計(jì)算機(jī)網(wǎng)絡(luò)防御的關(guān)鍵技術(shù)研究

葉 健

（湖北交通職業(yè)技術(shù)學(xué)院，湖北 武 漢430079）

1 計(jì)算機(jī)網(wǎng)絡(luò)防御的含義及其價(jià)值分析

隨著科學(xué)技術(shù)的不斷發(fā)展，尤其是計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，給人類社會(huì)的生產(chǎn)、生活、工作方式帶來了深刻的變革，以電子計(jì)算機(jī)等為代表的信息控制技術(shù)也被稱之為人類科技發(fā)展史上的第三次革命。但是需要引起我們高度重視的是，計(jì)算機(jī)網(wǎng)絡(luò)在給人類社會(huì)帶來極大便利、效率的同時(shí)，也存在著較大的安全隱患，網(wǎng)絡(luò)信息的泄露對個(gè)人、企業(yè)、社會(huì)、國家都存在極大的挑戰(zhàn)和危險(xiǎn)，網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)侵權(quán)時(shí)有發(fā)生，網(wǎng)上黃賭毒、暴力恐怖以及網(wǎng)絡(luò)謠言等有害信息屢禁不止，嚴(yán)重危害國家安全、損害人民利益。因此，計(jì)算機(jī)防御的價(jià)值不單單在于物理層面的靜態(tài)技術(shù)防御，還具有更多的社會(huì)治理價(jià)值。

2 計(jì)算機(jī)網(wǎng)絡(luò)防御的幾種關(guān)鍵技術(shù)

2.1 防火墻技術(shù)

防火墻是兩個(gè)網(wǎng)絡(luò)之間的一組構(gòu)件或一個(gè)系統(tǒng)，它的明確定義來自AT＆T的兩位工程師 Willam Cheswick和steven Beellovin，防火墻具有以下屬性：（1）信息的雙向流動(dòng)必須通過它；（2）信息流只允許通過預(yù)定的安全策略來傳遞；（3）系統(tǒng)本身具有很高的抗攻擊性；簡而言之，防火墻是一種位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，實(shí)現(xiàn)安全防范的系統(tǒng)。它是用來攔截不受信任網(wǎng)絡(luò)的威脅。同時(shí)，它還允許雙方的正常通信。目前，許多防火墻都在互聯(lián)網(wǎng)上使用，而且任何網(wǎng)間和企業(yè)網(wǎng)內(nèi)部都可以使用防火墻。

理想的防火墻所應(yīng)具備的防御功能包括：

（1）病毒掃描殺毒功能：如掃描電子郵件附件ZIP和DOC文件，F(xiàn)TP上傳和下載文件的內(nèi)容，發(fā)現(xiàn)其中可能包含的危險(xiǎn)信息。

（2）拒絕服務(wù)攻擊的防御：拒絕服務(wù)攻擊（Dos）是攻擊者過多地占用共享資源，導(dǎo)致帶寬被消耗、某些服務(wù)暫停甚至主機(jī)死機(jī)，從而使其他用戶無法共享到資源或無法訪問服務(wù)器。防火墻通過采取合理的控制機(jī)制、檢測機(jī)制和報(bào)警機(jī)制，從而在一定程度上防止或減輕DOS攻擊。

（3）攔截 ActiveX、Java、Cookies、java—script等方式進(jìn)行HTTP內(nèi)容過濾：部分HTTP頁面中被加入惡意代碼，防火墻應(yīng)該能夠從PHP、ASP和Script等代碼檢測出危險(xiǎn)的代碼或病毒，以及從HTTP頁面剝離出Applet、ActiveX、Java等程序，并向?yàn)g覽器用戶報(bào)警。

2.2 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)按功能可以分為數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸、數(shù)據(jù)完整性認(rèn)證和密鑰管理技術(shù)這4種。其中，數(shù)據(jù)存儲(chǔ)的加密技術(shù)是為了防止機(jī)密數(shù)據(jù)在存儲(chǔ)領(lǐng)域的丟失或泄露，可被歸類為加密存儲(chǔ)和訪問控制兩類，數(shù)據(jù)加密技術(shù)是對傳輸中的數(shù)據(jù)流進(jìn)行加密的方法，端口加密和線路加密是較為常用的兩種方法。數(shù)據(jù)加密主要是通過對網(wǎng)絡(luò)數(shù)據(jù)加密來對網(wǎng)絡(luò)的安全性和可靠性提供保障，可以有效防止機(jī)密信息的丟失和泄露。此外，它還被廣泛應(yīng)用于信息識(shí)別、數(shù)字證書等技術(shù)種，防止電子詐騙，在信息處理系統(tǒng)的安全性起著重要作用。

2.3 虛擬專用技術(shù)

隧道技術(shù)（Tunneling）是VPN（虛擬專用網(wǎng)絡(luò)）的底層支撐技術(shù)。隧道技術(shù)類似于點(diǎn)對點(diǎn)鏈接技術(shù)，它在公網(wǎng)上建立一條數(shù)據(jù)通道，該數(shù)據(jù)通道用來傳輸企業(yè)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)，類似一條穿過公網(wǎng)的隧道。隧道技術(shù)的具體內(nèi)容是：在一個(gè)隧道的兩端，將其它類型的協(xié)議數(shù)據(jù)包（如IP協(xié)議數(shù)據(jù)包）作為載荷數(shù)據(jù)，由源節(jié)點(diǎn)重新封裝，得到一個(gè)新的IP包，然后發(fā)送到Internet上進(jìn)行傳輸。目標(biāo)節(jié)點(diǎn)收到該數(shù)據(jù)包后，將用于公網(wǎng)傳輸，由源節(jié)點(diǎn)添加的IP頭去掉。在非IP網(wǎng)絡(luò)上，也可以反向利用這種技術(shù)，即將IP包用其它協(xié)議封裝，從而創(chuàng)建隧道，進(jìn)行數(shù)據(jù)傳輸。

隧道協(xié)議是隧道技術(shù)的核心，同時(shí)基于不同的隧道協(xié)議所實(shí)現(xiàn)的VPN是不同的。隧道技術(shù)可以以第二層或第三層隧道協(xié)議為基礎(chǔ)。上述的分層是按照開放系統(tǒng)互聯(lián)（OSI）的參考模型劃分。第二層隧道協(xié)議所對應(yīng)的OSI模型中的數(shù)據(jù)鏈路層，使用幀作為數(shù)據(jù)交換單位。

2.4 安全隔離技術(shù)

組織需要提供符合標(biāo)準(zhǔn)的操作程序，使相關(guān)平臺(tái)能夠按照安全區(qū)域的訪問策略，防止平臺(tái)的數(shù)據(jù)丟失和泄露。該標(biāo)準(zhǔn)操作程序的執(zhí)行面向所有需要的用戶。對于每一個(gè)用戶，你需要清楚地定義訪問策略，該策略必須根據(jù)組織的要求，來設(shè)置允許訪問的權(quán)限。在完整的物理隔離工作相關(guān)的審計(jì)記錄下，需要執(zhí)行審核操作工作平臺(tái)，特別是審核登錄錯(cuò)誤記錄需要單獨(dú)的操作。不定期審核數(shù)據(jù)訪問操作是根據(jù)組織的訪問策略和標(biāo)準(zhǔn)操作程序，并需要特殊審核以下項(xiàng)目：（1）授權(quán)用戶的權(quán)限，訪問記錄應(yīng)定期審核；（2）為訪問事件的權(quán)限，應(yīng)檢查不被盜用或冒用。

2.5 入侵檢測技術(shù)

入侵檢測在本質(zhì)上是針對錯(cuò)誤、異常、危險(xiǎn)等方面的信息流傳輸進(jìn)行檢測的手段。通常從技術(shù)角度將入侵檢測劃分為兩種檢測模型：

（1）異常檢測模型（Anomaly Detection）：可以接受的行為之間的偏差的檢測。如果你能定義一個(gè)可以接受的行為，那么這種未定義的不可接受的行為就是一種侵入。通常，利用用戶配置文件記錄和總結(jié)正常操作的習(xí)慣和特征，一個(gè)入侵的確定往往是用戶的活動(dòng)與正常行為有一個(gè)顯著的偏差。該檢測模型優(yōu)缺點(diǎn)均較為明顯，雖然漏報(bào)率低，但同時(shí)誤報(bào)率高；顯著的優(yōu)點(diǎn)在于它可以有效地檢測未知的入侵行為，因?yàn)樵撃Ｐ筒⑽匆矝]有必要定義所有行為。

（2）誤用檢測模型（Misuse Detection）：通常用來檢測與不可接受的已知行為的匹配度。如果管理員能將所有的不可接受的行為都進(jìn)行定義，那么可以與之匹配的行為就會(huì)導(dǎo)致報(bào)警。管理員需要收集非正常運(yùn)行的行為特征，并建立相關(guān)的特征數(shù)據(jù)庫。當(dāng)用戶或系統(tǒng)行為與特征數(shù)據(jù)庫中的記錄相匹配時(shí)，該行為就會(huì)被系統(tǒng)認(rèn)為是一個(gè)入侵。同時(shí)，缺點(diǎn)同樣明顯，對未知的攻擊是有限的，但必須不斷更新特征數(shù)據(jù)庫，且對于新型攻擊或入侵行為無法檢測。

3 結(jié)束語

需要指出的是，計(jì)算機(jī)網(wǎng)絡(luò)防御的各種技術(shù)都不是萬能的，也不是固定不變的，在實(shí)際應(yīng)用中需要根據(jù)情況，采取針對性的技術(shù)。主要可以基于以下幾個(gè)原則加以應(yīng)用，一是區(qū)別對待，分類處置原則，發(fā)生網(wǎng)絡(luò)安全事件后，事件發(fā)生部門應(yīng)根據(jù)事件性質(zhì)，影響范圍、損失和危害程度對突發(fā)事件進(jìn)行基本判斷，對于影響范圍小，危害損失程度不大并可在本部門范圍內(nèi)解決的突發(fā)事件。二是快速高效原則，應(yīng)及時(shí)掌握網(wǎng)絡(luò)安全威脅的相關(guān)情況，果斷采取措施，快速處置，盡最大努力將危害和損失降到最低，可以成立專門的計(jì)算機(jī)網(wǎng)絡(luò)防御專項(xiàng)工作組，由組長負(fù)責(zé)授權(quán)范圍內(nèi)的重大事項(xiàng)決策、授權(quán)范圍外的重大事項(xiàng)的決策建議、相關(guān)資源的協(xié)調(diào)、計(jì)算機(jī)網(wǎng)絡(luò)重大風(fēng)險(xiǎn)及障礙點(diǎn)的推動(dòng)等，工作小組的組織及協(xié)調(diào)部門，負(fù)責(zé)待決策事項(xiàng)及需協(xié)調(diào)事項(xiàng)的整理、風(fēng)險(xiǎn)點(diǎn)的梳理、相關(guān)決策建議的提供，以及會(huì)議組織、資料準(zhǔn)備、決議跟蹤等工作，支持計(jì)算機(jī)網(wǎng)絡(luò)防御的日常運(yùn)作。三是綜合運(yùn)用的原則，計(jì)算機(jī)網(wǎng)絡(luò)防御是一項(xiàng)系統(tǒng)工程，往往需要諸多技術(shù)的綜合應(yīng)用，統(tǒng)籌協(xié)調(diào)，發(fā)揮各種技術(shù)的特性和優(yōu)勢，真正構(gòu)筑起一道網(wǎng)絡(luò)安全的“銅墻鐵壁”。