網絡層安全保密技術一般從網絡結構、網絡協(xié)議、安全設備部署等方面設計安全保密的網絡系統(tǒng)，主要包括網絡隔離技術、網絡邊界保護技術、網絡安全監(jiān)測技術，以及網絡數(shù)據加密技術等。其中，網絡隔離技術是最基礎的安全保密技術，可以利用網段隔離、交換網絡、WLAN等技術實現(xiàn)，具體應用有安全隔離網閘技術；網絡邊界保護技術是通過在網絡邊界部署包過濾、應用層網關、狀態(tài)監(jiān)測等手段來實現(xiàn)，具體應用是防火墻技術；網絡安全監(jiān)測技術則是利用入侵檢測系統(tǒng)、網絡日志審查等技術手段實時監(jiān)測系統(tǒng)的安全狀態(tài)，主要包括入侵檢測技術和安全態(tài)勢感知技術；網絡數(shù)據加密技術則是對敏感數(shù)據以密文的形式進行傳輸，能夠有效應對旁路竊聽等攻擊，具體應用有匿名通信技術。

（一）安全隔離網閘技術

互聯(lián)網在為人們工作帶來便利的同時，其安全問題也逐漸凸顯出來。當一個內部網絡既需要保證其數(shù)據的安全，又需要與外部網絡進行數(shù)據交換時，可以采用以網閘技術為核心技術的網絡安全隔離系統(tǒng)來保證內網與外網的物理隔離，同時又能夠根據業(yè)務需求實現(xiàn)內外網之間多種形式的信息和數(shù)據交換。

網閘是使用帶有多種控制功能的固態(tài)開關讀寫介質連接兩個獨立主機系統(tǒng)的信息安全設備。物理隔離網閘所連接的兩個獨立主機系統(tǒng)之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據協(xié)議的信息包轉發(fā)，只有數(shù)據文件的無協(xié)議“擺渡”，且對固態(tài)存儲介質只有讀和寫兩種命令。

網閘技術的工作流程可分為以下幾個步驟：切斷網絡之間的通用協(xié)議連接；將數(shù)據包進行分解或重組為靜態(tài)數(shù)據；對靜態(tài)數(shù)據進行安全審查，包括網絡協(xié)議檢查和代碼掃描等；確認后的安全數(shù)據流入內部單元；內部用戶通過嚴格的身份認證機制獲得所需數(shù)據。這樣就在安全隔離兩個網絡的基礎上實現(xiàn)了安全的信息交換和資源共享。

（二）防火墻技術

“防火墻”原指汽車上防止引擎發(fā)生爆炸而用來隔離引擎和乘客的裝置。在被引入計算機安全領域之后，指用來保護內部網絡不受來自外部的非法或非授權侵入的邏輯裝置，其核心思想是在不安全的網間環(huán)境中構造一個相對安全的子網環(huán)境?！胺阑饓Α狈N類很多，大致可分為兩大類。一類是包過濾型（packet filter），通常直接轉發(fā)報文，對用戶完全透明，速度較快；另一類是代理服務（proxy service），通過代理服務器（proxy service）建立網絡連接，具有較強的身份驗證和日志功能。但不論哪一類“防火墻”，都不能做到無隙可擊。目前，防火墻主要技術有如下幾種。

1、包過濾（packet filter）技術

包過濾技術，是指在網絡層中對數(shù)據包實施有選擇的通過。依據系統(tǒng)內事先設定的過濾邏輯，即訪問控制表（access control table），檢查數(shù)據流中每個數(shù)據包后，根據數(shù)據包的的源IP地址、目的IP地址、TCP/UDP源端口號、TCP/UDP目的端口號及數(shù)據包頭中的各種標志位等字段來確定是否允許數(shù)據包通過，其核心是安全策略，即過濾算法的設計。例如，基于特定服務的服務器使用特定的端口號（TCP端口23用于telnet連接），包過濾器可以通過簡單地規(guī)定適當?shù)亩丝谔杹磉_到阻止或允許一定類型的連接的目的，并可進一步組成一套數(shù)據包過濾規(guī)則。包過濾器的應用非常廣泛，因為CPU用來處理報文過濾的時間可以忽略不計。此外，這種防護措施對用戶透明，合法用戶的數(shù)據在進出網絡時，根本感覺不到它的存在。但是，包過濾防火墻的安全性有一定的缺陷，因為系統(tǒng)對應用層信息無感知，也就是說，防火墻不理解通信的內容。正是由于這種工作機制，包過濾防火墻存在以下缺陷：（1）數(shù)據包的源IP地址、目的IP地址以及IP的端口號都在數(shù)據包的頭部，很有可能被偽造；（2）通信和應用狀態(tài)信息：由于包過濾防火墻是無狀態(tài)的，不能根據通訊的上下文或應用的上下文來進行過濾；（3）信息處理：難于配置，不具備監(jiān)視和審計能力，信息處理能力極弱。

2. 應用網關技術

該技術又稱為雙主機技術（dual homed host），采用主機取代路由器執(zhí)行控管功能。主機是內外網絡連接的橋梁，起著網關的作用，也被稱為堡壘主機（bastion host）。應用層網關（application level gateways）是建立在網絡應用層上的基于主機的協(xié)議轉發(fā)器，它的原理是建立一個子網-----內部網絡和外部網絡之間的一個單獨區(qū)域，一個路由器或更復雜的網關位于內部網絡和該區(qū)域之間，其他的位于該區(qū)域和外部網絡之間。在該子網上有一個代理主機，進出用戶必須在應用層和該代理主機連接。代理主機可以進行預先的鑒別，針對特定的網絡應用服務協(xié)議指定數(shù)據過濾邏輯，限制進出的通信，并在進行應用協(xié)議所指定的數(shù)據過濾邏輯的同時，對數(shù)據包分析的結果及采取的措施做登記和統(tǒng)計，形成報告，提供審計的功能。

應用層網關不使用通用目標機制來服務不同種類的通信，而是針對每個應用使用專用的代碼。它在網絡應用層上建立協(xié)議過濾和轉發(fā)功能，針對特定的網絡應用服務協(xié)議使用指定的數(shù)據過濾邏輯，并在過濾的同時，對數(shù)據包進行必要的分析、登記和統(tǒng)計。通過采用這種專用的程序代碼，應用層網關可以提供高可靠性的安全機制。為了使用應用層網關，用戶需要在應用層網關上登錄請求，或者在本地機器上使用一個為該服務特別編制的程序代碼。每當一個新的需要保護的應用程序加入網絡中時，必須為其編寫專門的程序代碼。正因如此，許多應用層網關只能提供有限的應用和服務功能，同時必須為每一項應用編寫專用程序。但從安全角度上看，這也是一個優(yōu)點，因為除非明確地提供了應用層網關，否則就不可能通過防火墻。這也是在實踐“拒絕訪問除明確許可以外的任何一種服務”的原則。

應用層網關的優(yōu)點是容易記錄和控制所有進出的通信，應用層網關可以去掉內部設備的名字，隱藏可能有價值的數(shù)據，通信分析、內容分析和記錄都可以用來尋找信息漏洞，不必擔心不同過濾規(guī)則集之間的相互影響，也不必擔心對外提供安全服務的主機中的漏洞。應用層網關的缺點是對提供的大部分服務都需要專業(yè)化的用戶程序或不同用戶接口，這意味著只能支持最重要的服務，而且一旦特定的網絡數(shù)據滿足邏輯，則會導致防火墻內外的計算機系統(tǒng)建立直接聯(lián)系，這一點也給網絡帶來安全隱患。

3. 代理服務器技術

代理服務器也稱鏈路級網關或TCP通道，它作用在應用層，提供對應用層服務的控制，起到內部網絡向外部網絡申請服務時中間轉接的作用。內部網絡只接受代理提出的服務請求，拒絕外部網絡其他結點的直接請求。

具體地說，代理服務器是運行在防火墻主機上的專門的應用程序或者服務器程序。防火墻主機可以是具有一個內部網絡接口和一個外部網絡接口的雙重宿主主機，也可以是一些可以訪問互聯(lián)網并被內部主機訪問的堡壘主機。這些程序接受用戶對互聯(lián)網服務的請求（諸如FTP、Telent），并按照一定的安全策略轉發(fā)它們到實際的服務器。

代理服務應用于特定的互聯(lián)網服務，如超文本傳輸（HTTP）、遠程文件傳輸（FTP）等。代理服務器通常運行在兩個網絡之間，對于客戶來說像是一臺真的服務器一樣，而對于外界的服務器來說，它又是一臺客戶機。當代理服務器接收到用戶的請求后，會檢查用戶請求的站點是否符合公司的要求，如果公司允許用戶訪問該站點的話，代理服務器會像一個客戶端一樣去那個站點取回所需信息再轉發(fā)給客戶。代理服務器通常都擁有一個高速緩存，這個緩存存儲有用戶經常訪問站點的內容，在下一個用戶要訪問同樣的站點時，服務器就不用重復查找同樣的內容，既節(jié)約時間，也節(jié)約網絡資源。

代理服務器像一堵墻一樣擋在內部用戶和外界之間，從外面只能看到代理服務器而看不到任何內部資源，諸如用戶的IP等。代理工作在客戶機和真實服務器之間，完全控制會話，所以可以提供很詳細的日志和安全審計功能。通過代理訪問internet可以解決合法的IP地址不夠用的問題，因為internet所見到的只是代理服務器的地址，內部不合法的IP通過代理可以訪問internet。然而代理服務器也有明顯的缺點，主要包括它的有限連接性、性能低下等。

目前，隨著互聯(lián)網的環(huán)境不斷動態(tài)變化，新的協(xié)議、服務和應用不斷出現(xiàn)，代理服務器不能再處理互聯(lián)網上各種類型的傳輸，不能滿足新的商業(yè)需求，不能勝任對網絡高帶寬和安全性的需要。

4. 網絡地址轉換技術（NAT）

當受保護網連到internet上時，受保護網用戶必須使用一個合法的IP地址。但由于合法internet IP地址有限，而且受保護網絡往往有自己的一套IP地址規(guī)劃（非正式IP），這就需要網絡地址轉換器。網絡地址轉換器就是在防火墻上裝載一個合法IP地址集，當內部某一用戶要訪問internet時，防火墻動態(tài)地從地址集中選一個未分配的地址分配給該用戶，該用戶即可使用這個合法地址進行通信。同時，對于內部的某些服務器如Web服務器，網絡地址轉換器允許為其分配一個固定的合法地址，外部網絡的用戶就可以通過防火墻來訪問內部的服務器。這種技術既緩解了少量的IP地址和大量的主機之間的矛盾，又對外隱藏了內部主機的IP地址，提高了安全性。

網絡地址轉換分為靜態(tài)地址和動態(tài)地址兩種轉換模式，靜態(tài)地址轉換是一對一的永久地址映射，而動態(tài)地址轉換則是根據內部用戶的需要臨時分配公網地址，其地址映射是暫時的。網絡地址轉換可以對外隱藏內部的網絡結構，外部攻擊者無法確定內部計算機的連接狀態(tài)。在不同時候，內部計算機對外連接使用的地址都是不同的，給外部攻擊造成了困難。同樣，NAT也能通過定義各種映射規(guī)則，屏蔽外部的連接請求，并可以將鏈接請求映射到不同的計算機中。網絡地址轉換都和IP數(shù)據包過濾一起使用，就構成了一種更復雜的包過濾型的防火墻。僅僅具備包過濾能力的路由器，其防火墻能力還是比較弱，抵抗外部入侵的能力也較差，而和網絡地址翻譯技術相結合，就能起到更好的安全保障作用。

5. 規(guī)則檢查技術

規(guī)則檢查技術既能在網絡層上通過IP地址和端口號，過濾進出的數(shù)據包，也可以在OSI應用層上檢查數(shù)據包的內容，查看這些內容是否符合網絡的安全規(guī)則。目前，動態(tài)規(guī)則檢查技術是防火墻技術的一個重大改進。最初，靜態(tài)檢查規(guī)則是管理員事先定好的，由于事先很難精準地判斷防火墻應開多少端口才能滿足正常通信的需求，所以，只能打開較多的端口滿足需求，其中必然有大部分端口是不必打開的，這樣就給黑客的行動帶來極大的便利。動態(tài)規(guī)則的引入彌補了靜態(tài)規(guī)則的不足。動態(tài)規(guī)則是由應用程序直接加入的，因此所有在應用中才能知道是否打開的端口都由應用程序通過動態(tài)規(guī)則在適當時刻打開，當應用結束時，動態(tài)規(guī)則由應用程序刪除，相應的端口被關閉，而靜態(tài)規(guī)則只需要打開極少數(shù)必須打開的端口。這樣在最大限度上降低了黑客進攻的成功率。

6. 主動監(jiān)測技術

主動監(jiān)測技術監(jiān)測網絡情況，當出現(xiàn)網絡攻擊時就立即發(fā)出警告或切斷相關連接。它維護一個記錄各種攻擊模式的數(shù)據庫，并使用監(jiān)測程序時刻運行在網絡中進行監(jiān)控，一旦發(fā)現(xiàn)網絡中存在與數(shù)據庫中的某個模式相匹配的攻擊模式時，就能推斷可能出現(xiàn)網絡攻擊。主動監(jiān)測程序要監(jiān)控整個網絡的數(shù)據，因此需要運行在路由器上或路由器旁能獲得所有網絡流量的位置。這種技術主要用于對網絡安全要求非常高的網絡系統(tǒng)中，常用的網絡并不需要使用這種方式。

7. 多級過濾技術

多級過濾防火墻采用了分組、應用網關和電路網關的三級過濾措施。在分組過濾一級，過濾掉所有的源路由分組和假冒的IP源地址；在應用網關一級，利用FTP、SMTP等各種網關，控制和監(jiān)測internet提供的所用通用服務；在電路網關一級，實現(xiàn)內部主機與外部站點的透明連接，并對服務執(zhí)行嚴格的控制。

8. INTERNET網關技術

由于是直接串聯(lián)在網絡之中，防火墻必須支持用戶在internet互聯(lián)的所有服務，同時還要防止與internet服務有關的安全漏洞。因此，它要能以多種安全的應用服務器（包括FTP、Finger、Mail、Ident、News、WWW等）來實現(xiàn)網關功能。同時為確保服務器的安全性，對所有的文件和命令均要利用“改變根系統(tǒng)調用（chroot）”做物理上的隔離。而單純使用該技術，抵抗外部進入的能力較差，當和網絡地址轉換技術相結合時，就能實現(xiàn)更好的安全保證。

（三）入侵監(jiān)測技術

入侵檢測技術最早是由多蘿西?丹寧（Dorothy Denning）于1986年提出的，近年來由于黑客盛行而受到極大重視。從具體的檢測方法上看，可將檢測系統(tǒng)分為基于行為的和基于知識的兩種；從檢測系統(tǒng)所分析的原始數(shù)據上看，可分為來自系統(tǒng)日志和網絡數(shù)據包兩種。入侵檢測技術的基本原理是，首先收集系統(tǒng)的脆弱性指標建立檢測庫，再以此檢測庫檢測其他系統(tǒng)中是否有已知的類似脆弱性；若發(fā)現(xiàn)新的脆弱性，又反過來更新原有檢測庫。如此往復，不斷豐富檢測庫，及時發(fā)現(xiàn)系統(tǒng)脆弱性。入侵檢測包括通過破譯口令或使用軟件非授權侵入系統(tǒng)、合法用戶的信息外泄、冒充他人賬戶的闖入等多種內容。入侵檢測技術已從早期的審計跟蹤數(shù)據分析，發(fā)展到目前應用于大型網絡和分布式系統(tǒng)。

（四）安全態(tài)勢感知技術

安全態(tài)勢感知主要包括態(tài)勢要素獲取、態(tài)勢評估、態(tài)勢預測三個階段，能夠實時地監(jiān)測網絡安全狀態(tài)，快速準確地作出安全狀態(tài)評判，并能利用網絡安全屬性的歷史記錄，以多角度、多尺度的可視化方式，為用戶提供一個準確直觀的網絡安全態(tài)勢走向圖。安全態(tài)勢感知完成了對信息收集和處理，并提供可行性建議，使得網絡管理者能更好、更及時地保護網絡系統(tǒng)的安全，作出正確的安全決策或者應急響應。

態(tài)勢要素獲取，是指通過安全態(tài)勢感知數(shù)據采集技術收集網絡的態(tài)勢要素，例如網絡拓撲、端口、流量、防火墻和入侵檢測系統(tǒng)的報警信息等，為后續(xù)的安全態(tài)勢評估以及預測提供數(shù)據基礎。態(tài)勢評估主要包括評估指標體系的建立、評估系統(tǒng)的設計等內容，其主要功能是綜合評估網絡安全狀態(tài)及變化趨勢，即利用前一階段獲取到的網絡安全屬性的歷史記錄，為用戶提供一個準確的網絡安全狀態(tài)評判和網絡安全狀態(tài)的發(fā)展趨勢，使網絡管理者能夠有目標地進行決策和防護準備。態(tài)勢預測就是根據網絡安全威脅發(fā)展變化的實際數(shù)據和歷史資料，運用科學的理論、方法和各種經驗、判斷、知識去推測、評估、分析其在未來一定時期內可能的變化情況，在攻擊發(fā)生之前，對攻擊發(fā)生的數(shù)量及時空特性進行預測。其基本任務是根據獲取的態(tài)勢要素以及態(tài)勢評估結果，準確識別網絡中的攻擊行為，從而對攻擊的相關屬性進行預測。其目的是防御突然的網絡攻擊，監(jiān)視、識別網絡上入侵行為的警戒手段，是網絡防御系統(tǒng)的重要組成部分。

安全態(tài)勢感知能夠在大規(guī)模網絡環(huán)境中綜合各方面的安全因素，對影響網絡安全的諸多要素進行獲取、理解、評估，從整體上動態(tài)反映網絡安全狀況，并對安全狀況的發(fā)展趨勢進行預測和預警，為增強網絡安全性提供可靠的參照依據。安全態(tài)勢感知技術是對網絡安全狀態(tài)進行定量分析的一種有效手段，具有重要意義。

（五）匿名通信技術

匿名通信技術旨在隱藏通信內容或通信關系，從而更好地保護網絡用戶的個人通信隱私及涉密通信。目前，匿名通信技術已經成為網絡安全的一個重要領域，是許多網絡應用的基本需求。其中，通信內容的隱藏通過信息加密實現(xiàn)，信息加密是利用密碼算法把明文變換成密文并通過公開信道送到接收者手中，只有接收者掌握正確的密鑰才可以對加密數(shù)據進行解密，從而還原出明文信息。通信關系的隱藏通過使用重路由技術實現(xiàn)。重路由，是指來自發(fā)送者的消息通過一個或多個中間節(jié)點轉發(fā)，最后才到達接收者，該機制為用戶提供間接通信，多個主機的應用程序存儲轉發(fā)數(shù)據，形成一條由多個安全信道組成的虛擬路徑，從而使攻擊者無法獲取通信雙發(fā)的身份信息或者通信關系。

目前投入使用的匿名通信系統(tǒng)可以分為高延遲（High-latency）系統(tǒng)和低延遲（Low-latency）系統(tǒng)兩類。高延遲系統(tǒng)帶寬要求低、對延遲不敏感，主要用于E-mail等，而低延遲系統(tǒng)帶寬要求高、對延遲比較敏感，主要用于匿名Web流量、即時通信等。安裝匿名通信系統(tǒng)中代理的數(shù)目不同，可以分為單跳匿名通信系統(tǒng)和多跳匿名通信系統(tǒng)，單跳系統(tǒng)常見的有OpenSSH、Safe Web等，多跳匿名通信系統(tǒng)有Tor、JAP、I2P等。

北京世紀君達管理咨詢有限公司成立于2011年，公司涉及軍工三證等軍密、國密資質咨詢指導，定制化保密培訓、各類安保產品銷售等。是一家為企業(yè)提供保密工作咨詢性服務的服務平臺。公司專注于武器裝備科研生產保密資格一級、二級、三級和國軍標、武器裝備科研生產許可證、武器裝備承制名錄、軍工涉密業(yè)務咨詢服務單位條件備案、國家秘密載體印制甲乙級、涉密信息系統(tǒng)集成甲乙級等軍密國密資質的申請、復審等業(yè)務的咨詢指導。立足北京，面向全國企、事業(yè)單位提供保密教育培訓、企業(yè)保密管理咨詢和軍民融合科技咨詢服務、涉密場所（保密室）建設、安全保密產品和涉密運行維護等服務。與多家法定行政許可鑒定評審/型式試驗機構形成了合作互信關系，以便于能夠第一時間掌握最新政策動向，知悉每一位客戶所處行業(yè)動態(tài)，確保為廣大客戶提供最專業(yè)、最權威的企業(yè)顧問服務。

   www.sxrongtian.com
　　
看到這里，你也了解了相關的知識內容了，在進行保密資質的辦理時，只有按照相關的辦理流程來進行才可以。如果你還有疑問，可以咨詢我們專業(yè)的指導老師。
歡迎致電北京世紀君達，詳詢 400-018-5552   我公司十年經驗，超高的通過率，專業(yè)咨詢指導，為您騰飛助力！