常用網(wǎng)絡(luò)系統(tǒng)安全技術(shù)分析

彭城

前言：隨著信息網(wǎng)絡(luò)技術(shù)應(yīng)用的深入，用戶對于網(wǎng)絡(luò)和信息系統(tǒng)的依賴日益提高。如何有效的保障信息網(wǎng)絡(luò)的安全，已經(jīng)成為一個十分重要的課題。對目前信息網(wǎng)絡(luò)的安全應(yīng)該從用戶需求和網(wǎng)絡(luò)實(shí)際情況出發(fā)，在系統(tǒng)安全、硬件安全、通訊安全、管理安全等多個方面加強(qiáng)管理。

關(guān)鍵詞：網(wǎng)絡(luò)系統(tǒng)安全防護(hù)硬件設(shè)備軟件系統(tǒng)

在網(wǎng)絡(luò)信息的安全防護(hù)中，需要采用各種安全設(shè)備、軟件、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、專用設(shè)備、應(yīng)用系統(tǒng)和網(wǎng)管系統(tǒng)等來共同實(shí)現(xiàn)網(wǎng)絡(luò)中的運(yùn)行安全、技術(shù)安全和管理安全的安全防護(hù)。要想對網(wǎng)絡(luò)信息安全進(jìn)行集中有效的管理，首先必然對這些設(shè)備和系統(tǒng)進(jìn)行歸納、認(rèn)識和了解，這些子系統(tǒng)共同存在、相互協(xié)作，構(gòu)成計算機(jī)網(wǎng)絡(luò)的“安全防護(hù)網(wǎng)”。

一、安全防護(hù)的手段

提到網(wǎng)絡(luò)系統(tǒng)安全，首先被大家認(rèn)可的應(yīng)該就是防火墻了。防火墻主要用于劃分內(nèi)外網(wǎng)絡(luò)邊界并建立過濾機(jī)制和訪問控制。一般情況下內(nèi)部網(wǎng)絡(luò)被認(rèn)為是安全和可信賴的，外部網(wǎng)絡(luò)通常被認(rèn)為是不安全和不可信賴的。防火墻的作用就是防止不希望的、未經(jīng)授權(quán)的通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò)，通過邊界控制強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全級別。防火墻可以實(shí)現(xiàn)通過策略控制外部網(wǎng)絡(luò)特定用戶對內(nèi)部特定資源的訪問，根據(jù)策略對特定的數(shù)據(jù)內(nèi)容進(jìn)行過濾和控制；完整地記錄網(wǎng)絡(luò)的訪問操作。

可見防火墻為計算機(jī)網(wǎng)絡(luò)安全構(gòu)建了第一道安全屏障，除此以外我們還應(yīng)該考慮到病毒的威脅。計算機(jī)病毒是一種惡意的計算機(jī)程序，具有可自我復(fù)制性、傳染性、潛伏性、破壞等。在網(wǎng)絡(luò)環(huán)境上，它又具有傳統(tǒng)環(huán)境下不可估量的威脅和破壞力。目前，病毒傳播的主要途徑已經(jīng)從原來的磁盤，變化為現(xiàn)在的90%以上通過互聯(lián)網(wǎng)傳播。防病毒技術(shù)包括預(yù)防、檢測和清殺病毒三種技術(shù)。為了保證防病毒系統(tǒng)的一致性、完整性和自升級能力，必須有一個完善的病毒防護(hù)管理體系，負(fù)責(zé)防病毒軟件的自動分發(fā)、升級、集中配置和管理，統(tǒng)一事件和告警處理，保證整體企業(yè)和單位范圍內(nèi)病毒防護(hù)體系的一致性和完整性。

去年大規(guī)模爆發(fā)的勒索病毒又提醒我們，黑客對于敏感網(wǎng)絡(luò)系統(tǒng)的入侵時刻都在進(jìn)行著，網(wǎng)絡(luò)用戶在提升殺毒技術(shù)的同時，防范黑客的入侵也是不能忽視的。入侵檢測系統(tǒng)一般包括控制臺和探測器，控制臺用作制定及管理所有探測器，探測器用作監(jiān)聽進(jìn)出網(wǎng)絡(luò)的訪問行為，根據(jù)控制臺的指令執(zhí)行相應(yīng)行為?？梢哉f在整個網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)中，防火墻、殺毒技術(shù)和防入侵是一套和“敵人”短兵相接的組合拳。除此以外，我們還需要在通信保密、虛擬專用網(wǎng)等方面提升安全防護(hù)的檔次，為這套組合拳提供攻守兼?zhèn)涞哪芰Α?/p>

我們先來看看通信保密。對于核心數(shù)據(jù)信息在計算機(jī)網(wǎng)絡(luò)上的使用和傳輸，具有較高的保密性要求。數(shù)據(jù)在網(wǎng)絡(luò)上傳輸?shù)陌踩灾饕w現(xiàn)在信息在傳送過程中可能被竊取、被截獲、被篡改和被防冒時網(wǎng)絡(luò)的應(yīng)對能力。這些情況的發(fā)生是在沒有采取安全措施的情況下，數(shù)據(jù)都是以明文的形式在網(wǎng)上傳輸?shù)?。為了防范?shù)據(jù)在網(wǎng)絡(luò)傳輸過程中被非法竊取而造成泄露，需要采用加密技術(shù)對數(shù)據(jù)進(jìn)行加密后傳輸，被截獲的數(shù)據(jù)以亂碼形式表現(xiàn)，不具備解密的實(shí)際意義。通信密碼技術(shù)主要有鏈路層加密和網(wǎng)絡(luò)層加密兩種方式。鏈路層加密主要是對于連接各涉密網(wǎng)節(jié)點(diǎn)的廣域網(wǎng)線路，根據(jù)線路種類不同可以采用相應(yīng)的鏈路加密設(shè)備，以保證各節(jié)點(diǎn)涉密網(wǎng)之間交換的數(shù)據(jù)都是加密傳送。鏈路層加密機(jī)制是采用點(diǎn)對點(diǎn)的加密和解密。網(wǎng)絡(luò)層加密是針對網(wǎng)絡(luò)分布較廣、網(wǎng)點(diǎn)較多采用網(wǎng)絡(luò)加密機(jī)來實(shí)現(xiàn)一點(diǎn)對一點(diǎn)或者一點(diǎn)對多點(diǎn)之間的加密，同時支持網(wǎng)絡(luò)內(nèi)的某些主機(jī)通過加密隧道，而另一些主機(jī)仍以明文方式傳輸，以達(dá)到安全、傳輸效率的最佳平衡。

為了將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)，特別是通過Internet連接，形成了一種邏輯上的虛擬專用網(wǎng)——VPN。為了保障信息的安全，VPN技術(shù)采用了鑒別、訪問控制、保密性、完整性等措施，以防止信息被泄露、篡改和復(fù)制。VPN雖然不是物理上的真正的專用網(wǎng)絡(luò)，卻能夠?qū)崿F(xiàn)物理專用網(wǎng)絡(luò)的功能，它是被特別范圍下私有化的，未經(jīng)授權(quán)的用戶是不能夠使用已建立的VPN通道的，這就使得通信內(nèi)容能夠抗擊非法修改和非法破解，對傳輸內(nèi)容提供了完整性和機(jī)密性保護(hù)。

二、網(wǎng)絡(luò)中的硬件設(shè)備防護(hù)

網(wǎng)絡(luò)設(shè)備中，路由器和交換機(jī)絕對是知名度最高的明星設(shè)備。路由器的作用是連通不同的網(wǎng)絡(luò)，另一個作用是選擇信息傳送的線路。選擇通暢快捷的近路，能大大提高通信速度，減輕網(wǎng)絡(luò)系統(tǒng)通信負(fù)荷，節(jié)約網(wǎng)絡(luò)系統(tǒng)資源，提高網(wǎng)絡(luò)系統(tǒng)暢通率，從而讓網(wǎng)絡(luò)系統(tǒng)發(fā)揮出更大的效益。路由器通常用于節(jié)點(diǎn)眾多的大型網(wǎng)絡(luò)環(huán)境，它處于ISO/OSI模型的網(wǎng)絡(luò)層。與交換機(jī)相比，在實(shí)現(xiàn)骨干網(wǎng)的互聯(lián)方面，路由器特別是高端路由器有著明顯的優(yōu)勢。路由器高度的智能化，對各種路由協(xié)議、網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)接口的廣泛支持，還有其獨(dú)具的安全性和訪問控制等功能和特點(diǎn)是網(wǎng)橋和交換機(jī)等其他互聯(lián)設(shè)備所不具備的。路由器的中低端產(chǎn)品可以用于連接骨干網(wǎng)設(shè)備和小規(guī)模端點(diǎn)的接入，高端產(chǎn)品可以用于骨干網(wǎng)之間的互聯(lián)以及骨干網(wǎng)與互聯(lián)網(wǎng)的連接。特別是對于骨干網(wǎng)的互聯(lián)和骨干網(wǎng)與互聯(lián)網(wǎng)的互聯(lián)互通，不但技術(shù)復(fù)雜，涉及通信協(xié)議、路由協(xié)議和眾多接口，信息傳輸速度要求高，而且對網(wǎng)絡(luò)安全性的要求也比其他場合高得多。

交換機(jī)是一種基于網(wǎng)卡硬件地址（MAC）識別的網(wǎng)絡(luò)設(shè)備，能完成封裝轉(zhuǎn)發(fā)數(shù)據(jù)包功能。交換機(jī)可以檢測網(wǎng)絡(luò)中設(shè)備的MAC地址，并把其存放在內(nèi)部地址表中，通過在數(shù)據(jù)幀的始發(fā)者和目標(biāo)接收者之間建立臨時的交換路徑，使數(shù)據(jù)幀直接由源地址到達(dá)目的地址。交換機(jī)又分二層交換機(jī)和三層交換機(jī)。三層交換是相對于傳統(tǒng)交換概念而提出的。眾所周知，傳統(tǒng)的交換技術(shù)是在OSI網(wǎng)絡(luò)標(biāo)準(zhǔn)模型中的第二層一一數(shù)據(jù)鏈路層進(jìn)行操作的，而三層交換技術(shù)是在網(wǎng)絡(luò)模型中的第三層實(shí)現(xiàn)了數(shù)據(jù)包的高速轉(zhuǎn)發(fā)。簡單地說，三層交換技術(shù)就是：二層交換技術(shù)+三層轉(zhuǎn)發(fā)技術(shù)。三層交換技術(shù)的出現(xiàn)，解決了局域網(wǎng)中網(wǎng)段劃分之后，網(wǎng)段中子網(wǎng)必須依賴路由器進(jìn)行管理的局面，解決了傳統(tǒng)路出器低速、復(fù)雜所造成的網(wǎng)絡(luò)瓶頸問題。

三、網(wǎng)絡(luò)中的軟件系統(tǒng)防護(hù)

操作系統(tǒng)是計算機(jī)系統(tǒng)中負(fù)責(zé)支撐應(yīng)用程序運(yùn)行環(huán)境以及用戶操作環(huán)境的系統(tǒng)軟件。同時也是計算機(jī)系統(tǒng)的核心與基石。操作系統(tǒng)位于底層硬件與用戶之間，是兩者溝通的橋梁。用戶可以通過操作系統(tǒng)的用戶界面輸入命令。操作系統(tǒng)則對命令進(jìn)行解釋，驅(qū)動硬件設(shè)備，實(shí)現(xiàn)用戶要求。操作系統(tǒng)的職責(zé)通常包括對硬件的直接監(jiān)管、對各種計算資源的管理、以及提供諸如作業(yè)管理之類的面向應(yīng)用程序的服務(wù)等等。操作系統(tǒng)中的日志系統(tǒng)對于系統(tǒng)安全來說非常重要，它記錄了系統(tǒng)每天發(fā)生的各種各樣的事情，包括那些曾經(jīng)或者正在使用系統(tǒng)的用戶信息，更重要的是在系統(tǒng)受到黑客攻擊后，日志可以記錄下攻擊者留下的痕跡，通過查看這些痕跡，系統(tǒng)管理員可以發(fā)現(xiàn)黑客攻擊的某些手段以及特點(diǎn)，從而為抵御下一次攻擊做好準(zhǔn)備。

從整個計算機(jī)系統(tǒng)來看，用戶的決定性超過了一切軟、硬件，因此安全防范手段的根本其實(shí)在于建立網(wǎng)絡(luò)風(fēng)險預(yù)警機(jī)制，依靠多項(xiàng)安全技術(shù)構(gòu)建的網(wǎng)絡(luò)安全體系來實(shí)現(xiàn)。用戶需要不斷的在原有的安全設(shè)施上進(jìn)行升級和完善，依照不同情況選擇有針對性的軟、硬件，統(tǒng)一管理，才能提升網(wǎng)絡(luò)系統(tǒng)的安全性。

參考文獻(xiàn)：

[1]郭啟全.網(wǎng)絡(luò)安全法與網(wǎng)絡(luò)安全等級保護(hù)制度培訓(xùn)教程.電子工業(yè)出版社，2018第一版.

[2]吳培飛、陳云志.網(wǎng)絡(luò)安全管理與技術(shù)防護(hù).電子工業(yè)出版社，2017第一版.

[3]馬利、姚永雷.計算機(jī)網(wǎng)絡(luò)安全.清華大學(xué)出版社，2016第一版.

[4]蘭巨龍程東年.信息網(wǎng)絡(luò)安全與防護(hù)技術(shù).人民郵電出版社，2014第一版.