信息安全技術(shù)在廣電網(wǎng)絡(luò)中的實(shí)踐應(yīng)用分析

李 越

（陜西廣電網(wǎng)絡(luò) 咸陽(yáng)分公司，陜西 咸陽(yáng) 712000）

0 引 言

廣電網(wǎng)絡(luò)最顯著的特征便是開(kāi)放性和共享性，信息技術(shù)雖然為廣電工作人員的工作開(kāi)展提供了便利，但也增加了信息安全風(fēng)險(xiǎn)，采取相應(yīng)的信息安全技術(shù)降低廣電網(wǎng)絡(luò)數(shù)據(jù)傳輸過(guò)程中的安全風(fēng)險(xiǎn)很有必要。

1 廣電網(wǎng)絡(luò)中關(guān)鍵信息安全技術(shù)

為了降低廣電網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)，應(yīng)用信息安全技術(shù)構(gòu)建網(wǎng)絡(luò)體系尤為重要。在眾多信息安全技術(shù)中，防火墻技術(shù)、數(shù)據(jù)包過(guò)濾技術(shù)、應(yīng)用級(jí)網(wǎng)關(guān)技術(shù)、代理服務(wù)技術(shù)以及入侵檢測(cè)技術(shù)較為關(guān)鍵。

1.1 防火墻技術(shù)

防火墻是抵抗不法分子入侵和非授權(quán)訪問(wèn)的最佳手段，通過(guò)在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間增加一道屏障，避免廣電網(wǎng)絡(luò)發(fā)生難以預(yù)測(cè)或破壞性極大的入侵，以此確保廣電網(wǎng)絡(luò)安全[1]。防火墻技術(shù)以監(jiān)測(cè)、限制數(shù)據(jù)流的形式，盡可能屏蔽外部網(wǎng)絡(luò)對(duì)廣電網(wǎng)絡(luò)運(yùn)行所產(chǎn)生的影響。從邏輯角度來(lái)看，防火墻的主要作用是監(jiān)測(cè)內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間所產(chǎn)生的數(shù)據(jù)流，確保網(wǎng)絡(luò)安全。

1.2 數(shù)據(jù)包過(guò)濾技術(shù)

數(shù)據(jù)包過(guò)濾技術(shù)主要是在網(wǎng)絡(luò)層有針對(duì)性地選擇數(shù)據(jù)包，選擇依據(jù)為防火墻系統(tǒng)內(nèi)預(yù)先設(shè)定的過(guò)濾邏輯，此邏輯也被叫做訪問(wèn)控制表。通過(guò)對(duì)數(shù)據(jù)流中的源地址、目標(biāo)地址、端口號(hào)以及協(xié)議情況等進(jìn)行檢查，確定數(shù)據(jù)包是否安全，是否應(yīng)當(dāng)允許此數(shù)據(jù)包通過(guò)。數(shù)據(jù)包過(guò)濾技術(shù)的邏輯較為簡(jiǎn)單，經(jīng)濟(jì)性較強(qiáng)，增設(shè)以數(shù)據(jù)包過(guò)濾技術(shù)為核心的防火墻不需要額外費(fèi)用。

1.3 應(yīng)用級(jí)網(wǎng)關(guān)技術(shù)

應(yīng)用級(jí)網(wǎng)關(guān)技術(shù)能夠在廣電網(wǎng)絡(luò)中的應(yīng)用層中建立轉(zhuǎn)發(fā)功能和針對(duì)協(xié)議的過(guò)濾功能，通過(guò)特定的協(xié)議對(duì)指定數(shù)據(jù)進(jìn)行過(guò)濾，同時(shí)對(duì)所傳輸數(shù)據(jù)進(jìn)行分析、登記，并形成確切報(bào)告。應(yīng)用網(wǎng)關(guān)技術(shù)與數(shù)據(jù)包過(guò)濾技術(shù)的共同特征便是依據(jù)預(yù)先設(shè)定的邏輯判定具體數(shù)據(jù)包是否可以通過(guò)，如果滿足邏輯要求，內(nèi)外計(jì)算機(jī)系統(tǒng)便會(huì)建立聯(lián)系，外網(wǎng)用戶可以直接了解內(nèi)網(wǎng)結(jié)構(gòu)和狀態(tài)[2]。

1.4 代理服務(wù)技術(shù)

代理服務(wù)技術(shù)是在內(nèi)外2者間的應(yīng)用層建立連接，利用代理服務(wù)器建立連接，外網(wǎng)訪問(wèn)僅可以對(duì)代理服務(wù)器進(jìn)行訪問(wèn)，這便起到了保護(hù)內(nèi)部網(wǎng)絡(luò)的目的。除此以外，代理服務(wù)也可對(duì)以往的數(shù)據(jù)包進(jìn)行分析、登記并形成報(bào)表，若發(fā)現(xiàn)攻擊跡象則會(huì)發(fā)出警報(bào)，保留痕跡。

1.5 入侵檢測(cè)技術(shù)

隨著信息技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)攻擊方式也在不斷革新。對(duì)于廣電網(wǎng)絡(luò)而言，單憑防火墻技術(shù)難以最大程度地降低風(fēng)險(xiǎn)。入侵檢測(cè)技術(shù)可以彌補(bǔ)防火墻的缺陷，進(jìn)一步提高廣電網(wǎng)絡(luò)的安全性。通常入侵檢測(cè)系統(tǒng)（Intrusion Detection System，IDS）可以利用神經(jīng)網(wǎng)絡(luò)技術(shù)、行為分析技術(shù)以及專(zhuān)家網(wǎng)絡(luò)技術(shù)等對(duì)入侵行為進(jìn)行檢測(cè)，并形成審計(jì)記錄，生成檢測(cè)報(bào)告與分析結(jié)果。

常見(jiàn)的IDS系統(tǒng)結(jié)構(gòu)較為簡(jiǎn)單，涉及知識(shí)庫(kù)、網(wǎng)絡(luò)當(dāng)前運(yùn)行狀況、事件審計(jì)信息[3]。從功能角度可以將IDS劃分為3大塊，即信息收集、處理通信、判斷反應(yīng)。收集監(jiān)視對(duì)象信息后進(jìn)行分類(lèi)與預(yù)處理，再將處理結(jié)果按照預(yù)先設(shè)定的格式向判斷反應(yīng)模塊傳輸，最終采取特定的安全策略。IDS系統(tǒng)結(jié)構(gòu)如圖1所示。

圖1 IDS系統(tǒng)結(jié)構(gòu)

隨著廣電網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜化，系統(tǒng)漏洞和弱點(diǎn)分布較為廣泛，當(dāng)前多數(shù)入侵行為的協(xié)作性較強(qiáng)，因此入侵檢測(cè)系統(tǒng)需要具備較高的可訓(xùn)練性、容錯(cuò)性、拓展性以及共享性。將入侵檢測(cè)系統(tǒng)與防火墻有機(jī)結(jié)合，即入侵檢測(cè)的數(shù)據(jù)來(lái)源不再是隨機(jī)抓包，而是對(duì)防火墻所產(chǎn)生的數(shù)據(jù)流進(jìn)行檢測(cè)。如此一來(lái)，所有進(jìn)入內(nèi)網(wǎng)的數(shù)據(jù)包不但需要接受防火墻的攔截、驗(yàn)證，還需要進(jìn)行入侵檢測(cè)，判斷入侵行為是否具有攻擊性，以此種方式達(dá)到實(shí)時(shí)阻斷。雖然該方法較為有效，但難度較高，仍處于理論階段。利用開(kāi)放接口進(jìn)行聯(lián)動(dòng)的方式應(yīng)用較為廣泛，在入侵檢測(cè)系統(tǒng)中調(diào)用開(kāi)放接口，并按照特定的協(xié)議傳輸消息，安裝難度較低。

2 廣電網(wǎng)絡(luò)中信息安全技術(shù)的應(yīng)用實(shí)踐

2.1 網(wǎng)絡(luò)概況

以某大學(xué)廣電網(wǎng)絡(luò)為例，其中心交換機(jī)型號(hào)為Catalyst6006，其他交換機(jī)型號(hào)為CATALYST3548，光纖連接形式為單模與多模。路由器直接連接至交換機(jī)，同時(shí)采用SUN服務(wù)器、HP服務(wù)器、IBM服務(wù)器與交換機(jī)互相連接。該廣電網(wǎng)絡(luò)的IP地址分為2類(lèi)，分別是公眾網(wǎng)和內(nèi)網(wǎng)。擁有機(jī)房共計(jì)8個(gè)，在用計(jì)算機(jī)約1 500臺(tái)，后期仍會(huì)繼續(xù)增加。目前投入運(yùn)行的系統(tǒng)為Netscap郵件服務(wù)系統(tǒng)，直接服務(wù)近300臺(tái)計(jì)算機(jī)、1臺(tái)HPLC3服務(wù)器、1臺(tái)FTP服務(wù)器以及1臺(tái)VOD服務(wù)器。

2.2 安全需求

該廣電網(wǎng)絡(luò)在安全方面的需求包括6個(gè)方面：一是禁止外部非廣電網(wǎng)用戶未經(jīng)許可對(duì)內(nèi)部數(shù)據(jù)進(jìn)行訪問(wèn)，以此提高內(nèi)網(wǎng)與服務(wù)器連接的安全性；二是網(wǎng)絡(luò)連接要在保證安全程度的前提下，著重考慮經(jīng)濟(jì)性；三是對(duì)各個(gè)系統(tǒng)和部門(mén)的訪問(wèn)進(jìn)行嚴(yán)格控制，其他部門(mén)在未經(jīng)管理員授權(quán)的情況下禁止互相訪問(wèn)，以此實(shí)現(xiàn)網(wǎng)絡(luò)隔離；四是對(duì)網(wǎng)絡(luò)運(yùn)行情況進(jìn)行監(jiān)控，對(duì)所有攻擊行為進(jìn)行記錄以及分析；五是對(duì)網(wǎng)絡(luò)中存在的病毒進(jìn)行防范；六是規(guī)范內(nèi)部所有訪問(wèn)行為[4]。安全需求等級(jí)劃分如表1所示。

表1 安全需求等級(jí)劃分

2.3 信息安全系統(tǒng)設(shè)計(jì)

2.3.1 防火墻系統(tǒng)

對(duì)防火墻系統(tǒng)的安全策略進(jìn)行部署，所有從互聯(lián)網(wǎng)傳輸至內(nèi)網(wǎng)的數(shù)據(jù)包必須要經(jīng)過(guò)預(yù)先設(shè)置好的防火墻，只有在安全策略許可范圍內(nèi)的數(shù)據(jù)包才能通過(guò)此防火墻。防火墻自身要具備防入侵功能，對(duì)所有服務(wù)默認(rèn)禁止，只有在安全策略范圍內(nèi)的服務(wù)才可允許。在此前提下，為盡可能提高該廣電網(wǎng)絡(luò)的安全性，可對(duì)子網(wǎng)結(jié)構(gòu)進(jìn)行屏蔽，采用邊界路由器、隔離區(qū)（Demilitarized Zone，DMZ）周邊網(wǎng)以及內(nèi)部路由器構(gòu)成屏蔽結(jié)構(gòu)。邊界路由器的作用是保護(hù)周邊網(wǎng)絡(luò)，過(guò)濾掉對(duì)內(nèi)網(wǎng)存在影響的負(fù)面信息。內(nèi)部路由器則會(huì)采取不同的IP地址對(duì)周邊網(wǎng)進(jìn)行劃分，由邊界路由器禁止訪問(wèn)源地址為內(nèi)部IP的入站包進(jìn)入內(nèi)部網(wǎng)絡(luò)，最大限度杜絕IP欺騙攻擊。若存在外網(wǎng)用戶請(qǐng)求，則由代理服務(wù)器認(rèn)證后進(jìn)行轉(zhuǎn)接。內(nèi)部路由器則是將內(nèi)網(wǎng)用戶直接轉(zhuǎn)接至代理服務(wù)器中，并依據(jù)代理服務(wù)器功能對(duì)地址進(jìn)行翻譯，最終提供服務(wù)。

除上述外，該防火墻系統(tǒng)還需要將互聯(lián)網(wǎng)用戶的訪問(wèn)轉(zhuǎn)移至周邊其他服務(wù)器，禁止除管理員外的所有用戶連接到主機(jī)和其他重要服務(wù)器，并在內(nèi)網(wǎng)中安裝防病毒系統(tǒng)與入侵檢測(cè)系統(tǒng)，保護(hù)內(nèi)網(wǎng)不受周邊網(wǎng)絡(luò)與互聯(lián)網(wǎng)的侵害。為了進(jìn)一步提高該網(wǎng)絡(luò)的安全程度，還需要在防火墻系統(tǒng)內(nèi)部與外部設(shè)立域名系統(tǒng)（Domain Name System，DNS）服務(wù)器，以代理運(yùn)行的形式對(duì)互聯(lián)網(wǎng)上的主機(jī)查詢進(jìn)行應(yīng)答。該網(wǎng)絡(luò)的所有主機(jī)均需要與媒體介入控制（Media Access Control，MAC）層綁定，并定期進(jìn)行掃描，若發(fā)現(xiàn)非法IP地址和異常MAC映射，則自動(dòng)進(jìn)行報(bào)警[5]。

2.3.2 VPN系統(tǒng)

網(wǎng)絡(luò)連接則需要采用虛擬專(zhuān)用網(wǎng)絡(luò)（Virtual Private Network，VPN）系統(tǒng)，將VPN系統(tǒng)的組件分布至防火墻，與防火墻系統(tǒng)進(jìn)行整合。帶有VPN模塊的路由器具有較大的數(shù)據(jù)流量承載能力，路由器的連接分為2個(gè)部分，分別是內(nèi)網(wǎng)敏感區(qū)與敏感區(qū)之間的連接、內(nèi)網(wǎng)與外網(wǎng)之間的連接[6]。

內(nèi)網(wǎng)敏感區(qū)域與敏感區(qū)域的連接是網(wǎng)絡(luò)連接中的重點(diǎn)，內(nèi)部網(wǎng)絡(luò)的部分部門(mén)會(huì)在網(wǎng)絡(luò)中存儲(chǔ)敏感數(shù)據(jù)，為確保此類(lèi)數(shù)據(jù)的安全，傳統(tǒng)方式會(huì)將敏感部門(mén)與整個(gè)校園網(wǎng)斷開(kāi)形成孤立網(wǎng)絡(luò)。此方法雖然保護(hù)了部門(mén)內(nèi)部的重要信息，但是由于物理中斷使得其他部門(mén)不能及時(shí)訪問(wèn)，這便產(chǎn)生了通信方面的困難。采用VPN方案則可實(shí)現(xiàn)整體網(wǎng)絡(luò)的連接，還能提高數(shù)據(jù)的安全程度。雖然路由器也能實(shí)現(xiàn)互相連接，但不能對(duì)敏感網(wǎng)絡(luò)進(jìn)行限制。管理人員可通過(guò)VPN服務(wù)器對(duì)用戶身份進(jìn)行指定，只有獲取授權(quán)的用戶才能對(duì)敏感信息進(jìn)行訪問(wèn)。除此之外，還可以對(duì)用戶的訪問(wèn)權(quán)限進(jìn)行設(shè)置，若用戶不具有訪問(wèn)權(quán)限，則不能訪問(wèn)敏感部門(mén)的局域網(wǎng)絡(luò)[7]。

為了最大限度地提高敏感部門(mén)局域網(wǎng)絡(luò)的安全性，選用點(diǎn)對(duì)點(diǎn)隧道協(xié)議（Point-to-Point Turndling Protocol，PPTP）、 第 二 層 隧 道 協(xié) 議（Layer 2 Tunneling Protocol，L2TP）等協(xié)議，不僅能充分發(fā)揮互聯(lián)網(wǎng)的優(yōu)勢(shì)，還能保證局域網(wǎng)絡(luò)的安全性。此外，對(duì)數(shù)據(jù)交換過(guò)程的頭部?jī)?nèi)容進(jìn)行識(shí)別，具體如表2所示。

表2 數(shù)據(jù)交換過(guò)程的頭部?jī)?nèi)容識(shí)別

2.3.3 入侵檢測(cè)系統(tǒng)

將IDS服務(wù)器接入案例網(wǎng)絡(luò)的中心交換機(jī)上，并將各個(gè)網(wǎng)絡(luò)代理分布至小區(qū)中，在重點(diǎn)工作站設(shè)置主機(jī)代理[8,9]。整個(gè)系統(tǒng)由主機(jī)、網(wǎng)絡(luò)代理、中心服務(wù)器構(gòu)成。網(wǎng)絡(luò)代理分布在被保護(hù)的內(nèi)網(wǎng)中，根據(jù)實(shí)際范圍設(shè)置多個(gè)代理。代理能夠訪問(wèn)到內(nèi)網(wǎng)范圍內(nèi)的數(shù)據(jù)，同時(shí)對(duì)多臺(tái)主機(jī)進(jìn)行監(jiān)測(cè)。將網(wǎng)絡(luò)代理分為多個(gè)層次結(jié)構(gòu)，下一層代理向高層代理上報(bào)，主機(jī)代理也可以向其他網(wǎng)絡(luò)代理上報(bào)，如此不僅能提高系統(tǒng)的可靠性，還能避免某個(gè)網(wǎng)絡(luò)代理失效影響整個(gè)系統(tǒng)。網(wǎng)絡(luò)代理將實(shí)際檢測(cè)情況與用戶指令上報(bào)至IDS中心服務(wù)器，由中心服務(wù)器為用戶提供交互界面作為訪問(wèn)入口，用戶可通過(guò)交互界面發(fā)出相關(guān)命令。

基于網(wǎng)絡(luò)代理結(jié)構(gòu)，該廣電網(wǎng)絡(luò)可將模式匹配和統(tǒng)計(jì)信息2種形式相互結(jié)合，對(duì)入侵行為進(jìn)行檢測(cè)。統(tǒng)計(jì)信息方法主要對(duì)分布式拒絕服務(wù)（Distributed Denial of Service，DoS）攻擊進(jìn)行防御，正常網(wǎng)絡(luò)數(shù)據(jù)流在某個(gè)時(shí)間段內(nèi)存在規(guī)律，若此時(shí)間段內(nèi)特定主機(jī)向特定服務(wù)器傳輸?shù)臄?shù)據(jù)包有明顯增大，則可能遭受攻擊。模式匹配則是基于已收集到的信息與數(shù)據(jù)庫(kù)中所存儲(chǔ)的信息進(jìn)行匹配，以此發(fā)現(xiàn)與既定安全策略不同的行為[10]。

3 結(jié) 論

通過(guò)對(duì)某大學(xué)廣電網(wǎng)絡(luò)應(yīng)用的關(guān)鍵技術(shù)進(jìn)行分析，探討了各項(xiàng)技術(shù)的實(shí)踐應(yīng)用策略。具體實(shí)踐中，相關(guān)人員可從建立防火墻系統(tǒng)、VPN連接系統(tǒng)以及IDS系統(tǒng)入手，提高廣電網(wǎng)絡(luò)的安全程度。