計(jì)算機(jī)安全專用網(wǎng)的安全策略 推薦本站點(diǎn)擊率最高的計(jì)算機(jī)雜志：《計(jì)算機(jī)安全》雜志是由中華人民共和國信息產(chǎn)業(yè)部主管，信息產(chǎn)業(yè)部基礎(chǔ)產(chǎn)品發(fā)展研究中心主辦，面向國內(nèi)外公開發(fā)行的全面介紹網(wǎng)絡(luò)與計(jì)算機(jī)信息系統(tǒng)安全技術(shù)與應(yīng)用的大型科技類月刊。每期正文80頁，精美印刷，現(xiàn)發(fā)行量已達(dá)3萬冊(cè)。

　　摘 要 網(wǎng)絡(luò)攻擊行為已經(jīng)開始向?qū)Ｓ镁W(wǎng)內(nèi)蔓延，專用網(wǎng)的安全問題日趨嚴(yán)重。為有效地解決專用網(wǎng)的安全問題，本文在分析專用網(wǎng)安全需求的基礎(chǔ)上，提出了專用網(wǎng)業(yè)務(wù)流安全模型、最大隔離準(zhǔn)則、應(yīng)急響應(yīng)體系等基本安全策略，并建議配合安全策略在專用網(wǎng)內(nèi)應(yīng)用VLAN、VPN、HoneyPot等安全技術(shù)。

　　關(guān)鍵詞 計(jì)算機(jī)安全,安全策略,業(yè)務(wù)流安全模型,最大隔離準(zhǔn)則,HoneyPot

　　1 引言

　　專用網(wǎng)(Private Network)指某個(gè)部門為滿足本單位特殊業(yè)務(wù)工作的需要而建造的網(wǎng)絡(luò)。伴隨著計(jì)算機(jī)網(wǎng)絡(luò)與信息技術(shù)的飛速發(fā)展，社會(huì)的信息化程度越來越高，軍隊(duì)、銀行、鐵路、電力等部門均建立了本系統(tǒng)的專用網(wǎng)。近幾年不斷出現(xiàn)的安全事件表明，網(wǎng)絡(luò)攻擊行為已經(jīng)由因特網(wǎng)蔓延到了專用網(wǎng)，而且專用網(wǎng)上的安全事件造成的危害及損失更大，特別是經(jīng)由軍事網(wǎng)絡(luò)造成的失泄密后果尤其嚴(yán)重。本文在深入分析專用網(wǎng)安全現(xiàn)狀及安全需求的基礎(chǔ)上，提出了相應(yīng)的安全策略，并引入了相應(yīng)的安全技術(shù)。

　　2 專用網(wǎng)安全需求分析

　　專用網(wǎng)與因特網(wǎng)均采用了互聯(lián)網(wǎng)技術(shù)，但專用網(wǎng)的安全需求及安全現(xiàn)狀與因特網(wǎng)有很大的區(qū)別。

　　(1)因特網(wǎng)的開放性使任何人都可能成為攻擊者或被攻擊者，網(wǎng)絡(luò)安全難以控制;而專用網(wǎng)接入人員及接入地點(diǎn)受限，且與公用網(wǎng)物理隔離，安全策略的部署與實(shí)施相對(duì)簡單。

　　(2)因特網(wǎng)主要目的是實(shí)現(xiàn)開放性的互聯(lián)及多樣性的服務(wù)，為滿足以上需求引入網(wǎng)絡(luò)設(shè)備或安全設(shè)備以及相應(yīng)技術(shù);而專用網(wǎng)網(wǎng)絡(luò)拓?fù)湎鄬?duì)固定、業(yè)務(wù)專一，引入網(wǎng)絡(luò)設(shè)備或安全設(shè)備以及相應(yīng)技術(shù)時(shí)應(yīng)該在滿足業(yè)務(wù)需要的同時(shí)兼顧安全需求。

　　(3)因特網(wǎng)上最大的安全威脅來自于竊取主機(jī)控制權(quán);而專用網(wǎng)上最大的安全威脅來自于越權(quán)訪問及信息泄露。

　　除了上述區(qū)別之外，解決專用網(wǎng)安全問題還需要考慮專用網(wǎng)自身的建設(shè)與發(fā)展過程。以軍用網(wǎng)絡(luò)為例，在建設(shè)之初，由于網(wǎng)絡(luò)安全問題并不突出，安全需求也未明確，主要是解決互聯(lián)互通問題，安全設(shè)計(jì)上比較薄弱。隨著近年來網(wǎng)絡(luò)安全問題日益嚴(yán)峻，逐漸加大了安全上的投入，配置了如防火墻、入侵檢測系統(tǒng)、漏洞掃描等多種安全設(shè)備，但由于缺乏頂層規(guī)劃，各種網(wǎng)絡(luò)設(shè)備及安全設(shè)備的部署還沒有發(fā)揮出最佳效能。因此，從總體上考慮專用網(wǎng)安全問題，制定有效的專用網(wǎng)安全策略用于指導(dǎo)各種設(shè)備的部署與配置，引入先進(jìn)的安全技術(shù)，增強(qiáng)專用網(wǎng)安全性能是十分必要和迫切的。

　　3 專用網(wǎng)安全策略

　　安全策略是一套文檔化的規(guī)則，用來限制由一組或多組元素組成的一組或多組與安全相關(guān)的行為。對(duì)一個(gè)確定的信息系統(tǒng)而言，若能設(shè)計(jì)一種提供恰當(dāng)?shù)摹⒎�合安全需求的整體思路將會(huì)使安全問題簡單化。因此在國內(nèi)外很多安全組織提出的P2DR、PDRR、PASME等諸多安全模型中都將安全策略制訂列為最重要的環(huán)節(jié)。通過安全需求的分析與安全策略的制定將日益復(fù)雜的信息系統(tǒng)與日益嚴(yán)峻的安全威脅集中到最高決策層來關(guān)注與實(shí)施，從而明確如何達(dá)到預(yù)期的安全效果。可以說建立安全策略是安全最重要的工作，也是實(shí)現(xiàn)安全管理規(guī)范化的第一步。

　　在制定詳細(xì)、具體的專用網(wǎng)安全策略時(shí)，可以遵循以下三條基本安全策略：

　　1)建立基于業(yè)務(wù)流的安全模型

　　專用網(wǎng)的特點(diǎn)決定了專用網(wǎng)上的業(yè)務(wù)關(guān)系即為專用網(wǎng)上的信息流動(dòng)關(guān)系。為了增強(qiáng)專用網(wǎng)安全，可將專用網(wǎng)上不同業(yè)務(wù)機(jī)關(guān)之間存在的橫向(平級(jí)業(yè)務(wù)機(jī)關(guān)、同一個(gè)網(wǎng)內(nèi))的信息流及縱向(上下級(jí)業(yè)務(wù)機(jī)關(guān)、跨網(wǎng)絡(luò))的信息流進(jìn)行細(xì)致的區(qū)分，并且根據(jù)不同業(yè)務(wù)機(jī)關(guān)不同的安全需求(高、中、低)，制定各信息流的安全策略，建立基于業(yè)務(wù)流的安全模型。同時(shí)，嚴(yán)格控制除業(yè)務(wù)關(guān)系之外出現(xiàn)的信息流動(dòng)。按這一基本策略來制定具體的設(shè)備部署與配置策略。

　　2)基于最大隔離準(zhǔn)則的設(shè)備配置方案

　　在建立了基于業(yè)務(wù)流的安全模型的基礎(chǔ)上，為了防范專用網(wǎng)上的越權(quán)訪問、網(wǎng)絡(luò)監(jiān)聽等引起的信息泄露，在部署與配置專用網(wǎng)網(wǎng)絡(luò)設(shè)備及安全設(shè)備時(shí)，采用基于最大隔離準(zhǔn)則的設(shè)備配置方案。最大隔離準(zhǔn)則，目的是實(shí)現(xiàn)專用網(wǎng)中信息節(jié)點(diǎn)邏輯上盡量隔離，盡量避免不必要的網(wǎng)絡(luò)聯(lián)通。具體的技術(shù)方案有以下三點(diǎn)：

　　(1)局域網(wǎng)內(nèi)橫向劃分VLAN(虛擬局域網(wǎng))，隔離不同業(yè)務(wù)流，防范惡意嗅探。

　　(2)互聯(lián)時(shí)縱向組建VPN(虛擬專用網(wǎng))，連通必要的業(yè)務(wù)流動(dòng)，保證業(yè)務(wù)流信息安全。

　　(3)強(qiáng)化防火墻安全規(guī)則，只允許VPN通道通過，拒絕其余網(wǎng)絡(luò)連接。

　　3)建立應(yīng)急響應(yīng)體系及安全管理制度

　　為了快速、有效地解決專用網(wǎng)發(fā)生的惡意攻擊、網(wǎng)絡(luò)病毒發(fā)作、網(wǎng)絡(luò)蠕蟲傳播等安全事件，在制定專用網(wǎng)安全策略時(shí)，還必須制定嚴(yán)格的安全管理制

　　度，建立應(yīng)急響應(yīng)體系。通過安全管理制度及應(yīng)急響應(yīng)體系，可以提高專用網(wǎng)內(nèi)人員的安全意識(shí)，增強(qiáng)協(xié)同處理專用網(wǎng)內(nèi)緊急安全事件的能力，從而快速發(fā)現(xiàn)、快速抑制、快速解除網(wǎng)絡(luò)入侵，并使其造成危害降至最低。

　　4 專用網(wǎng)應(yīng)引入的安全技術(shù)

　　在以上安全策略的指導(dǎo)下，為了增強(qiáng)專用網(wǎng)安全性，在實(shí)施過程中，必須引入以下安全技術(shù)。

　　1)VLAN技術(shù)

　　VLAN[1](Virtual Local Area Network)，又稱為虛擬局域網(wǎng)，1999年IEEE頒布了用以標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案的IEEE 802.1Q協(xié)議標(biāo)準(zhǔn)草案。它是一種不拘泥于站點(diǎn)的物理位置，根據(jù)功能、應(yīng)用等因素將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)功能相對(duì)獨(dú)立的虛擬工作組的技術(shù)。

　　劃分了VLAN后，由于各個(gè)VLAN之間不能直接進(jìn)行數(shù)據(jù)通信，必須通過路由器來轉(zhuǎn)發(fā)VLAN之間的數(shù)據(jù)，因此，如果VLAN之間沒有路由器，那么VLAN就是與外界其他設(shè)備相隔離的，相當(dāng)于一個(gè)獨(dú)立的局域網(wǎng)，安全性可以得到較大程度的提高。

　　VLAN技術(shù)需要網(wǎng)絡(luò)設(shè)備的支持，配置了三層交換機(jī)的專用網(wǎng)可以按照基于業(yè)務(wù)流的安全模型對(duì)本級(jí)局域網(wǎng)進(jìn)行VLAN劃分，從而保證不同的業(yè)務(wù)流相互隔離，防范網(wǎng)絡(luò)監(jiān)聽手段的入侵。

　　2)VPN技術(shù)

　　VPN[2](Virtual Private Network)，又稱為虛擬專用網(wǎng)，是對(duì)通過共享公用網(wǎng)絡(luò)(如Internet)并使用封裝、加密和身份認(rèn)證等技術(shù)進(jìn)行連接的內(nèi)部網(wǎng)絡(luò)的擴(kuò)展。之所以提出該技術(shù)的是為了方便在公用網(wǎng)絡(luò)基礎(chǔ)設(shè)施之上建立專用網(wǎng)絡(luò)。

　　在專用網(wǎng)中對(duì)路由器、防火墻等設(shè)備進(jìn)行配置，采用VPN技術(shù)將不同節(jié)點(diǎn)間有業(yè)務(wù)關(guān)系的計(jì)算機(jī)連通，可以實(shí)現(xiàn)專用網(wǎng)中的虛擬網(wǎng)。由于VPN提供了對(duì)VPN兩端的身份認(rèn)證和訪問控制及對(duì)傳輸數(shù)據(jù)的信息加密和信息認(rèn)證，因此能夠有效防范截?cái)喙�擊和竊聽攻擊。而且良好的VPN應(yīng)用可在不同層次實(shí)現(xiàn)不同的VPN隧道協(xié)議對(duì)數(shù)據(jù)進(jìn)行保護(hù)。

　　3)HoneyPot和HoneyNet

　　近年來，一種新的主動(dòng)防御型安全技術(shù)——蜜罐技術(shù)成為研究的熱點(diǎn)方向，它可以有效地欺騙網(wǎng)絡(luò)攻擊者從而達(dá)到保護(hù)網(wǎng)絡(luò)的目的。蜜罐技術(shù)最初提出時(shí)，國外計(jì)算機(jī)專家將其命名為Honeypot[3]。其準(zhǔn)確的定義是：“蜜罐是一種安全資源，它的價(jià)值就是被探測，被攻擊或攻陷”。后來又出現(xiàn)了Honeynet(蜜網(wǎng))，它將單個(gè)的蜜罐連成網(wǎng)絡(luò)，是具有高交互性能的蜜罐。

　　采用應(yīng)用型蜜罐并將其放置在在專用網(wǎng)中，與其它安全設(shè)備及安全技術(shù)共同保護(hù)專用網(wǎng)，可以有效增強(qiáng)專用網(wǎng)的安全性，蜜罐所起的作用是其它安全設(shè)備或安全技術(shù)所無法替代的，其它安全設(shè)備或安全技術(shù)用來被動(dòng)防御攻擊者的入侵，而蜜罐是欺騙攻擊者將攻擊方向轉(zhuǎn)向自己，從而拖延或使攻擊者放棄對(duì)真實(shí)網(wǎng)絡(luò)環(huán)境的攻擊。

　　5 結(jié)束語

　　面向業(yè)務(wù)處理的專用網(wǎng)與公用網(wǎng)絡(luò)相比，網(wǎng)絡(luò)的安全性更為關(guān)鍵。積極有效制定安全策略可以指導(dǎo)專用網(wǎng)的建設(shè)及安全規(guī)劃以達(dá)到預(yù)期的安全效果。本文提出的基于業(yè)務(wù)流的安全模型、基于最大隔離準(zhǔn)則的設(shè)備配置、應(yīng)急響應(yīng)體系及安全管理制度可以對(duì)專用網(wǎng)詳細(xì)安全策略的制定起到積極的作用。應(yīng)用本文提出的專用網(wǎng)安全策略，并引入新型的安全技術(shù)，可以提高專用網(wǎng)的安全性。

　　參考文獻(xiàn)

　　[1] 李頻，唐家益，陳丹偉等. 虛擬專用網(wǎng)分類和比較研究[J]. 計(jì)算機(jī)工程，2006(11)，32(22)：133-135

　　[2] 劉星沙，彭浩，劉苗. 一個(gè)基于PE分層技術(shù)的電子政務(wù)網(wǎng)絡(luò)平臺(tái)[J]. 信息技術(shù)，2006(11)：16-18

　　[3] 田斌，陸際光. 一種新型的網(wǎng)絡(luò)安全技術(shù)—蜜罐[J]. 科技創(chuàng)業(yè)月刊，2006(3)：171-174