网络安全与防火墙应用技术

    随着信息技术和互联网的发展，网络信息安全成为了构建和谐社会的一个难题，关系到2．21亿网络用户的自身利益，乃至国家的安全。本文详细讲述网络信息安全定义、网络信息安全现状、网络信息安全主要威胁，深入探讨网络安全技术与防火墙技术。

    据最新统计数据显示，截至2月，我国网民数达2．21亿人，超过美国，跃升全球第一。而按照CNNIC发布的截至去年底的中国互联网统计报告，我国宽带网民数1．63亿人，居世界第一位。中国电信今年一季度宽带用户净增206万，达3771万。中国网通今年一季度宽带用户达2166万，用户净增189万。然而在取得这一成就的同时，一个严重的问题也出现了：网络安全危机重重。随着信息技术和互联网的发展，网络信息安全已对构建和谐社会提出了难题，关系到每个网络用户的利益，乃至国家的安全。网络安全问题已经成为互联网发展中无法回避的核心问题。

    网络安全问题包括网络自身可靠、网络运行安全、信息安全以及有害信息过滤和溯源在内多个层面。除涉及用户、网络运营商和国家以外，还涉及互联网上的内容提供商、应用提供商等其他实体。

    网络安全是一门涉及多种学科的综合性学科。本文从网络安全的定义，网络信息安全主要威胁，渐渐深入探讨网络安全技术与防火墙技术。

    1．网络安全的定义

    网络安全的一个通用定义是：网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全的内容包括了系统安全和信息安全两个部分。网络安全从其本质上来讲就是网络上的信息安全。

    信息安全最初主要指信息系统传递的秘密数据，主要强调的是通信安全(COMSEC)，随着数据库技术和信息系统的发展，强调计算机安全(COMPSEC)，随着信息系统的应用范围不断扩大，必须要考虑网络安全(NETSEC)，计算机安全和网络安全都属于运行安全(OPsEC)层面，而对信息系统基础设施的保护就称为物理安全(PHYSEC)。再后来，信息系统的更重要主题是可用性，强调信息保障的整体性。现在信息安全又增加了新内容，即面向应用的内容安全(CONTSEC)，主要解决存在于信息利用方面的安全问题，保护对信息系统的控制能力。

    被学术界普遍认可的是被称为信息安全金三角(CIA)的框架模型，包括机密性、完整性和可用性三个核心属性。

    网络信息安全的特征：1、保密性。保密性是指信息不泄漏给非授权的用户、实体或过程，或供其利用的特性。数椐保密性就是保证具有授权用户可以访问数据，而限制其他人对数据的访问。数据保密性分为网络传输保密性和数据存储保密性。完整性。完整性是指数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。数据的完整性的目的就是保证计算机系统上的数据和信息处于一种完整和未受损害的状态，这就是说，数据不会因有意或无意的事件而被改变或丢失。数据完整性的丧失直接影响到数据的可用性。3、可用性。可用性是指被授权实体访问并按需求使用的特性，即当需要时能否存取和访问所需的信息。

    最近有研究者提出了新的信息安全模型，即三层次、四层面模型，从信息系统的安全、信息自身的安全和信息利用的安全三个层次描述信息安全，包含物理安全、运行安全、数据安全和内容安全四个安全层面。信息载体(信息系统)安全和信息内容安全组成了完整的信息安全体系。

    从以上分析，对信息安全的得出如下定义，信息安全是通过实现一组合适控制获得的，控制可以是策略、惯例、规程、组织结构和软件功能。需要建立这些控制，以确保满足该组织的特定安全目标。该特定目标表现在对信息系统、信息自身及信息利用中的保密性、可鉴别性、可控性、可用性四个核心安全属性的保护上，即确保信息与信息系统不被非授权所掌握、其信息与操作是可鉴别的、信息与系统是可控的、能随时为授权者提供信息及系统服务；具体反映在物理安全、运行安全、数据安全、内容安全四个层面上。

    2．网络信息安全主要威胁

    从2007年网络信息风险分析，网络安全事件主要是利用网络存在的安全漏洞。黑客们所制造的各类新型的风险将会不断产生，这些风险由多种因素引起，与网络系统结构和系统的应用等因素密切相关。下面从物理安全、网络安全、系统安全、应用安全及管理安全进行分类分析。

    2．1物理安全风险分析，我们认为网络物理

    安全是整个网络系统安全的前提物理安全的风险主要有：地震、水灾、火灾等环境事故造成整个系统毁灭，电源故障造成设备断电以至操作系统引导失败或数据库信息丢失，电磁辐射可能造成数据信息被窃取或偷阅，不能保证几个不同机密程度网络的物理隔离。

    2．2网络安全风险分析

    内部网络与外部网络间如果在没有采取一定的安全防护措施，内部网络容易遭到来自外网的攻击。包括来自inte瑚e止的风险和下级单位的风险。

    内部局域网不同部门或用户之间如果没有采用相应一些访问控制，也可能造成信息泄漏或非法攻击。据调查统计，已发生的网络安全事件中，70％的攻击是来自内部。因此内部网的安全风险更严重。内部员工对自身企业网络结构、应用比较、熟悉，自已攻击或泄露重要信息内外勾结，都将可能成为导致系统受攻击的最致命安全威胁。

    2．3系统的安全风险分析

    所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统，其开发厂商必然有其Back—Door。而且系统本身必定存在安全漏洞。这些”后门”或安全漏洞都将存在重大安全隐患。因此应正确估价自己的网络风险并根据自己的网络风险大小作出相应的安全解决方案。

    2．4应用的安全风险分析

    应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。比如新增了一个新的应用程序，肯定会出现新的安全漏洞，必须在安全策略上做一些调整，不断完善。①公开服务器应用。②病毒传播。网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。网络中一旦有一台主机受病毒感染，则病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的所有主机，有些病毒会在你的系统中自动打包一些文件自动从发件箱中发出。可能造成信息泄漏、文件丢失、机器死机等不安全因素。③信息存储。由于天灾或其它意外事故，数据库服务器造到破坏。如果没有采用相应的安全备份与恢复系统，则可能造成数据丢失后果务。④管理的安全风险分析。管理是网络中安全最最重要的部分。责权不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。比如一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地，或者员工有意无意泄漏他们所知道的一些重要信息，而管理上却没有相应制度来约束。当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等)，无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录，及时发现非法人侵行为。建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，本文认为最可行的做法是管理制度和技术解决方案的结合。

    随着人类社会生活对Intemet需求的日益增长，据不完全统计，目前网络攻击手段有数千种之多，使网络安全问题变得极其严峻，据美国商业杂志《信息周刊》公布的一项调查报告称，黑客攻击和病毒等安全问题在2000年造成了上万亿美元的经济损失，在全球范围内每数秒钟就发生一起网络攻击事件。

    随着Intemet的发展，网络安全技术也在与网络攻击的对抗中不断发展。从总体上看，经历了从静态到动态、从被动防范到主动防范的发展过程。

    3．网络安全主要技术

    现阶段网络安全主要技术有访问控制技术、数字签名与文件加密技术、防火墙技术等。

    3．1访问控制技术

    访问控制技术也就是通常讲的认证技术。对合法用户进行认证可以防止非法用户获得对信息系统的访问，使用认证机制还可以防止合法用户访问他们无权查看的信息。

    1、身份认证。当系统的用户要访问系统资源时要求确认是否是合法的用户，这就是身份认证。常采用用户名和口令等最简易方法进行用户身份的认证识别。

    2、报文认证。主要是通信双方对通信的内容进行验证，以保证报文由确认的发送方产生、报文传到了要发给的接受方、传送中报文没有被修改过。

2