叶 健
(湖北交通职业技术学院,湖北 武 汉430079)
随着科学技术的不断发展,尤其是计算机网络技术的发展,给人类社会的生产、生活、工作方式带来了深刻的变革,以电子计算机等为代表的信息控制技术也被称之为人类科技发展史上的第三次革命。但是需要引起我们高度重视的是,计算机网络在给人类社会带来极大便利、效率的同时,也存在着较大的安全隐患,网络信息的泄露对个人、企业、社会、国家都存在极大的挑战和危险,网络攻击、网络诈骗、网络侵权时有发生,网上黄赌毒、暴力恐怖以及网络谣言等有害信息屡禁不止,严重危害国家安全、损害人民利益。因此,计算机防御的价值不单单在于物理层面的静态技术防御,还具有更多的社会治理价值。
防火墙是两个网络之间的一组构件或一个系统,它的明确定义来自AT&T的两位工程师 Willam Cheswick和steven Beellovin,防火墙具有以下属性:(1)信息的双向流动必须通过它;(2)信息流只允许通过预定的安全策略来传递;(3)系统本身具有很高的抗攻击性;简而言之,防火墙是一种位于内部网络和外部网络之间,实现安全防范的系统。它是用来拦截不受信任网络的威胁。同时,它还允许双方的正常通信。目前,许多防火墙都在互联网上使用,而且任何网间和企业网内部都可以使用防火墙。
理想的防火墙所应具备的防御功能包括:
(1)病毒扫描杀毒功能:如扫描电子邮件附件ZIP和DOC文件,FTP上传和下载文件的内容,发现其中可能包含的危险信息。
(2)拒绝服务攻击的防御:拒绝服务攻击(Dos)是攻击者过多地占用共享资源,导致带宽被消耗、某些服务暂停甚至主机死机,从而使其他用户无法共享到资源或无法访问服务器。防火墙通过采取合理的控制机制、检测机制和报警机制,从而在一定程度上防止或减轻DOS攻击。
(3)拦截 ActiveX、Java、Cookies、java—script等方式进行HTTP内容过滤:部分HTTP页面中被加入恶意代码,防火墙应该能够从PHP、ASP和Script等代码检测出危险的代码或病毒,以及从HTTP页面剥离出Applet、ActiveX、Java等程序,并向浏览器用户报警。
数据加密技术按功能可以分为数据存储、数据传输、数据完整性认证和密钥管理技术这4种。其中,数据存储的加密技术是为了防止机密数据在存储领域的丢失或泄露,可被归类为加密存储和访问控制两类,数据加密技术是对传输中的数据流进行加密的方法,端口加密和线路加密是较为常用的两种方法。数据加密主要是通过对网络数据加密来对网络的安全性和可靠性提供保障,可以有效防止机密信息的丢失和泄露。此外,它还被广泛应用于信息识别、数字证书等技术种,防止电子诈骗,在信息处理系统的安全性起着重要作用。
隧道技术(Tunneling)是VPN(虚拟专用网络)的底层支撑技术。隧道技术类似于点对点链接技术,它在公网上建立一条数据通道,该数据通道用来传输企业内部网络数据,类似一条穿过公网的隧道。隧道技术的具体内容是:在一个隧道的两端,将其它类型的协议数据包(如IP协议数据包)作为载荷数据,由源节点重新封装,得到一个新的IP包,然后发送到Internet上进行传输。目标节点收到该数据包后,将用于公网传输,由源节点添加的IP头去掉。在非IP网络上,也可以反向利用这种技术,即将IP包用其它协议封装,从而创建隧道,进行数据传输。
隧道协议是隧道技术的核心,同时基于不同的隧道协议所实现的VPN是不同的。隧道技术可以以第二层或第三层隧道协议为基础。上述的分层是按照开放系统互联(OSI)的参考模型划分。第二层隧道协议所对应的OSI模型中的数据链路层,使用帧作为数据交换单位。
组织需要提供符合标准的操作程序,使相关平台能够按照安全区域的访问策略,防止平台的数据丢失和泄露。该标准操作程序的执行面向所有需要的用户。对于每一个用户,你需要清楚地定义访问策略,该策略必须根据组织的要求,来设置允许访问的权限。在完整的物理隔离工作相关的审计记录下,需要执行审核操作工作平台,特别是审核登录错误记录需要单独的操作。不定期审核数据访问操作是根据组织的访问策略和标准操作程序,并需要特殊审核以下项目:(1)授权用户的权限,访问记录应定期审核;(2)为访问事件的权限,应检查不被盗用或冒用。
入侵检测在本质上是针对错误、异常、危险等方面的信息流传输进行检测的手段。通常从技术角度将入侵检测划分为两种检测模型:
(1)异常检测模型(Anomaly Detection):可以接受的行为之间的偏差的检测。如果你能定义一个可以接受的行为,那么这种未定义的不可接受的行为就是一种侵入。通常,利用用户配置文件记录和总结正常操作的习惯和特征,一个入侵的确定往往是用户的活动与正常行为有一个显著的偏差。该检测模型优缺点均较为明显,虽然漏报率低,但同时误报率高;显著的优点在于它可以有效地检测未知的入侵行为,因为该模型并未也没有必要定义所有行为。
(2)误用检测模型(Misuse Detection):通常用来检测与不可接受的已知行为的匹配度。如果管理员能将所有的不可接受的行为都进行定义,那么可以与之匹配的行为就会导致报警。管理员需要收集非正常运行的行为特征,并建立相关的特征数据库。当用户或系统行为与特征数据库中的记录相匹配时,该行为就会被系统认为是一个入侵。同时,缺点同样明显,对未知的攻击是有限的,但必须不断更新特征数据库,且对于新型攻击或入侵行为无法检测。
需要指出的是,计算机网络防御的各种技术都不是万能的,也不是固定不变的,在实际应用中需要根据情况,采取针对性的技术。主要可以基于以下几个原则加以应用,一是区别对待,分类处置原则,发生网络安全事件后,事件发生部门应根据事件性质,影响范围、损失和危害程度对突发事件进行基本判断,对于影响范围小,危害损失程度不大并可在本部门范围内解决的突发事件。二是快速高效原则,应及时掌握网络安全威胁的相关情况,果断采取措施,快速处置,尽最大努力将危害和损失降到最低,可以成立专门的计算机网络防御专项工作组,由组长负责授权范围内的重大事项决策、授权范围外的重大事项的决策建议、相关资源的协调、计算机网络重大风险及障碍点的推动等,工作小组的组织及协调部门,负责待决策事项及需协调事项的整理、风险点的梳理、相关决策建议的提供,以及会议组织、资料准备、决议跟踪等工作,支持计算机网络防御的日常运作。三是综合运用的原则,计算机网络防御是一项系统工程,往往需要诸多技术的综合应用,统筹协调,发挥各种技术的特性和优势,真正构筑起一道网络安全的“铜墙铁壁”。