浅析海事收集平安.doc

浅析海事网络安全 济南海事局 王军 关键词：海事网络安全 防火墙 在我国的海事管理体系中，中央海事管理机构由交通部设置，垂直管理20个直属海事机构；地方海事管理机构由省级人民政府设置并加以管理，其中交通部直属的20个海事局分布在我国内河流域的主要干线和沿海重要港口，覆盖大部分经济发达地区，形成了一张水上交通“网络”，履行国家水上安全监督、防止船舶污染、船舶及海上设施检验、航海保障管理和行政执法的重要职能。 2000年至2002年期间，交通部海事局和交通部水运规划设计院共同设计、规划和组织开发水上安全监督系统一期工程。一期工程覆盖了全国直属海事局的海事信息主干网，将实现部海事局和20个直属海事机构之间、各直属海事机构之间的网络连接和信息交流，并建成了部海事局和各海事机构的局域网。 全国海事系统的计算机都通过网络联系到一起，信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无处不在。当我们步入21世纪这一信息社会、网络社会的时候，建立起一套完整的海事网络安全体系也成为当务之急。 网络安全技术是一个十分复杂的系统工程,它包含着多种应用技术，笔者根据海事系统网络安全的特点，重点针对网络防火墙技术谈一下几点认识。 一、网络防火墙技术的概念 网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入海事系统内部网络，访问海事内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视海事网络运行状态。 二、防火墙的分类及各自的特点 自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统，提出了防火墙概念后，防火墙技术得到了飞速的发展。国内外已有数十家公司推出了功能各不相同的防火墙产品系列。 根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换、代理型和监测型。  1、包过滤型 包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。 包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。 但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。 2、网络地址转化 网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的海事内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。在海事内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。  3、代理型 代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到海事内网系统。 代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层