淺談網絡安全的主動防護

【摘要】本文分析了目前的網絡安全現狀和現有的網絡防護技術，并對這些防護技術做了簡單的介紹。分析得出目前的網絡防護以被動防護為主，僅是被動的防護不能提供給網絡提供最大的安全性，網絡需要主動型的防護。

【關鍵詞】網絡安全；主動防護

一、網絡信息安全的現狀

網絡在給人們帶來信息共享等種種方便的同時，也帶來了較多的負面影響。主要面臨的安全威脅有病毒入侵、黑客入侵、信息的丟失與篡改。此外，隨著軟件系統規模的不斷增大，系統中的安全漏洞或“后門”也不可避免的存在，或由于程序員在軟件設計過程中的缺陷或疏忽等而存在的漏洞，也是網絡安全的主要威脅之一。

1.物理傳輸對網絡信息安全的威脅

網絡通信都要通過通信線路、調制解調器（轉換器）、網絡級聯設備等物理部件，而這些也往往成為攻擊者的切入點。主要有以下幾方面：

（1）非法監聽：不法分子通過通信設備的監聽功能，捕獲無線網絡傳輸信號，由于黑客和攻擊者對于一些通用的加密算法，已有一整套完備的破解方案，因此能夠較輕易地獲取傳輸內容。

（2）非法終端：在現有終端上并接一個終端，或合法用戶從網上斷開時，非法用戶乘機接入并操縱該計算機通信接口，或由于某種原因使信息傳到非法終端。

2.軟件對網絡信息安全的威脅

現代通信系統如ATM、NGN、POS終端、智能手機等都使用大量的軟件進行通信控制，因此軟件方面的入侵也相當普遍。

（1）軟件病毒攻擊：軟件病毒入侵后打開后門，利用網絡軟件的漏洞或缺陷、并不斷繁殖，然后擴散到網上的計算機來破壞系統。輕者使系統出錯，重者可使整個系統癱瘓或崩潰。

（2）網絡攻擊：如ARP風暴等小包攻擊交換機等通信設備，引起網絡擁塞或導致通信主機無法處理超量的請求，輕則網絡服務不可用，重則整個系統死機癱瘓。

（3）通信系統或軟件端口被暴露或未進行安全限制，導致黑客入侵，進而可以使用各種方式有選擇地破壞對方信息的有效性和完整性，或者在不影響網絡正常工作的情況下，進行截獲、竊取、破譯，以獲得對方重要的機密信息。

由此可見，網絡信息安全問題的產生主要是由于互聯網基于的網絡結構體系結構帶來的。由于互聯網的開放性和通信協議的安全缺陷，以及在網絡環境中數據信息存儲和對其訪問與處理的分布性特點，網上傳輸的數據信息很容易泄露和被破壞。網絡安全問題已經成為信息時代人類共同面臨的挑戰。

二、主要防護技術

目前保證網絡安全的方法主要有防火墻、入侵檢測系統、網絡隔離技術、物理傳輸媒介保障等。

1.防火墻技術

防火墻技術是近年發展起來的一種重要安全技術，主要包括包過濾防火墻，狀態檢測包過濾防火墻和應用層代理防火墻，其共同特征是通過在網絡邊界上建立相應的網絡通信監控系統，達到保障網絡安全的目的。防火墻型安全保障技術假設被保護網絡具有明確定義的邊界和服務，并且假定網絡威脅僅來自外部網絡，進而通過監測、限制、更改跨越防火墻的數據流，盡可能地對外部網絡屏蔽有關被保護網絡的信息、結構，實現對網絡的安全保護。防火墻技術是通過對網絡作拓撲結構和服務類型上的隔離來加強網絡安全的一種手段。它所保護的對象是網絡中有明確閉合邊界的一個網段。它的防范對象是來自被保護網段外部的對網絡安全的威脅。

防火墻技術是目前用來實現網絡安全措施的一種主要手段，如果使用得當，可以在很大程度上提高網絡安全。但是防火墻雖然能對來自外部網絡的攻擊進行有效的防護，卻存在著局限性，其最大的局限性就是防火墻自身不能保證其準許放行的數據是否安全，且不能防御來自內部的攻擊（據統計一半以上的網絡安全問題來自網絡內部）。同時防火墻也無法阻止那些繞過防火墻的攻擊。

2.入侵檢測技術

入侵檢測技術與防火墻技術安全策略相比，是一種不同的安全策略，入侵檢測系統分為兩類：基于主機的入侵檢測系統和基于網絡的入侵檢測系統。基于主機的入侵檢測系統在服務器的審計日志文件中尋找攻擊特征，然后給出統計分析報告。基于網絡的入侵檢測系統主要是網絡監控傳感器監控包監聽器收集的信息，用于保護整個網絡不被破壞。

入侵檢測技術是一種動態的網絡檢測技術，用于識別對網絡系統的非法網絡行為，它通過對計算機網絡或計算機系統中若干關鍵點收集信息并對其進行分析，一旦發現網絡入侵現象，則做出適當的反應。從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。

入侵檢測方法分兩種：誤用檢測和異常檢測。大部分現有的入侵檢測工具都是使用誤用檢測方法。誤用檢測技術應用了系統缺陷和特殊入侵的累積知識。入侵檢測系統包含一個缺陷庫并且檢測出利用這些缺陷入侵的行為。當檢測到入侵，系統就會報警。也就是不符合正常規則的所有行為都被認為是不合法的，所以誤用檢測的準確度很高，但是它的查全度能夠檢測所有入侵的能力和入侵規則的更新程度有密切關系。這種方法的缺陷就是入侵信息的收集和更新的困難，這需要很多的時間和大量的工作。

同時，入侵檢測技術也存在著局限性。其最大的局限性就是漏報和誤報嚴重，它不能稱之為一個可以信賴的安全工具，而應只是一個參考工具。

3.網絡隔離技術

面對新型網絡攻擊手段的出現和高安全度網絡對安全的特殊需求，出現了新安全防護防范理念的網絡安全技術——“網絡隔離技術”。網絡隔離技術的目標是確保把有害的攻擊隔離在可信網絡之外和保證可信網絡內部信息不外泄的前提下，完成網絡數據的安全交換。

隔離概念的出現是為了保護高安全度的網絡，其產品到現在共經歷了五代。第一代是完全隔離。使網絡處于信息孤島狀態，實現完全的物理隔離。第二代是硬件卡隔離。通過硬件卡控制獨立存儲和分時共享設備與線路來實現對不同網絡的訪問，在設計上還存在安全隱患。第三代數據轉播隔離。在隔離的過程中切換時間較長，大大降低了訪問速度，更不能支持常見的網絡應用，應用面窄。第四代空氣開關隔離。它是通過使用單刀雙擲開關，使得內外部網絡分時訪問臨時緩存器來完成數據交換的，但在安全和性能上存在有許多問題。第五代為安全通道隔離。此技術通過專用通信硬件和專有安全協議等安全機制，來實現內外部網絡的隔離和數據交換，不僅解決了以前隔離技術存在的問題，并有效地把內外部網絡隔離開來，而且高效地實現了內外網數據的安全交換，透明支持多種網絡應用，成為當前隔離技術的發展方向。

4.物理傳輸媒介保障

（1）減少電磁輻射。傳輸線路應有露天保護措施，并要求遠離各種沖突頻率及輻射源，以減少由于電磁干擾引起的數據錯誤乃至出現BUG。對無線傳輸設備更應使用高可靠性的加密手段，并隱藏鏈接名。

（2）采用數據加密技術，對傳輸內容使用加密算法將明文轉換成無意義的密文，防止非法用戶理解原始數據。數據加密技術是一種主動的信息安全防范措施，可大大加強數據的保密性。

（3）使用可信路由、專用網或采用路由隱藏技術，將通信系統隱匿在網絡中，避免傳輸路徑暴露，成為網絡風暴、DDOS等攻擊對象。

三、結束語

網絡信息安全是一個綜合性的課題，也越來越受到人們的重視，網絡安全不僅僅是技術問題，同時也是一個安全管理問題。安全實際上就是一種風險管理，世界上不存在絕對安全的網絡系統。隨著計算機網絡技術的進一步發展，網絡安全防護技術也必然隨著網絡應用的發展而不斷發展。但任何技術手段都不能保證網絡信息1OO%的安全。然而，網絡安全的主動防護可以降低系統遭到破壞、攻擊的風險，主動、積極地將各種方面的保障策略結合起來，形成一個高效、通用、安全的網絡系統，將系統的風險要控制可控的范圍之內，才是網絡安全工作的必由之路。

參考文獻

[1]丁常福，方敏.防火墻與網絡入侵檢測聯動系統研究[J].航空計算技術.

[2]成衛青，龔儉.網絡安全評估[J].計算機工程，2008（2）.

[3]萬平國.網絡隔離與網閘[M].機械工業出版社，2005.

[4]龍冬陽.網絡安全技術及應用[M].廣州：華南理工大學出版社，2011.

[5]朱鳴.網絡安全現狀和發展[J].計算機應用與軟件，2009， 21（5）.