学文网【摘 要】计算机网络发展至今,网络安全方面的问题日益突出,面对层出不穷的网络攻击和网络用户对安全级别的特殊要求,全新的安全防护防范理念的网络安全技术“网络隔离技术”应运而生。网络安全隔离的目标是确保隔离有害的攻击,在可信网络之外和保证可信网络内部信息不外泄的前提下,完成网间数据的安全交换。网络隔离技术是在原有网络安全技术的基础上发展起来的,它弥补了原有安全技术的不足,突出了自己的优势。
【关键词】计算机;网络;安全;隔离
随着网络技术的不断发展和Internet的普及,人们的生活和企业的生产等社会活动都和网络存在密不可分的关系,Internet是一个面向大众开放的平台,它正以惊人的速度改变着人们的生活方式和工作效率,TCP/IP协议簇对于计算机网络信息的保密和系统的安全性考虑得并不完善,这些缺陷可能导致非授权访问、商业信息泄露、资源耗尽、数据篡改等破坏。所以,网络安全问题已成为网络中至关重要的一个环节,无论是国家还是企事业单位,都不惜投入大量的人力、物力和财力来提高网络的安全性。任何形式的互联网服务都会导致安全方面的风险,用户只能通过各种技术手段把风险降到最低程度。目前对于计算机网络应用的安全措施有数据加密、数字签名、身份认证、网关隔离、防火墙和入侵检测等。
一、划分子网隔离
在工程实践中,子网划分是进行网络隔离的常用方法,但进行子网划分不仅仅是为了网络隔离,可能是为了减轻系统的拥挤状况、方便使用多种媒体介质、方便查找网络错误,或者限制广播信息传播范围等。例如,网络上的两个节点进行通信时占用了整个网络系统的带宽,当增加节点时就需要补充新的带宽。如果将通信活动比较频繁的节点分放在各自的子网中,就可减少一个网络上通信节点的数目,使得各节点在较小的网络内部相互通信,从而减轻系统的拥挤程度。
二、逻辑隔离
1.防火墙。Internet中的攻击可能来自任何地方,对于一组相互信任的主机,其安全程度由最弱的一台主机决定,一定某台主机被攻击进入,其他主机也会受到影响。出于对以上问题的考虑,因当把企业或校园网络从开放的、无边界的网络中隔离出来,形成可以控制、管理、安全的内部网络。只有这样,才能保证网络的可用性和安全性,防火墙就是网络安全隔离的重要手段。它作为网络安全的第一道门,可以实现内部网络与外部不信任网络或内部不同安全区域的隔离防护访问,有效地阻止了网络中的外部攻击。
在网络中应用防火墙应满足以下几个条件:
・内部网络和外部网络之间传递的所有数据必须都经过防火墙。
・安全策略设置为只有合法的数据才可以通过。
・防火墙应具有渗透免***等高安全可靠性。
2.多重安全网关。防火墙是在“桥”上架设的一道关卡,只能做到类似“护照”的检查;多重安全网关的方法就是架设多道关卡,有检查行李的、有检查人的。多重安全网关也称为UTM(统一威胁管理),实现从网络层到应用层的全面检查。多重安全网关提供了完全性安全保护。这种技术对OSI七层模型中描述的所有层次的内容进行处理,其有效性超过了状态检测技术以及深度包检测技术,具备在干兆网络环境中,实时将网络层数据负载重组为应用层对象的能力,而且重组之后的应用层对象可以通过动态更新病毒和蠕虫特征来进行扫描和分析。多重安全网关还可探测其他各种威胁,包括不良Web内容、垃圾邮件、间谍软件和网络钓鱼欺骗。多重安全网关通常需要应用ASIC技术来获得性能保证。与防火墙比较,多重安全网关也是采用“架桥”的策略,主要是采用安全检查的方式,不更改应用协议,所以速度快,流量大,从客户应用上来看则没有不同。
3.交换网络。交换网络的模型主要是通过业务与双人审计的思路保护数据的完整性。交换网络是在两个隔离的网络之间建立一个网络交换区域,负责数据的交换。交换网络的两端可以采用多重网关,也可以采用网闸。在交换网络内部采用监控、审计等安全技术。
三、物理隔离
物理隔离的数据传输机制是存储和转发。网络隔离则是在物理隔离的基础上,综合利用过滤、认证、日志等技术和专用硬件,保证两个网络在链路层断开的前提下实现数据安全传输和资源共享,实现一个综合的安全平台。
1.已有物理隔离与数据自动交换技术。物理隔离一般是指通过网络与网络分离来实现的网络隔离,它是网络隔离的一种形式,其目的是禁止网络之间的资源共享,防止一个网络的信息泄露到另一个网络上去。物理隔离就是必须严格从网络的物理层起就与其他系统彻底隔离开来。当然,能够实现基于第一层的物理隔离是再安全不过了,但是如果没有数据交换,就难以达到应用的效果和目的。
2.网闸和GAP技术。网络物理隔离的一个特征,就是内网与外网永不连接。内部主机和外部主杌在同一时间最多只有一个同固态存储介质建立非TCP/IP协议的数据连接。网络隔离的好处是明显的,即使外网在最坏的情况下,内网也不会有任何破坏,修复外网系统也非常容易。以上这种基于两个单边主机(内部主机和外部主机)之间数据交换的网络隔离技术,被称作网闸。网闸是很多安全网络隔离的选择,但网闸业务的方式不同,协议隔离的概念不断变化,所以在选择网闸时要注意网闸的具体实现方式。
针对目前网络安全威胁及网络信息安全技术现状,提出网络安全隔离与信息交换技术安全功能的设计,对网络安全隔离与信息交换技术实现网络间可靠安全隔离,同时保障信息可靠交换,从而提升内部网络安全级别具有重要的意义。
【参考文献】
[1]华建祥.企业网络安全隔离技术分析研究[J].武夷学院学报,2011(5).
[2]崔国庆.计算机网络安全技术与防护的研究[J].电脑知识与技术,2009(26).
[3]周全,荣东明,何远.网络隔离与企业信息安全[J].硅谷,2009(21).