計(jì)算機(jī)網(wǎng)絡(luò)安全

1 緒論

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問題。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問題，其中也會涉及到是否構(gòu)成犯罪行為的問題。在其最簡單的形式中，它主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時(shí)，它關(guān)心的對象是那些無權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。
大多數(shù)安全性問題的出現(xiàn)都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的�？梢钥闯霰ＷC網(wǎng)絡(luò)安全不僅僅是使它沒有編程錯(cuò)誤。它包括要防范那些聰明的，通常也是狡猾的、專業(yè)的，并且在時(shí)間和金錢上是很充足、富有的人。同時(shí)，必須清楚地認(rèn)識到，能夠制止偶然實(shí)施破壞行為的敵人的方法對那些慣于作案的老手來說，收效甚微。
網(wǎng)絡(luò)安全性可以被粗略地分為4個(gè)相互交織的部分：保密、鑒別、反拒認(rèn)以及完整性控制。保密是保護(hù)信息不被未授權(quán)者訪問，這是人們提到的網(wǎng)絡(luò)安全性時(shí)最常想到的內(nèi)容。鑒別主要指在揭示敏感信息或進(jìn)行事務(wù)處理之前先確認(rèn)對方的身份。反拒認(rèn)主要與簽名有關(guān)。保密和完整性通過使用注冊過的郵件和文件鎖來實(shí)現(xiàn)。

2 方案目標(biāo)

本方案主要從網(wǎng)絡(luò)層次考慮，將網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)成一個(gè)支持各級別用戶或用戶群的安全網(wǎng)絡(luò)，該網(wǎng)在保證系統(tǒng)內(nèi)部網(wǎng)絡(luò)安全的同時(shí)，還實(shí)現(xiàn)與Internet或國內(nèi)其它網(wǎng)絡(luò)的安全互連。本方案在保證網(wǎng)絡(luò)安全可以滿足各種用戶的需求，，比如：可以滿足個(gè)人的通話保密性，也可以滿足企業(yè)客戶的計(jì)算機(jī)系統(tǒng)的安全保障，數(shù)據(jù)庫不被非法訪問和破壞，系統(tǒng)不被病毒侵犯，同時(shí)也可以防止諸如反動淫穢等有害信息在網(wǎng)上傳播等。
需要明確的是，安全技術(shù)并不能杜絕所有的對網(wǎng)絡(luò)的侵?jǐn)_和破壞，它的作用僅在于最大限度地防范，以及在受到侵?jǐn)_的破壞后將損失盡旦降低。具體地說，網(wǎng)絡(luò)安全技術(shù)主要作用有以下幾點(diǎn)：
1．采用多層防衛(wèi)手段，將受到侵?jǐn)_和破壞的概率降到最低；
2．提供迅速檢測非法使用和非法初始進(jìn)入點(diǎn)的手段，核查跟蹤侵入者的活動；
3．提供恢復(fù)被破壞的數(shù)據(jù)和系統(tǒng)的手段，盡量降低損失；
4．提供查獲侵入者的手段。
網(wǎng)絡(luò)安全技術(shù)是實(shí)現(xiàn)安全管理的基礎(chǔ)，近年來，網(wǎng)絡(luò)安全技術(shù)得到了迅猛發(fā)展，已經(jīng)產(chǎn)生了十分豐富的理論和實(shí)際內(nèi)容。

3 安全需求

通過對網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)分析及需要解決的安全問題，我們需要制定合理的安全策略及安全方案來確保網(wǎng)絡(luò)系統(tǒng)的機(jī)密性、完整性、可用性、可控性與可審查性。即，
可用性： 授權(quán)實(shí)體有權(quán)訪問數(shù)據(jù)
機(jī)密性： 信息不暴露給未授權(quán)實(shí)體或進(jìn)程
完整性： 保證數(shù)據(jù)不被未授權(quán)修改
可控性： 控制授權(quán)范圍內(nèi)的信息流向及操作方式
可審查性：對出現(xiàn)的安全問題提供依據(jù)與手段
訪問控制：需要由防火墻將內(nèi)部網(wǎng)絡(luò)與外部不可信任的網(wǎng)絡(luò)隔離，對與外部網(wǎng)絡(luò)交換數(shù)據(jù)的內(nèi)部網(wǎng)絡(luò)及其主機(jī)、所交換的數(shù)據(jù)進(jìn)行嚴(yán)格的訪問控制。同樣，對內(nèi)部網(wǎng)絡(luò)，由于不同的應(yīng)用業(yè)務(wù)以及不同的安全級別，也需要使用防火墻將不同的LAN或網(wǎng)段進(jìn)行隔離，并實(shí)現(xiàn)相互的訪問控制。
數(shù)據(jù)加密：數(shù)據(jù)加密是在數(shù)據(jù)傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。
安全審計(jì)： 是識別與防止網(wǎng)絡(luò)攻擊行為、追查網(wǎng)絡(luò)泄密行為的重要措施之一。具體包括兩方面的內(nèi)容，一是采用網(wǎng)絡(luò)監(jiān)控與入侵防范系統(tǒng)，識別網(wǎng)絡(luò)各種違規(guī)操作與攻擊行為，即時(shí)響應(yīng)（如報(bào)警）并進(jìn)行阻斷；二是對信息內(nèi)容的審計(jì)，可以防止內(nèi)部機(jī)密或敏感信息的非法泄漏

4 風(fēng)險(xiǎn)分析

網(wǎng)絡(luò)安全是網(wǎng)絡(luò)正常運(yùn)行的前提。網(wǎng)絡(luò)安全不單是單點(diǎn)的安全，而是整個(gè)信息網(wǎng)的安全，需要從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理方面進(jìn)行立體的防護(hù)。要知道如何防護(hù)，首先需要了解安全風(fēng)險(xiǎn)來自于何處。網(wǎng)絡(luò)安全系統(tǒng)必須包括技術(shù)和管理兩方面，涵蓋物理層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層和管理層各個(gè)層面上的諸多風(fēng)險(xiǎn)類。無論哪個(gè)層面上的安全措施不到位，都會存在很大的安全隱患，都有可能造成網(wǎng)絡(luò)的中斷。根據(jù)國內(nèi)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用情況，應(yīng)當(dāng)從網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全及管理安全等方面進(jìn)行全面地分析。
風(fēng)險(xiǎn)分析是網(wǎng)絡(luò)安全技術(shù)需要提供的一個(gè)重要功能。它要連續(xù)不斷地對網(wǎng)絡(luò)中的消息和事件進(jìn)行檢測，對系統(tǒng)受到侵?jǐn)_和破壞的風(fēng)險(xiǎn)進(jìn)行分析。風(fēng)險(xiǎn)分析必須包括網(wǎng)絡(luò)中所有有關(guān)的成分。

5 解決方案

5.1 設(shè)計(jì)原則
　　針對網(wǎng)絡(luò)系統(tǒng)實(shí)際情況，解決網(wǎng)絡(luò)的安全保密問題是當(dāng)務(wù)之急，考慮技術(shù)難度及經(jīng)費(fèi)等因素，設(shè)計(jì)時(shí)應(yīng)遵循如下思想：
1．大幅度地提高系統(tǒng)的安全性和保密性；
2．保持網(wǎng)絡(luò)原有的性能特點(diǎn)，即對網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性；
3．易于操作、維護(hù)，并便于自動化管理，而不增加或少增加附加操作；
4．盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，同時(shí)便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展；
5．安全保密系統(tǒng)具有較好的性能價(jià)格比，一次性投資，可以長期使用；
6．安全與密碼產(chǎn)品具有合法性，及經(jīng)過國家有關(guān)管理部門的認(rèn)可或認(rèn)證；
7．分步實(shí)施原則：分級管理 分步實(shí)施。
5.2 安全策略
針對上述分析，我們采取以下安全策略：
1．采用漏洞掃描技術(shù)，對重要網(wǎng)絡(luò)設(shè)備進(jìn)行風(fēng)險(xiǎn)評估，保證信息系統(tǒng)盡量在最優(yōu)的狀況下運(yùn)行。
2．采用各種安全技術(shù)，構(gòu)筑防御系統(tǒng)，主要有：
(1) 防火墻技術(shù)：在網(wǎng)絡(luò)的對外接口，采用防火墻技術(shù)，在網(wǎng)絡(luò)層進(jìn)行訪問控制。
(2) NAT技術(shù)：隱藏內(nèi)部網(wǎng)絡(luò)信息。
(3) VPN：虛擬專用網(wǎng)(VPN)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸,通過一個(gè)私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個(gè)安全的私有連接。它通過安全的數(shù)據(jù)通道將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、公司業(yè)務(wù)伙伴等與公司的企業(yè)網(wǎng)連接起來，構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機(jī)將不會覺察到公共網(wǎng)絡(luò)的存在，仿佛所有的機(jī)器都處于一個(gè)網(wǎng)絡(luò)之中。公共網(wǎng)絡(luò)似乎只由本網(wǎng)絡(luò)在獨(dú)占使用，而事實(shí)上并非如此。
(4）網(wǎng)絡(luò)加密技術(shù)(Ipsec) ：采用網(wǎng)絡(luò)加密技術(shù)，對公網(wǎng)中傳輸?shù)腎P包進(jìn)行加密和封裝，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄�、完整性。它可解決網(wǎng)絡(luò)在公網(wǎng)的數(shù)據(jù)傳輸安全性問題，也可解決遠(yuǎn)程用戶訪問內(nèi)網(wǎng)的安全問題。
(5) 認(rèn)證：提供基于身份的認(rèn)證，并在各種認(rèn)證機(jī)制中可選擇使用。
(6) 多層次多級別的企業(yè)級的防病毒系統(tǒng)：采用多層次多級別的企業(yè)級的防病毒系統(tǒng)，對病毒實(shí)現(xiàn)全面的防護(hù)。
(7）網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)測：采用入侵檢測系統(tǒng)，對主機(jī)和網(wǎng)絡(luò)進(jìn)行監(jiān)測和預(yù)警，進(jìn)一步提高網(wǎng)絡(luò)防御外來攻擊的能力。
3．實(shí)時(shí)響應(yīng)與恢復(fù)：制定和完善安全管理制度，提高對網(wǎng)絡(luò)攻擊等實(shí)時(shí)響應(yīng)與恢復(fù)能力。
4．建立分層管理和各級安全管理中心。
5.3 防御系統(tǒng)
我們采用防火墻技術(shù)、NAT技術(shù)、VPN技術(shù)、網(wǎng)絡(luò)加密技術(shù)（Ipsec）、身份認(rèn)證技術(shù)、多層次多級別的防病毒系統(tǒng)、入侵檢測技術(shù)，構(gòu)成網(wǎng)絡(luò)安全的防御系統(tǒng)。
5.3.1 物理安全
物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。
為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全，還要防止系統(tǒng)信息在空間的擴(kuò)散。通常是在物理上采取一定的防護(hù)措施，來減少或干擾擴(kuò)散出去的空間信號。這是政府、軍隊(duì)、金融機(jī)構(gòu)在興建信息中心時(shí)首要的設(shè)置的條件。
　　為保證網(wǎng)絡(luò)的正常運(yùn)行，在物理安全方面應(yīng)采取如下措施：
1．產(chǎn)品保障方面：主要指產(chǎn)品采購、運(yùn)輸、安裝等方面的安全措施。
2．運(yùn)行安全方面：網(wǎng)絡(luò)中的設(shè)備，特別是安全類產(chǎn)品在使用過程中，必須能夠從生成廠家或供貨單位得到迅速的技術(shù)支持服務(wù)。對一些關(guān)鍵設(shè)備和系統(tǒng)，應(yīng)設(shè)置備份系統(tǒng)。
3．防電磁輻射方面：所有重要涉密的設(shè)備都需安裝防電磁輻射產(chǎn)品，如輻射干擾機(jī)。
4．保安方面：主要是防盜、防火等，還包括網(wǎng)絡(luò)系統(tǒng)所有網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)、安全設(shè)備的安全防護(hù)。
5.3.2 防火墻技術(shù)
防火墻是一種網(wǎng)絡(luò)安全保障手段,是網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪問控制尺度,其主要目標(biāo)就是通過控制入、出一個(gè)網(wǎng)絡(luò)的權(quán)限,并迫使所有的連接都經(jīng)過這樣的檢查,防止一個(gè)需要保護(hù)的網(wǎng)絡(luò)遭外界因素的干擾和破壞。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)視了內(nèi)部網(wǎng)絡(luò)和Internet之間地任何活動，保證了內(nèi)部網(wǎng)絡(luò)地安全；在物理實(shí)現(xiàn)上，防火墻是位于網(wǎng)絡(luò)特殊位置地以組硬件設(shè)備――路由器、計(jì)算機(jī)或其他特制地硬件設(shè)備。防火墻可以是獨(dú)立地系統(tǒng)，也可以在一個(gè)進(jìn)行網(wǎng)絡(luò)互連地路由器上實(shí)現(xiàn)防火墻。用防火墻來實(shí)現(xiàn)網(wǎng)絡(luò)安全必須考慮防火墻的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)：
（1）屏蔽路由器：又稱包過濾防火墻。
（2）雙穴主機(jī)：雙穴主機(jī)是包過濾網(wǎng)關(guān)的一種替代。
（3）主機(jī)過濾結(jié)構(gòu)：這種結(jié)構(gòu)實(shí)際上是包過濾和代理的結(jié)合。
（4）屏蔽子網(wǎng)結(jié)構(gòu)：這種防火墻是雙穴主機(jī)和被屏蔽主機(jī)的變形。
根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和監(jiān)測型。
5.3.2.1 包過濾型
包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點(diǎn) ,一旦發(fā)現(xiàn)來自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判斷規(guī)則。 包過濾技術(shù)的優(yōu)點(diǎn)是簡單實(shí)用,實(shí)現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡單的情況下,能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。 但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無法識別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容易偽造IP地址,騙過包過濾型防火墻。
5.3.2.2 網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT
網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺機(jī)器取得注冊的IP地址。在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時(shí)，將產(chǎn)生一個(gè)映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口，讓這個(gè)偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時(shí)，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個(gè)開放的IP地址和端口來請求訪問。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個(gè)訪問是否安全。當(dāng)符合規(guī)則時(shí)，防火墻認(rèn)為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時(shí)，防火墻認(rèn)為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。
5.3.2.3 代理型
代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來看,代理服務(wù)器相當(dāng)于一臺真正的服務(wù)器;而從服務(wù)器來看,代理服務(wù)器又是一臺真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí),首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。 代理型防火墻的優(yōu)點(diǎn)是安全性較高,可以針對應(yīng)用層進(jìn)行偵測和掃描,對付基于應(yīng)用層的侵入和病毒都十分有效。其缺點(diǎn)是對系統(tǒng)的整體性能有較大的影響,而且代理服務(wù)器必須針對客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性。
以上回答來自: