ＩＰ專用網絡安全分析與方案設計

摘要：本文結合IP專用網絡系統的應用特點，對系統安全的需求進行了分析，從網絡安全需求分析、設計目標和原則，以及方案設計等方面加以詳細的闡述，提出了IP專用網絡系統安全方案的設計思想。

關鍵詞：IP專用網絡；網絡安全；系統

1 概述

近年來IP網絡不斷發展，資源共享給軍事、政治和經濟等領域帶來了不盡的方便與快捷。在網上可以隨時索取所需資料，可以傳送電子郵件，還可以網上購物等等。然而當計算機遭受“黑客” 圖謀不軌的惡意攻擊時，你會發現部分數據已被竊取、修改和破壞，IP網絡背后存在的安全隱患也就將暴露無疑。隨著IP網絡系統和數據等安全問題的出現，引起計算機領域、通信領域以及相關領域的重視。

2 IP專用網絡系統安全需求分析

2.1 IP專用網絡系統應用特點

根據IP專用網絡的使用實際，主要網絡應用有實時數據傳輸、語音信息傳輸處理、視頻信息傳輸處理、多媒體信息傳輸處理和由數據庫作后臺支持的MIS應用系統等。盡管各種網絡應用千差萬變，但應用主體在網絡中扮演的角色是一致的。網絡應用中有兩種重要的角色：客戶與服務器。而網絡的信息流向不外乎以下三種方式：客戶與客戶之間；客戶與服務器之間；服務器與服務器之間。IP專用網絡系統應用形式是第二、三種結合。

2.2 IP專用網絡系統安全需求

無論信息傳遞的收、發方是誰，網絡安全包括：在網絡正常運行時，受到外來攻擊，能夠保證網絡系統繼續運行。網絡管理系統設置等重要資料不被破壞。數據安全保證數據不被竊取、修改和破壞。具有先進的入侵防范體系，對于圖謀不軌的惡意行為能夠及時發現、記錄和跟蹤。訪問控制和身份認證機制，確保應用系統不被非法訪問。保障合法用戶的正常請求得到安全服務，防范來自網絡內部其它系統的破壞所造成的安全隱患。系統和數據在遭到破壞時能夠及時恢復。

2.3 IP專用網絡系統安全的功能

建立IP專用網絡系統安全體系應具備加密通訊、簽名/認證、備份/恢復、多層防御、內部信息加密、安全審計等功能。

3 IP專用網絡系統安全方案設計

3.1 安全系統總體結構

從提供網絡有效信息服務的角度來看，網絡系統安全包括：硬件配置及基礎設施應確保支持系統的不間斷運行；軟硬件運行環境應確保系統正確、可靠運行。從網絡系統組成的角度來看，系統安全可分為五個層次：物理層的硬件平臺安全、系統層的操作系統和數據庫系統安全、網絡層的網絡系統安全、應用層的應用系統安全和管理層的系統安全管理。

3.2 物理層安全

硬件平臺的安全主要是支持軟件系統正確、可靠運行，同時又要防止物理上可能造成的信息泄露。無線信道必須采取加密手段；外網連接必須采用硬件防火墻設備；選用符合電磁兼容性等要求的IP專用網絡設備；機房建設應符合電磁兼容性要求。

3.3 系統層安全

網絡操作系統安全是防止系統在正常運行狀態下遭受破壞；數據庫系統安全主要保護以庫結構形式存放的數據，防止非授權用戶以各種非法途徑獲取，并確保數據庫系統運行正常。

建立用戶權限認證體系，健全系統訪問日志，提供有效的監督機制。用戶權限認證屬于網絡層的安全策略。系統管理員負責監督管理所有系統資源的分配、控制，分配不同級別的用戶權限，進行數據庫的備份與恢復；系統工程師負責操作系統中的所有設置和網絡參數；系統操作員負責操作系統中的部分設置和網絡參數；只讀用戶只能監視系統中的設備狀態。

系統內部安全防范也可采用先進的具有中國版權的指紋識別系統，指紋識別系統采用活體指紋實行密碼登錄，確保系統安全，它與口令雙重加密，更無懈可擊。

3.4 網絡層安全

網絡隱患掃描是在非法入侵之前，幫助系統管理員主動對網絡上的設備進行安全測試。外部掃描是模擬黑客攻擊的過程在網絡上進行掃描，并分析掃描信息，結合不斷更新的漏洞庫來發現網絡存在的隱患；內部掃描是模擬系統管理員從主機內部掃描，檢查一切和網絡安全有關的配置是否正確，從而從內部清除隱患。入侵檢測系統用來檢查一個局域網段上的通信，可以和防火墻設備配合來監測來自外部的通信；可以監測內部網絡用戶對于敏感數據或應用系統的使用情況。當發現可疑行為時，網絡監測預警系統能夠根據系統安全策略做出反應，實時報警、事件登錄、自動阻斷通信連接或執行其它有效安全策略。

3.5 應用層安全

應用層安全策略可采用防止病毒侵害手段，建立完整的防病毒體系。如在網絡管理系統環境，購買并安裝Norton Antivirus或其他國產網絡防殺病毒軟件。為保護主機端數據的完整性，也采用有效的數據備份及恢復系統。

3.6 管理層安全

制定相應的管理制度和操作規范：制定機房管理制度、系統管理員職責、機房值班員守則、數據庫管理規定及網絡安全管理規范等；制定嚴格的操作規程，明確各級人員職責和權限，各負其責，不允許超越自己的管轄范圍；制定完備的系統運行維護制度；強化各類涉密人員的安全意識，嚴格按照有關規定辦事。

4 結束語

IP專用網絡安全的需求分析必須切合實際，網絡安全設計的目標和原則要合理可行，IP專用網絡安全方案的設計方法適合其它類型網絡的安全設計。全面的安全策略需要投入大量的軟、硬件設備，付出可觀的資金。根據IP專用網的實際需求和經費支持情況，可以適當采用方案中的部分安全策略，達到理想的安全防范目的。

參考文獻

[1]信息網絡安全.2007(3).

[2]謝希仁.計算機網絡.電子工業出版社.