計(jì)算機(jī)信息網(wǎng)絡(luò)安全防御特征研究

姚宏林++韓偉杰++吳忠望

摘 要：網(wǎng)絡(luò)防御特征由網(wǎng)絡(luò)安全防御體系所決定，它是構(gòu)建網(wǎng)絡(luò)安全防護(hù)技術(shù)體系架構(gòu)各要素的集合。該文設(shè)計(jì)了信息網(wǎng)絡(luò)安全防御體系模型，并對(duì)防御體系的層次要素特征進(jìn)行了分析，能夠?yàn)榭茖W(xué)制定計(jì)算機(jī)信息網(wǎng)絡(luò)防御策略、發(fā)展安全防護(hù)技術(shù)體系提供理論支撐。

關(guān)鍵詞：信息網(wǎng)絡(luò)安全 網(wǎng)絡(luò)防御特征 主機(jī)防御特征 應(yīng)用防御特征 數(shù)據(jù)防御特征

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2014）07（c）-0045-02

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，計(jì)算機(jī)信息網(wǎng)絡(luò)已在國(guó)家機(jī)關(guān)、企事業(yè)單位、國(guó)防軍事等多個(gè)領(lǐng)域廣泛應(yīng)用，逐漸滲入到人們的生活中并成為相互溝通的重要手段。然而計(jì)算機(jī)信息網(wǎng)絡(luò)存在網(wǎng)絡(luò)環(huán)境開放性、網(wǎng)絡(luò)操作系統(tǒng)漏洞、網(wǎng)絡(luò)資源共享性、網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)缺陷、黑客惡意攻擊等安全隱患，計(jì)算機(jī)信息網(wǎng)絡(luò)安全防御問題重要性變得尤為重要[1-2]。本文基于用戶網(wǎng)絡(luò)活動(dòng)劃分防御層，建立起信息網(wǎng)絡(luò)安全防御的體系模型，并系統(tǒng)分析各層次的網(wǎng)絡(luò)防御特征，為建立網(wǎng)絡(luò)安全防護(hù)體系提供了理論支撐。

1 信息網(wǎng)絡(luò)安全防御體系設(shè)計(jì)

構(gòu)建信息網(wǎng)絡(luò)安全防御體系，其目標(biāo)就是要維護(hù)用戶網(wǎng)絡(luò)活動(dòng)的安全性[4]。根據(jù)用戶網(wǎng)絡(luò)活動(dòng)的層次，可以將網(wǎng)絡(luò)防御劃分為網(wǎng)絡(luò)防御層、主機(jī)防御層、應(yīng)用防御層和數(shù)據(jù)防御層等四個(gè)方面，在每個(gè)防御層模型中，又包括防御功能和防御技術(shù)兩類劃分方法，防御功能分布按照不同防御層特點(diǎn)，采用根據(jù)層次、軟件功能等類別進(jìn)行劃分，如圖1所示。

1.1 網(wǎng)絡(luò)防御層

網(wǎng)絡(luò)防御層主要針對(duì)信息網(wǎng)絡(luò)安全防御體系中的網(wǎng)絡(luò)邊界進(jìn)行防護(hù)，按照防護(hù)層面的不同，又可分為應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的分層防御功能。防御技術(shù)則包括協(xié)議分析、模式匹配和包過濾等基本技術(shù)。

1.2 主機(jī)防御層

主機(jī)防御層的防護(hù)功能，主要通過主機(jī)入侵防御、病毒查殺和防火墻防護(hù)等三個(gè)層面，并通過各自對(duì)應(yīng)軟件實(shí)現(xiàn)。主要的防護(hù)技術(shù)則包括入侵檢測(cè)、安全審計(jì)、訪問控制、主動(dòng)行為防御、特征碼查殺和軟件防火墻保護(hù)等。

1.3 應(yīng)用防御層

應(yīng)用防御層的功能主要防范惡意程序植入和篡改應(yīng)用軟件，為此，技術(shù)上可通過漏洞利用防護(hù)技術(shù)和數(shù)字簽名驗(yàn)證技術(shù)來(lái)實(shí)現(xiàn)。

1.4 數(shù)據(jù)防御層

數(shù)據(jù)防御層的防護(hù)功能歸結(jié)到一點(diǎn)為防范非授權(quán)用戶的非法訪問，包括對(duì)磁盤分區(qū)中文件的訪問，以及對(duì)數(shù)據(jù)庫(kù)文件的訪問。防御技術(shù)主要包括加密技術(shù)、完整性校驗(yàn)技術(shù)和備份恢復(fù)技術(shù)等。

2 網(wǎng)絡(luò)安全防御特征

2.1 網(wǎng)絡(luò)防御特征

網(wǎng)絡(luò)層面可以對(duì)通過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，按照分層的原則進(jìn)行防御，具體包括網(wǎng)絡(luò)層、傳輸層、應(yīng)用層的分層防御。具體的防御技術(shù)包括：包過濾技術(shù)、模式匹配技術(shù)、協(xié)議分析技術(shù)等。

網(wǎng)絡(luò)安全層面從本質(zhì)上來(lái)講就是網(wǎng)絡(luò)上的信息安全，其不斷發(fā)展旨在采取有效的安全措施保護(hù)網(wǎng)絡(luò)信息不被破壞、更改和泄露，保護(hù)聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)免受侵?jǐn)_[5]。網(wǎng)絡(luò)上的信息傳播方式的多樣性、廣泛性和難追溯性，使得網(wǎng)絡(luò)遭受攻擊的可能性很大，因此，必須采取一定的安全措施來(lái)防止這些惡意攻擊。同時(shí)，因?yàn)榫W(wǎng)絡(luò)信息的安全會(huì)在很大程度上影響受保護(hù)主機(jī)和應(yīng)用系統(tǒng)的安全，故網(wǎng)絡(luò)安全是信息網(wǎng)絡(luò)安全防御體系中最重要的組成部分，只有網(wǎng)絡(luò)安全得到很好的建設(shè)，主機(jī)和應(yīng)用安全的建設(shè)才能在良好的環(huán)境中實(shí)施。

2.2 主機(jī)防御特征

主機(jī)層面主要針對(duì)操作系統(tǒng)平臺(tái)進(jìn)行安全防御，在操作系統(tǒng)平臺(tái)上通過防火墻軟件、殺毒軟件、主動(dòng)防御軟件等實(shí)現(xiàn)防御策略。采用的主機(jī)防護(hù)技術(shù)包括：軟件防火墻防護(hù)、病毒特征碼查殺、主動(dòng)行為防御、訪問控制、安全審計(jì)等。

主機(jī)（包括終端和服務(wù)器）是信息系統(tǒng)的重要組成部分，承擔(dān)著信息的存儲(chǔ)和處理工作[6]。由于主機(jī)是信息泄露的源頭，也是各類攻擊的最終目標(biāo)，因此，主機(jī)的安全關(guān)系到整個(gè)信息系統(tǒng)中信息的安全，主機(jī)安全建設(shè)是信息系統(tǒng)安全建設(shè)的重要內(nèi)容。

主機(jī)層面安全主要涉及操作系統(tǒng)安全和數(shù)據(jù)庫(kù)安全，通常是由操作系統(tǒng)自身安全配置、相關(guān)安全軟件和第三方安全設(shè)備來(lái)實(shí)現(xiàn)的。目前，運(yùn)行在主機(jī)上的主流操作系統(tǒng)有Windows、Linux、Sun Solaris、IBM AIX和HP-UX等。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和網(wǎng)上應(yīng)用的不斷增多，這些主機(jī)上的問題也逐漸暴露出來(lái)，一些網(wǎng)絡(luò)病毒和木馬等也隨之出現(xiàn)，破壞主機(jī)上的數(shù)據(jù)信息。一般單位中如果將安裝這些系統(tǒng)的主機(jī)作為服務(wù)器的話，上面可能會(huì)保存一些單位或部門的關(guān)鍵信息，這就對(duì)主機(jī)層面安全提出了要求。

2.3 應(yīng)用防御特征

應(yīng)用層面主要防范功能用于防御應(yīng)用程序被惡意程序篡改，及利用應(yīng)用軟件漏洞進(jìn)行惡意程序的植入。應(yīng)用層面的安全防御技術(shù)可通過數(shù)字簽名驗(yàn)證技術(shù)、漏洞利用防范技術(shù)來(lái)實(shí)現(xiàn)。

應(yīng)用層面是信息系統(tǒng)最終得以使用的工具，只有通過應(yīng)用系統(tǒng)用戶才能對(duì)數(shù)據(jù)和信息進(jìn)行各種各樣的操作，繼網(wǎng)絡(luò)和主機(jī)系統(tǒng)的安全防護(hù)之后，應(yīng)用安全成為信息系統(tǒng)整體防御的又一道防線。應(yīng)用安全是指信息在應(yīng)用過程中的安全，也就是信息的使用安全。應(yīng)用層面的安全目的是要保證信息用戶的真實(shí)性，信息數(shù)據(jù)的機(jī)密性、完整性、可用性，以及信息用戶和信息數(shù)據(jù)的可審性，以對(duì)抗身份假冒、信息竊取、數(shù)據(jù)篡改、越權(quán)訪問和事后否認(rèn)等安全威脅。這就需要對(duì)不同的應(yīng)用安全漏洞進(jìn)行檢測(cè)，采取相應(yīng)的安全措施降低應(yīng)用的安全風(fēng)險(xiǎn)。對(duì)信息系統(tǒng)進(jìn)行應(yīng)用安全方面的設(shè)計(jì)，從總體上來(lái)說(shuō)，是為了確保在軟件大規(guī)模使用、數(shù)量和復(fù)雜度增長(zhǎng)的前提下，能夠及時(shí)的發(fā)現(xiàn)和修正系統(tǒng)中潛在的安全漏洞，并且能夠應(yīng)對(duì)和解決這些漏洞，以降低應(yīng)用系統(tǒng)的安全風(fēng)險(xiǎn)。應(yīng)用層面?zhèn)戎赜谠O(shè)計(jì)開發(fā)出來(lái)的系統(tǒng)是否安全。雖然這些安全目標(biāo)多數(shù)都類似于網(wǎng)絡(luò)安全和主機(jī)安全中的內(nèi)容，但是實(shí)現(xiàn)目標(biāo)的方式有很大不同，應(yīng)用系統(tǒng)更強(qiáng)調(diào)在開發(fā)出來(lái)的系統(tǒng)中解決這些問題。

2.4 數(shù)據(jù)防御特征

數(shù)據(jù)層面的防范主要是防止非授權(quán)用戶對(duì)數(shù)據(jù)的非法訪問。主要的防御措施是通過加密和訪問控制實(shí)現(xiàn)，控制對(duì)數(shù)據(jù)的訪問用戶和訪問權(quán)限，并且在數(shù)據(jù)存儲(chǔ)過程中使用加密技術(shù)來(lái)保護(hù)數(shù)據(jù)的安全。主要的措施包括三個(gè)方面：數(shù)據(jù)完整性、數(shù)據(jù)保密性與數(shù)據(jù)的備份和恢復(fù)。

數(shù)據(jù)層面的安全是計(jì)算機(jī)信息安全系統(tǒng)的最終目的和核心目標(biāo)[7]。圍繞著計(jì)算機(jī)系統(tǒng)所采取的許多安全保護(hù)措施最終都是為了保證系統(tǒng)中數(shù)據(jù)在應(yīng)用、存儲(chǔ)、傳輸和處理等過程中的安全性，以實(shí)現(xiàn)數(shù)據(jù)的機(jī)密性、完整性、可控性和不可否認(rèn)性，并可以進(jìn)行數(shù)據(jù)備份和恢復(fù)。

3 結(jié)語(yǔ)

隨著計(jì)算機(jī)信息網(wǎng)絡(luò)的不斷發(fā)展，新的網(wǎng)絡(luò)安全隱患會(huì)不斷涌現(xiàn)。建立相應(yīng)的信息網(wǎng)絡(luò)安全防御體系模型，研究各層次的網(wǎng)絡(luò)防御特征，能夠從本質(zhì)上明確安全防御體系建設(shè)的目的和目標(biāo)，為科學(xué)制定計(jì)算機(jī)信息網(wǎng)絡(luò)防御策略、發(fā)展針對(duì)性安全防護(hù)技術(shù)提供理論支撐。

參考文獻(xiàn)

[1] 張昱.對(duì)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)安全與網(wǎng)絡(luò)防御的分析[J].廣東科技，2011（5）：51-52.

[2] 楊育紅.淺議網(wǎng)絡(luò)信息安全防御體系建設(shè)[J].計(jì)算機(jī)安全，2011（10）：73-75.

[3] 王琪.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)現(xiàn)狀研究[J].計(jì)算機(jī)安全，2013（7）：44-49.

[4] 汪澎萌，張碩，汪兆銀.計(jì)算機(jī)網(wǎng)絡(luò)安全體系研究[J].信息安全，2012（2）：38-40.

[5] 杜蕓.網(wǎng)絡(luò)安全體系及其構(gòu)建研究[J]. 軟件導(dǎo)刊，2013，12（5）：137-139.

[6] 林穎.基于可變信任機(jī)制的主機(jī)防御體系[J].赤峰學(xué)院學(xué)報(bào)：自然科學(xué)版， 2010（8）：29-31.

[7] 陸中威，高廣濤.網(wǎng)絡(luò)數(shù)據(jù)防御模型設(shè)計(jì)與研究[J].中國(guó)新通信，2013， 15（21）：94-94.