网络安全技术白皮书(3)

3.2.3 网络与信息安全防范体系模型各子部分介绍

网络与信息安全防御体系是一个动态的、基于时间变化的概念，是一种互联互动、多层次的黑客入侵防御体系：以预警、攻击防范、攻击检测、应急响应、恢复和安全管理为子部分构成一个整体。 3.2.3.1 安全服务器

作为一种重要的基础网络设备，安全服务器产品广泛应用于电子商务和电子信息服务等关键领域。目前国内服务器产品大都为国外设备，在信息安全构建过程中必然存在着潜在的危险，因而发展民族服务器产业，构建民族信息长城是国家亟待解决的重大问题。所谓的安全服务器，即是指运行安全程序的计算机。众所周知，Internet 是伴随着TCP/IP 设计的网络，不管是访问控制层还是数据链路层，安全问题基本没有被考虑。TCP/IP是以明文方式传输数据的，这在开放的Internet 环境里很容易被窃听。安全服务器即是：通过对传输中的数据流进行加密，保证数据即使被窃听也不能被解密；通过电子证书和密钥算法进行身份确认，防止了身份欺诈；通过对数据流的校验，保证数据在传输过程中不被篡改，使得非法进入网上秘密程序无机可乘。其主要涉及的技术有：容量大，稳定性高的磁盘阵列；大内存，以提高系统的处理与运算能力；系统的容错能力；故障的在线修复技术；服务器集群技术；对称多处理技术；安全SSL 技术；安全服务器网络技术（ SSN）等。 3.2.3.2 预警

预警子系统的目的就是采用多检测点数据收集和智能化的数据分析方法检测是否存在某种恶意的攻击行为，并评测攻击的威胁程度、攻击的本质、范围和起源，同时预测敌方可能的行动。预警过程是基于收集和分析从开放信息资源收集而获得，提取重要的信息来指导计划、训练和提前做准备。 3.2.3.3 网络防火墙

防火墙是保护网络安全最主要的手段之一，它是设置在被保护网络与外部网络之间的一道屏障，以防止不可预测的、潜在破坏的非法入侵。它通过监测、限制、修改跨越防火墙的数据流，尽可能地对外屏蔽网络内部地结构、信息和运行情况，以此来实现内部网络地安全保护。防火墙是不同网络或网络安全域之间信息的唯一出入口，能根据相应的安全策略控

制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，可有效地监控内部网和外部网之间地活动，保证了内部网络地安全。研制与开发防火墙子系统地关键技术主要是实现防火墙地安全、高性能与可扩展。

防火墙一般具有以下几种功能：

允许网络管理员定义一个中心点来防止非法用户进入内部网络。 可以很方便地监视网络的安全性，并报警。

可以作为部署NAT（Network Address Translation，网络地址变换）的地点，利用NAT 技术，将有限的IP地址动态或静态地与内部的IP 地址对应起来，用来缓解地址空间短缺的问题。 是审计和记录Internet 使用费用的一个最佳地点。网络管理员可以在此向管理部门提供Internet 连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。

可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署WWW 服务器和FTP 服务器，将其作为向外部发布内部信息的地点。从技术角度来讲，就是所谓的停火区（DMZ）。 3.2.3.4 系统漏洞检测与安全评估软件

系统漏洞检测可以探测网络上每台主机乃至路由器的各种漏洞；安全评估软件从系统内部扫描安全漏洞和隐患。安全评估软件还主要涉及到网络安全检测，其主要是系统提供的网络应用和服务及相关的协议分析和检测。

系统漏洞检测与安全评估软件完成的功能主要有：

对网络的拓扑结构和环境的变化必须进行定期的分析，并且及时调整安全策略； 定期分析有关网络设备的安全性，检查配置文件和日志文件； 定期分析操作系统和应用软件，一旦发现安全漏洞，应该及时修补；

检测的方法主要采用安全扫描工具，测试网络系统是否具有安全漏洞和是否可以抗击有关攻击，从而判定系统的安全风险。 3.2.3.5 病毒防范

病毒防范子系统主要包括计算机病毒预警技术、已知与未知病毒识别技术、病毒动态滤杀技术等。能同时从网络体系的安全性、网络协议的安全性、操作系统的安全性等多个方

面研究病毒免疫机理。加强对计算机病毒的识别、预警以及防治能力，形成基于网络的病毒防治体系。

网络病毒发现及恶意代码过滤技术主要是研究已知与未知病毒识别技术、网上恶意代码发现与过滤技术。

主要的功能为开发网络病毒疫情实时监控系统、主动网络病毒探查工具。能对疫情情况进行统计分析，能主动对INTERNET 中的网站进行病毒和病毒源代码检测；可利用静态的特征代码技术和动态行为特征综合判定未知病毒。 3.2.3.6 VPN

VPN 是集合了数字加密验证和授权来保护经过INTERNET 的信息的技术。它可以在远程用户和本信息系统网络之间建立一个安全管道。主要的技术包括隧道技术、隧道交换技术与公钥基础设施（ PKI）的紧密集成技术以及质量保证技术等。

隧道技术主要研究合适的封装协议、加解密算法、密钥交换协议以及认证协议等。 隧道交换技术研究将隧道如何延伸到防火墙内，并可以在任意位置终止的技术。 2.3.7 PKI

公钥技术设施集成技术：提出与国际接轨的PKI和密钥KMI技术标准，提供基于PKI和KMI技术的安全服务平台和公共安全接口，开发PKI技术产品和应用系统。其中PKI的安全核心部件包括不同规模的CA系统、RA系统和KM系统。 3.2.3.8 入侵检测 入侵检测子系统是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测子系统被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。具有以下的功能： 监视、分析用户及系统活动； 系统构造和弱点的审计；

识别反映已知进攻的活动模式并向相关人士报警； 异常行为模式的统计分析； 评估重要系统和数据文件的完整性；

操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 3.2.3.9 日志取证系统

通过对网络上发生的各种访问过程进行记录和产生日志，并对日志进行统计分析，从而对资源使用情况进行分析，对异常现象进行追踪监视。 3.2.3.10 应急响应与事故恢复

本子系统主要的目标是在开放的互联网环境下构造基于生存性的多样化动态漂移网络，当信息系统遭受攻击时，快速反应和对遭到的系统、文件和数据进行快速恢复。为建立信息安全应急反应服务体系提供方法。并且能提供自我诊断与自我恢复相结合的功能。主要涉及的技术有：故障分析诊断技术。将入侵检测、病毒防治和安全管理等系统相配合，研究攻击和破坏事件自动报警和保护技术、攻击事件信息记录和破坏现场保护技术、黑客追踪和病毒源分析技术。

攻击避免与故障隔离技术。研究信息系统、网络系统的仿真、诱骗和隐蔽技术；研究具有抗攻击和破坏能力的网络与系统的体系结构和技术，如隔离技术等。 3.2.4 各子部分之间的关系及接口 各子部分的关系如图：

图3：各子部分之间关系图

各子部分之间的接口规范如下：

1. 内容安全使用CVP（Content Vectoring Protocol）

内容安全允许用户扫描经过网络的所有数据包内容。例如：病毒、恶意Java 或AcitveX 程序等。本体系可提供的CVP API 定义了异步接口将数据包转发到服务器应用程序去执行内容验证。用户可以根据多种标准来验证内容的安全。 2、Web 资源管理使用UFP（URL Filtering Protocol）

UFP 定义了Client/Server 异步接口来分类和控制基于特定URL 地址的通信。防火墙上的UFP 客户端将URL传送到UFP 服务器上，UFP 服务器使用动态分类技术将URL 进行分类，防火墙则根据安全规则的定义对分类进行处理。对客户来说，通过中央的安全策略管理即可实现高效的Web 资源管理。

3、入侵检测采用SAMP（Suspicious Activity Monitorng Protocol）

SAMP API 定义了入侵检测应用同VPN 和网络防火墙通信的接口。入侵检测引擎使用SAMP 来识别网络中的可疑行为，并通知防火墙处理。另外SAMP 应用可以发送日志、告警和状态信息到安全管理子系统。 4、事件集成

百度搜索“70edu”或“70教育网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，70教育网，提供经典综合文库网络安全技术白皮书(3)在线全文阅读。