部隊通信工作中的網絡安全防護探究

楊 禎

（中國人民解放軍69270部隊，新疆 喀什 844000）

0 引 言

在不同年代，部隊通信均是不法分子、國外惡勢力攻擊與破壞的對象。隨著現代戰爭形勢發生改變，強化部隊通信網絡安全防護是軍事現代化建設的核心，也是衡量一個國家軍工發展水平的重要指標。為保證部隊通信能夠順利完成信息搜集處理、戰場模擬、作戰預警等任務，探究部隊通信中網絡安全防護具有重大現實意義。

1 部隊通信中網絡安全防護現狀

現代軍事工作對信息系統有著較強的依賴，從而使網絡安全防護愈發重要。但目前我國部隊通信中網絡安全防護在計算機系統建設上、使用操作上均存在明顯的缺陷，具體如下文所述。

1.1 計算機系統缺陷

近年來，我國部隊通信技術水平有了顯著提高，但與國際上先進技術之間仍然存在差距，主要表現則是計算機系統內的CPU芯片、通信軟件等核心配置以及硬件設施大多來自進口，成為威脅我國部隊網絡通信安全的重大隱患[1]。病毒及網絡入侵技術水平的提高使諸多郵件、網頁、文件中均可攜帶惡意程序，一旦加載則可在系統中復制與擴散，潛藏在系統內盜取或篡改信息、破壞系統程序，甚至有些病毒能夠基于感染、入侵計算機系統對整個通信網絡造成破壞。目前，常見的入侵方式主要有以下3種。

（1）特洛伊木馬。通過偽裝、誘騙手段欺騙操作者啟動，隨后則隱藏在系統中，在操作者無任何察覺的情況下掌握系統控制權、程序訪問權限，并植入惡意軟件。由于其能夠模仿正規程序或軟件功能，因此不易被發現。現階段特洛伊木馬有破壞型、密碼發送型、遠程訪問型以及鍵盤記錄型，會對計算機系統乃至通信網絡產生不同程度的破壞[2]。

（2）分布式拒絕服務攻擊。分布式拒絕服務（Distributed Denial of Service，DDoS）攻擊十分流行，其通過合理的服務請求將系統全部服務資源占用，導致合法用戶無法快速獲得服務響應，進而采取攻擊。DDoS攻擊運行原理如圖1所示。黑客入侵到通信網絡主機后通過植入木馬實現對其他傀儡機的入侵，當控制數量達到一定標準時，則開始對目標機器展開攻擊，大量的無效服務請求將使目標機陷入崩潰。若未能攻擊成功，追查過程中也只能確定其攻擊的目標對象，無法追擊到攻擊者行蹤。

圖1 DDoS攻擊運行原理

（3）地址解析協議攻擊。部隊通信網絡中所用局域網數據以幀為單位進行傳輸，保存的主要內容則是MAC地址。兩臺主機在以太網內完成數據傳輸，為避免暴露IP地址，依靠MAC地址完成傳輸工作。而從IP轉換為MAC地址則通過地址解析協議（Address Resolution Protocol，ARP）實現，若出現ARP欺騙，則會導致網絡出現頻繁掉線或大范圍不通情況。欺騙的主要對象是路由器和內網PC網關，通過欺騙可截獲網關數據包，從而虛構出MAC地址，導致傳輸內容失真，無法完成通信活動。如果偽造網關將錯誤的網關地址傳輸到局域網內，其他計算機則無法傳輸數據[3]。

網絡傳輸依靠多個網絡節點實現，每個節點均有可能遭受入侵、偵聽。在信息泄露的控制上，也缺少可靠的技術手段，其中存在的有用信息內容會被不法分子接收并重顯。TCP/IP協議是互聯網最基本的協議，其網絡層以IP協議為基礎，傳輸層以TCP協議為基礎，需要通過3次握手在信息傳輸中建立起連接。

第1次握手發送報文：IP地址為192.168.1.134的客戶主機發出連接請求，目標主機為server、目標端口為telnet，發送初始序列號為674326589。

第2次握手發送報文：目標主機server回發SYN報文段應答，初始序號為1449940077，并設置確認序號為674326589+1=674326590。

第3次握手發送報文：客戶通過對序號1449940077+1=1449940078的確認完成對服務器SYN報文段的確認。

完成以上3步則可傳輸數據，整個過程中TCP的狀態變遷如圖2所示。

圖2 TCP協議狀態變遷

但在整個過程中存在諸多安全隱患，例如文件傳輸協議（File Transfer Protocol，FTP）協議服務過程中，其以客戶機/服務器為基礎架構，對于平臺無關數據進行傳輸，通常安全問題出現在匿名FTP傳輸中，由于不提供用戶信息，可能傳輸攜帶木馬內容，缺少對訪問權限嚴格、有效的控制，且用戶名以及密碼等機密信息的傳輸均采用明文方式，使泄漏、被盜等安全問題發生概率更高[4]。

1.2 使用操作存在缺陷

一些使用者在系統操作上存在不規范行為也成為網絡遭受攻擊的重要原因。目前部隊將網絡通信建設的重點定位為軟件、硬件的開發，忽視對使用者的管理與規范。同時，針對網絡系統中存在的安全問題，國家出臺相關法律法規進行約束，指導部隊約束網絡通信行為。由于人才匱乏、缺少科學的網絡運行管理機制、安全控制不到位，因此出現問題時無法快速響應、采取規范且有效的解決方法。此外，使用者缺乏安全意識，安全軟件未能及時升級、數據庫過期未能及時更新、未進行高安全等級數據備份等，使通信信息遭受嚴重的安全威脅[5]。

2 加強網絡安全防護建設的策略

2.1 改進計算機系統

2.1.1 確立數據加密與分級安全制度

目前，國際上先進的部隊通信網絡安全防護措施是通過嚴格的權限等級制度對系統與網絡的訪問、使用進行控制。根據部隊通信的特點構建起等級明確的分級管控制度，保障網絡通信安全。具體來講，明確部隊通信中每一級人員的使用權限，嚴禁跨越級別接觸通信信息與內容。通過信息加密算法對數據進行有效加密與合理隱藏，加強傳輸過程中對信息安全的保障，避免出現信息泄漏、被盜、被篡改。

2.1.2 安裝防病毒軟件以及防火墻

在通信網絡中為主機安裝殺毒軟件是減少系統遭受入侵的重要手段，通過殺毒軟件能夠對網絡內連接的所有系統進行統一殺毒，并對網絡展開實時監控，將病毒入侵的可能性控制在最低。防火墻也是網絡安全防護的重要工具，目前在實際中應用防火墻能夠對內部網絡傳輸中各個階段展開強有力的控制，審核所有流進流出的數據包信息、網絡流量、IP地址等，有利于維護信息傳輸秩序，提升數據安全性[6]。

2.1.3 運用路由器與虛擬專用網絡技術

路由器的應用使網絡傳輸更加便捷，為了保障使用安全，應采用密碼算法以及加/解密專用芯片，對廣播數據包以及不能確定地址的信息數據包進行嚴格控制。目前，我國網絡設備的開發能力較強，華為、中興等網絡科技公司提供的產品均具有一定的可靠性與安全性優勢，可在軍用網絡中應用。而針對虛擬網絡也應建設專用傳輸通道，可預防信息被篡改、被泄露。

2.1.4 安裝入侵檢測與誘騙系統

殺毒軟件、防火墻、路由器等設施為通信網絡提供的防護屬于靜態防護，只能被動應對安全問題，無法對系統內存在的安全風險進行主動監測。基于此，需要通過入侵檢測系統與誘騙系統追蹤攻擊行為和入侵路徑，提供實時保護，全面降低安全風險帶來的影響與危害，避免通信網絡在運行中出現不穩定的情況。網絡攻擊誘騙系統的功能更為高端，通過軟硬件構建起虛擬的網絡環境，當出現入侵時則使所有入侵與攻擊行為發生在虛擬網絡中，不對通信系統的實際運行造成影響與安全威脅，方便掌握黑客入侵路徑、采集犯罪行為[7]。

2.2 規范使用與操作

制定完善、科學的管理制度，對使用與操作行為進行規范。針對不同級別的領導、通信員設立不同級別的管理機構，專門負責網絡與信息安全管理，并制定明確的管理目標、管理原則，在開展管理工作期間細致分工，做到專人專項，從而為通信網絡內所有鏈路的穩定運行奠定良好基礎。同時，以嚴格的制度和有效的思想道德教育約束與規范使用者的行為，使其在使用通信網絡過程中秉持著高度保密意識。此外，安全管理崗位人員必須具有專業知識背景。在與網絡通信安全相關事務中，要求具備同級別管理權限的多名人員在場，并基于職責分離原則開展工作。網絡開發、維護等工作需要由不同的隊伍承擔，分工明確、不得越權[8]。

加強專業技術人才培養，重點引進計算機專業技術人才，并通過專業技術培訓不斷強化技術人員的實操能力。將通信網絡系統結構的操控作為平時訓練的重要內容，模擬外部攻擊與入侵，強化其安全防控意識、處理突發危機能力，組建一支素質優良、能力突出、反應快速的通信隊伍，做好部隊通信網絡安全防御以及進攻工作，確保在網絡安全斗爭中掌握主動權。

2.3 完善網絡體系結構

目前，我國部隊網絡通信的主要安全威脅來自外部攻擊與病毒感染，部隊網絡拓撲結構如圖3所示。客戶端、服務器、信號交換機能夠組成一個小的局域網，在路由器的支持下利用光纖并入到軍隊網絡中，與外網連接則通過隔離設備完成，結構上存在明顯的漏洞，一旦被人入侵，將使大量機密信息被泄露。

圖3 部隊網絡拓撲結構示意圖

完善網絡體系結構，針對內外建立兩套網絡體系，使內部局域網與外部Internet處于完全斷開狀態，禁止將外網PC連接到內部局域網中。以網絡分隔為基礎，在內部網絡每個節點上配置專用硬件防火墻和路由器，提高防護強度。內部網絡的劃分由虛擬子網、通道完成，當子網內出現病毒感染，可直接將病毒控制在子網內，避免擴散[9]。而針對病毒入侵問題，網絡分離后入侵的途徑通常為存儲介質染毒后接入到部隊通信網絡中，此類病毒入侵后會自動釋放，無法手動查殺，因此需要配備具有強悍查殺能力的安全軟件。同時也可以通過軟件防火墻加基于主機的入侵防御系統（Host-based Intrusion Prevention System，HIPS）展開防護，通過監控計算機系統的運行，及時提示注冊表被修改情況，并報告是否允許訪問軟件。加載病毒程序時HIPS軟件立即提供提示信息，此時點擊阻止則病毒無法運行。與其他自動進行殺毒與防控的軟件相比，HIPS更適合部隊通信網絡，其能夠由使用者自行制定防御動作[10]。

3 結 論

綜上所述，在網絡信息安全防護水平提升的同時，病毒入侵、網絡攻擊技術也在進步，部隊通信網絡信息安全防護問題需要得到高度重視。通過利用好防火墻、路由器、殺毒軟件、HIPS等工具，加強對每個節點的安全防控，從而提升網絡整體的安全性與可靠性。