網絡安全的技術與管理

趙 婧

（北京中電飛華通信有限公司，北京 100192）

0 引 言

隨著信息化時代的到來以及互聯網技術和應用的不斷普及，云計算與大數據等數字化先進技術推動網絡空間的不斷延伸，但網絡攻擊和數據泄露等網絡安全問題不斷加劇，網絡安全得到越來越多的重視。目前，已有很多專家學者致力于計算機網絡安全與防范的研究。其中，田言笑等人以大數據時代為出發點，討論了大數據時代背景下網絡安全出現的各種新問題，并針對各種新的問題與挑戰制定了具有針對性的方法策略[1]。張劍鋒和葉磊等人從網絡信息管理技術方面出發，深入分析其在網絡安全中的重要作用[2,3]。黃堅福從企業的角度出發，重點分析互聯網對企業日常工作高效開展的重要性，并提出針對企業的互聯網安全防范措施[4]。本文重點從網絡安全技術及管理兩方面出發，討論二者在網絡安全中的重要作用。

1 網絡安全相關概述

1.1 網絡安全的定義

網絡安全從本質上講就是網絡上的信息安全。從廣義來說，凡是涉及到網絡上信息的保密性、完整性、可用性、真實性以及可控性的相關技術和理論都是網絡安全的研究領域。

1.2 網絡安全問題分析

目前，網絡安全問題頻發，主要體現在以下幾點。

1.2.1 網絡安全技術缺陷

現存的各類網絡安全技術主要針對某一特定方面，不能夠對全部網絡安全問題進行普遍防備與處理。例如，身份認證技術僅僅能夠對用戶的身份進行識別來防止非法人員的網絡入侵，而這一技術并不能有效識別用戶之間所傳遞信息的安全性。同樣的，病毒防御技術僅能夠識別和消滅相應的計算機病毒，而并不能實現用戶識別功能。因此，技術方面的不全面導致了網絡安全問題頻出。

1.2.2 黑客攻擊

黑客通過網絡入侵用戶計算機而引發的網絡安全問題頻頻出現，其利用計算機網絡的薄弱點對用戶的計算機發起進攻，入侵他人電腦，竊取有用信息，修改他人數據，成為網絡安全的重大隱患。

1.2.3 計算機病毒

計算機病毒出現于1990年后，具有很強的擴散性與廣闊的延伸性，并且傳播速度迅速，難以根除，最終造成巨大的經濟損失。病毒入侵計算機后，輕則影響計算機的工作效率，重則導致計算機重要文件和資料的丟失甚至計算機的癱瘓。

1.2.4 惡意軟件

不法之徒將帶有病毒的軟件以及間諜軟件通過網絡進行傳播，達到破壞用戶電腦的報復性目的。通過間諜軟件能夠獲取用戶的基本信息甚至財務信息，最終達到獲利的目的。

2 網絡安全的技術

網絡安全技術有很多種類型，主要包括如下幾種方式。

2.1 物理安全策略

所謂的物理安全策略，指的是對計算機體系、計算機網絡服務器以及掃描儀等硬件實體和通信線路的保護，以防止它們受到天然危害破壞和人工損壞等。同時驗證用戶的身份，并對其設計計算機網絡應用權限，防止不法分子違規操作計算機，從而保證網絡體系有一個優良的工作環境。

2.2 訪問控制策略

所謂的訪問控制是網絡安全防范和保護的重要策略，它的重要任務是保證網絡資源不被不法應用和黑客探訪。目前，針對黑客入侵及不法軟件破壞等現象，出現了很多訪問控制前沿技術，如最小權限技術和安全管制技術等。前者根據用網需求為用戶分配最小的網絡訪問權限以保障網絡的安全，后者能夠判斷所有正在訪問網絡的用戶，這些用戶的訪問權限均被本計算機擁有者所管理，只有經過本機擁有者授權，方可獲得網絡訪問權限。若訪問者對網絡不利，則防火墻能夠自動發出警告，計算機擁有者只需撤銷該訪問者的訪問權限即可保障網絡的安全。這些策略通過控制用戶的訪問、識別用戶的身份以及合理配置用戶間的網絡資源實現對網絡安全的防范。此處以入侵檢測技術為例，分析訪問控制策略中前沿技術的應用[5]。

目前，網絡攻擊和入侵的手段十分復雜，常見的如病毒入侵、惡意代碼、拒絕服務（Denial of Service，DoS）、欺騙、遠程登錄攻擊、郵件服務器攻擊以及Web服務攻擊等，這些入侵輕則會導致數據丟失，重則將引發系統的癱瘓。因此，針對網絡入侵問題，需要建立完善的入侵檢測系統以確保網絡的安全穩定運行[6-8]。

入侵檢測系統主要包括傳感器和控制器兩大部分。其中，傳感器主要負責對網絡數據進行監聽與分析，一旦發現網絡受到入侵或者攻擊會立即作出報警，并按照預先設定的安全響應規則作出相應的應對?？刂破鞯闹饕饔檬墙y計和分析所接收的報警數據，同時還能夠對傳感器進行參數設置以應對不同入侵的檢測。

辦公網絡入侵檢測系統工作原理如圖1所示。首先傳感器通過偵聽端口對辦公網絡數據偵聽，偵聽端口接收網絡數據包被傳感器接收、儲存并分析。其次傳感器對數據包的屬性進行檢測，通常包括長度、來源、目標地址以及內容等，并匹配分析數據包攻擊特性，分析包狀態和協議狀態等，檢測流量異常情況。再次發現網絡流量中的可疑行為后觸發響應器，同時向控制臺發送報警信息，入侵檢測系統響應器根據攻擊行為作出處理，如偽造ICMP應答、啟動防火墻以及中斷TCP會話等。最后控制器分析每次入侵數據及響應數據，不斷調整傳感器的響應策略，以完善入侵檢測系統。

圖1 辦公網絡入侵檢測系統工作原理圖

2.3 信息加密策略

信息加密指的是以保護網絡內部的數據、重要文件、口令以及重要控制信息，確保網絡傳輸數據安全為目的的網絡安全防范策略。目前，信息加密策略方面所應用的前沿技術包括對稱加密技術和非對稱加密技術，其中對稱加密技術的典型代表為數據加密標準（Data Encryption Standard，DES），非對稱加密技術的典型代表為基于RSA加密技術[9]。

信息加密技術大多應用于企業客戶信息加密，系統主要由服務端和用戶計算機組成，服務器負責對用戶的文件進行配置、加密以及解密等。服務端的加密服務流程如圖2所示，主要包括文件分析、文件分塊、文件提取以及建立列表4個子流程。其中，文件分析主要實現文件是否加密的判斷，若文件已經加密，則需要對其進行加密算法分析，以判斷與服務器當前的算法是否沖突，實現算法之間的完美銜接。文件提取主要實現文件的進一步操作，如調用和執行等。列表建立主要用于記錄各個文件的加密過程所執行的操作等，方便后期的解密操作。

圖2 加密服務流程圖

2.4 軟件定義數據

數據中心網絡是一套復雜的系統，其不僅能夠為服務器提供整合平臺，同時能夠高效進行事務處理、數據查詢以及技術搜索。承載著巨大數據的數據中心的網絡安全問題尤為重要，一旦遭到入侵，后果將會不堪設想。因此，數據中心網絡的安全將比一般辦公環境網絡安全更為嚴格與復雜。

數據中心網絡安全架構如圖3所示。當使用SDN時，SDN控制器也是數據中心管理的一部分。用戶虛擬機運行于Hypervisor之上，并連接到虛擬網絡。網絡安全服務需要在數據中心中部署安全服務控制平面、引流平面以及服務平面?？刂破矫媾c數據中心管理平臺進行信息交互，并配置服務平面的功能。安全架構的引流平面并不引入新的模塊，而是使用數據中心現有的虛擬網絡單元，通過調用虛擬交換機API或SDNAPI進行引流配置。安全服務平面的安全服務模塊分布于多個物理機上，接受控制平面的控制和配置，在某些場景下模塊間會有必要的通信[10]。

圖3 數據中心網絡安全架構

3 網絡安全管理策略

為了進一步保障網絡安全，在前沿技術應用的同時，需要規范化的網絡管理策略。一方面保障各單位和各部門之間的網絡安全權責匹配，另一方面保障各前沿技術能夠更順利地實施。

3.1 以政府為主導的網絡安全多種機制

隨著網絡安全的發展，我國已經有了很多專業負責管理的部門，但是各個部門之間的安全情報以及前沿技術無法實現及時的共享。因此，需要盡快成立聯合部門以實現各部門之間網絡安全信息和技術的共享，如可以成立以中央為核心的網絡安全管理部門，集中協調與管理各個部門的網絡安全維護，評估部門的網絡安全技術，以保障其有足夠的網絡安全事故應對能力。同時，可以組織各部門之間進行相互學習借鑒，確保前沿技術的普及與推廣。由該小組協調各政府部門及民事機構落實國家的網絡安全政策，協調和整合各個網絡安全專職機構的信息，然后集中分析和評估信息，找出可能的安全隱患，對網絡系統問題的發展作出預判，分析并上報全國網絡空間的運行狀況，做到合理部署與統一行動。

此外，中央有關職能部門應當采取積極的措施，充分調動地方各個部門及民間機構，加強對網絡安全的管理，以應對各種網絡威脅。協助各部門進行網絡安全相關的建設，如技術的推廣和職員的培訓，提高其對網絡威脅和網絡漏洞的應對能力、對前沿技術的應用能力以及對于網絡安全新技術的創新能力。此外，盡量將網絡安全事故扼殺在地方層級，避免事故的擴大化。更重要的是，在充分調動各部門應對網絡安全事故的同時，能夠對網絡安全管理進行權責分配，實現網絡安全集中管理，網絡安全安全管理責任追蹤定位。

3.2 政策引導技術創新

網絡安全如今已成為備受關注的焦點，前沿技術的推行固然能夠提高網絡安全，然而新技術的產生往往需要國家政策的積極引導，只有這樣才能不斷引導網絡安全技術的創新。因此，為了保障網絡安全技術的實施，國家應當不斷推行新的管理政策。

首先，加強網絡安全意識。對于不同的網絡，所面臨的的網絡態勢也有所不同，但是在不同的態勢之間都能夠體現出一個共性特點，那就是網絡安全環境的復雜化。對于網絡安全的管理要認清網絡安全的復雜化，提高安全意識。通常，從使用者的角度出發，網絡可以分為專用網絡和普通網絡，專用網絡諸如軍用網絡和企業網絡等，普通網絡也就是人們通常所使用的互聯網絡。雖然網絡用途不同，但是都會面臨著網絡安全問題，因此對于網絡安全的管理，提高全民個人的網絡安全意識尤為重要。

其次，強化網絡安全薄弱環節的管理。一是要強化網絡安全易發區域的管理與應對，其中包括系統漏洞的檢查與升級等。二是強化綜合性監測，雖然網絡具有普遍的安全問題，但是對于網絡使用者而言，不同的使用者還會面臨特殊的問題，因此除了網絡安全綜合管理之外，還需要針對不同的用戶制定不同的安全管理策略。三是系統性防范，網絡安全是一個系統性的工程，對于網絡安全的管理應當對已經發生的歷史性網絡安全事故進行不斷追溯，在動態推斷中引導各單位全方位的關注網絡安全。

最后，規范前沿技術的創新行為。技術創新可以強化網絡安全，但一切創新都應該受到政策的約束。運用政策引導規范創新行為一般需要關注以下兩方面的問題。一方面要規范創新人才培養實踐，由于技術創新需要創新人才的支撐，因而在政策引導的層面上應該規范創新人才的培養問題，包括創新人才的培養方式、培養途徑以及使用等。另一方面要規范創新中的技術知識產權保護，在網絡安全的技術創新中，規范知識產權的保護一般也需要關注預防網絡安全創新技術成果的保護以及創新過程中對引進技術和成果產權的政策性保護等問題。

4 結 論

網絡安全是重要的問題，也是長期性的問題，需要從技術創新和政策引導等方面不斷完善。在互聯網時代，只有從技術手段和管理手段兩個方面共同應用，才能真正保障網絡的安全性，最大限度地維護網絡秩序。