桂林空军学院 沈军 李彦希　

　　摘 要：本文作者从危害网络安全的6个方面的主要因素进行分析，论述了建立完善的网络安全方案、保护网络系统核心资源的必要性，继之详细论述了网络安全分层控制方案的内容，即：采用分层控制方案，将整个网络分为外部网传输控制层、内外网间访问、内部网络访问控制层、操作系统及应用软件层和数据存储层，进而对各层的安全采取不同的技术措施。

　　关键词：网络安全 分层控制 Internet

　　自有计算机网络以来，网络安全就成为网络使用者不得不面对的问题。随着网络应用的飞速发展、Internet应用的日益广泛，计算机网络安全问题变得尤为突出。今年年初，从美国的Yahoo！网站开始，美国、欧洲及我国的一些著名网站不断遭到黑客的攻击，这使人们对信息安全问题更加关注，建立完善的网络安全方案、保护核心资源已迫在眉睫。

　　一、网络安全的主要威胁

　　影响网络安全的因素很多，既有自然因素，也有人为因素，其中人为因素危害较大，归结起来，主要有六个方面构成对网络的威胁：

　　1、人为失误：一些无意的行为，如：丢失口令、非法操作、资源访问控制不合理、管理员安全配置不当以及疏忽大意允许不应进入网络的人上网等，都会对网络系统造成极大的破坏。

　　2、病毒感染：从“蠕虫”病毒开始到CIH、爱虫病毒，病毒一直是计算机系统安全最直接的威胁，网络更是为病毒提供了迅速传播的途径，病毒很容易地通过代理服务器以软件下载、邮件接收等方式进入网络，然后对网络进行攻击，造成很大的损失。

　　3、来自网络外部的攻击：这是指来自局域网外部的恶意的攻击，例如：有选择地破坏网络信息的有效性和完整性；伪装为合法用户进入网络并占用大量资源；修改网络数据、窃取、破译机密信息、破坏软件执行；在中间站点拦截和读取绝密信息等。

　　4、来自网络内部的攻击：在局域网内部，一些非法用户冒用合法用户的口令以合法身份登陆网站后，查看机密信息，修改信息内容及破坏应用系统的运行。

　　5、系统的漏洞及“后门”：操作系统及网络软件不可能是百分之百的无缺陷、无漏洞的。另外，编程人员为自便而在软件中留有“后门”，一旦“漏洞”及“后门”为外人所知，就会成为整个网络系统受攻击的首选目标和薄弱环节。大部分的黑客入侵网络事件就是由系统的“漏洞”和“后门”所造成的。

　　6、隐私及机密资料的存储和传输：机密资料存储在网络系统内，当系统受到攻击时，如不采取措施，很容易被搜集而造成泄密。同样，机密资料在传输过程中，由于要经过多外节点，且难以查证，在任何中介网站均可能被读取。因而，隐私和机密资料的存储及传输也是威胁网络安全的一个重要方面。

　　由于网络所带来的诸多不安全因素，使得网络使用者必须采用相应的网络安全技术和安全控制体系来堵塞安全漏洞以保证信息的安全。

　　二、安全分层控制方案

　　在网络安全方面，可以采用多种技术从不同角度来保证住处的安全。然而，单纯的防护技术可能导致系统安全的盲目性，这种盲目是对系统的某个或某些方面的安全采取了安全措施而对其它方面有所忽视。因而，在网络安全上，我们采用分层控制方案，将整个网络分为外部网络传输控制层、内外网间访问控制层、内部网络访问控制层、操作系统及应用软件层和数据存储层，进而对各层的安全采取不同的技术措施。

　　(一)外部网络传输控制层：

　　外部网络是指局域网路由器和防水墙之外的公用网。当前网络技术发展声速，因物网四通八达，网上黑客手段多种多样，为了保证安全，可以从四个方面采取措施：

　　1、虚拟专网(VPN)技术：对于从专线连接的外部网络用户，采用虚拟专网(VPN)技术，它使架设于公众网络上的私有网络使用信道协议及相关的安全程序进行保密，还可以采用点对点协议、加密后送出资料及加密收发两端网络位置等措施使虚拟专网更加可靠。

　　2、身份认证技术：对于拨号入网的用户进行严格控制，在拨号线路上加装保密机，使无保密机的用户无法拨通；通过用户名和口令认真检查用户身体；利用回拨技术再次确认和限制非法用户的入侵。

　　3、加密技术：在外部网络的数据传输过程中，采用密码技术对信息加密是最常用的安全保护手段。目前广泛使用的有对称算法和非对称算法两类加密算法，两种方法结合使用，加上数字签名、数字时间戳、数字水印及数字证书等技术，可以使通信安全得到保证。

　　4、物理隔离：共用网及因特网黑客日益猖獗，加上我国使用计算机及网络设备的软硬件产品大多数是进口的，安全上没有很好的保证，因而将外部网络中的因特网与专用网络如军用网实现物理隔离，使之没有任何连接，可以使局域与外部专用网络连接时，局域网在安全上较为稳妥。