專用網(wǎng)安全策略及技術(shù)研究3300字1專用網(wǎng)(PrivateNetwork)指某個(gè)部門為滿足本單位特殊業(yè)務(wù)工作的需要而建造的網(wǎng)絡(luò)。伴隨著計(jì)算機(jī)網(wǎng)絡(luò)與信息技術(shù)的飛速開展，社會(huì)的信息化程度越來越高，軍隊(duì)、銀行、鐵路、電力等部門均建立了本系統(tǒng)的專用網(wǎng)。近幾年不斷出現(xiàn)的平安事件說明，網(wǎng)絡(luò)攻擊行為已經(jīng)由因特網(wǎng)蔓延到了專用網(wǎng)，而且專用網(wǎng)上的平安事件造成的危害及損失更大，特別是經(jīng)由軍事網(wǎng)絡(luò)造成的失泄密后果尤其嚴(yán)重。本文在深入分析專用網(wǎng)平安現(xiàn)狀及平安需求的根底上，提出了相應(yīng)的平安策略，并引入了相應(yīng)的平安技術(shù)。

2專用網(wǎng)平安需求分析

專用網(wǎng)與因特網(wǎng)均采用了互聯(lián)網(wǎng)技術(shù)，但專用網(wǎng)的平安需求及平安現(xiàn)狀與因特網(wǎng)有很大的區(qū)別。

(1)因特網(wǎng)的開放性使任何人都可能成為攻擊者或被攻擊者，網(wǎng)絡(luò)平安難以控制;而專用網(wǎng)接入人員及接入地點(diǎn)受限，且與公用網(wǎng)物理隔離，平安策略的部署與實(shí)施相對(duì)簡(jiǎn)單。

(2)因特網(wǎng)主要目的是實(shí)現(xiàn)開放性的互聯(lián)及多樣性的效勞，為滿足以上需求引入網(wǎng)絡(luò)設(shè)備或平安設(shè)備以及相應(yīng)技術(shù);而專用網(wǎng)網(wǎng)絡(luò)拓?fù)湎鄬?duì)固定、業(yè)務(wù)專一，引入網(wǎng)絡(luò)設(shè)備或平安設(shè)備以及相應(yīng)技術(shù)時(shí)應(yīng)該在滿足業(yè)務(wù)需要的同時(shí)兼顧平安需求。

(3)因特網(wǎng)上最大的平安威脅來自于竊取主機(jī)控制權(quán);而專用網(wǎng)上最大的平安威脅來自于越權(quán)訪問及信息泄露。

除了上述區(qū)別之外，解決專用網(wǎng)平安問題還需要考慮專用網(wǎng)自身的建設(shè)與開展過程。以軍用網(wǎng)絡(luò)為例，在建設(shè)之初，由于網(wǎng)絡(luò)平安問題并不突出，平安需求也未明確，主要是解決互聯(lián)互通問題，平安設(shè)計(jì)上比擬單薄。隨著近年來網(wǎng)絡(luò)平安問題日益嚴(yán)峻，逐漸加大了平安上的投入，配置了如防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描等多種平安設(shè)備，但由于不足頂層規(guī)劃，各種網(wǎng)絡(luò)設(shè)備及平安設(shè)備的部署還沒有發(fā)揮出最正確效能。因此，從總體上考慮專用網(wǎng)平安問題，制定有效的專用網(wǎng)平安策略用于指導(dǎo)各種設(shè)備的部署與配置，引入先進(jìn)的平安技術(shù)，增強(qiáng)專用網(wǎng)平安性能是十分必要和迫切的。

3專用網(wǎng)平安策略

平安策略是一套文檔化的規(guī)那么，用來限制由一組或多組元素組成的一組或多組與平安相關(guān)的行為。對(duì)一個(gè)確定的信息系統(tǒng)而言，假設(shè)能設(shè)計(jì)一種提供恰當(dāng)?shù)摹⒑虾跗桨残枨蟮恼w思路將會(huì)使平安問題簡(jiǎn)單化。因此在國(guó)內(nèi)外很多平安組織提出的P2DR、PDRR、PASME等諸多平安模型中都將平安策略制訂列為最重要的環(huán)節(jié)。通過平安需求的分析與平安策略的制定將日益復(fù)雜的信息系統(tǒng)與日益嚴(yán)峻的平安威脅集中到最高決策層來關(guān)注與實(shí)施，從而明確如何到達(dá)預(yù)期的平安效果?？梢哉f建立平安策略是平安最重要的工作，也是實(shí)現(xiàn)平安管理標(biāo)準(zhǔn)化的第一步。

在制定詳細(xì)、具體的專用網(wǎng)平安策略時(shí)，可以遵循下列三條根本平安策略：

1)建立基于業(yè)務(wù)流的平安模型

專用網(wǎng)的特點(diǎn)決定了專用網(wǎng)上的業(yè)務(wù)關(guān)系即為專用網(wǎng)上的信息流動(dòng)關(guān)系。為了增強(qiáng)專用網(wǎng)平安，可將專用網(wǎng)上不同業(yè)務(wù)機(jī)關(guān)之間存在的橫向(平級(jí)業(yè)務(wù)機(jī)關(guān)、同一個(gè)網(wǎng)內(nèi))的信息流及縱向(高低級(jí)業(yè)務(wù)機(jī)關(guān)、跨網(wǎng)絡(luò))的信息流進(jìn)行細(xì)致的辨別，并且根據(jù)不同業(yè)務(wù)機(jī)關(guān)不同的平安需求(高、中、低)，制定各信息流的平安策略，建立基于業(yè)務(wù)流的平安模型。同時(shí)，嚴(yán)格控制除業(yè)務(wù)關(guān)系之外出現(xiàn)的信息流動(dòng)。按這一根本策略來制定具體的設(shè)備部署與配置策略。

2)基于最大隔離準(zhǔn)那么的設(shè)備配置計(jì)劃

在建立了基于業(yè)務(wù)流的平安模型的根底上，為了防備專用網(wǎng)上的越權(quán)訪問、網(wǎng)絡(luò)監(jiān)聽等引起的信息泄露，在部署與配置專用網(wǎng)網(wǎng)絡(luò)設(shè)備及平安設(shè)備時(shí)，采用基于最大隔離準(zhǔn)那么的設(shè)備配置計(jì)劃。最大隔離準(zhǔn)那么，目的是實(shí)現(xiàn)專用網(wǎng)中信息節(jié)點(diǎn)邏輯上盡量隔離，盡量防止不必要的網(wǎng)絡(luò)聯(lián)通。具體的技術(shù)計(jì)劃有下列三點(diǎn)：

(1)局域網(wǎng)內(nèi)橫向劃分VLAN(虛擬局域網(wǎng))，隔離不同業(yè)務(wù)流，防備歹意嗅探。

(2)互聯(lián)時(shí)縱向組建(虛擬專用網(wǎng))，連通必要的業(yè)務(wù)流動(dòng)，保證業(yè)務(wù)流信息平安。

(3)強(qiáng)化防火墻平安規(guī)那么，只允許通道通過，拒絕其余網(wǎng)絡(luò)連接。

3)建立應(yīng)急響應(yīng)體系及平安管理制度

為了快速、有效地解決專用網(wǎng)發(fā)生的歹意攻擊、網(wǎng)絡(luò)病毒發(fā)作、網(wǎng)絡(luò)蠕蟲傳播等平安事件，在制定專用網(wǎng)平安策略時(shí)，還必須制定嚴(yán)格的平安管理制

度，建立應(yīng)急響應(yīng)體系。通過平安管理制度及應(yīng)急響應(yīng)體系，可以提高專用網(wǎng)內(nèi)人員的平安意識(shí)，增強(qiáng)協(xié)同處理專用網(wǎng)內(nèi)緊急平安事件的能力，從而快速發(fā)現(xiàn)、快速抑制、快速解除網(wǎng)絡(luò)入侵，并使其造成危害降至最低。

4專用網(wǎng)應(yīng)引入的平安技術(shù)

在以上平安策略的指導(dǎo)下，為了增強(qiáng)專用網(wǎng)平安性，在實(shí)施過程中，必須引入下列平安技術(shù)。

1)VLAN技術(shù)

VLAN[1](VirtualLocalAreaNetwork)，又稱為虛擬局域網(wǎng)，1999年IEEE公布了用以規(guī)范化VLAN實(shí)現(xiàn)計(jì)劃的IEEE802.1Q協(xié)議規(guī)范草案。它是一種不拘泥于站點(diǎn)的物理位置，根據(jù)功能、應(yīng)用等因素將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)功能相對(duì)獨(dú)立的虛擬工作組的技術(shù)。

劃分了VLAN后，由于各個(gè)VLAN之間不能直接進(jìn)行數(shù)據(jù)通信，必須通過路由器來轉(zhuǎn)發(fā)VLAN之間的數(shù)據(jù)，因此，如果VLAN之間沒有路由器，則VLAN就是與外界其他設(shè)備相隔離的，相當(dāng)于一個(gè)獨(dú)立的局域網(wǎng)，平安性可以得到較大程度的提高。

VLAN技術(shù)需要網(wǎng)絡(luò)設(shè)備的支持，配置了三層交換機(jī)的專用網(wǎng)可以按照基于業(yè)務(wù)流的平安模型對(duì)本級(jí)局域網(wǎng)進(jìn)行VLAN劃分，從而保證不同的業(yè)務(wù)流相互隔離，防備網(wǎng)絡(luò)監(jiān)聽伎倆的入侵。

2)技術(shù)

[2](VirtualPrivateNetwork)，又稱為虛擬專用網(wǎng)，是對(duì)通過共享公用網(wǎng)絡(luò)(如Internet)并使用封裝、加密和身份認(rèn)證等技術(shù)進(jìn)行連接的內(nèi)部網(wǎng)絡(luò)的擴(kuò)展。之所以提出該技術(shù)的是為了方便在公用網(wǎng)絡(luò)根底設(shè)施之上建立專用網(wǎng)絡(luò)。

在專用網(wǎng)中對(duì)路由器、防火墻等設(shè)備進(jìn)行配置，采用技術(shù)將不同節(jié)點(diǎn)間有業(yè)務(wù)關(guān)系的計(jì)算機(jī)連通，可以實(shí)現(xiàn)專用網(wǎng)中的虛擬網(wǎng)。由于提供了對(duì)兩端的身份認(rèn)證和訪問控制及對(duì)傳輸數(shù)據(jù)的信息加密和信息認(rèn)證，因此能夠有效防備截?cái)喙艉透`聽攻擊。而且良好的應(yīng)用可在不同層次實(shí)現(xiàn)不同的隧道協(xié)議對(duì)數(shù)據(jù)進(jìn)行愛護(hù)。

3)HoneyPot和HoneyNet

近年來，一種新的主動(dòng)防御型平安技術(shù)——蜜罐技術(shù)成為研究的熱點(diǎn)方向，它可以有效地欺騙網(wǎng)絡(luò)攻擊者從而到達(dá)愛護(hù)網(wǎng)絡(luò)的目的。蜜罐技術(shù)最初提出時(shí)，國(guó)外計(jì)算機(jī)專家將其命名為Honeypot[3]。其準(zhǔn)確的定義是：“蜜罐是一種平安資源，它的價(jià)值就是被探測(cè)，被攻擊或攻陷〞。后來又出現(xiàn)了Honeynet(蜜網(wǎng))，它將單個(gè)的蜜罐連成網(wǎng)絡(luò)，是具有高交互性能的蜜罐。

采用應(yīng)用型蜜罐并將其放置在在專用網(wǎng)中，與其它平安設(shè)備及平安技術(shù)共同愛護(hù)專用網(wǎng)，可以有效增強(qiáng)專用網(wǎng)的平安性，蜜罐所起的作用是其它平安設(shè)備或平安技術(shù)所無法替代的，其它平安設(shè)備或平安技術(shù)用來被動(dòng)防御攻擊者的入侵，而蜜罐是欺騙攻擊者將攻擊方向轉(zhuǎn)向自己，從而拖延或使攻擊者放棄對(duì)真實(shí)網(wǎng)絡(luò)環(huán)境的攻擊。

5結(jié)束語

面向業(yè)務(wù)處理的專用網(wǎng)與公用網(wǎng)絡(luò)相比，網(wǎng)絡(luò)的平