網絡安全技術的研究

摘要:該文系統地介紹了網絡安全的概念。對安全協議的基本原理，主要特點進行了較為深入的研究，并就網絡的安全性問題剖析了三種安全協議:IPsec協議、SLL協議和SET協議。并討論了計算機網絡面臨的各種安全威脅;內部網絡的安全問題是每個建網單位面臨的最大問題，可以認為防火墻技術是解決網絡安全的一個主要手段，該文研究了防火墻的原理及其實現手段;作為一種主動的防御措施，入侵檢測系統(IDS)作為網絡系統安全的重要組成部分，得到了廣泛的重視，IDS對計算機和網絡資源上的惡意使用行為進行識別和響應，不僅檢測來自外部的入侵行為，也監督內部用戶的未授權活動:虛擬專用網(CVPN)技術的出現，為實現網絡間的連接提供了快速安全但又相對便宜的手段，較深入地探討了實現VPN的隧道技術，并對VPN的概念、功能、實現途徑、基本構成、關鍵技術及發展前景等問題進行了全面論述。

關鍵詞:網絡入侵;入侵檢測系統;信息安全

中圖分類號:TP311 文獻標識碼:A文章編號:1009-3044(2009)35-9947-05

Network Safety Technology Research

ZHENG Xiao-xia

(The Basis of Teaching and Research， Dezhou Vocational and Technical College， Dezhou 253000， China)

Abstract: With the rapid development of networks， network information security problems are exposed. In this paper， the Intrusion Detection System Network Intrusion Detection System (NIDS) in the analysis， the network's invasion of the modules have carried out analysis and analysis of the system's strengths and weaknesses and development trends.

Key words: network intrusion; intrusion detection systems; information security

1 前言

1.1 因特網的發展及其安全問題

隨著計算機網絡應用的廣泛深入，網絡安全問題變得日益復雜和突出。網絡的資源共享、信息交換和分布處理提供了良好的環境，使得網絡深入到社會生活的各個方面，逐步成為國家和政府機構運轉的命脈和社會生活的支柱。這一方面提高了工作效率，另一方面卻由于自身的復雜性和脆弱性，使其受到威脅和攻擊的可能性大大增加。眾所周知，因特網是世界上最大的計算機網絡，它連接了全球不計其數的網絡與電腦。同時因特網也是世界上最開放的系統，任何地方的電腦，只要遵守共同的協議即可加入其中。因特網的特點就是覆蓋的地理范圍廣，資源共享程度高。由于因特網網絡協議的開放性，系統的通用性，無政府的管理狀態，使得因特網在極大地傳播信息的同時，也面臨著不可預測的威脅和攻擊。網絡技術越發展，對網絡進攻的手段就越巧妙，越多樣性。一方面由于計算機網絡的開放性和信息共享促進了網絡的飛速發展，另一方面也正是這種開放性以及計算機本身安全的脆弱性，導致了網絡安全方面的諸多漏洞。可以說，網絡安全問題將始終伴隨著因特網的發展而存在。所以，網絡的安全性同網絡的性能、可靠性和可用性一起，成為組建、運行網絡不可忽視的問題。

1.2 我國網絡安全現狀及其相關法律與制度

1.2.1 我國網絡安全現狀

2007年“熊貓燒香”病毒的制作者成功抓獲并被判刑，說明了政府高度重視網絡安全問題。目前，國家依據信息化建設的實際情況，制訂了一系列法律文件和行政法規、規章，為我國信息化建設的發展與管理起到了有利的促進和規范作用，為依法規范和保護我國信息化建設健康有序發展提供了有利的法律依據。

1.2.2 我國網絡安全相關法律與原則

2003年中辦下發的《關于加強信息安全保障工作的意見》是目前我國信息安全保障方面的一個綱領性文件。

我國網絡信息安全立法的原則

1)國家利益原則。當今天信息已成為社會發展的重要戰略資源，信息安全成為維護國家安全和社會穩定的一個焦點。信息安全首先要體現國家利益原則。

2)一致性原則。要與在我國現行法律和國際法框架下制定的法律法規相一致，避免重復立法和分散立法，增強立法的協調性，避免立法的盲目性、隨意性和相互沖突。

3)發展的原則。信息安全立法既要考慮規范行為，又要考慮促進我國國民經濟和社會信息化的發展。

4)可操作性原則。要對現實有針對性，對實踐有指導性。

5)優先原則。急需的先立法、先實施，如信息安全等級保護、信息安全風險評估、網絡信任、信息安全監控、信息安全應急處理等方面要加緊立法。

2 網絡安全協議

2.1 網絡安全協議對維護網絡安全的作用

Internet的開放式信息交換方式使其網絡安全具有脆弱性，而實現網絡安全的關鍵是保證整個網絡系統的安全性。目前幾乎網絡的各個層次都指定了安全協議和具備了相應的安全技術，網絡安全協議可很好的保護信息在網絡中傳播。在安全領域，一種“安全協議”被定義為“一種控制計算機間數據傳輸的安全過程。

2.1.1 第二層隧道協議(L2TP)

第2層隧道協議(L2TP)是點對點隧道協議(PPTP)的一個擴展，L2TP數據包在用戶數據報協議(UDP)端口1701進行交換。ISP使用L2TP來建立VPN解決方案，使用該方案，用戶可以在載波網絡中更多地利用VPN的優點。由于L2TP符合國際標準，因此不同開發商所開發的L2TP設備的協同能力大大增強。L2TP VPN已經成為提供商使用的產品。在裝有Cisco的網絡中，端到端的服務質量(QoS)可以通過QoS技術的使用來保證IPSec負責數據加密，它同樣也是一種國際標準。IPSec對每個數據包的數據進行初始認證、數據完整性檢測、數據回放保護以及數據的機密性保護。從設計上來看，L2TP支持多協議傳輸環境，它能夠使用任何路由協議進行傳輸，包括IP、IPX以及AppleTalk。同時，L2TP也支持任何廣域網傳送技術，包括幀中繼、ATM、X.25或SONET，它還能夠支持各種局域網媒質，如以太網、快帶以太網、令牌環以及FDDI。L2TP使用因特網及其網絡連接以使得終端能夠頒布在各個不同的地理位置上。L2TP的最大安全之處在于它使用了IPSec，IPSec可以為連接提供機密性、數據包的認，以及保護控制信息和數據包不被重新發送。

2.1.2 IPSec的技術優勢:

為數據的安全傳輸提供了身份驗證、完整性、機密性等措施，另外它的查驗和安全性功能與它的密鑰管理系統相連。因此，如果未來的密鑰管理系統發生變化時，IPSec的安全機制不需要進行修改。當IPSec用于VPN網關時，就可以建立虛擬專用網。在VPN網關的連內部網的一端是一個受保護的內部網絡，另一端則是不安全的外部公共網絡。兩個這樣的VPN網關建立起一個安全通道，數據就可以通過這個通道從一個本地的保護子網發送到一個遠程的保護子網，這就形成了一條VPN。在這個VPN中，每一個具有IPSec的VPN網關都是一個網絡聚合點，試圖對VPN進行通信分析將會失敗。

目的是VPN的所有通信都經過網關上的SA來定義加密或認證的算法和密鑰等參數，即從VPN的一個網關出來的數據包只要符合安全策略，就會用相應的SA來加密或認證(加上AH或ESP報頭)。整個安全傳輸過程由IKE控制，密鑰自動生成，所有的加密和解密可由兩端的網關代理，對保護子網內的用戶而言整個過程都是透明的。

2.2 安全Shell(SSH)

安全Shell或者SSJ常用于遠程登錄系統，和過去使用的Telnet具有相同的目的。然而Telnet和SSH的最大區別是:SSH大大加強了其連接的安全性。SSH是一個應用程序，它為不可靠的、存在潛在危險的網絡(如因特網)上的兩臺主機提供了一個加密的通信路徑。因此，SSH防止了用戶口令及其他敏感數據以明文方式在網絡中傳輸。SSH解決了在因特網中最重要的安全問題:黑客竊取或破解口令的問題。

SSH拒絕數據IP欺騙攻擊，保證能夠是哪臺主機發送了該數據。加密數據包，用以防止其他中間主機截取明文口令及其他數據。IP源路由選擇，可以防止某臺主機偽裝它的上IP數據包來源于另一臺可信主機。避免數據包傳送路徑上控制其他裝置的人處理數據。SSH給安全領域帶來一個很有趣的功能:即使用隧道的SSH技術轉發某些數據包。FTP協議和X Windows協議都采用了這一功能。這中轉發功能使SSH能夠利用其他一些協議來控制主機終端與SSH連接的操作。你可能認為通過SSH連接的隧道將是一個很不錯的VPN選擇，但事實并非如此。一種更好的解決方案就是通過VPN連接的SSH隧道技術，因為這是一種很安全的連接發。總之，SSH是一個比較滸、用于加密網絡TCP會話的工具，它最常用于遠程登錄以及增加網絡的安全性。

3 網絡安全技術

3.1 使用網絡安全技術的意義

隨著計算機網絡技術的突飛猛進，網絡安全的問題已經日益突出地擺在各類用戶的面前。據統計資料表明，目前在互聯網上大約有將近20%以上的用戶曾經受過黑客的困擾。盡管黑客如此猖獗，但網絡安全問題至今仍沒有能夠引起足夠的重視，更多的用戶認為網絡安全問題離自己尚遠，這一點從大約有40%以上的用戶，特別是企業級用戶沒有安裝防火墻便可以窺見一斑，而所有的問題都在向大家證明一個事實，大多數的黑客入侵事件都是由于未能正確安裝防火墻引發的。

3.2 防火墻

防火墻(Firewall )技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術，是抵抗黑客入侵和防止未授權訪問的最有效手段之一，也是目前網絡系統實現網絡安全策略應用最為廣泛的工具之一。防火墻是設置在被保護網絡和外部網絡之間的一道屏障，以防止發生不可預測的、潛在破壞性的侵入，可有效地保證網絡安全。它是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它可通過監測、限制、更改跨越防火墻的數據流，盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況，以此來實現網絡的安全保護。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，它有效地監控了內部網和Internet之間的活動，保證內部網絡的安全。

3.2.1 防火墻的種類

第一:從防火墻產品形態分類，防火墻可分為3種類型:

1)軟件防火墻

軟件防火墻運行于特定的計算機上，它需要客戶預先安裝好的計算機操作系統的支持，一般來說，這臺計算機就是整個網絡的網關，俗稱“個人防火墻”。軟件防火墻就像其他的軟件產品一樣需要先在計算機上安裝并做好配置才可以使用。防火墻廠商中做網絡軟件版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻，需要網管對所工作的操作系統平臺比較熟悉。

2)硬件防火墻

硬件防火墻是指“所謂的硬件防火墻。之所以加上”所謂“二字是針對芯片級防火墻說的。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數防火墻都是這種所謂的硬件防火墻，它們都基于PC架構，也就是說，它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統，最常用的有老版本的UNIX、Linux和FreeBSD系統。值得注意的是，由于此類防火墻采用的依然是別人的內核，因此依然會受到OS(操作系統)本身的安全性影響。

傳統硬件防火墻一般至少應具備三個端口，分別接內網、外網和DMZ區(非軍事化區)，現在一些新的硬件防火墻往往擴展了端口，常見的四端防火墻一般將第4個端口作為配置口、管理端口。很多防火墻還可以進一步擴展端口數目。

3)芯片級防火墻

芯片級防火墻基于專門的硬件平臺及專用的操作系統。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強，性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS(操作系統)，因此防火墻本身的漏洞比較少，不過價格相對比較高昂。

第二:從防火墻所采用的技術不同，可分為包過濾型、代理型和監測型三大類型。

1)包過濾型

是防火墻的初級產品，其技術依據是網絡中的他包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的，數據被分割成一定大小的數據包，每一個數據包中都會包含一些特定信息，如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點，一旦發現來自危險站點的數據包，防火墻便會將這些數據拒之門外。優點是:簡單實用，實現成本較低，在應用環境簡單的情況下能夠以較小的代價在一定程度上保證系統的安全。缺點是:只能根據數據包的來源、目標和端口等網絡信息進行判斷，無法識別基于應用層的惡意侵入。

2)代理型

“代理型”防火墻也可以稱為代理服務器，它的安全性要高于包過濾型產品，并已經開始實行向應用層發展。代理服務器位于客戶機與服務器之間，完全阻擋了二者間的數據交流。從客戶機來看，代理服務器相當于一臺真正的服務器;而從服務器來看，代理服務器又是一臺真正的客戶機。監測型

3)監測型

“監測型”防火墻是新一代的產品，這一技術實際已經超越了最初的防火墻定義。監測型防火墻對各層的數據進行主動、實時的監測，在對這些數據加以分析的基礎上，臨測型防火墻有效地判斷出各層中的非法侵入。同時，這種檢測型防火墻產品一般還帶有分布式探器，這些探測器安置在各種應用服務器和其他網絡系統的節點之中，不僅檢測來自網絡外部的攻擊，同時對來自內部的惡意破壞也有極強的防范作用

第三:從網絡體系結構來進行分類，可以將防火墻分為以下4種類型:

1)網絡級防火墻

一般是基于源地址和目的地址、應用或協議，以及每個IP包的端口來做出通過與否的判斷。網絡級防火墻簡潔、速度快、費用低，并且對用戶透明，但是對網絡的保護有限，因為它只檢查地址和端口，對網絡更高協議層的信息無理解能力。

2)應用級網關

也稱“代理型”防火墻，它檢查進出的數據包，通過網關復制傳遞數據，防止在受信任服務器和客戶機與不受信任的主機間直接建立聯系。應用級網關能夠理解應用層上的協議，能夠做復雜一些的訪問控制，并做精細的注冊和稽核。但每一種協議需要相應的代理軟件，使用時工作量大，效率不如網絡級防火墻。

3)電路級網關

用來監近代受信任的客戶機或服務器與不受信任的主機間的TCP握手信息，這樣來決定該會話是否合法，電路級網關在OSI模型中會話層上來過濾數據包，這樣比包過濾防火墻要高兩層。另外，電路級網關還提供一個重要的安全功能:網絡地址轉換功能，將所有內部的IP地址映射到一個“安全”的IP地址，這個地址是由防火墻使用的。但是，作為電路級網關也存在著一睦缺陷，因為該網關是在會話層工作的，它就無法檢查應用層級的數據包。

4)規則檢查防火墻

該防火墻結合了包過濾防火墻、電路級網關和應用級網關的特點。它同包過濾防火墻一樣，規則檢查聞訊火墻大OSI網絡層上通過IP地址和端口號，過濾進出的數據包。可以在OSI應用層下檢查數據包的內容，查看這些內容是否能符合公司網絡的安全規則。規則檢查防火墻雖然集成前三者的特點，但是不同于一個應用級網關的是，它并不打破客戶機/服務器模式來分析應用層的數據，它允許受信任的客戶機和不受信任的主機建立直接連接。規則檢查防火墻不依靠與旅游區在用層有關的代理，而是依靠某種算法來識別進出的應用層數據，這些算法通過已知合法數據包的模式來比較進出數據包，這樣從理論上就能比應用級代理在過濾數據包上更有效。

第四:從防火墻的應用部署位置來分，可將防火墻分為3種類型

1)邊界防火墻

這是最為傳統的那種，它們位于內、外部網絡的邊蜀，所起的作用是對內、外部網絡實施隔離，保護邊界內部網絡。這類防火墻一般都是硬件類型的，價格較貴，性能較好。

2)個人防火墻

安裝于單臺主機中，防護的也只是單臺主機。這類防火墻應于廣大的個人用戶，價格最便宜，性能也最差。

3)混合式防火墻

也可以說就是“分布式防火墻”或者“嵌入式防火墻”，它是一整套防火墻系統，由若干個軟、硬件組件組成，分布于內、外部網絡邊界和內部各主機之間，既對內、外部網絡之間通信進行過濾，又對網絡內部各主機間的通信進行過濾。它屬于最新的防火墻技術之一，性能最好，價格也最貴。

3.2.2 防火墻中的關鍵技術

在實現防火墻的眾多技術中，如下技術是其實現的關鍵技術:

3.2.2.1 包過濾技術

包過濾技術是在網絡中適當的位置上對數據包實施有選擇的過濾。采用這種技術的防火墻產品，通過在網絡中的適當位置對數據包進行過濾，根據所檢查數據流中每個數據包的源地址、目的地址、所有的TCP端口號和TCP鏈路狀態等要素，然后依據一組預定義的規則，以允許合乎邏輯的數據包通過防火墻進入到內部網絡，而將不合乎邏輯的數據包加以刪除。

優點:采用包過濾技術的包過濾防火墻具有明顯的優點，

1)一個過濾由器協助防護整個網絡

2)數據包過濾對用戶透明

3)包過濾路由器速度快、效率高

缺點:通常它沒有用戶的使用記錄，這樣就不能從訪問記錄中發現黑客的攻擊記錄。配置煩瑣也是包過濾防火墻的一個缺點。沒有一定的經驗，是不可能將過濾規則配置得完美的。

3.2.2.2 應用代理技術

代理技術是針對每一個特定應用服務的控制。它作用于應用層。其具有狀態性的特點，能提供部分與傳輸有關的狀態，起到外部網絡向內部網絡申請服務時的中間轉接作用。內部網絡只接受代理提出的服務請求，拒絕外部網絡其它節點的直接請求。提供代理服務的可以是一臺雙宿網關，也可以是一臺保壘主機。

3.2.2.3 狀態檢查技術

狀態檢查技術也稱為應用層網關技術，是一種在網絡層實現防火墻功能的技術。它是在應用層實現防火墻的功能，針對每一個特定應用進行檢驗。代理服務不允許直接與真正的服務通信，而是與代理服務器通信(用戶的默認網關指向代理服務器)。各個應用代理在用戶和服務之間處理所有的通信。

優點:1)代理易于配置。2)代理能生成各項記錄。3)代理能靈活、完全地控制進出信息。4)代理能過濾數據內容。

缺點:1)代理速度比路由器慢。2)代理對用戶不透明。3)對于每項服務，代理可能要求不同的服務器。4)代理服務通常要求對客戶或過程進行限制。5)代理服務受協議弱點的限制。6)代理不能改進底層協義的安全性。

3.2.2.4 地址轉換技術

地址轉換技術是將一個IP地址用另一個IP地址代替。它主要應用于兩個方面，其一是網絡管理員希望隱藏內部網的IP地址。其二是內部網的IP地址是無效的。在此情況下，外部網不能訪問內部網，而內部網之間主機可以互助訪問。

3.2.2.5 內容檢查技術

內容檢查技術提供對高層服務協議數據的監控，以確保數據流的安全。它是一個利用智能方式來分析數據，使系統免受信息內容安全威脅的軟件組合。

3.3 網絡入侵檢測

隨著網絡技術的發展，網絡環境變得越來越復雜，網絡攻擊方式的不斷翻新。網絡系統的安全管理，是一個非常復檢錄煩瑣的事情。入侵檢測技術和漏洞掃描技術通過從目標系統和網絡資源中采集信息，分析來自網絡外部和內部的入侵信號和網絡系統中的漏洞，甚至實時地對攻擊做了反應。入侵檢測系統和入侵保護系統是防火墻極其有益的補充，它能對非法入侵行為進行全面的臨測和防護。在入侵攻擊對系統發生危害前，檢測到入侵攻擊，并利用報警與防護系統驅逐入侵攻擊。入侵檢測技術被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監聽，從而提供針對內部攻擊、外部攻擊和誤操作的實時防護，大大提高了網絡的安全性。

3.3.1 入侵檢測系統技術

入侵檢測系統技術可以采用概率統計方法、專家系統、神經網絡、模式匹配、行為分析等來實現入侵檢測系統的檢測機制，以分析事件的審計記錄、識別特定的模式、生成檢測報告和最終的分析結果。

3.3.2 入侵檢測系統

入侵檢測系統的核心就是通過對系統數據的分析，檢查網絡中是否有違反安全策略的行為和遭到襲擊的跡象。將入侵檢測的軟件與硬件進行組合便是入侵檢測系統。與其他安全產品不同的是入侵檢測系統需要更多的智能必須可以對得到的數據進行分析，并得出有用的結果，一個合格的入侵檢測系統能大大地簡化管理員的工作，保證網絡安全的運行。其實，入侵檢測系統是一個曲型的“窺探設備”。它不跨接多個物理網段(通常只有一個監聽端口，無須轉發任何流量，而只需要在網絡上被動地、無聲無息地收集它所關心的報文即可。

3.4 虛擬專用網(VPN)

VPN是目前解決信息安全問題的一個最新、最成功的技術之一。所謂虛擬專用網(VPN)技術就是在公共網絡上建立專用網絡，使數據通過安全的“加密管道”在公共網絡中傳播。虛擬專用網不是真的專用網絡，但卻能夠實現專用網絡的功能。虛擬專用網絡指的是依靠ISP(Internet服務提供商)和其它NSP(網絡服務提供商)，在公有網絡中建立專用的數據通信網絡的技術。在虛擬專用網絡中，任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是利用某種公眾網的資源動態組成的。IETF草案理解基于IP的VPN為:“使用IP機制仿真出一個私有的廣域網”，通過私有的隧道技術在公共數據網絡上仿真一條點到點的專線技術。

一個典型VPN的組成部分如圖1所示。

圖1各個組件作用如下:VPN服務器:接受來自VPN客戶機的連接請求。VPN客戶機:可以是終端計算機也可以是路由器。隧道:數據傳輸通道，在其中傳輸的數據必須經過封裝。VPN連接:在VPN連接中，數據必須經過加密。隧道協議:封裝數據、管理隧道的通信標準。傳輸數據:經過封裝、加密后在隧道上傳輸的數據。公共網絡:如Internet，也可以是其他共享網絡。

3.5 訪問控制的概念

訪部控制是通過一個參考監視器，在每一次用戶對系統目標進行訪問時，都由它來調節，包括限制合法用戶的行為。訪問控制是信息安全保障機制的核心內容，它是實現數據保密性和完整性機制的主要手段。訪問控制是為了限制訪問主體(或稱為發起者，是一個主動的實體;如用戶、進程、服務等)，對訪問客體(需要保護的資源)的訪問權限，從而使計算機系統在合法范圍內使用;訪問控制機制決定用戶及代表一定用戶利益的程序能做什么，及做到什么程度。所有的操作系統都支持訪問控制。

訪問控制的兩個重要過程:1)通過鑒別(authentication)來檢驗主體的合法身份:2)通過授權(authorization)來限制用戶對資源的訪問級別。訪問包括讀取數據，更改數據，運行程序，發起連接等。訪問控制所要控制的行為有以下幾類:1)讀取數據;2)運行可執行文件;3)發起網絡連接等。

3.5.1 訪問控制應用類型

根據應用環境的不同，訪問控制主要有以下三種:1)網絡訪問控制;2)主機、操作系統訪問控制;3)應用程序訪問控制。由于本文討論的主要為網絡中的訪問控制。所以主機、操作系統的訪問控制

及應用程序的訪問控制在這里就不做討論。網絡訪問控制機制應用在網絡安全環境中，主要是限制用戶可以建立什么樣的連接以及通過網絡傳輸什么樣的數據，這就是傳統的網絡防火墻。此外，加密的方法也常被用來提供實現訪問控制。

3.5.2 強制訪問控制(MAC)

強制訪問控制與自主訪問控制因實現的基本理念不同，訪問控制可分為強制訪問控制(Mandatory accesscontrol)和自主訪問控制(Discretionary access control)。用來保護系統確定的對象，對此對象用戶不能進行更改。也就是說，系統獨立于用戶行為強制執行訪問控制，用戶不能改變他們的安全級別或對象的安全屬性。這樣的訪問控制規則通常對數據和用戶按照安全等級劃分標簽，訪問控制機制通過比較安全標簽來確定的授予還是拒絕用戶對資源的訪問。強制訪問控制進行了很強的等級劃分，所以經常用于軍事用途。在強制訪問控制系統中，所有主體(用戶，進程)和客體(文件，數據)都被分配了安全標簽，安全標簽標識一個安全等級。主體(用戶，進程)被分配一個安全等級，客體(文件，數據)也被分配一個安全等級。訪問控制執行時對主體和客體的安全級別進行比較。

用一個例子來說明強制訪問控制規則的應用，如WEB服務以“秘密”的安全級別運行。例如WEB服務器被攻擊，攻擊者在目標系統中以“秘密”的安全級別進行操作，他將不能訪問系統中安全級為“機密”及“高密”的數據。

4 網絡安全策略

4.1 網絡安全系統策略

從根本意義上講，絕對安全的網絡是不可能有的。只要使用，就或多或少地存在安全問題。我們在探討安全問題的時候，實際上是指一定程度的網絡安全。一般說來，網絡的安全性通常是以網絡的開放性、便利性和靈活性為代價的。計算機網絡信息安全是一個復雜的系統工程，國際上普遍認為:它不僅涉及到技術、設備、人員管理等范疇，還應該依法律規范作保證，只有各方面結合起來，相互彌補，不斷完善，才能有效地實現網絡信息安全。這里僅從技術的角度探討網絡信息安全的對策。

4.2 網絡安全系統策略的制定

4.2.1 物理安全策略

物理安全的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊;防止用戶越權操作;確保網絡設備有一個良好的電磁兼容工作環境;建立完備的安全管理制度，防止非法進入控制室和各種偷竊、破壞活動的發生。抑制和防止電磁泄漏是物理安全策略的一個主要問題。

4.2.2 數據鏈層路安全策略

數據鏈路層的網絡安全需要保證通過網絡鏈路傳送的數據不被竊聽，主要采用劃分VLAN(虛擬局域網)、加密通信(遠程網)等手段。信息加密的目的是保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據。網絡加密常用的方法有鏈路加密、端點加密和節點加密三種。

4.2.3 網絡層安全策略

網絡層的安全需要保證網絡只給授權的客戶使用授權的服務，保證網絡路由正確，避免攔截或監聽。用于解決網絡層安全性問題的主要有防火墻和VPN(虛擬專用網)。防火墻是在網絡邊界上通過建立起惡報相應網絡通信監控系統來隔離內部和外部網絡，以阻擋外部網絡的侵入。

4.2.4 遵循“最小授權”策略

“最小授權”原則指網絡中帳號設置、服務配置、主機間信任關系配置等應該為網絡正常運行所需的最小限度。關閉網絡安全策略中沒有定義的網絡服務并將用戶的權限配置為策略定義的最小限度、及時刪除不必要的帳號等措施可以將系統的危險性大大降低。

4.2.5 建立并嚴格執行規章制度的策略

在網絡安全中，除了采用技術措施之外，制定有關規章制度，對于確保網絡安全、可靠地運行將起到十分有效的作用。規章制度作為一項核心內容，應始終貫穿于系統的安全生命周期。一般來說，安全與方便通常是互相矛盾的。一旦安全管理與其它管理服務存在沖突的時候，網絡安全往往會作出讓步，或許正是由于一個細微的讓步，最終導致了整個系統的崩潰。因此，嚴格執行安全管理制度是網絡可靠運行的重要保障。

5 結論

當前，如何確保計算機網絡的安全性是任何一個網絡的設計者和管理者都極為關心的熱點。由于因特網協議的開放性，使得計算機網絡的接入變得十分容易。正是在這樣得背景下，能夠威脅到計算機網絡安全的因素就非常多。因此，人們研究和開發了各種安全技術和手段，努力構建一種可靠的計算機網絡安全系統。這種安全系統的構建實際上就是針對己經出現的各種威脅(或者是能夠預見的潛在威脅)，采用相應的安全策略與安全技術解除這些威脅對網絡的破壞的過程。當然，隨著計算機網絡的擴大，威脅網絡安全因素的變化使得這個過程是一個動態的過程。計算機網絡安全系統的構建實際上是入侵者與反入侵者之間的持久的對抗過程。所以任何計算機網絡安全體系一定不是可以一勞永逸地防范任何攻擊的完美系統，人們力圖建立的只能是一個動態的網絡安全防護系統。它是一個動態加靜態的防御，本文首先從多個角度研究了計算機網絡的安全性，針對各種不同的威脅與攻擊研究了解決它們的相應安全技術與安全協議。接下來，在一般意義下制定計算機網絡安全系統設計的策略與原則，提出了計算機網絡安全的實現模型。計算機網絡安全取決于安全技術與網絡管理兩大方面。從技術角度來講，計算機網絡安全又取決于網絡設備的硬件與軟件兩個方面，網絡設備的軟件和硬件互相配合才能較好地實現網絡安全。但是，由于網絡安全作為網絡對其上的信息提供的一種增值服務，人們往往發現軟件的處理速度成為網絡的瓶頸，因此，將網絡安全的密碼算法和安全協議用硬件實現，實現快速的安全處理仍然將是網絡安全發展的一個主要方向。另一方面，在安全技術不斷發展的同時，全面加強安全技術的應用也是網絡安全發展的一個重要內容。因為即使有了網絡安全的理論基礎，沒有對網絡安全的深刻認識、沒有廣泛地將它應用于網絡中，那么談再多的網絡安全也是無用的。同時，網絡安全不僅僅是防火墻，也不是防病毒、入侵監測、防火墻、身份認證、加密等產品的簡單堆砌，而是包括從系統到應用、從設備到服務的比較完整的、體系性的安全系列產品的有機結合。除了網絡安全技術，還要強調網絡安全策略和管理手段的重要性。只有做到這些的綜合，才能確保網絡安全。本文盡管對計算機網絡安全進行了較深入的研究。但是，計算機網絡安全的問題是一個永久的課題，它將隨著計算機技術、計算機網絡的發展而一直存在、一直發展。計算機網絡的威脅與計算機網絡的安全防護的關系就象是“矛”和“盾”的關系一樣，沒有無堅不摧的矛、也沒有無法攻破的盾。從理論上講這種做法的正確的，但在具體的折中方法上就有大量的研究及實驗工作可做。由于本文作者水平有限以及時間有限等的原因，本文的折中是有進一步研究和改進的必要的。總之，計算機網絡安全技術是個永無止境的研究課題。

參考文獻:

[1] Stallings W.網絡安全要素一應用與標準[M].北京:人民郵電出版社，2000.

[2] 張小斌，嚴望佳.黑客分析與防范技術[M].北京:清華大學出版社，1999.

[3] 余建斌，黑客的攻擊手段及用戶對策[M].北京:人民郵電出版社，1998.

[4] 彭杰.計算機網絡安全問題的探討[M].現代電子技術，2002.

[5] 郝玉潔，常征.網絡安全與防火墻技術[J].電子科技大學學報社科版，2002，4(1).

[6] 陳朝陽，潘雪增，平鈴娣.新型防火墻的設計和實現[J].計算機工程，2002(11).

[7] 劉美蘭，姚京松.入侵檢測預警系統及其性能設計[C]//卿斯漢，馮登國.信息和通信安全CCICS'99:第1屆中國信息和通信安全學術會議論文集.北京:科學出版社，2000.

[8] 陳曉蘇，林軍，肖道舉.基于多代理的協同分布式入侵檢測系統模型[J].華中科技大學學報:自然科學版，2002，30(2).

[9] 王惠芳.虛擬專用網的設計及安全性分析[J].計算機工程，2001(6).

[10] 張敏波.網絡安全實戰詳解[M]北京:電子工業出版社，2008.

[11] Thomas T.網絡經一階[M].李棟棟，許健，譯.北京:人民郵電出版社，2005.