学 术 论 坛
分布式网络的信息安全
韩梅 安永梅
(邯郸职业技术学院 056001)
网络的国际化、社会化、开放化、个
人化诱发出无限的商机,然而,由于网络技
术本身的缺陷,使得网络社会的脆性大大增
加,一旦计算机网络受到攻击不能正常运作
时,整个社会就会陷入危机。所以,构筑
安全的网络信息环境,就成为了网络时代发
展到一定阶段而不可逾越的 “瓶颈”性问
题,愈来愈受到国际社会的高度关注。大型
分布式网络,其主要特征一是 “大”,二
是 “分布式”。所谓大是指网络规模、信
息总量、使用人员都具有相当的规模;所谓
分布式是指其下属机构在地理上是分散的,
但他们之间的业务关系又是紧密的。由于这
样的特点存在,分布式网络在网络建设和网
络应用上势必反映出与小型集中式的企业不
同,那么其安全需求和采用的信息安全技术
也不同。
以前那种信息孤岛的状态,而是让使用者在
确保安全的前提下,充分享受网络互联所带
来的一切优点。在物理隔离系统中会包含对
外网内容进行采集转播的系统,这样可以使
安全的信息迅捷地在内外网之间流转,完全
实现互联网互联互通的宗旨。
1物理层安全需求
物理层安全就是要求物理隔离。所谓物
理隔离,简单地说就是让存有用户重要数据
的内网和外部的互胖网不具有物理上的连
接,将用户涉密信息与非涉密的可以公布到
互联网上的信息隔离开来,让黑客无机可
乘。实施物理隔离的目的决不是让网络回到
2网络层安全器求
网络层风险
网络中心连通Internet之后,内部网络
可能遭受到来自Internet的不分国籍、不分
地域的恶意攻击;在Internet上广为传播的
网络病毒将通过Web访问、邮件、新闻组、
网络聊天以及下载软件、信息等传播,感染
内部网络的服务器、主机.更有一些黑客程
序也将通过这种方式进入内部网络,为黑
客、竟争对手获取企业数据创造条件;内部
网络的用户很多,很难保证没有用户会攻击
企业的服务器。事实上,权威数据表明,来
自于内部的攻击,其成功的可能性要远远大
于来自于Internet的攻击,而且内部攻击的
目标主要是获取国家机关的机密信息,其损
失要远远高于系统破坏。
网络层安全需求
基于以上风险,在网络方案中,网络层
安全主要解决内部网络互联时和在网络通讯
层安全问题,需要解决的问题有:内部网络
进出口控制 (即IP过涟)。内部网络和网络层
数据加密,安全检测和报警、防杀病毒。
重点在于内部网络本身内部的安全,如
果解决了分布网络环境中各个子网的安全,
那么分布网络互联的安全只需解决网络层以
及应用层的传输加密即可。
(1)网络进出口控制
需要对进人内部网络进行管理和控制。
在每个部门和单位的局域网也需要对进入本
局域网进行管理和控制。各网之间通过防火
墙或虚拟网段进行分割和访问权限的控制。
同样需要对内网到外网(Internet)进行管
理和控制。
要达到授权用户可以进出内部网络,防
止非授权用户进出内部网络这个基本目标。
(2)网络和网络层、应用层数据加密
对关键应用需要进行网络层、应用层数
据加密,特别是最核心的领导办公服务系统、
关键数据系统,需要有高强度的数据加密措
施。
(3)安全检测和报警、防杀病毒
安全检测是实时对公开网络和公开服务
器进行安全扫描和检测,及时发现不安全囚
(4)完善垄断行业企业内部工资分配制度
改革。
(5)加大对垄断行业收入的税收调节力
度。
(6)提高国家财政和调节收人分配的能力。
落实协调发展战略,加大对欠发达地区
的扶持与帮助
针对地区差异造成的贫富差距,需要以
下政策支持:
(1)全面落实促进区域协调发展的战略。
坚持西部大开发,振兴东北地区老工业基
地,促进中部地区崛起,鼓励东部地区加快
发展,形成东中西互动、优势互补、相互
促进、共同发展的新格局。
(2)国民收入分配适当向欠发达地区倾
斜。国家要在财政转移支付、投资项目、税
收政策等方面加大对欠发达地区的支持,逐
步建立长期稳定的欠发达地区开发资金渠
道。继续增加对中西部地区、贫困地区、革
命老区和少数民族地区的基础设施和公共服
务设施的投入。
(3)继续加大对欠发达地区的财政转移力
度。按照公共财政的要求,进一步完善财政
转移制度,增加一般性财政转移支付,加大
对欠发达地区的转移支付规模和力度。要进
一步完善财政转移支付制度,进一步加大中
央对中西部和民族地区的财政转移支付力
度,以增强基层财政实力。研究调整地区间
的某些收入政策,建议按照各地区的人均收
人水平作为地区之间公共服务政策调整的主
要客观依据,以兼顾个地区不同的经济发展
水平,实现个地区间的横向公平。
促进农村发展,减轻农民负担.协调城
乡经济发展
从我国的实际看,要遏制直至消除城乡
居民收人差距扩大的趋势,必须着眼于统筹
城乡协调发展,工作的重点在于千方百计增
加农民收入。具体措施主要有:
(1)合理调整国民收入分配结构和政策,
加大对农业的支持和保护力度。国民收人分
配要向农业倾斜,通过税收政策、财政转移
支付等,加强对农业、农村的支持。要进
一步落实对农业 “多予、少取、放活”的
方针。进一步加强农村基础设施建设,加强
能够为农民提供就业机会并直接增加先进收
入的项目检测,确保农民得到更多的实惠。
(2)加快农业和农村发展,推进城镇化。
要继续实施农业和农村经济结构的战略性调
整,加快科技进步,全面提高农业综合生产
能力,提高农业素质和效益。深化农村改
革,推动农村劳动力向非农产业和城镇转
移,加快农村工业化、城镇化进程。
(3)进一步减轻农民负担。加快推进全国
农村税费制度改革试点,认真落实取消农业
特产税、逐步降低农业税税率的政策。
(4)协调城乡经济发展,充分发挥城市对
农村的带动作用。把更多的财力等社会资源
用于农村,以更好地为农村产业结构调整、
劳动力转移和农民增加收入创造条件。
参考文献
「11张志英.我国区域经济差异统计研究,2以巧,
3,12.
[21高云峰.农业产业化发展中的金融约束与
金融支持.农业经济问题,2003.
科技资讯 SCIENCE&TECHNOLOOYINFORMATION Z13
SCIENC〔& 丁EOJNOLI力 Y IM二ORMATI《荆
素,对网络攻击进行报警。这主要是提供一
种监测手段,保证网络和服务的正常运行。要
实现:
及时发现来自网络内外对网络的攻击行
为;
详实地记录攻击发生的情况,
当发现网络遭到攻击时,系统必须能够
向管理员发出报警消息,
当发现网络遭到攻击时,系统必须能够
及时阻断攻击的继续进行。
对防火墙进行安全检测和分析。
对Web服务器检测进行安全检测和分
析。
对操作系统检测进行安全检测和分析。
需要采用网络防病毒机制来防止网络病
毒的攻击和蔓延。严格地讲,防杀病毒属于
系统安全需求范畴。
3应用层安全需求
应用层安全主要是对网络资源的有效性
进行控制,管理和控制什么用户对资源具有
什么权限。资源包括信息资源和服务资源。其
安全性主要在用户和服务器间的双向身份认
证以及信息和服务资源的访问控制,具有审
计和记录机制,确保防止拒绝和防抵赖的防
否认机制。需要进行安全保护的资源如前面
所述的公共应用、办公系统应用、信息查询、
财务管理、电子申报、电子审计等应用。
邮件等方式,必须严格按照用户的身份进行
控制对信息的访问,对服务器也必须进行必
要的身份认证。在认证的基础上根据用户的
身份对信息进行授权的访问控制,如有需要
建立应用层的数据加密,保证数据隐秘性和
完整性。
公共应用包括外部的和内部的,尤其是
内部的公共应用,有着更高的安全要求。如
领导信息查询系统,必须从上述的多个方面
保证,特别对于身份认证和传输加密,必须
做到万无一失。
办公系统应用的安全器求
内部的办公应用主要是运行在局域网上
的办公事务处理,对身份认证和访问控制有
更高的要求。对身份认证必须有多重的保
证,包括用户口令、使用机器的IP和MAC
地址,将来需要发展到使用IC卡或电子钥
匙,通过多种方式确认用户的身份。访问控
制的控制粒度更细,必须根据不同应用的不
同对象形式进行控制,如Web页面、数据
库记录等。
应用系统安全风险
对应用系统的攻击可以分为两类:
(1)由于攻击者对网络结构和系统应用模
式不了解,主要通过对应用服务器进行系统
攻击,破坏操作系统或获取操作系统管理员
的权限,再对应用系统进行攻击,以获取重
要数据,在现在通用的二层结构 (数据库服
务器一应用服务器 应用客户端)中,通过
对数据库服务器的重点保护,可以防止大多
数攻击;
(2)攻击者了解了网络结构和系统应用模
式,直接通过对应用模式的攻击,获取企业
的机密信息,这些攻击包括:
非法用户获取应用系统的合法用户帐号
和口令,访问应用系统,
用户通过系统的合法用户帐号,利用系
统的BUG,访问其授权范围以外的信息,
攻击者通过应用系统存在的后门和隐通
道 (如隐藏的超级用户帐号、非公开的系统
访问途径等),访问应用服务器或数据库服
务 器;
在数据传输过程中,通过窃听等方式获
取数据包,通过分析、整合,获取企业的
机密信息。
这类攻击主要来源于企业内部,包括通
过授权使用应用系统的员工,开发、维护这
些应用系统的员工、开发商。
公共应用的安全燕求
公共应用包括对外部和内部的信息共享
以及各种跨局域网的应用方式,其安全需求
是在信息共享同时,保证信息资源的合法访
问及通讯隐秘性。
公共应用主要有WWW、FTP、电子
4信息安全技术
网络安全产品有以下几大特点:第一,
网络安全来源于安全策略与技术的多样化,
如果采用一种统一的技术和策略也就不安全
了;第二,网络的安全机制与技术要不断地
变化;第三,随着网络在社会个方面的延
伸,进入网络的手段也越来越多,因此,网
络安全技术是一个十分复杂的系统工程。
防火墙技术与产品
防火墙在技术上已经相对成熟,也有许
多国内外产品可供选择,但需要注意一定要
选择支持三网段的防火墙。
在一般的网络结构中,防火墙是设置在
接入Intenlet的路由器后端,将网络划分为三
个区域,即三个网段,如上所述。通过合理地
配置防火墙过滤规则,满足下列需求:
公网用户只能访向管理局外网的内容,
不可能进一步访问管理局的内网部分。
远程客户 (下属机构)只能访向管理局
专网防火墙的非军事化区的各个应用服务器
和数据库进行访问;
内部网络的客户端访问本网段的应用服
务器,如需访问专网和外网中的各个应用服
务器;
防火墙的功能就是提供网络层访问控
制,所以其配置准确严密与否至关重要,只要
配置正确,关闭不需要的服务端口,就可以基
本实现网络层的安全。
4,2网络VpN技术与产品
对于大型分布式的企业,其中最重要的
和最普遍的应用是数据库应用,而且是分布
式的。数据库的分布式复制操作是自动的,
是服务器到服务器的数据传输过程。对数据
库复制的安全保护目前最实用的技术是网络
yPN。
VPN产品一般具有如下基本功能:
IP层认证和加密。
IP包过滤,
密钥管理。
VP到产品可以基于公共的IP网络环境进
— 学 术 论 坛
行组网,使用户感觉在公网上独占信道,也
就是隧道的概念。在产品形态上是专有硬
件,嵌入式操作系统,专用加密算法。在
性能上,可以允许上千对VPN通道,网络
加密速度在10Mb那以上。有的VPN产品将
防火墙功能结合在一起,形成安全网关。在
分布式数据库环境中,按点到点方式安装
VFN产品,保证数据库复制过程的数据加密
传输。
入俊检侧技术与产品
随着Internet应用的不断普及,黑客入
侵事件也呈卜升趋势,在安装防火墙和划分
三网段安全结构后,降低了这种风险,但没
有彻底消除。因为防火墙只是被动的防止攻
击,不能预警攻击。
入侵检测系统可分为两类:基干主机和
基干网络。基于主机的入侵检测系统用于保
护关键应用的服务器,实时监视可疑的连
接、系统日志检查、非法访问的闯入等,并
且提供对典型应用的监视,如Web服务器应
用。基于网络的人侵检测系统则主要用于实
时监控网络关键路径的信息。
漏洞扫描与产品
网络系统的安全性取决干网络系统最薄
弱的环节,任何疏忽都可能引入不安全因
素,最有效的方法是定期对网络系统进行安
全性分析,及时发现并修正存在的脆弱点,
保证系统的安全。
风险评估 (VulnerabilityA泉犯SSinent)
是网络安全防御中的一项重要技术,其原理
是采用模拟攻击的形式对目标可能存在的已
知安全漏洞进行逐项检查。目标可以是工作
站、服务器、交换机、数据库应用等各种对象。
然后根据扫描结果向系统管理员提供周密可
靠的安全性分析报告,为提高网络安全整体
水平产生重要依据。在网络安全体系的建设
中,安全扫描工具花费低、效果好、见效快、
与网络的运行相对对立、安装运行简单,可以
大规模减少安全管理员的手工劳动,有利于
保持全网安全政策的统一和稳定。风险评估
技术基本_L也可分为基于主机的和基于网络
的两种,前者主要关注软件所在主机上面的
风险漏洞,而后者则是通过网络远程探测其
它主机的安全风险漏洞。墓干主机的产品包
括:AXENT公司的ESM。155公司的Systeln
Scanner等,基于网络的产品包括155公司的
Internetscanner、AXENT公司的NetR一
econ、NAI公司的CyberCo声 阮anner等。
参考文献
川 王育民,刘建伟.通信网的安全一 理论与
技术【Ml。西安:西安电子科技大学出版社,
1999.
厄2]姚顾波,刘焕网。网络安全完全解决方案.
清华大学出版社,2003,
【3J 张世永.网络安全原理与应用.科学出版
社,2003.
214 科技资讯 SCI〔NCE&TECHNOLOOYINFORMATION
