浅谈计算机网络安全与防范的几点看法(一)

浅谈计算机网络安全与防范的几点看法

计算机网络技术是通过通信技术和计算机技术的紧密结合而产生的。计算机网络已经融入到现代社会生活中。随着互联网技术的提升，网络信息安全技术的发展已经成为现代信息化社会发展的一个重要因素。计算机网络具有许多特征：样式的多样性，网络的开放性，互连性和终端的广泛分布性。关于计算机网络安全问题，这不仅是一个技术问题，也是一个管理问题。这两个方面是互补和不可或缺的。目前，面对一些人为的网络入侵和攻击行为，网络安全问题正面临着新的威胁和挑战。本人有以下几点建议与方法：

一、入侵检测技术

入侵检测技术是近20年来出现的一种主动保护自己免受黑客攻击的新型网络安全技术。入侵检测就是收集这些数据并通过匹配模式、数据完整性分析、统计析等方法找到痕迹。

入侵检测的常用检测方法有：

①模式匹配法：把收集到的信息与模式数据库中的已知信息进行比较，从而发现违背安全策略的行为。

②专家系统法：把安全专家的知识表示成规则知识库，再用推理算法检测入侵

③基于状态转移分析的检测法：该方法是将攻击看成一个连续的、分步骤的并且各个步骤之间有一定关联的过程。在网络中发生入侵时及时阻断入侵行为，防止可能还会进一步发生的类似攻击行为。在状态转移分析方法中，一个渗透过程可以看作是由攻击者做出的一系列行为，而导致系统从某个初始状态变为最终某个被危害的状态。

入侵检测设备可以部署在DMZ中，可以检测受保护区域的主机被攻击的情况，可以检测防火墙系统的策略配置是否合理和DMZ中被黑客攻击的目标。部署在路由器和边界防火墙之间可以检测来自 Internet上对受保护网络的攻击类型。

二、网络隔离技术

网络隔离技术的目标是确保隔离有害的攻击，在保证可信网络内部信息不外泄的前提下，完成网络间数据的安全交换。

Mark Joseph Edwards对协议隔离进行了归类，他将现有的隔离技术从理论上分为了五类。

①第一代隔离技术——完全的隔离。

此方法使得网络处于信息孤岛状态，做到了完全的物理隔离。这种方式需要至少两套网络和系统，更重要的是信息交流的不便和成本的提高，给维护和使用带来了极大的不便。

②第二代隔离技术——硬件卡隔离。

在客户端增加一块硬件卡，客户端硬盘或其他存储设备首先连接到该卡，然后再转接到主板上通过该卡能控制客户端硬盘或其他存储设备。而在选择不同的硬盘时，同时选择了该卡上不同的网络接口以连接到不同的网络。但是，这种隔离产品在大多数情况下仍然需要网络布线为双网线结构产品存在着较大的安全隐患。

③第三代隔离技术——数据转播隔离。

利用转播系统分时复制文件的途径来实现隔离，切换时间非常久，甚至需要手工完成，不仅明显地减缓了访问速度，更不支持常见的网络应用，失去了网络存在的意义

④第四代隔离技术——空气开关隔离。

它是通过使用单刀双掷开关，使得内外部网络分时访问临时缓存器来完成数据交换的，但在安全和性能上存在许多问题。

⑤第五代隔离技术——安全通道隔离。