军队网络的安全威胁及技术防护

0 引言

网络是一把“双刃剑”，在为人类社会提供各种便利的同时，也带来了许多的社会风险。网络安全已经成为一个关系到国家安危、军队秘密、人民生活、社会安定等诸多方面的重大现实问题。

《孙子兵法·形篇》：“昔之善战者，先为不可胜，以待敌之可胜。”在网络安全方面，军队只有先将己方的安全防线筑牢，才能全力以赴地对敌发起攻击。军队网络安全上的任何一个小小的疏漏都有可能导致全盘皆输。

事实证明，网络信息化水平越高，军队网络安全问题也就越突出。在军队网络安全体系的大环节下，某个小环节出现了问题或存有漏洞，都可能导致整个系统的瘫痪。未来的信息化作战既需要锐利的“矛”，更需要坚固的“盾”。

1 军队网络安全面临的威胁

在新的历史条件下，军队网络安全面临着巨大的威胁。

1.1 精确打击的威胁

精确打击，是在先期侦察和精确定位的基础上，利用具有自动“寻的”功能的武器，对目标实施攻击的行动。军队网络作为物理和技术的“复合体”，需要数量众多的物理实体来支撑。指挥机构层次越高，支撑网络的物理实体的数量和体积也越大。例如，国家和军队首脑机关、军队驻地和地方政府，都是军队网络信息通达的重要地点。这些地点的通信大楼外部，天线高耸，型式各异，征候十分明显，极易被敌侦测和定位。

由此可见，远距离精确打击已成为对战略目标实施摧毁的主要威胁。电子侦察技术、精确定位技术和精确制导技术大量运用，将使军队网络信息的生存环境更加恶劣，“硬”摧毁的威险随时会发生。

1.2 网络环境的威胁

网络环境对军队信息网络安全所造成的威胁，与电脑硬件、操作系统及应用软件因素紧密相关。

1.2.1 电脑硬件陷阱

我军计算机所采用的芯片，相当部分依赖进口。这些芯片中，很有可能存在预先植入的病毒。

1.2.2 操作系统漏洞

操作系统是应用软件的运行平台。在军队网络中，用户必须通过相同的操作系统进行互访，如果操作系统设有“陷阱和后门”，军队网络就有可能被他人所控制。根据斯诺登的爆料，很多公司都可以十分方便地利用“陷阱和后门”技术，对用户进行跟踪，使用户的一举一动都处在其监控之下。

1.2.3 应用软件缺陷

从应用软件方面讲，我军“310”网内各级用户终端基本上是专机专用，所使用的应用软件是经过严格论证后，由我军统一组织研制和开发的，安全性能相对可靠。而与军队网络相连的其他网络，如“宽带综合业务数字网”、“军事训练网”及其子网等，用户终端及其网管系统在应用软件选择方面，尚没有严格的规定，可能还存在一定的安全隐患。

1.3 信息攻击的威胁

信息攻击的目的是通过对网络信息的窃取、篡改或删除，使军队网络信息泄露、业务中断、服务禁止或全网瘫痪。军队网络信息面临着无时不在、无处不在、无孔不入的威胁，战时与平时的区别在军队网络安全防御中已经消失。

1.3.1 军队网络程序攻击

程序攻击主要是指那些熟悉军队网络、精通计算机编程的人员，抱着不同的目的，运用各种类型的程序，对计算机或军队网络进行的攻击。其中，最主要的攻击方式就是计算机病毒攻击。

1.3.2 军队网络黑客攻击

黑客攻击是一种主要的军队网络信息攻击方式。攻击方通过蒙骗网络服务器、开辟数据通道，获得相关数据与资料，对计算机或军队网络进行探测和破坏，最后消除入侵痕迹。黑客只要有一台计算机、一台调制解调器和一根连线，就可在地球上的任何一个角落里发动进攻。

1.3.3 军队网络系统攻击

系统攻击主要是指利用计算机操作系统本身存在的缺陷对军队网络进行攻击。通常我们总是设法保护装有信息的机器，实际上军队网络安全的强度取决于网络中最弱连接的强弱程度。攻击者认识到了这一点，他们寻找军队网络中未受保护的机器，诸如不常使用的打印机或传真机，利用它们跳到具有敏感信息的机器。

1.3.4 军队网络内部攻击

内部攻击是指工作人员出于好奇或无意造成对军队网络的破坏，以及军队内部可能存在的不稳定分子或敌特分子，抱着不同目的对军队网络实施的攻击。

1.4 高能武器的威胁

随着电子技术的发展，军队网络内电子设备的制造工艺越来越精细，一个小小的芯片就可代替原来成千上万个电子管的功能。现代电子集成技术在提高电子设备功能的同时，也给电子设备安全造成威胁。美国洛斯阿拉莫斯非常规武器国家试验室，利用“麦克斯韦”定理中的“瞬变电磁场”理论，研制了一种新型武器，对电子芯片进行了成功的攻击试验。这种武器叫做“高能微波” HPM（High Power Microwave）武器。它是将强大的微波能量汇聚在很窄的波束内，以近似光速的强微波脉冲定向打击目标的武器。具有速度快（光速）、针对性强（人或电子设备）、毁灭性大、打击区域广的特点，其辐射的频率为1～30GHz，脉冲功率为1MW～100GW。与常规武器相比，该武器对目标不是进行“爆炸”式的摧毁，而是利用极强的电磁脉，通过设备对外开放的通道（天线）或与设备相连接的线缆，悄无声息地耦合到目标设备内部毁伤电子器件。这种高能微波不仅能破坏电子设备，而且能穿过比波长更小的缝隙进入目标内部，象“雷电”一样瞬间夺去人的性命。

1.5 隐蔽战线的威胁

隐蔽战线的威胁，是一种来自网络信息传播范围和环境的威胁。这种威胁既可能来自己方，也可能来自敌方。但总的来说，隐蔽战线的威胁是由“网络信息传播范围”和“与网络信息相关的人员”两种因素构成的。造成这种威胁的内因是防奸保密工作的疏忽、外因是敌特分子的渗透。

2 军队网络安全的技术防护

军队网络安全的技术防护，不同于一般的传统信息保密，它是一项庞大的系统工程，不仅涉及技术人员对产品的采购、使用、维护和保养，也需要各级首长机关制定严密的技术管理制度和措施做保障。因此，掌握网络安全防护的基本技术和措施，将有助于部队做好网络安全防范，杜绝网络泄密事件的发生。

2.1 防火墙技术

防火墙是一种将内部网和公共网，例如Internet网与军队310网分开的方法。通过它可以隔离风险区域（如公共网）与安全区域（如保密的各级局域网）的连接，但同时又不会妨碍用户对风险区域的访问。

2.1.1 防火墙的概念

防火墙是位于内部网络与外部网络之间、或两个信任程度不同的网络之间的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，限制外界用户对内部网络的访问及内部用户访问外部网络的权限的系统，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的。

在构建安全的网络环境的过程中，防火墙作为第一道安全防线，正受到越来越多用户的关注。通常购买网络安全设备时，总是把防火墙放在首位。

2.1.2 防火墙的目的和功能

一般的防火墙都可以达到以下目的：一是可以限制他人进入内部网络，过滤掉不安全的服务和非法用户；二是防止入侵者接近你的防御设施；三是限定用户访问特殊站点；四是为监视局域网安全提供方便。

防火墙作为内部网与外部网之间的一个保护层，使内部网与外部网之间所有的信息流都必须通过防火墙，并通过监测、限制、更改所有流进流出防火墙的数据流，达到保护内部网络免受非法入侵。防火墙的功能主要有四个方面：网络安全的屏障；强化网络安全的策略；对网络存取和访问进行监控审计；防止内部信息的外泄。

2.2 电磁防护技术

任何电子信息系统设备工作时，其主机以及外部设备及各种电源线、信号线、地线都会产生电磁波。而电磁波辐射导致信息泄漏，从而危及军队的安全。普通计算机在进行数据传输、数据处理过程中泄露出的电磁波，可在1000米以内被接收和复原，若采用尖端接收和解码技术，则截获的最大距离将会更远。

为了尽量减少电磁泄露的危险，必须采取完全防护措施。

2.2.1 干扰技术

干扰技术是一种主动式信息泄露防护技术，是指把干扰器发射出来的电磁波和计算机辐射出来的电磁波混合在一起，以掩盖原泄露信息的内容和特征等，使窃密者即使截获这一混合信号也无法提取其中的信息。目前，常用的计算机电磁辐射干扰器大致可以分为两种：白噪声干扰器和计算机视频辐射相关干扰器。

2.2.2 屏蔽技术

屏蔽室是一个导电的金属材料制成的大型六面体，能够抑制和阻挡电磁波在空中传播。它具有两种基本功能：（1）阻止外部电磁干扰进入屏蔽室。（2）使屏蔽室内的电磁能量不外泄。屏蔽技术是防止计算机信息泄露的重要手段，使用不同结构和材料制造的屏蔽室，一般可以使电磁波衰减60～140dB。

2.2.3 低辐射技术

低辐射技术，是指在设计和生产计算机设备时，就对可能产生电磁辐射的元器件、集成电路、连接线、显示器等采取防辐射措施，从而达到减少计算机信息泄露的最终目的。目前广泛采用的低辐射技术有：屏蔽，布线与元器件选择，红、黑设备隔离、滤波，I/O接口和连接，低辐射测试技术。

2.3 信息数据安全防护技术

2.3.1 软件加密

目前Internet上各种加密软件种类繁多，但是，就算密钥比较长，并加入了@、%、*等特殊符号，解密也仅仅是一个时间长短的问题。所以，单独使用软件加密是不行的。

2.3.2 硬件加密

信息主要存储在硬盘、光盘、软盘、U盘等硬件介质里，而一但将信息存储进硬件介质里，就很难将其擦除，普通的删除以及格式化，甚至摔、压、进水等手段造成的物理损坏，数据修复专家还可以将数据恢复部分甚至全部。除非将硬件完全熔毁，否则安全隐患还是存在的。

2.4 防计算机病毒技术

2.4.1 硬件防病毒技术

我军的网络通常可分为内网和外网，办公电脑是在内部网里面工作，自动化站与外网用户相互交换信息。硬件防病毒主要是在内部网和外网之间安装防毒墙，防毒墙相当于军队的门户，将所有从外网到内网的信息数据流通过防毒墙进行扫描，从而保证从外网到内网的信息不带病毒。据统计，现在98%的病毒主要是通过 Internet，或通过电子邮件方式传播，因此建立高效的防毒墙就显得非常重要。防毒墙技术目前是前沿技术，具有信息透明、带宽占用率低；即插即用，启动迅速，便于备份；自备硬件资源，不依赖网络系统资源、硬件资源和操作系统等显著优点；只需要合理配置好防毒墙，在客户端的用户不需要对防毒墙进行任何操作，极大简化了用户的操作，特别适合于军队办公计算机使用。

2.4.2 软件防病毒技术

软件防病毒技术就是采用程序代码自动识别病毒特征并消除病毒的软件技术。目前国内外防病毒软件品种繁多，主要分为单机版和网络版，单机版与网络版区别很大，这主要表现在两个方面：安全和管理。单机版实现的安全级别明显低于网络版，网络版产品在系统控制中心升级以后，各个节点的版本则会自动与其保持一致。

2.5 入侵检测技术

入侵检测是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击迹象的一种安全技术。入侵检测的目标是通过检查操作系统的审计数据或网络数据包信息来检测系统中违背安全策略或危及系统安全的行为及活动，从而保护信息系统的资源不受拒绝服务攻击，防止系统数据的泄露、篡改和破坏。

2.5.1 入侵检测系统

入侵检测系统（IDS）是一个能够对网络或计算机系统的活动进行实时监测的系统，它能够发现并报告网络或系统中存在的可疑迹象，为网络安全管理员及时采取对策提供有价值的信息。

2.5.2 入侵检测系统的作用和功能

入侵检测系统会监视整个网络环境中的数据流量，并且总是与一种预定式的可疑行为模式来进行对照，入侵检测系统的存在价值就是能够察觉黑客的入侵行为并且进行记录和处理。入侵检测系统现在已经成为重要的安全组件，它有效地补充和完善了其他安全技术和手段。

2.5.3 入侵检测常用的技术

网络入侵的检测实际上也是一种信息识别与检测技术。网络入侵活动的实际体现就是数据包，它作为信息输入到检测系统之中，检测系统对其进行分析和处理之后得到的就是网络入侵的判断。因此，传统的信息识别技术也可以用到入侵检测中来。

2.5.4 拒绝服务攻击技术

采用模式匹配的方法，发现入侵攻击行为后，要有效地进行反攻击，就是进行拒绝服务攻击技术。

（1）Land攻击

检测方法：判断网络数据包的源地址和目标地址是否相内同。反攻击方法：适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为，并对这种攻击进行审计。

（2）TCP SYN攻击

检测方法：检查单位时间内收到的SYN连接是否超过系统设定的值。反攻击方法：当接收到大量的SYN数据包时，通知防火墙阻断连接请求或丢弃这些数据包，并进行系统审计。

（3）Ping Of Death攻击

检测方法：判断数据包的大小是否大于65535个字节。反攻击方法：使用新的补丁程序，当收到大于65535个字节的数据包时，丢弃该数据包，并进行系统审计。

（4）WinNuke攻击

检测方法：判断数据包目标端口是否为139、138、137等，并判断URG位是否为“1”。反攻击方法：适当配置防火墙设备或过滤路由器就可以防止这种攻击手段，并对这种攻击进行审计。

（5）Teardrop攻击

检测方法：对接收到的分片数据包进行分析，计算数据包的片偏移量（Offset）是否有误。反攻击方法：添加系统补丁程序，丢弃收到的病态分片数据包并对这种攻击进行审计。

（6）端口扫描预探测攻击

TCP/UDP端口扫描是一种预探测攻击。检测方法：统计外界对系统端口的连接请求，特别是对21、23、25、53、80、8000、8080等以外的非常用端口的连接请求。反攻击方法：当收到多个TCP/UDP数据包对异常端口的连接请求时，通知防火墙阻断连接请求，并对攻击者的IP地址和MAC地址进行审计。