信息中心
特種計算機在網絡安全應用解決方案
[前言]
隨著計算機網絡的發展,其開放性,共享性,互連程度擴大,網絡的重要性和對社會的影響也越來越大。寬帶網作為企業主要的數據業務承載網絡,特別是電子商務(E-Commerce)、企業數據專線、網絡互聯、Internet接入服務等應用在社會經濟生活的地位日益凸現。網絡的安全性直接影響到社會的經濟效益。例如,2003年1月份的SQL殺手蠕蟲事件,中國有兩萬多臺數據庫服務器受到影響,使國內眾多企業網絡全部處于癱瘓或半癱瘓狀態;2003年8月份的沖擊波蠕蟲,使成千上萬的用戶計算機變慢,被感染的計算機反復重啟,有的還導致了系統崩潰,受到“沖擊波”病毒感染的計算機反過來又會影響到網絡的正常運行。
隨著網絡安全問題重要性增加,如何設計一個穩定、可靠、安全和經濟的企業網,應對日益增多的網絡攻擊、病毒破壞和黑客入侵等問題已成為企業網絡建設和運營所關注的重點。本文從網絡互連七層協議、城域網的分層和網絡安全管理體系三個方面來闡述寬帶網絡的安全性。
[網絡安全服務層次模型]
國際標準化組織ISO在開放系統互連標準中定義了七個層次的網絡互連參考模型,它們分別是物理層、數據鏈路層、網絡層、傳輸層、會話層、表示層和應用層。不同的網絡層次有不同的功能,例如鏈路層負責建立點到點通信,網絡層負責路由,傳輸層負責建立端到端的進程通信信道。相應地,在各層需要提供不同的安全機制和安全服務。
在物理層要保證通信線路的可靠,不易被竊聽。在鏈路層可以采用加密技術,保證通信的安全。在Internet、Intranet環境中,地域分布很廣,物理層的安全難以保證,鏈路層的加密技術也不完全適用。
在網絡層,可以采用傳統的防火墻技術,如TCP/IP 網絡中。采用IP過濾功能的路由器,以控制信息在內外網絡邊界的流動。還可使用IP加密傳輸信道技術IP SEC,在兩個網絡結點間建立透明的安全加密信道。這種技術對應用透明,提供主機對主機的安全服務。適用于在公共通信設施上建立虛擬的專用網。這種方法需要建立標準密鑰管理,目前在產品兼容性和性能上尚存在較多問題。
在傳輸層可以實現進程到進程的安全通信,如現在流行的安全套接字層SSL技術,是在兩個通信結點間建立安全的TCP連接。這種技術實現了基于進程對進程的安全服務和加密傳輸信道,采用公鑰體系做身份認證;有高的安全強度。但這種技術對應用層不透明,需要證書授權中心,它本身不提供訪問控制。
針對專門的應用,在應用層實施安全機制,對特定的應用是有效的,如基于SMTP電子郵件的安全增強型郵件PEM提供了安全服務的電子郵件。又如用于Web的安全增強型超文本傳輸協議S-HTTP提供了文件級的安全服務機制。由于它是針對特定應用的,缺乏通用性,且須修改應用程序。
[企業寬帶網的層次安全模型]
企業寬帶網的安全風險主要在于設備遭受攻擊或病毒引發的網絡流量突然增大對設備性能的沖擊,與業務相關的數據庫服務器受到病毒的攻擊,影響業務的正常運行,安全建設應更多地采用技術來保證網絡和設備安全,并以用戶管理作為輔助手段。
安全模型將企業寬帶網分成三個區域:信任域、非信任域和隔離區域(非軍事區)。信任域是企業內部的基礎網絡,通常采用防火墻等設備與企業業務網隔離,包括企業內部的各個不同的域;隔離區域是信任域和非信任域之間進行數據交互的平臺,包括企業對外提供的各種業務平臺,如Web服務平臺、FTP服務器、用戶查詢平臺、Mail服務器等;非信任域是指企業之外的廣泛的互聯網絡,是企業不能完全控制的網絡。作為安全模型中的非信任域,需要重點考慮。
文章作者:國脈電子政務網
集成系統網絡情報信息數據庫
CIO頻道人物視窗
CIO頻道方案案例庫
大數據建設方案案例庫
電子政務建設方案案例庫
互聯集成系統構建方案案例庫
商務智能建設方案案例庫
系統集成類軟件信息研發企業名錄