計算機網絡防御的關鍵技術研究

葉 健

（湖北交通職業技術學院，湖北 武 漢430079）

1 計算機網絡防御的含義及其價值分析

隨著科學技術的不斷發展，尤其是計算機網絡技術的發展，給人類社會的生產、生活、工作方式帶來了深刻的變革，以電子計算機等為代表的信息控制技術也被稱之為人類科技發展史上的第三次革命。但是需要引起我們高度重視的是，計算機網絡在給人類社會帶來極大便利、效率的同時，也存在著較大的安全隱患，網絡信息的泄露對個人、企業、社會、國家都存在極大的挑戰和危險，網絡攻擊、網絡詐騙、網絡侵權時有發生，網上黃賭毒、暴力恐怖以及網絡謠言等有害信息屢禁不止，嚴重危害國家安全、損害人民利益。因此，計算機防御的價值不單單在于物理層面的靜態技術防御，還具有更多的社會治理價值。

2 計算機網絡防御的幾種關鍵技術

2.1 防火墻技術

防火墻是兩個網絡之間的一組構件或一個系統，它的明確定義來自AT＆T的兩位工程師 Willam Cheswick和steven Beellovin，防火墻具有以下屬性：（1）信息的雙向流動必須通過它；（2）信息流只允許通過預定的安全策略來傳遞；（3）系統本身具有很高的抗攻擊性；簡而言之，防火墻是一種位于內部網絡和外部網絡之間，實現安全防范的系統。它是用來攔截不受信任網絡的威脅。同時，它還允許雙方的正常通信。目前，許多防火墻都在互聯網上使用，而且任何網間和企業網內部都可以使用防火墻。

理想的防火墻所應具備的防御功能包括：

（1）病毒掃描殺毒功能：如掃描電子郵件附件ZIP和DOC文件，FTP上傳和下載文件的內容，發現其中可能包含的危險信息。

（2）拒絕服務攻擊的防御：拒絕服務攻擊（Dos）是攻擊者過多地占用共享資源，導致帶寬被消耗、某些服務暫停甚至主機死機，從而使其他用戶無法共享到資源或無法訪問服務器。防火墻通過采取合理的控制機制、檢測機制和報警機制，從而在一定程度上防止或減輕DOS攻擊。

（3）攔截 ActiveX、Java、Cookies、java—script等方式進行HTTP內容過濾：部分HTTP頁面中被加入惡意代碼，防火墻應該能夠從PHP、ASP和Script等代碼檢測出危險的代碼或病毒，以及從HTTP頁面剝離出Applet、ActiveX、Java等程序，并向瀏覽器用戶報警。

2.2 數據加密技術

數據加密技術按功能可以分為數據存儲、數據傳輸、數據完整性認證和密鑰管理技術這4種。其中，數據存儲的加密技術是為了防止機密數據在存儲領域的丟失或泄露，可被歸類為加密存儲和訪問控制兩類，數據加密技術是對傳輸中的數據流進行加密的方法，端口加密和線路加密是較為常用的兩種方法。數據加密主要是通過對網絡數據加密來對網絡的安全性和可靠性提供保障，可以有效防止機密信息的丟失和泄露。此外，它還被廣泛應用于信息識別、數字證書等技術種，防止電子詐騙，在信息處理系統的安全性起著重要作用。

2.3 虛擬專用技術

隧道技術（Tunneling）是VPN（虛擬專用網絡）的底層支撐技術。隧道技術類似于點對點鏈接技術，它在公網上建立一條數據通道，該數據通道用來傳輸企業內部網絡數據，類似一條穿過公網的隧道。隧道技術的具體內容是：在一個隧道的兩端，將其它類型的協議數據包（如IP協議數據包）作為載荷數據，由源節點重新封裝，得到一個新的IP包，然后發送到Internet上進行傳輸。目標節點收到該數據包后，將用于公網傳輸，由源節點添加的IP頭去掉。在非IP網絡上，也可以反向利用這種技術，即將IP包用其它協議封裝，從而創建隧道，進行數據傳輸。

隧道協議是隧道技術的核心，同時基于不同的隧道協議所實現的VPN是不同的。隧道技術可以以第二層或第三層隧道協議為基礎。上述的分層是按照開放系統互聯（OSI）的參考模型劃分。第二層隧道協議所對應的OSI模型中的數據鏈路層，使用幀作為數據交換單位。

2.4 安全隔離技術

組織需要提供符合標準的操作程序，使相關平臺能夠按照安全區域的訪問策略，防止平臺的數據丟失和泄露。該標準操作程序的執行面向所有需要的用戶。對于每一個用戶，你需要清楚地定義訪問策略，該策略必須根據組織的要求，來設置允許訪問的權限。在完整的物理隔離工作相關的審計記錄下，需要執行審核操作工作平臺，特別是審核登錄錯誤記錄需要單獨的操作。不定期審核數據訪問操作是根據組織的訪問策略和標準操作程序，并需要特殊審核以下項目：（1）授權用戶的權限，訪問記錄應定期審核；（2）為訪問事件的權限，應檢查不被盜用或冒用。

2.5 入侵檢測技術

入侵檢測在本質上是針對錯誤、異常、危險等方面的信息流傳輸進行檢測的手段。通常從技術角度將入侵檢測劃分為兩種檢測模型：

（1）異常檢測模型（Anomaly Detection）：可以接受的行為之間的偏差的檢測。如果你能定義一個可以接受的行為，那么這種未定義的不可接受的行為就是一種侵入。通常，利用用戶配置文件記錄和總結正常操作的習慣和特征，一個入侵的確定往往是用戶的活動與正常行為有一個顯著的偏差。該檢測模型優缺點均較為明顯，雖然漏報率低，但同時誤報率高；顯著的優點在于它可以有效地檢測未知的入侵行為，因為該模型并未也沒有必要定義所有行為。

（2）誤用檢測模型（Misuse Detection）：通常用來檢測與不可接受的已知行為的匹配度。如果管理員能將所有的不可接受的行為都進行定義，那么可以與之匹配的行為就會導致報警。管理員需要收集非正常運行的行為特征，并建立相關的特征數據庫。當用戶或系統行為與特征數據庫中的記錄相匹配時，該行為就會被系統認為是一個入侵。同時，缺點同樣明顯，對未知的攻擊是有限的，但必須不斷更新特征數據庫，且對于新型攻擊或入侵行為無法檢測。

3 結束語

需要指出的是，計算機網絡防御的各種技術都不是萬能的，也不是固定不變的，在實際應用中需要根據情況，采取針對性的技術。主要可以基于以下幾個原則加以應用，一是區別對待，分類處置原則，發生網絡安全事件后，事件發生部門應根據事件性質，影響范圍、損失和危害程度對突發事件進行基本判斷，對于影響范圍小，危害損失程度不大并可在本部門范圍內解決的突發事件。二是快速高效原則，應及時掌握網絡安全威脅的相關情況，果斷采取措施，快速處置，盡最大努力將危害和損失降到最低，可以成立專門的計算機網絡防御專項工作組，由組長負責授權范圍內的重大事項決策、授權范圍外的重大事項的決策建議、相關資源的協調、計算機網絡重大風險及障礙點的推動等，工作小組的組織及協調部門，負責待決策事項及需協調事項的整理、風險點的梳理、相關決策建議的提供，以及會議組織、資料準備、決議跟蹤等工作，支持計算機網絡防御的日常運作。三是綜合運用的原則，計算機網絡防御是一項系統工程，往往需要諸多技術的綜合應用，統籌協調，發揮各種技術的特性和優勢，真正構筑起一道網絡安全的“銅墻鐵壁”。