专用网安全策略及技术研究 3300字

专用网安全策略及技术研究3300字1专用网(PrivateNetwork)指某个部门为满足本单位特殊业务工作的需要而建造的网络。伴随着计算机网络与信息技术的飞速开展，社会的信息化程度越来越高，军队、银行、铁路、电力等部门均建立了本系统的专用网。近几年不断出现的平安事件说明，网络攻击行为已经由因特网蔓延到了专用网，而且专用网上的平安事件造成的危害及损失更大，特别是经由军事网络造成的失泄密后果尤其严重。本文在深入分析专用网平安现状及平安需求的根底上，提出了相应的平安策略，并引入了相应的平安技术。

2专用网平安需求分析

专用网与因特网均采用了互联网技术，但专用网的平安需求及平安现状与因特网有很大的区别。

(1)因特网的开放性使任何人都可能成为攻击者或被攻击者，网络平安难以控制;而专用网接入人员及接入地点受限，且与公用网物理隔离，平安策略的部署与实施相对简单。

(2)因特网主要目的是实现开放性的互联及多样性的效劳，为满足以上需求引入网络设备或平安设备以及相应技术;而专用网网络拓扑相对固定、业务专一，引入网络设备或平安设备以及相应技术时应该在满足业务需要的同时兼顾平安需求。

(3)因特网上最大的平安威胁来自于窃取主机控制权;而专用网上最大的平安威胁来自于越权访问及信息泄露。

除了上述区别之外，解决专用网平安问题还需要考虑专用网自身的建设与开展过程。以军用网络为例，在建设之初，由于网络平安问题并不突出，平安需求也未明确，主要是解决互联互通问题，平安设计上比拟单薄。随着近年来网络平安问题日益严峻，逐渐加大了平安上的投入，配置了如防火墙、入侵检测系统、漏洞扫描等多种平安设备，但由于不足顶层规划，各种网络设备及平安设备的部署还没有发挥出最正确效能。因此，从总体上考虑专用网平安问题，制定有效的专用网平安策略用于指导各种设备的部署与配置，引入先进的平安技术，增强专用网平安性能是十分必要和迫切的。

3专用网平安策略

平安策略是一套文档化的规那么，用来限制由一组或多组元素组成的一组或多组与平安相关的行为。对一个确定的信息系统而言，假设能设计一种提供恰当的、合乎平安需求的整体思路将会使平安问题简单化。因此在国内外很多平安组织提出的P2DR、PDRR、PASME等诸多平安模型中都将平安策略制订列为最重要的环节。通过平安需求的分析与平安策略的制定将日益复杂的信息系统与日益严峻的平安威胁集中到最高决策层来关注与实施，从而明确如何到达预期的平安效果。可以说建立平安策略是平安最重要的工作，也是实现平安管理标准化的第一步。

在制定详细、具体的专用网平安策略时，可以遵循下列三条根本平安策略：

1)建立基于业务流的平安模型

专用网的特点决定了专用网上的业务关系即为专用网上的信息流动关系。为了增强专用网平安，可将专用网上不同业务机关之间存在的横向(平级业务机关、同一个网内)的信息流及纵向(高低级业务机关、跨网络)的信息流进行细致的辨别，并且根据不同业务机关不同的平安需求(高、中、低)，制定各信息流的平安策略，建立基于业务流的平安模型。同时，严格控制除业务关系之外出现的信息流动。按这一根本策略来制定具体的设备部署与配置策略。

2)基于最大隔离准那么的设备配置计划

在建立了基于业务流的平安模型的根底上，为了防备专用网上的越权访问、网络监听等引起的信息泄露，在部署与配置专用网网络设备及平安设备时，采用基于最大隔离准那么的设备配置计划。最大隔离准那么，目的是实现专用网中信息节点逻辑上尽量隔离，尽量防止不必要的网络联通。具体的技术计划有下列三点：

(1)局域网内横向划分VLAN(虚拟局域网)，隔离不同业务流，防备歹意嗅探。

(2)互联时纵向组建(虚拟专用网)，连通必要的业务流动，保证业务流信息平安。

(3)强化防火墙平安规那么，只允许通道通过，拒绝其余网络连接。

3)建立应急响应体系及平安管理制度

为了快速、有效地解决专用网发生的歹意攻击、网络病毒发作、网络蠕虫传播等平安事件，在制定专用网平安策略时，还必须制定严格的平安管理制

度，建立应急响应体系。通过平安管理制度及应急响应体系，可以提高专用网内人员的平安意识，增强协同处理专用网内紧急平安事件的能力，从而快速发现、快速抑制、快速解除网络入侵，并使其造成危害降至最低。

4专用网应引入的平安技术

在以上平安策略的指导下，为了增强专用网平安性，在实施过程中，必须引入下列平安技术。

1)VLAN技术

VLAN[1](VirtualLocalAreaNetwork)，又称为虚拟局域网，1999年IEEE公布了用以规范化VLAN实现计划的IEEE802.1Q协议规范草案。它是一种不拘泥于站点的物理位置，根据功能、应用等因素将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现功能相对独立的虚拟工作组的技术。

划分了VLAN后，由于各个VLAN之间不能直接进行数据通信，必须通过路由器来转发VLAN之间的数据，因此，如果VLAN之间没有路由器，则VLAN就是与外界其他设备相隔离的，相当于一个独立的局域网，平安性可以得到较大程度的提高。

VLAN技术需要网络设备的支持，配置了三层交换机的专用网可以按照基于业务流的平安模型对本级局域网进行VLAN划分，从而保证不同的业务流相互隔离，防备网络监听伎俩的入侵。

2)技术

[2](VirtualPrivateNetwork)，又称为虚拟专用网，是对通过共享公用网络(如Internet)并使用封装、加密和身份认证等技术进行连接的内部网络的扩展。之所以提出该技术的是为了方便在公用网络根底设施之上建立专用网络。

在专用网中对路由器、防火墙等设备进行配置，采用技术将不同节点间有业务关系的计算机连通，可以实现专用网中的虚拟网。由于提供了对两端的身份认证和访问控制及对传输数据的信息加密和信息认证，因此能够有效防备截断攻击和窃听攻击。而且良好的应用可在不同层次实现不同的隧道协议对数据进行爱护。

3)HoneyPot和HoneyNet

近年来，一种新的主动防御型平安技术——蜜罐技术成为研究的热点方向，它可以有效地欺骗网络攻击者从而到达爱护网络的目的。蜜罐技术最初提出时，国外计算机专家将其命名为Honeypot[3]。其准确的定义是：“蜜罐是一种平安资源，它的价值就是被探测，被攻击或攻陷〞。后来又出现了Honeynet(蜜网)，它将单个的蜜罐连成网络，是具有高交互性能的蜜罐。

采用应用型蜜罐并将其放置在在专用网中，与其它平安设备及平安技术共同爱护专用网，可以有效增强专用网的平安性，蜜罐所起的作用是其它平安设备或平安技术所无法替代的，其它平安设备或平安技术用来被动防御攻击者的入侵，而蜜罐是欺骗攻击者将攻击方向转向自己，从而拖延或使攻击者放弃对真实网络环境的攻击。

5结束语

面向业务处理的专用网与公用网络相比，网络的平