1 引言

　　專用網(wǎng)(Private Network)指某個部門為滿足本單位特殊業(yè)務(wù)工作的需要而建造的網(wǎng)絡(luò)。伴隨著計算機網(wǎng)絡(luò)與信息技術(shù)的飛速發(fā)展，社會的信息化程度越來越高，軍隊、銀行、鐵路、電力等部門均建立了本系統(tǒng)的專用網(wǎng)。近幾年不斷出現(xiàn)的安全事件表明，網(wǎng)絡(luò)攻擊行為已經(jīng)由因特網(wǎng)蔓延到了專用網(wǎng)，而且專用網(wǎng)上的安全事件造成的危害及損失更大，特別是經(jīng)由軍事網(wǎng)絡(luò)造成的失泄密后果尤其嚴重。本文在深入分析專用網(wǎng)安全現(xiàn)狀及安全需求的基礎(chǔ)上，提出了相應(yīng)的安全策略，并引入了相應(yīng)的安全技術(shù)。

　　2 專用網(wǎng)安全需求分析

　　專用網(wǎng)與因特網(wǎng)均采用了互聯(lián)網(wǎng)技術(shù)，但專用網(wǎng)的安全需求及安全現(xiàn)狀與因特網(wǎng)有很大的區(qū)別。

　　(1)因特網(wǎng)的開放性使任何人都可能成為攻擊者或被攻擊者，網(wǎng)絡(luò)安全難以控制;而專用網(wǎng)接入人員及接入地點受限，且與公用網(wǎng)物理隔離，安全策略的部署與實施相對簡單。

　　(2)因特網(wǎng)主要目的是實現(xiàn)開放性的互聯(lián)及多樣性的服務(wù)，為滿足以上需求引入網(wǎng)絡(luò)設(shè)備或安全設(shè)備以及相應(yīng)技術(shù);而專用網(wǎng)網(wǎng)絡(luò)拓撲相對固定、業(yè)務(wù)專一，引入網(wǎng)絡(luò)設(shè)備或安全設(shè)備以及相應(yīng)技術(shù)時應(yīng)該在滿足業(yè)務(wù)需要的同時兼顧安全需求。

　　(3)因特網(wǎng)上最大的安全威脅來自于竊取主機控制權(quán);而專用網(wǎng)上最大的安全威脅來自于越權(quán)訪問及信息泄露。

　　除了上述區(qū)別之外，解決專用網(wǎng)安全問題還需要考慮專用網(wǎng)自身的建設(shè)與發(fā)展過程。以軍用網(wǎng)絡(luò)為例，在建設(shè)之初，由于網(wǎng)絡(luò)安全問題并不突出，安全需求也未明確，主要是解決互聯(lián)互通問題，安全設(shè)計上比較薄弱。隨著近年來網(wǎng)絡(luò)安全問題日益嚴峻，逐漸加大了安全上的投入，配置了如防火墻、入侵檢測系統(tǒng)、漏洞掃描等多種安全設(shè)備，但由于缺乏頂層規(guī)劃，各種網(wǎng)絡(luò)設(shè)備及安全設(shè)備的部署還沒有發(fā)揮出最佳效能。因此，從總體上考慮專用網(wǎng)安全問題，制定有效的專用網(wǎng)安全策略用于指導(dǎo)各種設(shè)備的部署與配置，引入先進的安全技術(shù)，增強專用網(wǎng)安全性能是十分必要和迫切的。

　　3 專用網(wǎng)安全策略

　　安全策略是一套文檔化的規(guī)則，用來限制由一組或多組元素組成的一組或多組與安全相關(guān)的行為。對一個確定的信息系統(tǒng)而言，若能設(shè)計一種提供恰當(dāng)?shù)摹⒎习踩枨蟮恼w思路將會使安全問題簡單化。因此在國內(nèi)外很多安全組織提出的P2DR、PDRR、PASME等諸多安全模型中都將安全策略制訂列為最重要的環(huán)節(jié)。通過安全需求的分析與安全策略的制定將日益復(fù)雜的信息系統(tǒng)與日益嚴峻的安全威脅集中到最高決策層來關(guān)注與實施，從而明確如何達到預(yù)期的安全效果。可以說建立安全策略是安全最重要的工作，也是實現(xiàn)安全管理規(guī)范化的第一步。

　　在制定詳細、具體的專用網(wǎng)安全策略時，可以遵循以下三條基本安全策略：

　　1)建立基于業(yè)務(wù)流的安全模型

　　專用網(wǎng)的特點決定了專用網(wǎng)上的業(yè)務(wù)關(guān)系即為專用網(wǎng)上的信息流動關(guān)系。為了增強專用網(wǎng)安全，可將專用網(wǎng)上不同業(yè)務(wù)機關(guān)之間存在的橫向(平級業(yè)務(wù)機關(guān)、同一個網(wǎng)內(nèi))的信息流及縱向(上下級業(yè)務(wù)機關(guān)、跨網(wǎng)絡(luò))的信息流進行細致的區(qū)分，并且根據(jù)不同業(yè)務(wù)機關(guān)不同的安全需求(高、中、低)，制定各信息流的安全策略，建立基于業(yè)務(wù)流的安全模型。同時，嚴格控制除業(yè)務(wù)關(guān)系之外出現(xiàn)的信息流動。按這一基本策略來制定具體的設(shè)備部署與配置策略。

　　2)基于最大隔離準則的設(shè)備配置方案

　　在建立了基于業(yè)務(wù)流的安全模型的基礎(chǔ)上，為了防范專用網(wǎng)上的越權(quán)訪問、網(wǎng)絡(luò)監(jiān)聽等引起的信息泄露，在部署與配置專用網(wǎng)網(wǎng)絡(luò)設(shè)備及安全設(shè)備時，采用基于最大隔離準則的設(shè)備配置方案。最大隔離準則，目的是實現(xiàn)專用網(wǎng)中信息節(jié)點邏輯上盡量隔離，盡量避免不必要的網(wǎng)絡(luò)聯(lián)通。具體的技術(shù)方案有以下三點：

　　(1)局域網(wǎng)內(nèi)橫向劃分VLAN(虛擬局域網(wǎng))，隔離不同業(yè)務(wù)流，防范惡意嗅探。

　　(2)互聯(lián)時縱向組建VPN(虛擬專用網(wǎng))，連通必要的業(yè)務(wù)流動，保證業(yè)務(wù)流信息安全。

　　(3)強化防火墻安全規(guī)則，只允許VPN通道通過，拒絕其余網(wǎng)絡(luò)連接。

　　3)建立應(yīng)急響應(yīng)體系及安全管理制度

　　為了快速、有效地解決專用網(wǎng)發(fā)生的惡意攻擊、網(wǎng)絡(luò)病毒發(fā)作、網(wǎng)絡(luò)蠕蟲傳播等安全事件，在制定專用網(wǎng)安全策略時，還必須制定嚴格的安全管理制

　　度，建立應(yīng)急響應(yīng)體系。通過安全管理制度及應(yīng)急響應(yīng)體系，可以提高專用網(wǎng)內(nèi)人員的安全意識，增強協(xié)同處理專用網(wǎng)內(nèi)緊急安全事件的能力，從而快速發(fā)現(xiàn)、快速抑制、快速解除網(wǎng)絡(luò)入侵，并使其造成危害降至最低。

　　4 專用網(wǎng)應(yīng)引入的安全技術(shù)

　　在以上安全策略的指導(dǎo)下，為了增強專用網(wǎng)安全性，在實施過程中，必須引入以下安全技術(shù)。

　　1)VLAN技術(shù)

　　VLAN[1](Virtual Local Area Network)，又稱為虛擬局域網(wǎng)，1999年IEEE頒布了用以標準化VLAN實現(xiàn)方案的IEEE 802.1Q協(xié)議標準草案。它是一種不拘泥于站點的物理位置，根據(jù)功能、應(yīng)用等因素將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)功能相對獨立的虛擬工作組的技術(shù)。

　　劃分了VLAN后，由于各個VLAN之間不能直接進行數(shù)據(jù)通信，必須通過路由器來轉(zhuǎn)發(fā)VLAN之間的數(shù)據(jù)，因此，如果VLAN之間沒有路由器，那么VLAN就是與外界其他設(shè)備相隔離的，相當(dāng)于一個獨立的局域網(wǎng)，安全性可以得到較大程度的提高。

　　VLAN技術(shù)需要網(wǎng)絡(luò)設(shè)備的支持，配置了三層交換機的專用網(wǎng)可以按照基于業(yè)務(wù)流的安全模型對本級局域網(wǎng)進行VLAN劃分，從而保證不同的業(yè)務(wù)流相互隔離，防范網(wǎng)絡(luò)監(jiān)聽手段的入侵。

　　2)VPN技術(shù)

　　VPN[2](Virtual Private Network)，又稱為虛擬專用網(wǎng)，是對通過共享公用網(wǎng)絡(luò)(如Internet)并使用封裝、加密和身份認證等技術(shù)進行連接的內(nèi)部網(wǎng)絡(luò)的擴展。之所以提出該技術(shù)的是為了方便在公用網(wǎng)絡(luò)基礎(chǔ)設(shè)施之上建立專用網(wǎng)絡(luò)。

　　在專用網(wǎng)中對路由器、防火墻等設(shè)備進行配置，采用VPN技術(shù)將不同節(jié)點間有業(yè)務(wù)關(guān)系的計算機連通，可以實現(xiàn)專用網(wǎng)中的虛擬網(wǎng)。由于VPN提供了對VPN兩端的身份認證和訪問控制及對傳輸數(shù)據(jù)的信息加密和信息認證，因此能夠有效防范截斷攻擊和竊聽攻擊。而且良好的VPN應(yīng)用可在不同層次實現(xiàn)不同的VPN隧道協(xié)議對數(shù)據(jù)進行保護。

　　3)HoneyPot和HoneyNet

　　近年來，一種新的主動防御型安全技術(shù)——蜜罐技術(shù)成為研究的熱點方向，它可以有效地欺騙網(wǎng)絡(luò)攻擊者從而達到保護網(wǎng)絡(luò)的目的。蜜罐技術(shù)最初提出時，國外計算機專家將其命名為Honeypot[3]。其準確的定義是：“蜜罐是一種安全資源，它的價值就是被探測，被攻擊或攻陷”。后來又出現(xiàn)了Honeynet(蜜網(wǎng))，它將單個的蜜罐連成網(wǎng)絡(luò)，是具有高交互性能的蜜罐。

　　采用應(yīng)用型蜜罐并將其放置在在專用網(wǎng)中，與其它安全設(shè)備及安全技術(shù)共同保護專用網(wǎng)，可以有效增強專用網(wǎng)的安全性，蜜罐所起的作用是其它安全設(shè)備或安全技術(shù)所無法替代的，其它安全設(shè)備或安全技術(shù)用來被動防御攻擊者的入侵，而蜜罐是欺騙攻擊者將攻擊方向轉(zhuǎn)向自己，從而拖延或使攻擊者放棄對真實網(wǎng)絡(luò)環(huán)境的攻擊。

　　5 結(jié)束語

　　面向業(yè)務(wù)處理的專用網(wǎng)與公用網(wǎng)絡(luò)相比，網(wǎng)絡(luò)的安全性更為關(guān)鍵。積極有效制定安全策略可以指導(dǎo)專用網(wǎng)的建設(shè)及安全規(guī)劃以達到預(yù)期的安全效果。本文提出的基于業(yè)務(wù)流的安全模型、基于最大隔離準則的設(shè)備配置、應(yīng)急響應(yīng)體系及安全管理制度可以對專用網(wǎng)詳細安全策略的制定起到積極的作用。應(yīng)用本文提出的專用網(wǎng)安全策略，并引入新型的安全技術(shù)，可以提高專用網(wǎng)的安全性。

　　參考文獻

　　[1] 李頻，唐家益，陳丹偉等. 虛擬專用網(wǎng)分類和比較研究[J]. 計算機工程，2006(11)，32(22)：133-135

　　[2] 劉星沙，彭浩，劉苗. 一個基于PE分層技術(shù)的電子政務(wù)網(wǎng)絡(luò)平臺[J]. 信息技術(shù)，2006(11)：16-18

　　[3] 田斌，陸際光. 一種新型的網(wǎng)絡(luò)安全技術(shù)—蜜罐[J]. 科技創(chuàng)業(yè)月刊，2006(3)：171-174