趙 婧

（北京中電飛華通信有限公司，北京 100192）

0 引 言

隨著信息化時代的到來以及互聯(lián)網(wǎng)技術和應用的不斷普及，云計算與大數(shù)據(jù)等數(shù)字化先進技術推動網(wǎng)絡空間的不斷延伸，但網(wǎng)絡攻擊和數(shù)據(jù)泄露等網(wǎng)絡安全問題不斷加劇，網(wǎng)絡安全得到越來越多的重視。目前，已有很多專家學者致力于計算機網(wǎng)絡安全與防范的研究。其中，田言笑等人以大數(shù)據(jù)時代為出發(fā)點，討論了大數(shù)據(jù)時代背景下網(wǎng)絡安全出現(xiàn)的各種新問題，并針對各種新的問題與挑戰(zhàn)制定了具有針對性的方法策略[1]。張劍鋒和葉磊等人從網(wǎng)絡信息管理技術方面出發(fā)，深入分析其在網(wǎng)絡安全中的重要作用[2,3]。黃堅福從企業(yè)的角度出發(fā)，重點分析互聯(lián)網(wǎng)對企業(yè)日常工作高效開展的重要性，并提出針對企業(yè)的互聯(lián)網(wǎng)安全防范措施[4]。本文重點從網(wǎng)絡安全技術及管理兩方面出發(fā)，討論二者在網(wǎng)絡安全中的重要作用。

1 網(wǎng)絡安全相關概述

1.1 網(wǎng)絡安全的定義

網(wǎng)絡安全從本質(zhì)上講就是網(wǎng)絡上的信息安全。從廣義來說，凡是涉及到網(wǎng)絡上信息的保密性、完整性、可用性、真實性以及可控性的相關技術和理論都是網(wǎng)絡安全的研究領域。

1.2 網(wǎng)絡安全問題分析

目前，網(wǎng)絡安全問題頻發(fā)，主要體現(xiàn)在以下幾點。

1.2.1 網(wǎng)絡安全技術缺陷

現(xiàn)存的各類網(wǎng)絡安全技術主要針對某一特定方面，不能夠?qū)θ烤W(wǎng)絡安全問題進行普遍防備與處理。例如，身份認證技術僅僅能夠?qū)τ脩舻纳矸葸M行識別來防止非法人員的網(wǎng)絡入侵，而這一技術并不能有效識別用戶之間所傳遞信息的安全性。同樣的，病毒防御技術僅能夠識別和消滅相應的計算機病毒，而并不能實現(xiàn)用戶識別功能。因此，技術方面的不全面導致了網(wǎng)絡安全問題頻出。

1.2.2 黑客攻擊

黑客通過網(wǎng)絡入侵用戶計算機而引發(fā)的網(wǎng)絡安全問題頻頻出現(xiàn)，其利用計算機網(wǎng)絡的薄弱點對用戶的計算機發(fā)起進攻，入侵他人電腦，竊取有用信息，修改他人數(shù)據(jù)，成為網(wǎng)絡安全的重大隱患。

1.2.3 計算機病毒

計算機病毒出現(xiàn)于1990年后，具有很強的擴散性與廣闊的延伸性，并且傳播速度迅速，難以根除，最終造成巨大的經(jīng)濟損失。病毒入侵計算機后，輕則影響計算機的工作效率，重則導致計算機重要文件和資料的丟失甚至計算機的癱瘓。

1.2.4 惡意軟件

不法之徒將帶有病毒的軟件以及間諜軟件通過網(wǎng)絡進行傳播，達到破壞用戶電腦的報復性目的。通過間諜軟件能夠獲取用戶的基本信息甚至財務信息，最終達到獲利的目的。

2 網(wǎng)絡安全的技術

網(wǎng)絡安全技術有很多種類型，主要包括如下幾種方式。

2.1 物理安全策略

所謂的物理安全策略，指的是對計算機體系、計算機網(wǎng)絡服務器以及掃描儀等硬件實體和通信線路的保護，以防止它們受到天然危害破壞和人工損壞等。同時驗證用戶的身份，并對其設計計算機網(wǎng)絡應用權(quán)限，防止不法分子違規(guī)操作計算機，從而保證網(wǎng)絡體系有一個優(yōu)良的工作環(huán)境。

2.2 訪問控制策略

所謂的訪問控制是網(wǎng)絡安全防范和保護的重要策略，它的重要任務是保證網(wǎng)絡資源不被不法應用和黑客探訪。目前，針對黑客入侵及不法軟件破壞等現(xiàn)象，出現(xiàn)了很多訪問控制前沿技術，如最小權(quán)限技術和安全管制技術等。前者根據(jù)用網(wǎng)需求為用戶分配最小的網(wǎng)絡訪問權(quán)限以保障網(wǎng)絡的安全，后者能夠判斷所有正在訪問網(wǎng)絡的用戶，這些用戶的訪問權(quán)限均被本計算機擁有者所管理，只有經(jīng)過本機擁有者授權(quán)，方可獲得網(wǎng)絡訪問權(quán)限。若訪問者對網(wǎng)絡不利，則防火墻能夠自動發(fā)出警告，計算機擁有者只需撤銷該訪問者的訪問權(quán)限即可保障網(wǎng)絡的安全。這些策略通過控制用戶的訪問、識別用戶的身份以及合理配置用戶間的網(wǎng)絡資源實現(xiàn)對網(wǎng)絡安全的防范。此處以入侵檢測技術為例，分析訪問控制策略中前沿技術的應用[5]。

目前，網(wǎng)絡攻擊和入侵的手段十分復雜，常見的如病毒入侵、惡意代碼、拒絕服務（Denial of Service，DoS）、欺騙、遠程登錄攻擊、郵件服務器攻擊以及Web服務攻擊等，這些入侵輕則會導致數(shù)據(jù)丟失，重則將引發(fā)系統(tǒng)的癱瘓。因此，針對網(wǎng)絡入侵問題，需要建立完善的入侵檢測系統(tǒng)以確保網(wǎng)絡的安全穩(wěn)定運行[6-8]。

入侵檢測系統(tǒng)主要包括傳感器和控制器兩大部分。其中，傳感器主要負責對網(wǎng)絡數(shù)據(jù)進行監(jiān)聽與分析，一旦發(fā)現(xiàn)網(wǎng)絡受到入侵或者攻擊會立即作出報警，并按照預先設定的安全響應規(guī)則作出相應的應對?？刂破鞯闹饕饔檬墙y(tǒng)計和分析所接收的報警數(shù)據(jù)，同時還能夠?qū)鞲衅鬟M行參數(shù)設置以應對不同入侵的檢測。

辦公網(wǎng)絡入侵檢測系統(tǒng)工作原理如圖1所示。首先傳感器通過偵聽端口對辦公網(wǎng)絡數(shù)據(jù)偵聽，偵聽端口接收網(wǎng)絡數(shù)據(jù)包被傳感器接收、儲存并分析。其次傳感器對數(shù)據(jù)包的屬性進行檢測，通常包括長度、來源、目標地址以及內(nèi)容等，并匹配分析數(shù)據(jù)包攻擊特性，分析包狀態(tài)和協(xié)議狀態(tài)等，檢測流量異常情況。再次發(fā)現(xiàn)網(wǎng)絡流量中的可疑行為后觸發(fā)響應器，同時向控制臺發(fā)送報警信息，入侵檢測系統(tǒng)響應器根據(jù)攻擊行為作出處理，如偽造ICMP應答、啟動防火墻以及中斷TCP會話等。最后控制器分析每次入侵數(shù)據(jù)及響應數(shù)據(jù)，不斷調(diào)整傳感器的響應策略，以完善入侵檢測系統(tǒng)。

圖1 辦公網(wǎng)絡入侵檢測系統(tǒng)工作原理圖

2.3 信息加密策略

信息加密指的是以保護網(wǎng)絡內(nèi)部的數(shù)據(jù)、重要文件、口令以及重要控制信息，確保網(wǎng)絡傳輸數(shù)據(jù)安全為目的的網(wǎng)絡安全防范策略。目前，信息加密策略方面所應用的前沿技術包括對稱加密技術和非對稱加密技術，其中對稱加密技術的典型代表為數(shù)據(jù)加密標準（Data Encryption Standard，DES），非對稱加密技術的典型代表為基于RSA加密技術[9]。

信息加密技術大多應用于企業(yè)客戶信息加密，系統(tǒng)主要由服務端和用戶計算機組成，服務器負責對用戶的文件進行配置、加密以及解密等。服務端的加密服務流程如圖2所示，主要包括文件分析、文件分塊、文件提取以及建立列表4個子流程。其中，文件分析主要實現(xiàn)文件是否加密的判斷，若文件已經(jīng)加密，則需要對其進行加密算法分析，以判斷與服務器當前的算法是否沖突，實現(xiàn)算法之間的完美銜接。文件提取主要實現(xiàn)文件的進一步操作，如調(diào)用和執(zhí)行等。列表建立主要用于記錄各個文件的加密過程所執(zhí)行的操作等，方便后期的解密操作。

圖2 加密服務流程圖

2.4 軟件定義數(shù)據(jù)

數(shù)據(jù)中心網(wǎng)絡是一套復雜的系統(tǒng)，其不僅能夠為服務器提供整合平臺，同時能夠高效進行事務處理、數(shù)據(jù)查詢以及技術搜索。承載著巨大數(shù)據(jù)的數(shù)據(jù)中心的網(wǎng)絡安全問題尤為重要，一旦遭到入侵，后果將會不堪設想。因此，數(shù)據(jù)中心網(wǎng)絡的安全將比一般辦公環(huán)境網(wǎng)絡安全更為嚴格與復雜。

數(shù)據(jù)中心網(wǎng)絡安全架構(gòu)如圖3所示。當使用SDN時，SDN控制器也是數(shù)據(jù)中心管理的一部分。用戶虛擬機運行于Hypervisor之上，并連接到虛擬網(wǎng)絡。網(wǎng)絡安全服務需要在數(shù)據(jù)中心中部署安全服務控制平面、引流平面以及服務平面。控制平面與數(shù)據(jù)中心管理平臺進行信息交互，并配置服務平面的功能。安全架構(gòu)的引流平面并不引入新的模塊，而是使用數(shù)據(jù)中心現(xiàn)有的虛擬網(wǎng)絡單元，通過調(diào)用虛擬交換機API或SDNAPI進行引流配置。安全服務平面的安全服務模塊分布于多個物理機上，接受控制平面的控制和配置，在某些場景下模塊間會有必要的通信[10]。

圖3 數(shù)據(jù)中心網(wǎng)絡安全架構(gòu)

3 網(wǎng)絡安全管理策略

為了進一步保障網(wǎng)絡安全，在前沿技術應用的同時，需要規(guī)范化的網(wǎng)絡管理策略。一方面保障各單位和各部門之間的網(wǎng)絡安全權(quán)責匹配，另一方面保障各前沿技術能夠更順利地實施。

3.1 以政府為主導的網(wǎng)絡安全多種機制

隨著網(wǎng)絡安全的發(fā)展，我國已經(jīng)有了很多專業(yè)負責管理的部門，但是各個部門之間的安全情報以及前沿技術無法實現(xiàn)及時的共享。因此，需要盡快成立聯(lián)合部門以實現(xiàn)各部門之間網(wǎng)絡安全信息和技術的共享，如可以成立以中央為核心的網(wǎng)絡安全管理部門，集中協(xié)調(diào)與管理各個部門的網(wǎng)絡安全維護，評估部門的網(wǎng)絡安全技術，以保障其有足夠的網(wǎng)絡安全事故應對能力。同時，可以組織各部門之間進行相互學習借鑒，確保前沿技術的普及與推廣。由該小組協(xié)調(diào)各政府部門及民事機構(gòu)落實國家的網(wǎng)絡安全政策，協(xié)調(diào)和整合各個網(wǎng)絡安全專職機構(gòu)的信息，然后集中分析和評估信息，找出可能的安全隱患，對網(wǎng)絡系統(tǒng)問題的發(fā)展作出預判，分析并上報全國網(wǎng)絡空間的運行狀況，做到合理部署與統(tǒng)一行動。

此外，中央有關職能部門應當采取積極的措施，充分調(diào)動地方各個部門及民間機構(gòu)，加強對網(wǎng)絡安全的管理，以應對各種網(wǎng)絡威脅。協(xié)助各部門進行網(wǎng)絡安全相關的建設，如技術的推廣和職員的培訓，提高其對網(wǎng)絡威脅和網(wǎng)絡漏洞的應對能力、對前沿技術的應用能力以及對于網(wǎng)絡安全新技術的創(chuàng)新能力。此外，盡量將網(wǎng)絡安全事故扼殺在地方層級，避免事故的擴大化。更重要的是，在充分調(diào)動各部門應對網(wǎng)絡安全事故的同時，能夠?qū)W(wǎng)絡安全管理進行權(quán)責分配，實現(xiàn)網(wǎng)絡安全集中管理，網(wǎng)絡安全安全管理責任追蹤定位。

3.2 政策引導技術創(chuàng)新

網(wǎng)絡安全如今已成為備受關注的焦點，前沿技術的推行固然能夠提高網(wǎng)絡安全，然而新技術的產(chǎn)生往往需要國家政策的積極引導，只有這樣才能不斷引導網(wǎng)絡安全技術的創(chuàng)新。因此，為了保障網(wǎng)絡安全技術的實施，國家應當不斷推行新的管理政策。

首先，加強網(wǎng)絡安全意識。對于不同的網(wǎng)絡，所面臨的的網(wǎng)絡態(tài)勢也有所不同，但是在不同的態(tài)勢之間都能夠體現(xiàn)出一個共性特點，那就是網(wǎng)絡安全環(huán)境的復雜化。對于網(wǎng)絡安全的管理要認清網(wǎng)絡安全的復雜化，提高安全意識。通常，從使用者的角度出發(fā)，網(wǎng)絡可以分為專用網(wǎng)絡和普通網(wǎng)絡，專用網(wǎng)絡諸如軍用網(wǎng)絡和企業(yè)網(wǎng)絡等，普通網(wǎng)絡也就是人們通常所使用的互聯(lián)網(wǎng)絡。雖然網(wǎng)絡用途不同，但是都會面臨著網(wǎng)絡安全問題，因此對于網(wǎng)絡安全的管理，提高全民個人的網(wǎng)絡安全意識尤為重要。

其次，強化網(wǎng)絡安全薄弱環(huán)節(jié)的管理。一是要強化網(wǎng)絡安全易發(fā)區(qū)域的管理與應對，其中包括系統(tǒng)漏洞的檢查與升級等。二是強化綜合性監(jiān)測，雖然網(wǎng)絡具有普遍的安全問題，但是對于網(wǎng)絡使用者而言，不同的使用者還會面臨特殊的問題，因此除了網(wǎng)絡安全綜合管理之外，還需要針對不同的用戶制定不同的安全管理策略。三是系統(tǒng)性防范，網(wǎng)絡安全是一個系統(tǒng)性的工程，對于網(wǎng)絡安全的管理應當對已經(jīng)發(fā)生的歷史性網(wǎng)絡安全事故進行不斷追溯，在動態(tài)推斷中引導各單位全方位的關注網(wǎng)絡安全。

最后，規(guī)范前沿技術的創(chuàng)新行為。技術創(chuàng)新可以強化網(wǎng)絡安全，但一切創(chuàng)新都應該受到政策的約束。運用政策引導規(guī)范創(chuàng)新行為一般需要關注以下兩方面的問題。一方面要規(guī)范創(chuàng)新人才培養(yǎng)實踐，由于技術創(chuàng)新需要創(chuàng)新人才的支撐，因而在政策引導的層面上應該規(guī)范創(chuàng)新人才的培養(yǎng)問題，包括創(chuàng)新人才的培養(yǎng)方式、培養(yǎng)途徑以及使用等。另一方面要規(guī)范創(chuàng)新中的技術知識產(chǎn)權(quán)保護，在網(wǎng)絡安全的技術創(chuàng)新中，規(guī)范知識產(chǎn)權(quán)的保護一般也需要關注預防網(wǎng)絡安全創(chuàng)新技術成果的保護以及創(chuàng)新過程中對引進技術和成果產(chǎn)權(quán)的政策性保護等問題。

4 結(jié) 論

網(wǎng)絡安全是重要的問題，也是長期性的問題，需要從技術創(chuàng)新和政策引導等方面不斷完善。在互聯(lián)網(wǎng)時代，只有從技術手段和管理手段兩個方面共同應用，才能真正保障網(wǎng)絡的安全性，最大限度地維護網(wǎng)絡秩序。