計算機網絡安全防范技術初探

王新峰河南中煙工業有限責任公司許昌卷煙廠 河南 461000

0 引言

隨著計算機網絡應用的飛速發展，人們對計算機網絡的依賴性越來越強，網絡技術應用也越來越廣泛。在未來的科技發展中，這種技術的影響將會更強更廣。但網絡安全威脅也如洪水般泛濫，各種網絡安全隱患不斷產生，嚴重影響了人類的生產、生活及其它安全。網絡安全涉及到計算機科學、網絡技術、通信技術、信息論等多種學科，是一個復雜的且涉及多方面的系統工程，計算機網絡安全威脅主要有：軟件漏洞、配置不當、安全意識不強、黑客、病毒、木馬等方面。這就要求我們在實際工作中采取多種安全防范技術，加強管理，提高全民網絡道德水準和網絡安全意識。

計算機網絡安全防范技術多種多樣，歸納起來有：入侵預防技術、病毒防范技術、防火墻技術、數據加密技術、系統容災技術、漏洞掃描技術、物理安全、審計管理、蜜罐技術等。

1 入侵預防技術

（1）入侵預防技術與入侵檢測技術的比較

入侵檢測的弱點：我單位原來所用的入侵檢測產品，往往都是網絡陷入癱瘓，才去研究是否有攻擊存在。但這時為了人們早點正常工作，網管員把自己的精力全部放在了修復網絡上，沒有時間去研究是什么樣的攻擊影響了網絡。同時，由于配置了入侵產品與防火墻的聯動，一些入侵檢測的誤動作，造成防火墻誤動作，從而影響整個網絡。可見，入侵檢測技術不能起到主動防范作用，需要引入入侵預防技術。

入侵預防軟件與傳統入侵檢測產品的不同之處在于：入侵檢測重在檢測，既使跟防火墻進行聯動，也不能代替入侵預防系統；入侵預防重在預防，預防能夠對應用層滲透，緩沖區溢出、木馬、后門、SQL注入、XSS進行識別攔截。入侵預防安全架構則充當下一代網絡安全軟件，它能積極主動地加強桌面系統和服務器的安全，防止受到基于特征掃描的技術所無法發現的網絡攻擊的破壞。

（2）入侵預防技術原理

入侵預防定義哪些行為是正當的、哪些行為是可疑的，這樣一旦企圖作出超乎預期行為范圍的舉動，入侵預防技術會先發制人地消除不當的系統行為。一些高度結構化的入侵預防系統還能提供預先設定的規則，以保護Web服務器、郵件服務器及提供一般的最終用戶桌面保護。

從防御理念和防護重心來看，建議入侵防御置于防火墻之后，服務器之前。

2 病毒防范技術

計算機病毒的特點歸納起來有：攻擊隱藏性強、繁殖能力強、傳染途徑廣、潛伏時間長、破壞能力大以及具有針對性等。其注入技術主要有：無線電方式、“固化”式方式、后門攻擊方式以及數據控制鏈攻擊方式等。

病毒防范技術主要有：

（1）對病毒客戶端進行管理；曾經一個時期，網絡上的ARP病毒經常泛濫，導致網絡癱瘓。筆者專門寫了個小程序進行防范，放在局域網上，讓網內用戶點擊自運行程序，從而植入用戶操作系統中，這樣，保護了網內用戶免受該病毒的危害。

（2）對郵件的傳播進行控制。

（3）對來自磁介質的有害信息進行過濾。

（4）建立多層次多級別的企業級的防病毒系統，對病毒實現全面的防護。

建議在電腦和服務器上經常升級病毒庫，定期查殺。

3 防火墻技術

采用防火墻技術是解決網絡安全問題的主要手段之一。防火墻常被安裝內網與外網的節點上，用于邏輯隔離內網和外網。它是一種加強網絡之間訪問控制的網絡設備，它能夠保護內部網絡信息不被外部非法授權用戶訪問。防火墻具可以掃描流經它的網絡通信數據，過濾一些攻擊，通過關閉不使用的端口來禁止特定端口的流出通信，封鎖木馬，禁止來自特殊站點的訪問，防止來自非法闖入者的入侵，并能夠記錄和統計有關網絡使用濫用的情況。不過，防火墻技術也有局限性，它一般防外不防內，難以防范來自網絡內部的木馬攻擊和病毒的侵犯。

在實際工作中，需要網絡管理員將防火墻技術與其他安全技術配合使用，更好地提高網絡的安全性。由于防火墻位于內外網之間，屬咽喉地帶，一旦出現問題，則嚴重影響通訊。建議防火墻設置冗余，防止單點故障影響整個網絡。

4 數據加密技術

數據加密技術是將被傳送的信息進行加密，使信息以密文的形式在網絡上傳輸。該技術的應用可以保護網絡上傳輸的信息不被惡意者篡改截取，使一些敏感的數據只能被相應權限的人訪問，從而防止被非法使用者看到或者破壞。數據加密算法可分為對稱算法和公開密鑰算法。在對稱算法中，加密密鑰和解密密鑰相同或者加密密鑰能夠從解密密鑰中推算出來，反之也成立。對稱算法優點是速度快，但其密鑰管理非常重要，密鑰必須通過安全的途徑傳送。在公開密鑰算法中，加密密鑰和解密密鑰互不相同，并且幾乎不可能從加密密鑰推導出解密密鑰。公開密鑰算法密鑰管理簡單，但其加密算法復雜，速度慢。

在維護網絡安全和工作中，建議適當地采取數據加密這種主動防御的技術，來提高信息通訊的安全性。

5 系統容災技術

系統容災技術分為本地容災技術和異地容災技術。

本地容災從技術上主要可分為：磁盤保護技術、快照數據保護技術、磁帶/磁盤數據備份技術。本地服務容災從實現技術上主要可分為：雙機熱備和本地集群技術。

異地容災技術分為：遠程數據容災技術、網絡容災技術、服務容災技術。

遠程數據容災是指通過將本地數據在線備份到遠離本地的異地數據系統保存，當災難發生后，可以通過數據重構，來達到抵御區域性、毀滅性災難，保護業務數據的目的。但關鍵業務服務的暫時停頓不可避免。網絡容災技術是指網絡在遭受各種故障，如通信人為故障和客觀因素導致的通信事故等時，仍能維持可接受的業務質量的能力。服務容災技術是當發生災難時，需要將生產中心的業務轉移到容災中心去運行。可以保證服務的自動無縫遷移，讓用戶感覺不出提供服務的主體發生了變化。

在實際工作中，建議在生產中心和災備中心的服務器上安裝專用的數據復制軟件，以實現遠程復制功能。兩中心間必須有網絡連接作為數據通道。可以在服務器層增加應用遠程切換功能軟件，從而構成完整的應用級容災方案。

6 漏洞掃描技術

漏洞掃描技術是檢查系統中重要的數據、文件等，通過以下兩種方法來檢測發現可被黑客所利用的漏洞：(1)端口掃描法。通過端口掃描得知目標主機開啟的端口以及端口上的網絡服務，并與網絡漏洞掃描系統提供的漏洞庫進行匹配，查看是否有漏洞存在；(2)模擬黑客的攻擊法。通過模擬攻擊，測試安全漏洞。漏洞掃描實現的方法大概可分為：漏洞庫的特征匹配方法，功能模塊(插件)技術。

建議在專家指導下對系統配置特征規則庫不斷擴充和修正，在按照某一標準設計漏洞庫的同時，還應該讓漏洞庫信息具備完整性、有效性、簡易性等特點，這樣即使是用戶自己也易于對漏洞庫進行添加配置，從而實現對漏洞庫的即時更新。

7 物理安全

物理安全主要包含了計算機機房物理場地、物理環境及各種因素對計算機設備的影響：機房的安全、防火與防水、靜電防護、防盜、防破壞、屏蔽、過濾、接地、電磁防護等，另外還包含網絡的物理隔離、協議隔離、物理隔離網閘等物理隔離技術。

電源系統采用雙電源及UPS集中供電方式。其它根據建筑物具體情況采取UPS集中或集散式供電方式。UPS采用雙控制模塊化系統，實行N+1冗余方式，UPS輸出/輸入端應有電源平衡分配處理，使輸出與輸入完全隔離，保證供電系統的可靠性和可用性。

另外，設立監控系統，對機房的動力系統、環境系統、消防系統、保安系統、網絡系統等進行安全監控。

建議重視計算機網絡的物理安全，嚴格按照國家及行業信息化機房建設標準備進行建設。建設時對機房精密空調的室外機位置要有充分的考慮。

8 審計管理

網絡安全審計就是運用各種技術手段實時收集和監控網絡環境中每一個組成部分的系統狀態、安全事件，以便集中報警、分析、處理的一種技術手段。安全審計的對象有：網絡設備、服務器、用戶電腦、數據庫、應用系統、網絡安全設備。

安全審計解決方案有：

日志審計、主機審計、監控上網行為、網絡審計等。

建議多種方案混合使用。

9 蜜罐技術

蜜罐是通過真實或模擬的網絡和服務來吸引攻擊，分析黑客攻擊蜜罐期間對其行為和過程，搜集信息，發出預警。

根據蜜罐的交互程度可將蜜罐分三類：低交互蜜罐、中交互蜜罐和高交互蜜罐。其中低交互蜜罐只是運行于現有系統上的一個仿真服務，在特定端口監聽記錄數據包；中交互蜜罐是應用腳本或小程序來模擬服務行為，提供的功能主要取決于腳本，在不同端口進行監聽，收集更多數據；高交互蜜罐則是由真實的操作系統作為誘餌，引誘黑客攻擊，獲得大量信息，但其風險最大。

蜜罐本身并不增加網絡的安全性，建議將蜜罐和現有的安全防衛手段結合使用，可以有效提高系統安全性。

總之，計算機網絡發展迅速，網絡安全也威脅層出不窮，人們在不斷摸索建造安全防范體系，在眾多技術中有被動防御和主動防御的，有防止外網進攻的，也有防止內網破壞的，這些技術只有相互結合起來使用，取長補短，才能對網絡安全全面防范。