摘 要:根据信息、系统安全体系结构,结合系统的实际情况,特定信息系统的安全主要从物理安全、网络安全、应用系统安全、安全管理等四个方面进行设计和构建,并探讨网络安全技术控制措施,以帮助人们很好地规避网络安全威胁。
关键词:网络安全;技术控制;措施
中图分类号:TP393.08 文献标识码:A
Analysis of the Technical Control of Network Security Measures
ZHONG Jian-bo,LI Wen-long,WU Sheng-yong
(Navy Submarine Academy,Shangdong Qingdao 266071)
Key words: network security;technical control;measures
随着计算机及相关IT行业的迅猛发展,人类正进入一个崭新的信息、网络时代。信息系统的迅速发展给我们带来便利的同时也同样给我们网络安全带来了威胁。如何有效保证在一个网络环境里,信息、能够安全有序的进行存储、传输,不能以任何形式进行泄密,即保证信息的机密性、完整性、可用性、可控性、可审查性以及对信息处理行为的抗抵赖性,这成为当前的计算机领域的一个重大亟待解决的问题。
1 链路加密
链路加密的目的是保护网络节点之间的链路信息安全。由于本信息系统城域网和局域网互连大多需要经过公共电信网(PSTN/ISDN/DDN/FR),给外部人员的恶意攻击以可乘之机,针对来自外部的安全风险,防止搭线窃听、网络监听、网络扫描等手段截取内部信息,应采用链路加密机,为用户提供安全透明的实时加密服务,这样就使链路上的传输信息增加了一定的安全强度,形成相对安全的网络链路安全环境[1]。
2 网段划分
网段划分是隔离非法访问的有效措施,对于信息系统可根据业务类型、信息类型等对各局域网内的用户进行分类的网段划分。对系统进行专用信息网和共享信息网划分是保证网络安全的重要措施,它将敏感信息与网络共享资源相互隔离,从而限制用户非法访问的目的,保证网络系统的安全性[2]。这样既便于今后网络功能的扩展,又便于对网络进行安全管理。系统根据各业务部门的需要来划分为不同的网段,将共享数据所在的网络单独作为一个Main VLAN (MVLAN),其他业务分别划作一个VLAN,整个网络中控制MVIJAN与VLAN之间的信息流向,VLAN可访问MVLAN的信息,某VLAN未经授权不能访问其它VLAN的信息。针对特殊的重要信息网,可考虑与共享信息网络物理隔离开来。系统提供的业务信息、管理信息和客户信息属于整个信息系统的敏感信息,面临着来自系统内外的威胁和攻击,必须采取安全保密措施以保证其安全性和保密性。业务系统安全设计主要是要提供各种安全手段增加系统的安全性,抵御来自内外的攻击。因此安全解决方案可以从两个层次来解决,一是网络层次;二是应用层次。对于应用层次,需要与应用软件配合,并结合IC卡技术,实施身份鉴别和其它安全防护,具体如建立认证中心
(CA)[3]。
3 网络入口控制
入口控制为局域网(包括局域网各子网入口)访问提供了第一层访问控制。可以通过防火墙或通过具有防火墙功能的VPN设备来实现(下面将进行简单介绍)。在局域网和局域网中各子网的入口处[4]。通过防火墙可以防止"黑客"的非法侵入、过滤不安全服务以及规划网络信息的流向。具有防火墙功能的VPN设备控制哪些用户能够登录到内部局域网并获取相关网络资源,控制准许用户入网的时间和准许他们在哪些工作站入网。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证。用户账号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令,防火墙或具有防火墙功能的VPN设备管理器将验证所输入的用户名是否合法。如果验证合法,才继续验证用户输入的口令[5]。否则,用户将被拒之网络之外。用户的口令是用户入网的关键所在。为保证口令的安全性,用户口令必须经过加密存放。经过加密的口令,即使是系统管理员也难以得到它。用户还可采用智能卡一次性用户口令来验证用户的身份。网络管理员应该可以控制和限制普通用户的账号使用、访问网络的时间、方式。用户名或用户账号是所有计算机系统中最基本的安全形式。用户账号应只有系统管理员才能建立。用户口令应是每位用户访问网络所必须提交的"证件"、用户可以修改自己的口令。用户名和口令验证有效之后,再进一步履行用户账号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。
