基于計算機(jī)網(wǎng)絡(luò)的安全防御策略研究

張 洋

（北京衛(wèi)星環(huán)境工程研究所 北京 100094）

0 引言

隨著信息技術(shù)的飛速發(fā)展，計算機(jī)網(wǎng)絡(luò)已成為現(xiàn)代社會中不可或缺的基礎(chǔ)設(shè)施。 它連接了人們、組織和各種設(shè)備，為信息的交流和資源的共享提供了便捷的途徑。 然而，計算機(jī)網(wǎng)絡(luò)的開放性和復(fù)雜性也使其成為威脅和攻擊的目標(biāo)。 網(wǎng)絡(luò)安全威脅的不斷演變和增長，對網(wǎng)絡(luò)安全防御提出了更高的要求。

1 計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)

1.1 常見的網(wǎng)絡(luò)安全威脅和攻擊類型

1.1.1 惡意軟件

惡意軟件，也被稱為“惡意代碼”，是一種專門設(shè)計用來破壞計算機(jī)系統(tǒng)、竊取敏感數(shù)據(jù)或者干擾網(wǎng)絡(luò)服務(wù)的軟件。 它們的種類繁多，包括病毒、蠕蟲、特洛伊木馬、間諜軟件、勒索軟件等。 例如，病毒是一種可以自我復(fù)制的惡意代碼，它會寄生在正常程序中，當(dāng)用戶運(yùn)行這個程序時，病毒就會被激活并開始傳播。

1.1.2 釣魚

釣魚是一種通過偽裝成可信的實(shí)體，欺騙用戶提供敏感信息的網(wǎng)絡(luò)攻擊方式。 釣魚攻擊通常通過電子郵件或者網(wǎng)站進(jìn)行，其目標(biāo)可能是用戶的用戶名、密碼、信用卡號等敏感信息。 例如，攻擊者可能會發(fā)送一封看起來像是來自用戶銀行的電子郵件，引導(dǎo)用戶點(diǎn)擊一個鏈接并在一個偽造的網(wǎng)站上輸入他們的銀行賬號和密碼。

1.1.3 社交工程

社交工程是一種利用人的心理弱點(diǎn)進(jìn)行欺詐的技術(shù)。社交工程攻擊者通常通過偽裝、欺騙、引誘等方式，使用戶在沒有意識到的情況下泄露敏感信息或者進(jìn)行不安全的行為。 例如，攻擊者可能會假裝成公司的IT 支持人員，打電話給員工并請求他們提供登錄憑證，以便“幫助”他們解決一個不存在的問題。

1.1.4 分布式拒絕服務(wù)攻擊

分布式拒絕服務(wù)攻擊（distributed denial of service，DDoS）是一種旨在通過大量的請求淹沒目標(biāo)服務(wù)器，使其無法為正常用戶提供服務(wù)的攻擊。 在DDoS 攻擊中，攻擊者通常會控制一個由大量機(jī)器組成的“僵尸網(wǎng)絡(luò)”，并同時向目標(biāo)發(fā)送請求。 例如，攻擊者可能會利用僵尸網(wǎng)絡(luò)向目標(biāo)服務(wù)器發(fā)送大量的數(shù)據(jù)包，使其網(wǎng)絡(luò)連接或者處理能力達(dá)到極限，從而導(dǎo)致正常用戶無法訪問該服務(wù)器的服務(wù)。

1.2 網(wǎng)絡(luò)安全的基本屬性

1.2.1 機(jī)密性

機(jī)密性指的是系統(tǒng)的能力，能夠防止未經(jīng)授權(quán)的個體訪問信息。 機(jī)密性的關(guān)鍵在于對數(shù)據(jù)實(shí)行嚴(yán)格的訪問控制，只有被授權(quán)的用戶才有權(quán)限查看特定的信息。 例如，應(yīng)用加密算法能夠在信息傳輸過程中保護(hù)數(shù)據(jù)，使得未經(jīng)授權(quán)的用戶不能解讀數(shù)據(jù)的實(shí)際內(nèi)容，即使他們能夠接觸到數(shù)據(jù)。 這種保護(hù)機(jī)密性的實(shí)踐表明，即使在數(shù)據(jù)被截獲的情況下，信息的機(jī)密性也能得到維護(hù)。

1.2.2 完整性

完整性確保了數(shù)據(jù)在傳輸和存儲過程中的一致性和準(zhǔn)確性，它阻止了未經(jīng)授權(quán)的數(shù)據(jù)篡改或刪除。 要實(shí)現(xiàn)數(shù)據(jù)的完整性，需要應(yīng)用一些技術(shù)手段，比如哈希函數(shù)和數(shù)字簽名等。 哈希函數(shù)能夠從數(shù)據(jù)中生成一個定長的唯一摘要，如果數(shù)據(jù)被修改，哈希摘要將會發(fā)生變化，檢測到摘要的變化就能發(fā)現(xiàn)數(shù)據(jù)的變動，從而確保數(shù)據(jù)的完整性。

1.2.3 可用性

可用性保證網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)能夠持續(xù)地為用戶提供服務(wù)。 保證服務(wù)的可用性就是要確保服務(wù)不會因?yàn)橄到y(tǒng)故障、惡意攻擊或網(wǎng)絡(luò)擁堵等原因而中斷。 為了提高系統(tǒng)的可用性，可以使用負(fù)載均衡技術(shù)，將請求分發(fā)到多個服務(wù)器，以避免單個服務(wù)器過載。 同時，使用冗余設(shè)計，即使部分系統(tǒng)或網(wǎng)絡(luò)發(fā)生故障，其他部分也可以提供服務(wù)。 此外，為防止拒絕服務(wù)攻擊，網(wǎng)絡(luò)安全系統(tǒng)需要應(yīng)用一些防御措施，如防火墻和流量限制等［1］。

1.2.4 可追溯性

可追溯性是網(wǎng)絡(luò)安全的一個重要屬性，它要求能夠追蹤和審計網(wǎng)絡(luò)活動，以確定事件的來源和責(zé)任。 在網(wǎng)絡(luò)通信中，可追溯性允許對用戶的操作行為、網(wǎng)絡(luò)攻擊事件和異?；顒舆M(jìn)行記錄和跟蹤，以提供追溯和溯源的能力。

通過實(shí)施可追溯性措施，網(wǎng)絡(luò)管理員和安全團(tuán)隊(duì)可以收集和分析網(wǎng)絡(luò)活動的日志記錄、審計數(shù)據(jù)和事件信息。這些信息可以用于確定事件發(fā)生的時間、地點(diǎn)、參與者以及相關(guān)的行為，從而幫助發(fā)現(xiàn)潛在的安全漏洞、入侵行為和異常活動。 同時，可追溯性也為取證和調(diào)查提供了重要的依據(jù)，使得網(wǎng)絡(luò)安全事件的調(diào)查和解決更加可靠和有效。

2 計算機(jī)網(wǎng)絡(luò)的安全防御機(jī)制

2.1 防火墻

防火墻是計算機(jī)網(wǎng)絡(luò)安全防御機(jī)制中的核心組件，作為網(wǎng)絡(luò)的“門戶”，它決定了哪些網(wǎng)絡(luò)流量可以通過，哪些應(yīng)當(dāng)被阻止。 防火墻的工作原理主要依賴于預(yù)設(shè)的安全策略，這些策略定義了防火墻應(yīng)如何處理流經(jīng)它的各類數(shù)據(jù)包。 防火墻主要分為包過濾防火墻、狀態(tài)檢測防火墻、應(yīng)用層防火墻，詳情如下。

2.1.1 包過濾防火墻

包過濾防火墻在網(wǎng)絡(luò)層進(jìn)行操作，主要依據(jù)數(shù)據(jù)包的IP 地址、端口號以及協(xié)議類型進(jìn)行過濾。 其工作原理可以用如下公式表示：

2.1.2 狀態(tài)檢測防火墻

狀態(tài)檢測防火墻在網(wǎng)絡(luò)層和傳輸層進(jìn)行操作，除了包過濾防火墻的過濾規(guī)則，還會對傳輸控制協(xié)議／用戶數(shù)據(jù)報協(xié)議（transmission control protocol／user datagram protocol，TCP／UDP）會話進(jìn)行追蹤。 通過保存會話的信息（例如序列號、確認(rèn)號等），狀態(tài)檢測防火墻能夠更精確地進(jìn)行數(shù)據(jù)包過濾。

2.1.3 應(yīng)用層防火墻

應(yīng)用層防火墻則在應(yīng)用層進(jìn)行操作，它可以理解并執(zhí)行特定應(yīng)用協(xié)議的命令，識別并阻止協(xié)議規(guī)定行為之外的行為。 這使得應(yīng)用層防火墻能夠提供更為精細(xì)的訪問控制［2］。

2.2 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)（intrusion detection system，IDS）是一種專門用于檢測網(wǎng)絡(luò)中異?；蜻`規(guī)行為的安全防御技術(shù)。主要通過收集并分析網(wǎng)絡(luò)流量數(shù)據(jù)，依據(jù)特定的策略和規(guī)則，對可能的威脅進(jìn)行實(shí)時警報。

2.2.1 基于簽名的入侵檢測

基于簽名的IDS 主要是對比網(wǎng)絡(luò)流量并與預(yù)先定義的攻擊模式（或稱為“簽名”）進(jìn)行匹配。 這種簽名通常是由已知的惡意行為產(chǎn)生的特征，例如特定的比特序列、惡意軟件的哈希值或特定的系統(tǒng)行為。 然而，基于簽名的IDS 的主要挑戰(zhàn)在于它們對未知威脅的檢測能力有限。

2.2.2 基于異常的入侵檢測

基于異常的IDS 則是通過學(xué)習(xí)正常的網(wǎng)絡(luò)流量模式，并檢測任何偏離這些模式的行為。 該類型的IDS 通常使用統(tǒng)計模型、機(jī)器學(xué)習(xí)等技術(shù)進(jìn)行異常檢測。 其中一種常見的方法是使用自組織映射（self-organizing map， SOM）進(jìn)行聚類分析，SOM 能夠通過無監(jiān)督學(xué)習(xí)對輸入數(shù)據(jù)進(jìn)行特征提取和分類。

例如，一個使用SOM 的基于異常的IDS 可能會使用以下步驟進(jìn)行異常檢測：

Step1：對網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行預(yù)處理，包括標(biāo)準(zhǔn)化、去噪、特征選擇等。

Step2：使用SOM 算法對預(yù)處理后的數(shù)據(jù)進(jìn)行訓(xùn)練，并創(chuàng)建特征映射。

Step3：將新的網(wǎng)絡(luò)流量數(shù)據(jù)投射到SOM 特征映射上，并通過計算其與最近訓(xùn)練數(shù)據(jù)點(diǎn)的距離進(jìn)行異常評分。

Step4：如果異常評分超過預(yù)定的閾值，則生成入侵警報。

雖然基于異常的IDS 能夠有效地檢測未知威脅，但它們也更容易產(chǎn)生誤報，因?yàn)榫W(wǎng)絡(luò)流量的正常模式可能會因各種非惡意原因而發(fā)生變化。

因此，許多現(xiàn)代IDS 系統(tǒng)采用混合模式，結(jié)合基于簽名的檢測和基于異常的檢測，以實(shí)現(xiàn)更準(zhǔn)確和全面的入侵檢測［3］。

2.3 加密技術(shù)

2.3.1 對稱加密

對稱加密是最早的加密技術(shù)之一，它使用同一密鑰進(jìn)行數(shù)據(jù)的加密和解密。 典型的對稱加密算法有美國的數(shù)據(jù)加密標(biāo)準(zhǔn)（Rivest-Shamir-Adleman， RSA）、高級加密標(biāo)準(zhǔn)（advanced encryption standard， AES）等。 其核心思想可以被抽象地表達(dá)為：設(shè)K為密鑰，E為加密函數(shù)，D為解密函數(shù)，M為明文，C為密文，那么，對稱加密的基本運(yùn)算表達(dá)方式為式（1）、式（2）：

盡管對稱加密的速度快、效率高，但是密鑰的分發(fā)和管理問題成為了其主要挑戰(zhàn)。

2.3.2 非對稱加密

非對稱加密又稱為公鑰加密，使用一對密鑰，即公鑰和私鑰。 公鑰用于加密數(shù)據(jù)，私鑰用于解密數(shù)據(jù)。 典型的非對稱加密算法有公鑰數(shù)據(jù)加密標(biāo)準(zhǔn)（ron rivest、adi shamir、leonard adleman， RSA）、橢圓曲線加密（error checking and correction， ECC）等。 非對稱加密的基本運(yùn)算表達(dá)方式為式（3）、式（4）：

非對稱加密解決了密鑰分發(fā)問題，但其運(yùn)算速度相比對稱加密較慢。

2.3.3 哈希函數(shù)

哈希函數(shù)是一種單向函數(shù)，接受任意長度的輸入，生成固定長度的輸出。 典型的哈希函數(shù)有MD5、SHA-1、SHA-256 等。 哈希函數(shù)在網(wǎng)絡(luò)安全中主要應(yīng)用于數(shù)據(jù)完整性驗(yàn)證和密碼存儲。 哈希函數(shù)的基本運(yùn)算表達(dá)方式為式（5）：

式（5）中H代表哈希值，M代表輸入的數(shù)據(jù)。 哈希函數(shù)的一個重要性質(zhì)是，對于給定的輸入M，輸出H是固定的。此外，由于哈希函數(shù)的單向性，從H反推M是非常困難的［4］。

2.4 安全協(xié)議

安全協(xié)議是一種用于在網(wǎng)絡(luò)通信中確保數(shù)據(jù)的加密和傳輸?shù)姆椒?，以保障通信的安全性?安全套接層協(xié)議／安全傳輸層協(xié)議（secure socket layer／transport layer security， SSL／TLS）、安全外殼協(xié)議（secure shell， SSH）、互聯(lián)網(wǎng)安全協(xié)議（internet protocol security， IPSec）等都是典型的安全協(xié)議。 例如，SSL／TLS 協(xié)議在客戶端和服務(wù)器之間建立一個安全的通信通道，防止數(shù)據(jù)在傳輸過程中被攔截或篡改。 SSL／TLS 使用公鑰和私鑰對數(shù)據(jù)進(jìn)行加密，防止未經(jīng)授權(quán)的訪問。 此外，SSL／TLS 還可以進(jìn)行身份驗(yàn)證，防止冒充攻擊。

2.5 認(rèn)證和訪問控制

認(rèn)證是一個過程，其目的是確認(rèn)一個用戶、系統(tǒng)或設(shè)備的身份，以確定它是否有權(quán)訪問網(wǎng)絡(luò)資源。 認(rèn)證通常涉及到一種挑戰(zhàn)-應(yīng)答機(jī)制，其中系統(tǒng)會向用戶發(fā)出一個挑戰(zhàn)，用戶必須以正確的方式應(yīng)答才能通過認(rèn)證。 通常的認(rèn)證方法包括密碼、數(shù)字證書、智能卡、生物特征等。

訪問控制則是一種方法，用于決定一個已認(rèn)證的用戶是否可以訪問特定的網(wǎng)絡(luò)資源，并確定他們可以執(zhí)行哪些操作。 訪問控制策略通常根據(jù)用戶的角色和資源的分類來定義，而訪問控制機(jī)制（如訪問控制列表）則用于實(shí)施這些策略。 訪問控制幫助保護(hù)敏感信息，防止數(shù)據(jù)泄露，保障系統(tǒng)的完整性和保密性［5］。

3 計算機(jī)網(wǎng)絡(luò)的安全策略實(shí)施

3.1 制定安全政策

網(wǎng)絡(luò)安全的成功實(shí)施首先依賴于明確、全面的安全政策。 安全政策為保護(hù)組織的信息資產(chǎn)提供了基礎(chǔ)性的框架，它定義了組織對網(wǎng)絡(luò)安全的態(tài)度、承諾以及具體操作規(guī)程。 安全政策中應(yīng)明確規(guī)定各類用戶的行為規(guī)范，包括員工、客戶、供應(yīng)商等所有涉及使用和訪問組織信息資源的角色。 其次，安全政策應(yīng)對各類可能的網(wǎng)絡(luò)安全事件，包括外部攻擊、內(nèi)部錯誤、自然災(zāi)害等情況，給出預(yù)防、應(yīng)對以及恢復(fù)的具體措施和步驟。 例如，針對員工的遠(yuǎn)程辦公行為，安全政策可能需要明確規(guī)定使用安全的網(wǎng)絡(luò)連接方式，禁止在公共無線網(wǎng)絡(luò)環(huán)境下訪問公司敏感資源等。對于可能遭受的DDoS 攻擊，安全政策可能需要定義事前的流量監(jiān)控和預(yù)警機(jī)制，事中的流量清洗和調(diào)度方案，以及事后的事件分析和改進(jìn)措施等。

安全政策的制定并不是一次性完成的，它需要根據(jù)組織的業(yè)務(wù)需求、技術(shù)環(huán)境的變化以及網(wǎng)絡(luò)安全形勢的發(fā)展進(jìn)行定期的更新和完善。 只有這樣，才能確保安全政策始終能有效地指導(dǎo)組織的網(wǎng)絡(luò)安全實(shí)踐，達(dá)到預(yù)防網(wǎng)絡(luò)威脅、保護(hù)信息資產(chǎn)、應(yīng)對安全事件的目標(biāo)。

3.2 實(shí)施防御機(jī)制

防御機(jī)制的實(shí)施涉及到多個層次，包括物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用等各個層面。 在物理層面，需要安排專門的安全區(qū)域存放服務(wù)器和網(wǎng)絡(luò)設(shè)備，采取門禁控制、監(jiān)控攝像等措施防止未授權(quán)訪問。 在網(wǎng)絡(luò)層面，需要部署防火墻、入侵檢測和防御系統(tǒng)、數(shù)據(jù)泄露防護(hù)系統(tǒng)等，實(shí)現(xiàn)對網(wǎng)絡(luò)流量的監(jiān)控和控制。 在主機(jī)和應(yīng)用層面，需要部署主機(jī)防護(hù)軟件、數(shù)據(jù)庫防護(hù)系統(tǒng)，以及針對互聯(lián)網(wǎng)應(yīng)用的防護(hù)工具，如網(wǎng)站應(yīng)用級入侵防御系統(tǒng)等。 例如，通過防火墻可以實(shí)現(xiàn)對內(nèi)外網(wǎng)絡(luò)之間的隔離，防止惡意流量進(jìn)入內(nèi)部網(wǎng)絡(luò)；通過入侵檢測系統(tǒng)可以實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊的實(shí)時發(fā)現(xiàn)和預(yù)警；通過數(shù)據(jù)泄露防護(hù)系統(tǒng)可以防止敏感信息的外泄等［6］。

3.3 持續(xù)的安全審計

安全審計可以幫助組織檢測潛在的安全威脅和漏洞，評估現(xiàn)有安全措施的有效性，并提出改進(jìn)建議。 例如，一個典型的安全審計過程可能包括對網(wǎng)絡(luò)流量、系統(tǒng)日志、用戶行為等的詳細(xì)分析，通過對比預(yù)期的安全行為和實(shí)際的運(yùn)行情況，發(fā)現(xiàn)可能的異常和漏洞。

為了有效地進(jìn)行安全審計，可以使用各種工具和方法，如日志分析工具、入侵檢測系統(tǒng)、安全信息和事件管理系統(tǒng)等。 另外，為了確保審計結(jié)果的準(zhǔn)確性和全面性，應(yīng)從多個層面進(jìn)行審計，包括網(wǎng)絡(luò)層面、系統(tǒng)層面、應(yīng)用層面等，并應(yīng)涵蓋所有的信息系統(tǒng)組成部分，如服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、應(yīng)用程序等。

3.4 安全漏洞的檢測和修復(fù)

漏洞檢測旨在發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全弱點(diǎn)，而修復(fù)則是針對這些弱點(diǎn)進(jìn)行改進(jìn)，以防止它們被惡意利用。 例如，常見的漏洞檢測方式包括對網(wǎng)絡(luò)和系統(tǒng)進(jìn)行定期的掃描和測試，使用專門的漏洞掃描工具，以及參考公開的漏洞數(shù)據(jù)庫等。

漏洞修復(fù)則包括對系統(tǒng)和軟件進(jìn)行更新和補(bǔ)丁的應(yīng)用，對配置進(jìn)行修改，以及對安全策略進(jìn)行調(diào)整等。 例如，如果發(fā)現(xiàn)某個系統(tǒng)的版本存在已知的安全漏洞，可以通過更新到最新版本或者應(yīng)用官方發(fā)布的安全補(bǔ)丁來修復(fù)。對于一些不能直接修復(fù)的漏洞，可能需要通過調(diào)整防火墻規(guī)則、改變網(wǎng)絡(luò)配置、限制用戶權(quán)限等方式來降低其風(fēng)險。需要注意的是，漏洞的檢測和修復(fù)都應(yīng)是一個持續(xù)的過程，而不是一次性的任務(wù)，因?yàn)樾碌穆┒纯赡茈S時出現(xiàn)，而舊的漏洞也可能由于環(huán)境變化而再次成為威脅［7］。

4 結(jié)語

綜上所述，計算機(jī)網(wǎng)絡(luò)的安全防御是一個綜合性的挑戰(zhàn)，需要綜合考慮多個方面，包括制定安全政策、實(shí)施防御機(jī)制、持續(xù)的安全審計和安全漏洞的檢測與修復(fù)等。 通過制定明確的安全政策，組織可以確立安全目標(biāo)和規(guī)則，為網(wǎng)絡(luò)安全提供指導(dǎo)。 實(shí)施各種防御機(jī)制，如防火墻、入侵檢測系統(tǒng)和加密技術(shù)，可以有效地保護(hù)計算機(jī)網(wǎng)絡(luò)的機(jī)密性、完整性和可用性。 持續(xù)的安全審計和安全漏洞的檢測與修復(fù)，可以及時發(fā)現(xiàn)和糾正安全漏洞，提高網(wǎng)絡(luò)的安全性和可靠性。 在快速發(fā)展的網(wǎng)絡(luò)環(huán)境中，計算機(jī)網(wǎng)絡(luò)的安全防御策略需要不斷演進(jìn)和適應(yīng)新的威脅形勢。 面對云計算、物聯(lián)網(wǎng)和人工智能等新興技術(shù)的發(fā)展，需要不斷研究和改進(jìn)安全防御策略，以應(yīng)對新型攻擊手法和威脅。 只有不斷加強(qiáng)研究和實(shí)踐，以及與各方共同努力，我們才能夠建立更安全、可靠的計算機(jī)網(wǎng)絡(luò)環(huán)境，確保信息的安全和社會的穩(wěn)定發(fā)展。