計算機網絡安全技術與防護的研究

摘要:網絡安全隔離與信息交換技術是實現不同安全要求網絡間可靠安全隔離，同時保障信息可靠交換，從而提升內部網絡安全級別的新型網絡信息安全技術。該文針對目前網絡安全威脅及網絡信息安全技術現狀，提出網絡安全隔離與信息交換技術安全功能的設計，對計算機網絡安全技術與防護的發展具有重要的指導意義。

關鍵詞:網絡安全;隔離;信息交換;攻擊

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)26-7381-02

Research Computer Network Security Technology and Protection

CUI Guo-qing

(God East Engineering Construction Development Co.， Ltd.，Erdos 017209， China)

Abstract: The separation of network security and information exchange technology is the safety requirements of different networks secure and reliable isolation and at the same time protect the reliable exchange of information so as to enhance the internal network security level of the new network information security technology. In this paper， the current network security threats and network status information security technology， the network security isolation technology security and information exchange functions of the design of computer network security technology development and protection of important guiding significance.

Key words: network security; isolation; information exchange; attack

目前我國信息安全面臨嚴峻形勢:國外電腦硬件、軟件中隱藏著“邏輯炸彈”或惡意功能;網絡信息安全防護能力較弱，許多應用系統處于不設防狀態，具有極大的風險性和危險性[1]。在防護技術研究上，我國信息安全研究經歷了通信保密、計算機數據保護的發展階段，正在進入網絡信息安全體系全面建立的飛速發展階段。在學習借鑒國外技術的基礎上，國內相關單位開發研制了防火墻、安全路由器、安全網關、入侵檢測、系統脆弱性掃描軟件等[2]。但是這些產品安全技術的完善性、規范性、實用性還存在許多不足，特別是在多平臺的兼容性、多協議的適應性、多接口的滿足性方面與國際先進水平存在較大距離，理論基礎和自主技術手段也需要發展和強化[3]。

1 網絡安全與攻擊技術分析

網絡中存在各種安全隱患，而網絡攻擊手段不斷翻新，強度不斷深入，廣度不斷擴大。目前，網絡攻擊技術的巨大變化主要體現在:

1) 網絡攻擊已經由過去的個人行為，逐步演變為有準備有組織的集團行為。

2) 用于進行網絡攻擊的工具層出不窮，并且易于使用，即使初級水平用戶也能夠容易掌握和使用。而且攻擊工具的設計朝大規模、分布式攻擊方向發展。

3) 往往不需要其源代碼就可以發現系統和機器的脆弱性。

2 網絡安全隔離與信息交換技術詳細設計

2.1 內/部代理單元細化設計及功能描述

內/外代理單元各自作為堡壘主機，暴露于外/內網上，是進入內/外部網絡的檢查點[5]。以下將對通用協議棧、訪問攔截檢查機以及專用協議棧詳細分析。

2.1.1 通用協議棧設計分析

通用協議站包含完整的TCP/IP層次，處理系統中所有的TCP/UDP進程。它依賴于操作系統的TCP/IP棧。通用協議棧從專用協議棧(經訪問攔截檢查機)和內(或外)網絡獲取輸入數據。一條典型的網絡命令類似于“從Port#1234接收，關閉進程號#12，連接到目的地址#”。這些消息會被通用協議棧解釋成相應的網絡任務。通用協議棧還負責處理網絡數據。當數據從網絡上接收以后，通用協議棧就會在邏輯上切斷連接，將得到的數據包發送給訪問攔截檢查機，并由此生成一個內部應用數據消息的會話表。

通用協議棧維護一個協議會話表。在這個表中的每個入口綁定了包括所有的Socket資源和與進程相關聯的其它資源。此外，還維護一個關于Socket ID和數據表中入口地址的映射表。因此，通用協議棧還完成了網絡數據包的狀態檢測功能，負責對網絡應用數據進行分發，并記錄網絡數據包中的主要參數，以加快回應處理速度。

2.1.2 訪問攔截檢查機設計分析

訪問攔截檢查機對協議數據進行分析檢查。它提供語法檢查并以專用壓縮表達方式重新構建相同網絡訪問數據，重構的消息將被傳送到專用協議棧。訪問攔截檢查機提供多種協議分析功能，對支持的應用協議提供一個單獨的協議分析單元。每個經通用協議棧傳過來的數據會傳遞到相應的協議分析單元進行協議分析檢查。在進行檢查的同時，訪問攔截檢查機還產生詳盡的訪問日志，發送給日志系統。日志的內容不僅包括源、目的IP地址，訪問端口，協議種類以及用戶標識(內部代理機)等信息，通過針對協議的深層檢查，日志中還記錄協議命令等重要參數，因此加強了協議檢查的力度和深度，對協議攻擊具有極高的防范能力。

2.1.3 專用協議棧

在代理機中，專用協議棧一方面接收訪問攔截機傳遞的網絡訪問及數據，并按照類似TCP/IP分層處理方式以專用協議傳輸格式重構為特定應用數據包。而在另一方面，專用協議棧按TCP/IP協議分層處理方式，剝除協議頭部，將專用安全協議層的數據遞交給訪問攔截機處理。專用協議棧的分層處理與TCP/IP協議棧類似，由上至下按特定協議格式生成協議頭，添加到網絡數據上;由下至上則剝離協議頭，取出相關參數及數據。專用協議格式稱為表單。表單結構包含所有重要的TCP/IP協議頭參數，如源、目的IP地址，應用協議類型等。滿足專用、靈活、內容全面的要求。既能支持大多數的應用協議，又能保證表單的格式不易被篡改、假冒。為保證數據的機密性和正確性，還應對表單數據進行加密處理。由于協議的格式特定，在重構及分解協議的映射過程中對TCP/IP協議段各項內容進行了被動檢查，不符合格式映射的應用會話將被丟棄。由此，專用協議的使用及會話處理使整個系統對針對協議的攻擊具有一定免疫能力，這是網絡安全隔離與信息交換技術與防火墻類技術相比所具有的獨特優勢。

2.2 志審計單元

作為一個網絡安全產品，必須對日志進行審計，以在事后通過對審計跡的檢查監測用戶行為，發現系統中存在的問題或缺陷，為制定相關策略，完善網絡安全性提供依據。日志審計功能包括對網絡重要通信數據、重要的網絡行為、用戶的操作行為、管理人員的管理行為進行審計。從來就沒有一種技術，可以絕對的保證網絡安全，即使技術在理論上可以完全安全，也不可能保證執行人員可以完整無誤的執行，完全沒有失誤。如果管理人員出現失誤，實際的網絡安全也是無法保證的。信息安全其實是三分技術，七分管理。因此，無論技術有多先進，審計功能都是保障網絡安全不可或缺的重要功能。

為了便于對于大量日志數據進行有效審計，日志審計系統具有自己專用的日志格式，該格式遵從WEBTRENDS等通用日志格式。同時，專用日志瀏覽工具將由審計管理員用于對日志進行分析。為了有效表示不同日志信息的重要程度，日志審計系統支持按照時間排序、按照事件的敏感程度排序、按照指定的其它索引規則排序，以使審計管理員統計分析各種類型的網絡訪問數據，為系統安全管理員修改網絡訪問控制策略庫提供依據。

2.3 數據交換及開關控制單元

數據交換與開關控制單元是整個技術的核心部分，也是實現內、外網絡間安全隔離，保證數據實時交換的關鍵。在設計要滿足的三個條件是:1) 內/外開關的互斥通斷，實現內/外代理之間的安全隔離;2) 開關切換不受外界控制，數據交換采用專用格式;3) 數據傳輸速率高于代理單元，防止出現性能瓶頸。

在對比了USB、SCSI及內存等技術可行性及后，我們將設計定型為開發專用電路板，對外利用DMA內存映射技術與代理單元完成數據交換，對內通過預定的指令邏輯系統控制開關通斷，安全隔離網絡，并實現數據快速交換。

3 結論

網絡安全隔離與信息交換技術保證信息交換的機密性、完整性、可用性、可控性以及抗抵賴，專用通信設備、專有安全協議和加密驗證機制及應用層數據提取和鑒別認證技術的綜合應用，徹底阻斷了網絡間的直接TCP/IP連接，同時對網間通信的雙方、內容、過程都施以嚴格的身份認證、內容過濾、安全審計等多種安全防護機制，從而保證了網間數據交換的安全、可控，有效屏蔽操作系統和網絡協議自身漏洞。隨著對網絡安全隔離與信息交換技術的深入研究及其與防火墻，IDS，病毒檢測等網絡安全技術的有機結合，加強對協議數據的檢查深度和廣度，提高數據的處理速率，根據實際應用修改完善安全功能，必定能成為網絡信息安全更可靠的安全屏障。

參考文獻:

[1] 黃元飛，陳曉樺.國家標準GB/T 18336介紹(一)[J].信息安全與通信保密，2001(6):71-72.

[2] 盧開澄，計算機密碼學——計算機網絡中的數據保密與安全[M].2版.北京:清華大學出版社，2006.

[3] 李穎.信息的隔離與交換技術初探[J].計算機安全，2002(12):43.

[4] 孔斌，杜虹，馬朝斌.安全隔離與信息交換技術發展及應用[J].計算機安全，2003(29):39-42.

[5] 王育民，劉建偉.通信網的安全——理論與技術[M].西安:西安電子科技大學出版社，2006.