行分析,使其能够发现网络中潜在安全隐患,提早预防,使网络安全性得到保证。3.2加强信息加密密码算法安全性。确保信息安全是一个系统工程,需要综合采取各种措施。而密码学是保证信息安全的关键技术。密码技术的基本思想是对信息进行隐藏以隐蔽信息,将数据以密文形式在信息系统中储存和传输,这样即使密文被非法窃取,未授权者也无法获知信息,从而达到对信息的保护。密码的发展经历了由简单到复杂、由古典到近代的历程。因此新时代里需要更完善的密码算法来保证网络信息安全。目前得到广泛应用且公认较安全的公开密钥密码有:基于大整数因子分解困难性的RSA密码、基于有限域上离散对数困难性的ELGamal密码和基于椭圆曲线离散对数问题困难性的ECC密码等。3.3网络病毒及其防治。按照信息共享的方式可将计算机网络分为C/S(Client/Server)网络或B/S(Browser/Server)网络。客户机向服务器发出请求,如所需的信息,服务器接到命令对其进行分析处理,再把结果返还给客户机。在这个过程中主要的软件和硬件实体是工作站和服务器,即病毒可以通过“工作站--服务器--工作站”的方式在网络中传播。所以基本的病毒预防应该从服务器和工作站两条路线双管齐下。服务器是整个网络的核心成分,如果被病毒感染,就会使整个网络陷于瘫痪。因此基于服务器的防病毒技术十分关键。现在采用的技术包括实时在线扫描病毒,24小时监控网络检测进入服务器的文件是否带毒,及时追踪病毒的活动并向网络管理员提交报告。考虑到本地工作站不能被基于服务器扫描病毒技术保护,还可以同时在上网的工作站安装常驻扫毒程序,实时检测在工作站中运行的程序。基于工作站的防毒技术主要有安装防病毒芯片。这种方法是将防病毒功能集成于一个芯片安装在网络工作站上,保护工作站及其和服务器之间的通路。3.4提高网络安全管理水平。从计算机网络应用实际情况来看,人们的安全防范意识比较缺乏,在实际应用过程中没有对网络安全问题产生重视。所以,为能够使计算机管理技术有效运用得到保证,有关工作人员应当提升安全防范方面的自身意识,科学提高网络安全管理水平;结合网络安全教育,科学引导网络用户思想和行为,减少基于社会工程学的网络攻击。其次应结合网络安全漏洞和信息管理技术,建设完善的安全管理分析体系,实现计算机信息管理系统的科学建设。
4小结
关键词 4G 通信 无线网络 安全
中图分类号:TP393 文献标识码:A
0引言
随着3G网络的火热,以及 4G网络的推广,无线网络在中国乃至世界范围内大肆流行起来。与此同时,无线网络技术也开始广泛运用于各个领域,比如:酒店、高校、交通、企业等等。然而,无线网络天生便是一种不安全的网络,其本身的安全性也是最令人担忧的,经常成为入侵者的攻击目标,导致各种重要数据和信息的泄露遗失。因此,在4G时代,对无线网络安全的重视,便成了大势所趋。
1 4G通信技术概述
移动通信技术经历了三个主要发展阶段。每一个阶段的发展都是一次技术上的突破。第一代起源于20世纪80年代,它完成于20世纪90年代初,主要采用模拟传输技术。第二代起源于90年代初期,主要采用时分多址和码分多址技术。第三代移动通信系统最基本的特征是智能信号处理技术,智能信号处理单元将成为基本功能模块,支持话音和多媒体数据通信。然而,第三代移动通信系统没有一套统一的标准而且频谱利用率低下,尽管其传输速率可高达2Mb/s,但仍无法满足多媒体通信的要求,因此,第四代移动通信系统(4G)的研究随之应运而生。新兴的4G通信系统可以适应移动计算、移动数据和移动多媒体的运作,并能满足数据通信和多媒体业务快速发展的需求。4G的核心技术包括:接入方式和多址方案、调制与编码技术、高性能的接收机、智能天线技术、MIMO技术、软件无线电技术、基于IP的核心网和多用户检测技术等。
2 4G无线网络安全问题及应对措施
2.1 4G无线网络面临的安全问题
(1)传输层面临的安全威胁:由于4G移动通信系统是通过Internet与无线网络互连而组成的,而有线链路部分可视为不开放的独立网络,所以传输层面临的威胁更大。其主要表现如下:攻击者通过主动攻击,随意篡改、插入或删除传输层上的数据。攻击者被动窃取链路上的未加密信息,收集数据和非法获取用户的隐私。这些攻击手段可导致ME和无线网络的信息不同步而增加误码率的提高。
(2)网络层面临的安全威胁:网络实体主要包括无线网络和核心网络中的实体,如无线2G/3G系统中的VRL(拜访位置寄存器)和HRL(归属位置寄存器),以及无线LAD中的AP和认证服务器等。主要安全威胁如下:Windows操作系统基本上都具有自动查找无线网络的功能,只要对无线网络有些基本的认识,对于不设防或是安全级别很低的无线网络,未授权的用户或是黑客通过一般的攻击或是借助攻击工具都能够接入发现的无线网络。一旦接入,非法用户将占用合法用户的网络带宽,恶意的非法用户甚至更改路由器的设置,导致合法用户无法正常登陆,而有目的非法接入者还会入侵合法用户的电脑窃取相关信息。
(3)应用层面临的安全威胁:随着智能手机和平板等移动终端不断普及,以及移动终端的计算和存储能力不断增强为应用层带来了更大安全威胁。这些无线应用也丰富了移动终端感染病毒、木马或恶意代码所侵蚀的渠道。
2.2应对措施
(1)加强网络访问控制。如果AP安置在网络安全设备的外面,可考虑通过VPN技术连接到主干网络,使用基于 IEEE802.1X的新的无线网络产品,并将前端基于 IEEE802.1X无线网络的认证转换到后端基于有线网络的RASIUS认证。
(2)加强安全认证。由于访问特权是基于用户身份的,所以通过加密办法对认证过程进行加密是进行认证的前提,通过VPN技术能够有效地保护通过电波传输的网络流量。一旦网络成功配置,严格的认证方式和认证策略将是至关重要的。此外还需定期对无线网络进行测试,以确保网络设备使用了安全认证机制,并确保设备的配置正常。
(3)安全传输。在通信过程中,移动终端可选择与无线接入网络之间建立加密传输通道,如果用户接入的无线网络用于传输比较敏感的数据,那么仅用WEP加密方式是远远不够的,如采用像SSL、IPSec等加密技术来加强数据的安全性。
(4)隔离无线网络和核心网络。由于无线网络非常容易受到攻击,因此被认为是一种不可靠的网络。所以应将无线网络布置公共区域,即核心网络防护外壳的外面,如防火墙的外面。
(5)统一监控与审计。对移动终端的访问行为、无线接入设备的运行情况建立统一的监控与审计系统,可以有效地分析移动终端行为规律、记录异常操作,保证无线接入网的高效、可靠。
3结语
无线网络以其经济适用、安装方便、使用灵活等优点扩展了用户自由度,使用户体验到了前所未有的效果,但是这种自由和便利也带来了新的威胁和挑战。本文从最基础的知识入手阐述了4G网络,相信只要我们利用得当,4G网络会带给我们一个更美好的未来。
参考文献
[1] 吴新民.4G无线网络安全问题的研究通信技术[A].通信技术,2008(06).
论文摘要:随着计算机网络的快速发展,信息化已成为人类发展的必然趋势。该文从介绍计算机网络的发展演变历程出发,对影响计算机网络安全的主要因素进行了归纳和详细阐述,进而提出了计算机网络安全的主要防御对策。
通讯技术和信息技术的发展使得人们对计算机的依赖逐渐增强,但计算机过多地在生活和工作中利用也带来了不可忽视的网络安全问题。随着计算机使用程度的深入,因网络攻击造成的财产损失越来越大,甚至难以估量。计算机网络的布局十分复杂,主机和终端之间的层次关系难以准确定位,加之系统对外开放,这些特点都使得计算机网络容易成为黑客攻击和恶意软件入侵的标靶,所以网上信息的安全和保密是一个至关重要的问题。
1计算机网络概述
目前业内对计算机网络的定义较为统一,通常是指通过通讯线路将处在不同地区的计算机主机或终端设备连接起来,形成一个功能全面、信号畅通、协同管理的信息化系统,在该系统内各种操作指令、网络通信协议能够贯通传输,并且能够实现资源共享和信息传递[1]。在计算机网络技术发展演变的漫长历程中,大致经历了远程终端联网、计算机网络、网络互连和信息高速公路4个阶段,并且呈现由简单到复杂的主体趋势。
远程终端联网:计算机诞生伊始,计算机网络主要由一台主机和若干终端组成,主机和终端之间通过电话线路连接,并直接对终端发号施令,因此该网络被称为面向终端的计算机通信网。在这个网络中,主机是中心,其余终端单机以各种星型、树型或交叉型的格局布局,由于所有终端服务能力受限于主机,因此系统运行效率不高。
计算机网络:该阶段主要起源于上世纪60年代末期,当时第2代计算机网络在美国建成,标志着计算机网络技术迈入网络时代。该技术的典型特征在于整个系统围绕一个设定的子网进行扩展建设,在这个子网之外主机和终端设备所构成的外网形成一个“用户资源网”。通信子网颠覆了第一代计算机技术以电路交换方式进行信号传输的方式,转而采用分组交换方式,由于该技术更适合于数据通信而使得计算机网络通信费用的降低。
网络互连:计算机网络技术第三个发展阶段以“开放系统互连参考模算型”主导下的第3代计算机网络为标志。该技术由iso于1977年首次提出,在经过多年的努力之后,最终发展成为互连网的标准框架。此后迈入80年代,internet技术的出现是对计算机网络技术最深刻的变革,并由此引导了计算机网络技术的飞速发展。internet也称国际互连网,它的构建以osi体系结构为基础,但又完全基于一套全新的框架体系。
信息高速公路:该阶段是计算机网络技术目前所经历的阶段,主要开始于上世纪90年代末期,这也正是计算机网络在世界范围内急速发展的一段时期,并主要向宽带综合业务数字网bisdn的方向演变。我国的计算机网络技术也正是在此背景下获得发展,并在1989年建成第1个用于数据通信的公用分组交换网。此后,计算机技术开始逐步实施在国内的普及应用,重要举措包括覆盖全国的中国公用分组数据交换网的建成,以及“金桥工程”、“金卡工程”、“金关工程”、“金智工程”等一系列“金”字工程的实施。
2影响计算机网络安全的主要因素
从目前计算机网络安全所面临的风险来看,网络风险主要来自网络的开放性、网络操作系统的漏洞、网络资源的共享性、网络系统设计的缺陷、黑客的恶意攻击等因素[2]。下面对这几类风险分别进行阐述:
网络的开放性:internet是一个开放的系统,这直接导致任何一种外部接入都可能造成计算机网络的不稳定甚至系统奔溃。由于在开放的计算机网络中,用户在网上可以轻易查找到一个企业、单位以及个人的敏感性信息,这直接导致其处于不安全的环境中。为杜绝该类安全问题的产生,各种针对性的安全机制、策略和工具被研究和应用,但仍需做诸多改进。
网络操作系统的漏洞:在传统安全防御技术中,系统的后门因其隐蔽性而被人们所忽视,作为网络协议和网络服务实现的载体,网络操作系统负有不可推卸的责任,操作系统不仅需要提供网络通信所需要的各种协议,还需要实现网络服务的程序。由于操作系统实现网络协议的程序十分复杂,需要大量的程序语言才能实现,且在实现程序运行的过程中存在缺陷和漏洞在所难免。由于防火墙对这类入侵的拦截力度不足,导致这类入侵行为可以堂而皇之经过防火墙而很难被察觉。
网络资源的共享性:计算机可以实现信息资源在网络上共享,这是计算机网络应用的主要目的,但资源共享所带来的网络风险也是不可忽视的问题。资源共享随着人们对计算机依赖程度的加深逐渐扩展,但目前的技术难以对外部服务请求实现完全隔离,攻击者利用服务请求的机会很容易获取网络敏感信息。
网络系统设计的缺陷:网络系统设计的缺陷不仅会造成资源的浪费,还会为攻击者提供更多的可乘之机,合理的网络设计则可以实现资源节约和维护安全的双赢。目前,bug是计算机用户在日常使用网络过程中最容易遭遇外部攻击的程序,这说明安全的防御程序并不存在,甚至连安全工具本身也可能存在安全的漏洞。正是因为bug的不稳定而被黑客经常利用,并且这种攻击通常不会产生日志,使得网络维护人员无从查起。
恶意攻击:通俗地讲,恶意攻击就是网络黑客攻击和网络病毒,这两类问题是目前公认的网络安全公敌。随着计算机文化在社会各个阶层的渗透,使得这类攻击变得越来越容易,也越来越多,损失也是越来越严重,人们的关注度也越来越高。尽管防火墙的拦截在一定程度上缓解了网络攻击的可能性,但对那些隐蔽内部网络结构中的威胁,防火墙还是显得有点局限,特别是对访问内部网络时伴随的威胁,防火墙往往是无能为力的。
3计算机网络安全的主要防御对策
3.1加强日常防护管理
3.1.1不下载来路不明的软件及程序
在计算机的日常使用过程中,及时更新系统补丁,是防止病毒入侵的基本要求,如果一旦感染病毒,应当立即下载专门软件进行查杀。另外,不要随便从非官方网站上下载软件,来历不明的软件可能就是病毒的载体程序,一旦运行改程序就可能造成计算机资料丢失,所以要选择信誉较好的网站下载软件,并将下载的软件进行专门分区保存并定期杀毒。
3.1.2防范电子邮件攻击
在日常生活中,我们会经常接收到来历不明的邮件,对该类邮件应该谨慎处理,尽量不要直接打开,以免遭受病毒邮件的侵害。目前,病毒依附邮件进行传播已经越来越多,如果我们稍有不慎就会中其圈套,遭受恶意邮件的攻击。电子邮件攻击的方式主要有两种,并表现不同的形式:一是电子邮件轰炸,也称为电子邮件“滚雪球”,主要是通过非法ip向攻击邮箱短时间内发生海量垃圾邮件,直接导致邮箱容量超载而瘫痪;二是电子邮件欺骗,攻击者伪装成系统管理员的身份,以邮件的方式要求提示用户更改口令等信息,进而将附件中加载的病毒或木马程序入侵到用户计算机。对该类攻击的防御比较简单,目前一些专门的邮箱病毒过滤软件拦截效果比较明显。
3.1.3安全设置浏览器
浏览器也是网络病毒经常入侵的部分,cookie是在浏览过程中被有些网站往硬盘写入的一些数据,它们记录下用户的特定信息,因而当用户回到这个页面上时,这些信息就可以被重新利用。因此,安全的浏览器使用方式应该设置安全级别,并关掉cook? ies。但需要指出的是,关注cookie的目的不是对这些信息的重新利用,而是对硬盘数据的关心。
3.1.4保护好自己的ip地址
在网络安全协议中,连结在internet服务器和局域网上的每一个服务终端都有一个独一无二的ip地址。通常情况下,无论是对用户自身而言,还是对对方而言,ip地址都是隐藏的。但在网络上聊天时,因为聊天信息传输需要捆绑ip地址,因此导致ip地址容易暴露,这就为网络黑客提供了可乘之机。网络黑客获取用户ip地址的方式很多,但从用户的上网信息痕迹或者从跟踪上网账号中获取的方式比较普遍,而黑客一旦其获取了ip地址,就能实施网络攻击。因此,在日常用机过程中必须养成良好的习惯,防止个人关键信息泄露,以免造成不必要的损失。如果经常使用icq,最好在“ip publishing”设置中将“do not publish ip ad-dress”选上。而一旦遭受攻击,也不能盲目下载软件进行清扫,应该从信誉较好的网站下载ip工具,安装运行以保护ip地址。
3.2安装配置防火墙
在internet内,网络连接中的所有用户都具备直接访问外部世界并与之通信的权利。但这种权利是以内外交互为前提的,也就是说外部世界也同样可以访问该网络。网络的相互访问为黑客攻击提供了机会,为了防止攻击发生,在双方服务器和各客户主机上分别布设防火墙是网络安全防范的必要技术。因为一旦防火墙建立起来,用户和internet之间就竖起一道过滤屏障,这道屏障对输出和输入的网络信息进行扫描,实现安全隐患的提前判断和拦截。目前,防火墙技术已经相当成熟,常用的主要有滤防火墙、防火墙和双穴主机防火墙3种[3]。
3.3加强访问控制
访问控制是对外部访问过滤的关键技术,它的主要任务是保证网络资源不被非法使用和非常访问。访问控制不仅提供主动网络安全防范和保护,而且还能维护网络系统安全,对网络资源起到安全隔离的作用。现行的访问控制技术主要包括7种,不同访问控制技术的应用应当按需设置,主要参考网络安全的等级需求进行,在不浪费资源的情况下实现网络的安全访问。
3.4信息加密
信息加密技术是网络完全防范的常规技术之一。通过对敏感数据信息实施加密处理,可以维护数据信息的安全,实现网上数据的安全传输。常用的网络加密技术有链路加密、端点加密和节点加密3种[4]。不同的加密技术可以应用到不同的情况,但应该指出尽管加密技术可以防御绝大部分攻击,并且在多数情况下信息加密是保证信息机密性的惟一方法,但计算机网络安全的充分防御不能完全依赖它。
3.5物理安全策略
计算机网络安全防御的物理安全策略的重点在于对整个网络系统实施保护,它是保护计算机系统、网络服务器、外部连接设备等软硬件系统免受外部攻击的关键技术。常用的物理安全策略主要是用户身份验证,目的是保证个人用户的隐私。另外,维护计算机工作环境的安全性也十分重要,因为计算机容易受到其他电磁干扰而运行不稳定,因此完善的安全管理制度也是计算机网络安全防御的必要准备。
4结束语
综上所述,尽管计算机网络供给无处不在,安全与反安全就像矛盾的两个方面相互缠绕,但只要我们认清网络的脆弱性和潜在威胁,采取强有力的安全策略,并建立完善的计算机管理制度和监督机制,就可以有效地预防安全问题的出现,更不会给入侵者提供可乘之机。
参考文献:
[1]张昱.对计算机网络技术安全与网络防御的分析[j].广东科技,2011(10):51-52.
[2]姚汝洪.计算机网络安全及其防御对策探究[j].信息与电脑(理论版),2010(11):12.
关键词:IPV6;安全机制;IP Sec
中图分类号:TP393 文献标识码:A
The Analysis of IPV6 Safe Mechanism
Zhou Hong
(Hunan Radio and Television University, Changsha, 410004, China)
Abstract: IPV6 is a new internet protocol. It can apply more address, safer service. The paper simply introduces the IP Sec of IPV6, and analyzes the safe problem of IPV6.
Keywords: IPV6; Safe Mechanism; IP Sec
2011年2月3日,国际互联网协会ICANN官方宣布,全球最后一批IPV4地址分配完毕[1]。且IPV4在设计时没有考虑安全性问题。为解决地址资源共享和网络安全,IETF提出了新一代互联网络协议,即IPV6协议。IPV6相对于IPV4而言,有很多优点:具有128位超大地址空间;支持更多的安全性;配置简单;提供认证和保密功能性;允许扩充;支持资源分配等。
1 IPV6中IP Sec安全协议
在IPV6中,IP Sec安全协议是一个协议族,主要包括认证头协议(AH)、封装安全载荷协议(ESP)和密钥交换协议(IKE)。
(1)AH认证头协议
AH协议定义了认证的应用方法,可以验证数据的起源,保障数据的完整性以及防止相同数据包的不断重播。认证机制提高了系统的安全性,而且在实际应用中并不要求所有支撑系统都使用这些安全机制。
(2)ESP封装安全载荷协议
ESP协议通过对数据包的全部数据和加载内容进行全加密来保证传输信息的机密性。ESP协议使用两种模式进行数据传输,即隧道模式和传输模式[2]。隧道模式对整个IP分组进行加密,传输模式只对传输层数据加密。
(3)IKE密钥交换协议
IKE密钥交换协议建立在密钥管理协议基础之上,是收发双方协商安全参数和建立安全协定的框架。在IKE中预定义了DSS签名,RSA签名,RSA加密,改进的RSA加密和预共享密钥等5种身份认证方法[3]。
2 IPV6存在的安全性问题
虽然IPV6相比IPV4在安全性方面有了很大的改进,但IPV6的安全技术仍然存在部分问题。主要表现在以下3个方面:
(1)AH和ESP协议本身都不提供业务流分析的安全保护,在使用默认的算法时都不提供安全业务。
(2)IP Sec技术只负责网络层及其以下层的网络安全,而对于传输层以上的层不负责其安全性。但下一代网络的主要特性就是开放式接口大量使用,网络应用、速度和规模都在原来的基础上爆破式增长[4]。
(3) IP Sec 机制抵抗 Dos 攻击的机制不完善。同时,新版本的网络协议不可能马上取代IPV4,其应用会产生许多新的安全性问题。
3 结束语
IPV6不仅解决了IPV4的地址短缺难题,而且具有更高的安全性及移动性。但是数据网络的安全威胁是多层面的,我们要采取相应措施,提升IPV6网络整体安全水平,形成安全可管可控的IPV6网络架构,推动下一代网络安全应用的发展。
参考文献
[1]引领IPV6部署应用:世界看中国[J].通讯世界,2011,4(193): 38-40.
[2]谢馥嘉.新一代互联网通信协议IPV6安全性研究[J].科技信息(计算机与网络),2011(14): 236.
[3]李娟,卢涵宇,王华军.基于IPV6的安全技术分析[J].赤峰学院学报(自然科学版),2011,2(27):54-55.
[4]曾羽琚.基于IPV6的网络安全研究[J].电脑知识与技术,2011,2(7):1297-1298.
关键词: IPV6;网络安全;技术
随着电脑在办公和家用的普及,各种病毒肆虐,尤其是网络上,病毒木马层出不穷,研发网络安全系统迫在眉睫。因此,上世纪七十年代IPV4应运而生,在网络安全维护方面起到重要作用,而近年来IPV6取代IPV4,开始应用于更广泛的空间,IPV6是IPV4的升级版,增加了一些功能,比如,采用层次化地址结构,基本报文头长度固定等等,提升了网络的安全性,也为新的应用提供了便利,促进了更好的开展新的安全业务和应用。从运行情况来看,IPV6还有很大的提升空间,还有需要改进的地方,尽管它已经很完善了。
IPv6在安全性上较IPv4有了很大的改进,它在设计时就将IPsec作为重要的组成部分,使之和IPsec紧密结合,以提高安全性能,IPsec是一种协议套件,包括:AH(验证头)、ESP(封装安全载荷)、IKE(因特网密钥交换)等,它通过使用ESP和AH对上层协议和IP包进行保护.其中AH采用多种验证算法对数据的起源地进行验证,即身份验证,以此保证数据完整性和验证安全以及数据包的抗重播特性;ESP用以保证数据内容的机密性,在对数据进行加密的同时,还具有AH的功能,实现数据的验证,它既有验证算法又有加密算法。
IPV6在现实中应用非常广泛,大多数厂商、软件商和研究所都在IPv6应用范围进行了反复的开发、研究和应用工作,例如在个人电脑主要采用的WINDOWS操作系统中,已开始支持基于IPv6的Web浏览器、文件传输、媒体播放器,而且在传输数据时将IPv6作为优先采用的网络协议,说明IPv6已逐渐地被互联网界接受。另外WINDOWS视窗操作系统还有一些只支持IPv6的试验性应用,到IPv6独具特色的创新业务,IPv6带给我们的全方位、高品质的服务,使互联网的安全成为令人期待的事情。如:网络视频、手机应用、无线网络应用等,都是IPv6带给我们的全新体验。所以IPv6取代IPv4只是时间早晚的事,所以有必要研究分析依托IPv6条件下的网络安全问题。
1 网络安全简述
什么是网络安全?相信很多人对这个概念既熟悉又陌生。字面意思就是网络运行时的安全维护。网络安全,也就是计算机网络安全是一个综合性的概念,主要内容包括计算机上本身信息的安全性,还有信息在传递过程的安全性。而且网络系统的安全性的核心就是通信链条的安全和网络连接点的安全的统一体。因此网络安全可以说就是通信安全。
网络安全另一个核心就是动态交换保护。网络安全策略主要着重于系统的静态保护方法和动态交保护方法,其中动态交换保护方法是网络安全的重点。IPSec的工作模式有两种:传输模式是在IP层对上层的TCP或UDP的协议数据进行封装并根据具体配置提供安全保护,主要用于保护上层协议;隧道模式是在ESP关联到多台主机的网络访问实现时提供安全保护,主要用于保护整个IP数据包。IPV6的最基本单位是报头,报头分为基本报头和扩展报头构成。基本报头是用来放置所有路由器都需要处理的信息。而扩展报头,是进一步扩展的,因此IPv6具有非常强的灵活性,能加强对多种应用的强力保障,又可以支持支持新的应用环节。
IPsec由两个数据库组成,一个是SADB(安全联盟数据库),它的每一条记录是SA(安全联盟),它是由两个通信实体协商后建立的规则守则,包括用来保护IP包安全的IPsec协议、转码方式、密钥及有效时间等;另一个是SPD(安全策略数据库),它的每一条记录是一个策略,也是人机之间交互的安全接口,决定两个通信实体间能否通信以及如何通信,包括定义、表示、管理及与各个组件之间的交互等,这两个数据库通常联合使用,对于目的方,通过数据包头包含的IP地址和协议类型等在SADB中查找相应的SA,而对于源方,SPD的记录指针将指向相应的SADB记录,若找不到适合的SA,将创建新SA,并将SPD记录与新SA记录链接起来,IPsec采用IKE自动地为通信实体协商SA,并对SADB进行维护,保证通信安全。
2 IPv6网络安全风险
IPv6协议相对于IPv4协议在安全方面虽然有了一定的改善,解决或缓解了IPv4环境中存在的部分安全问题,有些安全问题则继续存在。同时,IPv6协议本身将带来一些新的安全问题,在IPv4向IPv6的过渡过程中也可能产生新的安全风险。
2.1 IPv6安全改进
Ipv6协议具有一系列的安全保证体系,表现在:1)基本协议中加入报头认证和安全信息封装,这样网络实现端安全认证和加密的过程。能在一定程度上提升业务和应用的安全性;2)随着以IPv6为基础的下一代网络研究和建设的开展的内容是IPv6协议禁止的,随着电信IPv4向IPv6网络迁移的进程日益加快,IPv6网络安全问题显得更加重要。结合IPv6协议安全特性,分析了电信IPv6网络存在的安全风险,认真探讨了电信IPv6网络安全保障体系的组成环节和要素,提出了电信IPv6网络安全保障体系建设策略。地址、链路层组播地址或链路层广播地址的数据包产生ICMPv6消息,从而避免了广播风暴的产生;3)IPv6协议通过在中间设备上部署禁止分片、不允许重叠的分片、丢弃少于最低MTU为1280byte的重组数据包等机制,有效防范了IP碎片包攻击;4)IPv6地址数量庞大,对IPv6网络实施扫描攻击比较困难,通过扫描获取有效IP地址进行传播的蠕虫病毒等攻击将难以实施;5)IPv6对地址前缀的指定及分配较规律,使得下游ISP的地址总是落在上游ISP的汇总地址空间内,对ISP而言,易于在入口实现过滤机制,有效防御虚假源地址攻击,同时基于IPv6的真实源地址技术的发展也使解决这
种安全问题成为可能。
2.2 IPv6网络中存在的安全风险
目前来看,在IPV4没有消除的隐患还继续存存在,并且有严重化的发展态势,主要体现在:1)DDoS等异常流量攻击仍然猖獗甚至更为严重,主要包括TCP-flood、UDP-flood等现有DDoS攻击,以及IPv6协议本身机制的缺陷所引起的攻击,如邻居发现(ND)协议报文缺乏认证可能引发的重复地址检测(duplicate address detection,DAD)攻IP-flooding攻击等。2)针对DNS的攻击仍将继续存在,而且在IPv6网络中提供域名服务的DNS更容易成为黑客攻击的目标。3)IPv6协议作为网络层的协议,仅对网络层安全有影响,其他各层的安全风险在IPv6网络中仍将保持不变。
2.3 IPv6网络过渡时期技术安全问题
和其他升级换代产品一样,IPv4向IPv6的过渡是一个长期、复杂的过程,而且在IPv4与IPv6共存时期,为解决两者之间相互反应所将带来新的一系列的安全风险。例如,拒绝服务攻击在隧道方式下时有发生、个别有中间人前来攻击的项目,NAT-PT技术下存在的拒绝服务攻击等。
综上所述,尽管IPv6协议在设计时考虑了安全问题,但IPv6网络环境相较于IPv4网络环境在安全性上并没有大的提升。IPv6网络在IP层引入了IPv6协议,因此在网络安全架构上没有质的改变。真正要期待的是下一代产品。
信息安全与国际关系
网络与全球网络空间治理
社交媒体时代的政治秩序安全
中美两国在网络空间中的竞争焦点与合作支点
大数据时代国家信息安全风险及其对策研究
网络安全管控与中美网络公共外交发展
网络军备控制难以实施的客观原因分析
论英国与19世纪的世界秩序
国际体系转型、中美竞合与新型大国关系构建
重构布雷顿森林体系:为中国的崛起创造空间
全球体系力量转换的动因和东盟+6框架下中国地缘政治新战略
金融危机、新兴国家和国际经济治理
学术自觉与社会科学自主创新
天下为公的政治哲学:一种中国式的世界主义理念
建构中国的安全政治话语:文化、演变和社会实践
推动国际关系民主化:中国的理论与实践
关于中国发展中国家身份的探讨
中俄全面战略协作伙伴关系的发展与前景
日本防卫计划大纲的新变化与中日关系
从南非对外政策趋势透视中南战略伙伴关系
中国式话语与国际话语权——以外宣翻译中的中国特色词为例
中国外交话语社会化:基于上海外国留学生的研究
民生先导还是民主先导?——从对非援助看中国的援助外交
“共同但有区别的责任”原则与中国环境外交话语
相互战略保证:一个防御性现实主义的合作构建理论
国际人道主义援助:中国建设道德化国际社会的政治空间
欧盟网络安全战略的演进——欧盟非传统安全合作机制的新探索
新形势下中国能源安全的紧迫问题与战略机遇
功能主义视角下的东盟粮食安全信息系统——日本的实践与启示
论当代中国的海洋军事观:制海权与海上反介入
区域公共产品的供给困境与合作机制探析——基于合作博弈模型的分析
人民币国际化的最新进展与未来的发展
全球治理搏弈视角下的“一带一路”
地缘政治视域下的东非油气资源开发——兼谈中国的角色与战略定位问题
撒哈拉以南非洲中国公民安全风险调查——以刚果(金)为例
中国企业在“一带一路”沿线国家投资的政治风险及权益保护
论“一带一路”框架下澜沧江—湄公河“跨界水公共产品”的供给
“一带一路”与中国在中亚的能源合作:区域公共产品的视角
数字丝绸之路与公共产品的合作供给
美国对“一带一路”战略的认知与反应
日本主导下的亚洲开发银行:历史、现状与未来
“一带一路”与中欧合作:对接发展的机遇与障碍
中国—印度尼西亚经贸关系发展的机遇与挑战
国际体系变革与安全突破——基于《孙子兵法》安全战略的分析
国际体系的均衡规范场理论——兼论新型大国关系的结构、维持与转换
国家利益冲突、多极化与联盟博弈——新型大国关系的基本逻辑
制度变迁与地理政治秩序转型——现代欧洲国际体系的起源
【关键词】网络环境;数据加密;实现;分析
中图分类号: TN711 文献标识码: A 文章编号:
一、前言
随着全球化进程的不断推进,我国的互联网行业取得了前所未有的发展,信息技术的高度发展,也使得人们的生活发生了巨大的变化。但是互联网存在很多安全问题,网络环境的数据加密技术是确保网络安全的关键技术之一,我们应该加强对数据加密技术的学习。
二、数据加密技术的历史起源和概念
密码的起源可能要追溯到人类刚刚出现,并且尝试去学习如何通信的时候,他们会用很多奇妙的方法对数据进行加密。最先有意识地使用一些技术的方法来加密信息的可能是公元六年前的古希腊人,他们使用的是一根叫scytale的棍子。后来,罗马的军队用凯撒密码进行通信,Phaistos圆盘由克里特岛人发明,在世界上最难解的十大密码中,Phaistos圆盘就是其中之一,到现在还没有被破解。
数据加密的基本过程就是对原来为明文的数据按某种算法进行处理,就是进行加密,加密之后明文的数据就会变成一段不可识别的代码,这段代码就是密文,只有在输入相应的密钥之后才能显示出原来的内容,通过数据加密可以保护数据不被人非法盗取、阅读,实现数据安全控制和保护的目的。由数据加密的整个过程可以看出,一个完整的加密系统应该包括明文消息、密文、加密密钥和解密密钥、加密算法和解密算法四个部分。而一个完善的加密系统又应该满足以下几个要求。
(1)加密安全性高。
(2)解密复杂性高,要使得破解所花费的成本高于破解出来所获得的利益。
(3)加密的安全性主要依赖于密钥,以加密密钥的保密为基础,不应依赖于算法的保密,算法大多是公开的。
(4)数据加解密一定要可以用在不同的场合和不同的用户身上。
(5)好的加密算法应该不会影响系统的运行速度。
三、数据加密技术简介
数据加密的过程就是将明文数据按某种算法并使用密钥进行处理即加密,加密之后就变成了一段不可识别的代码,称为密文,要想显示出原来的内容就必须输入相应的密钥。通过这种方法可以达到保护数据不被非法窃取、修改和阅读。这个过程的逆过程为解密,即将该代码信息转化为原来数据的过程。一个完整的加密系统,应该包括以下4个部分:
(1)明文数据;
(2)加密后的密文:
(3)加密、解密设备或算法;
(4)加密、解密的密钥。
数据加密算法有很多种,密码算法标准化是信息化社会发展的必然趋势,是世界各国保密通信领域的一个重要课题。按照发展进程来分,经历了古典密码、对称密钥密码和公开密钥密码阶段,古典密码算法有替代加密、置换加密;对称加密算法包括DES、IDEA、3DES和AES等;非对称加密算法包括RSA、背包密码、McEliece密码、Rabin、椭圆曲线、EIGamal等。结合现代加密技术和密码体制的特点,将加密技术分成两种:对称加密和非对称加密技术。
1、对称加密技术
对称加密也称为单密钥加密,即加密密钥和解密是同一个,如果进行通信的双方能够确保密钥在密钥交换阶段未曾发生泄露,则可以通过对称加密方法加密信息,安全性取决于密钥的保密。对称加密技术按照加密方式可以分为流加密和分组加密。在流加密中,明文消息按字符逐位加密;在分组加密中,将明文消息分组,逐组进行加密。
2、对称加密技术
非对称式加密又称为公开密钥加密系统,就是加密和解密所使用的不是同一个密钥,称为公钥和私钥,公钥可以公开,不怕别人知道,私钥由用户自己保存。它们两个需要配对使用,否则不能打开加密文件。也就是说,用公钥加密的信息只能用私钥来解密,用于数据加密;用私钥加密的信息只能用公钥来解密,可用于数字签名和身份认证,如发送方A用自己的私钥加密信息,接收方B收到密文后可以拿发送方A的公钥来解密的话,就说明信息是由发送方A发送的。对称式的加密方法很难公开密钥,而非对称式的公钥是可以公开的,可以在网络中安全传输,不怕别人知道,收件人解密时只要用自己的私钥即可,很好地避免了密钥的传输安全性问题。
四、网络中的数据加密方式
数据加密可以在网络051七层协议的多层上实现,从加密技术应用的逻辑位置看,主要有链路加密和端对端加密两种方式。
1、链路加密方式
面向链路的加密方式将网络看作由链路连接的结点集合,每一个链路被独立的加密。它用于保护通信结点间传输的数据。每一个链接相当于051参考模型建立在物理层之上的链路层。链路加密方式如图1所示:
图表 1 链路加密方式示意图
链路加密方式的优缺点如下:
(l)加密对用户是透明的,通过链路发送的任何信息在发送前都先被加密。
(2)每个链路只需要一对密钥。
(3)提供了信号流安全机制。
(4)缺点是数据在中间结点以明文形式出现,维护结点安全性的代价较高。
2、端对端加密方式
端对端加密方式建立在051参考模型的网络层和传输层。这种方法要求传送的数据从源端到目的端一直保持密文状态,任何通信链路的错误不会影响整体数据的安全性。端对端加密方式如图2所示:
图表 2端对端加密方式示意图
在端对端加密方式中,只加密数据本身信息,不加密路径控制信息。在发送主机内信息是加密的,在中间结点信息是加密的。用户必须找到加密算法,决定施加某种加密手段。加密可以用软件编程实现。
五、数据库加密应考虑的一些问题
加密技术是提高数据库安全的一个重要手段,但是,它是一把双刃剑,在加密数据的同时,也会带来一些相关问题,如果处理不好,不仅会降低数据库的安全性,而且还会带来其它负面影响"下面小节描述了数据库加密应该注意的一些问题以及进行加密时所采取的适当选择措施"
1、加密不能代替访问控制
传统的数据库中,访问控制提供了一种控制用户访问数据的机制,它通过创建用户、授予用户相应权限来实施这种控制,规定只有具有相应权限的用户才能对数据进行相应的操作,否则,则拒绝[75,86,89〕。这样一种机制在数据库安全领域发挥巨大作用,目前几乎所有的商用DBMS都提供这种机制来防止非法用户访问数据库,访问控制分为两大类,即自主访问控制(DAC)和强制访问控制(MAC)。在自主访问控制中,用户对信息的访问控制是基于用户的鉴别和访问控制规则的确定,每个用户都要给予系统中每个访问对象的访问权限,例如,当一个用户要求访问某个数据库的资源时,系统首先检查该用户对该资源的所有权或者衍生出来的访问权限,如果通过,则允许该访问在许可的方式下被执行。
2、区分数据库中动态数据加密和静态数据加密
对数据加密时,应区分两种不同类型的数据,即动态数据和静态数〔66,168],因为它们的加密方法是不同的。
(1)动态数据加密:当数据经过各种网络,从数据库服务器流入客户端,或者从客户端流入数据库服务器,对传输过程的数据加密称为动态数据加密动态数据加密的标准包括SSL(Security Socket Layer),TLS(Transport Layersecurity)和工PSEC(secure 工nternet Prtcol)〔17,18,19},许多商用DBMS采用SSL标准,传输数据时,通过SSL通道从客户端和数据库服务器端接收和发送数据SSL采用RSA,RC吸,DES等加密算法。动态数据的加密在会话层实现的,网络中传输的信息是加密的,另一方接收后再进行解密。
(2)静态数据加密:对存储在数据库服务器中的数据进行加密,在本文中也称为存储数据加密相对于动态数据加密,静态数据加密的研究较少,本文将对数据库中字符型和数值型两种主要数据类型的加密进行研究。
六、结束语
随着当代信息技术的快速的发展,互联网得到了迅速的发展。在这个日新月异的时代,网络安全越来越成为人们关注的重点问题。我们应该在掌握数据加密技术的基础上,加强网络安全的意识,使网络能在一个相对安全的环境下发展。
参考文献
[1]王军.数据加密技术在军事气象网应用的研究[D].哈尔滨工程大学,2006.