計(jì)算機(jī)網(wǎng)絡(luò)安全問題及防護(hù)對(duì)策

2021-07-20 08:15:06董漢霞呂東鋒商乙山

網(wǎng)絡(luò)安全技術(shù)與應(yīng)用 2021年6期

◆董漢霞呂東鋒商乙山

（河南省軍區(qū)數(shù)據(jù)信息室河南 450000）

計(jì)算機(jī)網(wǎng)絡(luò)安全具有機(jī)密性、完整性、可用性、可控性、可審查性的特點(diǎn)，由于計(jì)算機(jī)自身的脆弱性、開放性和自由性，使計(jì)算機(jī)網(wǎng)絡(luò)難免存在安全問題，因此，要分析計(jì)算機(jī)網(wǎng)絡(luò)安全問題及其成因，并采取針對(duì)性措施，加強(qiáng)內(nèi)網(wǎng)防護(hù)：

1 計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)的常見安全問題及成因

計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)存在的安全問題主要包括：客戶端存在系統(tǒng)漏洞，沒有及時(shí)更新補(bǔ)丁，缺乏統(tǒng)一的內(nèi)部網(wǎng)絡(luò)安全策略；筆記本電腦和移動(dòng)存儲(chǔ)設(shè)備隨意接入計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)，導(dǎo)致內(nèi)部網(wǎng)絡(luò)信息安全受到威脅；缺乏對(duì)計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)的點(diǎn)對(duì)點(diǎn)監(jiān)控，對(duì)于網(wǎng)絡(luò)客戶端的應(yīng)用軟件缺乏統(tǒng)一化的管理，無法快速、準(zhǔn)確、有效地進(jìn)行對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全事件的響應(yīng)。

2 計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)對(duì)策

計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)最常見的網(wǎng)絡(luò)安全模型是PDRR 模型，也即：Protection（防護(hù)）、Detection（檢測(cè)）、Response（響應(yīng)）、Recovery（恢復(fù)），如下圖所示：

圖1 計(jì)算機(jī)網(wǎng)絡(luò)安全模型

防護(hù)是預(yù)先阻止網(wǎng)絡(luò)攻擊事件的發(fā)生，是網(wǎng)絡(luò)安全的首道屏障；檢測(cè)是采用入侵檢測(cè)系統(tǒng)和工具，及早檢測(cè)出網(wǎng)絡(luò)入侵問題，是第二道安全屏障；響應(yīng)是在發(fā)生網(wǎng)絡(luò)攻擊（入侵）事件后進(jìn)行處理，恢復(fù)到安全狀態(tài)，包括系統(tǒng)恢復(fù)和信息恢復(fù)。

2.1 計(jì)算機(jī)內(nèi)網(wǎng)終端安全防護(hù)管理系統(tǒng)的設(shè)計(jì)方案和應(yīng)用

在計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)管理系統(tǒng)之中，主要采用三級(jí)結(jié)構(gòu)，即：探測(cè)器主要監(jiān)聽網(wǎng)絡(luò)動(dòng)態(tài)變化情況；管理中心主要進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)處理、存儲(chǔ)安全管理；控制臺(tái)中樞則通過管理界面、事件查看系統(tǒng)和報(bào)表查看系統(tǒng)進(jìn)行操作和管理，負(fù)責(zé)網(wǎng)絡(luò)數(shù)據(jù)的轉(zhuǎn)換、交互和策略分發(fā)等工作，并依據(jù)報(bào)警等級(jí)進(jìn)行安全事件的自動(dòng)響應(yīng)、安全檢測(cè)、監(jiān)視。

2.1.1 安全防護(hù)管理系統(tǒng)接入控制

計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)要對(duì)接入網(wǎng)絡(luò)的終端進(jìn)行掃描、認(rèn)證和安全檢測(cè)，判定接入網(wǎng)絡(luò)終端的合法性，查詢其是否安裝殺毒軟件、防火墻，并綁定IP 地址、MAC 地址，合格后方可接入內(nèi)網(wǎng)，并對(duì)其進(jìn)行監(jiān)測(cè)和審計(jì)。

（1）終端接入控制?；?02.1X 協(xié)議實(shí)施終端訪問控制和認(rèn)證，在認(rèn)證服務(wù)器、核心交換機(jī)、用戶認(rèn)證交換機(jī)、用戶終端的支持下，通過不同的通道開展認(rèn)證業(yè)務(wù)。同時(shí)，要考慮計(jì)算機(jī)網(wǎng)絡(luò)的規(guī)模，合理選取不同的認(rèn)證組網(wǎng)方式，如：集中式組網(wǎng)、分布式組網(wǎng)、本地認(rèn)證組網(wǎng)等。

（2）地址綁定。主要采用TCP/IP 協(xié)議進(jìn)行地址綁定，IP 協(xié)議對(duì)應(yīng)網(wǎng)絡(luò)層，使網(wǎng)絡(luò)主機(jī)的IP 地址與其物理地址相對(duì)應(yīng)，能夠采用對(duì)應(yīng)的IP 地址訪問網(wǎng)絡(luò)資源。

（3）終端監(jiān)控。由監(jiān)視服務(wù)器實(shí)現(xiàn)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)終端桌面的監(jiān)視，并生成終端屏幕監(jiān)控視圖，還利用Windows 系統(tǒng)消息處理平臺(tái)進(jìn)行應(yīng)用程序的監(jiān)控，及時(shí)獲悉和判斷計(jì)算機(jī)網(wǎng)絡(luò)終端用戶的行為。

（4）補(bǔ)丁分發(fā)。通常由網(wǎng)絡(luò)管理員進(jìn)行補(bǔ)丁分發(fā)工作，主要是通過內(nèi)網(wǎng)部署WSUS 服務(wù)器，再利用WSUS 服務(wù)器從網(wǎng)站下載系統(tǒng)補(bǔ)丁，由內(nèi)網(wǎng)WSUS 服務(wù)器將該補(bǔ)丁信息傳送至內(nèi)網(wǎng)終端用戶，實(shí)現(xiàn)統(tǒng)一的安全設(shè)置，避免內(nèi)網(wǎng)管理的人為漏洞，提高計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)終端的更新效率。

2.1.2 日志審計(jì)平臺(tái)的應(yīng)用

在日志審計(jì)平臺(tái)之中包括各級(jí)模塊，即：日志采集代理模塊、日志采集中心模塊、日志審計(jì)中心模塊和日志存儲(chǔ)中心模塊。具體來說，由日志采集代理模塊采集計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)，使之具有高可靠性、高準(zhǔn)確性和高效性，能夠幫助審計(jì)系統(tǒng)通過匹配關(guān)鍵詞來檢測(cè)網(wǎng)絡(luò)攻擊或入侵。由日志采集中心模塊接收并緩存各類日志數(shù)據(jù)，體現(xiàn)出高可靠性和安全性。由日志審計(jì)中心模塊采集日志采集中心轉(zhuǎn)發(fā)的系統(tǒng)日志數(shù)據(jù)，進(jìn)行關(guān)鍵詞匹配檢測(cè)和響應(yīng)處理。由日志存儲(chǔ)中心進(jìn)行日志數(shù)據(jù)的分類檢索、數(shù)據(jù)挖掘、統(tǒng)計(jì)分析和存儲(chǔ)。

2.1.3 安全聯(lián)動(dòng)技術(shù)的應(yīng)用

采用防火墻和入侵檢測(cè)系統(tǒng)的安全聯(lián)動(dòng)技術(shù)，通過開放式接口實(shí)現(xiàn)安全聯(lián)動(dòng)，可以將入侵檢測(cè)系統(tǒng)嵌入到防火墻之中，形成嵌入式的安全聯(lián)動(dòng)防護(hù)，防止偽造地址實(shí)施身份替代攻擊，并有效防止攻擊者化身為入侵檢測(cè)系統(tǒng)而導(dǎo)致的網(wǎng)絡(luò)安全問題。

2.1.4 入侵檢測(cè)技術(shù)的應(yīng)用

（1）防火墻系統(tǒng)的應(yīng)用。利用防火墻審查通信的IP 源地址、目的地址及端口號(hào)，實(shí)現(xiàn)對(duì)路由器、主機(jī)網(wǎng)關(guān)、子網(wǎng)的屏蔽，較好地控制網(wǎng)絡(luò)進(jìn)出行為。

（2）入侵檢測(cè)系統(tǒng)。通過主動(dòng)的網(wǎng)絡(luò)安全防護(hù)策略，從系統(tǒng)內(nèi)部和網(wǎng)絡(luò)資源中采集各種信息數(shù)據(jù)，進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)入侵或攻擊行為分析和預(yù)測(cè)。

（3）硬件加密機(jī)。采用TCP/IP 協(xié)議進(jìn)行硬件加密機(jī)和主機(jī)之間的通信，能夠支持RSA、DES、SDHI、MD5 等多種密碼算法，包括三層密鑰體系，即：本地主密鑰、傳輸主密鑰、工作密鑰等，為計(jì)算機(jī)網(wǎng)絡(luò)提供安全保密的數(shù)據(jù)通信服務(wù)。

可以在計(jì)算機(jī)網(wǎng)絡(luò)中配置開源、分布式的Snort 入侵檢測(cè)系統(tǒng)，通過調(diào)用外部捕包程序庫來抓包，捕獲發(fā)往計(jì)算機(jī)網(wǎng)絡(luò)主機(jī)的數(shù)據(jù)包，再由包解碼器進(jìn)行解碼，按照數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層進(jìn)行逐層解析，再進(jìn)入預(yù)處理程序，由檢測(cè)引擎對(duì)每個(gè)包進(jìn)行入侵檢測(cè)。

2.2 計(jì)算機(jī)網(wǎng)絡(luò)安全預(yù)警系統(tǒng)的構(gòu)建

要構(gòu)建針對(duì)網(wǎng)絡(luò)行為的計(jì)算機(jī)網(wǎng)絡(luò)安全預(yù)警系統(tǒng)，在對(duì)網(wǎng)絡(luò)使用行為進(jìn)行分析和預(yù)測(cè)的前提下，進(jìn)行及時(shí)快速的預(yù)警和響應(yīng)，有效提高計(jì)算機(jī)網(wǎng)絡(luò)的可靠性和安全性。如下圖2所示。

圖2 計(jì)算機(jī)網(wǎng)絡(luò)安全預(yù)警系統(tǒng)模型圖

2.2.1 數(shù)據(jù)采集模塊的應(yīng)用

該模塊實(shí)時(shí)采集受監(jiān)控子網(wǎng)的數(shù)據(jù)信息，并進(jìn)行數(shù)據(jù)流信息的預(yù)處理、統(tǒng)計(jì)查詢和分析預(yù)測(cè)，最后將其存儲(chǔ)于NetFlow 數(shù)據(jù)庫之中。

2.2.2 網(wǎng)絡(luò)行為分析模塊的應(yīng)用

依據(jù)源IP、目的IP、源端口、目的端口、數(shù)據(jù)包數(shù)量等基礎(chǔ)特征值數(shù)據(jù)，進(jìn)行網(wǎng)絡(luò)行為特征的提取、統(tǒng)計(jì)和分析處理。同時(shí)，要構(gòu)建網(wǎng)絡(luò)行為分析功能模型，采用聚類分析和關(guān)聯(lián)分析的方法，構(gòu)建網(wǎng)絡(luò)使用行為序列和模式，進(jìn)行網(wǎng)絡(luò)行為特征分析、檢測(cè)，以此作為計(jì)算機(jī)網(wǎng)絡(luò)安全策略決策的依據(jù)和參考。

2.2.3 網(wǎng)絡(luò)行為預(yù)測(cè)模塊的應(yīng)用

在挖掘獲悉計(jì)算機(jī)網(wǎng)絡(luò)使用行為模式之后，要生成網(wǎng)絡(luò)使用行為帶權(quán)有向圖，獲悉不同網(wǎng)絡(luò)使用行為之間的關(guān)聯(lián)性，再利用系統(tǒng)模型進(jìn)行網(wǎng)絡(luò)使用行為預(yù)測(cè)，進(jìn)行網(wǎng)絡(luò)使用行為權(quán)值的實(shí)時(shí)調(diào)整，提高計(jì)算機(jī)網(wǎng)絡(luò)安全預(yù)警系統(tǒng)的精準(zhǔn)性。

2.2.4 網(wǎng)絡(luò)預(yù)警及響應(yīng)模塊的應(yīng)用

在網(wǎng)絡(luò)預(yù)警模塊的應(yīng)用之中，該模塊主要鑒定和識(shí)別網(wǎng)絡(luò)用戶行為，判定其是否屬于攻擊行為，對(duì)攻擊行為的類別、企圖、對(duì)象、范圍、可能造成的后果進(jìn)行分析，并生成計(jì)算機(jī)網(wǎng)絡(luò)安全預(yù)警報(bào)告表。

在策略響應(yīng)模塊中，主要在發(fā)現(xiàn)或預(yù)測(cè)攻擊行為時(shí)采取對(duì)應(yīng)的應(yīng)急處置和響應(yīng)，并生成記錄日志，快速高效地?cái)M定計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)策略。

2.2.5 信息發(fā)布模塊的應(yīng)用

該模塊提供直接面向用戶的交互性界面，向網(wǎng)絡(luò)管理員直觀展示檢測(cè)到的網(wǎng)絡(luò)使用行為特征信息，為其提供數(shù)據(jù)庫和狀態(tài)監(jiān)控功能，分類存儲(chǔ)于不同的數(shù)據(jù)庫，如：用戶行為模式數(shù)據(jù)庫、特征值數(shù)據(jù)庫、有向圖數(shù)據(jù)庫等。

3 小結(jié)