网络安全防御技术优化

在开放的网络环境中，由于信息系统和网络协议固有的脆弱性，因此网络攻击防不胜防。通过加强网络防御，采取积极有效的防护手段，可提高计算机网络的安全性，减少因网络攻击而造成的损失。防范和应对网络攻击的主要技术措施包括信息加密技术、网络隔离技术、主动防御技术、电子取证技术、容灾备份技术、入侵容忍技术等。

1.信息加密技术

1）单钥密码算法

单钥密码算法，又称对称密码算法，是指加密密钥和解密密钥为同一密钥的密码算法。因此，信息的发送者和信息的接收者在进行信息传输与处理时，必须共同持有该密钥。

2）公钥密码算法

公钥密码算法，又称双钥密码算法，是指加密密钥和解密密钥为两个不同密钥的密码算法。公钥密码算法使用了一对密钥，一个用于加密信息，另一个则用于解密信息，通信双方无须事先交换密钥就可进行保密通信。

3）数字签名

数字签名，是指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据。信息接收者使用信息发送者的公钥对附在原始信息后的数字签名进行解密后获得哈希摘要，并通过与自己收到的原始数据产生的哈希摘要对照，便可确信原始信息是否被篡改。

4）数字信封

数字信封，是指采用密码技术保证了只有规定的接收人才能阅读信息的内容。信息发送者首先利用随机产生的对称密码加密信息，再利用接收方的公钥加密对称密码，被公钥加密后的对称密码称为数字信封。在传递信息时，信息接收方要解密信息，就必须先用自己的私钥解密数字信封，得到对称密码，才能利用对称密码解密，从而得到信息。这样就保证了数据传输的真实性和完整性。

2.网络隔离技术

1）防火墙技术

防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入。可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。防火墙包含着一对矛盾：一方面，限制数据流通；另一方面，允许数据流通。在确保防火墙安全或比较安全的前提下提高访问效率，是当前防火墙技术研究和实现的热点。

防火墙可分为数据包过滤、应用级网关、代理服务三大类。

（1）数据包过滤，是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素或它们的组合，确定是否允许该数据包通过。

（2）应用级网关，是在网络应用层上建立协议过滤和转发功能。针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时对数据包进行必要的分析、登记和统计，形成报告。数据包过滤和应用级网关防火墙有一个共同的特点，就是仅依靠特定的逻辑来判定是否允许数据包通过。

（3）代理服务，也称链路级网关或TCP通道，将所有跨越防火墙的网络通信链路分为两段，内外计算机系统间应用层的“链接”由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。

2）物理隔离技术

所谓物理隔离，是指内部网不得直接或间接地连接公共网络。物理隔离是相对于涉密网络和公共网络而言的。物理隔离是相对于使用防火墙等逻辑隔离而言的，涉密网络与公共网络彼此隔离，两个网络之间不存在数据通路。物理隔离最彻底的方法是安装两套网络和计算机设备，一套对应内部办公环境，另一套连接外部互联网，两套网络互不相关。目前，常见的物理隔离技术有双网机隔离与交换技术、单主板安全隔离计算机、网络安全隔离卡等。

3.主动防御技术

1）入侵检测技术

入侵检测，是通过监视各种操作，分析、审计各种数据和现象来实时检测入侵行为的过程，是一种积极的和动态的安全防御技术。入侵检测的内容涵盖了授权的和非授权的各种入侵行为。用于入侵检测的所有软硬件系统称为入侵检测系统（IDS），可以通过网络和计算机动态地搜集大量关键信息资料，并能及时分析和判断整个系统环境的目前状态，一旦发现有违反安全策略的行为或系统存在被攻击的痕迹等，就立即启动有关安全机制进行应对。例如，通过控制台或电子邮件向网络安全管理员报告案情，立即中止入侵行为、关闭整个系统、断开网络连接等。入侵检测技术大致分为基于知识的模式识别、基于知识的异常审计、基于推理分析三类，主要检测方法有特征检测法、概率统计分析法、专家知识库系统等。

入侵检测的一般过程包括信息采集、信息分析和入侵响应三个环节。信息采集所采集的主要内容包括系统和网络日志、目录和文件中的敏感数据、程序执行期间的敏感行为，以及物理形式的入侵等。信息分析主要指通过与安全策略中的模式匹配、与正常情况下的统计分析对比、与相关敏感信息属性要求的完整性分析对比等。入侵响应分主动响应和被动响应。主动响应可对入侵者和被入侵区域进行有效控制。被动响应只是监视和发出告警信息，其控制需要人为介入。

2）“蜜罐”技术

“蜜罐”是一种安全资源，所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。对这些攻击活动进行监视、检测和分析，就可以掌握各种攻击活动。蜜罐与生产网络隔绝并有保护措施，闯入蜜罐的入侵者无法借助蜜罐攻击其他外部系统。

蜜网是在蜜罐技术上逐步发展起来的一个诱捕网络，实质上是一类研究型的高交互蜜罐技术，其主要目的是收集黑客的攻击信息，与传统蜜罐技术的差异在于，蜜网构成了一个黑客诱捕网络体系架构（可以包含一个或多个蜜罐），同时保证了网络的高度可控性，以及提供多种工具以便采集和分析攻击信息。

3）安全审计系统

安全审计，是在网络中模拟社会活动的监察机构，对网络系统的活动进行监视、记录并提出安全意见和建议的一种机制。利用安全审计，可以有针对性地对网络运行状态和过程进行记录、跟踪和审查。安全审计不仅可以对网络风险进行有效评估，还可以为制定合理的安全策略和加强安全管理提供决策依据，使网络系统能够及时调整对策。计算机网络安全审计主要包括对操作系统、数据库、Web、邮件系统、网络设备和防火墙等项目的安全审计，以及加强安全教育，增强安全责任意识。

4.电子取证技术(www.xing528.com)

在计算机网络这个无形的世界里，影响计算机系统和网络安全的攻击行为时有发生，各种攻击都会涉及信息和计算机安全的目标——保密性、完整性和可用性，攻击正是针对这三个目标中的某一项或几项。

信息取证，是在攻击事件发生后采取的措施和行动，以便阻止和减小攻击事件带来的影响，并且根据攻击者攻击行动留下的痕迹寻找攻击证据，最终找到攻击者，给予法律的约束和震慑。

网络攻击的追踪，就是找到攻击发生的源头，确定攻击者的身份，在大多数情况下是指发现IP地址、MAC地址或者是认证的主机名。发生攻击时，攻击者要访问特定的系统、网络设备或硬件组件，只要能追踪到攻击的源头，就能确定攻击者的身份。追踪方法主要是依据系统的日志数据。系统的日志数据可以提供一些可能有用的源地址信息。

证据必须是难以伪造的，这样才能保证证据的可靠性，证明非法用户的行为是存在的、不可否认的。信息取证要遵循以下原则：

（1）尽早收集证据，以保证其准确性不因时间过久而受到影响，并保证其没有受到任何破坏。

（2）必须保证“证据连续性”，即在证据被正式提交给法庭时，必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化，当然最好是没有任何变化。

（3）整个检查、取证过程必须是受到监督的。

信息取证过程大致可以分为保护现场、分析数据、追踪源头、提交结果、数据恢复等几个步骤。

（1）封锁受攻击的目标主机，保护现场。

（2）检查目标系统中的所有数据，迅速对现场所有原始件进行完全备份，以保证原始证据的可靠性和可信性。

（3）对磁盘数据进行全面分析，找出有相关性或可疑的用户。

（4）根据证据即分析得来的线索，尽可能缩小攻击者所处的范围，追踪源头。

（5）向有关部门提交对目标系统的全面分析结果，给出可靠凭证和具有权威性的分析结论。

（6）利用灾难恢复技术，尽可能地恢复被修改、毁坏、删除的数据。

取证技术主要包括入侵检测技术、攻击的追踪技术、自动响应技术等。

5.容灾备份技术

随着网络技术的飞速发展，越来越多的业务通过网络进行，越来越多的关键数据被存储在计算机系统中，这些数据的丢失和损坏将造成难以估量的损失。

传统的数据系统的安全体系主要有数据备份系统和高可用系统两方面。数据备份系统提供应用系统的数据后援，确保在任意情况下数据具有完整的恢复能力。高可用系统确保本地应用系统在多机环境下具有抗御任何单点故障的能力，一旦系统发生局部意外，高可用系统就可以在最短的时间内迅速确保系统的应用继续运行（热备份）。传统的数据备份技术足以避免由于各种软硬件故障、人为操作失误和病毒侵袭所造成的破坏，保障数据安全。但当面临大范围灾害性突发事件时，若想迅速恢复应用系统的数据，保持企业的正常运行，就必须建立异地的灾难备份系统。

容灾就是在灾难发生时，能够最大限度地减少数据丢失，使系统能够不间断运行或者能尽快地恢复运行。容灾一般是通过数据或者硬件的冗余来实现的。在灾难发生时，可以利用备用数据和备用系统来迅速恢复正常运行，将损失降到最低。

容灾技术则是通过在异地建立和维护一个备份系统（即容灾系统），利用地理上的分散性来保证数据对于灾难性事件的抵御能力。

容灾系统在实现中可分为两个层次：数据容灾和应用容灾。数据容灾是指建立一个备用的数据系统，该系统是对应用系统中的关键应用数据进行实时复制。当应用系统出现灾难时，可由备用数据系统迅速对系统的数据进行恢复，保证数据不丢失或者尽量少丢失。应用容灾比数据容灾层次更高，即建立一套完整的、与应用系统相当的备份应用系统，备份应用系统既可以与应用系统互为备份，也可与应用系统共同工作。在灾难出现后，备用应用系统迅速接管或承担应用系统的业务运行。

数据的远程复制技术是容灾系统的核心技术，是保持远程数据同步和实行灾难恢复的基础。实时恢复的容灾系统对数据复制技术提出了更高的要求。为减少灾难恢复时的数据丢失，数据复制技术应维持本地与远程系统的数据尽量同步。

6.入侵容忍技术

入侵容忍，是认同安全问题的不可避免性，针对安全问题，不再将消除或防堵作为第一重点，而是聚焦于系统在受攻击情况下仍能提供正常（或降级）服务上。入侵容忍要求当系统遭受攻击或入侵时，仍然能够连续地提供所期望的服务，即使系统的某些组件已经被破坏，系统仍然可提供降级的服务。

入侵容忍的目标是保证系统在发生故障时也能正确运转，当系统由于故障原因不能工作时，也应以一种无害的、非灾难性的方式停止。入侵容忍主要考虑在攻击存在的情况下系统的自动诊断、自动修复以及生存能力，所关注的是攻击造成的后果而不是攻击的原因。

入侵容忍技术主要包括容忍技术和错误触发技术两方面。容忍技术，可以让系统对入侵和攻击具有可恢复性能（弹性），包括资源重新分配、系统冗余等技术。错误触发技术，提高监测系统资源、可能的攻击以及系统错误，使系统在被攻击或发生故障的初期就能够被发现并得到相应的处理。

入侵容忍技术的实现方式主要有基于软件的入侵容忍技术、基于硬件的入侵容忍技术和中间件技术。基于软件的入侵容忍技术，是指通过用软件的方式来容忍硬件的错误，并通过设计的多样性来容忍软件自身设计的失误。基于硬件的入侵容忍技术与利用软件来实现入侵容忍的方式是相辅相成的。基于硬件的入侵容忍中带有增强受控错误模式，可以作为提供基础框架的方法。此外，协议在基础框架中也起到一定作用。中间件是指介于应用系统和操作系统之间的系统软件，它一般位于客户端和服务器端之间。中间件技术可以屏蔽操作系统和网络协议之间的差异，它和安全技术结合之后，屏蔽了安全的复杂性。在实际应用中，可根据网络安全的要求，开发符合网络安全要求的中间件，如安全中间件融合了加密技术和中间件技术。