關于信息網絡安全風險防范模式的探析

◆賀振男

(渭南技師學院 陜西 714000)

網絡安全綜述與趨勢

關于信息網絡安全風險防范模式的探析

◆賀振男

(渭南技師學院 陜西 714000)

自網絡科技時代以來，互聯網的使用率便逐年增加，加上近年云端服務的推行，許多網絡服務更是不斷地推陳出新，網絡服務著實成為人們生活中不可或缺的一部份。龐大的網絡客群帶來龐大的商業利益，各家網絡服務業者無不極力確保能提供優良的服務質量。本文將主要針對當前信息網絡安全風險問題進行分析，并提出信息網絡安全風險的防范措施，在網絡安全方面具有一定的參考價值。

信息；網絡安全；風險防范；模式

0 前言

隨著網絡普及率逐年成長，為了提高信息的傳輸與存儲效率，各行各業中信息網絡管理已得到充足的應用，也極大地促進了企業信息管理效率。但是由于網絡攻擊也層出不窮，已嚴重威脅到網絡信息的安全，其中分布式拒絕服務攻擊是常見的威脅之一。為了確保企業自身的網絡安全，建置入侵防護系統為不可或缺的方法。由于開放原始碼（Open Source）軟件的興起與其可客觀化的功能性，使得免費的入侵偵測系統軟件——Snort廣受歡迎。Snort在應用上多以入侵偵測的角色為主，通過偵測到攻擊產生警訊后，通知管理者或 SIEM（Security Information Event Manager）設備，但此方式并無法在面對攻擊時，實時地阻斷攻擊來源。Snort可通過部署的架構方式或統計信息地址的權重來判斷其是否遭受攻擊，但若核心的偵測引擎與規則無法偵測到此類攻擊，會導致偵測效率不佳[1]。

1 當前信息網絡面臨的安全風險問題

阻斷服務（Denial-of-Service， DoS）攻擊是一種阻絕的攻擊方式，這類攻擊會使被害者如計算機、服務器或網絡系統，無法提供可用的網絡資源。大部分阻斷服務攻擊利用大量的聯機請求來癱瘓被害者的計算機、服務器的網絡頻寬或聯機資源，達到拒絕服務之目的。分布式阻斷服務攻擊則是通過如木馬、后門程序，事先入侵大量計算機并植入傀儡，在同一時間對感染計算機或服務器啟動攻擊指令，對被害者計算機執行阻斷服務攻擊，達到影響合法使用者存取的功能[2]。當有大量的 Half-Open Connection 發生時，因為其聯機緩沖區已經滿載，目標計算機將無法再接收新的聯機請求。對于這樣的行為，多數的計算機均設有Timeout 機制來預防，也就是當設定的時間間隔內未收到ACK封包，就切斷該聯機釋放緩沖區的資源，以接收新的聯機請求。

每一個狀態的信息若觸發的事件等級小于或等于原提升狀態的等級事件，則仍停留在原狀態。此外，每一個信息地址紀錄有其點數值，此點數值會逐日遞減，直至點數為零。因為攻擊的發生通常會在短時間內，如一周、一個月，而不會間隔太長的時間。通過將Snort的入侵事件紀錄進行分級，同時將所紀錄到的信息地址進行分級，建構一個信息地址狀態數據庫儲存，提供管理人員不同層級的紀錄數據，減輕管理人員負擔，并能實時監控網絡的入侵行為[3]。

傳統的分布式阻斷服務攻擊是先入侵多臺計算機主機，然后利用這些主機同時對目標計算機進行攻擊，達到妨礙合法使用者無法存取資源之目的。因為此類攻擊技術門坎不高，有許多黑客將其制作成單一工具，使得許多人也可通過此類工具進行攻擊，大多稱其為腳本小子。

Packet Sniffer的功能如同電話竊聽一樣，差別在于它是竊聽網絡上的信息，而非語音。所謂網絡信息即是信息地址流量，這些流量中也包含較高層的通訊協議，包含TCP、UDP、ICMP、信息地址Sec等，許多Sniffer工具會將這些不同的通訊協議轉換成人類可讀的信息。Snort的第一個組件即是Sniffer，它能將收集到的封包直接轉存至Logger，也能交由下個組件 ——Preprocessor，供后續分析使用[4]。當封包進入Preprocessor后，這個階段的任務便是分析封包流量的行為。Snort的 Preprocessor包含許多的Plug-ins，如HTTP Plug-in、Port Scanner Plug-in等。這些Plug-ins會逐一針對封包做特定行為的檢查，一旦符合行為規范，便將這些封包再傳送至下一個組件 ─ Detection Engine。

圖1 Preprocessor運作

2 信息網絡面臨安全風險的防范措施

2.1 強化個人端或伺服端的計算機主機安全

強化個人端或伺服端的計算機主機安全永遠是防御各類網絡攻擊的最佳方案。然而，信息安全的核心雖在于人，也就是人員對信息安全的素質，但此部分卻也是最難以實現的。因為有時為了便利性，我們可能就會選擇犧牲某些可以保護我們計算機的方式，比如操作計算機使用管理者賬號登入、減少惱人的操作提示窗口。但當減少此惱人的行為，也等同給予黑客減少這個繁瑣的管理者密碼輸入提示[5]。優良的服務質量除了自身系統平臺穩健外，更須防范外在的網絡攻擊。因為一旦遭受攻擊如阻斷服務，短時間內便可能損失極大的利益，甚至會造成使用者的不信任感。

2.2 啟用Snort的規則偵測

NIDS Mode則是啟用Snort的規則偵測，讓每個流經Snort的封包進行規則比對與檢測，當發現有符合規則定義時，即產生警訊（Alert），告知管理人員當前網絡出現疑似攻擊的情況。Preprocessor對 IDS而言是一個很重要的特性，因為它可以自由地啟用或停用，達到資源配置或警訊多寡的目標[6]。比如說，當架設完Snort作為IDS后，發現有大量且持續性的Port Scan警訊，假如管理人員明確知道自身網絡環境是安全的，可忽略這些警訊，那么就可進入Preprocessor停用Port Scanner Plug-in，Snort將不再產生Port Scan的警訊，但其它的Plug-ins仍舊維持正常運作，不會有所謂的非全有即全無（All-or-nothing）特性[7]。

2.3 加強云平臺自身的網絡安全防護

云平臺自身的網絡安全防護特別是對海量數據安全的防護將面臨著挑戰[8]。另外是云平臺的安全審核和管理機制問題，目前大多數云服務商的安全審核機制并不完善，用戶租用后作何用途，云服務商并不清楚知曉。也未作嚴格審核或周期性檢查，因此出現黑客在云平臺部署釣魚網站、傳播惡意代碼或發動攻擊的情況，如不及時加強管理，未來這種現象將繼續增多。

3 實施效果

通過強化個人端或伺服端的計算機主機安全、啟用Snort的規則偵測、加強云平臺自身的網絡安全防護等相關信息網絡安全風險防范措施，利用強化個人端或伺服端的計算機主機安全強化內部安全信息防范，同時利用Snort的規則偵測安全危險源，加強云平臺的網絡安全防護保證外部網絡環境的安全，由內而外的建立信息網絡安全防范模式，可以構建全面、科學、高效、合理的網絡安全管理體系，強化安全管理水平，對危害信息網絡安全的風險起到一個重要的攔截作用，充分保障信息的安全性，保障其不受到惡意程序的攻擊，避免了信息的破壞、惡意修改及其泄漏等安全問題。同時這些舉措也有助于強化信息網絡產業的管理與監督，確保信息網絡系統的正常運行。

4 結論

不論網絡的形態、種類如何發展，不論網絡的技術如何變化，其影響的范圍將越來越廣，使用的人群越來越多，存在的各種風險與危害也將越來越大。因此，加強對泛在網中各類技術及管理方法的研究，構建統一標準的互聯網信息安全保障體系是十分重要的。本文主要論述了將現有網絡中的各種技術及管理方法，將其融合到互聯網中，充分利用已有的技術來保障互聯網的安全運行。

[1]李依琳．網絡會計電算化的信息安全風險分析及防范策略[J]．當代經濟，2017．

[2]楊巍．信息網絡安全風險防范模式探析[J]．黑龍江科技信息，2017．

[3]李華，胡菲． 網絡信息安全的社會風險防控[J]．蘇州市職業大學學報，2016．

[4]段利均．信息共享與供應鏈網絡安全風險的關系研究[J]．商場現代化，2016．

[5]杜蕓．信息網絡安全風險與防范的幾點思考[J]．網絡安全技術與應用，2016．