吳剛

達(dá)州職業(yè)技術(shù)學(xué)院機(jī)械電子與信息工程系 四川 635001

0 前言

計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)包含有包過濾技術(shù)、狀態(tài)檢測技術(shù)、應(yīng)用代理網(wǎng)關(guān)、端口掃描技術(shù)、數(shù)字簽名與加密技術(shù)等等，在拓?fù)浣Y(jié)構(gòu)和布局上也形成了以防火墻為主要防線的“圍城”結(jié)構(gòu)，然而現(xiàn)有網(wǎng)絡(luò)還是不斷遭到數(shù)據(jù)竊取和網(wǎng)絡(luò)攻擊，現(xiàn)有網(wǎng)絡(luò)安全體系還存在固有的缺陷，導(dǎo)致網(wǎng)絡(luò)的強(qiáng)壯性仍然不足。

1 目前計(jì)算機(jī)網(wǎng)絡(luò)安全體系

目前的網(wǎng)絡(luò)防范體系基本上是以“圍城”為基本思路的，在被保護(hù)的網(wǎng)絡(luò)邊界設(shè)置數(shù)據(jù)包進(jìn)出的“必經(jīng)之道”，作為“軍事要塞”。在主機(jī)上基本也采用這種思路，采用單機(jī)防火墻保護(hù)主機(jī)系統(tǒng)。

根據(jù)采用的技術(shù)不同，防火墻分為以下類型：包過濾防火墻；代理服務(wù)器；電路層網(wǎng)關(guān)；混合型防火墻；應(yīng)用級網(wǎng)關(guān)；狀態(tài)/動(dòng)態(tài)檢測防火墻；網(wǎng)絡(luò)地址翻譯NAT；個(gè)人防火墻；智能防火墻。

防火墻“圍城”架構(gòu)雖然在一定程度上有效保護(hù)了內(nèi)部網(wǎng)絡(luò)不受外部攻擊，但也日益顯示它的脆弱性：

（1）防火墻的操作系統(tǒng)不能保證沒有漏洞；

（2）防火墻的硬件不能保證不失效；

（3）防火墻軟件不能保證沒有漏洞。防火墻軟件也是軟件，是軟件就會有漏洞；

（4）防火墻無法解決TCP/IP等協(xié)議的漏洞；

（5）防火墻無法區(qū)分惡意命令還是善意命令；

（6）防火墻無法區(qū)分惡意流量和善意流量；

（7）防火墻的安全性與多功能成反比；

（8）防火墻的安全性和速度成反比；

（9）防火墻的多功能與速度成反比；

（10）防火墻無法保證準(zhǔn)許服務(wù)的安全性；

（11）限制有用的網(wǎng)絡(luò)服務(wù)；

（12）無法防護(hù)內(nèi)部網(wǎng)絡(luò)用戶的攻擊；

（13）Internet防火墻無法防范通過防火墻以外的其他途徑的攻擊；

（14）Internet防火墻不能完全防止傳送已感染病毒的軟件或文件；

（15）不能防范新的網(wǎng)絡(luò)安全威脅。

2 五行理論框架

五行系統(tǒng)包括組成事物的五種基本物質(zhì)(對象)，五行，一曰水，二曰火，三曰木，四曰金，五曰土。五行的基本性質(zhì)，水曰潤下，火曰炎上，木曰曲直，金曰從革，土爰稼穡。

水有寒涼、滋潤、向下、閉藏、終結(jié)等特性；火有溫?zé)帷⒐饷?、變化、活?dòng)、升騰等特性；木有生長、興發(fā)、生機(jī)、條達(dá)、舒展等特性；金有變革、禁制、肅殺、斂降、潔凈等特性；土有生長、承載、化生、孕育、長養(yǎng)的特性。

五行學(xué)說利用五行的關(guān)系來取象類比，表現(xiàn)事物的關(guān)系和發(fā)展變化。就這種理論本身來說，是一種樸素的統(tǒng)一辯證法，在這個(gè)矛盾統(tǒng)一系統(tǒng)中，沒有絕對的角色定位，沒有絕對的攻擊者，也沒有絕對的防范者，角色是可以互相轉(zhuǎn)化的，也是可以互相配合的，還可以互相鉗制。五行生克關(guān)系如圖1。

圖1 五行生克圖

五行相生關(guān)系：木生火，火生土，土生金，金生水，水生木。

五行相克關(guān)系：木克土，土克水，水克火，火克金，金克木。

五行亢乘：物盛極為亢太過。凡事物亢極則乖，強(qiáng)而欺弱，這叫做乘。相克的兩行，克人者太盛為亢乘。

對兩組都施以常規(guī)治療：應(yīng)用硝酸酯類、低分子肝素、β-受體阻滯劑以及阿司匹林腸溶片等藥物，囑咐不使用抗氧化藥物。A組加用瑞舒伐他汀，詳細(xì)如下：瑞舒伐他汀鈣片，10 mg/次，經(jīng)口服用，1次/d，維持治療6個(gè)月，本藥品由“南京先聲東元制藥有限公司”提供，規(guī)格：10 mg/片。B組加用阿托伐他汀，詳細(xì)如下：阿托伐他汀鈣膠囊，20 mg/次，經(jīng)口服用，1次/d，維持治療6個(gè)月，本藥品由“河南天方藥業(yè)股份有限公司”提供，規(guī)格：20 mg/粒。

五行反侮：事物亢極則乖，強(qiáng)而欺弱，被克者太盛為反侮。

五行生克關(guān)系是對事物的長期觀察和經(jīng)驗(yàn)積累的矛盾統(tǒng)一認(rèn)識。廣泛應(yīng)用于古代的醫(yī)學(xué)、建筑、政治、軍事、文化等多種學(xué)科，是古代各學(xué)科的理論基礎(chǔ)之一。

3 時(shí)空結(jié)構(gòu)的整合

五行理論中互相制約的組件架構(gòu)可以有效地解決現(xiàn)有防火墻系統(tǒng)的大部分局限性，這就要把現(xiàn)有的“圍城”安全架構(gòu)和傳統(tǒng)五行理論進(jìn)行整合，以得到新的網(wǎng)絡(luò)安全體系。

3.1 網(wǎng)絡(luò)安全與五行理論的術(shù)語對應(yīng)

首先，網(wǎng)絡(luò)安全技術(shù)中的哪一些技術(shù)分類到五行這五大組件中呢？這是人為的劃分，主要目的是方便功能細(xì)化。網(wǎng)絡(luò)攻擊的技術(shù)要進(jìn)行分類，并入五行之中；防范技術(shù)也要進(jìn)行分類，并入五行之中。

劃分大致如下：

（1）攻擊技術(shù)劃分：水式(旁路、陷門、信息泄露)；火式(計(jì)算機(jī)病毒、完整性破壞)；金式(授權(quán)侵犯、非法使用)；木式(假冒、篡改)；土式(拒絕服務(wù))。

（2）防范技術(shù)劃分：土部(數(shù)據(jù)加密技術(shù)、入侵檢測技術(shù)、黑客防范技術(shù))；水部(病毒診斷與防治技術(shù)、安全審計(jì)技術(shù))；火部(訪問控制技術(shù))；金部(數(shù)字簽名技術(shù)、鑒別技術(shù)、攻擊源阻塞技術(shù))；木部(網(wǎng)絡(luò)嗅探技術(shù)、端口掃描技術(shù)、防火墻技術(shù))。

3.2 安全技術(shù)“各自為陣”變?yōu)椤坝袡C(jī)集成”

傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)基本上處于分立工作，互無往來的狀態(tài)。比如實(shí)現(xiàn)審計(jì)技術(shù)的主機(jī)和防火墻主機(jī)并無關(guān)系。

五行架構(gòu)將網(wǎng)絡(luò)安全技術(shù)統(tǒng)一納入系統(tǒng)中，分工合作，互通有無，協(xié)同作戰(zhàn)。在五行架構(gòu)中運(yùn)用了所有的安全技術(shù)手段。

3.3 變阻止攻擊為設(shè)置陷阱

傳統(tǒng)的防火墻架構(gòu)中，如果判斷出現(xiàn)網(wǎng)絡(luò)攻擊數(shù)據(jù)包，就竭力阻止入侵。一旦防范失敗，沒有檢測到惡意數(shù)據(jù)包，則這類攻擊如入無人之境，城門洞開。

五行架構(gòu)的安全體系，防范重點(diǎn)不在城門處，而是分布在系統(tǒng)的五個(gè)部分，形成一個(gè)互相制衡、相互援助的體系。

五行架構(gòu)體系要先判斷攻擊的類型，或者說是網(wǎng)絡(luò)訪問的類型，再將訪問數(shù)據(jù)包交由相應(yīng)的“行部”處理。如果首先遭遇攻擊的“行部”被癱瘓，則安全防范由體系中的其它“行部”接管，其它“行部”不僅要繼續(xù)處理攻擊數(shù)據(jù)包，而且要恢復(fù)被癱瘓的“行部”正常工作。這種思想來源于中醫(yī)中的五臟相生的關(guān)系。

現(xiàn)有防火墻體系不能檢測和處理內(nèi)部網(wǎng)產(chǎn)生的網(wǎng)絡(luò)攻擊，新的五行架構(gòu)將內(nèi)部網(wǎng)數(shù)據(jù)包捕獲功能、攻擊源檢測和阻塞功能加入五行之中，利用五行“生克”關(guān)系“克住”內(nèi)部攻擊源。攻克的方法可以采用現(xiàn)有的黑客攻擊技術(shù)包括ARP攻擊技術(shù)。

把判斷網(wǎng)絡(luò)訪問類型并交由其它“行部”處理的過程稱為“設(shè)置陷阱”。

3.4 變圍城結(jié)構(gòu)為五行遞歸結(jié)構(gòu)

如前所述，傳統(tǒng)的防火墻架構(gòu)一旦防范失敗，則城門洞開。

圖2 五行網(wǎng)絡(luò)架構(gòu)圖

五行架構(gòu)(參見圖2“五行網(wǎng)絡(luò)架構(gòu)圖”)中，一個(gè)“行部”不能對付的網(wǎng)絡(luò)攻擊，由另一個(gè)與之“相生”的“行部”而與外部訪問“相克”的“行部”處理。當(dāng)然，對于正常的網(wǎng)絡(luò)訪問也是這樣，正常的網(wǎng)絡(luò)訪問通過五行系統(tǒng)驗(yàn)證就可以正常訪問。

網(wǎng)絡(luò)數(shù)據(jù)包在五行架構(gòu)中流轉(zhuǎn)的過程稱之為“五行遞歸”。如果遇到網(wǎng)絡(luò)攻擊將首先遭遇的“行部”癱瘓，五行遞歸結(jié)構(gòu)具有優(yōu)良的自恢復(fù)特性，如前所述，安全防范工作由體系中的其它“行部”接管，其它“行部”可以恢復(fù)被癱瘓的“行部”正常工作。

3.5 變主機(jī)獨(dú)立對抗為五行組合對抗

傳統(tǒng)的網(wǎng)絡(luò)安全體系一般為主機(jī)獨(dú)立對抗，如果出現(xiàn)惡意攻擊，主機(jī)孤立無援。防火墻也是一臺主機(jī)，它沒有向其它主機(jī)求援的功能，主機(jī)之間也沒有互相援助的功能。

五行架構(gòu)的思想是分工負(fù)責(zé)，協(xié)作對抗，互相援助，循環(huán)往復(fù)?！澳静俊鄙盎鸩俊?，克“土”式攻擊(或者檢驗(yàn)“土”式網(wǎng)絡(luò)訪問)；“火部”生“土部”，克“金”式攻擊(或者檢驗(yàn)“金”式網(wǎng)絡(luò)訪問)；“土部”生“金部”，克“水”式攻擊(或者檢驗(yàn)“水”式網(wǎng)絡(luò)訪問)；“金部”生“水部”，克“木”式攻擊(或者檢驗(yàn)“木”式網(wǎng)絡(luò)訪問)；“水部”生“木部”，克“火”式攻擊(或者檢驗(yàn)“火”式網(wǎng)絡(luò)訪問)。循環(huán)往復(fù)，生生不息。

“木部”生“火部”，就是“火部”是“木部”的后繼者，當(dāng)“木部”處理了網(wǎng)絡(luò)訪問后，就交由“火部”處理，還有一個(gè)意義，當(dāng)“火部”癱瘓，由“木部”來負(fù)責(zé)恢復(fù)運(yùn)行；

“火部”生“土部”，就是“土部”是“火部”的后繼者，當(dāng)“火部”處理了網(wǎng)絡(luò)訪問后，就交由“土部”處理，當(dāng)“土部”癱瘓，由“火部”來負(fù)責(zé)恢復(fù)運(yùn)行；依此類推。

3.6 大五行與小五行

網(wǎng)絡(luò)中的五行架構(gòu)同樣適用于一臺主機(jī)內(nèi)部，主機(jī)內(nèi)部的“小五行”組成最后一道防線，共同防范越過“大五行”的網(wǎng)絡(luò)數(shù)據(jù)包。當(dāng)大五行系統(tǒng)配置不阻止未知類型的數(shù)據(jù)包時(shí)，這個(gè)“小五行”主機(jī)防范系統(tǒng)保障主機(jī)得以安全運(yùn)行。

3.7 網(wǎng)絡(luò)安全五行結(jié)構(gòu)的類定義

為了說明實(shí)現(xiàn)的大致框架，用Rational Rose做了框架的類定義。如圖3、圖4所示。

圖3 五行架構(gòu)的類圖

圖4 網(wǎng)絡(luò)訪問處理時(shí)序圖

4 總結(jié)

用五行理論整合的新的網(wǎng)絡(luò)安全架構(gòu)協(xié)作性更強(qiáng)，將大量的網(wǎng)絡(luò)安全技術(shù)集成到這一體系中，運(yùn)行機(jī)制循環(huán)往復(fù)、井然有序，能更有效地防范網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)安全系統(tǒng)的強(qiáng)壯性大大提高。同時(shí)，將內(nèi)部網(wǎng)絡(luò)攻擊的檢測和阻塞功能加入五行體系中，保證內(nèi)部網(wǎng)的相對純凈，使內(nèi)部網(wǎng)絡(luò)主機(jī)不再疲于應(yīng)付大量惡意的內(nèi)部攻擊數(shù)據(jù)包，提高網(wǎng)絡(luò)運(yùn)行效率，保障網(wǎng)絡(luò)安全。

[1] 楊云江.計(jì)算機(jī)與網(wǎng)絡(luò)安全實(shí)用技術(shù)[M].北京:清華大學(xué)出版社.2007.

[2] (美)Chris Hare.Internet防火墻與網(wǎng)絡(luò)安全[M].北京:機(jī)械工業(yè)出版社.1998.

[3] 網(wǎng)易網(wǎng)友“游魂”.水曰潤下,火曰炎上,木曰曲直,金曰從革,土爰稼穡[EB/OL].http://blog.163.com/3121980.net/blog/static/24039 82007112585112761/.2007．