谈网络安全保密技术

摘要： 随着信息时代的来临，交流和信息共享的数字化已逐渐融入人们的工作和日常生活。但人们不得不在享受网络带来便利的同时，深切关注网络体系结构和网络技术本身所带来的信息安全问题。其中，计算机网络泄密已成为现代信息化条件下的一个重要隐患。因此，提高网络安全意识，了解网络安全防护的基本技术知识，对于各级单位做好网络安全，杜绝网络泄密事件的发生具有极其重要的意义。本文就分别从内网和外网的角度进行介绍。

Abstract： With the advent of the information age， digital communication and information sharing has gradually integrated into the people's work and daily life. While people enjoy the network， they have to concern the information security problem that network system structure and network technology bring. The computer network leakage of a secret has become an important hidden trouble under modern information condition. Therefore， improving network security consciousness， understanding the basic network security protection technology knowledge is significant to units at all levels for ensuring the network security and puts an end to the leakage of a secret. This paper respectively introduced from the point of view of the intranet and out net.

关键词： 网络；安全；内网；外网；技术

Key words： network；security；intranet；out net；technology

中图分类号：TP393 文献标识码：A 文章编号：1006-4311（2012）30-0217-02

0 引言

计算机网络泄密已成为现代信息化条件下的一个重要隐患。因此，提高网络安全意识，了解网络安全防护的基本技术知识，对于各级单位做好网络安全，杜绝网络泄密事件的发生具有极其重要的意义。

1 内网安全保密技术

内网安全，就是内部局域网的信息防泄密和终端安全管理。很多的单位军工单位对信息防泄密的需求都是相当高的，他们为了防止内部机密信息的泄露，为了有效地避免由于泄密而带来的巨大损失，都在急切地寻找一个能够帮助他们很好的保证这些信息不被泄密出去的有力工具。随着社会的不断发展，信息化程度越来越高，各企事业单位和部门对网络和终端的依赖性很强。对于那些终端数量多、管理人员少的，就会力不从心疲于应付，常常会出现管理不得力的情况，这样对于整个单位和部门的正常工作都是很不利的，所以很需要一个能够帮助他们来统一管理单位和部门内部局域网的终端。

1.1 内网的泄密途径 大多数安全事件的发生不是主要由外部攻击造成的，而是由内部原因造成的。内网的主要泄密途径包括以下几个方面：通过内网网络交换设备或者直连网线非法接入内网或者计算机终端，获取数据。利用局域网中的某一台主机，通过网络攻击或欺骗的手段，非法取得其他主机甚至是某台网络服务器的重要数据。内部员工将只允许在局域网内部使用的数据，通过磁盘复制、打印、非法拨号外联等手段泄漏到单位外部。内部人员窃取管理员用户名和密码，非法进入单位重要的业务和应用服务器获取内部重要数据。

1.2 网络安全管理技术 随着网络应用和规模的不断增加，网络管理工作越来越繁重，网络故障也频频出现：不了解网络运行状况，系统出现瓶颈；当系统出现故障后，不能及时发现、诊断；网络设备众多，配置管理非常复杂。因而，加强网络管理，以优化现有网络性能，保障网络安全是十分必要的。要加强对工作人员合法使用计算机的控制，要做好接入控制、用户集中管理、服务器资源授权和用户身份认证管理；能对服务器等重要站点实施强有力的保护措施，包括能隔离网络区域，能进行分级分域管理。必须做好网络监控和防泄密，对于泄密，必须做到能控制文件数据失窃、邮件泄密以及打印泄密，特别是打印泄密。

1.3 安全评估技术 当前，网络安全已经不再是早期的一种或几种安全产品的堆砌所能解决的问题，而是一个动态的复杂过程，它贯穿于网络信息系统的整个生命周期。这一过程的首要环节就是安全评估。对信息系统和信息技术进行科学、客观、有效的安全评估是解决信息安全问题、保障信息安全的一个重要途径，是确保信息资源安全的有效手段之一，是加强信息安全保障体系建设和管理的关键环节。通过开展信息安全评估工作，可以发现信息安全存在的主要问题和矛盾，找到解决诸多关键问题的办法。

按照信息安全评估的内容和目的，安全评估包括脆弱性评估、威胁评估、安全防护等级评估、网络攻击效能评估、信息对抗效能评估和信息安全风险管理。其中，“风险”概念揭示了信息系统安全的本质，它不但指明了信息安全问题的根源，也指出了信息安全解决方案的实质，即把残余风险控制在可接受的水平上。国外许多专家认为，信息安全风险管理是信息安全的基础工作和核心任务之一，是最有效的一种措施，是保证信息安全投资回报率优化的科学方法。因此，信息安全风险管理体现了信息安全的本质，是信息安全评估的核心。

1.4 安全审计技术 安全审计，是指对计算机系统安全方案中的功能提供持续的评估。安全审计系统，是指对信息网络中任一或所有安全相关事件进行记录、分析和再现的处理系统。它通过对一些重要的事件进行记录，从而在系统发现错误或受到攻击时能定位错误，并找到被攻击的原因。因而，安全审计是事故后调查取证的基础，当然也是对计算机系统保密的信心保证。安全审计的主要功能如下：记录关键事件，关于安全事件的界定由安全官员决定。对潜在的攻击者进行威慑或警告。为系统安全管理员提供有价值的系统使用日志，帮助系统管理员及时发现入侵行为和系统漏洞，使安全管理人员可以知道如何对系统安全进行加强和改进。为安全官员提供一组可供分析的管理数据，用于发现何处有违反安全方案的事件，并可根据实际情形调整安全策略。

2 外网安全保密技术

相对于内网安全的概念，传统意义上的网络安全更为人熟知和理解。事实上，传统的网络安全考虑的是防范外网对内网的攻击，即我们所说的外网安全。外网的安全模型假设内网都是安全可信的，则威胁都来自于网络外部，其途径主要通过内、外网的边界出口。所以，在外网的安全模型下，只要将网络边界处的安全控制措施做好，就可以确保整个网络的安全。

2.1 防火墙技术 由于TCP/IP协议是在可信环境下为网络互联而设计的开放性协议，在设计过程中就缺乏安全措施的考虑，而防火墙就是用来保护内部用户网络，防止黑客利用TCP/IP本身的内在安全弱点攻击网络设备和用户计算机。到今天，防火墙技术已经非常成熟，防火墙也已成为网络内外网之间互连的标准安全隔离设备。防火墙实质上是用来加强网络之间的访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。

防火墙通过有效、细致的访问控制规则来满足用户必要的通信和信息共享需求，屏蔽其他任何未经授权的网络访问，并能够监视网络运行状态。防火墙是一种综合性的技术，涉及计算机网络技术、密码技术、安全协议、安全操作系统等多方面的内容。防火墙的主要功能有：按照安全策略进行检查，并过滤进出网络的数据包；管理进出网络的访问行为；封堵被禁止的访问行为；记录通过防火墙的信息内容和活动；对网络攻击进行检测和告警等。

2.2 虚拟专网技术 虚拟专用网（简称VPN）是近年来随着互联网的发展而迅速发展起来的一种技术。它不是真的专用网络，但却能够实现专用网络的功能，利用公共通信网络实现安全的保密数据通信。其原理是：需要进行机密数据传输的两个端点均连接在公共通信网上，当需要进行机密数据传输时，通过端点上的VPN设备在公共网上建立一条虚拟的专用通信通道，并且所有数据均经过加密后再在网上传输，这样就保证了机密数据的安全传输。通过VPN，授权的业务伙伴就可以在授权范围内使用单位内部的数据，实现数据的安全交换。虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用互联网公众数据网络的长途数据线路。专用网络，是指用户可以为自己制定一个最符合自己需求的网络。

实现VPN最关键的部分是在公网上建立虚信道，而建立虚信道是利用隧道技术实现的。隧道是利用一种协议传输另外一种协议的技术，主要利用隧道协议来实现VPN功能。隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据（或负载）可以是不同协议的数据帧或包。隧道协议将这些其他协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。IP隧道的实现机制主要涉及两个方面，其一是第二层与第三层隧道的问题。

2.3 入侵检测技术 入侵检测技术的研究涉及到计算机、数据库、通信、网络等多方面的知识。一个有效的入侵检测系统，不仅能够正确地识别系统中的入侵行为，而且还要考虑到系统本身的安全以及如何适应网络环境发展的需要。所有这些都表明，入侵检测系统将是一个复杂的数据处理系统，所涉及到的问题域中的各种关系也比较复杂。按照传统的分类，入侵检测的分析方法主要由误用检测和异常检测组成。

2.4 网络隔离技术 面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求，全新安全防护防范理念的网络安全技术——网络隔离技术应运而生。网络隔离技术是在原有安全技术的基础上发展起来的，它弥补了原有安全技术的不足，突出了自身的优势。

2.5 匿名通信技术 匿名通信系统能隐藏网络通信实体的网络地址、实体间的通信关系等隐私信息，使其不被对手观测。在匿名通信系统中，假定网络内主机之间的通信具有机密性，即网络外的任何主机都不能观察到在网络内信息流的任何信息。同样，主机之间的通信也经过认证，即不存在欺骗行为，可通过链路级认证来保证。此外，还假定通信实体的具体物理位置信息在系统中保密，因为若能知道用户的物理位置，匿名通信也就失去了其意义。

2.6 网络安全扫描技术 基于网络的漏洞扫描，就是通过网络远程检测目标主机TCP/IP不同端口的服务，记录目标主机给予的回答。通过这种方法，可以搜集到很多目标主机的各种信息（如是否能用匿名登录，是否有可写的FTP目录，是否能用FEL-NET，HTIP是否是用root在运行）。

3 结语

计算机网络安全防护不同于传统意义下的信息保密，它是一个庞大的系统工程，不仅涉及技术人员对产品的采购、使用、维护和保养，也需要各级领导机关制定严密的管理制度和措施作保障。但是，这些管理性的保障措施都是以技术手段为基础的。

参考文献：

[1]王炽鸿.计算机辅助设计[M].北京：机械工业出版社，1998.

[2]丁剑洁.基于度量的软件维护过程管理的研究[D].西北大学，2006.

[3]朱穆超.试析计算机软件开发.高等教育研究.

[4]师以贺.计算机开发与应用[J].科技创新导报，2009，（36）.