淺談計算機網(wǎng)絡的安全防護技術

◆李光燦

（重慶大學附屬三峽醫(yī)院信息數(shù)據(jù)部 重慶 404000）

1 引言

隨著計算機網(wǎng)絡的廣泛使用，不斷地增強網(wǎng)絡的安全防護技術有助于保證網(wǎng)絡信息的安全性。所以，不斷地研究探討網(wǎng)絡使用中的安全防護技術便非常有必要。

2 信息加密

加密是網(wǎng)絡安全的核心技術，是傳輸安全的基礎，包括數(shù)據(jù)加密、消息摘要、數(shù)字簽名和密鑰交換等，可以實現(xiàn)保密性、完整性和不可否認性等基本安全目標。

2.1 密碼學與密碼體制

密碼學是網(wǎng)絡信息安全的基礎，包括編碼學和分析學兩部分。密碼編碼學研究如何構造一個符合安全要求的密碼系統(tǒng)，密碼分析學試圖破譯加密算法和密鑰，兩者相互對立又相互促進。密碼體制是指加密系統(tǒng)采用的基本工作方式，由加密/解密算法和密鑰組成，按照加密密鑰是否可以公開，分為對稱加密體制和非對稱加密體制兩大類，也稱為單鑰體制和雙鑰體制。

2.2 數(shù)據(jù)加/解密技術

（1）加密算法：加密算法可分為對稱密鑰算法、公鑰算法、散列算法（消息摘要）等。

（2）網(wǎng)絡加密方式：網(wǎng)絡通信可在通信的三個不同層次實現(xiàn)加密，即鏈路加密、節(jié)點加密和端到端加密。

（3）密碼分析：密碼分析指在不知道解密密鑰的情況下，對加密信息進行解密，其目標是尋找密碼算法的弱點，并根據(jù)這些弱點對密碼進行破譯。

2.3 認證技術

認證技術是指用于驗證所傳輸數(shù)據(jù)的完整性的過程，一般分為消息認證和身份認證兩種技術。消息認證用于保證信息的完整性和不可否認性，它可以檢測信息是否被第三方篡改或偽造。消息認證包括消息認證碼、安全散列函數(shù)和數(shù)字簽名三大類。身份認證是指用戶要向系統(tǒng)證明他就是他所聲稱的用戶，包括身份識別和身份驗證。身份認證就是證實用戶的真實身份是否與其申明的身份相符的過程，是為了限制非法用戶訪問網(wǎng)絡資源，是其他所有安全機制的基礎。

2.4 公鑰基礎設施（PKI）

PKI是利用公鑰理論和技術，為網(wǎng)絡數(shù)據(jù)和其他資源提供信息安全服務的基礎設施。廣義上說，所有提供公鑰加密和數(shù)字簽名服務的系統(tǒng)都可以稱為PKI。PKI采用證書管理公鑰，通過認證機構（CA）把用戶的公鑰和其他標識信息綁定，實現(xiàn)用戶身份驗證。PKI很好地解決了對稱密碼技術中共享密鑰的分發(fā)管理問題，在具有加密數(shù)據(jù)功能的同時也具備數(shù)字簽名功能，目前已形成一套完整的互聯(lián)網(wǎng)安全解決方案。

3 訪問控制

訪問控制是網(wǎng)絡防護的核心策略。它基于身份認證，規(guī)定了用戶和進程對系統(tǒng)和資源訪問的限制，目的是保證網(wǎng)絡資源受控且合法地使用，用戶只能根據(jù)自身權限訪問系統(tǒng)資源，不能越權訪問。常見的訪問控制技術有：

（1）自主訪問控制：基于擁有者的訪問控制，擁有者可以將該資源的訪問權限隨意賦予其他主體，一般采用訪問控制矩陣實現(xiàn)，一行表示一個主體，一列表示一個受保護的客體。具體實現(xiàn)訪問控制矩陣的方法分為基于行的訪問能力表和基于列的訪問控制表兩種。

自主訪問控制在一定程度上實現(xiàn)了權限隔離和資源保護，但是其資源管理較為分散，沒有統(tǒng)一的全局控制。

（2）強制訪問控制：系統(tǒng)強制主體服從訪問控制政策。管理員根據(jù)主體和客體各自的安全屬性之間的關系，決定主體對客體能否執(zhí)行特定操作，不允許主體直接或間接修改自身或任何客體的安全屬性，也不能將自己擁有的訪問權限授予其他主體。強制訪問控制特別適合于多層次安全級的系統(tǒng)，其主要缺陷在于不夠靈活，實現(xiàn)工作量較大。

（3）基于角色的訪問控制：核心思想是將訪問權限與角色相聯(lián)系，包括三個實體，即用戶、角色和權限。角色是根據(jù)不同任務需要而設置的，用戶可以在角色間進行轉換，系統(tǒng)可以添加或刪除角色，也可以對角色的權限進行添加或刪除。基于角色的訪問控制具有以下特點：以角色作為訪問控制的主體；每個角色可以繼承其他角色權限；最小權限原則，即用戶權限不超過其執(zhí)行工作所需權限。

4 防火墻

防火墻是指在不同網(wǎng)絡或網(wǎng)絡安全域之間，對網(wǎng)絡流量或訪問行為實施訪問控制的一系列安全組件或設備，從技術上分類，它屬于網(wǎng)絡訪問控制機制。它通常工作在可信內(nèi)部網(wǎng)絡和不可信外部網(wǎng)絡之間的邊界，其所遵循的原則是在保證網(wǎng)絡暢通的前提下，盡可能保障內(nèi)部網(wǎng)絡的安全。它是一種被動的技術，也是一種靜態(tài)安全組件。

防火墻的主要功能有：（1）服務控制：只允許子網(wǎng)間相互交換與特定服務有關的信息。（2）方向控制：只允許由某個特定子網(wǎng)的終端發(fā)起的與特定服務相關的信息通過。（3）用戶控制：為每個用戶設定訪問權限，對訪問資源的用戶進行認證，實現(xiàn)用戶的訪問控制。（4）行為控制：對訪問資源的操作行為進行控制和記錄，可記錄各種非法活動，過濾非法內(nèi)容等。

防火墻也存在不少缺陷，主要包括：（1）不能防范不經(jīng)過防火墻的攻擊。（2）不能防范來自內(nèi)網(wǎng)的攻擊。（3）不能防范病毒、后門、木馬和數(shù)據(jù)驅動攻擊。（4）只能防范已知威脅，難以防御新的威脅。

5 入侵防御

入侵防御系統(tǒng)是指通過對行為、安全日志、審計數(shù)據(jù)或其他網(wǎng)絡上可以獲得的信息進行操作，檢測到對系統(tǒng)的入侵或入侵企圖，并及時采取行動阻止入侵。入侵防御系統(tǒng)是一種主動安全技術，不僅可以檢測來自外部的入侵行為，同時可以檢測來自網(wǎng)絡內(nèi)部用戶的未授權活動和誤操作，可有效彌補防火墻的不足。它通常與防火墻聯(lián)合，把攻擊攔截在防火墻外。與防火墻的不同之處在于，入侵防御主要檢測內(nèi)部網(wǎng)絡流的信息流模式，及時報警并通知管理員。

入侵防御系統(tǒng)的主要功能包括：（1）識別常用入侵和攻擊手段。（2）監(jiān)控并記錄網(wǎng)絡異常通信。（3）鑒別對系統(tǒng)漏洞或后門的利用。（4）實時對檢測到的入侵進行報警。（5）及時提供響應機制，阻止入侵繼續(xù)進行。

入侵防御系統(tǒng)目前還存在不少問題：（1）攻擊技術不斷更新，檢測手段容易被繞過，入侵防御系統(tǒng)很難及時跟蹤最新的攻擊技術。（2）入侵防御系統(tǒng)通常假設攻擊信息是明文傳輸?shù)模用艿膼阂庑畔⒖梢暂^輕松地逃避檢測。（3）網(wǎng)絡設備多樣化，入侵防御系統(tǒng)需要協(xié)調(diào)和適應多樣性的環(huán)境。（4）用戶需要入侵防御系統(tǒng)實時報警，因此需要對大規(guī)模數(shù)據(jù)實時分析。（5）各廠家各自為戰(zhàn)，缺乏統(tǒng)一的標準，使得產(chǎn)品間互通很困難。（6）大量的誤報和漏報使得發(fā)現(xiàn)真正的入侵非常困難。

6 惡意代碼防范

所謂惡意代碼實質(zhì)是一種在一定環(huán)境下可以獨立執(zhí)行的指令集或嵌入到其他程序中的代碼。惡意代碼可分為以下幾類：（1）不具有復制能力的依附性惡意代碼，包括木馬、邏輯炸彈、后門。（2）不具有復制能力的獨立性惡意代碼，包括木馬生成器、惡作劇、木馬、后門。（3）具有自我復制能力的依附性惡意代碼，包括病毒。（4）具有自我復制能力的獨立性惡意代碼，包括蠕蟲、惡意腳本、僵尸、計算機細菌。

針對不同類別的惡意代碼，防范方法各有不同，但是使用的防范技術類似，主要包括：（1）基于特征的掃描技術：反病毒引擎最常用的技術。首先建立惡意代碼的特征文件，在掃描時根據(jù)特征進行匹配查找。（2）校驗和法：在系統(tǒng)未被感染前，對檢測的正常文件生成其校驗和值，然后周期性地檢測文件的改變情況。（3）沙箱技術：根據(jù)可執(zhí)行程序需要的資源和擁有的權限建立程序的運行沙箱。每個程序都運行在自己的沙箱中，無法影響其他程序的運行，在沙箱中可以檢測和分析惡意代碼的行為。（4）基于蜜罐的檢測技術：蜜罐是虛擬系統(tǒng)，偽裝成有許多服務的服務器主機以吸引黑客攻擊，同時安裝強大的監(jiān)測系統(tǒng)，用于監(jiān)測惡意代碼的攻擊過程。

7 安全審計與查證

網(wǎng)絡安全審計是指在特定網(wǎng)絡環(huán)境下，為了保障網(wǎng)絡系統(tǒng)和信息資源不受外網(wǎng)和內(nèi)網(wǎng)用戶的入侵和破壞，運用各種技術手段實時收集和監(jiān)控網(wǎng)絡各組件的安全狀態(tài)和安全事件，以便集中報警、分析和處理的一種技術。它作為一種新的概念和發(fā)展方向，已經(jīng)出現(xiàn)許多產(chǎn)品和解決方案，如上網(wǎng)行為監(jiān)控、信息過濾等。

安全審計對于系統(tǒng)安全的評價、對攻擊源和攻擊類型與危害的分析、對完整證據(jù)的收集至關重要，其主要作用包括：（1）對潛在攻擊者起到震懾或警告作用。（2）對已發(fā)生的系統(tǒng)破壞行為提供有效證據(jù)。（3）提供有價值的日志，幫助管理員發(fā)現(xiàn)系統(tǒng)入侵行為或潛在系統(tǒng)漏洞。（4）提供系統(tǒng)運行的統(tǒng)計日志，發(fā)現(xiàn)系統(tǒng)性能的脆弱點。

安全審計主要包括以下內(nèi)容：（1）網(wǎng)絡設備審計：路由器、交換機、防火墻、入侵檢測設備、主機、服務器等，主要審計配置信息、用戶權限、鏈路帶寬等。（2）日志文件審計：日志記錄了系統(tǒng)運行情況，通過它可以檢查發(fā)生錯誤的原因，或發(fā)現(xiàn)攻擊痕跡。（3）安全威脅審計：未經(jīng)授權的資源訪問、未經(jīng)授權的數(shù)據(jù)修改和操作、拒絕服務等。

8 結束語

通過以上幾種網(wǎng)絡安全防護技術的使用，有效地解決了計算機網(wǎng)絡的安全問題。計算機網(wǎng)絡的安全防護是一項系統(tǒng)化的大工程，網(wǎng)絡安全防護技術需要不斷地研發(fā)與推進。現(xiàn)代的網(wǎng)絡使用者，對于隱蔽的網(wǎng)絡安全隱患的重視程度還有待提高，應該加強網(wǎng)絡安全防護技術的普及，營造安全的網(wǎng)絡使用環(huán)境。