部隊(duì)通信工作中的網(wǎng)絡(luò)安全防護(hù)探究

楊 禎

（中國(guó)人民解放軍69270部隊(duì)，新疆 喀什 844000）

0 引 言

在不同年代，部隊(duì)通信均是不法分子、國(guó)外惡勢(shì)力攻擊與破壞的對(duì)象。隨著現(xiàn)代戰(zhàn)爭(zhēng)形勢(shì)發(fā)生改變，強(qiáng)化部隊(duì)通信網(wǎng)絡(luò)安全防護(hù)是軍事現(xiàn)代化建設(shè)的核心，也是衡量一個(gè)國(guó)家軍工發(fā)展水平的重要指標(biāo)。為保證部隊(duì)通信能夠順利完成信息搜集處理、戰(zhàn)場(chǎng)模擬、作戰(zhàn)預(yù)警等任務(wù)，探究部隊(duì)通信中網(wǎng)絡(luò)安全防護(hù)具有重大現(xiàn)實(shí)意義。

1 部隊(duì)通信中網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀

現(xiàn)代軍事工作對(duì)信息系統(tǒng)有著較強(qiáng)的依賴，從而使網(wǎng)絡(luò)安全防護(hù)愈發(fā)重要。但目前我國(guó)部隊(duì)通信中網(wǎng)絡(luò)安全防護(hù)在計(jì)算機(jī)系統(tǒng)建設(shè)上、使用操作上均存在明顯的缺陷，具體如下文所述。

1.1 計(jì)算機(jī)系統(tǒng)缺陷

近年來(lái)，我國(guó)部隊(duì)通信技術(shù)水平有了顯著提高，但與國(guó)際上先進(jìn)技術(shù)之間仍然存在差距，主要表現(xiàn)則是計(jì)算機(jī)系統(tǒng)內(nèi)的CPU芯片、通信軟件等核心配置以及硬件設(shè)施大多來(lái)自進(jìn)口，成為威脅我國(guó)部隊(duì)網(wǎng)絡(luò)通信安全的重大隱患[1]。病毒及網(wǎng)絡(luò)入侵技術(shù)水平的提高使諸多郵件、網(wǎng)頁(yè)、文件中均可攜帶惡意程序，一旦加載則可在系統(tǒng)中復(fù)制與擴(kuò)散，潛藏在系統(tǒng)內(nèi)盜取或篡改信息、破壞系統(tǒng)程序，甚至有些病毒能夠基于感染、入侵計(jì)算機(jī)系統(tǒng)對(duì)整個(gè)通信網(wǎng)絡(luò)造成破壞。目前，常見的入侵方式主要有以下3種。

（1）特洛伊木馬。通過(guò)偽裝、誘騙手段欺騙操作者啟動(dòng)，隨后則隱藏在系統(tǒng)中，在操作者無(wú)任何察覺的情況下掌握系統(tǒng)控制權(quán)、程序訪問(wèn)權(quán)限，并植入惡意軟件。由于其能夠模仿正規(guī)程序或軟件功能，因此不易被發(fā)現(xiàn)?，F(xiàn)階段特洛伊木馬有破壞型、密碼發(fā)送型、遠(yuǎn)程訪問(wèn)型以及鍵盤記錄型，會(huì)對(duì)計(jì)算機(jī)系統(tǒng)乃至通信網(wǎng)絡(luò)產(chǎn)生不同程度的破壞[2]。

（2）分布式拒絕服務(wù)攻擊。分布式拒絕服務(wù)（Distributed Denial of Service，DDoS）攻擊十分流行，其通過(guò)合理的服務(wù)請(qǐng)求將系統(tǒng)全部服務(wù)資源占用，導(dǎo)致合法用戶無(wú)法快速獲得服務(wù)響應(yīng)，進(jìn)而采取攻擊。DDoS攻擊運(yùn)行原理如圖1所示。黑客入侵到通信網(wǎng)絡(luò)主機(jī)后通過(guò)植入木馬實(shí)現(xiàn)對(duì)其他傀儡機(jī)的入侵，當(dāng)控制數(shù)量達(dá)到一定標(biāo)準(zhǔn)時(shí)，則開始對(duì)目標(biāo)機(jī)器展開攻擊，大量的無(wú)效服務(wù)請(qǐng)求將使目標(biāo)機(jī)陷入崩潰。若未能攻擊成功，追查過(guò)程中也只能確定其攻擊的目標(biāo)對(duì)象，無(wú)法追擊到攻擊者行蹤。

圖1 DDoS攻擊運(yùn)行原理

（3）地址解析協(xié)議攻擊。部隊(duì)通信網(wǎng)絡(luò)中所用局域網(wǎng)數(shù)據(jù)以幀為單位進(jìn)行傳輸，保存的主要內(nèi)容則是MAC地址。兩臺(tái)主機(jī)在以太網(wǎng)內(nèi)完成數(shù)據(jù)傳輸，為避免暴露IP地址，依靠MAC地址完成傳輸工作。而從IP轉(zhuǎn)換為MAC地址則通過(guò)地址解析協(xié)議（Address Resolution Protocol，ARP）實(shí)現(xiàn)，若出現(xiàn)ARP欺騙，則會(huì)導(dǎo)致網(wǎng)絡(luò)出現(xiàn)頻繁掉線或大范圍不通情況。欺騙的主要對(duì)象是路由器和內(nèi)網(wǎng)PC網(wǎng)關(guān)，通過(guò)欺騙可截獲網(wǎng)關(guān)數(shù)據(jù)包，從而虛構(gòu)出MAC地址，導(dǎo)致傳輸內(nèi)容失真，無(wú)法完成通信活動(dòng)。如果偽造網(wǎng)關(guān)將錯(cuò)誤的網(wǎng)關(guān)地址傳輸?shù)骄钟蚓W(wǎng)內(nèi)，其他計(jì)算機(jī)則無(wú)法傳輸數(shù)據(jù)[3]。

網(wǎng)絡(luò)傳輸依靠多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)實(shí)現(xiàn)，每個(gè)節(jié)點(diǎn)均有可能遭受入侵、偵聽。在信息泄露的控制上，也缺少可靠的技術(shù)手段，其中存在的有用信息內(nèi)容會(huì)被不法分子接收并重顯。TCP/IP協(xié)議是互聯(lián)網(wǎng)最基本的協(xié)議，其網(wǎng)絡(luò)層以IP協(xié)議為基礎(chǔ)，傳輸層以TCP協(xié)議為基礎(chǔ)，需要通過(guò)3次握手在信息傳輸中建立起連接。

第1次握手發(fā)送報(bào)文：IP地址為192.168.1.134的客戶主機(jī)發(fā)出連接請(qǐng)求，目標(biāo)主機(jī)為server、目標(biāo)端口為telnet，發(fā)送初始序列號(hào)為674326589。

第2次握手發(fā)送報(bào)文：目標(biāo)主機(jī)server回發(fā)SYN報(bào)文段應(yīng)答，初始序號(hào)為1449940077，并設(shè)置確認(rèn)序號(hào)為674326589+1=674326590。

第3次握手發(fā)送報(bào)文：客戶通過(guò)對(duì)序號(hào)1449940077+1=1449940078的確認(rèn)完成對(duì)服務(wù)器SYN報(bào)文段的確認(rèn)。

完成以上3步則可傳輸數(shù)據(jù)，整個(gè)過(guò)程中TCP的狀態(tài)變遷如圖2所示。

圖2 TCP協(xié)議狀態(tài)變遷

但在整個(gè)過(guò)程中存在諸多安全隱患，例如文件傳輸協(xié)議（File Transfer Protocol，F(xiàn)TP）協(xié)議服務(wù)過(guò)程中，其以客戶機(jī)/服務(wù)器為基礎(chǔ)架構(gòu)，對(duì)于平臺(tái)無(wú)關(guān)數(shù)據(jù)進(jìn)行傳輸，通常安全問(wèn)題出現(xiàn)在匿名FTP傳輸中，由于不提供用戶信息，可能傳輸攜帶木馬內(nèi)容，缺少對(duì)訪問(wèn)權(quán)限嚴(yán)格、有效的控制，且用戶名以及密碼等機(jī)密信息的傳輸均采用明文方式，使泄漏、被盜等安全問(wèn)題發(fā)生概率更高[4]。

1.2 使用操作存在缺陷

一些使用者在系統(tǒng)操作上存在不規(guī)范行為也成為網(wǎng)絡(luò)遭受攻擊的重要原因。目前部隊(duì)將網(wǎng)絡(luò)通信建設(shè)的重點(diǎn)定位為軟件、硬件的開發(fā)，忽視對(duì)使用者的管理與規(guī)范。同時(shí)，針對(duì)網(wǎng)絡(luò)系統(tǒng)中存在的安全問(wèn)題，國(guó)家出臺(tái)相關(guān)法律法規(guī)進(jìn)行約束，指導(dǎo)部隊(duì)約束網(wǎng)絡(luò)通信行為。由于人才匱乏、缺少科學(xué)的網(wǎng)絡(luò)運(yùn)行管理機(jī)制、安全控制不到位，因此出現(xiàn)問(wèn)題時(shí)無(wú)法快速響應(yīng)、采取規(guī)范且有效的解決方法。此外，使用者缺乏安全意識(shí)，安全軟件未能及時(shí)升級(jí)、數(shù)據(jù)庫(kù)過(guò)期未能及時(shí)更新、未進(jìn)行高安全等級(jí)數(shù)據(jù)備份等，使通信信息遭受嚴(yán)重的安全威脅[5]。

2 加強(qiáng)網(wǎng)絡(luò)安全防護(hù)建設(shè)的策略

2.1 改進(jìn)計(jì)算機(jī)系統(tǒng)

2.1.1 確立數(shù)據(jù)加密與分級(jí)安全制度

目前，國(guó)際上先進(jìn)的部隊(duì)通信網(wǎng)絡(luò)安全防護(hù)措施是通過(guò)嚴(yán)格的權(quán)限等級(jí)制度對(duì)系統(tǒng)與網(wǎng)絡(luò)的訪問(wèn)、使用進(jìn)行控制。根據(jù)部隊(duì)通信的特點(diǎn)構(gòu)建起等級(jí)明確的分級(jí)管控制度，保障網(wǎng)絡(luò)通信安全。具體來(lái)講，明確部隊(duì)通信中每一級(jí)人員的使用權(quán)限，嚴(yán)禁跨越級(jí)別接觸通信信息與內(nèi)容。通過(guò)信息加密算法對(duì)數(shù)據(jù)進(jìn)行有效加密與合理隱藏，加強(qiáng)傳輸過(guò)程中對(duì)信息安全的保障，避免出現(xiàn)信息泄漏、被盜、被篡改。

2.1.2 安裝防病毒軟件以及防火墻

在通信網(wǎng)絡(luò)中為主機(jī)安裝殺毒軟件是減少系統(tǒng)遭受入侵的重要手段，通過(guò)殺毒軟件能夠?qū)W(wǎng)絡(luò)內(nèi)連接的所有系統(tǒng)進(jìn)行統(tǒng)一殺毒，并對(duì)網(wǎng)絡(luò)展開實(shí)時(shí)監(jiān)控，將病毒入侵的可能性控制在最低。防火墻也是網(wǎng)絡(luò)安全防護(hù)的重要工具，目前在實(shí)際中應(yīng)用防火墻能夠?qū)?nèi)部網(wǎng)絡(luò)傳輸中各個(gè)階段展開強(qiáng)有力的控制，審核所有流進(jìn)流出的數(shù)據(jù)包信息、網(wǎng)絡(luò)流量、IP地址等，有利于維護(hù)信息傳輸秩序，提升數(shù)據(jù)安全性[6]。

2.1.3 運(yùn)用路由器與虛擬專用網(wǎng)絡(luò)技術(shù)

路由器的應(yīng)用使網(wǎng)絡(luò)傳輸更加便捷，為了保障使用安全，應(yīng)采用密碼算法以及加/解密專用芯片，對(duì)廣播數(shù)據(jù)包以及不能確定地址的信息數(shù)據(jù)包進(jìn)行嚴(yán)格控制。目前，我國(guó)網(wǎng)絡(luò)設(shè)備的開發(fā)能力較強(qiáng)，華為、中興等網(wǎng)絡(luò)科技公司提供的產(chǎn)品均具有一定的可靠性與安全性優(yōu)勢(shì)，可在軍用網(wǎng)絡(luò)中應(yīng)用。而針對(duì)虛擬網(wǎng)絡(luò)也應(yīng)建設(shè)專用傳輸通道，可預(yù)防信息被篡改、被泄露。

2.1.4 安裝入侵檢測(cè)與誘騙系統(tǒng)

殺毒軟件、防火墻、路由器等設(shè)施為通信網(wǎng)絡(luò)提供的防護(hù)屬于靜態(tài)防護(hù)，只能被動(dòng)應(yīng)對(duì)安全問(wèn)題，無(wú)法對(duì)系統(tǒng)內(nèi)存在的安全風(fēng)險(xiǎn)進(jìn)行主動(dòng)監(jiān)測(cè)。基于此，需要通過(guò)入侵檢測(cè)系統(tǒng)與誘騙系統(tǒng)追蹤攻擊行為和入侵路徑，提供實(shí)時(shí)保護(hù)，全面降低安全風(fēng)險(xiǎn)帶來(lái)的影響與危害，避免通信網(wǎng)絡(luò)在運(yùn)行中出現(xiàn)不穩(wěn)定的情況。網(wǎng)絡(luò)攻擊誘騙系統(tǒng)的功能更為高端，通過(guò)軟硬件構(gòu)建起虛擬的網(wǎng)絡(luò)環(huán)境，當(dāng)出現(xiàn)入侵時(shí)則使所有入侵與攻擊行為發(fā)生在虛擬網(wǎng)絡(luò)中，不對(duì)通信系統(tǒng)的實(shí)際運(yùn)行造成影響與安全威脅，方便掌握黑客入侵路徑、采集犯罪行為[7]。

2.2 規(guī)范使用與操作

制定完善、科學(xué)的管理制度，對(duì)使用與操作行為進(jìn)行規(guī)范。針對(duì)不同級(jí)別的領(lǐng)導(dǎo)、通信員設(shè)立不同級(jí)別的管理機(jī)構(gòu)，專門負(fù)責(zé)網(wǎng)絡(luò)與信息安全管理，并制定明確的管理目標(biāo)、管理原則，在開展管理工作期間細(xì)致分工，做到專人專項(xiàng)，從而為通信網(wǎng)絡(luò)內(nèi)所有鏈路的穩(wěn)定運(yùn)行奠定良好基礎(chǔ)。同時(shí)，以嚴(yán)格的制度和有效的思想道德教育約束與規(guī)范使用者的行為，使其在使用通信網(wǎng)絡(luò)過(guò)程中秉持著高度保密意識(shí)。此外，安全管理崗位人員必須具有專業(yè)知識(shí)背景。在與網(wǎng)絡(luò)通信安全相關(guān)事務(wù)中，要求具備同級(jí)別管理權(quán)限的多名人員在場(chǎng)，并基于職責(zé)分離原則開展工作。網(wǎng)絡(luò)開發(fā)、維護(hù)等工作需要由不同的隊(duì)伍承擔(dān)，分工明確、不得越權(quán)[8]。

加強(qiáng)專業(yè)技術(shù)人才培養(yǎng)，重點(diǎn)引進(jìn)計(jì)算機(jī)專業(yè)技術(shù)人才，并通過(guò)專業(yè)技術(shù)培訓(xùn)不斷強(qiáng)化技術(shù)人員的實(shí)操能力。將通信網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的操控作為平時(shí)訓(xùn)練的重要內(nèi)容，模擬外部攻擊與入侵，強(qiáng)化其安全防控意識(shí)、處理突發(fā)危機(jī)能力，組建一支素質(zhì)優(yōu)良、能力突出、反應(yīng)快速的通信隊(duì)伍，做好部隊(duì)通信網(wǎng)絡(luò)安全防御以及進(jìn)攻工作，確保在網(wǎng)絡(luò)安全斗爭(zhēng)中掌握主動(dòng)權(quán)。

2.3 完善網(wǎng)絡(luò)體系結(jié)構(gòu)

目前，我國(guó)部隊(duì)網(wǎng)絡(luò)通信的主要安全威脅來(lái)自外部攻擊與病毒感染，部隊(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3所示?？蛻舳恕⒎?wù)器、信號(hào)交換機(jī)能夠組成一個(gè)小的局域網(wǎng)，在路由器的支持下利用光纖并入到軍隊(duì)網(wǎng)絡(luò)中，與外網(wǎng)連接則通過(guò)隔離設(shè)備完成，結(jié)構(gòu)上存在明顯的漏洞，一旦被人入侵，將使大量機(jī)密信息被泄露。

圖3 部隊(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)示意圖

完善網(wǎng)絡(luò)體系結(jié)構(gòu)，針對(duì)內(nèi)外建立兩套網(wǎng)絡(luò)體系，使內(nèi)部局域網(wǎng)與外部Internet處于完全斷開狀態(tài)，禁止將外網(wǎng)PC連接到內(nèi)部局域網(wǎng)中。以網(wǎng)絡(luò)分隔為基礎(chǔ)，在內(nèi)部網(wǎng)絡(luò)每個(gè)節(jié)點(diǎn)上配置專用硬件防火墻和路由器，提高防護(hù)強(qiáng)度。內(nèi)部網(wǎng)絡(luò)的劃分由虛擬子網(wǎng)、通道完成，當(dāng)子網(wǎng)內(nèi)出現(xiàn)病毒感染，可直接將病毒控制在子網(wǎng)內(nèi)，避免擴(kuò)散[9]。而針對(duì)病毒入侵問(wèn)題，網(wǎng)絡(luò)分離后入侵的途徑通常為存儲(chǔ)介質(zhì)染毒后接入到部隊(duì)通信網(wǎng)絡(luò)中，此類病毒入侵后會(huì)自動(dòng)釋放，無(wú)法手動(dòng)查殺，因此需要配備具有強(qiáng)悍查殺能力的安全軟件。同時(shí)也可以通過(guò)軟件防火墻加基于主機(jī)的入侵防御系統(tǒng)（Host-based Intrusion Prevention System，HIPS）展開防護(hù)，通過(guò)監(jiān)控計(jì)算機(jī)系統(tǒng)的運(yùn)行，及時(shí)提示注冊(cè)表被修改情況，并報(bào)告是否允許訪問(wèn)軟件。加載病毒程序時(shí)HIPS軟件立即提供提示信息，此時(shí)點(diǎn)擊阻止則病毒無(wú)法運(yùn)行。與其他自動(dòng)進(jìn)行殺毒與防控的軟件相比，HIPS更適合部隊(duì)通信網(wǎng)絡(luò)，其能夠由使用者自行制定防御動(dòng)作[10]。

3 結(jié) 論

綜上所述，在網(wǎng)絡(luò)信息安全防護(hù)水平提升的同時(shí)，病毒入侵、網(wǎng)絡(luò)攻擊技術(shù)也在進(jìn)步，部隊(duì)通信網(wǎng)絡(luò)信息安全防護(hù)問(wèn)題需要得到高度重視。通過(guò)利用好防火墻、路由器、殺毒軟件、HIPS等工具，加強(qiáng)對(duì)每個(gè)節(jié)點(diǎn)的安全防控，從而提升網(wǎng)絡(luò)整體的安全性與可靠性。