1、浅谈网络安全策略1 引 言 伴随着计算机网络的飞速发展, 全球信息化已成为势不可挡的趋势。中国目前已有近8 000 万互联网用户, 互联网在越来越深入地进入人们生活的同时, 也成为社会诸多领域正常运转不可缺少的一部分, 网络也正在创造着巨大的财富。同时, 资源的共享和地域的分布增加了网络受攻击的机会。计算机的开放性和标准化等结构特点, 使计算机信息具有高度共享和易于扩散的特性, 导致计算机信息在处理、存储、传输和应用过程中很容易被泄露、窃取、篡改和破坏, 或者受到计算机病毒的感染。为了保证网络中信息的安全保密性、完整性、可靠性、可用性, 必须制定符合实际的高效的信息安全策略。2 安全策略 安全
2、策略是指一个特定环境中, 为保证提供一定级别的安全保护所必须遵守的规则。安全策略包括严格的管理、先进的技术和相关的法律。安全策略决定采用何种方式和手段来保证网络系统的安全。即首先要清楚自己需要什么, 制定恰当的满足需求的策略方案, 然后才考虑技术上如何实施。 信息安全策略反映了维护信息安全的方式和手段, 是高层对下层的命令。但是安全策略并不是具体描述怎么去完成特定任务的, 它大概地指出所要完成的目标是什么, 是总体指导性原则, 提供维护网 收稿日期: 2004- 09- 15 第一作者简介: 谷志新( 1977 ) , 女, 河北省宁津县人, 东北林业大学信息学院硕士研究生, 研究方向: 信息
3、与网络安全技术。络信息系统安全日常规则的总体框架。3 网络安全策略原则 传统的安全策略仅局限在局部和静态层面上,现代的安全策略更注重安全领域的时代性, 在进行系统安全设计时遵循以下原则: ( 1) 体系性: 制定完整的安全体系, 包括管理体系、技术体系。 ( 2) 系统性: 整个安全系统避免安全设施各自独立进行配置和管理, 应体现从运行到管理的统一特性, 确保安全策略实施的正确性与一致性。 ( 3) 层次性: 安全设计在各个层次采用的安全机制来实现所需的安全服务, 从而达到网络安全的目的。 ( 4) 综合性: 网络安全体系的设计包括完备性、先进性和可扩展性的技术方案, 根据技术管理、业务管理和
4、行政管理要求制定相应的安全管理方案, 以形成网络安全工程设计的整体方案, 供工程分阶段实施和安全系统运行作为指导。 ( 5) 动态性: 网络系统的发展是飞速进行的, 而安全技术和产品也在不断地更新和完善, 所以, 安全策略的设计也应该与时俱进, 体现最新的安全技术。4 网络安全技术介绍 网络安全包括系统安全和信息安全两部分。系统安全指网络的硬件设备、操作系统和应用软件的安全, 信息安全指信息数据在存储传输过程的安全。4. 1 防火墙技术策略 防火墙技术是建立在现代通信网络技术和信息安全技术基础之上的应用性安全技术。防火墙技术源于单个主机系统的安全防范模式, 采用访问控制的方法, 限制使用者访问
5、系统或网络资源的权限, 以达到规范网络行为的目的。防火墙的出现, 限制了数据在网络内外的自由流动。其优越性表现在, 限制没授权的协议和服务通过防火墙和防止非法访问, 对所有的访问做出日志记录。由于其针对性强,已成为最为广泛的技术之一。现在, 接入Internet的计算机有1/ 3 以上处在防火墙的保护之下。4. 1. 1 防火墙技术 ( 1) 包过滤技术 按照事先定义的接入控制表在网络中对经过的IP 数据包逐一进行控制。包过滤技术一般应用在网络层。按地址过滤和按服务类型过滤的规则设计过滤规则, 根据数据包的源/ 目标地址、源/ 目标端口号、协议类型、协议标志、服务类型等进行匹配, 当发现匹配过
6、滤规则的数据包转发, 否则禁止。包过滤防火墙通常可以是商用路由器, 也可以是基于PC的网关。 ( 2) 应用网关技术 网关技术一般工作在传输层, 在两个主机第一次建立连接时创立一个电子屏障, 建立两个t 连接。连接建立之后, 数据包从一个连接向另一个连接发送, 不用检查内容。 ( 3) 代理服务技术 代理服务技术是对应用层进行访问控制。代理服务限制了内部和外部主机直接的通信。代理隔离了内外通信, IP 数据包经过代理转发不再直接进出网络内部。代理服务将网络内部结构保护起来, 同时实现数据流监控、过滤、记录和报告。4. 1. 2 防火墙设计策略 描述防火墙如何对网络服务访问权限策略中定义的服务进
7、行具体的限制访问和过滤的策略。首先考虑网络服务访问权限, 以保护网络不受到攻击和非法用户的访问。典型的网络服务访问权限策略为禁止从外部网络到本站点的访问, 允许站点到外部网络的访问。允许从外部网络到本站点的访问权限。网络服务访问权限策略将决定对那些协议及协议的域进行过滤, 防火墙阻塞一些容易受到攻击的服务。在设计防火墙时还应该考虑SLIP 及PPP 访问方式, 使外部用户通过防火墙高级认证进行过滤。4. 2 加密技术策略 为了保护网内的数据、文件、口令和控制信息,保护网上传输的数据必须采取加密技术。网络中常用的加密技术方式有链路加密、端点加密和节点加密。链路加密是保护相邻网络节点之间的链路信息
8、安全; 端 端加密是保护源端用户到目的端用户的数据; 节点加密是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况选择上述加密方式。 信息加密过程是由不同的加密算法来具体实施, 它以很小的代价提供很大的安全保护。在多数情况下, 信息加密是保证信息机密性的唯一方法。现在已经公开发表的各种加密算法多达数百种。如果按照密钥性质来分类, 可以将这些加密算法分为传统密码体制( 对称密钥体制) 和公开密钥密码体制( 非对称密钥体制) 。 传统密码体制中, 加密和解密使用相同的密钥,即加密密钥和解密密钥是相同或等价的。最著名的密码算法是美国的DES 算法。DES 标准是为二进制编码设计的对数据进行
9、密码保护的数学算法。用密钥对64 位二进制信息进行加密, 把其加密成64位密文。由于DES 算法公开, 其安全性完全依赖对密钥的安全。 公开密钥密码体制, 加密和解密使用互不相同的密钥, 而且几乎不可能从加密密钥推导出解密密钥。最著名的公钥密码算法是RSA, 它能抵抗到目前为止已知的所有密码攻击。在公开密钥密码体系中, 用公开密钥加密的密文只能由同一对钥匙中的秘密密钥解密。密钥放在方便存取的地方, 无须设置专门的信道。公开密钥非常适应网络的开放性,密钥管理简单方便, 可以实现数字签名和验证, 但算法复杂。公开密钥密码体制将是一种很有前途的网络加密体制。 近年来, 在实际应用中, 人们通常将以上
10、两种算法结合起来使用。比如: 利用DES 来加密信息, 采用RSA 来传递会话密钥。这样可获得DES 加密速度快和RSA 加密强度高的双重优势。密码技术是网络安全最有效的技术之一。4. 3 虚拟专用网技术策略 虚拟专用网( virtual private network, VPN ) 技术利用现有的不安全的公共网络建立安全方便的企业专业通信网络。现在, Internet 是全球最大的网络基础设施, 因此基于Internet 的VPN 技术逐渐受到关注。 VPN 在公用的两个网络之间建立虚拟的专用通道, 初始化隧道后, VPN 数据的安全性通过加密技术得以保护。主要采用tunneling、enc
11、rypt ion &decryption、key management、authent icat ion 技术。按照服务类型, VPN 业务可分为拨号VPN 和专线VPN, 专线VPN 又分为内部VPN 和外部VPN。由于VPN 技术可扩展性强, 建立方便, 具有高度的安全性, 简化了网络设计和管理, 使费用降到最低, 因而, 逐渐成为通用的技术。5 网络立法 政府和职能部门也应该通过多种手段, 加强对全社会存储安全意识的引导和教育。今年, 中国将加强互联网应急处理, 最大限度保障网络安全, 中国将建立健全信息安全通报制度, 各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,制定并不
12、断完善信息安全应急处理预案。在此基础上, 加强信息安全应急支援服务队伍建设, 鼓励社会力量参与灾难备份设施建设和提供技术服务, 不断完善国家公共互联网应急处理体系。计算机网络的日益普及, 迫切需要制定一系列相应的法律法规, 以规范计算机在社会和经济活动中的应用。6 结束语 安全策略对安全系统是非常重要的。网络安全需要管理、技术、法律的有机结合, 以形成有效防护的合力, 也需要情报、知识、谋略来增强网络的防御能力。在网络安全领域, 我们虽然逐渐积累了一些知识、经验以及相应的法律, 更为重要的是意识到了网络安全的重要性, 但是, 随着技术高速发展, 网络的广域化和实用化对网络系统的安全性提出了越来越高的要求。网络安全领域将面临着许多意想不到的问题, 这需要我们不懈的努力。
