網(wǎng)絡(luò)安全的技術(shù)與管理

趙 婧

（北京中電飛華通信有限公司，北京 100192）

0 引 言

隨著信息化時(shí)代的到來(lái)以及互聯(lián)網(wǎng)技術(shù)和應(yīng)用的不斷普及，云計(jì)算與大數(shù)據(jù)等數(shù)字化先進(jìn)技術(shù)推動(dòng)網(wǎng)絡(luò)空間的不斷延伸，但網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露等網(wǎng)絡(luò)安全問(wèn)題不斷加劇，網(wǎng)絡(luò)安全得到越來(lái)越多的重視。目前，已有很多專(zhuān)家學(xué)者致力于計(jì)算機(jī)網(wǎng)絡(luò)安全與防范的研究。其中，田言笑等人以大數(shù)據(jù)時(shí)代為出發(fā)點(diǎn)，討論了大數(shù)據(jù)時(shí)代背景下網(wǎng)絡(luò)安全出現(xiàn)的各種新問(wèn)題，并針對(duì)各種新的問(wèn)題與挑戰(zhàn)制定了具有針對(duì)性的方法策略[1]。張劍鋒和葉磊等人從網(wǎng)絡(luò)信息管理技術(shù)方面出發(fā)，深入分析其在網(wǎng)絡(luò)安全中的重要作用[2,3]。黃堅(jiān)福從企業(yè)的角度出發(fā)，重點(diǎn)分析互聯(lián)網(wǎng)對(duì)企業(yè)日常工作高效開(kāi)展的重要性，并提出針對(duì)企業(yè)的互聯(lián)網(wǎng)安全防范措施[4]。本文重點(diǎn)從網(wǎng)絡(luò)安全技術(shù)及管理兩方面出發(fā)，討論二者在網(wǎng)絡(luò)安全中的重要作用。

1 網(wǎng)絡(luò)安全相關(guān)概述

1.1 網(wǎng)絡(luò)安全的定義

網(wǎng)絡(luò)安全從本質(zhì)上講就是網(wǎng)絡(luò)上的信息安全。從廣義來(lái)說(shuō)，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性以及可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。

1.2 網(wǎng)絡(luò)安全問(wèn)題分析

目前，網(wǎng)絡(luò)安全問(wèn)題頻發(fā)，主要體現(xiàn)在以下幾點(diǎn)。

1.2.1 網(wǎng)絡(luò)安全技術(shù)缺陷

現(xiàn)存的各類(lèi)網(wǎng)絡(luò)安全技術(shù)主要針對(duì)某一特定方面，不能夠?qū)θ烤W(wǎng)絡(luò)安全問(wèn)題進(jìn)行普遍防備與處理。例如，身份認(rèn)證技術(shù)僅僅能夠?qū)τ脩舻纳矸葸M(jìn)行識(shí)別來(lái)防止非法人員的網(wǎng)絡(luò)入侵，而這一技術(shù)并不能有效識(shí)別用戶之間所傳遞信息的安全性。同樣的，病毒防御技術(shù)僅能夠識(shí)別和消滅相應(yīng)的計(jì)算機(jī)病毒，而并不能實(shí)現(xiàn)用戶識(shí)別功能。因此，技術(shù)方面的不全面導(dǎo)致了網(wǎng)絡(luò)安全問(wèn)題頻出。

1.2.2 黑客攻擊

黑客通過(guò)網(wǎng)絡(luò)入侵用戶計(jì)算機(jī)而引發(fā)的網(wǎng)絡(luò)安全問(wèn)題頻頻出現(xiàn)，其利用計(jì)算機(jī)網(wǎng)絡(luò)的薄弱點(diǎn)對(duì)用戶的計(jì)算機(jī)發(fā)起進(jìn)攻，入侵他人電腦，竊取有用信息，修改他人數(shù)據(jù)，成為網(wǎng)絡(luò)安全的重大隱患。

1.2.3 計(jì)算機(jī)病毒

計(jì)算機(jī)病毒出現(xiàn)于1990年后，具有很強(qiáng)的擴(kuò)散性與廣闊的延伸性，并且傳播速度迅速，難以根除，最終造成巨大的經(jīng)濟(jì)損失。病毒入侵計(jì)算機(jī)后，輕則影響計(jì)算機(jī)的工作效率，重則導(dǎo)致計(jì)算機(jī)重要文件和資料的丟失甚至計(jì)算機(jī)的癱瘓。

1.2.4 惡意軟件

不法之徒將帶有病毒的軟件以及間諜軟件通過(guò)網(wǎng)絡(luò)進(jìn)行傳播，達(dá)到破壞用戶電腦的報(bào)復(fù)性目的。通過(guò)間諜軟件能夠獲取用戶的基本信息甚至財(cái)務(wù)信息，最終達(dá)到獲利的目的。

2 網(wǎng)絡(luò)安全的技術(shù)

網(wǎng)絡(luò)安全技術(shù)有很多種類(lèi)型，主要包括如下幾種方式。

2.1 物理安全策略

所謂的物理安全策略，指的是對(duì)計(jì)算機(jī)體系、計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器以及掃描儀等硬件實(shí)體和通信線路的保護(hù)，以防止它們受到天然危害破壞和人工損壞等。同時(shí)驗(yàn)證用戶的身份，并對(duì)其設(shè)計(jì)計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用權(quán)限，防止不法分子違規(guī)操作計(jì)算機(jī)，從而保證網(wǎng)絡(luò)體系有一個(gè)優(yōu)良的工作環(huán)境。

2.2 訪問(wèn)控制策略

所謂的訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的重要策略，它的重要任務(wù)是保證網(wǎng)絡(luò)資源不被不法應(yīng)用和黑客探訪。目前，針對(duì)黑客入侵及不法軟件破壞等現(xiàn)象，出現(xiàn)了很多訪問(wèn)控制前沿技術(shù)，如最小權(quán)限技術(shù)和安全管制技術(shù)等。前者根據(jù)用網(wǎng)需求為用戶分配最小的網(wǎng)絡(luò)訪問(wèn)權(quán)限以保障網(wǎng)絡(luò)的安全，后者能夠判斷所有正在訪問(wèn)網(wǎng)絡(luò)的用戶，這些用戶的訪問(wèn)權(quán)限均被本計(jì)算機(jī)擁有者所管理，只有經(jīng)過(guò)本機(jī)擁有者授權(quán)，方可獲得網(wǎng)絡(luò)訪問(wèn)權(quán)限。若訪問(wèn)者對(duì)網(wǎng)絡(luò)不利，則防火墻能夠自動(dòng)發(fā)出警告，計(jì)算機(jī)擁有者只需撤銷(xiāo)該訪問(wèn)者的訪問(wèn)權(quán)限即可保障網(wǎng)絡(luò)的安全。這些策略通過(guò)控制用戶的訪問(wèn)、識(shí)別用戶的身份以及合理配置用戶間的網(wǎng)絡(luò)資源實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的防范。此處以入侵檢測(cè)技術(shù)為例，分析訪問(wèn)控制策略中前沿技術(shù)的應(yīng)用[5]。

目前，網(wǎng)絡(luò)攻擊和入侵的手段十分復(fù)雜，常見(jiàn)的如病毒入侵、惡意代碼、拒絕服務(wù)（Denial of Service，DoS）、欺騙、遠(yuǎn)程登錄攻擊、郵件服務(wù)器攻擊以及Web服務(wù)攻擊等，這些入侵輕則會(huì)導(dǎo)致數(shù)據(jù)丟失，重則將引發(fā)系統(tǒng)的癱瘓。因此，針對(duì)網(wǎng)絡(luò)入侵問(wèn)題，需要建立完善的入侵檢測(cè)系統(tǒng)以確保網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行[6-8]。

入侵檢測(cè)系統(tǒng)主要包括傳感器和控制器兩大部分。其中，傳感器主要負(fù)責(zé)對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行監(jiān)聽(tīng)與分析，一旦發(fā)現(xiàn)網(wǎng)絡(luò)受到入侵或者攻擊會(huì)立即作出報(bào)警，并按照預(yù)先設(shè)定的安全響應(yīng)規(guī)則作出相應(yīng)的應(yīng)對(duì)。控制器的主要作用是統(tǒng)計(jì)和分析所接收的報(bào)警數(shù)據(jù)，同時(shí)還能夠?qū)鞲衅鬟M(jìn)行參數(shù)設(shè)置以應(yīng)對(duì)不同入侵的檢測(cè)。

辦公網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)工作原理如圖1所示。首先傳感器通過(guò)偵聽(tīng)端口對(duì)辦公網(wǎng)絡(luò)數(shù)據(jù)偵聽(tīng)，偵聽(tīng)端口接收網(wǎng)絡(luò)數(shù)據(jù)包被傳感器接收、儲(chǔ)存并分析。其次傳感器對(duì)數(shù)據(jù)包的屬性進(jìn)行檢測(cè)，通常包括長(zhǎng)度、來(lái)源、目標(biāo)地址以及內(nèi)容等，并匹配分析數(shù)據(jù)包攻擊特性，分析包狀態(tài)和協(xié)議狀態(tài)等，檢測(cè)流量異常情況。再次發(fā)現(xiàn)網(wǎng)絡(luò)流量中的可疑行為后觸發(fā)響應(yīng)器，同時(shí)向控制臺(tái)發(fā)送報(bào)警信息，入侵檢測(cè)系統(tǒng)響應(yīng)器根據(jù)攻擊行為作出處理，如偽造ICMP應(yīng)答、啟動(dòng)防火墻以及中斷TCP會(huì)話等。最后控制器分析每次入侵?jǐn)?shù)據(jù)及響應(yīng)數(shù)據(jù)，不斷調(diào)整傳感器的響應(yīng)策略，以完善入侵檢測(cè)系統(tǒng)。

圖1 辦公網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)工作原理圖

2.3 信息加密策略

信息加密指的是以保護(hù)網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)、重要文件、口令以及重要控制信息，確保網(wǎng)絡(luò)傳輸數(shù)據(jù)安全為目的的網(wǎng)絡(luò)安全防范策略。目前，信息加密策略方面所應(yīng)用的前沿技術(shù)包括對(duì)稱(chēng)加密技術(shù)和非對(duì)稱(chēng)加密技術(shù)，其中對(duì)稱(chēng)加密技術(shù)的典型代表為數(shù)據(jù)加密標(biāo)準(zhǔn)（Data Encryption Standard，DES），非對(duì)稱(chēng)加密技術(shù)的典型代表為基于RSA加密技術(shù)[9]。

信息加密技術(shù)大多應(yīng)用于企業(yè)客戶信息加密，系統(tǒng)主要由服務(wù)端和用戶計(jì)算機(jī)組成，服務(wù)器負(fù)責(zé)對(duì)用戶的文件進(jìn)行配置、加密以及解密等。服務(wù)端的加密服務(wù)流程如圖2所示，主要包括文件分析、文件分塊、文件提取以及建立列表4個(gè)子流程。其中，文件分析主要實(shí)現(xiàn)文件是否加密的判斷，若文件已經(jīng)加密，則需要對(duì)其進(jìn)行加密算法分析，以判斷與服務(wù)器當(dāng)前的算法是否沖突，實(shí)現(xiàn)算法之間的完美銜接。文件提取主要實(shí)現(xiàn)文件的進(jìn)一步操作，如調(diào)用和執(zhí)行等。列表建立主要用于記錄各個(gè)文件的加密過(guò)程所執(zhí)行的操作等，方便后期的解密操作。

圖2 加密服務(wù)流程圖

2.4 軟件定義數(shù)據(jù)

數(shù)據(jù)中心網(wǎng)絡(luò)是一套復(fù)雜的系統(tǒng)，其不僅能夠?yàn)榉?wù)器提供整合平臺(tái)，同時(shí)能夠高效進(jìn)行事務(wù)處理、數(shù)據(jù)查詢(xún)以及技術(shù)搜索。承載著巨大數(shù)據(jù)的數(shù)據(jù)中心的網(wǎng)絡(luò)安全問(wèn)題尤為重要，一旦遭到入侵，后果將會(huì)不堪設(shè)想。因此，數(shù)據(jù)中心網(wǎng)絡(luò)的安全將比一般辦公環(huán)境網(wǎng)絡(luò)安全更為嚴(yán)格與復(fù)雜。

數(shù)據(jù)中心網(wǎng)絡(luò)安全架構(gòu)如圖3所示。當(dāng)使用SDN時(shí)，SDN控制器也是數(shù)據(jù)中心管理的一部分。用戶虛擬機(jī)運(yùn)行于Hypervisor之上，并連接到虛擬網(wǎng)絡(luò)。網(wǎng)絡(luò)安全服務(wù)需要在數(shù)據(jù)中心中部署安全服務(wù)控制平面、引流平面以及服務(wù)平面。控制平面與數(shù)據(jù)中心管理平臺(tái)進(jìn)行信息交互，并配置服務(wù)平面的功能。安全架構(gòu)的引流平面并不引入新的模塊，而是使用數(shù)據(jù)中心現(xiàn)有的虛擬網(wǎng)絡(luò)單元，通過(guò)調(diào)用虛擬交換機(jī)API或SDNAPI進(jìn)行引流配置。安全服務(wù)平面的安全服務(wù)模塊分布于多個(gè)物理機(jī)上，接受控制平面的控制和配置，在某些場(chǎng)景下模塊間會(huì)有必要的通信[10]。

圖3 數(shù)據(jù)中心網(wǎng)絡(luò)安全架構(gòu)

3 網(wǎng)絡(luò)安全管理策略

為了進(jìn)一步保障網(wǎng)絡(luò)安全，在前沿技術(shù)應(yīng)用的同時(shí)，需要規(guī)范化的網(wǎng)絡(luò)管理策略。一方面保障各單位和各部門(mén)之間的網(wǎng)絡(luò)安全權(quán)責(zé)匹配，另一方面保障各前沿技術(shù)能夠更順利地實(shí)施。

3.1 以政府為主導(dǎo)的網(wǎng)絡(luò)安全多種機(jī)制

隨著網(wǎng)絡(luò)安全的發(fā)展，我國(guó)已經(jīng)有了很多專(zhuān)業(yè)負(fù)責(zé)管理的部門(mén)，但是各個(gè)部門(mén)之間的安全情報(bào)以及前沿技術(shù)無(wú)法實(shí)現(xiàn)及時(shí)的共享。因此，需要盡快成立聯(lián)合部門(mén)以實(shí)現(xiàn)各部門(mén)之間網(wǎng)絡(luò)安全信息和技術(shù)的共享，如可以成立以中央為核心的網(wǎng)絡(luò)安全管理部門(mén)，集中協(xié)調(diào)與管理各個(gè)部門(mén)的網(wǎng)絡(luò)安全維護(hù)，評(píng)估部門(mén)的網(wǎng)絡(luò)安全技術(shù)，以保障其有足夠的網(wǎng)絡(luò)安全事故應(yīng)對(duì)能力。同時(shí)，可以組織各部門(mén)之間進(jìn)行相互學(xué)習(xí)借鑒，確保前沿技術(shù)的普及與推廣。由該小組協(xié)調(diào)各政府部門(mén)及民事機(jī)構(gòu)落實(shí)國(guó)家的網(wǎng)絡(luò)安全政策，協(xié)調(diào)和整合各個(gè)網(wǎng)絡(luò)安全專(zhuān)職機(jī)構(gòu)的信息，然后集中分析和評(píng)估信息，找出可能的安全隱患，對(duì)網(wǎng)絡(luò)系統(tǒng)問(wèn)題的發(fā)展作出預(yù)判，分析并上報(bào)全國(guó)網(wǎng)絡(luò)空間的運(yùn)行狀況，做到合理部署與統(tǒng)一行動(dòng)。

此外，中央有關(guān)職能部門(mén)應(yīng)當(dāng)采取積極的措施，充分調(diào)動(dòng)地方各個(gè)部門(mén)及民間機(jī)構(gòu)，加強(qiáng)對(duì)網(wǎng)絡(luò)安全的管理，以應(yīng)對(duì)各種網(wǎng)絡(luò)威脅。協(xié)助各部門(mén)進(jìn)行網(wǎng)絡(luò)安全相關(guān)的建設(shè)，如技術(shù)的推廣和職員的培訓(xùn)，提高其對(duì)網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)漏洞的應(yīng)對(duì)能力、對(duì)前沿技術(shù)的應(yīng)用能力以及對(duì)于網(wǎng)絡(luò)安全新技術(shù)的創(chuàng)新能力。此外，盡量將網(wǎng)絡(luò)安全事故扼殺在地方層級(jí)，避免事故的擴(kuò)大化。更重要的是，在充分調(diào)動(dòng)各部門(mén)應(yīng)對(duì)網(wǎng)絡(luò)安全事故的同時(shí)，能夠?qū)W(wǎng)絡(luò)安全管理進(jìn)行權(quán)責(zé)分配，實(shí)現(xiàn)網(wǎng)絡(luò)安全集中管理，網(wǎng)絡(luò)安全安全管理責(zé)任追蹤定位。

3.2 政策引導(dǎo)技術(shù)創(chuàng)新

網(wǎng)絡(luò)安全如今已成為備受關(guān)注的焦點(diǎn)，前沿技術(shù)的推行固然能夠提高網(wǎng)絡(luò)安全，然而新技術(shù)的產(chǎn)生往往需要國(guó)家政策的積極引導(dǎo)，只有這樣才能不斷引導(dǎo)網(wǎng)絡(luò)安全技術(shù)的創(chuàng)新。因此，為了保障網(wǎng)絡(luò)安全技術(shù)的實(shí)施，國(guó)家應(yīng)當(dāng)不斷推行新的管理政策。

首先，加強(qiáng)網(wǎng)絡(luò)安全意識(shí)。對(duì)于不同的網(wǎng)絡(luò)，所面臨的的網(wǎng)絡(luò)態(tài)勢(shì)也有所不同，但是在不同的態(tài)勢(shì)之間都能夠體現(xiàn)出一個(gè)共性特點(diǎn)，那就是網(wǎng)絡(luò)安全環(huán)境的復(fù)雜化。對(duì)于網(wǎng)絡(luò)安全的管理要認(rèn)清網(wǎng)絡(luò)安全的復(fù)雜化，提高安全意識(shí)。通常，從使用者的角度出發(fā)，網(wǎng)絡(luò)可以分為專(zhuān)用網(wǎng)絡(luò)和普通網(wǎng)絡(luò)，專(zhuān)用網(wǎng)絡(luò)諸如軍用網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)等，普通網(wǎng)絡(luò)也就是人們通常所使用的互聯(lián)網(wǎng)絡(luò)。雖然網(wǎng)絡(luò)用途不同，但是都會(huì)面臨著網(wǎng)絡(luò)安全問(wèn)題，因此對(duì)于網(wǎng)絡(luò)安全的管理，提高全民個(gè)人的網(wǎng)絡(luò)安全意識(shí)尤為重要。

其次，強(qiáng)化網(wǎng)絡(luò)安全薄弱環(huán)節(jié)的管理。一是要強(qiáng)化網(wǎng)絡(luò)安全易發(fā)區(qū)域的管理與應(yīng)對(duì)，其中包括系統(tǒng)漏洞的檢查與升級(jí)等。二是強(qiáng)化綜合性監(jiān)測(cè)，雖然網(wǎng)絡(luò)具有普遍的安全問(wèn)題，但是對(duì)于網(wǎng)絡(luò)使用者而言，不同的使用者還會(huì)面臨特殊的問(wèn)題，因此除了網(wǎng)絡(luò)安全綜合管理之外，還需要針對(duì)不同的用戶制定不同的安全管理策略。三是系統(tǒng)性防范，網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)性的工程，對(duì)于網(wǎng)絡(luò)安全的管理應(yīng)當(dāng)對(duì)已經(jīng)發(fā)生的歷史性網(wǎng)絡(luò)安全事故進(jìn)行不斷追溯，在動(dòng)態(tài)推斷中引導(dǎo)各單位全方位的關(guān)注網(wǎng)絡(luò)安全。

最后，規(guī)范前沿技術(shù)的創(chuàng)新行為。技術(shù)創(chuàng)新可以強(qiáng)化網(wǎng)絡(luò)安全，但一切創(chuàng)新都應(yīng)該受到政策的約束。運(yùn)用政策引導(dǎo)規(guī)范創(chuàng)新行為一般需要關(guān)注以下兩方面的問(wèn)題。一方面要規(guī)范創(chuàng)新人才培養(yǎng)實(shí)踐，由于技術(shù)創(chuàng)新需要?jiǎng)?chuàng)新人才的支撐，因而在政策引導(dǎo)的層面上應(yīng)該規(guī)范創(chuàng)新人才的培養(yǎng)問(wèn)題，包括創(chuàng)新人才的培養(yǎng)方式、培養(yǎng)途徑以及使用等。另一方面要規(guī)范創(chuàng)新中的技術(shù)知識(shí)產(chǎn)權(quán)保護(hù)，在網(wǎng)絡(luò)安全的技術(shù)創(chuàng)新中，規(guī)范知識(shí)產(chǎn)權(quán)的保護(hù)一般也需要關(guān)注預(yù)防網(wǎng)絡(luò)安全創(chuàng)新技術(shù)成果的保護(hù)以及創(chuàng)新過(guò)程中對(duì)引進(jìn)技術(shù)和成果產(chǎn)權(quán)的政策性保護(hù)等問(wèn)題。

4 結(jié) 論

網(wǎng)絡(luò)安全是重要的問(wèn)題，也是長(zhǎng)期性的問(wèn)題，需要從技術(shù)創(chuàng)新和政策引導(dǎo)等方面不斷完善。在互聯(lián)網(wǎng)時(shí)代，只有從技術(shù)手段和管理手段兩個(gè)方面共同應(yīng)用，才能真正保障網(wǎng)絡(luò)的安全性，最大限度地維護(hù)網(wǎng)絡(luò)秩序。