鐘掖 衛(wèi)薇 趙威揚

摘 要：隨著時代的發(fā)展以及信息技術(shù)的不斷更新，電子科技技術(shù)雖然改善了人們的生活和推動了社會的發(fā)展，但是現(xiàn)今新聞報道中各種犯罪事件已經(jīng)屢見不鮮，所以科技技術(shù)的不斷發(fā)展，其也給犯罪分子帶來了可乘之機，這樣就會造成較大的經(jīng)濟損失，所以網(wǎng)絡(luò)邊界安全問題已經(jīng)日益突出。本文主要基于安全邊界對數(shù)字網(wǎng)絡(luò)的訪問方法進行分析，以期能夠創(chuàng)造安全的網(wǎng)絡(luò)環(huán)境。

關(guān)鍵詞：安全邊界;數(shù)字網(wǎng)絡(luò);訪問;方法探析

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-2064（2019）22-0028-02

隨著科學技術(shù)的不斷發(fā)展，社會也進入了互聯(lián)網(wǎng)時代，在其給人們帶來便利的同時，各種網(wǎng)絡(luò)安全問題也接踵而至，所以采用一定的方法對其進行控制也是十分重要的，這樣能夠創(chuàng)造一個安全的網(wǎng)絡(luò)環(huán)境。本文主要為數(shù)字網(wǎng)絡(luò)訪問的方法進行分析探討，以安全邊界為基礎(chǔ)，結(jié)合實際的網(wǎng)絡(luò)情況，對其進行探析。

1 安全邊界防護要求

對網(wǎng)絡(luò)邊界進行安全防護是保護其不受外界以外的網(wǎng)絡(luò)攻擊，同時也防止相關(guān)人員使用內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)進行攻擊和破壞。當出現(xiàn)網(wǎng)絡(luò)安全事故的時候，相關(guān)工作人員可根據(jù)日志檢測到的攻擊行為對攻擊事件進行分析。網(wǎng)絡(luò)邊界作為公司信息外網(wǎng)與互聯(lián)網(wǎng)之間的橫向邊界，對其進行安全防護主要從訪問控制、準入認證、惡意代碼防護及終端加固這幾方面入手，同時也應(yīng)對網(wǎng)絡(luò)通道及終端安全措施進行加強[1]。

訪問控制：網(wǎng)絡(luò)邊界應(yīng)部署相應(yīng)的安全防護設(shè)備對網(wǎng)絡(luò)訪問進行限制，可根據(jù)實際需求強化控制設(shè)備的訪問列表，只允許特定的防護設(shè)備與IP地址進行數(shù)據(jù)交換，同時也應(yīng)對服務(wù)器的網(wǎng)絡(luò)行為進行規(guī)范與控制，使得訪問的更加安全。

準入認證：當需要進行遠程連接的時候，可采用虛擬網(wǎng)等方式進行遠程連接，同時在進行虛擬連接的時候應(yīng)該對用戶的身份進行確認，除了有常規(guī)的用戶名及密碼這樣的方式外，還可以使用RADIUS及數(shù)字簽名這樣的服務(wù)從而使得遠程服務(wù)更加安全。同時在進行遠程連接的時候可增加用戶名及密碼的復(fù)雜程度，從而避免出現(xiàn)弱口令的現(xiàn)象。

惡意代碼防護：采用入侵檢測/防御系統(tǒng)對邊界的流量進行入侵檢測，其主要是對攻擊行為進行檢測，其中包括惡意代碼類、漏洞利用類、Web類攻擊等，當檢測到攻擊之后，入侵檢測/防御系統(tǒng)根據(jù)警報級別對入侵事件進行警告以及在警告后切斷入侵行為。同時其也應(yīng)對安全事件的事件動作、發(fā)生時間及IP信息等進行記錄，這樣更方便工作人員的審計工作。安全防護的設(shè)備日志只有管理員能進行查看，應(yīng)對查看的用戶權(quán)限進行設(shè)置。

網(wǎng)絡(luò)通道：當內(nèi)部人員未使用統(tǒng)一出口對外部網(wǎng)絡(luò)進行訪問，如私自搭建無線網(wǎng)絡(luò)用到使用內(nèi)主網(wǎng)主機進行外部網(wǎng)絡(luò)的訪問，這樣就會對內(nèi)部網(wǎng)絡(luò)的安全造成影響，這樣對互聯(lián)網(wǎng)的防護而言毫無意義，而外界攻擊者也可以通過無線網(wǎng)絡(luò)通道對其進行網(wǎng)絡(luò)攻擊。所以提升員工的網(wǎng)絡(luò)安全意識，禁止繞過公司同一網(wǎng)絡(luò)邊界搭建網(wǎng)絡(luò)通道這是十分重要的[2]。

2 常用的安全防護設(shè)備

網(wǎng)絡(luò)安全問題越來越受人們的重視，所以保護網(wǎng)絡(luò)安全的防護設(shè)備也越來越多，不同的安全防護設(shè)備會對不同的網(wǎng)絡(luò)威脅起到防護的作用，下面對安全防護設(shè)備及其部署方式進行分析。

2.1 防火墻

其主要是用在兩個要求不同的安全區(qū)域之間，從而對網(wǎng)絡(luò)進行安全防護，避免出現(xiàn)外部攻擊者入侵、攻擊以及惡意探測的行為。防火墻的主要功能有：防止IP地址欺騙、對流經(jīng)防火墻的網(wǎng)絡(luò)進行控制;防止外部攻擊者窺探網(wǎng)絡(luò)細節(jié)。但是防火墻的自身具有一定的局限性，其并不能阻止繞過防火墻的攻擊以及對內(nèi)部威脅進行防止。

2.2 入侵檢測系統(tǒng)

其主要是對網(wǎng)絡(luò)流量的信息進行收集和分析，從而發(fā)現(xiàn)其中存在的攻擊行為及疑似攻擊行為。入侵檢測系統(tǒng)的主要功能可包括：檢測系統(tǒng)漏洞、對網(wǎng)絡(luò)流量進行分析。根據(jù)設(shè)備開啟的規(guī)則對攻擊行為進行判斷，對用戶的行為進行識別，若識別出其存在攻擊行為應(yīng)作出反應(yīng)或警告。但是入侵檢測系統(tǒng)若是用戶不參與則無法進行檢測。

入侵檢測系統(tǒng)的功能及目標存在不同，所以其網(wǎng)絡(luò)部署也是不相同的。入侵檢測系統(tǒng)通常通過在網(wǎng)絡(luò)關(guān)鍵位置的路由器、交換機等設(shè)備上設(shè)置鏡像端口。其可以部署在DMZ的總出口處，因為其在DMZ出口處的時候可以檢測到外界用戶對DMZ的攻擊行為。

2.3 入侵防御系統(tǒng)

其能夠智能、主動的檢測到外界的入侵，并對其進行阻止，當發(fā)現(xiàn)存在攻擊行為或疑似攻擊行為的時候，可對其進行阻止。入侵防御系統(tǒng)與入侵檢測系統(tǒng)不同的是其不但能夠檢測到入侵行為，還能通過一定的方式終止入侵行為。

在部署方面，其主要是采用In-line的透明模式接入到網(wǎng)絡(luò)中，而正是由于其可以以嵌入式的方式接入到網(wǎng)絡(luò)中，所以其極有可能或造成單點故障或網(wǎng)絡(luò)瓶頸問題。

2.4 Web應(yīng)用防火墻

其主要是對網(wǎng)絡(luò)掛馬、跨站腳本、注入等常見攻擊進行防護，使得網(wǎng)絡(luò)免遭其攻擊，其往往位于服務(wù)器和客戶端之間，通過URL過濾技術(shù)、協(xié)議分析等技術(shù)手段，對客戶端的請求進行檢測和驗證，從而對網(wǎng)絡(luò)流量的安全進行確保，若是發(fā)現(xiàn)不安全或具有危險的請求可及時將其阻斷。

由于網(wǎng)絡(luò)應(yīng)用的需求不同，所以在部署Web應(yīng)用防火墻的時候，其部署方式也是不相同的，可包括旁路監(jiān)控部署方式、路由器部署及透明部署方式這三種。不同的部署方式其有著不同的優(yōu)點。旁路監(jiān)控部署方式的優(yōu)點是對網(wǎng)絡(luò)的影響較小，但是服務(wù)器并無法對流量源的地址進行獲取。路由器部署方式的安全防護程度最高。透明部署方式的特點是快速、簡單。

3 網(wǎng)絡(luò)安全的現(xiàn)狀

為滿足網(wǎng)絡(luò)安全的需求，不同的地區(qū)都會配置符合本地區(qū)的邊界安全設(shè)備，但是往往這些設(shè)備品牌較多，并且數(shù)量較大，所以往往都會存在以下幾方面的問題。

3.1 設(shè)備差異化

由于配備的設(shè)備具有一定的差異化，所以使得設(shè)備的后期維修等問題難以進行，這就加大了相關(guān)人員的管理力度，使得運維的工作效率降低。

3.2 防火墻使用策略不正確

當采用防火墻進行安全防護的時候，由于各安全區(qū)域的防火墻其一直采用“加法”的安全策略，所以無法對當前策略的冗余性及有效性進行判斷。

3.3 網(wǎng)絡(luò)權(quán)限存在問題

若是公司的業(yè)務(wù)集中之后，往往都會出現(xiàn)頻繁更換網(wǎng)絡(luò)權(quán)限的情況，從而使得對資料的管理較難，所以若想很好的進行安全防護，應(yīng)對網(wǎng)絡(luò)權(quán)限的管理流程進行完善。

4 網(wǎng)絡(luò)安全防護步驟

4.1 對邊界進行調(diào)整合并

進行邏輯調(diào)整合并：通常是指對現(xiàn)行系統(tǒng)的單個邏輯邊界進行整合，以期能夠通過邊界調(diào)整使系統(tǒng)保持較高的條理性和完整性。在系統(tǒng)中極有可能存在一些特定區(qū)域，在對這類區(qū)域進行調(diào)整合并的時候應(yīng)根據(jù)實際要求，對邊界進行處理，使其能夠有機結(jié)合。安全區(qū)域的交互網(wǎng)絡(luò)與專線、互聯(lián)網(wǎng)和內(nèi)網(wǎng)的邊界為網(wǎng)絡(luò)邊界，其是安全與較重要的邊界。

物理整合調(diào)整：進行物理整合，也就是對系統(tǒng)或多個系統(tǒng)及相應(yīng)的安全域進行物理方面的整合，主要是通過有效的物理層面的整合，使得網(wǎng)絡(luò)體系的安全等級得到提升，同時也更加方便對整個體系的管理工作，從而避免出現(xiàn)網(wǎng)絡(luò)危害。在實際的工作中往往都會出現(xiàn)資源浪費的情況，這種情況對系統(tǒng)的整體安全都會造成一定的影響，例如在系統(tǒng)正常運行的時候，若是存在多個內(nèi)部節(jié)點與外部網(wǎng)絡(luò)相連通的情況，但是連通的端口不同，這樣則需要外部的端口進行連接，這樣不僅會增加工作量，對系統(tǒng)的安全也會造成一定的影響。對于這樣的情況應(yīng)及時對端口進行合并，將各種類型的端口統(tǒng)一，并將使用系統(tǒng)設(shè)備的端口也進行統(tǒng)一。通過將同一類型安全域的不同系統(tǒng)進行合并，這樣能夠使得端口的投資費用降低，通過整合之后也能使得安全域集合在一起，這樣更方便工作人員在接下來的操作。

4.2 安全防護

邊界防護：對安全域進行防護可根據(jù)其等級和邊界特點進行保護，不同的等級采取的安全防護策略也是不同的。若是維護域存在安全防護需求的時候，應(yīng)該加強審計和認證，并嚴格遵守配置標準，采取相應(yīng)的安全工具。例如：口令管理、防病毒系統(tǒng)等。另外對邊界進行安全防護的時候也因?qū)K端進行安全管理。

檢測與預(yù)防相結(jié)合：互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)病毒的侵入不僅有著速度快的特點，其潛伏周期也較長，所以為了能夠更好地對網(wǎng)絡(luò)安全進行防護，應(yīng)在系統(tǒng)中設(shè)置防火墻，而由于病毒的更新速度較快，所以在設(shè)置防火墻的時候其更新速度也應(yīng)較快。另外病毒的潛伏周期較長，一旦觸發(fā)源啟動，病毒就會立即啟動，從而對系統(tǒng)造成一定的威脅。所以在進行安全防護的時候應(yīng)對系統(tǒng)自身進行檢查，將所有病毒清除，做到從根源上預(yù)防。

5 安全防護方案

為了保證互聯(lián)網(wǎng)的安全性，在信息外網(wǎng)與互聯(lián)網(wǎng)之間應(yīng)該部署相應(yīng)的安全設(shè)備從而滿足網(wǎng)絡(luò)防護的需求。但是安全設(shè)備的部署會對網(wǎng)絡(luò)造成一定的影響，所以應(yīng)在網(wǎng)絡(luò)安全與網(wǎng)絡(luò)性能之間進行考慮，從而找出適合的方案。互聯(lián)網(wǎng)的安全防護方案如表1所示。

從上表可以看出，防火墻+入侵檢測系統(tǒng)/入侵防御系統(tǒng)與防火墻+Web應(yīng)用防火墻這種方法過于簡單，并且無法滿足網(wǎng)絡(luò)需求。而防火墻+網(wǎng)絡(luò)入侵防御+Web應(yīng)用防火墻+網(wǎng)頁篡改的防護效果較高，但是會對網(wǎng)絡(luò)性能造成較大的影響。對網(wǎng)絡(luò)進行安全部署應(yīng)該根據(jù)實際情況，選擇合理的防護方案。

6 結(jié)語

基于安全邊界進行網(wǎng)絡(luò)訪問，能夠使得網(wǎng)絡(luò)環(huán)境越來越清晰與安全，并在實際的工作中，積累經(jīng)驗以及對相關(guān)數(shù)據(jù)進行分析，從而對安全策略體系不斷完善，為網(wǎng)絡(luò)安全環(huán)境提供保證，最終實現(xiàn)網(wǎng)絡(luò)安全。

參考文獻

[1] 宋曉琴.維護網(wǎng)絡(luò)意識形態(tài)安全的路徑[J].傳媒論壇，2019（20）：3+5.

[2] 程愷.云計算下網(wǎng)絡(luò)安全技術(shù)的現(xiàn)狀與對策[J/OL].電子技術(shù)與軟件工程，2019（19）：185.