宽带IP数据网的安全研究及策略

2022-12-06徐晓璇石桓印

网络安全技术与应用 2022年2期

◆徐晓璇石桓印

宽带IP数据网的安全研究及策略

◆徐晓璇石桓印

（武警山西省总队综合信息保障中心山西 030000）

在网络化信息化社会背景下，宽带IP数据网的应用范围不断扩大，各行业在生产销售以及行政管理等诸多领域均需应用到宽带IP数据网作为其工作基础，而日常生活学习中，人们也大量利用网络资源来满足自身的生活学习需求。在宽带IP数据网应用过程中，大量的数据信息交换、数据传递使得网络安全性备受关注。在应用宽带IP数据网的过程中，信息安全是用户正常使用的基本要求，而随着相关技术的不断发展，由于宽带IP数据网中重要数据信息日益增多，想利用不法手段窃取网络数据的群体也不断增加，提升宽带IP数据网的安全是当前网络化信息化社会发展的重要保障。

宽带IP数据网；网络安全；威胁；安全防护策略

由于当前数据信息流量较大，各种有价值的数据信息层出不穷，一旦信息遭到泄露或受到损害，都将对信息使用者造成较为严重的经济或其他方面损失。目前网络安全态势整体较差，随着各协议层相关协议内容的不断增加，网络安全风险也不断增加。另外当前影响网络安全的相关技术也不断发展，防护技术与攻击技术在技术发展层面存在一定差异，一旦未受保护的网络信息遭到主动或被动攻击都很容易导致信息内容受损或信息直接被盗。在这种情况下，本文将针对宽带IP数据网安全进行详细分析，研究当前宽带IP数据网面临的安全威胁，并提出相应的网络安全防护策略。

1 宽带IP数据网安全概述

宽带IP数据网安全防护不仅包括纯软件方面的防护，同时也包含对硬件中相关信息的防护。保护参与网络数据交换的各软件及硬件中相关信息的安全是网络安全防护的基本目标。不论是个人用户还是网络数据平台，网络信息安全都是重点防护部分。网络安全防护既要保证独立用户在进行网络连接和数据传输的过程中传输的数据内容安全，同时也要防护个体用户及网络数据平台的后台信息内容。而数据保护包括避免让数据受到破坏、避免让数据遭到恶意篡改、避免数据泄露这三方面[1]。在对相关数据内容进行防护的同时，还要保障个体用户及网络数据平台的正常运行，保障网络服务通畅，避免因恶意攻击导致网络瘫痪。从整体角度上来看，想保障网络信息安全，必须保障网络信息以下几方面的特征。这些特征分别包括网络信息保密性、网络信息可控性、网络信息完整性、网络信息真实性。切实保障网络信息的上述特性，较好地保障网络数据安全。

2 宽带IP数据网面临的安全威胁

2.1 被动攻击

网络信息安全威胁主要分为被动攻击和主动攻击两种，其中被动攻击是指攻击网络，这只对数据进行截获并不对数据本体进行修改，而网络真实接受者同样在数据被截获后能够收到正确的数据内容。在被动攻击中攻击者仅对PDU进行分析和观察。2020年某论坛网站上惊现大量家庭智能摄像机设备拍摄的家庭内部画面，这些家庭智能摄像设备受到被动攻击后，相应的拍摄数据被攻击者截获，攻击者通过窃听和流量分析的形式来截获视频及音频数据信息，而在此过程中发起被动攻击的人员仅对一个协议数据单元的PDU进行观察和分析。由于局域网数据传输以广播方式进行，攻击者借助计算机网卡在杂收模式下接收到广播数据信息，并通过分包解读来获取相应的信息内容，如此一来，家庭智能摄录设备拍摄到的画面信息就被攻击者截获。此事件造成较大的网络安全信任危机，相应的智能摄录设备厂商也更新了硬件防护并对相应的数据加密逻辑进行调整，避免再次发生摄入影像内容遭到攻击者截获的问题[2]。

2.2 主动攻击

主动攻击形式多样，能够导致原站发出信息无法传输到目的站，也可导致目的站收到被篡改的信息，另外还可能受到攻击者直接发出的伪造信息。发起主动攻击者可以通过中断网络通信使目的站无法收取相应信息，也可通过篡改的形式使目的站收到错误的报文。在原站不发出相应报文的情况下，攻击者可以通过直接伪造报文使目的站收到错误信息。当前主动攻击的攻击者，可以通过某个网络连接中的协议数据单元PDU进行处理并达到相应的攻击目的[3]。当前，植入各种恶意程序也是比较常见的主动攻击手段。这其中比较常见的包括逻辑炸弹、特洛伊木马以及蠕虫病毒等。比较出名的熊猫烧香病毒是一种典型的主动攻击形式，该病毒能够直接感染计算机硬盘并主动篡改硬盘中的各种文件信息。该病毒感染计算机后会对磁盘中所有符合攻击特征的文件包进行篡改，使用户在各个文件包及待机画面中出现熊猫烧香图案，由于其对计算机逻辑及处理载荷造成较大影响，因而可能造成计算机重启、蓝屏。熊猫烧香病毒，本质上是一种变形的蠕虫病毒，其可以通过磁盘根目录在计时器的引导下生成相应的病毒本体，并利用局域网进行病毒传播。该病毒还能主动与各种杀毒软件进行对抗，阻止杀毒软件清除具有数据篡改能力的数据包。熊猫烧香病毒给我国网络安全造成了严重影响，带来的直接经济损失和间接经济损失无法估量。

3 宽带IP数据网安全防护策略

3.1 防火墙技术

防火墙技术是当前宽带IP数据网安全防护的重要手段。所谓防火墙技术是指将计算机内部网络与Internet分开，可以将防火墙简单地理解为访问限制技术。本质上来讲，防火墙属于网络隔离技术，通过防火墙能够实现控制外部数据信息及相应指令进入本地网络的目的[4]。通过方向设置，可以使允许进入本地网络的数据及相应指令进入，同时拒绝所有非法访问以及数据信息。防火墙根据分类标准，可分为网络防火墙和计算机防火墙。网络防火墙，通过用户网络与外部网络的隔离来实现网络安全防护，而计算机防火墙则内置于计算机之中，用以对外部网络信息进行筛选隔离。当前来自世界各国的防火墙技术种类相对较多，这里介绍一种比较知名的防火墙，NAI Gauntlet，该防火墙属于应用层网关一级防火墙，该防火墙在防护过程中能够对网络通信进行双向检测，根据自身逻辑框架，对高数据流量网络进行双向安全防护。普通用户在使用该防火墙技术的过程中，可根据高危网络安全问题进行相应的病毒防控调整。该方向技术能够进入到网络分包文件之中，对文件信息内容进行辨识，具有较高的网络安全防护性能。

3.2 数据加密技术

数据加密技术主要针对被动攻击进行防护，数据加密的本质含义是将明文信息通过一定的密钥匙或加密函数进行信息转换，使之成为表面无意义的乱码密文，接收相关信息的一方必须具有密钥才能对密文进行解读，从而获得可直接利用的相关信息。加密技术根据其具体形式的不同，可以分为对称密钥、公开密钥以及专用密钥等，原站与目的站之间使用同一套加密方式以及密钥时，称之为对称密钥[5]。而公开利用其数据从原站发出时进行的加密方式与目的站接收时所使用的解密密钥并不完全一致，二者之间可能存在一定的函数关系。DES是一种具有较好加密效果的数据加密技术，应用该数据加密技术时，其通过自身64位的数据分解算法，将源数据分解为数据块，进行原文密钥置换的过程中会得到相应的乱码，其所形成的乱码数据平均分为两段，而在接下来的过程中会对这两段数据段落进行叠加加密并给出相应的密钥参数。使用该数据加密技术后，能够较好地避免数据被截获后直接利用。

3.3 身份识别和认证技术

身份识别和认证技术是宽带IP数据网的重要安全防护策略，数据访问是否被允许是控制网络安全风险的关键所在，允许获得访问权限的信息和人员访问规定范围内的数据信息，这是身份识别和认证技术的主体。一般来讲，各种网络安全风险普遍来自于突破外层防御后对其内部信息的盗取篡改等，而高效的身份识别和认证技术能够兼顾外部防御系统抵御非法访问从而降低网络安全风险。外部访问请求进入后，将对访问者IP进行验证，获准访问者将正常进行访问，而身份信息识别不通过的将拒绝访问。另外除软件系统的查证识别外，通过扫描一些获准人的生物信息特征，同样可以达到身份识别认证的目的，例如当前比较常用的指纹识别、虹膜识别、声纹识别等，通过这些独特的生物特征，同样可以有效鉴别访问者是否具有相应的访问权限。

3.4 采用VPN保障网络安全

利用虚拟专网技术来构建安全性较高、可靠性相对较强、具有较好管理特性的私有专用网络也是保障网络安全的重要措施。公共网络中网络安全风险相对较多，在这种情况下构建VPN，通过私有网络框架来执行相应的信息传递任务能够达到更高的安全水平。利用共享通信基础来实现非固定物理连接的网络传输效果。VPN最大的网络安全优势在于私有性，用户可根据自身的网络需求通过公共网络框架来构建一个独立的网络体系，在该体系内寻址空间以及路由空间都是独立存在且符合用户本身网络需求的[6]。在IP VPN体系内，发送者和接收者均可以明文形式发送报文，而负责加密解密的则是各VPN网关，源VPN网关在报文传送过程中，通过访问控制、报文加密、鉴别查证以及IP封装来将其通过公共网络进行发送，接收者网关则逆行相关流程实现明文接收，这种报文传送方式更具安全性。