王新峰河南中煙工業(yè)有限責(zé)任公司許昌卷煙廠 河南 461000

0 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的飛速發(fā)展，人們對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的依賴性越來(lái)越強(qiáng)，網(wǎng)絡(luò)技術(shù)應(yīng)用也越來(lái)越廣泛。在未來(lái)的科技發(fā)展中，這種技術(shù)的影響將會(huì)更強(qiáng)更廣。但網(wǎng)絡(luò)安全威脅也如洪水般泛濫，各種網(wǎng)絡(luò)安全隱患不斷產(chǎn)生，嚴(yán)重影響了人類的生產(chǎn)、生活及其它安全。網(wǎng)絡(luò)安全涉及到計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、信息論等多種學(xué)科，是一個(gè)復(fù)雜的且涉及多方面的系統(tǒng)工程，計(jì)算機(jī)網(wǎng)絡(luò)安全威脅主要有：軟件漏洞、配置不當(dāng)、安全意識(shí)不強(qiáng)、黑客、病毒、木馬等方面。這就要求我們?cè)趯?shí)際工作中采取多種安全防范技術(shù)，加強(qiáng)管理，提高全民網(wǎng)絡(luò)道德水準(zhǔn)和網(wǎng)絡(luò)安全意識(shí)。

計(jì)算機(jī)網(wǎng)絡(luò)安全防范技術(shù)多種多樣，歸納起來(lái)有：入侵預(yù)防技術(shù)、病毒防范技術(shù)、防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、系統(tǒng)容災(zāi)技術(shù)、漏洞掃描技術(shù)、物理安全、審計(jì)管理、蜜罐技術(shù)等。

1 入侵預(yù)防技術(shù)

（1）入侵預(yù)防技術(shù)與入侵檢測(cè)技術(shù)的比較

入侵檢測(cè)的弱點(diǎn)：我單位原來(lái)所用的入侵檢測(cè)產(chǎn)品，往往都是網(wǎng)絡(luò)陷入癱瘓，才去研究是否有攻擊存在。但這時(shí)為了人們?cè)琰c(diǎn)正常工作，網(wǎng)管員把自己的精力全部放在了修復(fù)網(wǎng)絡(luò)上，沒有時(shí)間去研究是什么樣的攻擊影響了網(wǎng)絡(luò)。同時(shí)，由于配置了入侵產(chǎn)品與防火墻的聯(lián)動(dòng)，一些入侵檢測(cè)的誤動(dòng)作，造成防火墻誤動(dòng)作，從而影響整個(gè)網(wǎng)絡(luò)?？梢?，入侵檢測(cè)技術(shù)不能起到主動(dòng)防范作用，需要引入入侵預(yù)防技術(shù)。

入侵預(yù)防軟件與傳統(tǒng)入侵檢測(cè)產(chǎn)品的不同之處在于：入侵檢測(cè)重在檢測(cè)，既使跟防火墻進(jìn)行聯(lián)動(dòng)，也不能代替入侵預(yù)防系統(tǒng)；入侵預(yù)防重在預(yù)防，預(yù)防能夠?qū)?yīng)用層滲透，緩沖區(qū)溢出、木馬、后門、SQL注入、XSS進(jìn)行識(shí)別攔截。入侵預(yù)防安全架構(gòu)則充當(dāng)下一代網(wǎng)絡(luò)安全軟件，它能積極主動(dòng)地加強(qiáng)桌面系統(tǒng)和服務(wù)器的安全，防止受到基于特征掃描的技術(shù)所無(wú)法發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊的破壞。

（2）入侵預(yù)防技術(shù)原理

入侵預(yù)防定義哪些行為是正當(dāng)?shù)?、哪些行為是可疑的，這樣一旦企圖作出超乎預(yù)期行為范圍的舉動(dòng)，入侵預(yù)防技術(shù)會(huì)先發(fā)制人地消除不當(dāng)?shù)南到y(tǒng)行為。一些高度結(jié)構(gòu)化的入侵預(yù)防系統(tǒng)還能提供預(yù)先設(shè)定的規(guī)則，以保護(hù)Web服務(wù)器、郵件服務(wù)器及提供一般的最終用戶桌面保護(hù)。

從防御理念和防護(hù)重心來(lái)看，建議入侵防御置于防火墻之后，服務(wù)器之前。

2 病毒防范技術(shù)

計(jì)算機(jī)病毒的特點(diǎn)歸納起來(lái)有：攻擊隱藏性強(qiáng)、繁殖能力強(qiáng)、傳染途徑廣、潛伏時(shí)間長(zhǎng)、破壞能力大以及具有針對(duì)性等。其注入技術(shù)主要有：無(wú)線電方式、“固化”式方式、后門攻擊方式以及數(shù)據(jù)控制鏈攻擊方式等。

病毒防范技術(shù)主要有：

（1）對(duì)病毒客戶端進(jìn)行管理；曾經(jīng)一個(gè)時(shí)期，網(wǎng)絡(luò)上的ARP病毒經(jīng)常泛濫，導(dǎo)致網(wǎng)絡(luò)癱瘓。筆者專門寫了個(gè)小程序進(jìn)行防范，放在局域網(wǎng)上，讓網(wǎng)內(nèi)用戶點(diǎn)擊自運(yùn)行程序，從而植入用戶操作系統(tǒng)中，這樣，保護(hù)了網(wǎng)內(nèi)用戶免受該病毒的危害。

（2）對(duì)郵件的傳播進(jìn)行控制。

（3）對(duì)來(lái)自磁介質(zhì)的有害信息進(jìn)行過(guò)濾。

（4）建立多層次多級(jí)別的企業(yè)級(jí)的防病毒系統(tǒng)，對(duì)病毒實(shí)現(xiàn)全面的防護(hù)。

建議在電腦和服務(wù)器上經(jīng)常升級(jí)病毒庫(kù)，定期查殺。

3 防火墻技術(shù)

采用防火墻技術(shù)是解決網(wǎng)絡(luò)安全問(wèn)題的主要手段之一。防火墻常被安裝內(nèi)網(wǎng)與外網(wǎng)的節(jié)點(diǎn)上，用于邏輯隔離內(nèi)網(wǎng)和外網(wǎng)。它是一種加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制的網(wǎng)絡(luò)設(shè)備，它能夠保護(hù)內(nèi)部網(wǎng)絡(luò)信息不被外部非法授權(quán)用戶訪問(wèn)。防火墻具可以掃描流經(jīng)它的網(wǎng)絡(luò)通信數(shù)據(jù)，過(guò)濾一些攻擊，通過(guò)關(guān)閉不使用的端口來(lái)禁止特定端口的流出通信，封鎖木馬，禁止來(lái)自特殊站點(diǎn)的訪問(wèn)，防止來(lái)自非法闖入者的入侵，并能夠記錄和統(tǒng)計(jì)有關(guān)網(wǎng)絡(luò)使用濫用的情況。不過(guò)，防火墻技術(shù)也有局限性，它一般防外不防內(nèi)，難以防范來(lái)自網(wǎng)絡(luò)內(nèi)部的木馬攻擊和病毒的侵犯。

在實(shí)際工作中，需要網(wǎng)絡(luò)管理員將防火墻技術(shù)與其他安全技術(shù)配合使用，更好地提高網(wǎng)絡(luò)的安全性。由于防火墻位于內(nèi)外網(wǎng)之間，屬咽喉地帶，一旦出現(xiàn)問(wèn)題，則嚴(yán)重影響通訊。建議防火墻設(shè)置冗余，防止單點(diǎn)故障影響整個(gè)網(wǎng)絡(luò)。

4 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是將被傳送的信息進(jìn)行加密，使信息以密文的形式在網(wǎng)絡(luò)上傳輸。該技術(shù)的應(yīng)用可以保護(hù)網(wǎng)絡(luò)上傳輸?shù)男畔⒉槐粣阂庹叽鄹慕厝?，使一些敏感的?shù)據(jù)只能被相應(yīng)權(quán)限的人訪問(wèn)，從而防止被非法使用者看到或者破壞。數(shù)據(jù)加密算法可分為對(duì)稱算法和公開密鑰算法。在對(duì)稱算法中，加密密鑰和解密密鑰相同或者加密密鑰能夠從解密密鑰中推算出來(lái)，反之也成立。對(duì)稱算法優(yōu)點(diǎn)是速度快，但其密鑰管理非常重要，密鑰必須通過(guò)安全的途徑傳送。在公開密鑰算法中，加密密鑰和解密密鑰互不相同，并且?guī)缀醪豢赡軓募用苊荑€推導(dǎo)出解密密鑰。公開密鑰算法密鑰管理簡(jiǎn)單，但其加密算法復(fù)雜，速度慢。

在維護(hù)網(wǎng)絡(luò)安全和工作中，建議適當(dāng)?shù)夭扇?shù)據(jù)加密這種主動(dòng)防御的技術(shù)，來(lái)提高信息通訊的安全性。

5 系統(tǒng)容災(zāi)技術(shù)

系統(tǒng)容災(zāi)技術(shù)分為本地容災(zāi)技術(shù)和異地容災(zāi)技術(shù)。

本地容災(zāi)從技術(shù)上主要可分為：磁盤保護(hù)技術(shù)、快照數(shù)據(jù)保護(hù)技術(shù)、磁帶/磁盤數(shù)據(jù)備份技術(shù)。本地服務(wù)容災(zāi)從實(shí)現(xiàn)技術(shù)上主要可分為：雙機(jī)熱備和本地集群技術(shù)。

異地容災(zāi)技術(shù)分為：遠(yuǎn)程數(shù)據(jù)容災(zāi)技術(shù)、網(wǎng)絡(luò)容災(zāi)技術(shù)、服務(wù)容災(zāi)技術(shù)。

遠(yuǎn)程數(shù)據(jù)容災(zāi)是指通過(guò)將本地?cái)?shù)據(jù)在線備份到遠(yuǎn)離本地的異地?cái)?shù)據(jù)系統(tǒng)保存，當(dāng)災(zāi)難發(fā)生后，可以通過(guò)數(shù)據(jù)重構(gòu)，來(lái)達(dá)到抵御區(qū)域性、毀滅性災(zāi)難，保護(hù)業(yè)務(wù)數(shù)據(jù)的目的。但關(guān)鍵業(yè)務(wù)服務(wù)的暫時(shí)停頓不可避免。網(wǎng)絡(luò)容災(zāi)技術(shù)是指網(wǎng)絡(luò)在遭受各種故障，如通信人為故障和客觀因素導(dǎo)致的通信事故等時(shí)，仍能維持可接受的業(yè)務(wù)質(zhì)量的能力。服務(wù)容災(zāi)技術(shù)是當(dāng)發(fā)生災(zāi)難時(shí)，需要將生產(chǎn)中心的業(yè)務(wù)轉(zhuǎn)移到容災(zāi)中心去運(yùn)行?？梢员ＷC服務(wù)的自動(dòng)無(wú)縫遷移，讓用戶感覺不出提供服務(wù)的主體發(fā)生了變化。

在實(shí)際工作中，建議在生產(chǎn)中心和災(zāi)備中心的服務(wù)器上安裝專用的數(shù)據(jù)復(fù)制軟件，以實(shí)現(xiàn)遠(yuǎn)程復(fù)制功能。兩中心間必須有網(wǎng)絡(luò)連接作為數(shù)據(jù)通道?？梢栽诜?wù)器層增加應(yīng)用遠(yuǎn)程切換功能軟件，從而構(gòu)成完整的應(yīng)用級(jí)容災(zāi)方案。

6 漏洞掃描技術(shù)

漏洞掃描技術(shù)是檢查系統(tǒng)中重要的數(shù)據(jù)、文件等，通過(guò)以下兩種方法來(lái)檢測(cè)發(fā)現(xiàn)可被黑客所利用的漏洞：(1)端口掃描法。通過(guò)端口掃描得知目標(biāo)主機(jī)開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，并與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫(kù)進(jìn)行匹配，查看是否有漏洞存在；(2)模擬黑客的攻擊法。通過(guò)模擬攻擊，測(cè)試安全漏洞。漏洞掃描實(shí)現(xiàn)的方法大概可分為：漏洞庫(kù)的特征匹配方法，功能模塊(插件)技術(shù)。

建議在專家指導(dǎo)下對(duì)系統(tǒng)配置特征規(guī)則庫(kù)不斷擴(kuò)充和修正，在按照某一標(biāo)準(zhǔn)設(shè)計(jì)漏洞庫(kù)的同時(shí)，還應(yīng)該讓漏洞庫(kù)信息具備完整性、有效性、簡(jiǎn)易性等特點(diǎn)，這樣即使是用戶自己也易于對(duì)漏洞庫(kù)進(jìn)行添加配置，從而實(shí)現(xiàn)對(duì)漏洞庫(kù)的即時(shí)更新。

7 物理安全

物理安全主要包含了計(jì)算機(jī)機(jī)房物理場(chǎng)地、物理環(huán)境及各種因素對(duì)計(jì)算機(jī)設(shè)備的影響：機(jī)房的安全、防火與防水、靜電防護(hù)、防盜、防破壞、屏蔽、過(guò)濾、接地、電磁防護(hù)等，另外還包含網(wǎng)絡(luò)的物理隔離、協(xié)議隔離、物理隔離網(wǎng)閘等物理隔離技術(shù)。

電源系統(tǒng)采用雙電源及UPS集中供電方式。其它根據(jù)建筑物具體情況采取UPS集中或集散式供電方式。UPS采用雙控制模塊化系統(tǒng)，實(shí)行N+1冗余方式，UPS輸出/輸入端應(yīng)有電源平衡分配處理，使輸出與輸入完全隔離，保證供電系統(tǒng)的可靠性和可用性。

另外，設(shè)立監(jiān)控系統(tǒng)，對(duì)機(jī)房的動(dòng)力系統(tǒng)、環(huán)境系統(tǒng)、消防系統(tǒng)、保安系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)等進(jìn)行安全監(jiān)控。

建議重視計(jì)算機(jī)網(wǎng)絡(luò)的物理安全，嚴(yán)格按照國(guó)家及行業(yè)信息化機(jī)房建設(shè)標(biāo)準(zhǔn)備進(jìn)行建設(shè)。建設(shè)時(shí)對(duì)機(jī)房精密空調(diào)的室外機(jī)位置要有充分的考慮。

8 審計(jì)管理

網(wǎng)絡(luò)安全審計(jì)就是運(yùn)用各種技術(shù)手段實(shí)時(shí)收集和監(jiān)控網(wǎng)絡(luò)環(huán)境中每一個(gè)組成部分的系統(tǒng)狀態(tài)、安全事件，以便集中報(bào)警、分析、處理的一種技術(shù)手段。安全審計(jì)的對(duì)象有：網(wǎng)絡(luò)設(shè)備、服務(wù)器、用戶電腦、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)安全設(shè)備。

安全審計(jì)解決方案有：

日志審計(jì)、主機(jī)審計(jì)、監(jiān)控上網(wǎng)行為、網(wǎng)絡(luò)審計(jì)等。

建議多種方案混合使用。

9 蜜罐技術(shù)

蜜罐是通過(guò)真實(shí)或模擬的網(wǎng)絡(luò)和服務(wù)來(lái)吸引攻擊，分析黑客攻擊蜜罐期間對(duì)其行為和過(guò)程，搜集信息，發(fā)出預(yù)警。

根據(jù)蜜罐的交互程度可將蜜罐分三類：低交互蜜罐、中交互蜜罐和高交互蜜罐。其中低交互蜜罐只是運(yùn)行于現(xiàn)有系統(tǒng)上的一個(gè)仿真服務(wù)，在特定端口監(jiān)聽記錄數(shù)據(jù)包；中交互蜜罐是應(yīng)用腳本或小程序來(lái)模擬服務(wù)行為，提供的功能主要取決于腳本，在不同端口進(jìn)行監(jiān)聽，收集更多數(shù)據(jù)；高交互蜜罐則是由真實(shí)的操作系統(tǒng)作為誘餌，引誘黑客攻擊，獲得大量信息，但其風(fēng)險(xiǎn)最大。

蜜罐本身并不增加網(wǎng)絡(luò)的安全性，建議將蜜罐和現(xiàn)有的安全防衛(wèi)手段結(jié)合使用，可以有效提高系統(tǒng)安全性。

總之，計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展迅速，網(wǎng)絡(luò)安全也威脅層出不窮，人們?cè)诓粩嗝鹘ㄔ彀踩婪扼w系，在眾多技術(shù)中有被動(dòng)防御和主動(dòng)防御的，有防止外網(wǎng)進(jìn)攻的，也有防止內(nèi)網(wǎng)破壞的，這些技術(shù)只有相互結(jié)合起來(lái)使用，取長(zhǎng)補(bǔ)短，才能對(duì)網(wǎng)絡(luò)安全全面防范。