网络安全策略.doc

1、网络安全策略  1   引 言     伴随着计算机网络的飞速发展, 全球信息化已 成为势不可挡的趋势。中国目前已有近8 000 万互 联网用户， 互联网在越来越深入地进入人们生活的 同时, 也成为社会诸多领域正常运转不可缺少的一 部分, 网络也正在创造着巨大的财富.同时， 资源的 共享和地域的分布增加了网络受攻击的机会。计算 机的开放性和标准化等结构特点, 使计算机信息具 有高度共享和易于扩散的特性, 导致计算机信息在  处理、存储、传输和应用过程中很容易被泄露、窃取、 篡改和破坏， 或者受到计算机病毒的感染。为了保 证网络中信息的安全保密性、完整性、可靠性、可用

2、 性， 必须制定符合实际的高效的信息安全策略。  2   安全策略     安全策略是指一个特定环境中， 为保证提供一 定级别的安全保护所必须遵守的规则。安全策略包 括严格的管理、先进的技术和相关的法律。安全策 略决定采用何种方式和手段来保证网络系统的安 全。即首先要清楚自己需要什么， 制定恰当的满足 需求的策略方案, 然后才考虑技术上如何实施.   信息安全策略反映了维护信息安全的方式和手 段， 是高层对下层的命令。  3   网络安全策略原则     传统的安全策略仅局限在局部和静态层面上， 现代的安全策略更注重安全领域的时代性， 在进行系统安全设计时遵

3、循以下原则：    （ 1) 体系性： 制定完整的安全体系, 包括管理体系、技术体系 (2） 系统性: 整个安全系统避免安全设施各自独 立进行配置和管理, 应体现从运行到管理的统一特 性， 确保安全策略实施的正确性与一致性。（ 3） 层次性: 安全设计在各个层次采用的安全机 制来实现所需的安全服务， 从而达到网络安全的目 的。    ( 4) 综合性： 网络安全体系的设计包括完备性、 先进性和可扩展性的技术方案, 根据技术管理、业务 管理和行政管理要求制定相应的安全管理方案。( 5） 动态性： 网络系统的发展是飞速进行的, 而 安全技术和产品也在不断地更新和完善， 所以, 安全 策略的设计

4、也应该与时俱进， 体现最新的安全技术。  4   网络安全技术介绍     网络安全包括系统安全和信息安全两部分。系 统安全指网络的硬件设备、操作系统和应用软件的 安全, 信息安全指信息数据在存储传输过程的安全。  4. 1  防火墙技术策略    防火墙技术是建立在现代通信网络技术和信息 安全技术基础之上的应用性安全技术。防火墙技术 源于单个主机系统的安全防范模式， 采用访问控制 的方法, 限制使用者访问系统或网络资源的权限, 以 达到规范网络行为的目的。防火墙的出现， 限制了 数据在网络内外的自由流动.其优越性表现在， 限 制没授权的协议和服务通过防火墙和防止非法访 问，

5、 对所有的访问做出日志记录。由于其针对性强, 已成为最为广泛的技术之一.现在, 接入Internet 的计算机有1/ 3 以上处在防火墙的保护之下。  4。 1. 1  防火墙技术   ( 1) 包过滤技术    按照事先定义的接入控制表在网络中对经过的 IP 数据包逐一进行控制。包过滤技术一般应用在 网络层。按地址过滤和按服务类型过滤的规则设计  过滤规则， 根据数据包的源/ 目标地址、源/ 目标端口 号、协议类型、协议标志、服务类型等进行匹配, 当发 现匹配过滤规则的数据包转发， 否则禁止.包过滤 防火墙通常可以是商用路由器, 也可以是基于PC 的网关。    （ 2) 应用网关技术 

6、  网关技术一般工作在传输层, 在两个主机第一 次建立连接时创立一个电子屏障， 建立两个t 连接。 连接建立之后, 数据包从一个连接向另一个连接发 送， 不用检查内容.    ( 3) 代理服务技术    代理服务技术是对应用层进行访问控制。代理 服务限制了内部和外部主机直接的通信.代理隔离 了内外通信, IP 数据包经过代理转发不再直接进出 网络内部。代理服务将网络内部结构保护起来, 同 时实现数据流监控、过滤、记录和报告。    1  防火墙设计策略    描述防火墙如何对网络服务访问权限策略中定 义的服务进行具体的限制访问和过滤的策略。首先  考虑网络服务访问权限， 以保护网络不受到攻

7、击和 非法用户的访问。典型的网络服务访问权限策略为 禁止从外部网络到本站点的访问， 允许站点到外部 网络的访问。允许从外部网络到本站点的访问权 限。网络服务访问权限策略将决定对那些协议及协 议的域进行过滤, 防火墙阻塞一些容易受到攻击的 服务。在设计防火墙时还应该考虑SLIP 及PPP 访 问方式, 使外部用户通过防火墙高级认证进行过滤。   2  加密技术策略    为了保护网内的数据、文件、口令和控制信息， 保护网上传输的数据必须采取加密技术。网络中常 用的加密技术方式有链路加密、端点加密和节点加 密。链路加密是保护相邻网络节点之间的链路信息 安全; 端 端加密是保护源端用户到目的端用户

8、的 数据; 节点加密是对源节点到目的节点之间的传输 链路提供保护。用户可根据网络情况选择上述加密 方式.    信息加密过程是由不同的加密算法来具体实 施， 它以很小的代价提供很大的安全保护。在多数 情况下, 信息加密是保证信息机密性的唯一方法。 现在已经公开发表的各种加密算法多达数百种。如 果按照密钥性质来分类, 可以将这些加密算法分为 传统密码体制( 对称密钥体制） 和公开密钥密码体制 ( 非对称密钥体制） .    传统密码体制中， 加密和解密使用相同的密钥, 即加密密钥和解密密钥是相同或等价的。最著名的 密码算法是美国的DES 算法。DES 标准是为二进 制编码设计的对数据进行密码保护

9、的数学算法。用 密钥对64 位二进制信息进行加密, 把其加密成64 位密文。由于DES 算法公开, 其安全性完全依赖对 密钥的安全。    公开密钥密码体制, 加密和解密使用互不相同 的密钥, 而且几乎不可能从加密密钥推导出解密密 钥。最著名的公钥密码算法是RSA, 它能抵抗到目 前为止已知的所有密码攻击.在公开密钥密码体系 中, 用公开密钥加密的密文只能由同一对钥匙中的 秘密密钥解密。密钥放在方便存取的地方, 无须设 置专门的信道。公开密钥非常适应网络的开放性， 密钥管理简单方便， 可以实现数字签名和验证， 但算 法复杂。公开密钥密码体制将是一种很有前途的网 络加密体制.    近年来， 在

10、实际应用中， 人们通常将以上两种算 法结合起来使用。比如: 利用DES 来加密信息， 采 用RSA 来传递会话密钥。这样可获得DES 加密速  度快和RSA 加密强度高的双重优势。密码技术是 网络安全最有效的技术之一。   3  虚拟专用网技术略    虚拟专用网（ virtual private network, VPN ) 技 术利用现有的不安全的公共网络建立安全方便的企 业专业通信网络.现在, Internet 是全球最大的网 络基础设施， 因此基于Internet 的VPN 技术逐渐受 到关注。    VPN 在公用的两个网络之间建立虚拟的专用 通道, 初始化隧道后, VPN 数据的

11、安全性通过加密 技术得以保护。主要采用tunneling、encrypt ion &  decryption、key management、authent icat ion 技术。 按照服务类型, VPN 业务可分为拨号VPN 和专线 VPN, 专线VPN 又分为内部VPN 和外部VPN。由 于VPN 技术可扩展性强， 建立方便, 具有高度的安 全性， 简化了网络设计和管理， 使费用降到最低， 因 而, 逐渐成为通用的技术。  5   网络立法     政府和职能部门也应该通过多种手段， 加强对 全社会存储安全意识的引导和教育.今年, 中国将 加强互联网应急处理， 最大限度保障网

12、络安全, 中国 将建立健全信息安全通报制度， 各基础信息网络和 重要信息系统建设要充分考虑抗毁性与灾难恢复， 制定并不断完善信息安全应急处理预案。在此基础 上, 加强信息安全应急支援服务队伍建设， 鼓励社会 力量参与灾难备份设施建设和提供技术服务, 不断 完善国家公共互联网应急处理体系.计算机网络的 日益普及， 迫切需要制定一系列相应的法律法规, 以 规范计算机在社会和经济活动中的应用。  6   结束语     安全策略对安全系统是非常重要的。网络安全 需要管理、技术、法律的有机结合， 以形成有效防护 的合力, 也需要情报、知识、谋略来增强网络的防御 能力.在网络安全领域, 我们虽然逐渐积累了一些 知识、经验以及相应的法律, 更为重要的是意识到了 网络安全的重要性, 但是, 随着技术高速发展, 网络 的广域化和实用化对网络系统的安全性提出了越来 越高的要求。网络安全领域将面临着许多意想不到 的问题, 这需要我们不懈的努力。