專用網(wǎng)安全技術分析

河南省科學技術信息研究院 徐 棟

專用網(wǎng)安全技術分析

河南省科學技術信息研究院 徐 棟

專用網(wǎng)（PrivateNetwork）指某個部門為滿足本單位特殊業(yè)務工作的需要而建造的網(wǎng)絡。伴隨著計算機網(wǎng)絡與信息技術的飛速發(fā)展，社會信息化程度也越來越高，軍隊、銀行、鐵路、電力等部門均建立了本系統(tǒng)的專用網(wǎng)。近幾年不斷出現(xiàn)的網(wǎng)絡安全事故表明，網(wǎng)絡攻擊行為已經(jīng)由因特網(wǎng)蔓延到了專用網(wǎng)，而且專用網(wǎng)上的安全事故造成的危害和損失更大。因此，本文，筆者在深入分析專用網(wǎng)安全現(xiàn)狀及安全需求的基礎上，提出了相應的安全策略，并引入了對應的安全技術。

一、專用網(wǎng)與因特網(wǎng)安全需求的不同

1.開放程度不同。因特網(wǎng)的開放性使得任何人都可以成為攻擊者或被攻擊者，因此，網(wǎng)絡安全難以控制。而專用網(wǎng)受接入人員和接入地點的限制，且與因特網(wǎng)物理隔離，安全策略的部署和實施與因特網(wǎng)相比較為簡單。

2.網(wǎng)絡結構不同。因特網(wǎng)的主要目的是實現(xiàn)開放性互聯(lián)及多樣性服務，為滿足以上需求而引入的網(wǎng)絡設備安全性不高。而專用網(wǎng)網(wǎng)絡結構相對固定且業(yè)務專一，在引入網(wǎng)絡設備和相關技術時應在滿足業(yè)務需要的同時兼顧安全需求。

3.安全威脅不同。因特網(wǎng)上最大的安全威脅來自于竊取主機控制權。而專用網(wǎng)上最大的安全威脅來自于越權訪問和信息的泄露。

二、專用網(wǎng)安全需求分析

解決專用網(wǎng)安全問題需要考慮專用網(wǎng)自身的建設與發(fā)展過程。以銀行網(wǎng)絡為例，在建設之初，由于網(wǎng)絡安全問題并不突出，安全需求也不明確，設計主要是為了解決互聯(lián)互通的問題，在安全設計上比較薄弱。近年來，網(wǎng)絡安全問題日益嚴峻，銀行也逐漸加大了在安全上的投入，配置了如防火墻和入侵檢測系統(tǒng)等多種安全設備，但由于缺乏頂層規(guī)劃，各種網(wǎng)絡安全設備的部署并沒有發(fā)揮出最佳效能。因此，應從總體上考慮專用網(wǎng)的安全問題，制定有效的專用網(wǎng)安全策略用于指導各種設備的部署與配置，并且引入先進的安全技術來增強專用網(wǎng)的安全性能。

三、專用網(wǎng)安全策略

1.建立基于業(yè)務流的安全模型。專用網(wǎng)的特點決定了專用網(wǎng)上的業(yè)務關系。為了增強專用網(wǎng)的安全，可對專用網(wǎng)上不同業(yè)務機關之間存在的橫向信息流和縱向信息流進行細致的區(qū)分，并且根據(jù)不同業(yè)務機關不同的安全需求制定各信息流的安全策略，建立基于業(yè)務流的安全模型。同時，要嚴格控制除業(yè)務關系之外的信息流動。

2.基于最大隔離準則的設備配置方案。在建立了基于業(yè)務流的安全模型的基礎上，為了防范專用網(wǎng)上的越權訪問、網(wǎng)絡監(jiān)聽等引起的信息泄露，在部署與配置專用網(wǎng)網(wǎng)絡設備及安全設備時，采用基于最大隔離準則的設備配置方案。最大隔離準則的目的是實現(xiàn)專用網(wǎng)中信息節(jié)點邏輯上的隔離，盡量避免不必要的網(wǎng)絡連通。

3.建立應急響應體系及安全管理制度。為了快速、有效地解決專用網(wǎng)上發(fā)生的惡意攻擊、網(wǎng)絡病毒發(fā)作、網(wǎng)絡蠕蟲傳播等安全事件，在制定專用網(wǎng)安全策略時，還必須制定嚴格的安全管理制度，建立應急響應體系。通過安全管理制度及應急響應體系，可以提高專用網(wǎng)內人員的安全意識，增強專用網(wǎng)內緊急安全事件協(xié)同處理的能力，從而快速發(fā)現(xiàn)、抑制和解除網(wǎng)絡入侵，并將其危害降至最低。

四、專用網(wǎng)應引入的安全技術

1.VLAN技術。VLAN又稱為虛擬局域網(wǎng)，1999年IEEE頒布了用標準化VLAN實現(xiàn)方案的IEEE802.1Q協(xié)議標準草案。它是一種根據(jù)功能、應用等因素將局域網(wǎng)內的設備邏輯地址劃分成一個個網(wǎng)段從而實現(xiàn)功能相對獨立的虛擬工作組技術。在劃分了VLAN后，由于各個VLAN之間不能直接進行數(shù)據(jù)通信，必須通過路由器來轉發(fā)VLAN之間的數(shù)據(jù)，如果VLAN之間沒有路由器，那么VLAN就是與外界其他設備相隔離的，相當于一個獨立的局域網(wǎng)，安全性可以得到很大程度地提高。VLAN技術需要網(wǎng)絡設備的支持，配置了三層交換機的專用網(wǎng)可以按照基于業(yè)務流的安全模型對本級局域網(wǎng)進行VLAN劃分，從而保證不同業(yè)務流間的相互隔離，防范網(wǎng)絡監(jiān)聽手段的入侵。

2.VPN技術。VPN又稱為虛擬專用網(wǎng)，是對通過共享公用網(wǎng)絡（如Internet）并使用封裝、加密和身份認證等技術進行內部網(wǎng)絡的擴展。之所以提出該技術的是為了方便在公用網(wǎng)絡基礎設施之上建立專用網(wǎng)絡。在專用網(wǎng)中對路由器、防火墻等設備進行配置，采用VPN技術將不同節(jié)點間有業(yè)務關系的計算機進行互連，可以實現(xiàn)專用網(wǎng)中的虛擬網(wǎng)。由于VPN提供了對VPN2端的身份認證和訪問控制以及對傳輸數(shù)據(jù)的信息加密和信息認證，因此，能夠有效地防范截斷攻擊和竊聽攻擊。而且良好的VPN應用可在不同層次實現(xiàn)不同的VPN隧道協(xié)議，從而對數(shù)據(jù)進行保護。

3.HoneyPot和HoneyNet技術。近年來，一種新的主動防御型安全技術——蜜罐技術成為研究的熱點，它可以有效地欺騙網(wǎng)絡攻擊者從而達到保護網(wǎng)絡的目的。后來又出現(xiàn)了Honeynet（蜜網(wǎng)），它將單個的蜜罐連成網(wǎng)絡，是具有高交互性能的蜜罐。采用應用型蜜罐并將其放置在在專用網(wǎng)中，與其他安全設備及安全技術共同保護專用網(wǎng)，可以有效增強專用網(wǎng)的安全性，蜜罐所起的作用是其他安全設備或安全技術所無法替代的，蜜罐技術會欺騙攻擊者將攻擊方向轉向自己，從而拖延或使攻擊者放棄對真實網(wǎng)絡環(huán)境的攻擊。