計算機網(wǎng)絡(luò)安全技術(shù)研究

朱濤

【摘 要】網(wǎng)絡(luò)安全隔離與信息交換技術(shù)是實現(xiàn)不同安全要求網(wǎng)絡(luò)間可靠安全隔離，同時保障信息可靠交換，從而提升內(nèi)部網(wǎng)絡(luò)安全級別的新型網(wǎng)絡(luò)信息安全技術(shù)。該文針對目前網(wǎng)絡(luò)安全威脅及網(wǎng)絡(luò)信息安全技術(shù)現(xiàn)狀，提出網(wǎng)絡(luò)安全隔離與信息交換技術(shù)安全功能的設(shè)計，對計算機網(wǎng)絡(luò)安全技術(shù)與防護的發(fā)展具有重要的指導意義。

【關(guān)鍵詞】網(wǎng)絡(luò)安全；隔離；信息交換；攻擊

【中圖分類號】TP393 【文獻標識碼】A 【文章編號】1672-5158（2013）03-0184-01

目前我國信息安全面臨嚴峻形勢；國外電腦硬件、軟件中隱藏著“邏輯炸彈”或惡意功能；網(wǎng)絡(luò)信息安全防護能力較弱，許多應(yīng)用系統(tǒng)處于不設(shè)防狀態(tài)，具有極大的風險性和危險性。在防護技術(shù)研究上，我國信息安全研究經(jīng)歷了通信保密、計算機數(shù)據(jù)保護的發(fā)展階段，正在進入網(wǎng)絡(luò)信息安全體系全面建立的飛速發(fā)展階段。

一、網(wǎng)絡(luò)安全與攻擊技術(shù)分析

網(wǎng)絡(luò)中存在各種安全隱患，而網(wǎng)絡(luò)攻擊手段不斷翻新，強度不斷深入，廣度不斷擴大。目前，網(wǎng)絡(luò)攻擊技術(shù)的巨大變化主要體現(xiàn)在：①網(wǎng)絡(luò)攻擊已經(jīng)由過去的個人行為，逐步演變?yōu)橛袦蕚溆薪M織的集團行為。②用于進行網(wǎng)絡(luò)攻擊的工具層出不窮，并且易于使用，即使初級水平用戶也能容易掌握和使用。而且攻擊工具的涉及朝大規(guī)模、分布式攻擊方向發(fā)展。③往往不需要其源代碼就可以發(fā)現(xiàn)系統(tǒng)和機器的脆弱性。

二、網(wǎng)絡(luò)安全隔離與信息交換技術(shù)詳細設(shè)計

（一）內(nèi)/外部代理單元細化設(shè)計及功能描述

內(nèi)/外代理單元各自作為堡壘主機，暴露于外/內(nèi)網(wǎng)上，是進入內(nèi)/外部網(wǎng)絡(luò)的檢查點。以下將對通過協(xié)議棧、訪問攔截檢查機以及專用協(xié)議棧詳細分析。

1.通用協(xié)議棧設(shè)計分析

通用協(xié)議棧包含完整的TCP/IP層次，處理系統(tǒng)中所有的TCP/UDP進程。它依賴于操作系統(tǒng)的TCP/IP棧。通用協(xié)議棧從專用協(xié)議棧（經(jīng)訪問攔截檢查機）和內(nèi)（或外）網(wǎng)絡(luò)獲取輸入數(shù)據(jù)。一條典型的網(wǎng)絡(luò)命令類似于“從Port#1234接收，關(guān)閉進程號#12，連接到目的地址#”。這些消息會被通用協(xié)議棧解釋成相應(yīng)的網(wǎng)絡(luò)任務(wù)。通用協(xié)議棧還負責處理網(wǎng)絡(luò)數(shù)據(jù)。當數(shù)據(jù)從網(wǎng)絡(luò)上接收以后，通用協(xié)議棧就會在邏輯上切斷連接，將得到的數(shù)據(jù)包發(fā)送給訪問攔截檢查機，并由此生成一個內(nèi)部應(yīng)用數(shù)據(jù)消息的會話表。通用協(xié)議棧還完成了網(wǎng)絡(luò)數(shù)據(jù)包的狀態(tài)檢測功能，負責對網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)進行分發(fā)，并記錄網(wǎng)絡(luò)數(shù)據(jù)包中的主要參數(shù)，以加快回應(yīng)處理速度。

2.訪問攔截檢查機設(shè)計分析

訪問攔截檢查機對協(xié)議數(shù)據(jù)進行分析檢查。它提供語法檢查并以專用壓縮表達方式重新構(gòu)建相同網(wǎng)絡(luò)訪問數(shù)據(jù)，重構(gòu)的消息將被傳送到專用協(xié)議棧。訪問攔截檢查機提供多種協(xié)議分析功能，對支持的應(yīng)用協(xié)議提供一個單獨的協(xié)議分析單元。每個經(jīng)通用協(xié)議棧傳過來的數(shù)據(jù)會傳遞到相應(yīng)的協(xié)議分析單元進行協(xié)議分析檢查。日志的內(nèi)容不僅包括源、目的IP地址，訪問端口，協(xié)議種類以及用戶標識（內(nèi)部代理機）等信息，通過針對協(xié)議的深層檢查，日志中還記錄協(xié)議命令等重要參數(shù)，因此加強了協(xié)議檢查的力度和深度，對協(xié)議攻擊具有極高的防范能力。

3.專用協(xié)議棧

在代理機中，專用協(xié)議棧一方面接收訪問攔截機傳遞的網(wǎng)絡(luò)訪問及數(shù)據(jù)，并按照類似TCP/IP分層處理方式以專用協(xié)議傳輸格式重構(gòu)為特定應(yīng)用數(shù)據(jù)包。而在另一方面，專用協(xié)議棧按TCP/IP協(xié)議分層處理方式，剝除協(xié)議頭部，將專用安全協(xié)議層的數(shù)據(jù)遞交給訪問攔截機處理。專用協(xié)議棧的分層處理與TCP/IP協(xié)議棧類似，由上至下按特定協(xié)議格式生成協(xié)議頭，添加到網(wǎng)絡(luò)數(shù)據(jù)上；由下至上則剝離協(xié)議頭，取出相關(guān)參數(shù)及數(shù)據(jù)。專用協(xié)議格式稱為表單。表單結(jié)構(gòu)包含所有重要的TCP/IP協(xié)議頭參數(shù)，如源、目的IP地址，應(yīng)用協(xié)議類型等。滿足專用、靈活、內(nèi)容全面的要求。既能支持大多數(shù)的應(yīng)用協(xié)議，又能保證表單的格式不易被篡改、假冒。為保證數(shù)據(jù)的機密性和正確性，還應(yīng)對表單數(shù)據(jù)進行加密處理。由于協(xié)議的格式特定，在重構(gòu)及分解協(xié)議的映射過程中對TCP/IP協(xié)議段各項內(nèi)容進行了被動檢查，不符合格式映射的應(yīng)用會話將被丟棄。由此，專用協(xié)議的使用及會話處理使整個系統(tǒng)對針對協(xié)議的攻擊具有一定免疫能力，這是網(wǎng)絡(luò)安全隔離與信息交換技術(shù)與防火墻類技術(shù)相比所具有的獨特優(yōu)勢。

（二）日志審計單元

作為一個網(wǎng)絡(luò)安全產(chǎn)品，必須對日志進行審計，以在事后通過對審計的檢查監(jiān)測用戶行為，發(fā)現(xiàn)系統(tǒng)中存在的問題或缺陷，為制定相關(guān)策略，完善網(wǎng)絡(luò)安全性提供依據(jù)。日志審計功能包括對網(wǎng)絡(luò)重要通信數(shù)據(jù)、重要的網(wǎng)絡(luò)行為、用戶的操作行為、管理人員的管理行為進行審計。從來就沒有一種技術(shù)，可以絕對的保證網(wǎng)絡(luò)安全，即使技術(shù)在理論上可以完全安全，也不可能保證執(zhí)行人員可以完整無誤的執(zhí)行，完全沒有失誤。如果管理人員出現(xiàn)失誤，實際的網(wǎng)絡(luò)安全也是無法保證的。信息安全其實是三分技術(shù)，七分管理。因此，無論技術(shù)有多先進，審計功能都是保障網(wǎng)絡(luò)安全不可或缺的重要功能。

（三）數(shù)據(jù)交換及開關(guān)控制單元

數(shù)據(jù)交換與開關(guān)控制單元是整個技術(shù)的核心部分，也是實現(xiàn)內(nèi)、外網(wǎng)絡(luò)間安全隔離，保證數(shù)據(jù)實時交換的關(guān)鍵。在設(shè)計要滿足的三個條件是：①內(nèi)/外開關(guān)的互斥通斷，實現(xiàn)內(nèi)/外代理之間的安全隔離；②開關(guān)切換不受外界控制，數(shù)據(jù)交換采用專用格式；③數(shù)據(jù)傳輸速率高于代理單元，防止出現(xiàn)性能瓶頸。

在對比了USB、SCSI及內(nèi)存等技術(shù)可行性之后，我們將設(shè)計定型為開發(fā)專用電路板，對外利用DMA內(nèi)存映射技術(shù)與代理單元完成數(shù)據(jù)交換，對內(nèi)通過預(yù)定的指令邏輯系統(tǒng)控制開關(guān)通斷，安全隔離網(wǎng)絡(luò)，并實現(xiàn)數(shù)據(jù)快速交換。

三、結(jié)論

網(wǎng)絡(luò)安全隔離與信息交換技術(shù)保證信息交換的機密性、完整性、可用性、可控性以及抗抵賴，專用通信設(shè)備、專有安全協(xié)議和加密驗證機制及應(yīng)用層數(shù)據(jù)提取和鑒別認證技術(shù)的綜合應(yīng)用，徹底阻斷了網(wǎng)絡(luò)間的直接TCP/IP連接，同時對網(wǎng)間通信的雙方、內(nèi)容、過程都施以嚴格的身份認證、內(nèi)容過濾、安全審計等多種安全防護機制，從而保證了網(wǎng)間數(shù)據(jù)交換的安全、可控，有效屏蔽操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議自身漏洞。隨著對網(wǎng)絡(luò)安全隔離與信息交換技術(shù)的深入研究及其與防火墻，IDS，病毒檢測等網(wǎng)絡(luò)安全技術(shù)的有機結(jié)合，加強對協(xié)議數(shù)據(jù)的檢查深度和廣度，提高數(shù)據(jù)的處理速率，根據(jù)實際應(yīng)用修改完善安全功能，必定能成為網(wǎng)絡(luò)信息安全更可靠的安全屏障。

參考文獻：

[1]黃元飛，陳曉樺.國家標準GB/T 18336 介紹（一）[J].信息安全與通信保密，2001（6）：71-72.

[2]盧開澄，計算機密碼學——計算機網(wǎng)絡(luò)中的數(shù)據(jù)保密與安全[M].2版.北京：清華大學出版社，2006.

[3]李穎.信息的隔離與交換技術(shù)初探[J].計算機安全，2002（12）：43.

[4]孔斌，杜虹，馬朝斌.安全隔離與信息交換技術(shù)發(fā)展及應(yīng)用[J].計算機安全，2003（29）：39-42.

[5]王育民，劉建偉.通信網(wǎng)的安全——理論與技術(shù)[M].西安：西安電子科技大學出版社，2006.