部队通信工作中的网络安全防护探究

2022-07-08杨祯

通信电源技术 2022年4期

杨祯

（中国人民解放军69270部队，新疆喀什 844000）

0 引言

在不同年代，部队通信均是不法分子、国外恶势力攻击与破坏的对象。随着现代战争形势发生改变，强化部队通信网络安全防护是军事现代化建设的核心，也是衡量一个国家军工发展水平的重要指标。为保证部队通信能够顺利完成信息搜集处理、战场模拟、作战预警等任务，探究部队通信中网络安全防护具有重大现实意义。

1 部队通信中网络安全防护现状

现代军事工作对信息系统有着较强的依赖，从而使网络安全防护愈发重要。但目前我国部队通信中网络安全防护在计算机系统建设上、使用操作上均存在明显的缺陷，具体如下文所述。

1.1 计算机系统缺陷

近年来，我国部队通信技术水平有了显著提高，但与国际上先进技术之间仍然存在差距，主要表现则是计算机系统内的CPU芯片、通信软件等核心配置以及硬件设施大多来自进口，成为威胁我国部队网络通信安全的重大隐患[1]。病毒及网络入侵技术水平的提高使诸多邮件、网页、文件中均可携带恶意程序，一旦加载则可在系统中复制与扩散，潜藏在系统内盗取或篡改信息、破坏系统程序，甚至有些病毒能够基于感染、入侵计算机系统对整个通信网络造成破坏。目前，常见的入侵方式主要有以下3种。

（1）特洛伊木马。通过伪装、诱骗手段欺骗操作者启动，随后则隐藏在系统中，在操作者无任何察觉的情况下掌握系统控制权、程序访问权限，并植入恶意软件。由于其能够模仿正规程序或软件功能，因此不易被发现。现阶段特洛伊木马有破坏型、密码发送型、远程访问型以及键盘记录型，会对计算机系统乃至通信网络产生不同程度的破坏[2]。

（2）分布式拒绝服务攻击。分布式拒绝服务（Distributed Denial of Service，DDoS）攻击十分流行，其通过合理的服务请求将系统全部服务资源占用，导致合法用户无法快速获得服务响应，进而采取攻击。DDoS攻击运行原理如图1所示。黑客入侵到通信网络主机后通过植入木马实现对其他傀儡机的入侵，当控制数量达到一定标准时，则开始对目标机器展开攻击，大量的无效服务请求将使目标机陷入崩溃。若未能攻击成功，追查过程中也只能确定其攻击的目标对象，无法追击到攻击者行踪。

图1 DDoS攻击运行原理

（3）地址解析协议攻击。部队通信网络中所用局域网数据以帧为单位进行传输，保存的主要内容则是MAC地址。两台主机在以太网内完成数据传输，为避免暴露IP地址，依靠MAC地址完成传输工作。而从IP转换为MAC地址则通过地址解析协议（Address Resolution Protocol，ARP）实现，若出现ARP欺骗，则会导致网络出现频繁掉线或大范围不通情况。欺骗的主要对象是路由器和内网PC网关，通过欺骗可截获网关数据包，从而虚构出MAC地址，导致传输内容失真，无法完成通信活动。如果伪造网关将错误的网关地址传输到局域网内，其他计算机则无法传输数据[3]。

网络传输依靠多个网络节点实现，每个节点均有可能遭受入侵、侦听。在信息泄露的控制上，也缺少可靠的技术手段，其中存在的有用信息内容会被不法分子接收并重显。TCP/IP协议是互联网最基本的协议，其网络层以IP协议为基础，传输层以TCP协议为基础，需要通过3次握手在信息传输中建立起连接。

第1次握手发送报文：IP地址为192.168.1.134的客户主机发出连接请求，目标主机为server、目标端口为telnet，发送初始序列号为674326589。

第2次握手发送报文：目标主机server回发SYN报文段应答，初始序号为1449940077，并设置确认序号为674326589+1=674326590。

第3次握手发送报文：客户通过对序号1449940077+1=1449940078的确认完成对服务器SYN报文段的确认。

完成以上3步则可传输数据，整个过程中TCP的状态变迁如图2所示。

图2 TCP协议状态变迁

但在整个过程中存在诸多安全隐患，例如文件传输协议（File Transfer Protocol，FTP）协议服务过程中，其以客户机/服务器为基础架构，对于平台无关数据进行传输，通常安全问题出现在匿名FTP传输中，由于不提供用户信息，可能传输携带木马内容，缺少对访问权限严格、有效的控制，且用户名以及密码等机密信息的传输均采用明文方式，使泄漏、被盗等安全问题发生概率更高[4]。

1.2 使用操作存在缺陷

一些使用者在系统操作上存在不规范行为也成为网络遭受攻击的重要原因。目前部队将网络通信建设的重点定位为软件、硬件的开发，忽视对使用者的管理与规范。同时，针对网络系统中存在的安全问题，国家出台相关法律法规进行约束，指导部队约束网络通信行为。由于人才匮乏、缺少科学的网络运行管理机制、安全控制不到位，因此出现问题时无法快速响应、采取规范且有效的解决方法。此外，使用者缺乏安全意识，安全软件未能及时升级、数据库过期未能及时更新、未进行高安全等级数据备份等，使通信信息遭受严重的安全威胁[5]。

2 加强网络安全防护建设的策略

2.1 改进计算机系统

2.1.1 确立数据加密与分级安全制度

目前，国际上先进的部队通信网络安全防护措施是通过严格的权限等级制度对系统与网络的访问、使用进行控制。根据部队通信的特点构建起等级明确的分级管控制度，保障网络通信安全。具体来讲，明确部队通信中每一级人员的使用权限，严禁跨越级别接触通信信息与内容。通过信息加密算法对数据进行有效加密与合理隐藏，加强传输过程中对信息安全的保障，避免出现信息泄漏、被盗、被篡改。

2.1.2 安装防病毒软件以及防火墙

在通信网络中为主机安装杀毒软件是减少系统遭受入侵的重要手段，通过杀毒软件能够对网络内连接的所有系统进行统一杀毒，并对网络展开实时监控，将病毒入侵的可能性控制在最低。防火墙也是网络安全防护的重要工具，目前在实际中应用防火墙能够对内部网络传输中各个阶段展开强有力的控制，审核所有流进流出的数据包信息、网络流量、IP地址等，有利于维护信息传输秩序，提升数据安全性[6]。

2.1.3 运用路由器与虚拟专用网络技术

路由器的应用使网络传输更加便捷，为了保障使用安全，应采用密码算法以及加/解密专用芯片，对广播数据包以及不能确定地址的信息数据包进行严格控制。目前，我国网络设备的开发能力较强，华为、中兴等网络科技公司提供的产品均具有一定的可靠性与安全性优势，可在军用网络中应用。而针对虚拟网络也应建设专用传输通道，可预防信息被篡改、被泄露。

2.1.4 安装入侵检测与诱骗系统

杀毒软件、防火墙、路由器等设施为通信网络提供的防护属于静态防护，只能被动应对安全问题，无法对系统内存在的安全风险进行主动监测。基于此，需要通过入侵检测系统与诱骗系统追踪攻击行为和入侵路径，提供实时保护，全面降低安全风险带来的影响与危害，避免通信网络在运行中出现不稳定的情况。网络攻击诱骗系统的功能更为高端，通过软硬件构建起虚拟的网络环境，当出现入侵时则使所有入侵与攻击行为发生在虚拟网络中，不对通信系统的实际运行造成影响与安全威胁，方便掌握黑客入侵路径、采集犯罪行为[7]。

2.2 规范使用与操作

制定完善、科学的管理制度，对使用与操作行为进行规范。针对不同级别的领导、通信员设立不同级别的管理机构，专门负责网络与信息安全管理，并制定明确的管理目标、管理原则，在开展管理工作期间细致分工，做到专人专项，从而为通信网络内所有链路的稳定运行奠定良好基础。同时，以严格的制度和有效的思想道德教育约束与规范使用者的行为，使其在使用通信网络过程中秉持着高度保密意识。此外，安全管理岗位人员必须具有专业知识背景。在与网络通信安全相关事务中，要求具备同级别管理权限的多名人员在场，并基于职责分离原则开展工作。网络开发、维护等工作需要由不同的队伍承担，分工明确、不得越权[8]。

加强专业技术人才培养，重点引进计算机专业技术人才，并通过专业技术培训不断强化技术人员的实操能力。将通信网络系统结构的操控作为平时训练的重要内容，模拟外部攻击与入侵，强化其安全防控意识、处理突发危机能力，组建一支素质优良、能力突出、反应快速的通信队伍，做好部队通信网络安全防御以及进攻工作，确保在网络安全斗争中掌握主动权。

2.3 完善网络体系结构

目前，我国部队网络通信的主要安全威胁来自外部攻击与病毒感染，部队网络拓扑结构如图3所示。客户端、服务器、信号交换机能够组成一个小的局域网，在路由器的支持下利用光纤并入到军队网络中，与外网连接则通过隔离设备完成，结构上存在明显的漏洞，一旦被人入侵，将使大量机密信息被泄露。

图3 部队网络拓扑结构示意图

完善网络体系结构，针对内外建立两套网络体系，使内部局域网与外部Internet处于完全断开状态，禁止将外网PC连接到内部局域网中。以网络分隔为基础，在内部网络每个节点上配置专用硬件防火墙和路由器，提高防护强度。内部网络的划分由虚拟子网、通道完成，当子网内出现病毒感染，可直接将病毒控制在子网内，避免扩散[9]。而针对病毒入侵问题，网络分离后入侵的途径通常为存储介质染毒后接入到部队通信网络中，此类病毒入侵后会自动释放，无法手动查杀，因此需要配备具有强悍查杀能力的安全软件。同时也可以通过软件防火墙加基于主机的入侵防御系统（Host-based Intrusion Prevention System，HIPS）展开防护，通过监控计算机系统的运行，及时提示注册表被修改情况，并报告是否允许访问软件。加载病毒程序时HIPS软件立即提供提示信息，此时点击阻止则病毒无法运行。与其他自动进行杀毒与防控的软件相比，HIPS更适合部队通信网络，其能够由使用者自行制定防御动作[10]。