計算機網(wǎng)絡(luò)安全方案的設(shè)計與實現(xiàn)

潘樹龍，孫維夫

（1.2.煙臺職業(yè)學(xué)院信息工程系，山東煙臺264670）

計算機網(wǎng)絡(luò)安全方案的設(shè)計與實現(xiàn)

潘樹龍1，孫維夫2

（1.2.煙臺職業(yè)學(xué)院信息工程系，山東煙臺264670）

在信息化社會中，隨著互聯(lián)網(wǎng)絡(luò)的發(fā)展，計算機已由單一使用發(fā)展到群集使用，計算機網(wǎng)絡(luò)在社會經(jīng)濟、文教、衛(wèi)生、軍事乃至政治領(lǐng)域的應(yīng)用正在深刻地改變著人類的生存環(huán)境和生活方式。越來越多的應(yīng)用領(lǐng)域需要計算機在一定的地理范圍內(nèi)聯(lián)合起來進行群集工作，然而人類卻面臨又一大難題——計算機網(wǎng)絡(luò)安全。互聯(lián)網(wǎng)的發(fā)展，黑客的產(chǎn)生，病毒和感染，在人類享受信息化生活的同時也成為人類的困擾。該文就計算機網(wǎng)絡(luò)安全系統(tǒng)提出一系列方案的設(shè)計與實現(xiàn)，方便大家系統(tǒng)地了解計算機網(wǎng)絡(luò)安全，以及應(yīng)當(dāng)采取的對應(yīng)措施。

計算機網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；病毒防護

目前，我國網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)已然成型，網(wǎng)上業(yè)務(wù)的開展也達到了相當(dāng)水平，網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)應(yīng)用已經(jīng)成為國內(nèi)各級機構(gòu)行使職能、處理業(yè)務(wù)、開展工作的重要基礎(chǔ)和必要手段[1]。

建立和完善網(wǎng)絡(luò)安全方案首先需了解用戶的安全環(huán)境、安全現(xiàn)狀、以及存在的安全威脅，根據(jù)用戶的需求制定和實現(xiàn)一系列的網(wǎng)絡(luò)安全方案的設(shè)計。

網(wǎng)絡(luò)安全是一個必須解決的重要問題，同時也是一個極其復(fù)雜的問題。根據(jù)實際情況建立相應(yīng)的網(wǎng)絡(luò)安全方案，其中包括：加密技術(shù)、防火墻、入侵檢測、安全掃描、防病毒、操作系統(tǒng)的安全性等一系列網(wǎng)絡(luò)安全方案。

1 物理隔離

1.1 物理隔離的概述

所謂“物理隔離”是指內(nèi)部網(wǎng)不直接或間接地連接公共網(wǎng)。物理安全的目的是保護路由器、工作站、網(wǎng)絡(luò)服務(wù)器等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線竊聽攻擊。

1.2 物理隔離的方案

物理隔離的技術(shù)架構(gòu)在隔離上，我們通過以下一組圖示來說明物理隔離是如何實現(xiàn)的。

圖1-1

上頁圖1-1表示沒有連接時內(nèi)外網(wǎng)的應(yīng)用狀況。從連接特征可以看出，這樣的結(jié)構(gòu)從物理上完全分離。外網(wǎng)是安全性不高的因特網(wǎng)，內(nèi)網(wǎng)是安全性很高的內(nèi)部專用網(wǎng)絡(luò)。正常情況下，隔離設(shè)備和外網(wǎng)，隔離設(shè)備和內(nèi)網(wǎng)，外網(wǎng)和內(nèi)網(wǎng)是完全斷開的，即保證網(wǎng)絡(luò)之間是完全斷開的。隔離設(shè)備可以理解為純粹的存儲介質(zhì)和一個單純的調(diào)度和控制電路[2]。

當(dāng)外網(wǎng)有數(shù)據(jù)需要到達內(nèi)網(wǎng)時，以電子郵件為例，外部服務(wù)器立即發(fā)起對隔離設(shè)備的非TCP/IP協(xié)議的數(shù)據(jù)連接，隔離設(shè)備將所有協(xié)議剝離，將原始的數(shù)據(jù)寫入存儲介質(zhì)（見圖1-2）。根據(jù)不同的應(yīng)用，可能有必要對數(shù)據(jù)進行完整性和安全性檢查，如防病毒和惡意代碼等。

圖1-2

一旦數(shù)據(jù)完全寫入隔離設(shè)備的存儲介質(zhì)，隔離設(shè)備立即中斷與外網(wǎng)的連接。轉(zhuǎn)而發(fā)起對內(nèi)網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備將存儲介質(zhì)內(nèi)的數(shù)據(jù)推向內(nèi)網(wǎng)。內(nèi)網(wǎng)收到數(shù)據(jù)后，立即進行TCP/IP的封裝和應(yīng)用協(xié)議的封裝，并交給應(yīng)用系統(tǒng)。此時，內(nèi)網(wǎng)電子郵件系統(tǒng)就收到了外網(wǎng)的電子郵件系統(tǒng)通過隔離設(shè)備轉(zhuǎn)發(fā)的電子郵件（見圖1-3）。

圖1-3

2 病毒防護：病毒防護系統(tǒng)

2.1 計算機病毒的概述

計算機病毒是利用程序干擾或破壞系統(tǒng)正常工作的一種手段，它的產(chǎn)生和蔓延給計算機系統(tǒng)的可靠性和安全性帶來嚴重威脅和巨大的損失。計算機病毒主要手段有：數(shù)據(jù)欺騙、特洛伊木馬、邏輯炸彈、偷襲程序、意大利香腸、蠕蟲病毒、宏病毒、制造陷阱、超級沖殺和異步攻擊等[3]。今后在現(xiàn)代化戰(zhàn)爭中，可以利用傳染病毒來破壞對方的軍事指揮通信系統(tǒng)，使其處于癱瘓狀態(tài)。因而，對計算機病毒的危害也絕不能掉以輕心。

2.2 病毒防護系統(tǒng)的實現(xiàn)

其解決方案安裝殺毒軟件。目前計算機反病毒市場上流行的反病毒產(chǎn)品很多，國內(nèi)的著名殺毒軟件有瑞星、金山毒霸、360等等，國外引進的著名殺毒軟件有Norton AntiVirus、Trend PC-Cillin98、McAfee VirusScan等，要經(jīng)常更新病毒庫以及安裝網(wǎng)絡(luò)防火墻。

3 動態(tài)口令身份認證系統(tǒng)

3.1 動態(tài)口令身份認證系統(tǒng)的概述

隨著計算機網(wǎng)絡(luò)信息技術(shù)的迅速發(fā)展，信息價值日益受到人們的重視，一些黑客軟件可能隨時都能搜捕到您使用過的密碼，這對信息的安全構(gòu)成嚴重的威脅，事實上，任何純粹的軟件都無法逃脫黑客的跟蹤，只有軟硬件結(jié)合才能從根本上解決這一難題，動態(tài)口令身份認證系統(tǒng)正是利用“軟件+硬件令牌”的方式來解決這一難題。動態(tài)口令身份認證是集認證與管理于一身，極容易擴展，其具有安全性、唯一性、可靠性、不可否認性。

3.2 動態(tài)口令身份認證系統(tǒng)方案實現(xiàn)

動態(tài)口令身份認證系統(tǒng)的實現(xiàn)需要建立起動態(tài)口令身份認證系統(tǒng)的管理控制臺、認證服務(wù)器、應(yīng)用接口、軟件令牌。針對不同的安全等級要求，可以分別為服務(wù)用戶、操作員、系統(tǒng)管理員提供動態(tài)口令，以提高其認證的安全性。保持動態(tài)口令身份認證系統(tǒng)與應(yīng)用系統(tǒng)連接的簡單和方便，性能穩(wěn)定、安全。由于信息時代的發(fā)展，接受動態(tài)口令可以為手機、動態(tài)令等。

4 訪問控制——“防火墻”

4.1 防火墻的概述

網(wǎng)絡(luò)防火墻是用來在一個可信網(wǎng)絡(luò)（如內(nèi)部網(wǎng)）與一個不可信網(wǎng)絡(luò)（如外部網(wǎng)）間起保護作用的一整套裝置，在內(nèi)部網(wǎng)和外部網(wǎng)之間的界面上構(gòu)造一個保護層，并強制所有的訪問或連接都必須經(jīng)過這一保護層，在此進行檢查和連接。只有被授權(quán)的通信才能通過此保護層，從而保護內(nèi)部網(wǎng)資源免遭非法入侵[4]。

在物理上，防火墻表現(xiàn)為一個或一組帶特殊功能的網(wǎng)絡(luò)設(shè)備。但它的目的是建立一個網(wǎng)絡(luò)安全協(xié)議和機制，并通過網(wǎng)絡(luò)配置、主機系統(tǒng)、路由器以及諸如身份認證等手段來實現(xiàn)該安全協(xié)議和機制。從廣義上說，還包括各種加密技術(shù)的應(yīng)用。

4.2 防火墻方案實現(xiàn)

4.2.1 隔離內(nèi)外網(wǎng)（全部隔離）部署方案（見圖4－1）

圖4-1

4.2.2 提高內(nèi)外網(wǎng)服務(wù)器安全的防火墻部署方案（見圖4－2）

圖4-2

根據(jù)防火墻部署的位置不同，它的功能顯然不一樣，上頁圖4-1隔離內(nèi)外網(wǎng)（全部隔離）方案，這是最簡單的防火墻部署方案，對各個區(qū)域進行防火墻規(guī)則設(shè)置，施行分層管理對外部訪問進行限制，用豐富的包過濾功能，網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）DMZ（非軍事區(qū)）多種服務(wù)器代理職能內(nèi)容過濾統(tǒng)計計費功能[5]，安全檢測與實時報警功能與IDS聯(lián)動抗IP欺騙、防端口掃描、DOS攻擊攔截、p2p協(xié)議過濾。適合應(yīng)用服務(wù)多少，以客戶機上網(wǎng)為主的小型網(wǎng)絡(luò)；圖4-2是提高內(nèi)外網(wǎng)服務(wù)器安全的防火墻部署方案，這種部署是在帶DMZ部署方案的基礎(chǔ)上，在企業(yè)內(nèi)部增加防火墻以及相應(yīng)的策略，在內(nèi)部再增加一個防火墻，安全系數(shù)得到提升，但不足之處在于合法訪問必須經(jīng)過兩道防火墻，再經(jīng)過安全策略分析之后，才能訪問內(nèi)部敏感信息。

5 結(jié)束語

隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，網(wǎng)絡(luò)在各種信息系統(tǒng)中的作用變得越來越重要，人們也越來越關(guān)心網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理問題。本文通過當(dāng)今對網(wǎng)絡(luò)構(gòu)成威脅的各種因素，提出了相關(guān)的解決對策，并給出了實施方案。總之，網(wǎng)絡(luò)安全是一個系統(tǒng)的工程，不能僅僅依靠防火墻等單個系統(tǒng)，而需要仔細考慮系統(tǒng)的安全需求，并將各種安全技術(shù)，如密碼技術(shù)等結(jié)合在一起，才能生成一個高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。

[1]胡道元.計算機局域網(wǎng)[M].北京:清華大學(xué)出版社,2001:120-130.

[2]朱理森.張守連.計算機網(wǎng)絡(luò)應(yīng)用技術(shù)[M].北京:專利文獻出版社,2001:35-37.

[3]劉占全.網(wǎng)絡(luò)管理與防火墻[M].北京:人民郵電出版社,1999:66-68.

[4]陳愛民.計算機的安全與保密[M].北京:電子工業(yè)出版社,2002:80-83.

[5]殷偉.計算機安全與病毒防治[M].合肥：安徽科學(xué)技術(shù)出版社,2004:55-57.

TP393.09

A

1673-8535(2013)03-0016-04

潘樹龍（1981-），男，山東福山人，煙臺職業(yè)學(xué)院教師，主要研究方向：計算機網(wǎng)絡(luò)安全建設(shè)以及視頻圖像信息提取。

孫維夫（1970-），男，山東棲霞人，煙臺職業(yè)學(xué)院講師，研究方向：計算機網(wǎng)絡(luò)。

（責(zé)任編輯：覃華巧）

2013-04-20