王玉芳，王　喆，李九英，徐　蕾

（1.西安通信學(xué)院 信息安全系網(wǎng)絡(luò)安全教研室，陜西　西安　710106；2.92403部隊 指揮自動化工作站，福建　福州　350021）

網(wǎng)絡(luò)安全與防范技術(shù)研究

王玉芳1，王喆1，李九英1，徐蕾2

（1.西安通信學(xué)院 信息安全系網(wǎng)絡(luò)安全教研室，陜西西安710106；2.92403部隊 指揮自動化工作站，福建福州350021）

文章就網(wǎng)絡(luò)安全的技術(shù)和管理兩個方面，介紹了幾種常用的網(wǎng)絡(luò)安全技術(shù)以及網(wǎng)絡(luò)安全管理的要求。

網(wǎng)絡(luò)安全；防火墻；入侵檢測

隨著網(wǎng)絡(luò)的快速發(fā)展以及社會信息化程度的提高，網(wǎng)絡(luò)已經(jīng)深入到了人們的學(xué)習(xí)、生活和工作的各個角落。在網(wǎng)絡(luò)給人們帶來信息和便捷的同時，也帶來了各種問題和威脅。了解自己的網(wǎng)絡(luò)安全現(xiàn)狀及威脅和有效的網(wǎng)絡(luò)安全防范措施，是提高自身網(wǎng)絡(luò)安全的必要手段。

1　網(wǎng)絡(luò)安全威脅多樣化

隨著新的信息技術(shù)的應(yīng)用，信息安全攻擊手段和攻擊形式向著多樣化、復(fù)雜化發(fā)展，新型攻擊方式不斷涌現(xiàn)，各種攻擊形式威脅著用戶的網(wǎng)絡(luò)安全［1］。如拒絕服務(wù)式攻擊、利用型攻擊、腳本與ActiveX 跨站攻擊、病毒入侵和漏洞挖掘等。

2　網(wǎng)絡(luò)安全防范技術(shù)

2.1防火墻技術(shù)

防火墻是設(shè)立于內(nèi)部和外部網(wǎng)絡(luò)之間，通過特定規(guī)則的設(shè)定，允許或限制數(shù)據(jù)通過，從而保護(hù)內(nèi)部網(wǎng)絡(luò)安全的系統(tǒng)或設(shè)備［2］。

在系統(tǒng)整體安全策略中，防火墻往往被定義為內(nèi)部網(wǎng)絡(luò)的第一道防線，從理論上講是一個分離器、限制器和分析器。在實現(xiàn)內(nèi)部網(wǎng)絡(luò)的安全保護(hù)上，防火墻具備以下基本功能和作用。

（1）實現(xiàn)網(wǎng)絡(luò)隔離。防火墻將網(wǎng)絡(luò)劃分為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)兩個不同的部分，因此網(wǎng)絡(luò)隔離就成了防火墻的基本功能。防火墻通過將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)相互隔離來確保內(nèi)部網(wǎng)絡(luò)的安全，同時限制局部的重點(diǎn)或敏感的網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響，降低外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的一些統(tǒng)計數(shù)據(jù)的探測能力。

（2）限制外部網(wǎng)絡(luò)訪問。防火墻針對每一個進(jìn)入內(nèi)部網(wǎng)絡(luò)的行為都要依照安全策略進(jìn)行過濾，即授權(quán)檢查。如果該行為屬于系統(tǒng)許可的行為則予以放行，否則將拒絕該行為。防火墻的這種功能實現(xiàn)了對系統(tǒng)資源的保護(hù)，防止了機(jī)密信息的泄露、盜竊和破壞。

（3）記錄和審計內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的活動。防火墻可以記錄下來經(jīng)過它的訪問，并做出日志記錄。從而對所有涉及內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的存取與訪問行為進(jìn)行監(jiān)控。通過對訪問數(shù)據(jù)的統(tǒng)計，在發(fā)現(xiàn)可疑行為時，及時報警并提供詳細(xì)信息。

2.2身份認(rèn)證技術(shù)

身份認(rèn)證是系統(tǒng)核查用戶身份的過程，它讓合法用戶進(jìn)入系統(tǒng)，而將非法用戶拒之于門外。身份認(rèn)證是網(wǎng)絡(luò)系統(tǒng)安全的第一道防線，一般在服務(wù)器和客戶機(jī)的網(wǎng)絡(luò)操作系統(tǒng)中實現(xiàn)。

在網(wǎng)絡(luò)世界中對用戶的身份認(rèn)證基本方法可以分為以下3種：

（1）基于信息秘密的身份認(rèn)證。根據(jù)用戶所知道的信息來證明用戶的身份，常用的有靜態(tài)密碼，如口令。（2）基于信任物體的身份認(rèn)證。根據(jù)用戶所擁有的東西來證明用戶身份，如有智能卡、短信密碼等。（3）基于生物特征的身份認(rèn)證。直接根據(jù)獨(dú)一無二的身體特征來證明你的身份，常用的有生物識別，如視網(wǎng)膜識別、指紋識別、面貌等。

為了使身份認(rèn)證的效果更加安全可靠，一些認(rèn)證會采取兩種方式結(jié)合的方法進(jìn)行，也就是所謂的雙因素認(rèn)證。例如：動態(tài)口令牌結(jié)合、靜態(tài)密碼認(rèn)證、USB KEY結(jié)合靜態(tài)密碼認(rèn)證等。

2.3訪問控制技術(shù)

訪問控制是一種防止非法訪問的技術(shù)，是網(wǎng)絡(luò)安全防范和資源保護(hù)的關(guān)鍵策略之一。雖然身份認(rèn)證可以防止非法用戶的訪問，但是，為了更合理和安全的系統(tǒng)管理，對合法用戶對系統(tǒng)的訪問權(quán)限也應(yīng)有合理的限制，也就是決定何種用戶可以對何種系統(tǒng)資源進(jìn)行何種類型的訪問，并不是所有用戶都有權(quán)限訪問系統(tǒng)的所有資源。從而保障系統(tǒng)資源在合法范圍內(nèi)得以有效使用和管理。這樣，即使非法用戶通過口令破解的方式混入系統(tǒng)后，如果不是管理員權(quán)限，也不能隨意地訪問系統(tǒng)資源或更改系統(tǒng)設(shè)置，對系統(tǒng)的安全起到了一定的保護(hù)作用。

（1）訪問控制策略。訪問控制的安全策略指的是組織或者系統(tǒng)決定訪問權(quán)限的高層指導(dǎo)原則。美國可信計算機(jī)系統(tǒng)評價標(biāo)準(zhǔn)（Trusted Computer System Evaluation Criteria，TCSEC）中描述了自主訪問控制（Discretionary Access Control，DAC）和強(qiáng)制訪問控制（Mandatory Access Control，MAC）兩種訪問控制策略。這兩種訪問控制策略是最為著名的訪問控制策略，應(yīng)用也最為廣泛。

（2）訪問控制管理。訪問控制管理涉及訪問控制在系統(tǒng)中的部署、測試、監(jiān)控，以及對用戶訪問的終止。雖然不一定需要對每一個用戶設(shè)定具體的訪問權(quán)限，但是訪問控制管理依然需要做大量復(fù)雜而艱巨的工作。并且，訪問控制決定時也需要考慮諸多因素，如機(jī)構(gòu)的策略、員工和用戶各自的職務(wù)描述、信息的敏感度等。

有3種基本的訪問管理模式：集中式、分布式和混合式。每種管理模式各有優(yōu)缺點(diǎn)，應(yīng)該根據(jù)機(jī)構(gòu)的實際情況選擇合適的管理模式。

2.4入侵檢測技術(shù)

入侵檢測作為一種主動發(fā)覺入侵行為的網(wǎng)絡(luò)安全防護(hù)技術(shù)，在不影響網(wǎng)絡(luò)性能的情況下，通過收集和分析網(wǎng)絡(luò)行為，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為或惡意攻擊的趨勢。如果說防火墻常常被視為內(nèi)部網(wǎng)絡(luò)的第一道安全防線，則入侵檢測則可以看作第二道安全防線，它是防火墻的有效補(bǔ)充。

（1）入侵檢測技術(shù)的作用。入侵檢測系統(tǒng)的作用主要有事前警告、事中防御、事后取證3方面.事前警告是指能夠在入侵行為對網(wǎng)絡(luò)系統(tǒng)造成危害之前，及時發(fā)現(xiàn)并準(zhǔn)確報告入侵攻擊行為；事中防御是指當(dāng)攻擊行為發(fā)生時，可以通過與防火墻聯(lián)動等方式進(jìn)行報警或動態(tài)防御；事后取證是指被入侵攻擊后，可以提供詳細(xì)的攻擊信息，便于取證分析。

（2）入侵檢測方法。一般而言，入侵檢測方法可以分為異常檢測和誤用檢測兩類。

異常檢測方法，如圖1所示，需要建立一種系統(tǒng)正常行為的模式。這種系統(tǒng)正常行為的模式是根據(jù)用戶正常行為所建立，入侵檢測系統(tǒng)在進(jìn)行審計時，通過和正常行為模式比較，當(dāng)?shù)陀谀抽撝禃r則確定為正常行為，若高于閾值時則確定為非法入侵行為。

圖1　異常檢測模型

誤用檢測方法，又稱為基于特征的檢測，如圖2所示，是根據(jù)某種已知攻擊或入侵的具體信息建立某種入侵或攻擊的模式，通過對比網(wǎng)絡(luò)數(shù)據(jù)或用戶行為和此模式的匹配情況來確定是否為該攻擊類型。

圖2　誤用檢測模型

兩種方法各有優(yōu)缺點(diǎn)，研究表明將兩種方法結(jié)合在一起檢測，效果會更理想。

2.5漏洞掃描系統(tǒng)

漏洞掃描是一種主動的網(wǎng)絡(luò)安全防護(hù)技術(shù)，通過掃描的方式對指定系統(tǒng)的安全脆弱性進(jìn)行檢測，從而發(fā)現(xiàn)系統(tǒng)存在的漏洞，并針對檢測出的安全隱患給出相應(yīng)的修補(bǔ)措施或建議。其和防火墻、入侵檢測系統(tǒng)合理的配合，可以有效提高網(wǎng)絡(luò)的安全性。

通過對漏洞掃描，網(wǎng)絡(luò)管理員能了解網(wǎng)絡(luò)的安全設(shè)置和運(yùn)行的應(yīng)用服務(wù)，及時發(fā)現(xiàn)安全漏洞，客觀評估網(wǎng)絡(luò)風(fēng)險等級。并且根據(jù)掃描的結(jié)果及時更正網(wǎng)絡(luò)安全漏洞和系統(tǒng)中的錯誤設(shè)置，在網(wǎng)絡(luò)遭到攻擊前進(jìn)行有效防范。

3　加強(qiáng)網(wǎng)絡(luò)安全管理

為了更好地保護(hù)網(wǎng)絡(luò)的安全，不僅要在技術(shù)方面加強(qiáng)升級和更新，還要從制度上加強(qiáng)監(jiān)督和管理。

增強(qiáng)病毒或黑客入侵防范意識，例如：在自己的計算機(jī)中安裝并合理設(shè)置個人防火墻，安裝正版反病毒軟件并及時更新，對重要數(shù)據(jù)進(jìn)行加密并定期備份等。如有需要，在修復(fù)系統(tǒng)時，操作系統(tǒng)和應(yīng)用軟件可以重裝，但重要的數(shù)據(jù)要靠備份保存，因此，不管采用什么防范措施，一定要隨時或定期備份重要數(shù)據(jù)。制定嚴(yán)格的網(wǎng)絡(luò)安全管理制度，提高用戶對網(wǎng)絡(luò)的安全意識，例如不登錄不良網(wǎng)站、不隨便打開隨機(jī)彈出的網(wǎng)頁、不接收陌生可疑的郵件等。

［1］木合亞提·尼亞孜別克，古力沙吾利·塔里甫.淺析網(wǎng)絡(luò)安全與防范［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2011（6）：26-27.

［2］李麗新，袁燁.網(wǎng)絡(luò)安全技術(shù)淺析［J］.現(xiàn)代情報，2007（10）：121-122.

Research on network security and prevention technology

Wang Yufang1， Wang Zhe1， Li Jiuying1， Xu Lei2
（1.Information Security Department of Xi'an Communications Institute of PLA， Xi'an 710106， China；
2.Command Automation Workstation of 92403 Army， Fuzhou 350021， China）

This paper introduces several commonly used network security technology and management requirements of network security in terms of two aspects which are network security technology and management.

network security； frewall； intrusion detection

王玉芳（1982— ），女，河南新鄉(xiāng)；研究方向：網(wǎng)絡(luò)安全。