“互聯(lián)網(wǎng)+”背景下網(wǎng)絡(luò)安全防護(hù)對策

吳 姍

（雅安職業(yè)技術(shù)學(xué)院 四川 雅安 625000）

1 引言

互聯(lián)網(wǎng)因具有開放性、匿名性等特征而存在著信息安全隱患，隨著“互聯(lián)網(wǎng)+”、5G、物聯(lián)網(wǎng)、人工智能等技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全已經(jīng)成為國家、社會和個人關(guān)注的重點(diǎn)。中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的第46次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示，2020年上半年，我國境內(nèi)被篡改網(wǎng)站數(shù)量、被植入后門網(wǎng)站數(shù)量、信息系統(tǒng)安全漏洞數(shù)量以及國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）接收到的網(wǎng)絡(luò)安全事件報(bào)告數(shù)量較2019年同期都有所增長。面對日益開放的網(wǎng)絡(luò)環(huán)境和不斷增加的安全隱患，網(wǎng)絡(luò)安全防護(hù)成為重要的研究課題。

2 網(wǎng)絡(luò)安全威脅分類

2.1 被動攻擊

在被動攻擊中，攻擊者通過監(jiān)視網(wǎng)絡(luò)上的信息流來獲取他人的通信內(nèi)容。被動攻擊在不修改所傳送數(shù)據(jù)內(nèi)容的情況下，獲取由原站發(fā)送給目的站的有效數(shù)據(jù)，從而影響傳送數(shù)據(jù)的保密性。被動攻擊可以是基于網(wǎng)絡(luò)或基于系統(tǒng)的，它很難被檢測到。常見的被動攻擊有流量分析和竊聽等，可以采取數(shù)據(jù)加密等措施對被動攻擊進(jìn)行預(yù)防。

2.2 主動攻擊

在主動攻擊中，攻擊者對數(shù)據(jù)流進(jìn)行某些修改甚至生成虛假的數(shù)據(jù)流，常見的主動攻擊有消息篡改、惡意程序、拒絕服務(wù)。在消息篡改攻擊中，攻擊者故意篡改網(wǎng)絡(luò)上的報(bào)文，包括徹底中斷傳送的報(bào)文，甚至把完全偽造的報(bào)文傳送給接收方。惡意程序主要有計(jì)算機(jī)病毒、后門入侵和流氓軟件等，編制者通過偵測計(jì)算機(jī)系統(tǒng)在軟硬件或管理上的漏洞、缺陷等，將木馬、后門程序等植入計(jì)算機(jī)，從而達(dá)到攻擊的目的。在拒絕服務(wù)攻擊中，攻擊者不斷地向網(wǎng)絡(luò)上的某個服務(wù)器發(fā)送大量分組，讓該服務(wù)器不能提供正常的服務(wù)，甚至完全癱瘓。主動攻擊無法預(yù)防，但是易于檢測，可以采取防火墻、入侵檢測技術(shù)等手段加以檢測。

3 網(wǎng)絡(luò)安全防護(hù)對策

3.1 數(shù)據(jù)加密技術(shù)

3.1.1 對稱加密

對稱加密所使用的密鑰是單鑰，在該算法中，發(fā)送方和接收方共享密鑰。使用對稱加密算法的發(fā)送方將明文通過加密算法和密鑰進(jìn)行加密，變換成密文后發(fā)送給接收方，接收方收到密文以后，再通過解密算法和密鑰將其解密成明文。

常用的對稱加密有DES、三重DES、IDEA、AES和RC4。DES是數(shù)據(jù)加密標(biāo)準(zhǔn)，它采用分組加密算法將明文分成多個組，每個分組長度為64位，對每組數(shù)據(jù)加密后分別產(chǎn)生64位的密文數(shù)據(jù)，將各組密文數(shù)據(jù)串接起來就可以得到整個密文。DES的密鑰長度為56位，現(xiàn)在已經(jīng)很容易被破譯。三重DES改進(jìn)了DES的算法，它使用兩個密鑰對報(bào)文做三次DES加密，密鑰長度為112位，彌補(bǔ)了DES密鑰長度較短的缺點(diǎn)。IDEA是國際數(shù)據(jù)加密算法，它是一個分組長度為64位的分組密碼算法，密鑰長度為128位，由8輪迭代操作實(shí)現(xiàn)加密，對密碼分析具有很強(qiáng)的抵抗能力。AES是高級加密標(biāo)準(zhǔn)，它支持128位、192位和256位三種密鑰長度，安全級別高，在軟件和硬件上都能快速地加解密。RC4是一種流加密算法，它在加密時對明文中的各個字節(jié)以字節(jié)流的方式依次加密，解密時對密文中的各個字節(jié)依次解密，該算法簡單且執(zhí)行速度快，可以抵御暴力搜索密鑰的攻擊。對稱加密的加密密鑰和解密密鑰使用相同的密碼體制，通信雙方使用同一個密鑰進(jìn)行加密和解密，因此，在通信過程中要確保密鑰的保密性。

3.1.2 非對稱加密

非對稱加密算法又稱公鑰加密算法，它使用不同的密鑰進(jìn)行加密和解密。在非對稱加密密碼體制中，加密密鑰（即公鑰）是公開的，解密密鑰（即私鑰）是保密的，通過兩組密鑰配合使用來完成加密和解密過程。目前最著名的公鑰加密算法是RSA，它的加密和解密過程是：密鑰對產(chǎn)生器產(chǎn)生出接收方的一對密鑰即公鑰和私鑰，發(fā)送方使用公匙對明文進(jìn)行加密后發(fā)送給接收方，接收方使用私鑰對密文進(jìn)行解密后恢復(fù)出明文[1]。在非對稱加密算法中，加密和解密操作是互逆的，用公鑰對明文進(jìn)行加密，用私鑰對密文進(jìn)行解密，可以實(shí)現(xiàn)保密通信。由于公鑰加密算法的開銷較大，因此，目前公鑰加密算法并沒有完全取代對稱加密算法。

3.2 鑒別技術(shù)

3.2.1 報(bào)文鑒別

報(bào)文鑒別是為了證實(shí)收到的報(bào)文來自可信的源點(diǎn)并且未被篡改，報(bào)文鑒別方法包含密碼散列函數(shù)和報(bào)文鑒別碼[1]。密碼散列函數(shù)可以用于報(bào)文的完整性鑒別，它與加密技術(shù)配合使用能夠?qū)?bào)文的來源進(jìn)行鑒別，還可以對存儲文件的完整性進(jìn)行檢驗(yàn)。實(shí)用的密碼散列函數(shù)有MD5和SHA。MD5是報(bào)文摘要算法，它把明文報(bào)文按512位分組，輸出的報(bào)文摘要為128位，采用MD5生成報(bào)文摘要可以防止發(fā)送的報(bào)文被篡改，但不能防止報(bào)文被偽造，不能真正實(shí)現(xiàn)報(bào)文鑒別。SHA是安全散列算法，它把明文報(bào)文按512位分組，產(chǎn)生的散列值為160位，SHA算法的報(bào)文摘要更長，比MD5更安全，但計(jì)算起來要比MD5慢。報(bào)文鑒別碼MAC是對散列加密后的結(jié)果，它使用對稱密鑰生成報(bào)文認(rèn)證碼，采用報(bào)文鑒別碼MAC得到的擴(kuò)展報(bào)文，不僅不可偽造，而且不可否認(rèn)。

3.2.2 實(shí)體鑒別

實(shí)體鑒別和報(bào)文鑒別不相同，報(bào)文鑒別是每收到一個報(bào)文都要鑒別它的發(fā)送方，實(shí)體鑒別是在系統(tǒng)接入的全部連續(xù)時間內(nèi)只驗(yàn)證一次與自己通信的對方實(shí)體。簡單的實(shí)體鑒別是使用共享的對稱密鑰實(shí)現(xiàn)，這個密鑰在通信過程中可能會被入侵者截獲，造成如重放攻擊、IP欺騙等后果。在實(shí)體鑒別中，可以使用不重?cái)?shù)來對付重放攻擊，不重?cái)?shù)是一個不被重復(fù)使用的大隨機(jī)數(shù)，也就是“一次一數(shù)”，不能重復(fù)使用，因此入侵者在進(jìn)行重放攻擊的時候無法重復(fù)使用所截獲的不重?cái)?shù)[1]。

3.3 防火墻技術(shù)

防火墻是一種建立在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的安全系統(tǒng)，它可以實(shí)現(xiàn)內(nèi)部可信任網(wǎng)絡(luò)與外部不可信任網(wǎng)絡(luò)之間的隔離和訪問控制。根據(jù)防護(hù)方式和側(cè)重點(diǎn)不同，可以將防火墻分為包過濾型防火墻、應(yīng)用網(wǎng)關(guān)型防火墻和代理服務(wù)型防火墻[2]。

包過濾型防火墻根據(jù)配置的ACL對數(shù)據(jù)包進(jìn)行檢查，根據(jù)數(shù)據(jù)包的源IP地址、目標(biāo)IP地址以及端口號等信息來判斷是否允許數(shù)據(jù)包通過。包過濾型防火墻工作效率高，但是不能徹底防止IP欺騙、無法發(fā)現(xiàn)基于應(yīng)用層的攻擊、不支持用戶認(rèn)證。應(yīng)用網(wǎng)關(guān)型防火墻在應(yīng)用層上對網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議設(shè)置過濾及轉(zhuǎn)發(fā)規(guī)則，從而對內(nèi)部網(wǎng)絡(luò)進(jìn)行保護(hù)。它可以對數(shù)據(jù)包進(jìn)行分析并形成報(bào)告，能夠監(jiān)控和過濾應(yīng)用層的數(shù)據(jù)，能夠提供詳細(xì)的日志，但是開銷比較大。代理服務(wù)型防火墻對應(yīng)用層服務(wù)進(jìn)行控制，它使用兩個終止代理服務(wù)器實(shí)現(xiàn)對防火墻與外部系統(tǒng)之間的鏈接，讓來自外部系統(tǒng)的鏈接無法直接連接到內(nèi)部系統(tǒng)的計(jì)算機(jī)上，只能直接連接到代理服務(wù)器上[2]。代理服務(wù)型防火墻在內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)交流服務(wù)時發(fā)揮中間轉(zhuǎn)接的作用。

防火墻能夠極大地提高內(nèi)部網(wǎng)絡(luò)的安全性，但是目前的防火墻仍然具有諸多局限性。例如它不能解決來自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問題、不能防止自身安全漏洞的威脅、不能防范不經(jīng)過防火墻的攻擊等。在應(yīng)用中，要根據(jù)實(shí)際情況選擇防火墻的部署方式，以期發(fā)揮最大的防護(hù)作用。

3.4 入侵檢測和防御技術(shù)

入侵檢測系統(tǒng)IDS通過對收集的網(wǎng)絡(luò)安全日志、用戶行為和網(wǎng)絡(luò)數(shù)據(jù)包等信息進(jìn)行深度的分析及檢測，當(dāng)發(fā)現(xiàn)有違反安全策略的行為或入侵攻擊的跡象時，將入侵行為記入日志并向管理員發(fā)出警報(bào)。IDS一般采用旁路掛接的方式鏈接在所有所關(guān)注的流量都必須流經(jīng)的鏈路上，它可以用于檢測Dos攻擊、網(wǎng)絡(luò)映射、端口掃描和系統(tǒng)漏洞攻擊等多種網(wǎng)絡(luò)攻擊。根據(jù)IDS的數(shù)據(jù)來源，可以把它分為基于主機(jī)的IDS、基于網(wǎng)絡(luò)的IDS和基于應(yīng)用的IDS[3]?；谥鳈C(jī)的IDS是針對網(wǎng)絡(luò)中的主機(jī)或服務(wù)器的入侵行為進(jìn)行檢測和響應(yīng)，它的性價(jià)比較高，誤報(bào)率較低，但是可靠性不是很高，能夠檢測到的攻擊類型也受到一定限制?；诰W(wǎng)絡(luò)的IDS可以針對整個網(wǎng)絡(luò)的入侵行為進(jìn)行監(jiān)測和響應(yīng)，它的隱蔽性好，能夠檢測出還未成功的攻擊企圖，但是不能檢測到不同網(wǎng)段的數(shù)據(jù)包。基于應(yīng)用的IDS是從正在運(yùn)行的應(yīng)用程序中獲取事件日志及存儲在應(yīng)用程序內(nèi)部的其他數(shù)據(jù)，它是基于主機(jī)的IDS的一個特殊子集，其優(yōu)缺點(diǎn)和基于主機(jī)的IDS基本相同。雖然入侵檢測技術(shù)彌補(bǔ)了防火墻不能監(jiān)控網(wǎng)絡(luò)內(nèi)部所發(fā)生的攻擊行為的不足，但是它存在漏報(bào)、誤報(bào)率高和靈活性差等問題[4]。

隨著網(wǎng)絡(luò)攻擊的類型和手段不斷變化，傳統(tǒng)的防火墻和入侵檢測技術(shù)已經(jīng)無法全面應(yīng)對不斷變化的網(wǎng)絡(luò)安全威脅。入侵防御系統(tǒng)IPS是在IDS基礎(chǔ)上發(fā)展起來的網(wǎng)絡(luò)系統(tǒng)，它不僅具備檢測攻擊行為的能力，而且具有攔截攻擊并且阻斷攻擊的功能。IPS采用串接的方式鏈接在網(wǎng)絡(luò)中，它可以深度感知并檢測流經(jīng)的數(shù)據(jù)流量，一旦發(fā)現(xiàn)隱藏的網(wǎng)絡(luò)攻擊，就會根據(jù)該攻擊的威脅級別立即采取向管理中心告警、丟棄報(bào)文和切斷此次應(yīng)用會話等防御措施。與IDS比較，IPS能夠積極主動地防御攻擊，具有較深的防御層次，但是它同樣存在漏報(bào)和誤報(bào)的情況，并且容易造成單點(diǎn)故障、存在性能瓶頸。

4 結(jié)語

在網(wǎng)絡(luò)的部署和管理中，要綜合運(yùn)用現(xiàn)有的各類安全技術(shù)的優(yōu)勢，構(gòu)造盡可能安全的網(wǎng)絡(luò)防御體系。網(wǎng)絡(luò)安全關(guān)系著國家安全和經(jīng)濟(jì)社會穩(wěn)定，隨著5G、人工智能、物聯(lián)網(wǎng)等技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露和高危漏洞等網(wǎng)絡(luò)安全問題也呈現(xiàn)出新的變化。在網(wǎng)絡(luò)安全的研究中，除了完善相關(guān)法律法規(guī)，還需要加大對密碼技術(shù)、加密系統(tǒng)和安全防御軟硬件的研究，多措并舉來提升網(wǎng)絡(luò)的安全性。