浅谈部队计算机网络安全问题

2012-04-29 00:44祝文龙俞海英
电脑知识与技术 2012年5期
关键词:防火墙部队网络安全

祝文龙 俞海英

摘要:部队信息化建设是我军面临的历史性课题,而网络安全是信息化建设的重中之重。从其本质上来讲网络安全就是网络上的信息安全,使网络按照授权动作进行操作,并最终实现网络的保密性、完整性、可用性、真实性和可控性等。该文简单介绍了几种网络安全的防护措施,对部队的网络安全建设具有辅助意义。

关键词:网络安全;部队;访问控制列表;防火墙;入侵防御系统

中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)05-1043-02

Brief Probe into the Question about the Armys Security of Network

ZHU Wen-long1, YU Hai-ying2

(1.The PLA University of Technology & Science, Nanjing 210007,China;2.The PLA University of Technology & Science, Nanjing 210007, China)

Abstract:The construction of military informationization is a historical topic to our army, and the security of network is the most impor? tant thing in it. Essentially speaking, the network security is really the information security in the internet, and that means the computer us? er can just operate computer upon authorization, so we can guarantee the networks confidentiality, integrity, availability, authenticity, con? trollability and so on. This paper briefly describes several kinds of network security protection measures, and having assistant function to the network security construction of our army.

Key words: security of network; army; access control list; firewall;intrusion prevention system

克劳塞维茨曾说过:“每个时代均应有其特定的战争”。随着网络技术的高速发展,历史的车轮驶进了信息时代,而信息时代的主要战争形态是信息化战争,信息安全成为制胜的关键因素。怎样在信息化条件下打赢现代化战争已成为时代的课题。大力发展网络化建设,提高网络安全技术已经成为部队的重要课题。

经过几年的努力,计算机网络已广泛应用于部队的日常办公与管理。但由于使用人的技术水平有限或者安全防范意识薄弱等原因,使得部队的网络泄密事件不断发生。提高网络安全技术,强化应用系统功能,为部队建设一套安全可靠的网络体系成为我们思考的方向。下面就计算机网络安全问题介绍已有的几种网络安全措施。

1以太网接入控制与认证机制

1.1安全端口建立访问控制列表

访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问,是保证网络安全最重要的核心策略之一,它在以太网交换机的每一个访问端口都配置访问控制列表,即Access Control List(ACL),只有在源MAC地址为访问控制列表中允许接入的终端MAC地址时,才可以继续转发MAC帧,否则该MAC帧将被丢弃。

1.2 802.1X接入控制机制

由于我们有时需要更换动态访问控制列表,所以更重要的是终端MAC地址是可以更改的。如果敌方知道我访问控制列表中的MAC地址,就可以将自己终端MAC地址设为列表中的MAC地址而实现非法接入。针对这一现象我们可以采用802.1X接入控制机制。它需要建立一个鉴别数据库,每一个新接入交换机的终端只有输入用户名和密码,经由以太网交换机鉴别数据库的鉴定为有效后才可以进入访问控制列表。其逻辑图如图1。

在图1中注册数据库中有用户A与用户C及其各自的口令,当用户A、B、C、D接入交换机时,同时启动鉴别机制,而只有A、C才有登陆用户名与口令,输入正确后在访问控制列表中加入MAC A与MAC C,进而可以访问敏感信息资源。对于用户B和C而言,由于注册数据库中并没有其数据记录,因而被禁止访问敏感信息资源。

2防火墙技术

图1

防火墙技术目前已成为部队用于网络安全建设的主要技术支撑,其在我军网络防护中起到了重要作用。防火墙通常位于内网与外网的连接点,强制所有出入内外网的数据流都必须经过此安全系统,是一种对不同网络之间信息传输过程实施监测和控制的设备,在逻辑上,防火墙就是一部隔离器、分析器与限制器,用于保护内网中的信息资源。其提供的服务有:

1)行为控制:不同网段间只允许传输与行为合理的网络资源访问过程相关的信息流。2)服务控制:不同网段间终端只允许传输与特定服务相关的信息流。

3)方向控制:不同网段间只允许传输与由特定网段中终端发起的会话相关的信息流。

4)用户控制:不同网段间只允许传输与授权用户合法访问网络资源相关的信息流。

防火墙分为个人防火墙与网络防火墙,关键技术主要有分组过滤器、电路层网关和应用层网关。由于分组过滤器对信息的发送端和接收端是透明的,因此不需要改变终端访问网络的方式。而且随着有状态分组过滤器的产生,它对于内外与外网件传输的信息流的监控变得更加精确,有状态分组过滤器也成为部队主要的网络安全技术。其逻辑图如如图2:

图2

在图2中,防火墙将网络传输系统分为3个区,分别为命名为信任区,非军事区与非信任区,我们可以对防火墙进行设置,令信任区内网络可以对非军事区以及非信任区内网络进行访问,而非信任区内网络只能对非军事区网络进行访问,不可以访问信任区网络。从而达到对信任区内网络的保护。

3入侵防御系统(Intrusion Prevention System)

随着网络技术的发展,攻击者的攻击工具与手段也日益成熟多样,外网对内网的攻击往往是在内网防火墙访问控制策略所允许的条件下进行的,如通过恶意代码传播控制内网终端从而实行对内网的攻击,这样防火墙就很难进行有效的防御。因此,能对计算机和网络资源的恶意使用行为进行识别和处理的系统——入侵防御系统,就凸显其重要作用。

入侵防御系统主要分为网络入侵防御系统(Network Intrusion Prevention System)和主机防御系统(Host Intrusion Prevention Sys? tem),网络入侵防御系统能够有效的对网络中传输的信息进行检测并对异常信息的传输进行处理,而主机入侵防御系统可以对于主机资源的访问进行监控,对非法访问进行管制。作为防火墙的合理补充,它提高了安全基础结构的完整性,被认为是继防火墙之后的第二道安全闸门。其逻辑图如图3:

图3

在图3中,路由器连接外部网络与内部网络,在外网与内网间接入网络入侵防御系统,使得网络入侵防御系统可以捕获外网流入内网的异常信息,并做出相应的信息反制动作,而在重要终端上安装的主机入侵防御系统,又可以有效地保护重要终端,从而达到相辅相成,协调一致的效果。由此我们也可以看到入侵防御系统发展前景的广泛。就目前来看,在部队中防火墙技术已经相对成熟,应用也比较广泛。但是对于入侵防御系统的应用还不够充分,究其原因,是由于网络入侵防御系统只能对部分网络资源进行保护,并且在处理未知范围内的异常信息处理能力还略有不足,而主机入侵犯防御系统终究只是一个应用程序,属于被动防御,即只有恶意攻击到达终端时才做出反应,而我们更希望的是主动出击,即在恶意程序还没有到达终端之前就将其拦截处理。另外若对每一个重要终端都安装入侵防御系统,其成本也较大。正是由于其上不足之处,使得入侵防御系统还没有在网路安全中完全得以应用。但相信经过一定的发展与改良,入侵防御系统会成为部队网络安全建设的一道坚固城墙。

4结束语

除以上安全措施外,还有很多方法可以提高我们的网络安全系数。如安装杀毒软件,对需要传递的重要信息进行加密,使用数字签名技术等,都有其独特的优势来进行网络安全防护。但是部队网络安全建设仍是一项重要的需要不断发展研究的课题,尤其是部队的重要信息更是敌对势力想法设法窃取的对象,更加大了我军网络安全的压力。如今的网络安全已经是涵盖了网络级与应用级在内的完整概念,我军需从整体网络管理平台的角度统一建设完整的网络安全体系,加大网路安全研究力度,以大魄力进行整体改革,全面提升全军网络安全能力,为打赢以后可能发生的信息化战争建立坚实的网络基础。

参考文献:

[1]沈鑫剡.计算机网络技术及应用[M].2版.北京:清华大学出版社,2010.

[2]赵霞.网路安全防护技术浅析[J].科技创新导报,2010.

[3]张晓杰,姜同敏,王晓峰.提高计算机网络看可靠性方法研究[J].计算机工程与设计,2010.

猜你喜欢
防火墙部队网络安全
俄部队军演
儿在部队又立功
拆弹部队 勇者之盾
构建防控金融风险“防火墙”
网络安全
网络安全人才培养应“实战化”
老部队
上网时如何注意网络安全?
在舌尖上筑牢抵御“僵尸肉”的防火墙
我国拟制定网络安全法