互聯網安全防御技術的分析

◆王 剛

（陜西省漢中市郵政局 陜西 723000）

互聯網安全防御技術的分析

◆王 剛

（陜西省漢中市郵政局 陜西 723000）

隨著互聯網技術的不斷發展，郵政的傳統業務和金融業務必須依托互聯網平臺，進一步拓展各類業務的服務渠道。因此，互聯網的安全問題引起了管理層的高度關注，本文對互聯網面臨的安全問題進行了論述，討論了常見的攻擊類型和安全防御技術，并提出了互聯網安全方案，對郵政信息網建立完善的安全防護體系具有一定的參考價值。

郵政；互聯網；攻擊；防御技術；安全方案

0 引言

郵政企業信息化建設的日益深入和互聯網技術的普及，給郵政的傳統業務和金融業務的發展，提供了新的渠道，互聯網+郵政業務是企業轉型升級、拓展市場的較好方式。但與此同時，各種網絡安全問題也頻繁出現，郵政信息網面臨嚴重的安全隱患，所以，針對互聯網安全防御技術展開分析具有非常重要的現實意義。

1 互聯網安全概述

互聯網安全從本質上來講就是互聯網上諸多信息的安全。從廣義角度而言，只要與互聯網上信息的保密性、完整性、實用性及可控性等相關的技術都是其研究的范圍。它是一門涉及計算機科學、網絡技術、應用數學、信息安全等綜合性的學科。

2 傳統互聯網管理模式存在的主要問題

隨著計算機在各行各業不斷滲入的趨勢下，網絡安全防御技術的重要性也日益凸現出來，在這幾年里盡管發展速度很快但依然存在著很多問題。主要有：（1）被動防御，從硬件還是軟件，傳統管理都可理解為被動的、防守式的管理。其特點是應急式、救火式，屬于事后管理方式。缺乏對風險點和系統脆弱性的事前評估和監控。（2）軟硬件無法聯動，網絡系統的軟件和硬件相互隔離，獨成體系，存在嚴重的安全隱患。比如，發生ARP欺騙地址攻擊時，由于軟硬件無法聯動，不能迅速定位攻擊源，導致病毒泛濫。（3）實時網絡監控系統缺失，接入互聯網的計算機均安裝了防病毒軟件，但并未配備防病毒服務器進行有效管理，無法掌握系統安全防范的實時狀況。有些計算機長期未進行系統補丁、病毒庫升級操作，為非法攻擊提供了機會。

由于傳統互聯網管理模式存在上述問題，造成了如下安全隱患：（1）防火墻被黑客攻擊給互聯網安全保障帶來了極大的威脅。（2）入侵檢測技術不成熟，誤報和漏報概率過高。（3）網絡流量大致使檢測分析難度增加。（4）既有的網絡完全防御系統漏洞過多。

3 互聯網常見攻擊類型

3.1 木馬攻擊

木馬程序對互聯網用戶來說并不陌生，它是潛伏在計算機系統中，當系統啟動后隱藏在某特設系統端口內，當木馬程序接收到指示后，會將目標數據進行復制、竊取密碼等隱蔽性操作。

3.2 拒絕服務攻擊

它是利用防御不足的網絡端口使正在運行的計算機癱瘓，導致其死機或無法響應的狀態。拒絕服務器攻擊行為通常是將一段設定好的代碼發送到網絡服務器終端，從而使網絡服務器向目標計算機發送大量需要回復的信息，如此一來，帶寬全部被其占用，那么互聯網或者計算機勢必會癱瘓。

3.3 入侵攻擊

入侵攻擊是指攻擊者將事先設定好的程序，通過多種途徑取得計算機控制的權限，然后使用該程序對目標信息進行復制、竊取等操作。

3.4 緩沖區溢出攻擊

它是指向目標程序的緩沖區內發送超限長度的內容，導致緩沖區由于內容過長無法將其正常處理，從而使程序執行其它的指令，比如root權限被攻擊。

3.5 欺騙攻擊

欺騙攻擊是指通過TCP、UDP協議出現的漏洞，對用戶經常使用的網絡進行攻擊，其主要的攻擊方式是通過DNS欺騙，IP欺騙等手段來實現的。

4 網絡安全防御技術

近年來，互聯網安全遭受攻擊的事件頻繁發生，攻擊手段多種多樣，網絡安全防御技術的發現尤為迫切[1]。筆者將參考國內外相關資料的心得與實踐經驗相結合，將大致可以分為兩類：傳統防御和主動防御。

4.1 傳統防御技術

（1）防火墻技術

圖1 漢中郵政互聯網接入拓撲圖

防火墻技術是使用互聯網的用戶最熟知的，它是內外網絡交互的一道屏障，用來保護內部信息不被惡意侵犯的系統[2]。防火墻系統主要由分組過濾和代理服務兩種技術組成。前者是在路由器的基礎之上，使用分組過濾路由器將同一個IP的源代碼、目的代碼及相關協議進行分組后，進行設定允許或者拒絕通過的權限。而代理服務技術是將某一個高層的應用網關作為代理，在外來用戶申請時，系統根據判定后允許其互聯的一種方式，外部用戶一直處于受控狀態。如圖1所示，為漢中郵政互聯網接入拓撲結構。

（2）訪問控制

互聯網安全防御技術手段的核心就是訪問控制，它可以使外來用戶在不被允許的情況下無法使用、訪問網絡內部資源[3]。訪問控制技術主要包括入網權限控制、訪問權限控制、目錄級安全控制、網絡端口及節點的安全控制等。它可以根據互聯網實際使用情況及所處的網絡環境，進行自由靈活的設置和掌控。如圖2所示，為漢中郵政信息網與第三方連接拓撲結構。

圖2 漢中郵政信息網與第三方連接拓撲圖

（3）入侵檢測技術

入侵檢測技術是通過對計算機系統或者是互聯網上各類信息的關鍵點進行收集并分析，從中找到危害互聯網安全的跡象。從技術的角度進行劃分，入侵監測分為異常檢測和特征檢測兩種檢測模型：前者檢測模型漏報數據概率比較低，但是報送異常概率失誤率很高。而后者是將所有已經獲得的攻擊性特征組成一個特征庫，然后將其截獲的異常特征與特征庫中的特征一一對比后，以此判斷是否為惡意入侵或者是病毒性攻擊。

4.2 主動防御技術

隨著科技水平的不斷提高，主動防御技術取得了長足的進步，已經成為網絡安全領域的一個研究熱點，獲得了人們的普遍關注。所謂主動防御技術指的是，可以在第一時間發現并找出進行中的有關網絡攻擊行為，且能夠對潛在攻擊進行預測和識別，并能采取針對性動作使攻擊者無法達成目的一系列技術措施。相較傳統防御技術而言，主動防御技術在思想方面和技術方面取得了極大突破，有效彌補了傳統防御中的諸多不足。在主動防御技術得以廣泛應用的背景下．互聯網安全邁入了一個更好的發展時期，可以預測，主動防御技術將是網絡安全防御技術的一個主流發展方向。主動防御技術中，最常見的包括以下幾種：

（1）入侵防護技術（IPS）

IPS是通過一個網絡端口將來自外部體系的流量進行檢查，只要確認它的安全性，外部體系的流量會通過另外一個端口直接與內部系統接軌。IPS是直接嵌入網絡，而非利用其它介質間接進入內部系統。因此，IPS一旦發現惡意入侵，就會根據入侵特性創建新的過濾器。若有攻擊者通過Layer2（介質訪問控制）至Layer7（應用）的漏洞發起對內部互聯網的攻擊，IPS能夠深入數據流中進行詳細檢查的同時對其進行阻攔。

（2）蜜罐技術

蜜罐是新興的互聯網安全防御技術，它可以進行動態識別未知攻擊信息，將未知攻擊信息及時地反饋給互聯網防護體系，實現防護能力的動態提高。蜜罐技術與其它防御技術不同，它允許攻擊者侵入，在侵入過程中蜜罐會主動學習并詳盡地記錄攻擊行為相關的信息。在此基礎上系統自行分析后，調整互聯網安全防御手段，從而提高系統安全性能。

（3）計算機取證技術

計算機取證技術與法律取證有異曲同工之妙，取證技術就是基于此基礎上發展起來的，它包括靜態和動態兩種取證技術。前者是在已經遭受攻擊的形勢下，獲取相關入侵數據對其分析、確認、抽檢等各種途徑進行分析取證。而動態取證技術則是在未遭受攻擊的互聯網上植入代理，一旦遭受攻擊，系統和代理會將攻擊數據進行記錄，然后根據記錄的日志文件對已經遭受修改、刪除、復制的文件最大限度地進行還原。最后將這些入侵日志進行保存作為取證的證據。

5 互聯網安全方案設計

5.1 設計原則

以統一管理、主動防御、協同檢測、快速響應為目標，制定互聯網整體安全解決方案，由安全的操作系統、應用系統、防火墻、入侵檢測、網絡監控、安全掃描等組件組成。目前郵政信息網建立了較為完善的安全防護體系，設置有防病毒服務器進行有效管理，接入生產網的計算機都安裝了趨勢防病毒套件，對于第三方接入采取了防火墻技術。郵政信息網安全防護遵循三個原則：全面防護原則、先進性原則、可擴展性原則。如圖3 所示，為漢中郵政信息網安全防范拓撲結構。

圖3 漢中郵政信息網安全防范拓撲圖

5.2 安全措施

配備最新版本的防病毒服務器，在計算機上安裝防病毒客戶端，并接受統一管理。通過主動尋找入侵信號，實現內外部攻擊和誤操作的安全防護。通過IP、MAC交換機端口等的綁定[4]，確保接入互聯網用戶身份的合法性，杜絕IP地址沖突、非法用戶登錄等問題，發生攻擊時能迅速鎖定事件責任人。生成漏洞掃描風險評估報告，幫助管理員及時發現網絡中存在的安全隱患，并進行安全加固。

6 結束語

互聯網信息化已經深入到人們生活的每個角落，而互聯網安全防御技術無時無刻都在面臨諸多挑戰和威脅。安全與反安全就像矛盾的綜合體相互纏繞。但只要我們保持清醒的認識，認清互聯網的脆弱性和潛在風險．采用合理有效的安全防御技術，并建立完善的互聯網管理體制，就可以有效地預防安全問題的出現，將風險及損失降到最小。

[1]單振輝.計算機網絡安全的防御技術[J].計算機系統應用，2012.

[2]張欣，褚梅.淺談計算機網絡安全與防御[J].福建電腦，2010.

[3]黃成兵.計算機網絡安全與防御分析[J].福建電腦，2011.

[4]石瑋.淺談計算機網絡安全與防御技術[J].計算機光盤軟件與應用，2010.