【摘 要】就目前而言，網絡攻擊技術嚴重威脅著網絡信息系統(tǒng)的安全，較為常見的攻擊行為技術包括拒絕服務、惡意軟件、利用脆弱性及內部攻擊等。在設計網絡防御系統(tǒng)時，不僅要考慮設計方案的目標與用戶職責，同時還要重點進行網絡風險分析，進而制定網絡策略?？梢哉f，通過網絡、系統(tǒng)及數(shù)據三方面的各種安全技術手段，可以有效保護網絡信息系統(tǒng)的安全性。

【關鍵詞】網絡防御系統(tǒng) 設計 入侵檢測

一、引言

目前，網絡問題已經引起人們的廣泛關注，這主要是因為網絡病毒或者網絡黑客最近幾年呈猖獗之勢、網絡攻擊造成巨大的經濟與社會損失以及網絡管理面臨著巨大的挑戰(zhàn)?？梢哉f，在當今日趨發(fā)達的網絡信息社會中，確保網絡信息系統(tǒng)的安全無論是對個人、企業(yè)，還是對整個國家，其意義都是重大的。假如，個人隱私信息被泄露，公司的財務與商業(yè)信息被惡意竊取，或者關系到一個國家的國防信息被盜取，都會造成不同程度上的損失。本研究正是基于此，探討網絡防御系統(tǒng)的設計過程、安全策略及防御系統(tǒng)的實現(xiàn)，從某種程度上來說，對確保網絡具有一定的理論與實際價值。

二、幾種常見的網絡攻擊行為技術及相應的應對策略

從某種程度上來說，網絡和網絡攻擊有著千絲萬縷的聯(lián)系，假如沒有網絡攻擊，網絡也就無從說起，一般來說，目前，拒絕服務、惡意軟件、利用脆弱性及內部攻擊是較為典型的網絡攻擊技術，這些網絡攻擊技術嚴重威脅著網絡信息系統(tǒng)的安全，如果沒有一個系統(tǒng)完善的網絡防御系統(tǒng)的設計，網絡信息將很容易被修改、泄露。

（一）拒絕服務與惡意軟件

拒絕服務攻擊主要采用淹沒、分片攻擊及帶外數(shù)據包攻擊等幾種方式。其中淹沒是指網絡黑客通過向主機發(fā)送大量的無效請求或者數(shù)據，來實現(xiàn)擾亂服務器為合法的用戶提供服務的目的；帶外數(shù)據包攻擊是指通過向用戶發(fā)送帶外數(shù)據包的垃圾信息，進而造成該用戶系統(tǒng)運行不正常。目前分布式網絡攻擊已經成為互聯(lián)網上黑客主要的攻擊手段，所以，需要從源頭上保護好上網主機的安全，此外，還需要協(xié)調好ISP和網絡管理員之間的關系。惡意軟件攻擊網絡主要是通過邏輯炸彈、后門、蠕蟲、病毒及特洛伊木馬等程序來實現(xiàn)的，其中邏輯炸彈是由于系統(tǒng)存在漏洞而對目標系統(tǒng)產生破壞作用的一種程序；蠕蟲是一種將病毒從一個系統(tǒng)繁殖到另一系統(tǒng)上的獨立程序；特洛伊木馬是一種具有隱藏性且執(zhí)行任意命令的非法程序。一般可以采用安裝反病毒工具及時清除惡意軟件工具來防止這些惡意軟件威脅網絡。

（二）利用脆弱性與內部攻擊

一般來說，利用脆弱性主要是通過訪問權限、信息泄露、蠻力攻擊機緩沖區(qū)溢出等方式來實現(xiàn)， 網絡黑客利用這些缺陷來實現(xiàn)攻擊的目的，通過可以采取持續(xù)升級系統(tǒng)軟件版本，安裝補丁及設置口令等方式來加以防范。內部攻擊會通過“后門”守護程序、日志修改、隱藏、竊聽及“非盲”欺騙來實現(xiàn)，其中“后門“守護程序是指黑客通過在主機上安裝守護程序來達到對主機的控制，進而實現(xiàn)全方位的攻擊。

三、網絡防御系統(tǒng)的設計過程與網絡防御系統(tǒng)的實現(xiàn)

（一）網絡防御系統(tǒng)的設計過程

1.網絡防御設計方案的目標與用戶職責

構建一個安全的網絡防御系統(tǒng)對防止各種網絡攻擊行為有著非常重要的意義，一般來說，網絡防御系統(tǒng)的設計涉及到設計方案的目標、用戶職責、風險分析及制定安全策略等方面。定義整個網絡系統(tǒng)所期望使用的策略是設計一個網絡防御系統(tǒng)首選目標，此外，在設計一個網絡方案之前，要定義好每一個用戶在整個安全方案中所承擔的責任。

2.網絡防御風險分析

在確定好網絡設計方案的目標與用戶職責后，要進行風險分析，因為風險分析可以有效避免將時間與經費花在不必要的系統(tǒng)上，從某種程度上來說，網絡防御風險分析是網絡防御系統(tǒng)設計過程中一個非常關鍵性的一個階段，做好這一階段的分析工作有著非同尋常的意義。一般來說，在風險分析時，需要確定系統(tǒng)資產情況與風險大小，其中系統(tǒng)資產包括數(shù)據、軟硬件、人員、物資及檔案等。通常情況下，這些資源并不是所有的都很關鍵，因此，需要根據其重要程度來采取有區(qū)別性地保護措施，進而確保用戶在安全投入上物有所值。一般情況下，這些系統(tǒng)資源依據其重要程度，分為公開信息、內部信息、私有信息及秘密信息等四個級別，其中公開信息是敏感度最低級別的信息，秘密信息則是敏感度最高級別的信息，對這類信息要加大安全投入，需要確保數(shù)據的完整性、保密性及可用性。

3.網絡策略

在完成系統(tǒng)風險分析之后，就需要執(zhí)行網絡策略，一般來說，制定一個完整的網絡系統(tǒng)安全策略需要注重考慮諸如整體安全、信息安全、個人安全、計算機安全及網絡等策略。其中整體安全策略的目標是重點保護關鍵性的數(shù)據，且依據系統(tǒng)資產重要程度來采取相應的措施；信息安全策略通常情況下會涉及到信息的存儲、信息的傳輸及信息的銷毀等方面，因此，需要從信息存儲、傳輸及銷毀等方面來采取有區(qū)別的安全策略；個人安全策略一般包括口令策略、軟件策略、網絡策略、互聯(lián)網策略及嵌入式計算機使用策略等，此外，在個人原則上，需要注意不要向別人透漏自己的賬號與口令，不要濫用系統(tǒng)資源，不要拷貝沒有授權的軟件；計算機系統(tǒng)管理策略一般包括物理安全策略、訪問控制策略、登錄策略、信度策略、日志與審計策略及可靠服務策略等，其中可信度策略主要是定期對系統(tǒng)安全進行審計工作，確保它的可信度；網絡策略主要包括網絡分布式系統(tǒng)的策略、撥入訪問策略、撥出訪問策略、互聯(lián)網防火墻管理策略及和其他網絡的接口策略等。其中網絡分布式系統(tǒng)策略涉及到可信度、鑒別與認證、責任與審計、訪問控制、準確性、數(shù)據交換機服務的可靠性等策略。此外，為了確保網絡在事故后，能夠快速恢復正常工作環(huán)境，需要設置一個應急響應措施。

（二）網絡防御系統(tǒng)的實現(xiàn)

構建一個完善的網絡防御系統(tǒng)需要采取各種安全技術手段，進而確保設計方案中的安全策略能夠成功實現(xiàn)，一般來說，這些技術手段包括防火墻技術、鑒別與授權技術、審計與監(jiān)控技術、加密技術及安全掃描技術等。其中防火墻主要是實現(xiàn)各級網絡用戶間的相互訪問，及對用戶起到一定的隔離作用，防止某一子網所引發(fā)的安全事故波及到其他的子網；鑒別與授權技術主要是針對用戶的一種訪問控制措施，它由多個層次共同構成；審計與監(jiān)控技術主要是借助網絡中所有活動的記錄，發(fā)現(xiàn)及追查一些非法的活動，降低攻擊的后果；加密技術主要包括存儲加密與傳輸加密兩種技術，它是一種較為有效的信息安全措施；安全掃描技術主要是掃描網上設備的漏洞，以便于及時修補漏洞，另外安全掃描還具有防治病毒的功能，借助網上病毒掃描功能，可以有效防止病毒的蔓延或者新病毒的入侵?？傊谡麄€網絡防御系統(tǒng)中，需要使用多種安全技術手段，才能有效防御各種網絡攻擊，本研究重點將重點介紹網絡、系統(tǒng)安全及數(shù)據安全兩個維度來說明網絡防御系統(tǒng)的實現(xiàn)。

1.系統(tǒng)安全

系統(tǒng)安全一般涉及到鑒別認證機制、安全操作系統(tǒng)及周期性的安全檢查，其中，在整個網絡防御系統(tǒng)中，主要使用了利用安全操作系統(tǒng)提供的鑒別機制及雙向鑒別認證機制；安全操作系統(tǒng)需要具有較好的安全特性，比如登陸控制、進程權限控制、系統(tǒng)完整性保護及安全審計等；周期性的安全掃描可以及時發(fā)現(xiàn)網絡漏洞，且及時加以修補，通過及時升級來防止新病毒的入侵。

2.數(shù)據安全

通常情況下，數(shù)據安全涉及到數(shù)據的完整性、保密性、可用性及可靠性。其中信息的完整性是指數(shù)據信息在數(shù)據庫中，能夠保持完整，且建立了一個數(shù)據備份恢復系統(tǒng)；保密性一般通過SSL通道加密、安全郵件系統(tǒng)及內容監(jiān)控軟件來實現(xiàn)，確保數(shù)據不被泄露或者公開；通常情況下，借助數(shù)據完整性檢查可以有效確保數(shù)據的完整性與可靠性，假如范閑數(shù)據遭到破壞，通過備份數(shù)據恢復程序，就可以實現(xiàn)數(shù)據的可用性。

四、結束語

總之，拒絕服務、惡意軟件、利用脆弱性及內部攻擊是較為典型的網絡攻擊技術，這些網絡攻擊技術嚴重威脅著網絡信息系統(tǒng)的安全，網絡防御系統(tǒng)的設計過程包括方案的目標與用戶職責、風險分析及網絡策略制定等方面，借助網絡、系統(tǒng)及數(shù)據等方面的各種安全技術手段，可以有效保護網絡信息系統(tǒng)的安全性。

參考文獻：

[1]張劍.網絡防御系統(tǒng)的設計與實現(xiàn)[J].電子科技大學，2001

[2]朱銀芳.校園網環(huán)境下的安全與防御系統(tǒng)研究[J].科技信息，2008

[3]劉建煒.基于網絡層次結構安全的校園網絡防護體系解決方案[J].教育探究，2010

[4]石鵬.網絡工具的分析與設計實現(xiàn)[J].電子科技大學，2001

[5]張里.數(shù)據挖掘在網絡入侵檢測系統(tǒng)中的應用[J].重慶工學院學報，2008

作者簡介：

張克文，女，1985年4月出生，助教，碩士，中共黨員，2010畢業(yè)于遼寧工程技術大學計算機技術專業(yè)，現(xiàn)工作于黑龍江工業(yè)學院。