网络伦理：技术防范的有效措施

2.1.1 技术的防范

要建立一个安全的网络，一个完整的解决方案必须从多方面入手:加强主机本身的安全，减少漏洞；要用系统漏洞检测软件定期对网络内部系统进行扫描分析，找出可能存在的安全隐患；建立完善的访问控制措施，安装防火墙，加强授权管理和认证；加强数据备份和恢复措施；对敏感的设备和数据要建立必要的隔离措施；对在公共网络上传输的敏感数据要加密；加强内部网的整体防病毒措施。

从TCP/IP协议栈上分类，技术的防范主要有物理层、链路层、网络层和应用层的防护，如图2.3所示。

图2.3 基于TCP/IP协议的网络安全体系结构基础框架

物理层安全防护是在物理层上主要通过制定物理层面的管理规范和措施来提供安全解决方案。

链路层安全防护主要是链路加密设备对数据加密保护。它对所有用户数据一起加密，用户数据通过通信线路送到另一节点后解密。

网络层的安全防护是面向IP包的。网络层主要采用防火墙作为安全防护手段，实现初级的安全防护。在网络层可以根据一些安全协议实施加密保护，也可实施相应的入侵检测。

原则上讲所有安全服务均可在应用层提供。在应用层可以实施强大的基于用户的身份认证。应用层也是实施数据加密，访问控制的理想位置。在应用层还可加强数据的备份和恢复措施。应用层可以对资源的有效性进行控制，资源包括各种数据和服务。应用层的安全防护是面向用户和应用程序的，因此可以实施细粒度的安全控制。

从功能上分类，技术的防范主要是从以下几方面来完成的。

① 威慑性（deterrent），如访问控制技术、物理安全技术等；

② 预防性（preventive），如IPS，加密，代理及VPN技术等；

③ 检测性（detective），如IDS，反病毒软件，查杀恶意代码工具等；

④ 纠正性（corrective），如TDS，审计跟踪技术，应急技术，BCP/DRP等。

下面介绍几种网络安全技术。

1. 防火墙技术

“防火墙”是一种形象的说法，其实它是一种由计算机硬件和软件的组合，使互联网与内部网之间建立起一个安全网关（Security Gateway），而保护内部网免受非法用户的侵入。所谓防火墙就是一个把互联网与内部网隔开的屏障。防火墙有两类，标准防火墙和双家网关。标准防火墙系统包括一个UNIX工作站，该工作站的两端各接一个路由器进行缓冲。其中一个路由器的接口是外部世界，即公用网;另一个则连接内部网。标准防火墙使用专门的软件，并要求较高的管理水平，而且在信息传输上有一定的延迟。双家网关（Dual Home Gateway） 则是标准防火墙的扩充，又称堡垒主机（Bation Host） 或应用层网关（Applications Layer Gateway），它是一个单个的系统，但却能同时完成标准防火墙的所有功能。其优点是能运行更复杂的应用，同时防止在互联网和内部系统之间建立的任何直接的边界，可以确保数据包不能直接从外部网络到达内部网络，反之亦然。

随着防火墙技术的进步，在双家网关的基础上又演化出两种防火墙配置，一种是隐蔽主机网关，另一种是隐蔽智能网关（ 隐蔽子网）。隐蔽主机网关是当前一种常见的防火墙配置。顾名思义，这种配置一方面将路由器进行隐蔽，另一方面在互联网和内部网之间安装堡垒主机。堡垒主机装在内部网上，通过路由器的配置，使该堡垒主机成为内部网与互联网进行通信的惟一系统。目前技术最为复杂而且安全级别最高的防火墙是隐蔽智能网关，它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问，同时阻止了外部未授权访问者对专用网络的非法访问。一般来说，这种防火墙是最不容易被破坏的。

2. 数据加密技术

与防火墙配合使用的安全技术还有数据加密技术，是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破析所采用的主要技术手段之一。随着信息技术的发展，网络安全与信息保密日益引起人们的关注。目前各国除了从法律上、管理上加强数据的安全保护外，从技术上分别在软件和硬件两方面采取措施，推动着数据加密技术和物理防范技术的不断发展。按作用不同，数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。

（1）数据传输加密技术(www.xing528.com)

目的是对传输中的数据流加密，常用的方针有线路加密和端—端加密两种。前者侧重在线路上而不考虑信源与信宿，是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端自动加密，并进入tcp/ip数据包回封，然后作为不可阅读和不可识别的数据穿过互联网，当这些信息一旦到达目的地，被将自动重组、解密，成为可读数据。

（2）数据存储加密技术

目是防止在存储环节上的数据失密，可分为密文存储和存取控制两种。前者一般是通过加密算法转换、附加密码、加密模块等方法实现;后者则是对用户资格、格限加以审查和限制，防止非法用户存取数据或合法用户越权存取数据。

（3）数据完整性鉴别技术

目的是对介入信息的传送、存取、处理人的身份和相关数据内容进行验证，达到保密的要求，一般包括口令、密钥、身份、数据等项的鉴别，系统通过对比验证对象输入的特征值是否符合预先设定的参数，实现对数据的安全保护。

（4）密钥管理技术

为了数据使用的方便，数据加密在许多场合集中表现为密钥的应用，因此密钥往往是保密与窃密的主要对象。密钥的媒体有：磁卡、磁带、磁盘、半导体存储器等。密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节上的保密措施。

3．VPN技术

虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。VPN建立在用户的物理网络之上、融入在用户的网络应用系统之中。VPN技术涵盖了多个技术专业,不同应用领域所适用的技术和产品有很大差异。VPN可以扩大局域网的覆盖范围，而不需要拥有或者租赁专用线路,其成本通常比专线低得多。企业可以使用VPN让远程用户和移动用户接入网络，把分散在不同地区的分支机构连入统一网络，并且能够远程使用依靠内部服务器的应用系统。

VPN可以使用两种机制：其一，向可信赖的通信提供商租赁专用线，这种VPN名叫可信VPN（Trusted VPN）;其二，通过公共因特网传送经过加密的流量，名叫安全VPN（Secure VPN）。使用基于可信VPN的安全VPN名为混合VPN（Hybrid VPN），把两种安全VPN（譬如IPSec和SSL）结合到一个网关也属于混合VPN。

在某些时候，使用VPN会让公司面临潜在的安全风险。虽然如今使用的VPN大多数就其本身而言相当安全，但VPN加大了合理保护网络边界安全的难度，网络管理员必须对通过VPN连接到网络的计算机和直接连接到LAN的计算机实行同样的安全标准。

结合使用两个VPN可能会把一家公司的网络暴露在另一家公司的网络上。

在通常应用中,建造功能均衡的VPN以防止计算密集型的加密功能导致使用频繁的VPN服务器不堪重负等问题, 可混合搭配各种协议，以求VPN在性能和安全之间获得最佳平衡。例如，客户机使用由SSL/TLS保护的浏览器，通过防火墙连接到基于Web的前端程序;Web服务器使用IPSec连接到应用服务器; 而应用服务器可能使用SSL，跨越另一个防火墙连接到数据库服务器。另外，使用专门的服务器硬件有时可以增强VPN的扩展性。

4．入侵检测技术

入侵监测系统（IDS）处于防火墙之后对网络活动进行实时检测。许多情况下，由于可以记录和禁止网络活动，所以入侵监测系统是防火墙的延续。它们可以和你的防火墙及路由器配合工作。入侵监测系统处于防火墙之后对网络活动进行实时检测，监视和记录网络的流量，根据定义好的规则来过滤从主机网卡到网线上的流量，提供实时报警。许多情况下,参与记录和禁止网络活动,入侵检测主要是基于实施时间序列和（或）积累的记录进行分析，自动的向安全管理者警告可能发生的安全侵犯。主要目的是检测异常活动。根据入侵检测系统所检测对象的区别可分为基于主机的入侵检测系统（HIDS）和基于网络的入侵检测系统（NIDS）。检测的基本方法一种是基于统计分析，一种是基于规则。

5．智能卡技术

与数据加密技术紧密相关的另一项技术则是智能卡技术。所谓智能卡就是密钥的一种媒体，一般就像信用卡一样，由授权用户所持有并由该用户赋予它一个口令或密码字。该密码与内部网络服务器上注册的密码一致。当口令与身份特征共同使用时，智能卡的保密性能还是相当有效的网络安全和数据保护这些防范措施都有一定的限度，并不是越安全就越可靠。因而，在看一个内部网是否安全时不仅要考察其手段，而更重要的是对该网络所采取的各种措施，其中不光是物理防范，还有人员的素质等其他“软”因素，进行综合评估，从而得出是否安全的结论。

各类安全产品类型如图2.4所示。

图2.4　安 产 类 型