姚宏林++韓偉杰++吳忠望

摘 要：網(wǎng)絡防御特征由網(wǎng)絡安全防御體系所決定，它是構(gòu)建網(wǎng)絡安全防護技術(shù)體系架構(gòu)各要素的集合。該文設(shè)計了信息網(wǎng)絡安全防御體系模型，并對防御體系的層次要素特征進行了分析，能夠為科學制定計算機信息網(wǎng)絡防御策略、發(fā)展安全防護技術(shù)體系提供理論支撐。

關(guān)鍵詞：信息網(wǎng)絡安全 網(wǎng)絡防御特征 主機防御特征 應用防御特征 數(shù)據(jù)防御特征

中圖分類號：TP309 文獻標識碼：A 文章編號：1674-098X（2014）07（c）-0045-02

隨著計算機和網(wǎng)絡技術(shù)的不斷發(fā)展，計算機信息網(wǎng)絡已在國家機關(guān)、企事業(yè)單位、國防軍事等多個領(lǐng)域廣泛應用，逐漸滲入到人們的生活中并成為相互溝通的重要手段。然而計算機信息網(wǎng)絡存在網(wǎng)絡環(huán)境開放性、網(wǎng)絡操作系統(tǒng)漏洞、網(wǎng)絡資源共享性、網(wǎng)絡系統(tǒng)設(shè)計缺陷、黑客惡意攻擊等安全隱患，計算機信息網(wǎng)絡安全防御問題重要性變得尤為重要[1-2]。本文基于用戶網(wǎng)絡活動劃分防御層，建立起信息網(wǎng)絡安全防御的體系模型，并系統(tǒng)分析各層次的網(wǎng)絡防御特征，為建立網(wǎng)絡安全防護體系提供了理論支撐。

1 信息網(wǎng)絡安全防御體系設(shè)計

構(gòu)建信息網(wǎng)絡安全防御體系，其目標就是要維護用戶網(wǎng)絡活動的安全性[4]。根據(jù)用戶網(wǎng)絡活動的層次，可以將網(wǎng)絡防御劃分為網(wǎng)絡防御層、主機防御層、應用防御層和數(shù)據(jù)防御層等四個方面，在每個防御層模型中，又包括防御功能和防御技術(shù)兩類劃分方法，防御功能分布按照不同防御層特點，采用根據(jù)層次、軟件功能等類別進行劃分，如圖1所示。

1.1 網(wǎng)絡防御層

網(wǎng)絡防御層主要針對信息網(wǎng)絡安全防御體系中的網(wǎng)絡邊界進行防護，按照防護層面的不同，又可分為應用層、傳輸層和網(wǎng)絡層的分層防御功能。防御技術(shù)則包括協(xié)議分析、模式匹配和包過濾等基本技術(shù)。

1.2 主機防御層

主機防御層的防護功能，主要通過主機入侵防御、病毒查殺和防火墻防護等三個層面，并通過各自對應軟件實現(xiàn)。主要的防護技術(shù)則包括入侵檢測、安全審計、訪問控制、主動行為防御、特征碼查殺和軟件防火墻保護等。

1.3 應用防御層

應用防御層的功能主要防范惡意程序植入和篡改應用軟件，為此，技術(shù)上可通過漏洞利用防護技術(shù)和數(shù)字簽名驗證技術(shù)來實現(xiàn)。

1.4 數(shù)據(jù)防御層

數(shù)據(jù)防御層的防護功能歸結(jié)到一點為防范非授權(quán)用戶的非法訪問，包括對磁盤分區(qū)中文件的訪問，以及對數(shù)據(jù)庫文件的訪問。防御技術(shù)主要包括加密技術(shù)、完整性校驗技術(shù)和備份恢復技術(shù)等。

2 網(wǎng)絡安全防御特征

2.1 網(wǎng)絡防御特征

網(wǎng)絡層面可以對通過網(wǎng)絡傳輸?shù)臄?shù)據(jù)包，按照分層的原則進行防御，具體包括網(wǎng)絡層、傳輸層、應用層的分層防御。具體的防御技術(shù)包括：包過濾技術(shù)、模式匹配技術(shù)、協(xié)議分析技術(shù)等。

網(wǎng)絡安全層面從本質(zhì)上來講就是網(wǎng)絡上的信息安全，其不斷發(fā)展旨在采取有效的安全措施保護網(wǎng)絡信息不被破壞、更改和泄露，保護聯(lián)網(wǎng)計算機系統(tǒng)免受侵擾[5]。網(wǎng)絡上的信息傳播方式的多樣性、廣泛性和難追溯性，使得網(wǎng)絡遭受攻擊的可能性很大，因此，必須采取一定的安全措施來防止這些惡意攻擊。同時，因為網(wǎng)絡信息的安全會在很大程度上影響受保護主機和應用系統(tǒng)的安全，故網(wǎng)絡安全是信息網(wǎng)絡安全防御體系中最重要的組成部分，只有網(wǎng)絡安全得到很好的建設(shè)，主機和應用安全的建設(shè)才能在良好的環(huán)境中實施。

2.2 主機防御特征

主機層面主要針對操作系統(tǒng)平臺進行安全防御，在操作系統(tǒng)平臺上通過防火墻軟件、殺毒軟件、主動防御軟件等實現(xiàn)防御策略。采用的主機防護技術(shù)包括：軟件防火墻防護、病毒特征碼查殺、主動行為防御、訪問控制、安全審計等。

主機（包括終端和服務器）是信息系統(tǒng)的重要組成部分，承擔著信息的存儲和處理工作[6]。由于主機是信息泄露的源頭，也是各類攻擊的最終目標，因此，主機的安全關(guān)系到整個信息系統(tǒng)中信息的安全，主機安全建設(shè)是信息系統(tǒng)安全建設(shè)的重要內(nèi)容。

主機層面安全主要涉及操作系統(tǒng)安全和數(shù)據(jù)庫安全，通常是由操作系統(tǒng)自身安全配置、相關(guān)安全軟件和第三方安全設(shè)備來實現(xiàn)的。目前，運行在主機上的主流操作系統(tǒng)有Windows、Linux、Sun Solaris、IBM AIX和HP-UX等。隨著網(wǎng)絡技術(shù)的不斷發(fā)展和網(wǎng)上應用的不斷增多，這些主機上的問題也逐漸暴露出來，一些網(wǎng)絡病毒和木馬等也隨之出現(xiàn)，破壞主機上的數(shù)據(jù)信息。一般單位中如果將安裝這些系統(tǒng)的主機作為服務器的話，上面可能會保存一些單位或部門的關(guān)鍵信息，這就對主機層面安全提出了要求。

2.3 應用防御特征

應用層面主要防范功能用于防御應用程序被惡意程序篡改，及利用應用軟件漏洞進行惡意程序的植入。應用層面的安全防御技術(shù)可通過數(shù)字簽名驗證技術(shù)、漏洞利用防范技術(shù)來實現(xiàn)。

應用層面是信息系統(tǒng)最終得以使用的工具，只有通過應用系統(tǒng)用戶才能對數(shù)據(jù)和信息進行各種各樣的操作，繼網(wǎng)絡和主機系統(tǒng)的安全防護之后，應用安全成為信息系統(tǒng)整體防御的又一道防線。應用安全是指信息在應用過程中的安全，也就是信息的使用安全。應用層面的安全目的是要保證信息用戶的真實性，信息數(shù)據(jù)的機密性、完整性、可用性，以及信息用戶和信息數(shù)據(jù)的可審性，以對抗身份假冒、信息竊取、數(shù)據(jù)篡改、越權(quán)訪問和事后否認等安全威脅。這就需要對不同的應用安全漏洞進行檢測，采取相應的安全措施降低應用的安全風險。對信息系統(tǒng)進行應用安全方面的設(shè)計，從總體上來說，是為了確保在軟件大規(guī)模使用、數(shù)量和復雜度增長的前提下，能夠及時的發(fā)現(xiàn)和修正系統(tǒng)中潛在的安全漏洞，并且能夠應對和解決這些漏洞，以降低應用系統(tǒng)的安全風險。應用層面?zhèn)戎赜谠O(shè)計開發(fā)出來的系統(tǒng)是否安全。雖然這些安全目標多數(shù)都類似于網(wǎng)絡安全和主機安全中的內(nèi)容，但是實現(xiàn)目標的方式有很大不同，應用系統(tǒng)更強調(diào)在開發(fā)出來的系統(tǒng)中解決這些問題。

2.4 數(shù)據(jù)防御特征

數(shù)據(jù)層面的防范主要是防止非授權(quán)用戶對數(shù)據(jù)的非法訪問。主要的防御措施是通過加密和訪問控制實現(xiàn)，控制對數(shù)據(jù)的訪問用戶和訪問權(quán)限，并且在數(shù)據(jù)存儲過程中使用加密技術(shù)來保護數(shù)據(jù)的安全。主要的措施包括三個方面：數(shù)據(jù)完整性、數(shù)據(jù)保密性與數(shù)據(jù)的備份和恢復。

數(shù)據(jù)層面的安全是計算機信息安全系統(tǒng)的最終目的和核心目標[7]。圍繞著計算機系統(tǒng)所采取的許多安全保護措施最終都是為了保證系統(tǒng)中數(shù)據(jù)在應用、存儲、傳輸和處理等過程中的安全性，以實現(xiàn)數(shù)據(jù)的機密性、完整性、可控性和不可否認性，并可以進行數(shù)據(jù)備份和恢復。

3 結(jié)語

隨著計算機信息網(wǎng)絡的不斷發(fā)展，新的網(wǎng)絡安全隱患會不斷涌現(xiàn)。建立相應的信息網(wǎng)絡安全防御體系模型，研究各層次的網(wǎng)絡防御特征，能夠從本質(zhì)上明確安全防御體系建設(shè)的目的和目標，為科學制定計算機信息網(wǎng)絡防御策略、發(fā)展針對性安全防護技術(shù)提供理論支撐。

參考文獻

[1] 張昱.對計算機網(wǎng)絡技術(shù)安全與網(wǎng)絡防御的分析[J].廣東科技，2011（5）：51-52.

[2] 楊育紅.淺議網(wǎng)絡信息安全防御體系建設(shè)[J].計算機安全，2011（10）：73-75.

[3] 王琪.計算機網(wǎng)絡安全技術(shù)現(xiàn)狀研究[J].計算機安全，2013（7）：44-49.

[4] 汪澎萌，張碩，汪兆銀.計算機網(wǎng)絡安全體系研究[J].信息安全，2012（2）：38-40.

[5] 杜蕓.網(wǎng)絡安全體系及其構(gòu)建研究[J]. 軟件導刊，2013，12（5）：137-139.

[6] 林穎.基于可變信任機制的主機防御體系[J].赤峰學院學報：自然科學版， 2010（8）：29-31.

[7] 陸中威，高廣濤.網(wǎng)絡數(shù)據(jù)防御模型設(shè)計與研究[J].中國新通信，2013， 15（21）：94-94.