淺析保護(hù)網(wǎng)絡(luò)信息交換安全關(guān)鍵技術(shù)

黎小平

摘要：隨著網(wǎng)絡(luò)應(yīng)用越來(lái)越頻繁，網(wǎng)絡(luò)數(shù)據(jù)量越來(lái)越大，網(wǎng)絡(luò)信息交換的安全性頗受社會(huì)關(guān)注。目前，在網(wǎng)絡(luò)應(yīng)用過(guò)程中，來(lái)自網(wǎng)絡(luò)攻擊、病毒入侵、非授權(quán)訪問(wèn)和信息泄密等問(wèn)題層出不窮，盡管在互聯(lián)網(wǎng)應(yīng)用的基礎(chǔ)上開(kāi)發(fā)了多種不同方式的數(shù)據(jù)保護(hù)方式和網(wǎng)絡(luò)使用安全措施，但是仍然無(wú)法完全解決網(wǎng)絡(luò)間信息的安全交換問(wèn)題，其主要原因是各網(wǎng)絡(luò)信息交換保護(hù)措施都具有一定的局限性。因此，該文針對(duì)網(wǎng)絡(luò)信息交換安全的關(guān)鍵技術(shù)進(jìn)行分析，希望能夠?qū)⒏骷夹g(shù)相互結(jié)合，打造出一套基于不同安全等級(jí)的網(wǎng)絡(luò)及系統(tǒng)之間的網(wǎng)絡(luò)信息交互安全方案，提高保護(hù)網(wǎng)絡(luò)信息交互安全能力。

關(guān)鍵詞：信息交換；網(wǎng)絡(luò)安全；協(xié)議分析；訪問(wèn)控制

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）34-0042-02

Abstract： With the increasing of network applications， network data is becoming more and more popular， and the security of network information exchange is very popular. At present， there are many problems in the process of network application， such as network attack， virus invasion， unauthorized access and information leakage. So we have developed a variety of different ways and security measures based on Internet application， but still can not completely solve the problem of network information security exchange， the main reason is that the network information exchange protection measures have certain limitations. Therefore， this paper analyzes the key technologies of network information exchange， hoping to combine the technology to create a set of network information security scheme based on different levels of security and network information security.

Key words： information exchange； network security； protocol analysis； access control

網(wǎng)絡(luò)信息交換的安全性達(dá)到關(guān)系到國(guó)家的安全，小到關(guān)系到每一個(gè)人的財(cái)產(chǎn)和隱私安全。早期為保護(hù)網(wǎng)絡(luò)信息安全交換是通過(guò)人工物理隔離的方式進(jìn)行干預(yù)，這種方式不僅工作效率低，而且難以排除人為因素導(dǎo)致網(wǎng)絡(luò)信息安全問(wèn)題。在我們網(wǎng)絡(luò)應(yīng)用進(jìn)入大數(shù)據(jù)時(shí)代后，這種方式遠(yuǎn)遠(yuǎn)無(wú)法滿(mǎn)足實(shí)際的需求，所以信息傳輸方向控制技術(shù)、訪問(wèn)控制技術(shù)、協(xié)議分析技術(shù)、身份認(rèn)證技術(shù)、地址綁定技術(shù)、內(nèi)容檢測(cè)技術(shù)等多項(xiàng)保護(hù)網(wǎng)絡(luò)信息交換的安全技術(shù)應(yīng)運(yùn)而生。

1保護(hù)網(wǎng)絡(luò)信息交換安全關(guān)鍵技術(shù)

1.1信息傳輸方向控制技術(shù)

網(wǎng)絡(luò)信息傳輸方向控制技術(shù)是采用雙通道通信機(jī)制，將可信網(wǎng)絡(luò)信息與非可信網(wǎng)絡(luò)信息進(jìn)行數(shù)據(jù)分流，通過(guò)不同數(shù)據(jù)通道進(jìn)行信息傳輸，以保證可信網(wǎng)絡(luò)信息的可控性。網(wǎng)絡(luò)信息通道分離控制，可在信息安全需要時(shí)進(jìn)行數(shù)據(jù)單項(xiàng)傳輸，以此可避免網(wǎng)絡(luò)信息交換過(guò)程中出現(xiàn)信息泄露問(wèn)題。

1.2訪問(wèn)控制技術(shù)

在計(jì)算機(jī)操作系統(tǒng)中，已經(jīng)設(shè)定了較為完善的網(wǎng)絡(luò)訪問(wèn)控制策略，但是任何一套操作系統(tǒng)也無(wú)法實(shí)現(xiàn)無(wú)懈可擊。因此，在進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制時(shí)，需要通過(guò)網(wǎng)絡(luò)源地址、目的地址、網(wǎng)絡(luò)端口及網(wǎng)絡(luò)協(xié)議等進(jìn)行網(wǎng)絡(luò)信息數(shù)據(jù)傳輸過(guò)濾，將不符合組織安全策略的信息進(jìn)行過(guò)濾，禁止其訪問(wèn)計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)。

1.3協(xié)議分析技術(shù)

網(wǎng)絡(luò)信息可通過(guò)HTTP、FTP、NFS、SMTP、DNS、POP3、SAMBA等多種應(yīng)用層協(xié)議進(jìn)行交換，協(xié)議分析技術(shù)是對(duì)常見(jiàn)協(xié)議命令及參數(shù)進(jìn)行分析和過(guò)濾，采用數(shù)據(jù)包預(yù)處理——安全決策——RFC校驗(yàn)——協(xié)議分析——數(shù)據(jù)提取——格式化等處理模塊進(jìn)行信息分析，保證網(wǎng)絡(luò)信息交換內(nèi)容的安全性。

1.4身份認(rèn)證技術(shù)

網(wǎng)絡(luò)身份認(rèn)證技術(shù)包括本地用戶(hù)認(rèn)證、口令認(rèn)證、數(shù)字證書(shū)、RADIUS遠(yuǎn)程訪問(wèn)認(rèn)證和LDAP認(rèn)證等。不同的認(rèn)證方式雖然認(rèn)證的方式不同，但認(rèn)證目的一致，即保證網(wǎng)絡(luò)中用戶(hù)的合法性。本地認(rèn)證是對(duì)本地網(wǎng)絡(luò)用戶(hù)的用戶(hù)名、口令等進(jìn)行認(rèn)證，其支持HTTP/HTTPS方式實(shí)現(xiàn)認(rèn)證信息獲取。數(shù)字證書(shū)認(rèn)證是通過(guò)網(wǎng)閘導(dǎo)入根證書(shū)，再檢測(cè)用戶(hù)證書(shū)格式、日期、簽發(fā)信息等方式確認(rèn)網(wǎng)絡(luò)訪問(wèn)者的合法性。RADIUS遠(yuǎn)程訪問(wèn)認(rèn)證和LDAP認(rèn)證則是通過(guò)第三方安全認(rèn)證服務(wù)器發(fā)送認(rèn)證指令確定訪問(wèn)者的真實(shí)性，譬如手機(jī)短信驗(yàn)證等。

1.5地址綁定技術(shù)

地址綁定技術(shù)是采用IP與MAC地址綁定，可對(duì)指定接口所連接在網(wǎng)絡(luò)中主機(jī)IP和MAC地址進(jìn)行綁定，這種方式能夠防止IP和內(nèi)部網(wǎng)絡(luò)信息資源分配混亂問(wèn)題，對(duì)網(wǎng)絡(luò)IP資源進(jìn)行管理可有效對(duì)IP使用者進(jìn)行管理，并對(duì)非法用戶(hù)進(jìn)行有效監(jiān)管。

1.6內(nèi)容檢測(cè)技術(shù)

內(nèi)容檢測(cè)技術(shù)是對(duì)網(wǎng)絡(luò)信息交換的內(nèi)容進(jìn)行安全過(guò)濾和訪問(wèn)控制，通過(guò)內(nèi)容檢測(cè)技術(shù)尅防止外部惡意代碼和病毒入侵。網(wǎng)絡(luò)信息交換內(nèi)容檢測(cè)可針對(duì)HTTP、FTP、電子郵件等信息進(jìn)行檢測(cè)，能夠?qū)?nèi)容中的關(guān)鍵字、URL、Cookie文件類(lèi)型等進(jìn)行有效管理，并對(duì)內(nèi)容中存在的病毒進(jìn)行查殺。

2網(wǎng)絡(luò)信息交換安全技術(shù)綜合運(yùn)用方案

各網(wǎng)絡(luò)信息交換保護(hù)措施在某一方向上具有較好的信息交互安全保護(hù)能力，但是具有一定的局限性。因此將各種網(wǎng)絡(luò)信息交換安全技術(shù)綜合運(yùn)用建立較為完善的保護(hù)網(wǎng)絡(luò)信息交換安全方案對(duì)于實(shí)現(xiàn)高速、安全的數(shù)據(jù)交互具有非常好的實(shí)用性。

網(wǎng)絡(luò)信息交換安全技術(shù)綜合運(yùn)用可劃分為外網(wǎng)防護(hù)、內(nèi)網(wǎng)防護(hù)和隔離交換。內(nèi)外網(wǎng)防護(hù)可利用信息傳輸方向控制技術(shù)、訪問(wèn)控制技術(shù)、協(xié)議分析技術(shù)等對(duì)可信網(wǎng)絡(luò)信息和不可信網(wǎng)絡(luò)信息進(jìn)行數(shù)據(jù)剝離。隔離交換通過(guò)不同的通信通道進(jìn)行信息交換，采用身份認(rèn)證技術(shù)、地址綁定技術(shù)、內(nèi)容檢測(cè)技術(shù)等完成網(wǎng)絡(luò)信息安全交換。其中內(nèi)外網(wǎng)絡(luò)信息交換技術(shù)主要是對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行管理，不存在基于網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)轉(zhuǎn)發(fā)，而隔離交換技術(shù)則是為內(nèi)外網(wǎng)絡(luò)信息交換建立信息交換通道，并完成交換信息內(nèi)容的檢測(cè)。網(wǎng)絡(luò)信息交換安全技術(shù)綜合運(yùn)用方案如圖1所示：

網(wǎng)絡(luò)交換信息在進(jìn)行通信時(shí)，通過(guò)網(wǎng)閘傳遞經(jīng)過(guò)多重安全檢查模塊進(jìn)行檢測(cè)，首先在外網(wǎng)防護(hù)過(guò)程中通過(guò)驗(yàn)證TCP/IP交換信息的合法性，進(jìn)行用戶(hù)過(guò)濾；內(nèi)網(wǎng)通過(guò)交換信息的內(nèi)容檢查、數(shù)據(jù)提取、協(xié)議檢查、訪問(wèn)控制、會(huì)話終結(jié)等檢查交換信息的安全性，當(dāng)數(shù)據(jù)包通過(guò)檢查后，進(jìn)行格式化數(shù)據(jù)塊，最后將合法的數(shù)據(jù)包的傳輸信息存放在緩沖區(qū)等待被隔離交換。將保護(hù)網(wǎng)絡(luò)信息交換技術(shù)綜合應(yīng)用可在任意時(shí)刻對(duì)可信網(wǎng)與非可信網(wǎng)交換信息進(jìn)行安全隔離，最終完成網(wǎng)絡(luò)信息的安全交換。

3保護(hù)網(wǎng)絡(luò)信息交換安全技術(shù)方案應(yīng)用

3.1數(shù)據(jù)庫(kù)信息交換安全應(yīng)用

將保護(hù)網(wǎng)絡(luò)信息交換安全技術(shù)綜合應(yīng)用在數(shù)據(jù)庫(kù)與外部網(wǎng)絡(luò)之間的信息交換中，可根據(jù)安全策略進(jìn)行數(shù)據(jù)庫(kù)內(nèi)容同步，在此過(guò)程中，外網(wǎng)與內(nèi)網(wǎng)防護(hù)能夠防止TCP/IP數(shù)據(jù)包直接穿越網(wǎng)絡(luò)達(dá)到數(shù)據(jù)庫(kù)服務(wù)器，在信息存入數(shù)據(jù)庫(kù)前，進(jìn)行信息的隔離交換，利用內(nèi)容檢測(cè)技術(shù)對(duì)即將存入的數(shù)據(jù)進(jìn)行檢測(cè)，通過(guò)檢測(cè)的數(shù)據(jù)包方可存入數(shù)據(jù)庫(kù)。

3.2電子郵件收發(fā)信息交換安全應(yīng)用

通過(guò)網(wǎng)絡(luò)信息交換安全技術(shù)綜合應(yīng)用可將郵件內(nèi)容、附件類(lèi)型等進(jìn)行安全檢測(cè)，過(guò)濾垃圾郵件和帶病毒的郵件。其中，內(nèi)外網(wǎng)防護(hù)可檢測(cè)出郵件的來(lái)源和內(nèi)容中是否存在潛在危險(xiǎn)，如果沒(méi)有發(fā)現(xiàn)危險(xiǎn)則進(jìn)行隔離交換，從而使用戶(hù)能夠安全的收發(fā)郵件，保證郵件使用的安全。

3.3文件信息交換安全應(yīng)用

在進(jìn)行文件信息交換時(shí)，首先通過(guò)防火墻技術(shù)對(duì)文件類(lèi)型進(jìn)行過(guò)濾，其次對(duì)文件來(lái)源的IP地址進(jìn)行檢查，檢查網(wǎng)絡(luò)協(xié)議中是否存在漏洞。對(duì)于機(jī)密文件指定文件交換方向，文件類(lèi)型，并對(duì)文件的內(nèi)容及是否存在病毒進(jìn)行檢查，在文件傳輸時(shí)，可附帶數(shù)字簽名，以保證對(duì)文件來(lái)源的身份進(jìn)行認(rèn)證。

4結(jié)束語(yǔ)

網(wǎng)絡(luò)信息安全交換是當(dāng)下網(wǎng)絡(luò)應(yīng)用中非常重要的內(nèi)容，目前保護(hù)網(wǎng)絡(luò)信息交換的技術(shù)種類(lèi)非常的多，但是每一項(xiàng)技術(shù)都具有一定的針對(duì)性，單獨(dú)使用某一項(xiàng)技術(shù)都無(wú)法達(dá)到對(duì)網(wǎng)絡(luò)信息安全交換的有效保護(hù)，因此，將各種技術(shù)結(jié)合起來(lái)，利用各項(xiàng)技術(shù)的優(yōu)點(diǎn)分階段，分層次進(jìn)行安全防護(hù)，由此才能提高網(wǎng)絡(luò)信息安全交換效果。

參考文獻(xiàn)：

[1] 鄧亮， 陳抱雪， 隋國(guó)榮 等.信息傳輸對(duì)網(wǎng)絡(luò)采樣控制系統(tǒng)輸入/輸出的影響[J].控制理論與應(yīng)用， 2011（6）.

[2] 房文治.網(wǎng)絡(luò)安全訪問(wèn)控制技術(shù)[J].電子技術(shù)與軟件工程， 2014（15）.

[3] 曲長(zhǎng)城.試析網(wǎng)絡(luò)協(xié)議分析軟件在網(wǎng)絡(luò)維護(hù)中的運(yùn)用[J].信息安全與技術(shù)， 2012（8）.

[4] 唐建強(qiáng)， 劉穎，萬(wàn)明 等.一體化標(biāo)識(shí)網(wǎng)絡(luò)中的用戶(hù)身份認(rèn)證協(xié)議[J].北京交通大學(xué)學(xué)報(bào)，2012（2）.

[5] 程軍鋒.MAC地址和IP地址在網(wǎng)絡(luò)中的應(yīng)用[J].辦公自動(dòng)化， 2012（6）.

[6] 吳蓉暉， 龍曉剛，劉云.網(wǎng)絡(luò)內(nèi)容檢測(cè)中多模式匹配算法研究[J].中國(guó)新技術(shù)新產(chǎn)品， 2010（14）.