网络安全策略

1 引 言

伴随着计算机网络的飞速发展, 全球信息化已 成为势不可挡的趋势。中国目前已有近8 000 万互 联网用户, 互联网在越来越深入地进入人们生活的 同时, 也成为社会诸多领域正常运转不可缺少的一 部分, 网络也正在创造着巨大的财富。同时, 资源的 共享和地域的分布增加了网络受攻击的机会。计算 机的开放性和标准化等结构特点, 使计算机信息具 有高度共享和易于扩散的特性, 导致计算机信息在 处理、存储、传输和应用过程中很容易被泄露、窃取、 篡改和破坏, 或者受到计算机病毒的感染。为了保 证网络中信息的安全保密性、完整性、可靠性、可用 性, 必须制定符合实际的高效的信息安全策略。

2 安全策略

安全策略是指一个特定环境中, 为保证提供一 定级别的安全保护所必须遵守的规则。安全策略包 括严格的管理、先进的技术和相关的法律。安全策 略决定采用何种方式和手段来保证网络系统的安 全。即首先要清楚自己需要什么, 制定恰当的满足 需求的策略方案, 然后才考虑技术上如何实施。 信息安全策略反映了维护信息安全的方式和手 段, 是高层对下层的命令。

3 网络安全策略原则

传统的安全策略仅局限在局部和静态层面上, 现代的安全策略更注重安全领域的时代性, 在进行系统安全设计时遵循以下原则:

1 / 5

( 1) 体系性: 制定完整的安全体系, 包括管理体系、技术体系 (2) 系统性: 整个安全系统避免安全设施各自独 立进行配置和管理, 应体现从运行到管理的统一特 性, 确保安全策略实施的正确性与一致性。( 3) 层次性: 安全设计在各个层次采用的安全机 制来实现所需的安全服务, 从而达到网络安全的目 的。 ( 4) 综合性: 网络安全体系的设计包括完备性、 先进性和可扩展性的技术方案, 根据技术管理、业务 管理和行政管理要求制定相应的安全管理方案。( 5) 动态性: 网络系统的发展是飞速进行的, 而 安全技术和产品也在不断地更新和完善, 所以, 安全 策略的设计也应该与时俱进, 体现最新的安全技术。

4 网络安全技术介绍

网络安全包括系统安全和信息安全两部分。系 统安全指网络的硬件设备、操作系统和应用软件的 安全, 信息安全指信息数据在存储传输过程的安全。

4. 1 防火墙技术策略 防火墙技术是建立在现代通信网络技术和信息 安全技术基础之上的应用性安全技术。防火墙技术 源于单个主机系统的安全防范模式, 采用访问控制 的方法, 限制使用者访问系统或网络资源的权限, 以 达到规范网络行为的目的。防火墙的出现, 限制了 数据在网络内外的自由流动。其优越性表现在, 限 制没授权的协议和服务通过防火墙和防止非法访 问, 对所有的访问做出日志记录。由于其针对性强, 已成为最为广泛的技术之一。现在, 接入Internet 的计算机有1/ 3 以上处在防火墙的保护之下。

4. 1. 1 防火墙技术 ( 1) 包过滤技术 按照事先定义的接入控制表在网络中对经过的 IP 数据包逐一进行控制。包过滤技术一般应用在 网络层。按地址过滤和按服务类型过滤的规则设计 过滤规则, 根据数据包的源/ 目标地址、源/ 目标端口 号、协议类型、协议标志、服务类型等进行匹配, 当发 现匹配过滤规则的数据包转发, 否则禁止。包过滤 防火墙通常可以是商用路由器, 也可以是基于PC 的网关。 ( 2) 应用网关技术 网关技术一般

2 / 5

工作在传输层, 在两个主机第一 次建立连接时创立一个电子屏障, 建立两个t 连接。 连接建立之后, 数据包从一个连接向另一个连接发 送, 不用检查内容。 ( 3) 代理服务技术 代理服务技术是对应用层进行访问控制。代理 服务限制了内部和外部主机直接的通信。代理隔离 了内外通信, IP 数据包经过代理转发不再直接进出 网络内部。代理服务将网络内部结构保护起来, 同 时实现数据流监控、过滤、记录和报告。

1 防火墙设计策略 描述防火墙如何对网络服务访问权限策略中定 义的服务进行具体的限制访问和过滤的策略。首先 考虑网络服务访问权限, 以保护网络不受到攻击和 非法用户的访问。典型的网络服务访问权限策略为 禁止从外部网络到本站点的访问, 允许站点到外部 网络的访问。允许从外部网络到本站点的访问权 限。网络服务访问权限策略将决定对那些协议及协 议的域进行过滤, 防火墙阻塞一些容易受到攻击的 服务。在设计防火墙时还应该考虑SLIP 及PPP 访 问方式, 使外部用户通过防火墙高级认证进行过滤。

2 加密技术策略 为了保护网内的数据、文件、口令和控制信息, 保护网上传输的数据必须采取加密技术。网络中常 用的加密技术方式有链路加密、端点加密和节点加 密。链路加密是保护相邻网络节点之间的链路信息 安全; 端 端加密是保护源端用户到目的端用户的 数据; 节点加密是对源节点到目的节点之间的传输 链路提供保护。用户可根据网络情况选择上述加密 方式。 信息加密过程是由不同的加密算法来具体实 施, 它以很小的代价提供很大的安全保护。在多数 情况下, 信息加密是保证信息机密性的唯一方法。 现在已经公开发表的各种加密算法多达数百种。如 果按照密钥性质来分类, 可以将这些加密算法分为 传统密码体制( 对称密钥体制) 和公开密钥密码体制 ( 非对称密钥体制) 。 传统密码体制中, 加密和解密使用相同的密钥, 即加密密钥和解密密钥是相同或等价的。最著名的 密码算法是美国的DES 算法。DES 标准是为二进 制编码设计的对数据进行密码保护的数学算法。用 密钥对64 位二进制信息进行加密, 把其加密成64 位密文。由于DES 算法公开, 其安全性完全依赖对 密钥的安全。 公开密钥密码体制, 加密和解密使用互不相同 的密

3 / 5

钥, 而且几乎不可能从加密密钥推导出解密密 钥。最著名的公钥密码算法是RSA, 它能抵抗到目 前为止已知的所有密码攻击。在公开密钥密码体系 中, 用公开密钥加密的密文只能由同一对钥匙中的 秘密密钥解密。密钥放在方便存取的地方, 无须设 置专门的信道。公开密钥非常适应网络的开放性, 密钥管理简单方便, 可以实现数字签名和验证, 但算 法复杂。公开密钥密码体制将是一种很有前途的网 络加密体制。 近年来, 在实际应用中, 人们通常将以上两种算 法结合起来使用。比如: 利用DES 来加密信息, 采 用RSA 来传递会话密钥。这样可获得DES 加密速 度快和RSA 加密强度高的双重优势。密码技术是 网络安全最有效的技术之一。

3 虚拟专用网技术略 虚拟专用网( virtual private network, VPN ) 技 术利用现有的不安全的公共网络建立安全方便的企 业专业通信网络。现在, Internet 是全球最大的网 络基础设施, 因此基于Internet 的VPN 技术逐渐受 到关注。 VPN 在公用的两个网络之间建立虚拟的专用 通道, 初始化隧道后, VPN 数据的安全性通过加密 技术得以保护。主要采用

tunneling、encrypt ion & decryption、key management、

authent icat ion 技术。 按照服务类型, VPN 业务可分为拨号VPN 和专线 VPN, 专线VPN 又分为内部VPN 和外部VPN。由 于VPN 技术可扩展性强, 建立方便, 具有高度的安 全性, 简化了网络设计和管理, 使费用降到最低, 因 而, 逐渐成为通用的技术。

5 网络立法

政府和职能部门也应该通过多种手段, 加强对 全社会存储安全意识的引导和教育。今年, 中国将 加强互联网应急处理, 最大限度保障网络安全, 中国 将建立健全信息安全通报制度, 各基础信息网络和 重要信息系统建设要充分考虑抗毁性与灾难恢复, 制定并不断完善信息安全应急处理预案。在此基础 上, 加强信息安全应急支援服务队伍建设, 鼓励社会 力量参与灾难备份设施建设和提供技术服务, 不断 完善国家公共互联网应急处理体系。计算

4 / 5

机网络的 日益普及, 迫切需要制定一系列相应的法律法规, 以 规范计算机在社会和经济活动中的应用。

6 结束语

安全策略对安全系统是非常重要的。网络安全 需要管理、技术、法律的有机结合, 以形成有效防护 的合力, 也需要情报、知识、谋略来增强网络的防御 能力。在网络安全领域, 我们虽然逐渐积累了一些 知识、经验以及相应的法律, 更为重要的是意识到了 网络安全的重要性, 但是, 随着技术高速发展, 网络 的广域化和实用化对网络系统的安全性提出了越来 越高的要求。网络安全领域将面临着许多意想不到 的问题, 这需要我们不懈的努力。

5 / 5