鐘掖 衛(wèi)薇 趙威揚(yáng)

摘 要：隨著時(shí)代的發(fā)展以及信息技術(shù)的不斷更新，電子科技技術(shù)雖然改善了人們的生活和推動(dòng)了社會(huì)的發(fā)展，但是現(xiàn)今新聞報(bào)道中各種犯罪事件已經(jīng)屢見(jiàn)不鮮，所以科技技術(shù)的不斷發(fā)展，其也給犯罪分子帶來(lái)了可乘之機(jī)，這樣就會(huì)造成較大的經(jīng)濟(jì)損失，所以網(wǎng)絡(luò)邊界安全問(wèn)題已經(jīng)日益突出。本文主要基于安全邊界對(duì)數(shù)字網(wǎng)絡(luò)的訪問(wèn)方法進(jìn)行分析，以期能夠創(chuàng)造安全的網(wǎng)絡(luò)環(huán)境。

關(guān)鍵詞：安全邊界;數(shù)字網(wǎng)絡(luò);訪問(wèn);方法探析

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-2064（2019）22-0028-02

隨著科學(xué)技術(shù)的不斷發(fā)展，社會(huì)也進(jìn)入了互聯(lián)網(wǎng)時(shí)代，在其給人們帶來(lái)便利的同時(shí)，各種網(wǎng)絡(luò)安全問(wèn)題也接踵而至，所以采用一定的方法對(duì)其進(jìn)行控制也是十分重要的，這樣能夠創(chuàng)造一個(gè)安全的網(wǎng)絡(luò)環(huán)境。本文主要為數(shù)字網(wǎng)絡(luò)訪問(wèn)的方法進(jìn)行分析探討，以安全邊界為基礎(chǔ)，結(jié)合實(shí)際的網(wǎng)絡(luò)情況，對(duì)其進(jìn)行探析。

1 安全邊界防護(hù)要求

對(duì)網(wǎng)絡(luò)邊界進(jìn)行安全防護(hù)是保護(hù)其不受外界以外的網(wǎng)絡(luò)攻擊，同時(shí)也防止相關(guān)人員使用內(nèi)部網(wǎng)絡(luò)對(duì)外部網(wǎng)絡(luò)進(jìn)行攻擊和破壞。當(dāng)出現(xiàn)網(wǎng)絡(luò)安全事故的時(shí)候，相關(guān)工作人員可根據(jù)日志檢測(cè)到的攻擊行為對(duì)攻擊事件進(jìn)行分析。網(wǎng)絡(luò)邊界作為公司信息外網(wǎng)與互聯(lián)網(wǎng)之間的橫向邊界，對(duì)其進(jìn)行安全防護(hù)主要從訪問(wèn)控制、準(zhǔn)入認(rèn)證、惡意代碼防護(hù)及終端加固這幾方面入手，同時(shí)也應(yīng)對(duì)網(wǎng)絡(luò)通道及終端安全措施進(jìn)行加強(qiáng)[1]。

訪問(wèn)控制：網(wǎng)絡(luò)邊界應(yīng)部署相應(yīng)的安全防護(hù)設(shè)備對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行限制，可根據(jù)實(shí)際需求強(qiáng)化控制設(shè)備的訪問(wèn)列表，只允許特定的防護(hù)設(shè)備與IP地址進(jìn)行數(shù)據(jù)交換，同時(shí)也應(yīng)對(duì)服務(wù)器的網(wǎng)絡(luò)行為進(jìn)行規(guī)范與控制，使得訪問(wèn)的更加安全。

準(zhǔn)入認(rèn)證：當(dāng)需要進(jìn)行遠(yuǎn)程連接的時(shí)候，可采用虛擬網(wǎng)等方式進(jìn)行遠(yuǎn)程連接，同時(shí)在進(jìn)行虛擬連接的時(shí)候應(yīng)該對(duì)用戶的身份進(jìn)行確認(rèn)，除了有常規(guī)的用戶名及密碼這樣的方式外，還可以使用RADIUS及數(shù)字簽名這樣的服務(wù)從而使得遠(yuǎn)程服務(wù)更加安全。同時(shí)在進(jìn)行遠(yuǎn)程連接的時(shí)候可增加用戶名及密碼的復(fù)雜程度，從而避免出現(xiàn)弱口令的現(xiàn)象。

惡意代碼防護(hù)：采用入侵檢測(cè)/防御系統(tǒng)對(duì)邊界的流量進(jìn)行入侵檢測(cè)，其主要是對(duì)攻擊行為進(jìn)行檢測(cè)，其中包括惡意代碼類、漏洞利用類、Web類攻擊等，當(dāng)檢測(cè)到攻擊之后，入侵檢測(cè)/防御系統(tǒng)根據(jù)警報(bào)級(jí)別對(duì)入侵事件進(jìn)行警告以及在警告后切斷入侵行為。同時(shí)其也應(yīng)對(duì)安全事件的事件動(dòng)作、發(fā)生時(shí)間及IP信息等進(jìn)行記錄，這樣更方便工作人員的審計(jì)工作。安全防護(hù)的設(shè)備日志只有管理員能進(jìn)行查看，應(yīng)對(duì)查看的用戶權(quán)限進(jìn)行設(shè)置。

網(wǎng)絡(luò)通道：當(dāng)內(nèi)部人員未使用統(tǒng)一出口對(duì)外部網(wǎng)絡(luò)進(jìn)行訪問(wèn)，如私自搭建無(wú)線網(wǎng)絡(luò)用到使用內(nèi)主網(wǎng)主機(jī)進(jìn)行外部網(wǎng)絡(luò)的訪問(wèn)，這樣就會(huì)對(duì)內(nèi)部網(wǎng)絡(luò)的安全造成影響，這樣對(duì)互聯(lián)網(wǎng)的防護(hù)而言毫無(wú)意義，而外界攻擊者也可以通過(guò)無(wú)線網(wǎng)絡(luò)通道對(duì)其進(jìn)行網(wǎng)絡(luò)攻擊。所以提升員工的網(wǎng)絡(luò)安全意識(shí)，禁止繞過(guò)公司同一網(wǎng)絡(luò)邊界搭建網(wǎng)絡(luò)通道這是十分重要的[2]。

2 常用的安全防護(hù)設(shè)備

網(wǎng)絡(luò)安全問(wèn)題越來(lái)越受人們的重視，所以保護(hù)網(wǎng)絡(luò)安全的防護(hù)設(shè)備也越來(lái)越多，不同的安全防護(hù)設(shè)備會(huì)對(duì)不同的網(wǎng)絡(luò)威脅起到防護(hù)的作用，下面對(duì)安全防護(hù)設(shè)備及其部署方式進(jìn)行分析。

2.1 防火墻

其主要是用在兩個(gè)要求不同的安全區(qū)域之間，從而對(duì)網(wǎng)絡(luò)進(jìn)行安全防護(hù)，避免出現(xiàn)外部攻擊者入侵、攻擊以及惡意探測(cè)的行為。防火墻的主要功能有：防止IP地址欺騙、對(duì)流經(jīng)防火墻的網(wǎng)絡(luò)進(jìn)行控制;防止外部攻擊者窺探網(wǎng)絡(luò)細(xì)節(jié)。但是防火墻的自身具有一定的局限性，其并不能阻止繞過(guò)防火墻的攻擊以及對(duì)內(nèi)部威脅進(jìn)行防止。

2.2 入侵檢測(cè)系統(tǒng)

其主要是對(duì)網(wǎng)絡(luò)流量的信息進(jìn)行收集和分析，從而發(fā)現(xiàn)其中存在的攻擊行為及疑似攻擊行為。入侵檢測(cè)系統(tǒng)的主要功能可包括：檢測(cè)系統(tǒng)漏洞、對(duì)網(wǎng)絡(luò)流量進(jìn)行分析。根據(jù)設(shè)備開(kāi)啟的規(guī)則對(duì)攻擊行為進(jìn)行判斷，對(duì)用戶的行為進(jìn)行識(shí)別，若識(shí)別出其存在攻擊行為應(yīng)作出反應(yīng)或警告。但是入侵檢測(cè)系統(tǒng)若是用戶不參與則無(wú)法進(jìn)行檢測(cè)。

入侵檢測(cè)系統(tǒng)的功能及目標(biāo)存在不同，所以其網(wǎng)絡(luò)部署也是不相同的。入侵檢測(cè)系統(tǒng)通常通過(guò)在網(wǎng)絡(luò)關(guān)鍵位置的路由器、交換機(jī)等設(shè)備上設(shè)置鏡像端口。其可以部署在DMZ的總出口處，因?yàn)槠湓贒MZ出口處的時(shí)候可以檢測(cè)到外界用戶對(duì)DMZ的攻擊行為。

2.3 入侵防御系統(tǒng)

其能夠智能、主動(dòng)的檢測(cè)到外界的入侵，并對(duì)其進(jìn)行阻止，當(dāng)發(fā)現(xiàn)存在攻擊行為或疑似攻擊行為的時(shí)候，可對(duì)其進(jìn)行阻止。入侵防御系統(tǒng)與入侵檢測(cè)系統(tǒng)不同的是其不但能夠檢測(cè)到入侵行為，還能通過(guò)一定的方式終止入侵行為。

在部署方面，其主要是采用In-line的透明模式接入到網(wǎng)絡(luò)中，而正是由于其可以以嵌入式的方式接入到網(wǎng)絡(luò)中，所以其極有可能或造成單點(diǎn)故障或網(wǎng)絡(luò)瓶頸問(wèn)題。

2.4 Web應(yīng)用防火墻

其主要是對(duì)網(wǎng)絡(luò)掛馬、跨站腳本、注入等常見(jiàn)攻擊進(jìn)行防護(hù)，使得網(wǎng)絡(luò)免遭其攻擊，其往往位于服務(wù)器和客戶端之間，通過(guò)URL過(guò)濾技術(shù)、協(xié)議分析等技術(shù)手段，對(duì)客戶端的請(qǐng)求進(jìn)行檢測(cè)和驗(yàn)證，從而對(duì)網(wǎng)絡(luò)流量的安全進(jìn)行確保，若是發(fā)現(xiàn)不安全或具有危險(xiǎn)的請(qǐng)求可及時(shí)將其阻斷。

由于網(wǎng)絡(luò)應(yīng)用的需求不同，所以在部署Web應(yīng)用防火墻的時(shí)候，其部署方式也是不相同的，可包括旁路監(jiān)控部署方式、路由器部署及透明部署方式這三種。不同的部署方式其有著不同的優(yōu)點(diǎn)。旁路監(jiān)控部署方式的優(yōu)點(diǎn)是對(duì)網(wǎng)絡(luò)的影響較小，但是服務(wù)器并無(wú)法對(duì)流量源的地址進(jìn)行獲取。路由器部署方式的安全防護(hù)程度最高。透明部署方式的特點(diǎn)是快速、簡(jiǎn)單。

3 網(wǎng)絡(luò)安全的現(xiàn)狀

為滿足網(wǎng)絡(luò)安全的需求，不同的地區(qū)都會(huì)配置符合本地區(qū)的邊界安全設(shè)備，但是往往這些設(shè)備品牌較多，并且數(shù)量較大，所以往往都會(huì)存在以下幾方面的問(wèn)題。

3.1 設(shè)備差異化

由于配備的設(shè)備具有一定的差異化，所以使得設(shè)備的后期維修等問(wèn)題難以進(jìn)行，這就加大了相關(guān)人員的管理力度，使得運(yùn)維的工作效率降低。

3.2 防火墻使用策略不正確

當(dāng)采用防火墻進(jìn)行安全防護(hù)的時(shí)候，由于各安全區(qū)域的防火墻其一直采用“加法”的安全策略，所以無(wú)法對(duì)當(dāng)前策略的冗余性及有效性進(jìn)行判斷。

3.3 網(wǎng)絡(luò)權(quán)限存在問(wèn)題

若是公司的業(yè)務(wù)集中之后，往往都會(huì)出現(xiàn)頻繁更換網(wǎng)絡(luò)權(quán)限的情況，從而使得對(duì)資料的管理較難，所以若想很好的進(jìn)行安全防護(hù)，應(yīng)對(duì)網(wǎng)絡(luò)權(quán)限的管理流程進(jìn)行完善。

4 網(wǎng)絡(luò)安全防護(hù)步驟

4.1 對(duì)邊界進(jìn)行調(diào)整合并

進(jìn)行邏輯調(diào)整合并：通常是指對(duì)現(xiàn)行系統(tǒng)的單個(gè)邏輯邊界進(jìn)行整合，以期能夠通過(guò)邊界調(diào)整使系統(tǒng)保持較高的條理性和完整性。在系統(tǒng)中極有可能存在一些特定區(qū)域，在對(duì)這類區(qū)域進(jìn)行調(diào)整合并的時(shí)候應(yīng)根據(jù)實(shí)際要求，對(duì)邊界進(jìn)行處理，使其能夠有機(jī)結(jié)合。安全區(qū)域的交互網(wǎng)絡(luò)與專線、互聯(lián)網(wǎng)和內(nèi)網(wǎng)的邊界為網(wǎng)絡(luò)邊界，其是安全與較重要的邊界。

物理整合調(diào)整：進(jìn)行物理整合，也就是對(duì)系統(tǒng)或多個(gè)系統(tǒng)及相應(yīng)的安全域進(jìn)行物理方面的整合，主要是通過(guò)有效的物理層面的整合，使得網(wǎng)絡(luò)體系的安全等級(jí)得到提升，同時(shí)也更加方便對(duì)整個(gè)體系的管理工作，從而避免出現(xiàn)網(wǎng)絡(luò)危害。在實(shí)際的工作中往往都會(huì)出現(xiàn)資源浪費(fèi)的情況，這種情況對(duì)系統(tǒng)的整體安全都會(huì)造成一定的影響，例如在系統(tǒng)正常運(yùn)行的時(shí)候，若是存在多個(gè)內(nèi)部節(jié)點(diǎn)與外部網(wǎng)絡(luò)相連通的情況，但是連通的端口不同，這樣則需要外部的端口進(jìn)行連接，這樣不僅會(huì)增加工作量，對(duì)系統(tǒng)的安全也會(huì)造成一定的影響。對(duì)于這樣的情況應(yīng)及時(shí)對(duì)端口進(jìn)行合并，將各種類型的端口統(tǒng)一，并將使用系統(tǒng)設(shè)備的端口也進(jìn)行統(tǒng)一。通過(guò)將同一類型安全域的不同系統(tǒng)進(jìn)行合并，這樣能夠使得端口的投資費(fèi)用降低，通過(guò)整合之后也能使得安全域集合在一起，這樣更方便工作人員在接下來(lái)的操作。

4.2 安全防護(hù)

邊界防護(hù)：對(duì)安全域進(jìn)行防護(hù)可根據(jù)其等級(jí)和邊界特點(diǎn)進(jìn)行保護(hù)，不同的等級(jí)采取的安全防護(hù)策略也是不同的。若是維護(hù)域存在安全防護(hù)需求的時(shí)候，應(yīng)該加強(qiáng)審計(jì)和認(rèn)證，并嚴(yán)格遵守配置標(biāo)準(zhǔn)，采取相應(yīng)的安全工具。例如：口令管理、防病毒系統(tǒng)等。另外對(duì)邊界進(jìn)行安全防護(hù)的時(shí)候也因?qū)K端進(jìn)行安全管理。

檢測(cè)與預(yù)防相結(jié)合：互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)病毒的侵入不僅有著速度快的特點(diǎn)，其潛伏周期也較長(zhǎng)，所以為了能夠更好地對(duì)網(wǎng)絡(luò)安全進(jìn)行防護(hù)，應(yīng)在系統(tǒng)中設(shè)置防火墻，而由于病毒的更新速度較快，所以在設(shè)置防火墻的時(shí)候其更新速度也應(yīng)較快。另外病毒的潛伏周期較長(zhǎng)，一旦觸發(fā)源啟動(dòng)，病毒就會(huì)立即啟動(dòng)，從而對(duì)系統(tǒng)造成一定的威脅。所以在進(jìn)行安全防護(hù)的時(shí)候應(yīng)對(duì)系統(tǒng)自身進(jìn)行檢查，將所有病毒清除，做到從根源上預(yù)防。

5 安全防護(hù)方案

為了保證互聯(lián)網(wǎng)的安全性，在信息外網(wǎng)與互聯(lián)網(wǎng)之間應(yīng)該部署相應(yīng)的安全設(shè)備從而滿足網(wǎng)絡(luò)防護(hù)的需求。但是安全設(shè)備的部署會(huì)對(duì)網(wǎng)絡(luò)造成一定的影響，所以應(yīng)在網(wǎng)絡(luò)安全與網(wǎng)絡(luò)性能之間進(jìn)行考慮，從而找出適合的方案?；ヂ?lián)網(wǎng)的安全防護(hù)方案如表1所示。

從上表可以看出，防火墻+入侵檢測(cè)系統(tǒng)/入侵防御系統(tǒng)與防火墻+Web應(yīng)用防火墻這種方法過(guò)于簡(jiǎn)單，并且無(wú)法滿足網(wǎng)絡(luò)需求。而防火墻+網(wǎng)絡(luò)入侵防御+Web應(yīng)用防火墻+網(wǎng)頁(yè)篡改的防護(hù)效果較高，但是會(huì)對(duì)網(wǎng)絡(luò)性能造成較大的影響。對(duì)網(wǎng)絡(luò)進(jìn)行安全部署應(yīng)該根據(jù)實(shí)際情況，選擇合理的防護(hù)方案。

6 結(jié)語(yǔ)

基于安全邊界進(jìn)行網(wǎng)絡(luò)訪問(wèn)，能夠使得網(wǎng)絡(luò)環(huán)境越來(lái)越清晰與安全，并在實(shí)際的工作中，積累經(jīng)驗(yàn)以及對(duì)相關(guān)數(shù)據(jù)進(jìn)行分析，從而對(duì)安全策略體系不斷完善，為網(wǎng)絡(luò)安全環(huán)境提供保證，最終實(shí)現(xiàn)網(wǎng)絡(luò)安全。

參考文獻(xiàn)

[1] 宋曉琴.維護(hù)網(wǎng)絡(luò)意識(shí)形態(tài)安全的路徑[J].傳媒論壇，2019（20）：3+5.

[2] 程愷.云計(jì)算下網(wǎng)絡(luò)安全技術(shù)的現(xiàn)狀與對(duì)策[J/OL].電子技術(shù)與軟件工程，2019（19）：185.