特种计算机在网络安全上的应用

随着计算机网络的发展，其开放性，共享性，互连程度扩大，网络的重要性和对社会的影响也越来越大。宽带网作为企业主要的数据业务承载网络，特别是电子商务(E-Commerce)、企业数据专线、网络互联、Internet接入服务等应用在社会经济生活的地位日益凸现。网络的安全性直接影响到社会的经济效益。例如，2003年1月份的SQL杀手蠕虫事件，中国有两万多台数据库服务器受到影响，使国内众多企业网络全部处于瘫痪或半瘫痪状态;2003年8月份的冲击波蠕虫，使成千上万的用户计算机变慢，被感染的计算机反复重启，有的还导致了系统崩溃，受到“冲击波”病毒感染的计算机反过来又会影响到网络的正常运行。

　　随着网络安全问题重要性增加，如何设计一个稳定、可靠、安全和经济的企业网，应对日益增多的网络攻击、病毒破坏和黑客入侵等问题已成为企业网络建设和运营所关注的重点。本文从网络互连七层协议、城域网的分层和网络安全管理体系三个方面来阐述宽带网络的安全性。

　　[网络安全服务层次模型]

　　国际标准化组织ISO在开放系统互连标准中定义了七个层次的网络互连参考模型，它们分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。不同的网络层次有不同的功能，例如链路层负责建立点到点通信，网络层负责路由，传输层负责建立端到端的进程通信信道。相应地，在各层需要提供不同的安全机制和安全服务。

　　在物理层要保证通信线路的可靠，不易被窃听。在链路层可以采用加密技术，保证通信的安全。在Internet、Intranet环境中，地域分布很广，物理层的安全难以保证，链路层的加密技术也不完全适用。

　　在网络层，可以采用传统的防火墙技术，如TCP/IP 网络中。采用IP过滤功能的路由器，以控制信息在内外网络边界的流动。还可使用IP加密传输信道技术IP SEC，在两个网络结点间建立透明的安全加密信道。这种技术对应用透明，提供主机对主机的安全服务。适用于在公共通信设施上建立虚拟的专用网。这种方法需要建立标准密钥管理，目前在产品兼容性和性能上尚存在较多问题。

　　在传输层可以实现进程到进程的安全通信，如现在流行的安全套接字层SSL技术，是在两个通信结点间建立安全的TCP连接。这种技术实现了基于进程对进程的安全服务和加密传输信道，采用公钥体系做身份认证;有高的安全强度。但这种技术对应用层不透明，需要证书授权中心，它本身不提供访问控制。

　　针对专门的应用，在应用层实施安全机制，对特定的应用是有效的，如基于SMTP电子邮件的安全增强型邮件PEM提供了安全服务的电子邮件。又如用于Web的安全增强型超文本传输协议S-HTTP提供了文件级的安全服务机制。由于它是针对特定应用的，缺乏通用性，且须修改应用程序。

　　[企业宽带网的层次安全模型]

　　企业宽带网的安全风险主要在于设备遭受攻击或病毒引发的网络流量突然增大对设备性能的冲击，与业务相关的数据库服务器受到病毒的攻击，影响业务的正常运行，安全建设应更多地采用技术来保证网络和设备安全，并以用户管理作为辅助手段。

　　安全模型将企业宽带网分成三个区域：信任域、非信任域和隔离区域(非军事区)。信任域是企业内部的基础网络，通常采用防火墙等设备与企业业务网隔离，包括企业内部的各个不同的域;隔离区域是信任域和非信任域之间进行数据交互的平台，包括企业对外提供的各种业务平台，如Web服务平台、FTP服务器、用户查询平台、Mail服务器等;非信任域是指企业之外的广泛的互联网络，是企业不能完全控制的网络。作为安全模型中的非信任域，需要重点考虑。