計算機網(wǎng)絡(luò)邊界安全防護與管理策略探討

武警河南省總隊 河南 鄭州 450018

計算機系統(tǒng)之間由網(wǎng)絡(luò)完成聯(lián)系,由于網(wǎng)絡(luò)的復雜性,導致計算機系統(tǒng)受到網(wǎng)絡(luò)攻擊的威脅,在網(wǎng)絡(luò)邊界加強安全防護與管理就顯得尤為重要。站在理論層面來看,只有提升對網(wǎng)絡(luò)邊界安全的防護效果,才能有效避免網(wǎng)絡(luò)安全問題,保證計算機網(wǎng)絡(luò)運行的可靠性,減少系統(tǒng)受到攻擊的風險。因此我們要加強計算機網(wǎng)絡(luò)邊界安全防護,綜合采用多種技術(shù)手段,讓計算機網(wǎng)絡(luò)始終處于安全、穩(wěn)定的運行狀態(tài)。

一、計算機網(wǎng)絡(luò)邊界安全隱患分析

當前人們非常重視計算機網(wǎng)絡(luò)邊界安全防護,這是因為病毒入侵變得日益頻繁,也由此研究出很多安全防護與管理方法。分析計算機網(wǎng)絡(luò)邊界安全隱患,通常表現(xiàn)在以下幾點：第一,人為操作不當。計算機網(wǎng)絡(luò)包含了很多復雜的內(nèi)容,均要求人工方式操作,若是用戶缺乏較強的安全意識,則容易發(fā)生操作失誤的情況,并由此產(chǎn)生安全隱患。第二,黑客入侵行為。現(xiàn)階段黑客入侵技術(shù)日益成熟,很多新技術(shù)層出不窮,通過對計算機網(wǎng)絡(luò)系統(tǒng)的非法入侵,能夠竊取其中的關(guān)鍵信息,不僅導致內(nèi)部重要信息出現(xiàn)丟失的現(xiàn)象,也將引起系統(tǒng)的癱瘓,為用戶、企業(yè)等帶來嚴重損失。第三,病毒感染。計算機感染病毒后,將出現(xiàn)不同程度的危害,若程度較輕,將導致系統(tǒng)工作效率降低,若程度嚴重,則會引起整個計算機網(wǎng)絡(luò)系統(tǒng)發(fā)生癱瘓,并造成各種重要數(shù)據(jù)丟失,主板也會因此損壞。

二、計算機網(wǎng)絡(luò)邊界安全防護與管理策略

(一)防火墻。防火墻是保護計算機網(wǎng)絡(luò)邊界安全的常用設(shè)備,能夠在不同網(wǎng)絡(luò)與安全域中設(shè)置一道安全屏障,達到安全訪問控制的目的。發(fā)揮防火墻的作用,能夠促使網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)流滿足合法性要求,避免進入外部非法數(shù)據(jù)流,也加強對內(nèi)部網(wǎng)絡(luò)用戶訪問外部網(wǎng)絡(luò)權(quán)限的管理,在網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)流可以在兩個不同鏈路中實現(xiàn)快速轉(zhuǎn)發(fā)。防火墻通過對數(shù)據(jù)流的安全訪問控制,數(shù)據(jù)若要通過應先滿足防火墻策略,否則會被拒絕。端口不使用時會被關(guān)閉,避免出現(xiàn)指定端口通信和指定站點訪問等[1]。在計算機網(wǎng)絡(luò)邊界安全防護中應用防火墻,具體作用包括以下幾點：第一,對通過網(wǎng)絡(luò)數(shù)據(jù)流進行過濾；第二,對進出網(wǎng)絡(luò)訪問行為進行管理；第三,將防火墻信息內(nèi)容與活動記錄下來；第四,檢測與報警出現(xiàn)的網(wǎng)絡(luò)攻擊。

防火墻所用安全控制技術(shù)分為包過濾與應用代理服務兩種,其中對包過濾技術(shù)來說,能夠解決OSI參考模型的網(wǎng)絡(luò)層、傳輸層中數(shù)據(jù)安全問題,從數(shù)據(jù)分組的原地址、目的地址、端口號以及協(xié)議類型出發(fā),設(shè)置通過的標準,達到該條件數(shù)據(jù)分組才能轉(zhuǎn)發(fā),不滿足條件的將被丟棄。對應用代理技術(shù)來說,能夠保證應用層數(shù)據(jù)分組更加安全,一般在多個網(wǎng)絡(luò)中運行,避免出現(xiàn)兩端直接通信現(xiàn)象,全部通信需要由應用層進行代理轉(zhuǎn)發(fā),防止訪問者同服務器直接連接。應用代理技術(shù)優(yōu)點在于保證了代理方式的透明性,網(wǎng)絡(luò)各層數(shù)據(jù)通信將被篩選保護,且檢測性能好,保證了網(wǎng)絡(luò)的安全,不夠需要有頻繁的配置,處理效率也相對較慢。

(二)入侵檢測與防御。入侵檢測的優(yōu)勢表現(xiàn)在能夠主動完成安全檢測和防護,在特定技術(shù)支持下,入侵檢測系統(tǒng)將實現(xiàn)對攻擊者惡意行為全過程的檢測、判斷和預警記錄,提升了計算機網(wǎng)絡(luò)安全防護水平。入侵檢測系統(tǒng)主要由三個部分構(gòu)成,分別是系統(tǒng)信息采集部分、信息分析部分、結(jié)合策略對分析結(jié)果作出特定響應部分。第一,系統(tǒng)信息采集作為入侵檢測的首要環(huán)節(jié),主要涉及系統(tǒng)狀態(tài)、用戶行為和網(wǎng)絡(luò)數(shù)據(jù)等內(nèi)容。信息來源應保證廣而寬,不能局限在某個主機中的系統(tǒng)日志,從而保證收集的信息更加可靠與準確,能夠入侵檢測與防御提供有價值參考。第二,信息分析作為整個入侵檢測系統(tǒng)的核心內(nèi)容,主要綜合運用多種技術(shù)分析收集的各種信息,此時主要以模式匹配技術(shù)為主。針對數(shù)據(jù)量較大的情況,應選擇系統(tǒng)應用的算法,只有提高了數(shù)據(jù)處理效率,才能為入侵檢測全局性帶來有利影響。第三,結(jié)合策略對分析結(jié)果作出特定響應,需考慮到Policy,確定最終行為響應,包括預警與記錄等,便于系統(tǒng)管理員及時掌握系統(tǒng)狀態(tài)等情況。

(三)數(shù)據(jù)交換網(wǎng)技術(shù)。防火墻主要實行關(guān)卡式防護手段,對黑客最新攻擊技術(shù)防御效果不佳,缺乏相應監(jiān)控措施,為解決“人”的攻擊行為,可以應用數(shù)據(jù)交換網(wǎng)技術(shù)。該技術(shù)融入了緩沖區(qū)隔離的思想,在城門處打造了“數(shù)據(jù)交易市場”,構(gòu)成兩個緩沖區(qū)隔離,并結(jié)合銀行系統(tǒng)的Clark-Wilson模型,目的能夠維護數(shù)據(jù)的完整性,不僅避免內(nèi)部網(wǎng)絡(luò)出現(xiàn)數(shù)據(jù)泄密的現(xiàn)象,只有獲得授權(quán)才能對數(shù)據(jù)作出修改,既避免了授權(quán)用戶錯誤修改,也讓內(nèi)外數(shù)據(jù)能夠保持一致[2]。近年來數(shù)據(jù)交換網(wǎng)技術(shù)在計算機網(wǎng)絡(luò)邊界安全防護中發(fā)揮著重要作用,在網(wǎng)絡(luò)中完成對數(shù)據(jù)的交換,類似于“土地換安全”的策略,不同網(wǎng)絡(luò)之間因為有了緩沖地,因此各“貿(mào)易往來”能夠保持在可控狀態(tài)。

不同于其他計算機網(wǎng)絡(luò)邊界安全防護技術(shù),數(shù)據(jù)交換網(wǎng)技術(shù)特點表現(xiàn)在以下幾點：第一,設(shè)置了多種安全網(wǎng)關(guān)和網(wǎng)閘,構(gòu)建了多層次的安全“關(guān)卡”。第二,因為設(shè)置有緩沖區(qū),能夠發(fā)揮安全監(jiān)控和審計的功能,由專家應對黑客入侵行為,保證計算機網(wǎng)絡(luò)邊界能夠得到有效控制,讓各種情況都處于監(jiān)控之中。第三,業(yè)務代理能夠確保數(shù)據(jù)更加完整,外來訪問者也只能止步于網(wǎng)絡(luò)交換區(qū),服務人員提供全部需求。

三、結(jié)語

總之,當前人們生活節(jié)奏越來越快,對生活質(zhì)量有了更高追求,計算機網(wǎng)絡(luò)邊界安全問題也備受各界關(guān)注。為了提升計算機網(wǎng)絡(luò)邊界安全防護與管理水平,除了要做好計算機安全系統(tǒng)維護工作以外,也要采取防火墻、入侵檢測系統(tǒng)和數(shù)據(jù)交換網(wǎng)技術(shù)等手段,有效防范外來病毒的入侵,讓計算機網(wǎng)絡(luò)邊界始終處于安全可靠環(huán)境中運行。