網絡安全技術探究

[摘要] 眾所周知，作為全球使用范圍最大的Internet網自身協議的開放性極大地方便了各種計算機互連并拓寬了資源的共享。但是，由于早期網絡協議設計上的安全問題，逐漸使Internet自身安全受到嚴重威脅。對網絡安全的威脅主要表現在:非授權訪問、冒充合法用戶、破壞數據完整性、干擾系統正常運行、利用網絡傳播病毒、線路竊聽等方面。

[關鍵詞] 網絡 安全 VPN 加密技術 防火墻技術

一、緒論

大多數網絡安全問題都是某些人試圖獲得某種好處或損害某些人而故意引起的。所以網絡安全不僅僅是編程沒有錯誤。它包括要防范那些聰明的，通常也是狡猾的、專業的，而且時間和金錢上很充足、富有的人；同時能夠制止偶然實施破壞行為人。

網絡安全性可以被粗略地分為4個相互交織的部分：保密、鑒別、反拒認以及完整性控制。保密是保護信息不被未授權者訪問，這是人們提到的網絡安全性時最常想到的問題。鑒別主要指在揭示敏感信息或進行事務處理之前先確認對方的身份。反拒認主要與簽名有關。保密和完整性通過使用注冊過的郵件和文件鎖來實現。

二、方案目標

本方案主要從網絡層考慮，將網絡系統設計成一個支持各級別用戶或用戶群的安全網絡，該網在保證系統內部網絡安全的同時，還實現與Internet等網絡的安全互聯。在保證網絡安全可以滿足各種用戶的需求（如:可以滿足個人的通話保密性，企業客戶數據庫不被非法訪問和破壞等）的同時也可以防止諸如反動、淫穢等有害信息的傳播等。

需要明確的是，安全技術并不能杜絕所有的對網絡的侵擾和破壞，它的作用僅在于最大限度地防范，以及在受到侵擾的破壞后將損失盡量降低。

三、安全需求分析

通過對網絡系統的風險分析及需要解決的安全問題，我們需要制定合理的安全策略及安全方案來確保網絡系統的機密性、完整性、可用性、可控性與可審查性。即，

可用性:授權實體有權訪問數據

機密性:信息不暴露給未授權實體或進程

完整性:保證數據不被未授權修改

可控性:控制授權范圍內的信息流向及操作方式

可審查性：對出現的安全問題提供依據與手段

訪問控制：需要由防火墻將內部網絡與外部不可信任的網絡隔離，對與外部網絡交換數據的內部網絡及其主機、所交換的數據進行嚴格的訪問控制。同樣，對內部網絡，由于不同的應用業務以及不同的安全級別，也需要使用防火墻或劃分VLAN的形式對不同的網段隔離，并實現相互的訪問控制。

數據加密：數據加密是在數據傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。

安全審計： 是識別與防止網絡攻擊行為、追查網絡泄密行為的重要措施之一。一是采用網絡監控與入侵防范系統，識別網絡各種違規操作與攻擊行為，及時響應（如報警）并阻斷；二是對信息內容的審計，可以防止內部機密或敏感信息的非法泄漏。

四、風險分析

網絡安全是網絡正常運行的前提。網絡安全系統必須包括技術和管理兩方面，涵蓋物理層、系統層、網絡層、應用層和管理層各個層面上的諸多風險類別。無論哪個層面上的安全措施不到位，都會存在很大的安全隱患，都有可能造成網絡的中斷。根據國內網絡系統的網絡結構和應用情況，應當從網絡安全、系統安全、應用安全及管理安全等方面進行全面地分析。

風險分析是網絡安全技術需要提供的一個重要功能。它要連續不斷地對網絡中的消息和事件進行檢測，對系統受到侵擾和破壞的風險進行分析。

五、解決方案

1.安全設計原則

為解決網絡的安全、保密問題必須考慮技術難度及經費等因素，設計時應遵循如下思想：

(1)大幅度地提高系統的安全性和保密性；

(2)保持網絡原有的性能特點，即對網絡的協議和傳輸具有很好的透明性；

(3)易于操作、維護，并便于自動化管理，而不增加或少增加附加操作；

(4)盡量不影響原網絡拓撲結構，同時便于系統及系統功能的擴展；

(5)安全保密系統具有較好的性能價格比，一次性投資，可以長期使用；

(6)安全與密碼產品具有合法性，及經過國家有關管理部門的認可或認證；

(7)分步實施原則:分級管理分步實施。

2.安全策略

根據以上分析，我們采取以下安全策略:

(1)采用漏洞掃描技術，對重要網絡設備進行風險評估，保證信息系統盡量在最優的狀況下運行。

(2)采用各種安全技術，構筑防御系統，主要有：

①防火墻技術：在網絡的對外接口，采用防火墻技術，在網絡層進行訪問控制。

②NAT技術：隱藏內部網絡信息。

③VPN：虛擬專用網(VPN)是企業網在因特網等公共網絡上的延伸，通過一個私有的通道在公共網絡上創建一個安全的私有連接。在該網中的主機將不會覺察到公共網絡的存在，仿佛所有的機器都處于一個網絡之中。公共網絡似乎只有本網絡在獨占使用，而事實上并非如此。

④網絡加密技術(Ipsec) ：采用網絡加密技術，對公網中傳輸的IP包進行加密和封裝，實現數據傳輸的保密性、完整性。它可解決網絡在公網上數據傳輸的安全性問題，也可解決遠程用戶訪問內網的安全問題。

⑤認證：提供基于身份的認證，并在各種認證機制中可選擇使用。

⑥多層次多級別的企業級的防病毒系統可對病毒實現全面的防護。

⑦網絡的實時監測：采用入侵檢測系統進一步提高網絡防御外來攻擊的能力。

3.實時響應與恢復：制定和完善安全管理制度，提高對網絡攻擊等實時響應與恢復能力。

4.建立分層管理和各級安全管理中心。

六、結語

我們采用防火墻技術、NAT技術、VPN技術、網絡加密技術（Ipsec）、身份認證技術、多層次多級別的防病毒系統、入侵檢測技術，構成網絡安全的防御系統。盡管如此，管理在網絡安全工程中的作用是關鍵的，任何先進的網絡安全技術或系統，如果缺乏有效的管理，也無法發揮它應有的作用。在實際的工程上，人們往往重視技術上網絡安全漏洞，而忽略安全管理上的漏洞，技術上的漏洞可以采用技術方法加以檢測發現，而安全管理上的漏洞往往無法用實體去測量，

參考文獻:

[1]雷震甲:網絡工程師教程[M].北京：清華大學出版社，2004

[2]勞幗齡:網絡安全與管理[M].北京：高等教育出版社，2003

[3]祁明:網絡安全與保密[M].北京：高等教育出版社，2001