网络安全设计.pdfVIP

网络安全设计

一、构建安全网络的基本技术

网络安全技术指致力于解决诸如如何有效进行介入控制，以及如何保证数据

传输的安全性的技术手段及其他的安全服务和安全机制策略。目前主要有以下几

种安全技术。

1.数据加密技术

密码技术是网络安全最有效的技术之一。所谓数据加密技术是指将一个信息

（或称明文）经过加密密钥及加密函数转换，变成无意义的密文。而接收方则将

此密文经过解密函数、解密密钥还原成明文。在信息传输过程中，发送方先用加

密密钥，通过加密设备或算法，将信息加密后发送出去，接收方在收到密文后，

用解密密钥将密文解密，恢复为明文。如果传输中有人窃取，也只能得到无法理

解的密文，从而对信息起到保密作用。

2.数字认证技术

数字认证证书它是以数字证书为核心的加密技术，可以对网络上传输的信息

进行加密和解密、数字签名和签名验证，确保网上传递信息的安全性、完整性。

使用了数字证书，即使用户发送的信息在网上被他人截获，甚至丢失了个人的账

户、密码等信息，仍可以保证账户、资金安全。数字认证技术解决了保密性、认

证性、完整性和不可抵赖性等几个关键安全问题。

3.网络病毒防范技术

计算机病毒防范技术就是通过一定的技术手段防止计算机病毒对系统的传

染和破坏。实际上这是一种动态判定技术，即一种行为规则判定技术。计算机病

毒的预防是采用对病毒的规则进行分类处理，而后在程序运作中凡有类似的规则

出现则认定是计算机病毒，通过阻止计算机病毒进入系统内存或阻止计算机病毒

对磁盘的操作，尤其是写操作。杀毒软件预防病毒技术包括：磁盘引导区保护、

加密可执行程序、读写控制技术和系统监控技术等。从防病毒产品对计算机病毒

的作用来讲，防病毒技术可以直观地分为病毒预防技术、病毒检测技术和病毒清

除技术。

4.漏洞扫描技术

漏洞扫描就是对系统中重要的数据、文件等进行检查，发现其中可被黑客所

利用的漏洞。漏洞检测技术就是通过对网络信息系统进行检查，查找系统安全漏

洞的一种技术。它能够预先评估和分析系统中存在的各种安全隐患，换言之，漏

洞扫描就是对系统中重要的数据、文件等进行检查，发现其中可被黑客所利用的

漏洞。随着黑客入侵手段的日益复杂和通用系统不断发现的安全缺陷，预先评估

和分析网络系统中存在的安全问题已经成为网络管理员的重要任务。漏洞扫描的

结果实际上就是系统安全性能的评估报告，它指出了哪些攻击是可能的，因此成

为网络安全解决方案中的一个重要组成部分。

5.防火墙技术

防火墙是指设置在不同网络（如可信任的企业内部网络和不可信的公共网

络）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信

息的唯一出入口，能根据企业部门的安全策略控制（允许、拒绝、监测）出入网

络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络

和信息安全的基础设施。在逻辑上，防火墙是个分离器，是个限制器，也是个分

析器，有效地监控了内部网络和Internet之间的任何活动，保证了内部网络的

安全。防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而

降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变

得更安全。

6.入侵检测技术

入侵检测技术是指通过对行为、安全日志或审计数据或其他网络上可以获得

的信息进行操作，检测到对系统的闯入或闯入的企图。入侵检测技术能够及时发

现并报告系统中未授权或异常现象的技术，也用于检测计算机网络中违反安全策

略行为。入侵检测系统所采用的技术可分为特征检测与异常检测两种。

二、信息网络安全设计原则

大型网络是—种分层次的拓扑结构，因此网络的安全防护也需采用分层次的

防范保护措施。一个完整的信息网络安全解决方案应该覆盖网络的各个层次，并

且与安全管理相结合。对于新建网络及已投入运行的网络，必须尽快解决网络的

安全保密问题，考虑到技术难度及经费等因素，设计时应遵循如下原则。

●大幅度地提高系统的安全性和保密性。

●保护网络原有的性能特点，即对网络的协议和传输具有很好的透明性。

●易于操作维护，便于自动化管理，而不增加或减少附加操作。

●尽量不影响原网络拓扑结构，便于系统及系统功能的扩展。

●安全保密系统具有较好的性能价格比，一次性投入，可以长期使用。

●安全与密码技术具有合法性，便于安全管理单位和密码管理单位的检查和

监督。