周怡燕
摘要:網(wǎng)絡安全通過采用各種技術(shù)和管理措施,使計算機網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不受偶然的因素或者惡意的攻擊而遭到破壞、更改、泄漏,確保網(wǎng)絡服務不中斷網(wǎng)絡及業(yè)務系統(tǒng)正常運行,從而確保網(wǎng)絡及數(shù)據(jù)的可用性、完整性和保密性。
關(guān)鍵詞:網(wǎng)絡安全;層次體系;技術(shù)機制;入侵檢測;防火墻
中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9416(2020)07-0178-05
正如世界上是不存在密不透風的墻一樣,在網(wǎng)絡安全的世界里也不可能存在不可攻破的防護。任何的程序都存在漏洞,也正是這個原因,導致了網(wǎng)絡安全問題的層出不窮。網(wǎng)絡安全是動態(tài)的,猶如醫(yī)學的不斷進步與細菌病毒的不斷進化一樣,網(wǎng)絡安全攻擊與反攻擊(防護)是永恒的矛盾。所以,網(wǎng)絡安全是相對的,同時網(wǎng)絡安全也是有時限性的,需要不斷的更新、加強安全措施來預防保護計算機網(wǎng)絡和信息的安全。[1]
1 計算機網(wǎng)絡安全層次體系
要針對網(wǎng)絡安全問題提出合理的解決方案,首先就要對網(wǎng)絡的整個運行情況及運行機制做一個深入的了解。只有完全了解網(wǎng)絡的運行原理,才能根據(jù)原理及現(xiàn)象提出有效的解決辦法。而現(xiàn)行的網(wǎng)絡動作機制是基于TCP/IP協(xié)議實現(xiàn),雖然現(xiàn)在使用的TCP/IP協(xié)議工作模型相對國際通用的OSI七層模型看起來要簡單,但實際上運作原理和機制卻比OSI七層模型要復雜。[2]因此,在理解網(wǎng)絡傳輸?shù)墓ぷ鞣绞降臅r候,我們需要對比參照兩個模型來深入理解網(wǎng)絡的基本原理(如表1)。
在傳統(tǒng)的網(wǎng)絡攻擊中,有很多網(wǎng)絡攻擊都是針對網(wǎng)絡數(shù)據(jù)傳輸?shù)闹虚g環(huán)節(jié),通過各種方式破壞數(shù)據(jù)傳輸、篡改數(shù)據(jù)或者竊取數(shù)據(jù)等從而達到攻擊者的目的。通過OSI七層參考模型每一層的功能(如圖1),我們可以非常清楚地理解數(shù)據(jù)在網(wǎng)絡中傳輸?shù)拿恳粋€過程(如圖2),從而可以根據(jù)這些傳輸過程來實施數(shù)據(jù)傳輸?shù)陌踩雷o措施。
從圖2我們可以清晰地看到,OSI七層參考模型的數(shù)據(jù)傳輸過程,用戶的應用程序數(shù)據(jù)交到應用層后,從第七層應用層開始每一層都在數(shù)據(jù)前加上本層的封裝頭部,然后傳輸?shù)较乱粚樱绱祟愅?。?shù)據(jù)封裝到數(shù)據(jù)鏈路層的幀頭后,轉(zhuǎn)交到物理層,也就是我們通常見到的各類網(wǎng)絡接口的硬件層次,硬件通過調(diào)制后形成比特流,在網(wǎng)絡線纜中傳輸?shù)竭_目標對象的物理層,目標對象的物理層硬件通過將比特流解調(diào)后再傳輸?shù)綌?shù)據(jù)鏈路層,然后逐層向上解封裝,最后達到目標對象應用程序,實現(xiàn)網(wǎng)絡的一次數(shù)據(jù)傳輸。我們現(xiàn)實的網(wǎng)絡中就是由無數(shù)的數(shù)據(jù)傳輸構(gòu)成,而網(wǎng)絡安全問題就是出現(xiàn)在這些數(shù)據(jù)傳輸之中。
然而,網(wǎng)絡安全問題的主要原因并不是出現(xiàn)在網(wǎng)絡層的數(shù)據(jù)傳輸,而是更多的利用與網(wǎng)絡相關(guān)的各個層面包括操作系統(tǒng)、應用程序、可執(zhí)行文件、用戶、設備等方面存在的漏洞進行滲透,最后通過網(wǎng)絡的連接控制、竊取、破壞各種各樣的信息、系統(tǒng)。網(wǎng)絡安全問題并不僅僅關(guān)注網(wǎng)絡層面,網(wǎng)絡層面只是其中一個方面,但網(wǎng)絡層面又是最關(guān)鍵的層面。信息時代發(fā)展到今天,網(wǎng)絡早已經(jīng)是無處不在了,也正是這個原因,導致了網(wǎng)絡安全受到廣泛關(guān)注,而更進一步的,則是信息安全的關(guān)注[3]。
通過上述的分析,其實網(wǎng)絡安全體系中包含的不僅僅是網(wǎng)絡層面的安全問題,而是包含一個完整的網(wǎng)絡安全層次體系(如圖3)和網(wǎng)絡安全體系結(jié)構(gòu)(如圖4),關(guān)注局部僅僅可以解決局部的問題,只有從多層面去進行研究、理解,才能找到合理的、有效的解決方案。而且方案也必須是可擴展、可升級的,這也正如前面提到的重點,網(wǎng)絡安全是動態(tài)的,網(wǎng)絡安全攻擊與反攻擊(防護)是永恒的矛盾;網(wǎng)絡安全是相對的,同時網(wǎng)絡安全也是有時限性的,需要不斷的更新、加強安全措施來預防保護網(wǎng)絡和信息的安全。
在關(guān)注網(wǎng)絡安全的時候,我們要關(guān)注的從物理層面的安全到網(wǎng)絡層面、系統(tǒng)安全層面、用戶安全層面、應用安全層面、數(shù)據(jù)安全層面各個層次都可能存在的問題,并且這些層次常用的安全技術(shù)或安全機制。通過這些安全技術(shù)和安全機制根據(jù)實際的網(wǎng)絡環(huán)境和條件制定合適的安全策略和方案,從而保證網(wǎng)絡擁有足夠的安全。
2 網(wǎng)絡安全技術(shù)機制
網(wǎng)絡安全問題需要解決,必不可少的就是各種強大的網(wǎng)絡安全技術(shù)機制。OSI七層參考模型制定了在OSI環(huán)境下解決網(wǎng)絡安全規(guī)則:安全體系結(jié)構(gòu)。它擴充了基本參考模型,加入了安全問題的各個方面,為開放系統(tǒng)的安全通信提出了一種概念性、功能性以及一致性的途徑。OSI七層參考模型中,每一層都有其對應的安全機制[4]。
因此,在建設網(wǎng)絡的時候,通常會根據(jù)網(wǎng)絡安全的需求以及網(wǎng)絡安全機制將對應用的網(wǎng)絡安全技術(shù)集成在網(wǎng)絡建設中,為網(wǎng)絡提供足夠強大的網(wǎng)絡安全保障。常見的網(wǎng)絡安全集成技術(shù)主要滿足包括網(wǎng)絡安全體系中的網(wǎng)絡安全與信息安全兩部分提到的要求(如圖5)。
3 網(wǎng)絡安全管理機制
網(wǎng)絡安全技術(shù)機制是保證網(wǎng)絡在軟硬件方面的安全,然而,導致網(wǎng)絡安全問題事件頻出的原因除了網(wǎng)絡攻擊、病毒肆虐、系統(tǒng)漏洞等原因之外,更重要的是網(wǎng)絡的使用者——用戶的原因。甚至可以說除了不可避免的外網(wǎng)網(wǎng)絡攻擊是別有用心的人在操縱之外,病毒肆虐、系統(tǒng)漏洞、謠言信息的發(fā)布、傳播,支付賬號、銀行密碼等等方面的網(wǎng)絡安全問題的主要根源是網(wǎng)絡的使用者——用戶自己導致的。如何通過有效的措施防止這些由用戶引起的安全性問題?一方面需求網(wǎng)絡安全技術(shù)的支撐,另一方面也需要網(wǎng)絡安全管理的機制來保證。[5]
所謂“無規(guī)矩不成方圓”,一個良好的管理機制帶來的好處甚至比直接使用網(wǎng)絡安全技術(shù)進行防護更有效果?!叭旨夹g(shù)、七分管理”,網(wǎng)絡安全尤為如此。 因此,通過將網(wǎng)絡技術(shù)機制與網(wǎng)絡安全管理機制的相結(jié)合將是一個可行有效的網(wǎng)絡安全綜合解決方案。
4 網(wǎng)絡安全技術(shù)分析
4.1 防火墻技術(shù)分析
防火墻本身具有較強的抗攻擊能力,它是提供信息安全服務、實現(xiàn)網(wǎng)絡和信息安全的基礎設施。通過防火墻技術(shù)的應用,可以大大提高內(nèi)部網(wǎng)絡對來自外部網(wǎng)絡攻擊的抵御,防火墻技術(shù)可以分為硬件防火墻與軟件防火墻。[6]
硬件防火墻是指由網(wǎng)絡安全廠商生產(chǎn)的軟硬件一體的防火墻產(chǎn)品,這類產(chǎn)品采用X86架構(gòu),不是基于專用的硬件平臺,目前市場上大多數(shù)防火墻都是這種“硬件”防火墻,和普通的PC沒有太大區(qū)別,運行一些廠商專門優(yōu)化的特定系統(tǒng),使得整個設備可以發(fā)揮最好的性能。
軟件防火墻是指在用戶操作系統(tǒng)中安裝一個防火墻軟件,這些軟件通過控制系統(tǒng)的端口與進出操作系統(tǒng)的流量進行檢測,基本實現(xiàn)防火墻功能,是基于個體的防護。
還有一種是基于專用平心的芯片式硬件防火墻,這類防火墻比其他種類的防火墻速度更快,處理能力更強、安全性好、性能更高。[7]
4.2 VPN技術(shù)分析
由于移動辦公的流行與BYOD的興起,VPN(虛擬專用網(wǎng)絡)技術(shù)已經(jīng)成為網(wǎng)絡安全體系中一個必不可少的應用技術(shù)。而在校園網(wǎng)絡中,教師、學生可能會通過各種網(wǎng)絡訪問學校內(nèi)部的資源,在沒有應用VPN技術(shù)的時候,這樣必然會造成極大的安全隱患,而使用VPN技術(shù)之后,從師生所處在的網(wǎng)絡環(huán)境到學校內(nèi)部網(wǎng)絡資源池之間的連接將受到保護。使用VPN技術(shù)之后,從用戶體驗的層面來看,對學校內(nèi)部網(wǎng)絡的訪問猶如用戶的設備直連到內(nèi)部網(wǎng)絡一樣,而這個過程中數(shù)據(jù)的傳輸卻是加密的,這就是使用VPN技術(shù)的好處。[8]
4.3 入侵檢測和入侵防御技術(shù)分析
互聯(lián)網(wǎng)絡的無處不在除了給人們帶來便捷的服務之外,還帶來了一個隱患——未知的安全威脅?,F(xiàn)在的網(wǎng)絡安全技術(shù),無論是防火墻還是防病毒軟件,都是基于已知的網(wǎng)絡威脅進行研發(fā)的,這樣就會出現(xiàn)一種現(xiàn)象:總是先有未知的病毒木馬進行感染傳播甚至攻擊網(wǎng)絡。然而,在瞬息萬變的互聯(lián)網(wǎng)絡中,每一秒鐘都可以產(chǎn)生大量的財富,也可能失去大量的財富,總是需要等待防病毒軟件或防火墻的更新升級來阻止或清除這些威脅顯然會導致高成本。于是,入侵檢測技術(shù)及入侵檢測系統(tǒng)就應運而生。
入侵檢測系統(tǒng)通常僅對這些異常的行為進行告警,而無法對于采取相應的措施來保證該行為的停止。因此,人們提出入侵防御技術(shù),通過入侵防御系統(tǒng)的流量一旦發(fā)現(xiàn)異常,那么,系統(tǒng)可以將這個異常流量及相關(guān)行為進行告警并阻斷,保證了該異常行為的繼續(xù)發(fā)生。[9]
這兩個系統(tǒng)采用的技術(shù)手段都是基于兩套系統(tǒng)內(nèi)置的監(jiān)測模型進行判斷,雖然對未知的威脅具備一定的處理能力,但也會存在漏報、錯報的情況。
4.4 AAA安全技術(shù)分析
使用認證手段來確定用戶,通過認證這一步驟后便可以對這個用戶進行策略性的授權(quán),最后這些被授權(quán)用戶所做的行為進行記錄,這便是采用AAA提高網(wǎng)絡安全性的過程。這個過程可以降低未知用戶對網(wǎng)絡造成安全威脅。
4.5 數(shù)據(jù)加密技術(shù)分析
密碼技術(shù)是保證安全的最基本措施,而且密碼技術(shù)廣泛應用在網(wǎng)絡、現(xiàn)實生活之中。通過各種的密碼策略要求用戶創(chuàng)建并使用密碼來對其私隱、個人信息等方面進行保護。通過采用賬號密碼的方式,可以為用戶提供認證手段,通常建議密碼采用數(shù)字、字母、字符混合組成,并使用大小寫來提高密碼的復雜性??梢哉f,密碼技術(shù)的應用為網(wǎng)絡安全或者說整個安全領(lǐng)域提供一個最基礎的安全性保障。
無論是網(wǎng)絡中傳輸?shù)臄?shù)據(jù)、還是存儲在種種存儲介質(zhì)的數(shù)據(jù),如果采用明文的方式進行傳輸、保存,則很容易被有心人竊取,從而造成信息的泄露。為了解決這個問題,我們將在網(wǎng)絡中傳輸?shù)臄?shù)據(jù),或者存儲在存儲介質(zhì)中的數(shù)據(jù)進行加密,確保即使數(shù)據(jù)被竊取后,竊取者還是沒法獲得信息的真實數(shù)據(jù)。
加密技術(shù)可以分為鏈路加密、節(jié)點加密和端到端加密,而加密時采用的加密算法不同又可以分為對稱加密和非對稱加密。其中采用對稱加密技術(shù)時采用對稱密鑰,具有運算量小、速度快、安全強度高的特點,現(xiàn)在仍被廣泛使用,但是這對稱加密技術(shù)仍然存在密鑰丟失的問題而導致信息泄露。非對稱加密技術(shù)的工作原理是通過產(chǎn)生一對密鑰,其中一個是對外公開的,另一個是個人私有的,通過這對密鑰間的加密解密,可以實現(xiàn)數(shù)據(jù)加密,還可以實現(xiàn)數(shù)字簽名(即確認對方身份)。非對稱加密技術(shù)可以確保密文的安全性以及唯一性,大大提高了數(shù)據(jù)的安全性,但其缺點是運算量大,加密速度慢。
在實際的使用過程中,我們通常采用混合加密的方式來保證數(shù)據(jù)傳輸及存儲的安全性。非對稱加密技術(shù)用來加密傳輸對稱加密技中的密鑰,而真正的數(shù)據(jù)傳輸加密則使用對稱加密技術(shù)的密鑰。這樣一方面可以確認密鑰傳輸?shù)陌踩裕硪环矫婵梢员WC數(shù)據(jù)加解密和傳輸?shù)男?。[10]
4.6 防病毒技術(shù)分析
預防病毒技術(shù)包括:磁盤引導區(qū)保護、加密可執(zhí)行程序、讀寫控制技術(shù)、系統(tǒng)監(jiān)控技術(shù)等。例如,大家所熟悉的防病毒卡,其主要功能是對磁盤提供寫保護,監(jiān)視在計算機和驅(qū)動器之間產(chǎn)生的信號。以及可能造成危害的寫命令,并且判斷磁盤當前所處的狀態(tài):哪一個磁盤將要進行寫操作,是否正在進行寫操作,磁盤是否處于寫保護等,來確定病毒是否將要發(fā)作。計算機病毒的預防應用包括對已知病毒的預防和對未知病毒的預防兩個部分。目前,對已知病毒的預防可以采用特征判定技術(shù)或靜態(tài)判定技術(shù),而對未知病毒的預防則是一種行為規(guī)則的判定技術(shù),即動態(tài)判定技術(shù)。[11]
4.7 系統(tǒng)漏洞修補技術(shù)分析
通過軟件、操作系統(tǒng)的定時或不定時的升級、打補丁可以有效修復系統(tǒng)漏洞,令利用這些漏洞的惡意軟件無從入手,使用系統(tǒng)的安全性大大提高,保證網(wǎng)絡的安全性。常見的系統(tǒng)漏洞修復措施是內(nèi)網(wǎng)搭建WSUS。WSUS是Windows Server Update Services的簡稱,它在以前Windows Update Services的基礎上有了很大的改善。目前的版本可以更新更多的Windows補丁,同時具有報告功能和導向性能,管理員還可以控制更新過程。
其他提高網(wǎng)絡安全的安全技術(shù)還有網(wǎng)絡隔離技術(shù),通軟件或者物理進行隔離,保離被隔離的雙方不會對對方造成安全威脅或影響。例如,交換機采用基于VLAN的網(wǎng)絡隔離,或者是物理網(wǎng)絡層面上采用網(wǎng)閘進行網(wǎng)絡隔離。還有一些基于網(wǎng)絡設備的安全特性如端口隔離,ARP綁定,IP與MAC地址綁定等應用特性的網(wǎng)絡安全技術(shù)。[12]
綜上所述,針對可能存在的網(wǎng)絡安全隱患,將網(wǎng)絡技術(shù)機制與網(wǎng)絡安全管理機制的相結(jié)合,根據(jù)系統(tǒng)應用情況從防火墻技術(shù)、VPN技術(shù)、入侵檢測和入侵防御技術(shù)、AAA安全技術(shù)、數(shù)據(jù)加密技術(shù)、防病毒技術(shù)、系統(tǒng)漏洞修補技術(shù)等技術(shù)中選擇,從兩方面分析制定網(wǎng)絡安全策略,一方面是針對實際技術(shù)應用的安全策略,如系統(tǒng)策略、準入策略、資料存儲備份恢復策略等等;另一方面就針對整個網(wǎng)絡安全的策略,其實就是基于網(wǎng)絡安全技術(shù)與網(wǎng)絡安全管理等方面并結(jié)合實際需求而制定的適合現(xiàn)實使用的策略。如針對學校校園網(wǎng)絡安全,可以制定以下一些有效策略:
(1)加強網(wǎng)絡安全管理制度建設;
(2)做好物理安全防護;
(3)加強對用戶的教育和培訓;
(4)提高網(wǎng)絡管理人員技術(shù)水平;
(5)規(guī)范出口、入口管理;
(6)配備網(wǎng)絡安全設備或系統(tǒng);
(7)建立全校統(tǒng)一的身份認證系統(tǒng);
(8)建立更安全的電子郵件系統(tǒng);
(9)做好備份和應急處理。
通過這些宏觀策略的制定,再進一步具體到各個方面,最后落實到微觀策略的實現(xiàn),最終可以將整個網(wǎng)絡安全的安全程序提高一個級別,從而降底網(wǎng)絡安全問題所帶來的負面影響以及損失。
參考文獻
[1] 徐明.網(wǎng)絡信息安全[M].西安:電子科技大學出版社,2006.
[2] 唐乾林.網(wǎng)絡安全系統(tǒng)集成與建設[M].北京:機械工業(yè)出版社,2010.
[3] 周麗娟.校園網(wǎng)絡的安全策略研究[J].長春師范學院學報,2009(9):81-84.
[4] 陳杰新.校園網(wǎng)絡安全技術(shù)研究與應用[D].吉林:吉林大學,2010.
[5] Mark Hadfield,Christopher Chapman. Leading School-based Networks[M].Routledge,2009.
[6] IT架構(gòu)設計研究組.大數(shù)據(jù)時代的IT架構(gòu)設計[M].電子工業(yè)出版社,2014.
[7] Houston Carr,Charles Snyder,Bliss Bailey. Management of Network Security[M]. Prentice Hall,2009.
[8] Yusuf Bhaiji. Network Security Technologies and Solutions[M].Cisco Press,2008.
[9] 楊雅輝.網(wǎng)絡安全體系結(jié)構(gòu)[M].北京:高等教育出版社,2008.
[10] 安繼芳,李海建.網(wǎng)絡安全應用技術(shù)[M].北京:人民郵電出版社,2011.
[11] James M. Stewart,Mike Chapple,Darril Gibson.CISSP:Certified Information Systems Security Professional Study Guide[M].Sybex,2011.
[12] Douglas W. Frye, Douglas W. Frye. Network Security Policies and Procedures[M].Springer-Verlag New York Inc,2006.