計算機安全專用網的安全策略 推薦本站點擊率最高的計算機雜志：《計算機安全》雜志是由中華人民共和國信息產業部主管，信息產業部基礎產品發展研究中心主辦，面向國內外公開發行的全面介紹網絡與計算機信息系統安全技術與應用的大型科技類月刊。每期正文80頁，精美印刷，現發行量已達3萬冊。

　　摘 要 網絡攻擊行為已經開始向專用網內蔓延，專用網的安全問題日趨嚴重。為有效地解決專用網的安全問題，本文在分析專用網安全需求的基礎上，提出了專用網業務流安全模型、最大隔離準則、應急響應體系等基本安全策略，并建議配合安全策略在專用網內應用VLAN、VPN、HoneyPot等安全技術。

　　關鍵詞 計算機安全,安全策略,業務流安全模型,最大隔離準則,HoneyPot

　　1 引言

　　專用網(Private Network)指某個部門為滿足本單位特殊業務工作的需要而建造的網絡。伴隨著計算機網絡與信息技術的飛速發展，社會的信息化程度越來越高，軍隊、銀行、鐵路、電力等部門均建立了本系統的專用網。近幾年不斷出現的安全事件表明，網絡攻擊行為已經由因特網蔓延到了專用網，而且專用網上的安全事件造成的危害及損失更大，特別是經由軍事網絡造成的失泄密后果尤其嚴重。本文在深入分析專用網安全現狀及安全需求的基礎上，提出了相應的安全策略，并引入了相應的安全技術。

　　2 專用網安全需求分析

　　專用網與因特網均采用了互聯網技術，但專用網的安全需求及安全現狀與因特網有很大的區別。

　　(1)因特網的開放性使任何人都可能成為攻擊者或被攻擊者，網絡安全難以控制;而專用網接入人員及接入地點受限，且與公用網物理隔離，安全策略的部署與實施相對簡單。

　　(2)因特網主要目的是實現開放性的互聯及多樣性的服務，為滿足以上需求引入網絡設備或安全設備以及相應技術;而專用網網絡拓撲相對固定、業務專一，引入網絡設備或安全設備以及相應技術時應該在滿足業務需要的同時兼顧安全需求。

　　(3)因特網上最大的安全威脅來自于竊取主機控制權;而專用網上最大的安全威脅來自于越權訪問及信息泄露。

　　除了上述區別之外，解決專用網安全問題還需要考慮專用網自身的建設與發展過程。以軍用網絡為例，在建設之初，由于網絡安全問題并不突出，安全需求也未明確，主要是解決互聯互通問題，安全設計上比較薄弱。隨著近年來網絡安全問題日益嚴峻，逐漸加大了安全上的投入，配置了如防火墻、入侵檢測系統、漏洞掃描等多種安全設備，但由于缺乏頂層規劃，各種網絡設備及安全設備的部署還沒有發揮出最佳效能。因此，從總體上考慮專用網安全問題，制定有效的專用網安全策略用于指導各種設備的部署與配置，引入先進的安全技術，增強專用網安全性能是十分必要和迫切的。

　　3 專用網安全策略

　　安全策略是一套文檔化的規則，用來限制由一組或多組元素組成的一組或多組與安全相關的行為。對一個確定的信息系統而言，若能設計一種提供恰當的、符合安全需求的整體思路將會使安全問題簡單化。因此在國內外很多安全組織提出的P2DR、PDRR、PASME等諸多安全模型中都將安全策略制訂列為最重要的環節。通過安全需求的分析與安全策略的制定將日益復雜的信息系統與日益嚴峻的安全威脅集中到最高決策層來關注與實施，從而明確如何達到預期的安全效果。可以說建立安全策略是安全最重要的工作，也是實現安全管理規范化的第一步。

　　在制定詳細、具體的專用網安全策略時，可以遵循以下三條基本安全策略：

　　1)建立基于業務流的安全模型

　　專用網的特點決定了專用網上的業務關系即為專用網上的信息流動關系。為了增強專用網安全，可將專用網上不同業務機關之間存在的橫向(平級業務機關、同一個網內)的信息流及縱向(上下級業務機關、跨網絡)的信息流進行細致的區分，并且根據不同業務機關不同的安全需求(高、中、低)，制定各信息流的安全策略，建立基于業務流的安全模型。同時，嚴格控制除業務關系之外出現的信息流動。按這一基本策略來制定具體的設備部署與配置策略。

　　2)基于最大隔離準則的設備配置方案

　　在建立了基于業務流的安全模型的基礎上，為了防范專用網上的越權訪問、網絡監聽等引起的信息泄露，在部署與配置專用網網絡設備及安全設備時，采用基于最大隔離準則的設備配置方案。最大隔離準則，目的是實現專用網中信息節點邏輯上盡量隔離，盡量避免不必要的網絡聯通。具體的技術方案有以下三點：

　　(1)局域網內橫向劃分VLAN(虛擬局域網)，隔離不同業務流，防范惡意嗅探。

　　(2)互聯時縱向組建VPN(虛擬專用網)，連通必要的業務流動，保證業務流信息安全。

　　(3)強化防火墻安全規則，只允許VPN通道通過，拒絕其余網絡連接。

　　3)建立應急響應體系及安全管理制度

　　為了快速、有效地解決專用網發生的惡意攻擊、網絡病毒發作、網絡蠕蟲傳播等安全事件，在制定專用網安全策略時，還必須制定嚴格的安全管理制

　　度，建立應急響應體系。通過安全管理制度及應急響應體系，可以提高專用網內人員的安全意識，增強協同處理專用網內緊急安全事件的能力，從而快速發現、快速抑制、快速解除網絡入侵，并使其造成危害降至最低。

　　4 專用網應引入的安全技術

　　在以上安全策略的指導下，為了增強專用網安全性，在實施過程中，必須引入以下安全技術。

　　1)VLAN技術

　　VLAN[1](Virtual Local Area Network)，又稱為虛擬局域網，1999年IEEE頒布了用以標準化VLAN實現方案的IEEE 802.1Q協議標準草案。它是一種不拘泥于站點的物理位置，根據功能、應用等因素將局域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現功能相對獨立的虛擬工作組的技術。

　　劃分了VLAN后，由于各個VLAN之間不能直接進行數據通信，必須通過路由器來轉發VLAN之間的數據，因此，如果VLAN之間沒有路由器，那么VLAN就是與外界其他設備相隔離的，相當于一個獨立的局域網，安全性可以得到較大程度的提高。

　　VLAN技術需要網絡設備的支持，配置了三層交換機的專用網可以按照基于業務流的安全模型對本級局域網進行VLAN劃分，從而保證不同的業務流相互隔離，防范網絡監聽手段的入侵。

　　2)VPN技術

　　VPN[2](Virtual Private Network)，又稱為虛擬專用網，是對通過共享公用網絡(如Internet)并使用封裝、加密和身份認證等技術進行連接的內部網絡的擴展。之所以提出該技術的是為了方便在公用網絡基礎設施之上建立專用網絡。

　　在專用網中對路由器、防火墻等設備進行配置，采用VPN技術將不同節點間有業務關系的計算機連通，可以實現專用網中的虛擬網。由于VPN提供了對VPN兩端的身份認證和訪問控制及對傳輸數據的信息加密和信息認證，因此能夠有效防范截斷攻擊和竊聽攻擊。而且良好的VPN應用可在不同層次實現不同的VPN隧道協議對數據進行保護。

　　3)HoneyPot和HoneyNet

　　近年來，一種新的主動防御型安全技術——蜜罐技術成為研究的熱點方向，它可以有效地欺騙網絡攻擊者從而達到保護網絡的目的。蜜罐技術最初提出時，國外計算機專家將其命名為Honeypot[3]。其準確的定義是：“蜜罐是一種安全資源，它的價值就是被探測，被攻擊或攻陷”。后來又出現了Honeynet(蜜網)，它將單個的蜜罐連成網絡，是具有高交互性能的蜜罐。

　　采用應用型蜜罐并將其放置在在專用網中，與其它安全設備及安全技術共同保護專用網，可以有效增強專用網的安全性，蜜罐所起的作用是其它安全設備或安全技術所無法替代的，其它安全設備或安全技術用來被動防御攻擊者的入侵，而蜜罐是欺騙攻擊者將攻擊方向轉向自己，從而拖延或使攻擊者放棄對真實網絡環境的攻擊。

　　5 結束語

　　面向業務處理的專用網與公用網絡相比，網絡的安全性更為關鍵。積極有效制定安全策略可以指導專用網的建設及安全規劃以達到預期的安全效果。本文提出的基于業務流的安全模型、基于最大隔離準則的設備配置、應急響應體系及安全管理制度可以對專用網詳細安全策略的制定起到積極的作用。應用本文提出的專用網安全策略，并引入新型的安全技術，可以提高專用網的安全性。

　　參考文獻

　　[1] 李頻，唐家益，陳丹偉等. 虛擬專用網分類和比較研究[J]. 計算機工程，2006(11)，32(22)：133-135

　　[2] 劉星沙，彭浩，劉苗. 一個基于PE分層技術的電子政務網絡平臺[J]. 信息技術，2006(11)：16-18

　　[3] 田斌，陸際光. 一種新型的網絡安全技術—蜜罐[J]. 科技創業月刊，2006(3)：171-174