淺談網(wǎng)絡(luò)安全的主動(dòng)防護(hù)

【摘要】本文分析了目前的網(wǎng)絡(luò)安全現(xiàn)狀和現(xiàn)有的網(wǎng)絡(luò)防護(hù)技術(shù)，并對(duì)這些防護(hù)技術(shù)做了簡(jiǎn)單的介紹。分析得出目前的網(wǎng)絡(luò)防護(hù)以被動(dòng)防護(hù)為主，僅是被動(dòng)的防護(hù)不能提供給網(wǎng)絡(luò)提供最大的安全性，網(wǎng)絡(luò)需要主動(dòng)型的防護(hù)。

【關(guān)鍵詞】網(wǎng)絡(luò)安全；主動(dòng)防護(hù)

一、網(wǎng)絡(luò)信息安全的現(xiàn)狀

網(wǎng)絡(luò)在給人們帶來(lái)信息共享等種種方便的同時(shí)，也帶來(lái)了較多的負(fù)面影響。主要面臨的安全威脅有病毒入侵、黑客入侵、信息的丟失與篡改。此外，隨著軟件系統(tǒng)規(guī)模的不斷增大，系統(tǒng)中的安全漏洞或“后門(mén)”也不可避免的存在，或由于程序員在軟件設(shè)計(jì)過(guò)程中的缺陷或疏忽等而存在的漏洞，也是網(wǎng)絡(luò)安全的主要威脅之一。

1.物理傳輸對(duì)網(wǎng)絡(luò)信息安全的威脅

網(wǎng)絡(luò)通信都要通過(guò)通信線(xiàn)路、調(diào)制解調(diào)器（轉(zhuǎn)換器）、網(wǎng)絡(luò)級(jí)聯(lián)設(shè)備等物理部件，而這些也往往成為攻擊者的切入點(diǎn)。主要有以下幾方面：

（1）非法監(jiān)聽(tīng)：不法分子通過(guò)通信設(shè)備的監(jiān)聽(tīng)功能，捕獲無(wú)線(xiàn)網(wǎng)絡(luò)傳輸信號(hào)，由于黑客和攻擊者對(duì)于一些通用的加密算法，已有一整套完備的破解方案，因此能夠較輕易地獲取傳輸內(nèi)容。

（2）非法終端：在現(xiàn)有終端上并接一個(gè)終端，或合法用戶(hù)從網(wǎng)上斷開(kāi)時(shí)，非法用戶(hù)乘機(jī)接入并操縱該計(jì)算機(jī)通信接口，或由于某種原因使信息傳到非法終端。

2.軟件對(duì)網(wǎng)絡(luò)信息安全的威脅

現(xiàn)代通信系統(tǒng)如ATM、NGN、POS終端、智能手機(jī)等都使用大量的軟件進(jìn)行通信控制，因此軟件方面的入侵也相當(dāng)普遍。

（1）軟件病毒攻擊：軟件病毒入侵后打開(kāi)后門(mén)，利用網(wǎng)絡(luò)軟件的漏洞或缺陷、并不斷繁殖，然后擴(kuò)散到網(wǎng)上的計(jì)算機(jī)來(lái)破壞系統(tǒng)。輕者使系統(tǒng)出錯(cuò)，重者可使整個(gè)系統(tǒng)癱瘓或崩潰。

（2）網(wǎng)絡(luò)攻擊：如ARP風(fēng)暴等小包攻擊交換機(jī)等通信設(shè)備，引起網(wǎng)絡(luò)擁塞或?qū)е峦ㄐ胖鳈C(jī)無(wú)法處理超量的請(qǐng)求，輕則網(wǎng)絡(luò)服務(wù)不可用，重則整個(gè)系統(tǒng)死機(jī)癱瘓。

（3）通信系統(tǒng)或軟件端口被暴露或未進(jìn)行安全限制，導(dǎo)致黑客入侵，進(jìn)而可以使用各種方式有選擇地破壞對(duì)方信息的有效性和完整性，或者在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯，以獲得對(duì)方重要的機(jī)密信息。

由此可見(jiàn)，網(wǎng)絡(luò)信息安全問(wèn)題的產(chǎn)生主要是由于互聯(lián)網(wǎng)基于的網(wǎng)絡(luò)結(jié)構(gòu)體系結(jié)構(gòu)帶來(lái)的。由于互聯(lián)網(wǎng)的開(kāi)放性和通信協(xié)議的安全缺陷，以及在網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)信息存儲(chǔ)和對(duì)其訪(fǎng)問(wèn)與處理的分布性特點(diǎn)，網(wǎng)上傳輸?shù)臄?shù)據(jù)信息很容易泄露和被破壞。網(wǎng)絡(luò)安全問(wèn)題已經(jīng)成為信息時(shí)代人類(lèi)共同面臨的挑戰(zhàn)。

二、主要防護(hù)技術(shù)

目前保證網(wǎng)絡(luò)安全的方法主要有防火墻、入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)隔離技術(shù)、物理傳輸媒介保障等。

1.防火墻技術(shù)

防火墻技術(shù)是近年發(fā)展起來(lái)的一種重要安全技術(shù)，主要包括包過(guò)濾防火墻，狀態(tài)檢測(cè)包過(guò)濾防火墻和應(yīng)用層代理防火墻，其共同特征是通過(guò)在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)，達(dá)到保障網(wǎng)絡(luò)安全的目的。防火墻型安全保障技術(shù)假設(shè)被保護(hù)網(wǎng)絡(luò)具有明確定義的邊界和服務(wù)，并且假定網(wǎng)絡(luò)威脅僅來(lái)自外部網(wǎng)絡(luò)，進(jìn)而通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部網(wǎng)絡(luò)屏蔽有關(guān)被保護(hù)網(wǎng)絡(luò)的信息、結(jié)構(gòu)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的安全保護(hù)。防火墻技術(shù)是通過(guò)對(duì)網(wǎng)絡(luò)作拓?fù)浣Y(jié)構(gòu)和服務(wù)類(lèi)型上的隔離來(lái)加強(qiáng)網(wǎng)絡(luò)安全的一種手段。它所保護(hù)的對(duì)象是網(wǎng)絡(luò)中有明確閉合邊界的一個(gè)網(wǎng)段。它的防范對(duì)象是來(lái)自被保護(hù)網(wǎng)段外部的對(duì)網(wǎng)絡(luò)安全的威脅。

防火墻技術(shù)是目前用來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段，如果使用得當(dāng)，可以在很大程度上提高網(wǎng)絡(luò)安全。但是防火墻雖然能對(duì)來(lái)自外部網(wǎng)絡(luò)的攻擊進(jìn)行有效的防護(hù)，卻存在著局限性，其最大的局限性就是防火墻自身不能保證其準(zhǔn)許放行的數(shù)據(jù)是否安全，且不能防御來(lái)自?xún)?nèi)部的攻擊（據(jù)統(tǒng)計(jì)一半以上的網(wǎng)絡(luò)安全問(wèn)題來(lái)自網(wǎng)絡(luò)內(nèi)部）。同時(shí)防火墻也無(wú)法阻止那些繞過(guò)防火墻的攻擊。

2.入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)與防火墻技術(shù)安全策略相比，是一種不同的安全策略，入侵檢測(cè)系統(tǒng)分為兩類(lèi)：基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)在服務(wù)器的審計(jì)日志文件中尋找攻擊特征，然后給出統(tǒng)計(jì)分析報(bào)告?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)主要是網(wǎng)絡(luò)監(jiān)控傳感器監(jiān)控包監(jiān)聽(tīng)器收集的信息，用于保護(hù)整個(gè)網(wǎng)絡(luò)不被破壞。

入侵檢測(cè)技術(shù)是一種動(dòng)態(tài)的網(wǎng)絡(luò)檢測(cè)技術(shù)，用于識(shí)別對(duì)網(wǎng)絡(luò)系統(tǒng)的非法網(wǎng)絡(luò)行為，它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，一旦發(fā)現(xiàn)網(wǎng)絡(luò)入侵現(xiàn)象，則做出適當(dāng)?shù)姆磻?yīng)。從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。

入侵檢測(cè)方法分兩種：誤用檢測(cè)和異常檢測(cè)。大部分現(xiàn)有的入侵檢測(cè)工具都是使用誤用檢測(cè)方法。誤用檢測(cè)技術(shù)應(yīng)用了系統(tǒng)缺陷和特殊入侵的累積知識(shí)。入侵檢測(cè)系統(tǒng)包含一個(gè)缺陷庫(kù)并且檢測(cè)出利用這些缺陷入侵的行為。當(dāng)檢測(cè)到入侵，系統(tǒng)就會(huì)報(bào)警。也就是不符合正常規(guī)則的所有行為都被認(rèn)為是不合法的，所以誤用檢測(cè)的準(zhǔn)確度很高，但是它的查全度能夠檢測(cè)所有入侵的能力和入侵規(guī)則的更新程度有密切關(guān)系。這種方法的缺陷就是入侵信息的收集和更新的困難，這需要很多的時(shí)間和大量的工作。

同時(shí)，入侵檢測(cè)技術(shù)也存在著局限性。其最大的局限性就是漏報(bào)和誤報(bào)嚴(yán)重，它不能稱(chēng)之為一個(gè)可以信賴(lài)的安全工具，而應(yīng)只是一個(gè)參考工具。

3.網(wǎng)絡(luò)隔離技術(shù)

面對(duì)新型網(wǎng)絡(luò)攻擊手段的出現(xiàn)和高安全度網(wǎng)絡(luò)對(duì)安全的特殊需求，出現(xiàn)了新安全防護(hù)防范理念的網(wǎng)絡(luò)安全技術(shù)——“網(wǎng)絡(luò)隔離技術(shù)”。網(wǎng)絡(luò)隔離技術(shù)的目標(biāo)是確保把有害的攻擊隔離在可信網(wǎng)絡(luò)之外和保證可信網(wǎng)絡(luò)內(nèi)部信息不外泄的前提下，完成網(wǎng)絡(luò)數(shù)據(jù)的安全交換。

隔離概念的出現(xiàn)是為了保護(hù)高安全度的網(wǎng)絡(luò)，其產(chǎn)品到現(xiàn)在共經(jīng)歷了五代。第一代是完全隔離。使網(wǎng)絡(luò)處于信息孤島狀態(tài)，實(shí)現(xiàn)完全的物理隔離。第二代是硬件卡隔離。通過(guò)硬件卡控制獨(dú)立存儲(chǔ)和分時(shí)共享設(shè)備與線(xiàn)路來(lái)實(shí)現(xiàn)對(duì)不同網(wǎng)絡(luò)的訪(fǎng)問(wèn)，在設(shè)計(jì)上還存在安全隱患。第三代數(shù)據(jù)轉(zhuǎn)播隔離。在隔離的過(guò)程中切換時(shí)間較長(zhǎng)，大大降低了訪(fǎng)問(wèn)速度，更不能支持常見(jiàn)的網(wǎng)絡(luò)應(yīng)用，應(yīng)用面窄。第四代空氣開(kāi)關(guān)隔離。它是通過(guò)使用單刀雙擲開(kāi)關(guān)，使得內(nèi)外部網(wǎng)絡(luò)分時(shí)訪(fǎng)問(wèn)臨時(shí)緩存器來(lái)完成數(shù)據(jù)交換的，但在安全和性能上存在有許多問(wèn)題。第五代為安全通道隔離。此技術(shù)通過(guò)專(zhuān)用通信硬件和專(zhuān)有安全協(xié)議等安全機(jī)制，來(lái)實(shí)現(xiàn)內(nèi)外部網(wǎng)絡(luò)的隔離和數(shù)據(jù)交換，不僅解決了以前隔離技術(shù)存在的問(wèn)題，并有效地把內(nèi)外部網(wǎng)絡(luò)隔離開(kāi)來(lái)，而且高效地實(shí)現(xiàn)了內(nèi)外網(wǎng)數(shù)據(jù)的安全交換，透明支持多種網(wǎng)絡(luò)應(yīng)用，成為當(dāng)前隔離技術(shù)的發(fā)展方向。

4.物理傳輸媒介保障

（1）減少電磁輻射。傳輸線(xiàn)路應(yīng)有露天保護(hù)措施，并要求遠(yuǎn)離各種沖突頻率及輻射源，以減少由于電磁干擾引起的數(shù)據(jù)錯(cuò)誤乃至出現(xiàn)BUG。對(duì)無(wú)線(xiàn)傳輸設(shè)備更應(yīng)使用高可靠性的加密手段，并隱藏鏈接名。

（2）采用數(shù)據(jù)加密技術(shù)，對(duì)傳輸內(nèi)容使用加密算法將明文轉(zhuǎn)換成無(wú)意義的密文，防止非法用戶(hù)理解原始數(shù)據(jù)。數(shù)據(jù)加密技術(shù)是一種主動(dòng)的信息安全防范措施，可大大加強(qiáng)數(shù)據(jù)的保密性。

（3）使用可信路由、專(zhuān)用網(wǎng)或采用路由隱藏技術(shù)，將通信系統(tǒng)隱匿在網(wǎng)絡(luò)中，避免傳輸路徑暴露，成為網(wǎng)絡(luò)風(fēng)暴、DDOS等攻擊對(duì)象。

三、結(jié)束語(yǔ)

網(wǎng)絡(luò)信息安全是一個(gè)綜合性的課題，也越來(lái)越受到人們的重視，網(wǎng)絡(luò)安全不僅僅是技術(shù)問(wèn)題，同時(shí)也是一個(gè)安全管理問(wèn)題。安全實(shí)際上就是一種風(fēng)險(xiǎn)管理，世界上不存在絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng)。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展，網(wǎng)絡(luò)安全防護(hù)技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。但任何技術(shù)手段都不能保證網(wǎng)絡(luò)信息1OO%的安全。然而，網(wǎng)絡(luò)安全的主動(dòng)防護(hù)可以降低系統(tǒng)遭到破壞、攻擊的風(fēng)險(xiǎn)，主動(dòng)、積極地將各種方面的保障策略結(jié)合起來(lái)，形成一個(gè)高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)，將系統(tǒng)的風(fēng)險(xiǎn)要控制可控的范圍之內(nèi)，才是網(wǎng)絡(luò)安全工作的必由之路。

參考文獻(xiàn)

[1]丁常福，方敏.防火墻與網(wǎng)絡(luò)入侵檢測(cè)聯(lián)動(dòng)系統(tǒng)研究[J].航空計(jì)算技術(shù).

[2]成衛(wèi)青，龔儉.網(wǎng)絡(luò)安全評(píng)估[J].計(jì)算機(jī)工程，2008（2）.

[3]萬(wàn)平國(guó).網(wǎng)絡(luò)隔離與網(wǎng)閘[M].機(jī)械工業(yè)出版社，2005.

[4]龍冬陽(yáng).網(wǎng)絡(luò)安全技術(shù)及應(yīng)用[M].廣州：華南理工大學(xué)出版社，2011.

[5]朱鳴.網(wǎng)絡(luò)安全現(xiàn)狀和發(fā)展[J].計(jì)算機(jī)應(yīng)用與軟件，2009， 21（5）.