周怡燕

摘要：網(wǎng)絡(luò)安全通過采用各種技術(shù)和管理措施，使計算機(jī)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的因素或者惡意的攻擊而遭到破壞、更改、泄漏，確保網(wǎng)絡(luò)服務(wù)不中斷網(wǎng)絡(luò)及業(yè)務(wù)系統(tǒng)正常運行，從而確保網(wǎng)絡(luò)及數(shù)據(jù)的可用性、完整性和保密性。

關(guān)鍵詞：網(wǎng)絡(luò)安全;層次體系;技術(shù)機(jī)制;入侵檢測;防火墻

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9416（2020）07-0178-05

正如世界上是不存在密不透風(fēng)的墻一樣，在網(wǎng)絡(luò)安全的世界里也不可能存在不可攻破的防護(hù)。任何的程序都存在漏洞，也正是這個原因，導(dǎo)致了網(wǎng)絡(luò)安全問題的層出不窮。網(wǎng)絡(luò)安全是動態(tài)的，猶如醫(yī)學(xué)的不斷進(jìn)步與細(xì)菌病毒的不斷進(jìn)化一樣，網(wǎng)絡(luò)安全攻擊與反攻擊（防護(hù)）是永恒的矛盾。所以，網(wǎng)絡(luò)安全是相對的，同時網(wǎng)絡(luò)安全也是有時限性的，需要不斷的更新、加強(qiáng)安全措施來預(yù)防保護(hù)計算機(jī)網(wǎng)絡(luò)和信息的安全。[1]

1 計算機(jī)網(wǎng)絡(luò)安全層次體系

要針對網(wǎng)絡(luò)安全問題提出合理的解決方案，首先就要對網(wǎng)絡(luò)的整個運行情況及運行機(jī)制做一個深入的了解。只有完全了解網(wǎng)絡(luò)的運行原理，才能根據(jù)原理及現(xiàn)象提出有效的解決辦法。而現(xiàn)行的網(wǎng)絡(luò)動作機(jī)制是基于TCP/IP協(xié)議實現(xiàn)，雖然現(xiàn)在使用的TCP/IP協(xié)議工作模型相對國際通用的OSI七層模型看起來要簡單，但實際上運作原理和機(jī)制卻比OSI七層模型要復(fù)雜。[2]因此，在理解網(wǎng)絡(luò)傳輸?shù)墓ぷ鞣绞降臅r候，我們需要對比參照兩個模型來深入理解網(wǎng)絡(luò)的基本原理（如表1）。

在傳統(tǒng)的網(wǎng)絡(luò)攻擊中，有很多網(wǎng)絡(luò)攻擊都是針對網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)闹虚g環(huán)節(jié)，通過各種方式破壞數(shù)據(jù)傳輸、篡改數(shù)據(jù)或者竊取數(shù)據(jù)等從而達(dá)到攻擊者的目的。通過OSI七層參考模型每一層的功能（如圖1），我們可以非常清楚地理解數(shù)據(jù)在網(wǎng)絡(luò)中傳輸?shù)拿恳粋€過程（如圖2），從而可以根據(jù)這些傳輸過程來實施數(shù)據(jù)傳輸?shù)陌踩雷o(hù)措施。

從圖2我們可以清晰地看到，OSI七層參考模型的數(shù)據(jù)傳輸過程，用戶的應(yīng)用程序數(shù)據(jù)交到應(yīng)用層后，從第七層應(yīng)用層開始每一層都在數(shù)據(jù)前加上本層的封裝頭部，然后傳輸?shù)较乱粚?，如此類推。?shù)據(jù)封裝到數(shù)據(jù)鏈路層的幀頭后，轉(zhuǎn)交到物理層，也就是我們通常見到的各類網(wǎng)絡(luò)接口的硬件層次，硬件通過調(diào)制后形成比特流，在網(wǎng)絡(luò)線纜中傳輸?shù)竭_(dá)目標(biāo)對象的物理層，目標(biāo)對象的物理層硬件通過將比特流解調(diào)后再傳輸?shù)綌?shù)據(jù)鏈路層，然后逐層向上解封裝，最后達(dá)到目標(biāo)對象應(yīng)用程序，實現(xiàn)網(wǎng)絡(luò)的一次數(shù)據(jù)傳輸。我們現(xiàn)實的網(wǎng)絡(luò)中就是由無數(shù)的數(shù)據(jù)傳輸構(gòu)成，而網(wǎng)絡(luò)安全問題就是出現(xiàn)在這些數(shù)據(jù)傳輸之中。

然而，網(wǎng)絡(luò)安全問題的主要原因并不是出現(xiàn)在網(wǎng)絡(luò)層的數(shù)據(jù)傳輸，而是更多的利用與網(wǎng)絡(luò)相關(guān)的各個層面包括操作系統(tǒng)、應(yīng)用程序、可執(zhí)行文件、用戶、設(shè)備等方面存在的漏洞進(jìn)行滲透，最后通過網(wǎng)絡(luò)的連接控制、竊取、破壞各種各樣的信息、系統(tǒng)。網(wǎng)絡(luò)安全問題并不僅僅關(guān)注網(wǎng)絡(luò)層面，網(wǎng)絡(luò)層面只是其中一個方面，但網(wǎng)絡(luò)層面又是最關(guān)鍵的層面。信息時代發(fā)展到今天，網(wǎng)絡(luò)早已經(jīng)是無處不在了，也正是這個原因，導(dǎo)致了網(wǎng)絡(luò)安全受到廣泛關(guān)注，而更進(jìn)一步的，則是信息安全的關(guān)注[3]。

通過上述的分析，其實網(wǎng)絡(luò)安全體系中包含的不僅僅是網(wǎng)絡(luò)層面的安全問題，而是包含一個完整的網(wǎng)絡(luò)安全層次體系（如圖3）和網(wǎng)絡(luò)安全體系結(jié)構(gòu)（如圖4），關(guān)注局部僅僅可以解決局部的問題，只有從多層面去進(jìn)行研究、理解，才能找到合理的、有效的解決方案。而且方案也必須是可擴(kuò)展、可升級的，這也正如前面提到的重點，網(wǎng)絡(luò)安全是動態(tài)的，網(wǎng)絡(luò)安全攻擊與反攻擊（防護(hù)）是永恒的矛盾;網(wǎng)絡(luò)安全是相對的，同時網(wǎng)絡(luò)安全也是有時限性的，需要不斷的更新、加強(qiáng)安全措施來預(yù)防保護(hù)網(wǎng)絡(luò)和信息的安全。

在關(guān)注網(wǎng)絡(luò)安全的時候，我們要關(guān)注的從物理層面的安全到網(wǎng)絡(luò)層面、系統(tǒng)安全層面、用戶安全層面、應(yīng)用安全層面、數(shù)據(jù)安全層面各個層次都可能存在的問題，并且這些層次常用的安全技術(shù)或安全機(jī)制。通過這些安全技術(shù)和安全機(jī)制根據(jù)實際的網(wǎng)絡(luò)環(huán)境和條件制定合適的安全策略和方案，從而保證網(wǎng)絡(luò)擁有足夠的安全。

2 網(wǎng)絡(luò)安全技術(shù)機(jī)制

網(wǎng)絡(luò)安全問題需要解決，必不可少的就是各種強(qiáng)大的網(wǎng)絡(luò)安全技術(shù)機(jī)制。OSI七層參考模型制定了在OSI環(huán)境下解決網(wǎng)絡(luò)安全規(guī)則：安全體系結(jié)構(gòu)。它擴(kuò)充了基本參考模型，加入了安全問題的各個方面，為開放系統(tǒng)的安全通信提出了一種概念性、功能性以及一致性的途徑。OSI七層參考模型中，每一層都有其對應(yīng)的安全機(jī)制[4]。

因此，在建設(shè)網(wǎng)絡(luò)的時候，通常會根據(jù)網(wǎng)絡(luò)安全的需求以及網(wǎng)絡(luò)安全機(jī)制將對應(yīng)用的網(wǎng)絡(luò)安全技術(shù)集成在網(wǎng)絡(luò)建設(shè)中，為網(wǎng)絡(luò)提供足夠強(qiáng)大的網(wǎng)絡(luò)安全保障。常見的網(wǎng)絡(luò)安全集成技術(shù)主要滿足包括網(wǎng)絡(luò)安全體系中的網(wǎng)絡(luò)安全與信息安全兩部分提到的要求（如圖5）。

3 網(wǎng)絡(luò)安全管理機(jī)制

網(wǎng)絡(luò)安全技術(shù)機(jī)制是保證網(wǎng)絡(luò)在軟硬件方面的安全，然而，導(dǎo)致網(wǎng)絡(luò)安全問題事件頻出的原因除了網(wǎng)絡(luò)攻擊、病毒肆虐、系統(tǒng)漏洞等原因之外，更重要的是網(wǎng)絡(luò)的使用者——用戶的原因。甚至可以說除了不可避免的外網(wǎng)網(wǎng)絡(luò)攻擊是別有用心的人在操縱之外，病毒肆虐、系統(tǒng)漏洞、謠言信息的發(fā)布、傳播，支付賬號、銀行密碼等等方面的網(wǎng)絡(luò)安全問題的主要根源是網(wǎng)絡(luò)的使用者——用戶自己導(dǎo)致的。如何通過有效的措施防止這些由用戶引起的安全性問題？一方面需求網(wǎng)絡(luò)安全技術(shù)的支撐，另一方面也需要網(wǎng)絡(luò)安全管理的機(jī)制來保證。[5]

所謂“無規(guī)矩不成方圓”，一個良好的管理機(jī)制帶來的好處甚至比直接使用網(wǎng)絡(luò)安全技術(shù)進(jìn)行防護(hù)更有效果?！叭旨夹g(shù)、七分管理”，網(wǎng)絡(luò)安全尤為如此。 因此，通過將網(wǎng)絡(luò)技術(shù)機(jī)制與網(wǎng)絡(luò)安全管理機(jī)制的相結(jié)合將是一個可行有效的網(wǎng)絡(luò)安全綜合解決方案。

4 網(wǎng)絡(luò)安全技術(shù)分析

4.1 防火墻技術(shù)分析

防火墻本身具有較強(qiáng)的抗攻擊能力，它是提供信息安全服務(wù)、實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。通過防火墻技術(shù)的應(yīng)用，可以大大提高內(nèi)部網(wǎng)絡(luò)對來自外部網(wǎng)絡(luò)攻擊的抵御，防火墻技術(shù)可以分為硬件防火墻與軟件防火墻。[6]

硬件防火墻是指由網(wǎng)絡(luò)安全廠商生產(chǎn)的軟硬件一體的防火墻產(chǎn)品，這類產(chǎn)品采用X86架構(gòu)，不是基于專用的硬件平臺，目前市場上大多數(shù)防火墻都是這種“硬件”防火墻，和普通的PC沒有太大區(qū)別，運行一些廠商專門優(yōu)化的特定系統(tǒng)，使得整個設(shè)備可以發(fā)揮最好的性能。

軟件防火墻是指在用戶操作系統(tǒng)中安裝一個防火墻軟件，這些軟件通過控制系統(tǒng)的端口與進(jìn)出操作系統(tǒng)的流量進(jìn)行檢測，基本實現(xiàn)防火墻功能，是基于個體的防護(hù)。

還有一種是基于專用平心的芯片式硬件防火墻，這類防火墻比其他種類的防火墻速度更快，處理能力更強(qiáng)、安全性好、性能更高。[7]

4.2 VPN技術(shù)分析

由于移動辦公的流行與BYOD的興起，VPN（虛擬專用網(wǎng)絡(luò)）技術(shù)已經(jīng)成為網(wǎng)絡(luò)安全體系中一個必不可少的應(yīng)用技術(shù)。而在校園網(wǎng)絡(luò)中，教師、學(xué)生可能會通過各種網(wǎng)絡(luò)訪問學(xué)校內(nèi)部的資源，在沒有應(yīng)用VPN技術(shù)的時候，這樣必然會造成極大的安全隱患，而使用VPN技術(shù)之后，從師生所處在的網(wǎng)絡(luò)環(huán)境到學(xué)校內(nèi)部網(wǎng)絡(luò)資源池之間的連接將受到保護(hù)。使用VPN技術(shù)之后，從用戶體驗的層面來看，對學(xué)校內(nèi)部網(wǎng)絡(luò)的訪問猶如用戶的設(shè)備直連到內(nèi)部網(wǎng)絡(luò)一樣，而這個過程中數(shù)據(jù)的傳輸卻是加密的，這就是使用VPN技術(shù)的好處。[8]

4.3 入侵檢測和入侵防御技術(shù)分析

互聯(lián)網(wǎng)絡(luò)的無處不在除了給人們帶來便捷的服務(wù)之外，還帶來了一個隱患——未知的安全威脅。現(xiàn)在的網(wǎng)絡(luò)安全技術(shù)，無論是防火墻還是防病毒軟件，都是基于已知的網(wǎng)絡(luò)威脅進(jìn)行研發(fā)的，這樣就會出現(xiàn)一種現(xiàn)象：總是先有未知的病毒木馬進(jìn)行感染傳播甚至攻擊網(wǎng)絡(luò)。然而，在瞬息萬變的互聯(lián)網(wǎng)絡(luò)中，每一秒鐘都可以產(chǎn)生大量的財富，也可能失去大量的財富，總是需要等待防病毒軟件或防火墻的更新升級來阻止或清除這些威脅顯然會導(dǎo)致高成本。于是，入侵檢測技術(shù)及入侵檢測系統(tǒng)就應(yīng)運而生。

入侵檢測系統(tǒng)通常僅對這些異常的行為進(jìn)行告警，而無法對于采取相應(yīng)的措施來保證該行為的停止。因此，人們提出入侵防御技術(shù)，通過入侵防御系統(tǒng)的流量一旦發(fā)現(xiàn)異常，那么，系統(tǒng)可以將這個異常流量及相關(guān)行為進(jìn)行告警并阻斷，保證了該異常行為的繼續(xù)發(fā)生。[9]

這兩個系統(tǒng)采用的技術(shù)手段都是基于兩套系統(tǒng)內(nèi)置的監(jiān)測模型進(jìn)行判斷，雖然對未知的威脅具備一定的處理能力，但也會存在漏報、錯報的情況。

4.4 AAA安全技術(shù)分析

使用認(rèn)證手段來確定用戶，通過認(rèn)證這一步驟后便可以對這個用戶進(jìn)行策略性的授權(quán)，最后這些被授權(quán)用戶所做的行為進(jìn)行記錄，這便是采用AAA提高網(wǎng)絡(luò)安全性的過程。這個過程可以降低未知用戶對網(wǎng)絡(luò)造成安全威脅。

4.5 數(shù)據(jù)加密技術(shù)分析

密碼技術(shù)是保證安全的最基本措施，而且密碼技術(shù)廣泛應(yīng)用在網(wǎng)絡(luò)、現(xiàn)實生活之中。通過各種的密碼策略要求用戶創(chuàng)建并使用密碼來對其私隱、個人信息等方面進(jìn)行保護(hù)。通過采用賬號密碼的方式，可以為用戶提供認(rèn)證手段，通常建議密碼采用數(shù)字、字母、字符混合組成，并使用大小寫來提高密碼的復(fù)雜性?？梢哉f，密碼技術(shù)的應(yīng)用為網(wǎng)絡(luò)安全或者說整個安全領(lǐng)域提供一個最基礎(chǔ)的安全性保障。

無論是網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)、還是存儲在種種存儲介質(zhì)的數(shù)據(jù)，如果采用明文的方式進(jìn)行傳輸、保存，則很容易被有心人竊取，從而造成信息的泄露。為了解決這個問題，我們將在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)，或者存儲在存儲介質(zhì)中的數(shù)據(jù)進(jìn)行加密，確保即使數(shù)據(jù)被竊取后，竊取者還是沒法獲得信息的真實數(shù)據(jù)。

加密技術(shù)可以分為鏈路加密、節(jié)點加密和端到端加密，而加密時采用的加密算法不同又可以分為對稱加密和非對稱加密。其中采用對稱加密技術(shù)時采用對稱密鑰，具有運算量小、速度快、安全強(qiáng)度高的特點，現(xiàn)在仍被廣泛使用，但是這對稱加密技術(shù)仍然存在密鑰丟失的問題而導(dǎo)致信息泄露。非對稱加密技術(shù)的工作原理是通過產(chǎn)生一對密鑰，其中一個是對外公開的，另一個是個人私有的，通過這對密鑰間的加密解密，可以實現(xiàn)數(shù)據(jù)加密，還可以實現(xiàn)數(shù)字簽名（即確認(rèn)對方身份）。非對稱加密技術(shù)可以確保密文的安全性以及唯一性，大大提高了數(shù)據(jù)的安全性，但其缺點是運算量大，加密速度慢。

在實際的使用過程中，我們通常采用混合加密的方式來保證數(shù)據(jù)傳輸及存儲的安全性。非對稱加密技術(shù)用來加密傳輸對稱加密技中的密鑰，而真正的數(shù)據(jù)傳輸加密則使用對稱加密技術(shù)的密鑰。這樣一方面可以確認(rèn)密鑰傳輸?shù)陌踩?，另一方面可以保證數(shù)據(jù)加解密和傳輸?shù)男?。[10]

4.6 防病毒技術(shù)分析

預(yù)防病毒技術(shù)包括：磁盤引導(dǎo)區(qū)保護(hù)、加密可執(zhí)行程序、讀寫控制技術(shù)、系統(tǒng)監(jiān)控技術(shù)等。例如，大家所熟悉的防病毒卡，其主要功能是對磁盤提供寫保護(hù)，監(jiān)視在計算機(jī)和驅(qū)動器之間產(chǎn)生的信號。以及可能造成危害的寫命令，并且判斷磁盤當(dāng)前所處的狀態(tài)：哪一個磁盤將要進(jìn)行寫操作，是否正在進(jìn)行寫操作，磁盤是否處于寫保護(hù)等，來確定病毒是否將要發(fā)作。計算機(jī)病毒的預(yù)防應(yīng)用包括對已知病毒的預(yù)防和對未知病毒的預(yù)防兩個部分。目前，對已知病毒的預(yù)防可以采用特征判定技術(shù)或靜態(tài)判定技術(shù)，而對未知病毒的預(yù)防則是一種行為規(guī)則的判定技術(shù)，即動態(tài)判定技術(shù)。[11]

4.7 系統(tǒng)漏洞修補(bǔ)技術(shù)分析

通過軟件、操作系統(tǒng)的定時或不定時的升級、打補(bǔ)丁可以有效修復(fù)系統(tǒng)漏洞，令利用這些漏洞的惡意軟件無從入手，使用系統(tǒng)的安全性大大提高，保證網(wǎng)絡(luò)的安全性。常見的系統(tǒng)漏洞修復(fù)措施是內(nèi)網(wǎng)搭建WSUS。WSUS是Windows Server Update Services的簡稱，它在以前Windows Update Services的基礎(chǔ)上有了很大的改善。目前的版本可以更新更多的Windows補(bǔ)丁，同時具有報告功能和導(dǎo)向性能，管理員還可以控制更新過程。

其他提高網(wǎng)絡(luò)安全的安全技術(shù)還有網(wǎng)絡(luò)隔離技術(shù)，通軟件或者物理進(jìn)行隔離，保離被隔離的雙方不會對對方造成安全威脅或影響。例如，交換機(jī)采用基于VLAN的網(wǎng)絡(luò)隔離，或者是物理網(wǎng)絡(luò)層面上采用網(wǎng)閘進(jìn)行網(wǎng)絡(luò)隔離。還有一些基于網(wǎng)絡(luò)設(shè)備的安全特性如端口隔離，ARP綁定，IP與MAC地址綁定等應(yīng)用特性的網(wǎng)絡(luò)安全技術(shù)。[12]

綜上所述，針對可能存在的網(wǎng)絡(luò)安全隱患，將網(wǎng)絡(luò)技術(shù)機(jī)制與網(wǎng)絡(luò)安全管理機(jī)制的相結(jié)合，根據(jù)系統(tǒng)應(yīng)用情況從防火墻技術(shù)、VPN技術(shù)、入侵檢測和入侵防御技術(shù)、AAA安全技術(shù)、數(shù)據(jù)加密技術(shù)、防病毒技術(shù)、系統(tǒng)漏洞修補(bǔ)技術(shù)等技術(shù)中選擇，從兩方面分析制定網(wǎng)絡(luò)安全策略，一方面是針對實際技術(shù)應(yīng)用的安全策略，如系統(tǒng)策略、準(zhǔn)入策略、資料存儲備份恢復(fù)策略等等;另一方面就針對整個網(wǎng)絡(luò)安全的策略，其實就是基于網(wǎng)絡(luò)安全技術(shù)與網(wǎng)絡(luò)安全管理等方面并結(jié)合實際需求而制定的適合現(xiàn)實使用的策略。如針對學(xué)校校園網(wǎng)絡(luò)安全，可以制定以下一些有效策略：

（1）加強(qiáng)網(wǎng)絡(luò)安全管理制度建設(shè);

（2）做好物理安全防護(hù);

（3）加強(qiáng)對用戶的教育和培訓(xùn);

（4）提高網(wǎng)絡(luò)管理人員技術(shù)水平;

（5）規(guī)范出口、入口管理;

（6）配備網(wǎng)絡(luò)安全設(shè)備或系統(tǒng);

（7）建立全校統(tǒng)一的身份認(rèn)證系統(tǒng);

（8）建立更安全的電子郵件系統(tǒng);

（9）做好備份和應(yīng)急處理。

通過這些宏觀策略的制定，再進(jìn)一步具體到各個方面，最后落實到微觀策略的實現(xiàn)，最終可以將整個網(wǎng)絡(luò)安全的安全程序提高一個級別，從而降底網(wǎng)絡(luò)安全問題所帶來的負(fù)面影響以及損失。

參考文獻(xiàn)

[1] 徐明.網(wǎng)絡(luò)信息安全[M].西安：電子科技大學(xué)出版社，2006.

[2] 唐乾林.網(wǎng)絡(luò)安全系統(tǒng)集成與建設(shè)[M].北京：機(jī)械工業(yè)出版社，2010.

[3] 周麗娟.校園網(wǎng)絡(luò)的安全策略研究[J].長春師范學(xué)院學(xué)報，2009（9）：81-84.

[4] 陳杰新.校園網(wǎng)絡(luò)安全技術(shù)研究與應(yīng)用[D].吉林：吉林大學(xué)，2010.

[5] Mark Hadfield，Christopher Chapman. Leading School-based Networks[M].Routledge，2009.

[6] IT架構(gòu)設(shè)計研究組.大數(shù)據(jù)時代的IT架構(gòu)設(shè)計[M].電子工業(yè)出版社，2014.

[7] Houston Carr，Charles Snyder，Bliss Bailey. Management of Network Security[M]. Prentice Hall，2009.

[8] Yusuf Bhaiji. Network Security Technologies and Solutions[M].Cisco Press，2008.

[9] 楊雅輝.網(wǎng)絡(luò)安全體系結(jié)構(gòu)[M].北京：高等教育出版社，2008.

[10] 安繼芳，李海建.網(wǎng)絡(luò)安全應(yīng)用技術(shù)[M].北京：人民郵電出版社，2011.

[11] James M. Stewart，Mike Chapple，Darril Gibson.CISSP：Certified Information Systems Security Professional Study Guide[M].Sybex，2011.

[12] Douglas W. Frye， Douglas W. Frye. Network Security Policies and Procedures[M].Springer-Verlag New York Inc，2006.