专用网安全技术分析
2011-08-15河南省科学技术信息研究院
河南省科学技术信息研究院 徐 栋
专用网安全技术分析
河南省科学技术信息研究院 徐 栋
专用网(PrivateNetwork)指某个部门为满足本单位特殊业务工作的需要而建造的网络。伴随着计算机网络与信息技术的飞速发展,社会信息化程度也越来越高,军队、银行、铁路、电力等部门均建立了本系统的专用网。近几年不断出现的网络安全事故表明,网络攻击行为已经由因特网蔓延到了专用网,而且专用网上的安全事故造成的危害和损失更大。因此,本文,笔者在深入分析专用网安全现状及安全需求的基础上,提出了相应的安全策略,并引入了对应的安全技术。
一、专用网与因特网安全需求的不同
1.开放程度不同。因特网的开放性使得任何人都可以成为攻击者或被攻击者,因此,网络安全难以控制。而专用网受接入人员和接入地点的限制,且与因特网物理隔离,安全策略的部署和实施与因特网相比较为简单。
2.网络结构不同。因特网的主要目的是实现开放性互联及多样性服务,为满足以上需求而引入的网络设备安全性不高。而专用网网络结构相对固定且业务专一,在引入网络设备和相关技术时应在满足业务需要的同时兼顾安全需求。
3.安全威胁不同。因特网上最大的安全威胁来自于窃取主机控制权。而专用网上最大的安全威胁来自于越权访问和信息的泄露。
二、专用网安全需求分析
解决专用网安全问题需要考虑专用网自身的建设与发展过程。以银行网络为例,在建设之初,由于网络安全问题并不突出,安全需求也不明确,设计主要是为了解决互联互通的问题,在安全设计上比较薄弱。近年来,网络安全问题日益严峻,银行也逐渐加大了在安全上的投入,配置了如防火墙和入侵检测系统等多种安全设备,但由于缺乏顶层规划,各种网络安全设备的部署并没有发挥出最佳效能。因此,应从总体上考虑专用网的安全问题,制定有效的专用网安全策略用于指导各种设备的部署与配置,并且引入先进的安全技术来增强专用网的安全性能。
三、专用网安全策略
1.建立基于业务流的安全模型。专用网的特点决定了专用网上的业务关系。为了增强专用网的安全,可对专用网上不同业务机关之间存在的横向信息流和纵向信息流进行细致的区分,并且根据不同业务机关不同的安全需求制定各信息流的安全策略,建立基于业务流的安全模型。同时,要严格控制除业务关系之外的信息流动。
2.基于最大隔离准则的设备配置方案。在建立了基于业务流的安全模型的基础上,为了防范专用网上的越权访问、网络监听等引起的信息泄露,在部署与配置专用网网络设备及安全设备时,采用基于最大隔离准则的设备配置方案。最大隔离准则的目的是实现专用网中信息节点逻辑上的隔离,尽量避免不必要的网络连通。
3.建立应急响应体系及安全管理制度。为了快速、有效地解决专用网上发生的恶意攻击、网络病毒发作、网络蠕虫传播等安全事件,在制定专用网安全策略时,还必须制定严格的安全管理制度,建立应急响应体系。通过安全管理制度及应急响应体系,可以提高专用网内人员的安全意识,增强专用网内紧急安全事件协同处理的能力,从而快速发现、抑制和解除网络入侵,并将其危害降至最低。
四、专用网应引入的安全技术
1.VLAN技术。VLAN又称为虚拟局域网,1999年IEEE颁布了用标准化VLAN实现方案的IEEE802.1Q协议标准草案。它是一种根据功能、应用等因素将局域网内的设备逻辑地址划分成一个个网段从而实现功能相对独立的虚拟工作组技术。在划分了VLAN后,由于各个VLAN之间不能直接进行数据通信,必须通过路由器来转发VLAN之间的数据,如果VLAN之间没有路由器,那么VLAN就是与外界其他设备相隔离的,相当于一个独立的局域网,安全性可以得到很大程度地提高。VLAN技术需要网络设备的支持,配置了三层交换机的专用网可以按照基于业务流的安全模型对本级局域网进行VLAN划分,从而保证不同业务流间的相互隔离,防范网络监听手段的入侵。
2.VPN技术。VPN又称为虚拟专用网,是对通过共享公用网络(如Internet)并使用封装、加密和身份认证等技术进行内部网络的扩展。之所以提出该技术的是为了方便在公用网络基础设施之上建立专用网络。在专用网中对路由器、防火墙等设备进行配置,采用VPN技术将不同节点间有业务关系的计算机进行互连,可以实现专用网中的虚拟网。由于VPN提供了对VPN2端的身份认证和访问控制以及对传输数据的信息加密和信息认证,因此,能够有效地防范截断攻击和窃听攻击。而且良好的VPN应用可在不同层次实现不同的VPN隧道协议,从而对数据进行保护。
3.HoneyPot和HoneyNet技术。近年来,一种新的主动防御型安全技术——蜜罐技术成为研究的热点,它可以有效地欺骗网络攻击者从而达到保护网络的目的。后来又出现了Honeynet(蜜网),它将单个的蜜罐连成网络,是具有高交互性能的蜜罐。采用应用型蜜罐并将其放置在在专用网中,与其他安全设备及安全技术共同保护专用网,可以有效增强专用网的安全性,蜜罐所起的作用是其他安全设备或安全技术所无法替代的,蜜罐技术会欺骗攻击者将攻击方向转向自己,从而拖延或使攻击者放弃对真实网络环境的攻击。
