浅析保护网络信息交换安全关键技术

黎小平

摘要：随着网络应用越来越频繁，网络数据量越来越大，网络信息交换的安全性颇受社会关注。目前，在网络应用过程中，来自网络攻击、病毒入侵、非授权访问和信息泄密等问题层出不穷，尽管在互联网应用的基础上开发了多种不同方式的数据保护方式和网络使用安全措施，但是仍然无法完全解决网络间信息的安全交换问题，其主要原因是各网络信息交换保护措施都具有一定的局限性。因此，该文针对网络信息交换安全的关键技术进行分析，希望能够将各技术相互结合，打造出一套基于不同安全等级的网络及系统之间的网络信息交互安全方案，提高保护网络信息交互安全能力。

关键词：信息交换；网络安全；协议分析；访问控制

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2015）34-0042-02

Abstract： With the increasing of network applications， network data is becoming more and more popular， and the security of network information exchange is very popular. At present， there are many problems in the process of network application， such as network attack， virus invasion， unauthorized access and information leakage. So we have developed a variety of different ways and security measures based on Internet application， but still can not completely solve the problem of network information security exchange， the main reason is that the network information exchange protection measures have certain limitations. Therefore， this paper analyzes the key technologies of network information exchange， hoping to combine the technology to create a set of network information security scheme based on different levels of security and network information security.

Key words： information exchange； network security； protocol analysis； access control

网络信息交换的安全性达到关系到国家的安全，小到关系到每一个人的财产和隐私安全。早期为保护网络信息安全交换是通过人工物理隔离的方式进行干预，这种方式不仅工作效率低，而且难以排除人为因素导致网络信息安全问题。在我们网络应用进入大数据时代后，这种方式远远无法满足实际的需求，所以信息传输方向控制技术、访问控制技术、协议分析技术、身份认证技术、地址绑定技术、内容检测技术等多项保护网络信息交换的安全技术应运而生。

1保护网络信息交换安全关键技术

1.1信息传输方向控制技术

网络信息传输方向控制技术是采用双通道通信机制，将可信网络信息与非可信网络信息进行数据分流，通过不同数据通道进行信息传输，以保证可信网络信息的可控性。网络信息通道分离控制，可在信息安全需要时进行数据单项传输，以此可避免网络信息交换过程中出现信息泄露问题。

1.2访问控制技术

在计算机操作系统中，已经设定了较为完善的网络访问控制策略，但是任何一套操作系统也无法实现无懈可击。因此，在进行网络访问控制时，需要通过网络源地址、目的地址、网络端口及网络协议等进行网络信息数据传输过滤，将不符合组织安全策略的信息进行过滤，禁止其访问计算机内部网络。

1.3协议分析技术

网络信息可通过HTTP、FTP、NFS、SMTP、DNS、POP3、SAMBA等多种应用层协议进行交换，协议分析技术是对常见协议命令及参数进行分析和过滤，采用数据包预处理——安全决策——RFC校验——协议分析——数据提取——格式化等处理模块进行信息分析，保证网络信息交换内容的安全性。

1.4身份认证技术

网络身份认证技术包括本地用户认证、口令认证、数字证书、RADIUS远程访问认证和LDAP认证等。不同的认证方式虽然认证的方式不同，但认证目的一致，即保证网络中用户的合法性。本地认证是对本地网络用户的用户名、口令等进行认证，其支持HTTP/HTTPS方式实现认证信息获取。数字证书认证是通过网闸导入根证书，再检测用户证书格式、日期、签发信息等方式确认网络访问者的合法性。RADIUS远程访问认证和LDAP认证则是通过第三方安全认证服务器发送认证指令确定访问者的真实性，譬如手机短信验证等。

1.5地址绑定技术

地址绑定技术是采用IP与MAC地址绑定，可对指定接口所连接在网络中主机IP和MAC地址进行绑定，这种方式能够防止IP和内部网络信息资源分配混乱问题，对网络IP资源进行管理可有效对IP使用者进行管理，并对非法用户进行有效监管。

1.6内容检测技术

内容检测技术是对网络信息交换的内容进行安全过滤和访问控制，通过内容检测技术尅防止外部恶意代码和病毒入侵。网络信息交换内容检测可针对HTTP、FTP、电子邮件等信息进行检测，能够对内容中的关键字、URL、Cookie文件类型等进行有效管理，并对内容中存在的病毒进行查杀。

2网络信息交换安全技术综合运用方案

各网络信息交换保护措施在某一方向上具有较好的信息交互安全保护能力，但是具有一定的局限性。因此将各种网络信息交换安全技术综合运用建立较为完善的保护网络信息交换安全方案对于实现高速、安全的数据交互具有非常好的实用性。

网络信息交换安全技术综合运用可划分为外网防护、内网防护和隔离交换。内外网防护可利用信息传输方向控制技术、访问控制技术、协议分析技术等对可信网络信息和不可信网络信息进行数据剥离。隔离交换通过不同的通信通道进行信息交换，采用身份认证技术、地址绑定技术、内容检测技术等完成网络信息安全交换。其中内外网络信息交换技术主要是对网络访问进行管理，不存在基于网络协议的数据转发，而隔离交换技术则是为内外网络信息交换建立信息交换通道，并完成交换信息内容的检测。网络信息交换安全技术综合运用方案如图1所示：

网络交换信息在进行通信时，通过网闸传递经过多重安全检查模块进行检测，首先在外网防护过程中通过验证TCP/IP交换信息的合法性，进行用户过滤；内网通过交换信息的内容检查、数据提取、协议检查、访问控制、会话终结等检查交换信息的安全性，当数据包通过检查后，进行格式化数据块，最后将合法的数据包的传输信息存放在缓冲区等待被隔离交换。将保护网络信息交换技术综合应用可在任意时刻对可信网与非可信网交换信息进行安全隔离，最终完成网络信息的安全交换。

3保护网络信息交换安全技术方案应用

3.1数据库信息交换安全应用

将保护网络信息交换安全技术综合应用在数据库与外部网络之间的信息交换中，可根据安全策略进行数据库内容同步，在此过程中，外网与内网防护能够防止TCP/IP数据包直接穿越网络达到数据库服务器，在信息存入数据库前，进行信息的隔离交换，利用内容检测技术对即将存入的数据进行检测，通过检测的数据包方可存入数据库。

3.2电子邮件收发信息交换安全应用

通过网络信息交换安全技术综合应用可将邮件内容、附件类型等进行安全检测，过滤垃圾邮件和带病毒的邮件。其中，内外网防护可检测出邮件的来源和内容中是否存在潜在危险，如果没有发现危险则进行隔离交换，从而使用户能够安全的收发邮件，保证邮件使用的安全。

3.3文件信息交换安全应用

在进行文件信息交换时，首先通过防火墙技术对文件类型进行过滤，其次对文件来源的IP地址进行检查，检查网络协议中是否存在漏洞。对于机密文件指定文件交换方向，文件类型，并对文件的内容及是否存在病毒进行检查，在文件传输时，可附带数字签名，以保证对文件来源的身份进行认证。

4结束语

网络信息安全交换是当下网络应用中非常重要的内容，目前保护网络信息交换的技术种类非常的多，但是每一项技术都具有一定的针对性，单独使用某一项技术都无法达到对网络信息安全交换的有效保护，因此，将各种技术结合起来，利用各项技术的优点分阶段，分层次进行安全防护，由此才能提高网络信息安全交换效果。

参考文献：

[1] 邓亮， 陈抱雪， 隋国荣 等.信息传输对网络采样控制系统输入/输出的影响[J].控制理论与应用， 2011（6）.

[2] 房文治.网络安全访问控制技术[J].电子技术与软件工程， 2014（15）.

[3] 曲长城.试析网络协议分析软件在网络维护中的运用[J].信息安全与技术， 2012（8）.

[4] 唐建强， 刘颖，万明 等.一体化标识网络中的用户身份认证协议[J].北京交通大学学报，2012（2）.

[5] 程军锋.MAC地址和IP地址在网络中的应用[J].办公自动化， 2012（6）.

[6] 吴蓉晖， 龙晓刚，刘云.网络内容检测中多模式匹配算法研究[J].中国新技术新产品， 2010（14）.