淺析網絡安全

王蕊

摘要：目前企事業機關單位都已經將網絡作為傳輸數據和交換信息的平臺，許多部門在網絡上構建了重要的業務流程，信息化網絡可以有效提高企事業單位的運營效率。然而在獲得這些利益的同時，由于計算機網絡自身存在漏洞，所以很容易受到攻擊，進而造成網絡系統故障，使用戶遭受重大損失。因此，計算機網絡安全的地位日趨重要

關鍵詞：信息化網絡；數據庫；IDS

1、民航東北地區空中交通管理局信息化網絡的建設情況

民航東北空管局內部各單位根據業務的發展的需要都建立了各自相應的業務網絡。民航東北地區局辦公網以沈陽為中心，向下輻射到哈爾濱、大連、長春空管分局站，同時還鏈接到中國民用航空局空中交通管理局和其他地區分局。民航氣象數據庫系統是由民航氣象中心和華北、華東、中南、西南、西北、東北六個區域中心及所屬航站組成，各中心按規則進行資料的搜集、處理和轉發，作為民航氣象數據庫系統的服務延伸，各地區中心都建立了各自氣象信息服務平臺，民航東北地區空管局氣象服務平臺在對相關用戶提供服務中充當了重要的角色。隨著業務的變化，需要氣象信息和其他航空信息的用戶需要的信息也在增加，由此也需要增加新的線路。為了避免不必要的線路開資，共享現有通信線路，將不同的業務融合在一個系統成為發展的需要，由此需要網絡間進行互聯。因此，為了保障網上業務正常運行，網絡安全在網絡設計和運行中的比重也在不斷完善和深化。

2、入侵檢測系統引入的必要性

入侵檢測系統（Intrusion Detection Systems，IDS）是按照一定的安全策略對網絡、系統的運行情況進行監視，盡可能發現各種攻擊企圖、攻擊行為、和攻擊結果，以保證網絡系統資源的機密性、完整性、和可用性。

在威脅網絡安全的因素中人為的主動破壞和誤操作占據了主要。據統計，80%以上的入侵來自于內部。由于性能的限制，防火墻通常不能提供實時的入侵檢測能力，對于企業內部人員所做的攻擊，防火墻形同虛設。入侵檢測系統（IDS）針對防火墻做了有益的補充，能夠在入侵攻擊對系統發生危害前，檢測到入侵攻擊，并能利用報警與防護系統驅逐入侵攻擊；在入侵過程中，能減少入侵攻擊所造成的損失；在被入侵攻擊后，收集入侵攻擊的相關信息，作為防范系統的知識，添加到知識庫內，增強系統的防范能力，避免系統再次受到入侵。IDS是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監聽，從而提供對內部攻擊、外部攻擊和誤操作的實時保護，大大提高網絡的安全性。

3、入侵檢測系統的功能模塊組成

根據通用入侵檢測框架（CIDF）規范，IDS由數據采集子系統、數據分析子系統、控制臺子系統、數據庫管理子系統四個功能模塊組成。在實際應用中，一般將數據采集子系統和數據分析子系統在UNIX或LINUX平臺上實現，稱為數據采集分析中心，它主要是搜集網絡或主機上的信息并對這些信息進行分析，如果檢測到攻擊，立刻作出響應；將控制臺子系統在WINDOWS平臺上實現，數據庫管理子系統集成在控制臺子系統中，它可以接受實時報警，查詢引擎中的數據，進行統計分析。

4、入侵檢測過程

入侵檢測過程可以分為三個階段：信息收集、信息分析、及告警與相應。

入侵檢測的第一步是收集信息，包括系統、網絡、數據以及用戶活動的狀態和行為等。而且需要在計算機網絡的不同關鍵點收集信息。這樣就可能擴大檢測范圍，而且從一個信息源收集到的信息可能看不出疑點，但是從幾個信息源收集到的信息的不一致性卻是可疑行為或入侵的最好標識。

信息分析的數據量非常龐大，且絕大部分是正常信息，只有很少一部分信息表征入侵的行為的發生，要從大量信息中找到表征入侵行為異常就需要對這些信息進行分析。可見，信息分析是入侵檢測過程的核心環節，沒有信息分析，入侵檢測就無從談起。入侵檢測的信息分析方法很多，如模式匹配、統計分析、完整性分析等。每種方法都有各自的優缺點，也都有各自的應用對象和范圍。

當入侵檢測系統檢測到攻擊或時間以后，系統根據攻擊和事件類型或性質，做出相應的告警與響應，即通知系統管理員系統正在遭受不良行為的入侵，或者采取一定的措施阻止入侵行為的繼續。

IDS按檢測對象和加載位置不同，可分為基于主機的IDS（HIDS）、基于網絡IDS（NIDS）和混合型IDS。基于主機的IDS應安裝于受保護的主機上，對攻擊主機的行為作出響應，而基于網絡的IDS應安裝于網絡信息集中通過的地方。綜合部署兩種IDS能夠給網絡帶來更大的安全性。

5、入侵檢測的發展趨勢

將來的趨勢是入侵檢測系統高度分布式監控結構的使用。這種方法將使用許多具有不同定位策略的自主代理。每一個代理可以定位一個特定的事件類型、特征類型、平臺或進程，可以有不同的策略來管理分析功能并反映功能的存放。最可能的是這樣的代理和其它的信息源同時存在，并且可以被一個監督進程所管理。這個監督進程將把代理得到的數據與其它數據傳感器得到相關數據關聯起來，從而識別出細微的問題所在。

分布式監督和分布式體系結構也能很好的適應實現某些免疫系統的入侵檢測方法。例如，許多代理都會檢查系統，尋找接觸關鍵文件的反常過程。每一個代理都按照一個特定的攻擊特征來衡量進程的活動。如果一個代理發現了具有某種攻擊特征的進程，他就會修改這個進程，也可以阻止這個進程的處理速度。由于這個進程會激發許多代理，每個代理都會使這個進程處理速度慢一點，所以這個進程的處理速度會慢到足以被人或某種代理記錄下來，代理處理這個進程的信息并將其殺死。

隨著當前網絡帶寬和節點速度的增長，入侵檢測系統必須監控的原始資料也不斷增長。這種情況使得有必要去收集和分析入侵檢測系統的組件。原始資料可能超出了最經常使用的主機信息和網絡信息的范圍。可能發生的另一個趨勢就是硬件版本的入侵檢測系統和安全網絡工具箱集成在一起。這種將定位于小型企業市場，以使客戶能夠處理與持續鏈接到INTERNET的安全問題。

參考文獻

[1]清華大學出版社 作者韓東海，王超，李群

（作者單位：民航東北地區空中交通管理局 氣象中心）