专用网安全策略及技术研究

1专用网(PrivateNetwork)指某个部门为满足本单位特殊业务工作的需要而建造的网络。伴随着计算机网络与信息技术的飞速发展，社会的信息化程度越来越高，军队、银行、铁路、电力等部门均建立了本系统的专用网。近几年不断出现的安全事件表明，网络攻击行为已经由因特网蔓延到了专用网，而且专用网上的安全事件造成的危害及损失更大，特别是经由军事网络造成的失泄密后果尤其严重。本文在深入分析专用网安全现状及安全需求的基础上，提出了相应的安全策略，并引入了相应的安全技术。

2专用网安全需求分析

专用网与因特网均采用了互联网技术，但专用网的安全需求及安全现状与因特网有很大的区别。

(1)因特网的开放性使任何人都可能成为攻击者或被攻击者，网络安全难以控制;而专用网接入人员及接入地点受限，且与公用网物理隔离，安全策略的部署与实施相对简单。

(2)因特网主要目的是实现开放性的互联及多样性的服务，为满足以上需求引入网络设备或安全设备以及相应技术;而专用网网络拓扑相对固定、业务专一，引入网络设备或安全设备以及相应技术时应该在满足业务需要的同时兼顾安全需求。

(3)因特网上最大的安全威胁来自于窃取主机控制权;而专用网上最大的安全威胁来自于越权访问及信息泄露。

除了上述区别之外，解决专用网安全问题还需要考虑专用网自身的建设与发展过程。以军用网络为例，在建设之初，由于网络安全问题并不突出，安全需求也未明确，主要是解决互联互通问题，安全设计上比较薄弱。随着近年来网络安全问题日益严峻，逐渐加大了安全上的投入，配置了如防火墙、入侵检测系统、漏洞扫描等多种安全设备，但由于缺乏顶层规划，各种网络设备及安全设备的部署还没有发挥出最佳效能。因此，从总体上考虑专用网安全问题，制定有效的专用网安全策略用于指导各种设备的部署与配置，引入先进的安全技术，增强专用网安全性能是十分必要和迫切的。

3专用网安全策略

安全策略是一套文档化的规则，用来限制由一组或多组元素组成的一组或多组与安全相关的行为。对一个确定的信息系统而言，若能设计一种提供恰当的、符合安全需求的整体思路将会使安全问题简单化。因此在国内外很多安全组织提出的P2DR、PDRR、PASME等诸多安全模型中都将安全策略制订列为最重要的环节。通过安全需求的分析与安全策略的制定将日益复杂的信息系统与日益严峻的安全威胁集中到最高决策层来关注与实施，从而明确如何达到预期的安全效果。可以说建立安全策略是安全最重要的工作，也是实现安全管理规范化的第一步。

在制定详细、具体的专用网安全策略时，可以遵循以下三条基本安全策略：

1)建立基于业务流的安全模型

专用网的特点决定了专用网上的业务关系即为专用网上的信息流动关系。为了增强专用网安全，可将专用网上不同业务机关之间存在的横向(平级业务机关、同一个网内)的信息流及纵向(上下级业务机关、跨网络)的信息流进行细致的区分，并且根据不同业务机关不同的安全需求(高、中、低)，制定各信息流的安全策略，建立基于业务流的安全模型。同时，严格控制除业务关系之外出现的信息流动。按这一基本策略来制定具体的设备部署与配置策略。

2)基于最大隔离准则的设备配置方案

在建立了基于业务流的安全模型的基础上，为了防范专用网上的越权访问、网络监听等引起的信息泄露，在部署与配置专用网网络设备及安全设备时，采用基于最大隔离准则的设备配置方案。最大隔离准则，目的是实现专用网中信息节点逻辑上尽量隔离，尽量避免不必要的网络联通。具体的技术方案有以下三点：

(1)局域网内横向划分VLAN(虚拟局域网)，隔离不同业务流，防范恶意嗅探。

(2)互联时纵向组建VPN(虚拟专用网)，连通必要的业务流动，保证业务流信息安全。

(3)强化防火墙安全规则，只允许VPN通道通过，拒绝其余网络连接。

3)建立应急响应体系及安全管理制度

为了快速、有效地解决专用网发生的恶意攻击、网络病毒发作、网络蠕虫传播等安全事件，在制定专用网安全策略时，还必须制定严格的安全管理制

度，建立应急响应体系。通过安全管理制度及应急响应体系，可以提高专用网内人员的安全意识，增强协同处理专用网内紧急安全事件的能力，从而快速发现、快速抑制、快速解除网络入侵，并使其造成危害降至最低。

4专用网应引入的安全技术

在以上安全策略的指导下，为了增强专用网安全性，在实施过程中，必须引入以下安全技术。

1)VLAN技术

VLAN[1](VirtualLocalAreaNetwork)，又称为虚拟局域网，1999年IEEE颁布了用以标准化VLAN实现方案的IEEE802.1Q协议标准草案。它是一种不拘泥于站点的物理位置，根据功能、应用等因素将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现功能相对独立的虚拟工作组的技术。

划分了VLAN后，由于各个VLAN之间不能直接进行数据通信，必须通过路由器来转发VLAN之间的数据，因此，如果VLAN之间没有路由器，那么VLAN就是与外界其他设备相隔离的，相当于一个独立的局域网，安全性可以得到较大程度的提高。

VLAN技术需要网络设备的支持，配置了三层交换机的专用网可以按照基于业务流的安全模型对本级局域网进行VLAN划分，从而保证不同的业务流相互隔离，防范网络监听手段的入侵。

2)VPN技术

VPN[2](VirtualPrivateNetwork)，又称为虚拟专用网，是对通过共享公用网络(如Internet)并使用封装、加密和身份认证等技术进行连接的内部网络的扩展。之所以提出该技术的是为了方便在公用网络基础设施之上建立专用网络。

在专用网中对路由器、防火墙等设备进行配置，采用VPN技术将不同节点间有业务关系的计算机连通，可以实现专用网中的虚拟网。由于VPN提供了对VPN两端的身份认证和访问控制及对传输数据的信息加密和信息认证，因此能够有效防范截断攻击和窃听攻击。而且良好的VPN应用可在不同层次实现不同的VPN隧道协议对数据进行保护。

3)HoneyPot和HoneyNet

近年来，一种新的主动防御型安全技术——蜜罐技术成为研究的热点方向，它可以有效地欺骗网络攻击者从而达到保护网络的目的。蜜罐技术最初提出时，国外计算机专家将其命名为Honeypot[3]。其准确的定义是：“蜜罐是一种安全资源，它的价值就是被探测，被攻击或攻陷”。后来又出现了Honeynet(蜜网)，它将单个的蜜罐连成网络，是具有高交互性能的蜜罐。

采用应用型蜜罐并将其放置在在专用网中，与其它安全设备及安全技术共同保护专用网，可以有效增强专用网的安全性，蜜罐所起的作用是其它安全设备或安全技术所无法替代的，其它安全设备或安全技术用来被动防御攻击者的入侵，而蜜罐是欺骗攻击者将攻击方向转向自己，从而拖延或使攻击者放弃对真实网络环境的攻击。

5结束语

面向业务处理的专用网与公用网络相比，网络的安全性更为关键。积极有效制定安全策略可以指导专用网的建设及安全规划以达到预期的安全效果。本文提出的基于业务流的安全模型、基于最大隔离准则的设备配置、应急响应体系及安全管理制度可以对专用网详细安全策略的制定起到积极的作用。应用本文提出的专用网安全策略，并引入新型的安全技术，可以提高专用网的安全性。