浅谈计算机网络的安全防护技术

2020-12-30李光灿

网络安全技术与应用 2020年8期

关键词：访问控制防火墙加密

◆李光灿

（重庆大学附属三峡医院信息数据部重庆 404000）

1 引言

随着计算机网络的广泛使用，不断地增强网络的安全防护技术有助于保证网络信息的安全性。所以，不断地研究探讨网络使用中的安全防护技术便非常有必要。

2 信息加密

加密是网络安全的核心技术，是传输安全的基础，包括数据加密、消息摘要、数字签名和密钥交换等，可以实现保密性、完整性和不可否认性等基本安全目标。

2.1 密码学与密码体制

密码学是网络信息安全的基础，包括编码学和分析学两部分。密码编码学研究如何构造一个符合安全要求的密码系统，密码分析学试图破译加密算法和密钥，两者相互对立又相互促进。密码体制是指加密系统采用的基本工作方式，由加密/解密算法和密钥组成，按照加密密钥是否可以公开，分为对称加密体制和非对称加密体制两大类，也称为单钥体制和双钥体制。

2.2 数据加/解密技术

（1）加密算法：加密算法可分为对称密钥算法、公钥算法、散列算法（消息摘要）等。

（2）网络加密方式：网络通信可在通信的三个不同层次实现加密，即链路加密、节点加密和端到端加密。

（3）密码分析：密码分析指在不知道解密密钥的情况下，对加密信息进行解密，其目标是寻找密码算法的弱点，并根据这些弱点对密码进行破译。

2.3 认证技术

认证技术是指用于验证所传输数据的完整性的过程，一般分为消息认证和身份认证两种技术。消息认证用于保证信息的完整性和不可否认性，它可以检测信息是否被第三方篡改或伪造。消息认证包括消息认证码、安全散列函数和数字签名三大类。身份认证是指用户要向系统证明他就是他所声称的用户，包括身份识别和身份验证。身份认证就是证实用户的真实身份是否与其申明的身份相符的过程，是为了限制非法用户访问网络资源，是其他所有安全机制的基础。

2.4 公钥基础设施（PKI）

PKI是利用公钥理论和技术，为网络数据和其他资源提供信息安全服务的基础设施。广义上说，所有提供公钥加密和数字签名服务的系统都可以称为PKI。PKI采用证书管理公钥，通过认证机构（CA）把用户的公钥和其他标识信息绑定，实现用户身份验证。PKI很好地解决了对称密码技术中共享密钥的分发管理问题，在具有加密数据功能的同时也具备数字签名功能，目前已形成一套完整的互联网安全解决方案。

3 访问控制

访问控制是网络防护的核心策略。它基于身份认证，规定了用户和进程对系统和资源访问的限制，目的是保证网络资源受控且合法地使用，用户只能根据自身权限访问系统资源，不能越权访问。常见的访问控制技术有：

（1）自主访问控制：基于拥有者的访问控制，拥有者可以将该资源的访问权限随意赋予其他主体，一般采用访问控制矩阵实现，一行表示一个主体，一列表示一个受保护的客体。具体实现访问控制矩阵的方法分为基于行的访问能力表和基于列的访问控制表两种。

自主访问控制在一定程度上实现了权限隔离和资源保护，但是其资源管理较为分散，没有统一的全局控制。

（2）强制访问控制：系统强制主体服从访问控制政策。管理员根据主体和客体各自的安全属性之间的关系，决定主体对客体能否执行特定操作，不允许主体直接或间接修改自身或任何客体的安全属性，也不能将自己拥有的访问权限授予其他主体。强制访问控制特别适合于多层次安全级的系统，其主要缺陷在于不够灵活，实现工作量较大。

（3）基于角色的访问控制：核心思想是将访问权限与角色相联系，包括三个实体，即用户、角色和权限。角色是根据不同任务需要而设置的，用户可以在角色间进行转换，系统可以添加或删除角色，也可以对角色的权限进行添加或删除。基于角色的访问控制具有以下特点：以角色作为访问控制的主体；每个角色可以继承其他角色权限；最小权限原则，即用户权限不超过其执行工作所需权限。

4 防火墙

防火墙是指在不同网络或网络安全域之间，对网络流量或访问行为实施访问控制的一系列安全组件或设备，从技术上分类，它属于网络访问控制机制。它通常工作在可信内部网络和不可信外部网络之间的边界，其所遵循的原则是在保证网络畅通的前提下，尽可能保障内部网络的安全。它是一种被动的技术，也是一种静态安全组件。

防火墙的主要功能有：（1）服务控制：只允许子网间相互交换与特定服务有关的信息。（2）方向控制：只允许由某个特定子网的终端发起的与特定服务相关的信息通过。（3）用户控制：为每个用户设定访问权限，对访问资源的用户进行认证，实现用户的访问控制。（4）行为控制：对访问资源的操作行为进行控制和记录，可记录各种非法活动，过滤非法内容等。

防火墙也存在不少缺陷，主要包括：（1）不能防范不经过防火墙的攻击。（2）不能防范来自内网的攻击。（3）不能防范病毒、后门、木马和数据驱动攻击。（4）只能防范已知威胁，难以防御新的威胁。

5 入侵防御

入侵防御系统是指通过对行为、安全日志、审计数据或其他网络上可以获得的信息进行操作，检测到对系统的入侵或入侵企图，并及时采取行动阻止入侵。入侵防御系统是一种主动安全技术，不仅可以检测来自外部的入侵行为，同时可以检测来自网络内部用户的未授权活动和误操作，可有效弥补防火墙的不足。它通常与防火墙联合，把攻击拦截在防火墙外。与防火墙的不同之处在于，入侵防御主要检测内部网络流的信息流模式，及时报警并通知管理员。

入侵防御系统的主要功能包括：（1）识别常用入侵和攻击手段。（2）监控并记录网络异常通信。（3）鉴别对系统漏洞或后门的利用。（4）实时对检测到的入侵进行报警。（5）及时提供响应机制，阻止入侵继续进行。

入侵防御系统目前还存在不少问题：（1）攻击技术不断更新，检测手段容易被绕过，入侵防御系统很难及时跟踪最新的攻击技术。（2）入侵防御系统通常假设攻击信息是明文传输的，加密的恶意信息可以较轻松地逃避检测。（3）网络设备多样化，入侵防御系统需要协调和适应多样性的环境。（4）用户需要入侵防御系统实时报警，因此需要对大规模数据实时分析。（5）各厂家各自为战，缺乏统一的标准，使得产品间互通很困难。（6）大量的误报和漏报使得发现真正的入侵非常困难。

6 恶意代码防范

所谓恶意代码实质是一种在一定环境下可以独立执行的指令集或嵌入到其他程序中的代码。恶意代码可分为以下几类：（1）不具有复制能力的依附性恶意代码，包括木马、逻辑炸弹、后门。（2）不具有复制能力的独立性恶意代码，包括木马生成器、恶作剧、木马、后门。（3）具有自我复制能力的依附性恶意代码，包括病毒。（4）具有自我复制能力的独立性恶意代码，包括蠕虫、恶意脚本、僵尸、计算机细菌。

针对不同类别的恶意代码，防范方法各有不同，但是使用的防范技术类似，主要包括：（1）基于特征的扫描技术：反病毒引擎最常用的技术。首先建立恶意代码的特征文件，在扫描时根据特征进行匹配查找。（2）校验和法：在系统未被感染前，对检测的正常文件生成其校验和值，然后周期性地检测文件的改变情况。（3）沙箱技术：根据可执行程序需要的资源和拥有的权限建立程序的运行沙箱。每个程序都运行在自己的沙箱中，无法影响其他程序的运行，在沙箱中可以检测和分析恶意代码的行为。（4）基于蜜罐的检测技术：蜜罐是虚拟系统，伪装成有许多服务的服务器主机以吸引黑客攻击，同时安装强大的监测系统，用于监测恶意代码的攻击过程。

7 安全审计与查证

网络安全审计是指在特定网络环境下，为了保障网络系统和信息资源不受外网和内网用户的入侵和破坏，运用各种技术手段实时收集和监控网络各组件的安全状态和安全事件，以便集中报警、分析和处理的一种技术。它作为一种新的概念和发展方向，已经出现许多产品和解决方案，如上网行为监控、信息过滤等。

安全审计对于系统安全的评价、对攻击源和攻击类型与危害的分析、对完整证据的收集至关重要，其主要作用包括：（1）对潜在攻击者起到震慑或警告作用。（2）对已发生的系统破坏行为提供有效证据。（3）提供有价值的日志，帮助管理员发现系统入侵行为或潜在系统漏洞。（4）提供系统运行的统计日志，发现系统性能的脆弱点。

安全审计主要包括以下内容：（1）网络设备审计：路由器、交换机、防火墙、入侵检测设备、主机、服务器等，主要审计配置信息、用户权限、链路带宽等。（2）日志文件审计：日志记录了系统运行情况，通过它可以检查发生错误的原因，或发现攻击痕迹。（3）安全威胁审计：未经授权的资源访问、未经授权的数据修改和操作、拒绝服务等。