4.2.3 网络层面保障
网络层面安全主要是指网络通信的安全,即政府内网、外网和公网之间通信是安全的。采取的措施主要有数据加密技术、隔离技术、防火墙技术、交换机及路由器的安全策略配置等。
1.数据加密技术
数据加密技术是最基本的网络安全技术,被誉为信息安全的核心,是实现信息保密的一种重要手段,其目的是为了防止非法用户获取信息系统中的机密信息。数据加密就是一种信息转换过程:转换前的信息易于识别,可直接利用,称为明文;而转换后的信息则对于不了解相应的解密过程的人来说难以辨别,称为密文。对于了解相应的解密过程的人,则可以通过解密操作,将密文再转化为明文。加密可以有效地对抗信息被拦截以及被窃取。加密过程和解密过程组成了加密系统。对于一个加密系统来说,无论其形式多么复杂,至少包括以下四个组成部分:明文、密文、解密的算法、用于加密和解密的密钥。由此可知,在加密和解密过程中,涉及的内容有信息(明文、密文)、密钥和算法三项。密钥是一串随机的二进制位串。密钥的长度即位数取决于特定的加密系统。数据加密过程如图4-3所示。
图4-3 数据加解密过程示意图
一般来说,数据加密技术有对称加密技术和非对称加密技术两种基本形式。
(1)对称加密技术
对称加密技术,也称为私有密钥加密技术,是指加密、解密双方在加解密过程中要使用完全相同或本质上等同(即从其中一个容易推导出另一个)的密钥,即加密密钥与解密密钥是相同的。使用对称加密技术进行加密和解密的速度很快,效率也很高,但需要妥善保存密钥。这种加密方法历史悠久,也称为传统密码体制或常规密钥密码体制。它采用相同密钥进行加密和解密,其保密性主要取决于密钥本身的保密强度和密钥传送通道的安全性。由于所有的信息在计算机中都是以二进制位的形式存在的,因此所有的加密算法都可以视为二进制位的操作。常用的对称密码算法可以分为两大类:一类是每次一位地对明文进行操作和运算,称作系列加密或流加密;另一类是一次若干位一组地对明文进行操作和运算,称为分组加密。对称加密的典范是DES(Data Encryption Standard)算法,除DES算法外,常用的对称加密算法还有IDEA(International Data Encryption Algorithm)算法、CAST(Carlisle Adams and Stafford Tavares)算法等。
(2)非对称加密技术
非对称加密技术又称为公开密钥加密,是一种使用一对密钥的非对称加密手段。其中一把密钥是公开的,可以让任何人知道,称为公钥;而另一把密钥则必须保密,称为私钥。与对称密钥加密算法不同的是,非对称密钥加密算法的加密密钥和解密密钥在本质上是不同的。也就是说,知道其中一个密钥,不可能根据这个密钥推导出另外一个密钥。
依据公开密钥是用作加密密钥还是解密密钥的不同,公开密钥系统可分为两种基本的模式:加密模式和验证模式。一般来说,既能工作在加密模式又能工作在验证模式的公开密钥加密系统被称为可逆的公开密钥加密系统。有些公开密钥加密系统只能运作于验证模式而不能运作于加密模式,这种系统被称为不可逆的公开密钥加密系统。目前最著名的公开密钥加密系统RSA(Ron Rivest、Adi Shamir和Leonard Adleman三位发明者的第一个字母组成)算法是一种可逆的公开密钥加密系统。
由于传统的对称加密技术是传送秘密信息的唯一手段,保持安全通道和发布密钥的高昂费用将其应用范围限制在能够负担得起这些费用的用户中,比如银行或电信等,而非对称加密方法可以为普通人提供加密手段使用。公开密钥加密方法的一个主要优点是提供了数字签名的实现手段。数字签名使得信息的接收者能够验证信息来源的真实性,还能够验证信息是否完整。因此,公钥数字签名可以提供身份验证和数据完整性保证。数字签名还提供了不可抵赖的特性,该特性能够保证信息的发送者无法否认自己确实发送了某个信息。
非对称加密技术克服了对称加密技术难以解决的密钥传输问题,然而非对称机密技术也存在着缺点。其中最明显的一个缺点就是非对称加密技术的加密和解密速度比对称加密技术要慢许多。
2.隔离技术
隔离技术可分为逻辑隔离和物理隔离两种,这两种技术在电子政务安全中是非常重要的。逻辑隔离与物理隔离有一定的差别。
(1)逻辑隔离。逻辑隔离是在保证网络正常使用的情况下用软件的方法尽可能实现网络安全的隔离技术。例如网络中增加防火墙、防病毒系统,对网络进行入侵检测、漏洞扫描等都属于软件隔离技术,这些技术无法满足某些机构(如军事、政府、金融等)提出的高度数据安全要求,它们只是基于软件层面的保护,是一种逻辑机制。
(2)物理隔离。物理隔离是内部网不直接或间接地连接公共网的一种隔离技术。物理安全的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。其解决思路是:在同一时间、同一空间,单个用户是不可能同时使用两个系统的,总有一个系统处于“空闲”状态,这样只要使两个系统在空间上物理隔离,在不同的时间运行,用户就可以得到两个完全物理隔离的系统。
物理隔离技术发展至今,大致包括以下几种:
第一种是双网双机技术。其工作原理是配置两台电脑,分别连接内外两个网络。
第二种是双硬盘物理隔离卡技术。其工作原理是一台计算机上安装两块硬盘,并使用物理隔离卡来实现物理隔离,两块硬盘分别对应内外网,用户启动外网时关闭内网硬盘,启动内网时关闭外网硬盘。
第三种是单硬盘物理隔离卡技术。其工作原理是单个硬盘通过对磁道的读写控制技术物理分割为两个分区:一个为公共区,另一个为安全区,这两个分区无法互相访问,它们分别安装两个互相独立的操作系统。
第四种是基于服务器端的物理隔离技术。其工作原理是采用基于服务器的物理隔离设备来连接两个网络,在同一时刻这两个网络没有物理上的连通,但又可以快速分时地处理并传递数据。
3.防火墙技术
(1)定义
防火墙技术指的是一种由软件和硬件设备组合而成,在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障技术。“防火墙”是对获取安全性方法的一种形象比喻,它的作用是通过计算机硬件和软件结合,使内部网和外部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入。防火墙主要由服务访问规则、验证工具、包过滤和应用网关四个部分组成。
(2)分类
根据所采用技术的不同,一般来说,防火墙可分为三种基本类型:数据包过滤型、应用级网关型和代理服务器型。
第一是数据包过滤型防火墙。在遵守TCP/IP协议的网络中,数据是分解为不同的IP数据包进行传输的。数据包过滤型防火墙是应用数据包过滤技术在网络层对数据包进行选择,截获每个通过防火墙的IP数据包,并进行安全检查。如果IP数据包能通过检查,就将该IP数据包正常转发出去,否则就阻止IP数据包通过。由于数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,适合安全性要求较低的小型系统。
第二是应用级网关型防火墙。应用级网关位于TCP/IP协议的应用层,实现对用户身份的验证,接收被保护网络和外部之间的数据流并对之进行检查。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。数据包过滤型防火墙和应用级网关型防火墙都有个共同特点,就是依赖特定的逻辑判断是否允许数据包通过,这不利于抗击非法访问和攻击。
第三是代理服务器型防火墙。代理服务器是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术。其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外的计算机系统间应用层的“链接”由两个代理服务器上的“链接”来实现。外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。此外,代理服务器也对过往的数据包进行分析,注册登记,形成报告。同时,当发现被攻击迹象时会向网络服务管理员发出警报,并保留攻击痕迹。由于代理服务器工作于网络应用层,因此对不同的网络服务应有相应的代理服务器,常见的代理服务器有Web、Socks、Ftp、Telnet代理等。
(3)作用
防火墙是用来加强信息系统内部安全的重要工具,它处于内部网络中,是一个内网监控系统,可以随时监控内部主机的安全状况。其重点是用技术手段强化内部信息的安全管理,利用计算机口令字验证、数据库存取控制技术、审计跟踪技术、密码技术等防止对公司机密文件、重要的行业数据、科学发明等机密信息的非法或违规的操作,从本质上阻止了机密信息泄露事件的发生。它通过一系列的事前预防、事中监督和事后审计等措施,构建严密的内网安全防范体系,有效地防止内网安全事件的发生。
(4)弊端
防火墙实现了内部网络的访问控制及其他安全策略,从而降低了内部网络的安全风险,保护了内部网不受外部攻击。但防火墙自身也存在着缺陷:一是防火墙不能阻止来自内部的攻击;二是防火墙不能防止绕过它的连接,比如内部用户直接拨号连接到外部网络;三是防火墙不能防止病毒的入侵。
4.交换机、路由器安全策略配置
交换机和路由器是网络互联的核心设备,它们的配置会直接影响网络的安全。交换机大多工作在网络的第二层上(某些交换机可以提供第三层功能),用于连接局域网分段,利用MAC地址表来转发数据帧。交换机安全不仅仅局限于端口安全、专用VLAN(Virtual Local Area Network)安全、数据转发性能、服务质量等方面,同时还包括过滤、基于端口访问控制、流量控制、双映像文件等。
路由器一般在网络的第三层工作,是广域网互联设备。路由器提供的安全功能包括访问控制、网络地址转换、身份验证、流量过滤、SSH(Secure Shell)远程管理、配置VPN(Virtual Private Network)、日志功能等。保护路由器自身安全的手段主要包括物理访问、登录账号、软件防护、远程管理以及相应的配置操作等。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
