计算机网络安全技术研究
2013-06-25朱涛
朱涛
【摘 要】网络安全隔离与信息交换技术是实现不同安全要求网络间可靠安全隔离,同时保障信息可靠交换,从而提升内部网络安全级别的新型网络信息安全技术。该文针对目前网络安全威胁及网络信息安全技术现状,提出网络安全隔离与信息交换技术安全功能的设计,对计算机网络安全技术与防护的发展具有重要的指导意义。
【关键词】网络安全;隔离;信息交换;攻击
【中图分类号】TP393 【文献标识码】A 【文章编号】1672-5158(2013)03-0184-01
目前我国信息安全面临严峻形势;国外电脑硬件、软件中隐藏着“逻辑炸弹”或恶意功能;网络信息安全防护能力较弱,许多应用系统处于不设防状态,具有极大的风险性和危险性。在防护技术研究上,我国信息安全研究经历了通信保密、计算机数据保护的发展阶段,正在进入网络信息安全体系全面建立的飞速发展阶段。
一、网络安全与攻击技术分析
网络中存在各种安全隐患,而网络攻击手段不断翻新,强度不断深入,广度不断扩大。目前,网络攻击技术的巨大变化主要体现在:①网络攻击已经由过去的个人行为,逐步演变为有准备有组织的集团行为。②用于进行网络攻击的工具层出不穷,并且易于使用,即使初级水平用户也能容易掌握和使用。而且攻击工具的涉及朝大规模、分布式攻击方向发展。③往往不需要其源代码就可以发现系统和机器的脆弱性。
二、网络安全隔离与信息交换技术详细设计
(一)内/外部代理单元细化设计及功能描述
内/外代理单元各自作为堡垒主机,暴露于外/内网上,是进入内/外部网络的检查点。以下将对通过协议栈、访问拦截检查机以及专用协议栈详细分析。
1.通用协议栈设计分析
通用协议栈包含完整的TCP/IP层次,处理系统中所有的TCP/UDP进程。它依赖于操作系统的TCP/IP栈。通用协议栈从专用协议栈(经访问拦截检查机)和内(或外)网络获取输入数据。一条典型的网络命令类似于“从Port#1234接收,关闭进程号#12,连接到目的地址#”。这些消息会被通用协议栈解释成相应的网络任务。通用协议栈还负责处理网络数据。当数据从网络上接收以后,通用协议栈就会在逻辑上切断连接,将得到的数据包发送给访问拦截检查机,并由此生成一个内部应用数据消息的会话表。通用协议栈还完成了网络数据包的状态检测功能,负责对网络应用数据进行分发,并记录网络数据包中的主要参数,以加快回应处理速度。
2.访问拦截检查机设计分析
访问拦截检查机对协议数据进行分析检查。它提供语法检查并以专用压缩表达方式重新构建相同网络访问数据,重构的消息将被传送到专用协议栈。访问拦截检查机提供多种协议分析功能,对支持的应用协议提供一个单独的协议分析单元。每个经通用协议栈传过来的数据会传递到相应的协议分析单元进行协议分析检查。日志的内容不仅包括源、目的IP地址,访问端口,协议种类以及用户标识(内部代理机)等信息,通过针对协议的深层检查,日志中还记录协议命令等重要参数,因此加强了协议检查的力度和深度,对协议攻击具有极高的防范能力。
3.专用协议栈
在代理机中,专用协议栈一方面接收访问拦截机传递的网络访问及数据,并按照类似TCP/IP分层处理方式以专用协议传输格式重构为特定应用数据包。而在另一方面,专用协议栈按TCP/IP协议分层处理方式,剥除协议头部,将专用安全协议层的数据递交给访问拦截机处理。专用协议栈的分层处理与TCP/IP协议栈类似,由上至下按特定协议格式生成协议头,添加到网络数据上;由下至上则剥离协议头,取出相关参数及数据。专用协议格式称为表单。表单结构包含所有重要的TCP/IP协议头参数,如源、目的IP地址,应用协议类型等。满足专用、灵活、内容全面的要求。既能支持大多数的应用协议,又能保证表单的格式不易被篡改、假冒。为保证数据的机密性和正确性,还应对表单数据进行加密处理。由于协议的格式特定,在重构及分解协议的映射过程中对TCP/IP协议段各项内容进行了被动检查,不符合格式映射的应用会话将被丢弃。由此,专用协议的使用及会话处理使整个系统对针对协议的攻击具有一定免疫能力,这是网络安全隔离与信息交换技术与防火墙类技术相比所具有的独特优势。
(二)日志审计单元
作为一个网络安全产品,必须对日志进行审计,以在事后通过对审计的检查监测用户行为,发现系统中存在的问题或缺陷,为制定相关策略,完善网络安全性提供依据。日志审计功能包括对网络重要通信数据、重要的网络行为、用户的操作行为、管理人员的管理行为进行审计。从来就没有一种技术,可以绝对的保证网络安全,即使技术在理论上可以完全安全,也不可能保证执行人员可以完整无误的执行,完全没有失误。如果管理人员出现失误,实际的网络安全也是无法保证的。信息安全其实是三分技术,七分管理。因此,无论技术有多先进,审计功能都是保障网络安全不可或缺的重要功能。
(三)数据交换及开关控制单元
数据交换与开关控制单元是整个技术的核心部分,也是实现内、外网络间安全隔离,保证数据实时交换的关键。在设计要满足的三个条件是:①内/外开关的互斥通断,实现内/外代理之间的安全隔离;②开关切换不受外界控制,数据交换采用专用格式;③数据传输速率高于代理单元,防止出现性能瓶颈。
在对比了USB、SCSI及内存等技术可行性之后,我们将设计定型为开发专用电路板,对外利用DMA内存映射技术与代理单元完成数据交换,对内通过预定的指令逻辑系统控制开关通断,安全隔离网络,并实现数据快速交换。
三、结论
网络安全隔离与信息交换技术保证信息交换的机密性、完整性、可用性、可控性以及抗抵赖,专用通信设备、专有安全协议和加密验证机制及应用层数据提取和鉴别认证技术的综合应用,彻底阻断了网络间的直接TCP/IP连接,同时对网间通信的双方、内容、过程都施以严格的身份认证、内容过滤、安全审计等多种安全防护机制,从而保证了网间数据交换的安全、可控,有效屏蔽操作系统和网络协议自身漏洞。随着对网络安全隔离与信息交换技术的深入研究及其与防火墙,IDS,病毒检测等网络安全技术的有机结合,加强对协议数据的检查深度和广度,提高数据的处理速率,根据实际应用修改完善安全功能,必定能成为网络信息安全更可靠的安全屏障。
参考文献:
[1]黄元飞,陈晓桦.国家标准GB/T 18336 介绍(一)[J].信息安全与通信保密,2001(6):71-72.
[2]卢开澄,计算机密码学——计算机网络中的数据保密与安全[M].2版.北京:清华大学出版社,2006.
[3]李颖.信息的隔离与交换技术初探[J].计算机安全,2002(12):43.
[4]孔斌,杜虹,马朝斌.安全隔离与信息交换技术发展及应用[J].计算机安全,2003(29):39-42.
[5]王育民,刘建伟.通信网的安全——理论与技术[M].西安:西安电子科技大学出版社,2006.