《广东省水利厅计算机网络安全浅析.》由会员分享,可在线阅读,更多相关《广东省水利厅计算机网络安全浅析.(5页珍藏版)》请在金锄头文库上搜索。
1、广东省水利厅计算机网络安全浅析Security Solution of Computer Network inWater Resources Department of GuangDong Province朱识 孙书 黄奕华ZHU Shi SUN Shu HUANG Yihua(广东省水利水电信息中心 2002年)摘要 在信息化建设的过程中,网络安全显示出越来越重要的地位。本文针对广东省水利厅计算机网络内外网的物理隔离、内部网络与外部网络的隔离、网络病毒防治等安全问题进行初步的探讨。关键词 计算机网络安全前言随着信息化技术的发展,特别是计算机网络技术的飞速发展,越来越多的政府机关、企业、学校都
2、建立起了自己的计算机网络系统。广东省水利厅机关大楼于1994年初步建立起了计算机网络,为了适应新的网络应用的需要,在1999年底进行了第一期的网络改造升级,开发了广东省水利厅办公自动化系统,并通过租用电信的DDN专线与公众互联网连接。根据今年广东省政务信息化工作的要求,省水利厅机关的内网要与政府专网连接,外网通过政府外网接入服务平台与公众互联网连接,内外网实现物理隔离。通过建立计算机网络系统和开发网络应用软件,我们的工作效率得到了很大的提高,计算机网络令我们受益匪浅,对计算机网络的依赖性也越来越强,但与此同时,我们也正受到日益严重的来自网络的安全威胁,诸如数据窃贼、黑客侵袭、病毒骚扰,甚至系统
3、内部的泄密者,计算机网络安全越来越显示出它的重要性。广东省水利厅作为政府机关,网络的安全性显得尤为重要,保证网络的安全是网络建设和管理中一个非常重要的内容。下面笔者就广东省水利厅计算机网络的安全问题进行一些探讨。1、 内网和外网的物理隔离。 内网是跟政府专网连接的涉密网,外网是跟公众互联网连接的非涉密网。由于现在网络安全技术的局限性,尽管我们正在广泛地使用各种复杂的软件技术,如防火墙、代理服务器、侵袭探测器、通道控制机制等等,但是这些技术都是基于软件的保护,是一种逻辑机制,这对于逻辑实体(即黑客或内部用户)而言是可能被操纵的,这些在线分析技术无法提供政府的高度数据安全要求。根据国家保密局200
4、0年1月1日起颁布实施的计算机信息系统国际联网保密管理规定第二章保密制度第六条的规定,“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相连接,必须实行物理隔离”。为了确保政府信息的安全,所以内网和外网必须物理隔离。 现在网络隔离技术主要有三种:(1) 双主机。每人配备两台主机,也就是主机所有的配件包括处理器、主板、硬盘、内存等都是两套,通过转换器共用显示器。上外网用外网主机,上内网用内网主机,内、外网可以得到彻底的物理隔离。这种技术最简单,使用方便,安全性最好,但费用最高,差不多是两台计算机的价格。(2) 单主板安全隔离计算机。其核心技术是双硬盘技术,将内外网络转
5、换功能做入BIOS中,并将插槽也分为内网和外网,使用方便,价格界乎于双主机和隔离卡之间。 单主板安全隔离计算机是采用彻底实现内外网物理隔离的个人电脑,这种安全电脑的成本仅仅增加了25%左右,并且由于这种安全电脑是在较低层的BIOS上开发的,处理器、主板、外设的升级不会给电脑带来什么“不兼容”的影响。它很好地解决了接入网络后局域网络信息安全、系统安全、操作安全和环境安全等问题,彻底实现了网络物理隔离。 实现了单主板隔离的安全计算机在传统PC主板结构上形成了两个物理隔离的网络终端接入环境,分别对应于公众互联网和内部局域网,保证局域网信息不会被互联网上的黑客和病毒破坏。主板BIOS控制由网卡和硬盘构
6、成的网络接入和信息存储环境各自独立,并只能在相应的网络环境下工作,不可能在一种网络环境下使用另一环境才使用的设备。BIOS还提供对软驱、光驱、并行接口、串行接口、USB接口、MIDI接口等涉及信息发送和输出设备的控制。(3) 隔离卡技术。其核心技术是双硬盘技术,启动外网时关闭内网硬盘,启动内网时关闭外网硬盘,使两个网络和硬盘物理隔离,其优点是价格低,但使用稍麻烦,因为转换内外网要关机和重新开机。 网络安全隔离卡的功能是以物理方式将一台PC虚拟为两部电脑,实现工作站的双重状态,既可在安全状态,又可在公共状态,两种状态是完全隔离的,从而使一部工作站可在完全安全状态下连接内外网。 网络安全隔离卡实际
7、是被设置在PC中最低的物理层上,通过卡上一边的IDE总线连接主板,另一边连接IDE硬盘,内、外网的连接均须通过网络安全隔离卡,PC机硬盘被物理分隔成为两个区域,在IDE总线物理层上,在固件中控制磁盘通道,在任何时候,数据只能通往一个分区。 在安全状态时,主机只能使用硬盘的安全区与内部网连接,而此时公众互联网连接是断开的,且硬盘的公共区的通道是封闭的;在公共状态时,主机只能使用硬盘的公共区与公众互联网连接,而此时与内部网是断开的,且硬盘安全区也是被封闭的。 当两种状态转换时,是通过鼠标点击操作系统上的切换键,即进入一个热启动过程。切换时,系统通过硬件重启信号重新启动,这样,PC内存的所有数据就被
8、消除,两个状态分别是有独立的操作系统,并独立导入,两种硬盘分区不会同时激活。 为了保证安全,两个分区不能直接交换数据,但是用户可以通过一个独特的设计,来安全方便地实现数据交换,即在两个分区以外,网络安全隔离在硬盘上另外设置了一个功能区,该功能区在PC处于不同的状态下转换,各个分区可以通过功能区作为一个过渡区来交换数据。 通过对以上三种物理隔离技术的详细分析,双主机技术由于价格过贵不宜采用,后两种技术已能保证物理隔离且价格较低,所以广东省水利厅计算机网络内网和外网的物理隔离拟采用单主板安全隔离计算机技术或隔离卡技术。2、 内网与政府专网、外网与互联网的隔离 广东省水利厅内部局域网包括内网和外网,
9、被认为是安全的和可信赖的,而外部网络包括与内网连接的政府专网和与外网连接的互联网被认为是不安全的和不可信赖的。我们希望的是内部网络能够访问外部网络,而非授权的外部网络用户不能进入内部网络。因此,内部网络和外部网络应该严格地隔离。 在技术上,实现隔离的方式有很多,但主要的技术是防火墙。防火墙是指建立在内外网络边界上的过滤封锁机制。防火墙的作用是:防止不希望的、未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全。 防火墙技术可以分为IP过滤、线路过滤和应用代理等三大类型,目前越来越多的防火墙技术混合使用这些技术,以获得最大的安全性和系统性能。防火墙系统通常由过滤路由器和代理服务器组
10、成。过滤路由器是一个多端口的IP路由器,它通过对每一个到来的IP包依据一组规则进行检查来判断是否对之进行转发。过滤路由器根据从包头取得的信息,例如协议号、收发报文号的IP地址和端口号、连接标志以及另外一些IP选项,对IP包进行过滤。 代理服务器是防火墙系统中的服务器进程,它能够代替网络用户完成特定的TCP/IP应用。代理服务器本质上是应用层网关,是为特定网络应用而连接两个网络的网关。用户就一项TCP/IP应用同代理服务器打交道,代理服务器要求用户提供其要访问的远程主机,当用户答复并提供了正确的用户身份及认证信息后,代理服务器连通远程主机,为两个通信点充当中继,整个过程对用户完全透明。用户提供的
11、用户身份认证及认证信息可用于用户级的认证,最简单的情况是它只由用户标识和口令组成。 广东省水利厅内部网络和外部网络应用防火墙进行隔离。通过调研和分析确定网络的安全策略,即确定什么类型的信息允许通过防火墙,什么类型的信息不允许通过防火墙。防火墙的职责就是根据确定的安全策略,对外部网络和内部网络之间交流的数据进行检查,符合的给以放行,不符合的拒之门外。然后,在防火墙上进行相应的安全设置,包括用户的帐号和密码等,做到用户级的访问控制,以保证内部网络的信息安全。3、 计算机网络病毒防治 随着信息技术的日益发展,病毒技术也在不断发展提高,现在的病毒大多是通过计算机网络传播的,这样它传播速度越来越快,造成
12、的危害也越来越大,几乎到了令人防不胜防的地步。在局域网内一旦其中某台机器感染了病毒,那么病毒的感染和破坏将由此遍及整个网络。近一年来,红色代码、蓝色代码、尼姆达、求职信接连不断地向电脑用户发起了强有力的进攻,在此期间,广东省水利厅机关的计算机也曾受到尼姆达病毒大面积的感染,并造成一定的损失。因此,对病毒的防治成为了计算机网络安全的一个重要内容。广东省水利厅计算机网络拟通过以下措施来防治病毒。设置防病毒网关,防止来自网络上的病毒。公众互联网已成为病毒传播的主要途径,只要你在使用电子邮件,或从互联网上下载软件,很少人没有遭遇来自互联网上的计算机病毒。尤其是使用微软公司的Outlook电子邮件软件,
13、它几乎是病毒的温床。从CIH病毒到“欢乐时光”到“红色代码”、“ 尼姆达”,几乎全是通过微软的Outlook传播的。目前互联网上存在的病毒超过5万多种。在水利厅计算机网络和互联网的连接处,放置防病毒的网关,尽可能将病毒拦截在内部网络之外,而不是感染每一台计算机后再杀病毒。如果出现新病毒,只需要更新防病毒网关,而不用更新每一个终端的客户软件。 通过网络版杀毒软件查杀局域网内的病毒。传统的病毒检测和杀病毒是在客户端单机完成的。但是这种方式存在一个致命的缺点,如果某台计算机发现病毒,由于不能保证所有的计算机都装上防病毒软件,这样几乎所有的计算机都存在感染病毒的可能性。如果病毒是新的,旧的杀病毒软件一
14、般不能检测和清除新的未知病毒。使用网络版的杀病毒软件,在每台单机上安装客户端软件,这样每台单机就可以同时从服务器端得到软件和病毒码的更新,这样每台单机都可以同样的最好的保护,并且管理起来更方便。4、 其他安全技术的应用 身份验证。身份验证是一致性验证的一种, 验证是建立一致性证明的一种手段。身份验证主要包括验证依据、验证系统和安全要求。身份验证技术是在计算机中最早应用的安全技术,现在也仍在广泛应用,它是网络信息安全的第一道屏障。广东省水利厅办公自动化系统及各种应用软件和所有的操作系统都是使用了身份验证技术,通过授权用户使计算机安全得到最基本的保证。 存取控制。存取控制规定何种主体对何种客体具有
15、何种操作权力。存取控制是网络安全理论的重要方面, 主要包括人员限制、数据标识、权限控制、类型控制和风险分析。存取控制也是最早采用的安全技术之一,它一般与身份验证技术一起使用,赋予不同身份的用户以不同的操作权限,以实现不同安全级别的信息分级管理。和身份验证技术一样各种应用软件和操作系统几乎都应用了存取控制技术。 划分VLAN。VLAN就是不考虑用户的物理位置而根据功能、应用等因素将用户逻辑上划分为一个个功能相对独立的工作组,每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个VLAN。同一个VLAN中的成员都共享广播,而不同VLAN之间广播信息是相互隔离的。在局域网内对信息安全比较敏感的
16、处室划分单独的VLAN,这样就可以保证各处室的信息安全。5、 结束语 以上都是广东省水利厅计算机网络已经应用或规划要应用的计算机安全技术,通过应用这些安全技术,可以使广东省水利厅计算机网络得到确实有效的安全防护。但是网络安全是一个系统工程,不是应用了先进的技术就可以完全解决的,制定详尽的网络管理规章,对工作人员进行网络安全宣传教育,也是网络安全的一个非常重要的内容。据统计,80% 以上网络安全事故都是由单位内部人员造成的。通过对工作人员的安全教育,使他们认识到网络安全的重要性,在工作中时时注意防范信息安全。制定完善的管理规章制度,规范大家的上网行为,做到有章可循。总之,应用了先进的计算机安全技术和有了完善的管理规章制度,广东省水利厅计算机网络安全一定能得到保证。作者简介:第一作者: 朱识,男,1975
