潘樹龍，孫維夫

（1.2.煙臺(tái)職業(yè)學(xué)院信息工程系，山東煙臺(tái)264670）

計(jì)算機(jī)網(wǎng)絡(luò)安全方案的設(shè)計(jì)與實(shí)現(xiàn)

潘樹龍1，孫維夫2

（1.2.煙臺(tái)職業(yè)學(xué)院信息工程系，山東煙臺(tái)264670）

在信息化社會(huì)中，隨著互聯(lián)網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)已由單一使用發(fā)展到群集使用，計(jì)算機(jī)網(wǎng)絡(luò)在社會(huì)經(jīng)濟(jì)、文教、衛(wèi)生、軍事乃至政治領(lǐng)域的應(yīng)用正在深刻地改變著人類的生存環(huán)境和生活方式。越來越多的應(yīng)用領(lǐng)域需要計(jì)算機(jī)在一定的地理范圍內(nèi)聯(lián)合起來進(jìn)行群集工作，然而人類卻面臨又一大難題——計(jì)算機(jī)網(wǎng)絡(luò)安全?；ヂ?lián)網(wǎng)的發(fā)展，黑客的產(chǎn)生，病毒和感染，在人類享受信息化生活的同時(shí)也成為人類的困擾。該文就計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)提出一系列方案的設(shè)計(jì)與實(shí)現(xiàn)，方便大家系統(tǒng)地了解計(jì)算機(jī)網(wǎng)絡(luò)安全，以及應(yīng)當(dāng)采取的對(duì)應(yīng)措施。

計(jì)算機(jī)網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；病毒防護(hù)

目前，我國(guó)網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)已然成型，網(wǎng)上業(yè)務(wù)的開展也達(dá)到了相當(dāng)水平，網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)應(yīng)用已經(jīng)成為國(guó)內(nèi)各級(jí)機(jī)構(gòu)行使職能、處理業(yè)務(wù)、開展工作的重要基礎(chǔ)和必要手段[1]。

建立和完善網(wǎng)絡(luò)安全方案首先需了解用戶的安全環(huán)境、安全現(xiàn)狀、以及存在的安全威脅，根據(jù)用戶的需求制定和實(shí)現(xiàn)一系列的網(wǎng)絡(luò)安全方案的設(shè)計(jì)。

網(wǎng)絡(luò)安全是一個(gè)必須解決的重要問題，同時(shí)也是一個(gè)極其復(fù)雜的問題。根據(jù)實(shí)際情況建立相應(yīng)的網(wǎng)絡(luò)安全方案，其中包括：加密技術(shù)、防火墻、入侵檢測(cè)、安全掃描、防病毒、操作系統(tǒng)的安全性等一系列網(wǎng)絡(luò)安全方案。

1 物理隔離

1.1 物理隔離的概述

所謂“物理隔離”是指內(nèi)部網(wǎng)不直接或間接地連接公共網(wǎng)。物理安全的目的是保護(hù)路由器、工作站、網(wǎng)絡(luò)服務(wù)器等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線竊聽攻擊。

1.2 物理隔離的方案

物理隔離的技術(shù)架構(gòu)在隔離上，我們通過以下一組圖示來說明物理隔離是如何實(shí)現(xiàn)的。

圖1-1

上頁(yè)圖1-1表示沒有連接時(shí)內(nèi)外網(wǎng)的應(yīng)用狀況。從連接特征可以看出，這樣的結(jié)構(gòu)從物理上完全分離。外網(wǎng)是安全性不高的因特網(wǎng)，內(nèi)網(wǎng)是安全性很高的內(nèi)部專用網(wǎng)絡(luò)。正常情況下，隔離設(shè)備和外網(wǎng)，隔離設(shè)備和內(nèi)網(wǎng)，外網(wǎng)和內(nèi)網(wǎng)是完全斷開的，即保證網(wǎng)絡(luò)之間是完全斷開的。隔離設(shè)備可以理解為純粹的存儲(chǔ)介質(zhì)和一個(gè)單純的調(diào)度和控制電路[2]。

當(dāng)外網(wǎng)有數(shù)據(jù)需要到達(dá)內(nèi)網(wǎng)時(shí)，以電子郵件為例，外部服務(wù)器立即發(fā)起對(duì)隔離設(shè)備的非TCP/IP協(xié)議的數(shù)據(jù)連接，隔離設(shè)備將所有協(xié)議剝離，將原始的數(shù)據(jù)寫入存儲(chǔ)介質(zhì)（見圖1-2）。根據(jù)不同的應(yīng)用，可能有必要對(duì)數(shù)據(jù)進(jìn)行完整性和安全性檢查，如防病毒和惡意代碼等。

圖1-2

一旦數(shù)據(jù)完全寫入隔離設(shè)備的存儲(chǔ)介質(zhì)，隔離設(shè)備立即中斷與外網(wǎng)的連接。轉(zhuǎn)而發(fā)起對(duì)內(nèi)網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備將存儲(chǔ)介質(zhì)內(nèi)的數(shù)據(jù)推向內(nèi)網(wǎng)。內(nèi)網(wǎng)收到數(shù)據(jù)后，立即進(jìn)行TCP/IP的封裝和應(yīng)用協(xié)議的封裝，并交給應(yīng)用系統(tǒng)。此時(shí)，內(nèi)網(wǎng)電子郵件系統(tǒng)就收到了外網(wǎng)的電子郵件系統(tǒng)通過隔離設(shè)備轉(zhuǎn)發(fā)的電子郵件（見圖1-3）。

圖1-3

2 病毒防護(hù)：病毒防護(hù)系統(tǒng)

2.1 計(jì)算機(jī)病毒的概述

計(jì)算機(jī)病毒是利用程序干擾或破壞系統(tǒng)正常工作的一種手段，它的產(chǎn)生和蔓延給計(jì)算機(jī)系統(tǒng)的可靠性和安全性帶來嚴(yán)重威脅和巨大的損失。計(jì)算機(jī)病毒主要手段有：數(shù)據(jù)欺騙、特洛伊木馬、邏輯炸彈、偷襲程序、意大利香腸、蠕蟲病毒、宏病毒、制造陷阱、超級(jí)沖殺和異步攻擊等[3]。今后在現(xiàn)代化戰(zhàn)爭(zhēng)中，可以利用傳染病毒來破壞對(duì)方的軍事指揮通信系統(tǒng)，使其處于癱瘓狀態(tài)。因而，對(duì)計(jì)算機(jī)病毒的危害也絕不能掉以輕心。

2.2 病毒防護(hù)系統(tǒng)的實(shí)現(xiàn)

其解決方案安裝殺毒軟件。目前計(jì)算機(jī)反病毒市場(chǎng)上流行的反病毒產(chǎn)品很多，國(guó)內(nèi)的著名殺毒軟件有瑞星、金山毒霸、360等等，國(guó)外引進(jìn)的著名殺毒軟件有Norton AntiVirus、Trend PC-Cillin98、McAfee VirusScan等，要經(jīng)常更新病毒庫(kù)以及安裝網(wǎng)絡(luò)防火墻。

3 動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)

3.1 動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)的概述

隨著計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù)的迅速發(fā)展，信息價(jià)值日益受到人們的重視，一些黑客軟件可能隨時(shí)都能搜捕到您使用過的密碼，這對(duì)信息的安全構(gòu)成嚴(yán)重的威脅，事實(shí)上，任何純粹的軟件都無(wú)法逃脫黑客的跟蹤，只有軟硬件結(jié)合才能從根本上解決這一難題，動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)正是利用“軟件+硬件令牌”的方式來解決這一難題。動(dòng)態(tài)口令身份認(rèn)證是集認(rèn)證與管理于一身，極容易擴(kuò)展，其具有安全性、唯一性、可靠性、不可否認(rèn)性。

3.2 動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)方案實(shí)現(xiàn)

動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)的實(shí)現(xiàn)需要建立起動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)的管理控制臺(tái)、認(rèn)證服務(wù)器、應(yīng)用接口、軟件令牌。針對(duì)不同的安全等級(jí)要求，可以分別為服務(wù)用戶、操作員、系統(tǒng)管理員提供動(dòng)態(tài)口令，以提高其認(rèn)證的安全性。保持動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)與應(yīng)用系統(tǒng)連接的簡(jiǎn)單和方便，性能穩(wěn)定、安全。由于信息時(shí)代的發(fā)展，接受動(dòng)態(tài)口令可以為手機(jī)、動(dòng)態(tài)令等。

4 訪問控制——“防火墻”

4.1 防火墻的概述

網(wǎng)絡(luò)防火墻是用來在一個(gè)可信網(wǎng)絡(luò)（如內(nèi)部網(wǎng)）與一個(gè)不可信網(wǎng)絡(luò)（如外部網(wǎng)）間起保護(hù)作用的一整套裝置，在內(nèi)部網(wǎng)和外部網(wǎng)之間的界面上構(gòu)造一個(gè)保護(hù)層，并強(qiáng)制所有的訪問或連接都必須經(jīng)過這一保護(hù)層，在此進(jìn)行檢查和連接。只有被授權(quán)的通信才能通過此保護(hù)層，從而保護(hù)內(nèi)部網(wǎng)資源免遭非法入侵[4]。

在物理上，防火墻表現(xiàn)為一個(gè)或一組帶特殊功能的網(wǎng)絡(luò)設(shè)備。但它的目的是建立一個(gè)網(wǎng)絡(luò)安全協(xié)議和機(jī)制，并通過網(wǎng)絡(luò)配置、主機(jī)系統(tǒng)、路由器以及諸如身份認(rèn)證等手段來實(shí)現(xiàn)該安全協(xié)議和機(jī)制。從廣義上說，還包括各種加密技術(shù)的應(yīng)用。

4.2 防火墻方案實(shí)現(xiàn)

4.2.1 隔離內(nèi)外網(wǎng)（全部隔離）部署方案（見圖4－1）

圖4-1

4.2.2 提高內(nèi)外網(wǎng)服務(wù)器安全的防火墻部署方案（見圖4－2）

圖4-2

根據(jù)防火墻部署的位置不同，它的功能顯然不一樣，上頁(yè)圖4-1隔離內(nèi)外網(wǎng)（全部隔離）方案，這是最簡(jiǎn)單的防火墻部署方案，對(duì)各個(gè)區(qū)域進(jìn)行防火墻規(guī)則設(shè)置，施行分層管理對(duì)外部訪問進(jìn)行限制，用豐富的包過濾功能，網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）DMZ（非軍事區(qū)）多種服務(wù)器代理職能內(nèi)容過濾統(tǒng)計(jì)計(jì)費(fèi)功能[5]，安全檢測(cè)與實(shí)時(shí)報(bào)警功能與IDS聯(lián)動(dòng)抗IP欺騙、防端口掃描、DOS攻擊攔截、p2p協(xié)議過濾。適合應(yīng)用服務(wù)多少，以客戶機(jī)上網(wǎng)為主的小型網(wǎng)絡(luò)；圖4-2是提高內(nèi)外網(wǎng)服務(wù)器安全的防火墻部署方案，這種部署是在帶DMZ部署方案的基礎(chǔ)上，在企業(yè)內(nèi)部增加防火墻以及相應(yīng)的策略，在內(nèi)部再增加一個(gè)防火墻，安全系數(shù)得到提升，但不足之處在于合法訪問必須經(jīng)過兩道防火墻，再經(jīng)過安全策略分析之后，才能訪問內(nèi)部敏感信息。

5 結(jié)束語(yǔ)

隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，網(wǎng)絡(luò)在各種信息系統(tǒng)中的作用變得越來越重要，人們也越來越關(guān)心網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理問題。本文通過當(dāng)今對(duì)網(wǎng)絡(luò)構(gòu)成威脅的各種因素，提出了相關(guān)的解決對(duì)策，并給出了實(shí)施方案。總之，網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的工程，不能僅僅依靠防火墻等單個(gè)系統(tǒng)，而需要仔細(xì)考慮系統(tǒng)的安全需求，并將各種安全技術(shù)，如密碼技術(shù)等結(jié)合在一起，才能生成一個(gè)高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。

[1]胡道元.計(jì)算機(jī)局域網(wǎng)[M].北京:清華大學(xué)出版社,2001:120-130.

[2]朱理森.張守連.計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)[M].北京:專利文獻(xiàn)出版社,2001:35-37.

[3]劉占全.網(wǎng)絡(luò)管理與防火墻[M].北京:人民郵電出版社,1999:66-68.

[4]陳愛民.計(jì)算機(jī)的安全與保密[M].北京:電子工業(yè)出版社,2002:80-83.

[5]殷偉.計(jì)算機(jī)安全與病毒防治[M].合肥：安徽科學(xué)技術(shù)出版社,2004:55-57.

TP393.09

A

1673-8535(2013)03-0016-04

潘樹龍（1981-），男，山東福山人，煙臺(tái)職業(yè)學(xué)院教師，主要研究方向：計(jì)算機(jī)網(wǎng)絡(luò)安全建設(shè)以及視頻圖像信息提取。

孫維夫（1970-），男，山東棲霞人，煙臺(tái)職業(yè)學(xué)院講師，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)。

（責(zé)任編輯：覃華巧）

2013-04-20