◆韓 溥

（鄂爾多斯市第一中學(xué)網(wǎng)絡(luò)信息中心 內(nèi)蒙古 017010）

隨著《網(wǎng)絡(luò)安全法》的實(shí)施，各單位面對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的防御壓力進(jìn)一步加大。很多安全設(shè)備確實(shí)能找出問題，但是如何解決問題卻還是經(jīng)常讓用戶煩惱，科學(xué)的制定安全策略以及處置方案迫在眉睫。

1 影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素

1.1 計(jì)算機(jī)網(wǎng)絡(luò)體系因素

計(jì)算機(jī)網(wǎng)絡(luò)安全的影響因素是多方面的，網(wǎng)絡(luò)體系結(jié)構(gòu)本身是影響網(wǎng)絡(luò)安全的一個(gè)因素。計(jì)算機(jī)網(wǎng)絡(luò)的開放性特點(diǎn)決定了其面臨的安全挑戰(zhàn)。文獻(xiàn)[1]中提出缺乏信息安全可控性是目前互聯(lián)網(wǎng)面臨的一個(gè)關(guān)鍵問題，而這個(gè)問題的源頭在于TCP/IP 網(wǎng)絡(luò)體系結(jié)構(gòu)制約了安全應(yīng)對(duì)策略的主動(dòng)性。

1.2 軟件應(yīng)用漏洞

網(wǎng)絡(luò)安全問題廣義上講還是基于網(wǎng)絡(luò)上各個(gè)應(yīng)用的安全漏洞問題，各項(xiàng)業(yè)務(wù)的開展依托于各種應(yīng)用軟件，而應(yīng)用軟件、操作系統(tǒng)的安全性直接影響到整體網(wǎng)絡(luò)安全、業(yè)務(wù)安全。所以應(yīng)用系統(tǒng)的安全漏洞是影響網(wǎng)絡(luò)安全的一個(gè)重要因素。

1.3 人為因素

文獻(xiàn)[2]提出，計(jì)算機(jī)網(wǎng)絡(luò)實(shí)際應(yīng)用過程中，由于網(wǎng)絡(luò)安全設(shè)置不科學(xué)，出現(xiàn)了漏洞，沒有及時(shí)進(jìn)行漏洞修復(fù)操作，系統(tǒng)沒有進(jìn)行優(yōu)化，從而就比較容易發(fā)生安全問題。

諸如黑客多種形式、途徑的主動(dòng)攻擊和系統(tǒng)被動(dòng)攻擊會(huì)導(dǎo)致類似信息篡改、泄露甚至更加嚴(yán)重的后果。黑客攻擊也被認(rèn)為是諸多影響網(wǎng)絡(luò)安全因素中最主要的因素。

2 計(jì)算機(jī)網(wǎng)絡(luò)安全防御技術(shù)

文獻(xiàn)[3]提到，只有加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全管理的水平，才能保障計(jì)算機(jī)網(wǎng)絡(luò)的整體安全?？茖W(xué)合理的安全防御措施是保障網(wǎng)絡(luò)安全的前提。

2.1 防火墻技術(shù)

防火墻本質(zhì)上是通過合理的部署，執(zhí)行預(yù)先制定的訪問控制策略，來實(shí)現(xiàn)內(nèi)外網(wǎng)安全隔離，滿足深層次的安全防護(hù)體系要求的一個(gè)系統(tǒng)。防火墻技術(shù)是網(wǎng)絡(luò)安全防御中最基礎(chǔ)的技術(shù)手段，在保障計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用安全中發(fā)揮著非常重要的作用。它會(huì)根據(jù)預(yù)先制定的安全策略對(duì)經(jīng)過它的數(shù)據(jù)流進(jìn)行監(jiān)審，按照過濾規(guī)則過濾掉所有不合規(guī)的數(shù)據(jù)流量，以達(dá)到保障內(nèi)部網(wǎng)絡(luò)安全的目的。

該熱平衡方程為非齊次微分方程的形式，根據(jù)非齊次微分方程的通解形式和已知初始條件t=0,ΔT=ΔT0可求出微分方程的解如式(3)。

2.2 訪問控制技術(shù)

文獻(xiàn)[4]論述了訪問控制的目的是通過限制用戶對(duì)數(shù)據(jù)信息的訪問能力及范圍，保證信息資源不被非法使用和訪問。網(wǎng)絡(luò)訪問控制的主要任務(wù)是有效控制訪問活動(dòng)，對(duì)信息資源尤其是計(jì)算模式和存儲(chǔ)模式都發(fā)生了很多變化的大數(shù)據(jù)分析、云計(jì)算場(chǎng)景下的信息資源進(jìn)行有效的保護(hù)。按照訪問控制的節(jié)點(diǎn)可以分為入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制以及服務(wù)器安全控制。入網(wǎng)訪問控制時(shí)，對(duì)用戶訪問資源的身份合法性進(jìn)行識(shí)別控制。用戶訪問資源時(shí)訪問控制規(guī)則會(huì)對(duì)用戶使用目錄以及文件資源的權(quán)限實(shí)施有效控制，保障網(wǎng)絡(luò)的安全。

2.3 身份認(rèn)證技術(shù)

所謂身份認(rèn)證，就是判斷一個(gè)用戶是否為合法用戶的處理過程。通常分為四個(gè)階段：

（1）身份供應(yīng)，通常使用自主供應(yīng)模式，保護(hù)用戶的憑證信息、身份標(biāo)識(shí)符等隱私信息。

（2）認(rèn)證，對(duì)于不同安全級(jí)別的服務(wù)采用不同力度的認(rèn)證方式。文獻(xiàn)[5]提出，有傳統(tǒng)的基于“用戶名 + 口令”安全性較低的弱認(rèn)證方式，也有基于云服務(wù)網(wǎng)絡(luò)認(rèn)證的因子強(qiáng)認(rèn)證方式。

（3）訪問授權(quán)，要進(jìn)行訪問授權(quán)，需要基于不同網(wǎng)絡(luò)的特點(diǎn)，選擇合適的訪問控制模型，做好授權(quán)與應(yīng)用統(tǒng)一規(guī)劃。

（4）身份聯(lián)合，尤其是服務(wù)訪問跨越多個(gè)域的云環(huán)境下，身份聯(lián)合可以實(shí)現(xiàn)統(tǒng)一的身份供應(yīng)、認(rèn)證，從而實(shí)現(xiàn)身份管理和訪問控制，使用戶訪問變得簡(jiǎn)單化。

2.4 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是一種保密技術(shù)，通信雙方按約定的法則進(jìn)行信息的特殊變換，在網(wǎng)絡(luò)安全防御中更多的是基于諸如語(yǔ)音、圖像、數(shù)據(jù)等信息資源本身的安全防護(hù)的技術(shù)。

2.5 漏洞掃描技術(shù)

漏洞掃描是通過網(wǎng)絡(luò)漏掃、主機(jī)漏掃等手段對(duì)指定計(jì)算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測(cè)，發(fā)現(xiàn)可利用漏洞的一種安全檢測(cè)（滲透攻擊）行為。如果說防火墻、身份認(rèn)證、授權(quán)訪問是被動(dòng)的防御手段，那么安全漏洞掃描就是一種主動(dòng)的在黑客攻擊前進(jìn)行防范的措施，能有效降低黑客攻擊成功率，做到防患于未然。

3 網(wǎng)絡(luò)安全防御方案

許多情況下我們會(huì)遇到一些業(yè)務(wù)安全痛點(diǎn)，比如：在DHCP分配地址的網(wǎng)絡(luò)中，基于IP 的日志審查無法找到對(duì)應(yīng)的人，上網(wǎng)日志審計(jì)系統(tǒng)如同虛設(shè)；員工上網(wǎng)行為難以統(tǒng)一管控；由于業(yè)務(wù)的特殊性，需要實(shí)現(xiàn)內(nèi)外網(wǎng)安全隔離，來滿足深層次的安全防護(hù)體系以及鏈路穩(wěn)定性要求；數(shù)據(jù)中心承載的業(yè)務(wù)尤其是對(duì)外發(fā)布區(qū)的業(yè)務(wù)安全無法保障；無法及時(shí)掌握網(wǎng)絡(luò)中漏洞情況。基于此，根據(jù)業(yè)務(wù)需求合理規(guī)劃網(wǎng)絡(luò)安全防御方案顯得尤為重要。

3.1 流量?jī)?yōu)化與規(guī)則過濾

如果涉及多個(gè)運(yùn)營(yíng)商出口，可在互聯(lián)網(wǎng)出口部署流量?jī)?yōu)化設(shè)備來優(yōu)化訪問不同運(yùn)營(yíng)商的數(shù)據(jù)流量，實(shí)現(xiàn)全局負(fù)載均衡、多鏈路負(fù)載均衡、服務(wù)器負(fù)載均衡三位一體，提高網(wǎng)絡(luò)訪問效率。內(nèi)網(wǎng)出口部署具備L2-7 層的攻擊防護(hù)技術(shù)，不僅可以防護(hù)外部攻擊，還能檢查服務(wù)器、終端外發(fā)流量是否有風(fēng)險(xiǎn)的下一代防火墻。

3.2 上網(wǎng)行為管理

在內(nèi)網(wǎng)干路部署上網(wǎng)行為管理設(shè)備，實(shí)現(xiàn)訪問控制以及日志審計(jì)、行為管理、安全防御的目的。對(duì)于信息傳輸延時(shí)敏感，對(duì)網(wǎng)絡(luò)穩(wěn)定性要求較高的情況，可以考慮將上網(wǎng)行為管理設(shè)備旁路部署在核心交換設(shè)備上，同樣可以對(duì)鏡像過來的流量進(jìn)行記錄、分析，但是如果這樣部署，對(duì)管理員的維護(hù)頻次要求相對(duì)較高。

3.3 入侵檢測(cè)

入侵檢測(cè)系統(tǒng)絕不是防火墻的替代，而是防火墻的有效補(bǔ)充和附加，可以實(shí)現(xiàn)與防火墻、上網(wǎng)行為管理等安全設(shè)備的聯(lián)動(dòng)，確保網(wǎng)絡(luò)安全。當(dāng)然入侵檢測(cè)功能可以是由單獨(dú)的設(shè)備來實(shí)現(xiàn)，也可以通過防火墻或者其他安全設(shè)備的模塊形式實(shí)現(xiàn)，這取決于實(shí)際業(yè)務(wù)中對(duì)于網(wǎng)絡(luò)安全以及數(shù)據(jù)處理能力的要求。

3.4 數(shù)據(jù)中心防護(hù)和漏洞掃描

在數(shù)據(jù)中心或服務(wù)器區(qū)等重點(diǎn)業(yè)務(wù)區(qū)域部署基于業(yè)務(wù)系統(tǒng)的漏洞掃描設(shè)備可以發(fā)現(xiàn)基于業(yè)務(wù)的漏洞，防患于未然。堡壘設(shè)備實(shí)現(xiàn)則可以實(shí)現(xiàn)用戶校驗(yàn)代理等業(yè)務(wù)，滿足數(shù)據(jù)中心安全及業(yè)務(wù)需求。

圖1 方案網(wǎng)絡(luò)拓?fù)?/p>

整體方案的價(jià)值主要體現(xiàn)在對(duì)內(nèi)網(wǎng)用戶訪問互聯(lián)網(wǎng)流量嚴(yán)格審計(jì)，有效避免了不良信息外發(fā)行為，有效及時(shí)排查員工非法言論，并避免造成的法律風(fēng)險(xiǎn)；對(duì)外部不合規(guī)流量訪問數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)起到了防御作用；基于2 到7 層防御的下一代防火墻可以構(gòu)建互聯(lián)網(wǎng)出口防護(hù)邊界與數(shù)據(jù)中心防護(hù)邊界，阻斷黑客等非法用戶以及非法數(shù)據(jù)流量的入侵；為用戶構(gòu)建“預(yù)防+防御+檢測(cè)+響應(yīng)”的體系化安全方案，實(shí)現(xiàn)單位“體系化安全建設(shè)，持續(xù)性內(nèi)網(wǎng)保護(hù)”的發(fā)展需要。

4 測(cè)試

通過測(cè)試主要對(duì)本網(wǎng)絡(luò)安全防御方案規(guī)劃的可行性進(jìn)行驗(yàn)證，同時(shí)對(duì)上網(wǎng)行為管理設(shè)備直連和旁路部署模式下的安全防御功能和延時(shí)參數(shù)進(jìn)行對(duì)比。

4.1 測(cè)試環(huán)境

實(shí)驗(yàn)環(huán)境為三條1000M 不同運(yùn)營(yíng)商帶寬（聯(lián)通、移動(dòng)、教育網(wǎng)）、深信服AD-9000 應(yīng)交付網(wǎng)關(guān)、深信服AF-9020（集成入侵檢測(cè)）防火墻、深信服AC-10000 上網(wǎng)行為管理設(shè)備、藍(lán)盾漏洞掃描設(shè)備、藍(lán)盾堡壘機(jī)、H3C 交換機(jī)、HP 服務(wù)器。

4.2 測(cè)試方法

采用外網(wǎng)攻擊和內(nèi)網(wǎng)訪問測(cè)試兩種方式。其中外網(wǎng)攻擊測(cè)試通過外網(wǎng)PC使用主流58 種攻擊方式攻擊內(nèi)網(wǎng)服務(wù)器區(qū)業(yè)務(wù)服務(wù)器1，來測(cè)試方案中防火墻、入侵檢測(cè)設(shè)備、堡壘機(jī)等安全設(shè)備的防御情況。

將上網(wǎng)行為管理設(shè)備直連和旁路部署，分別進(jìn)行內(nèi)網(wǎng)訪問測(cè)試，通過內(nèi)網(wǎng)PC 微博發(fā)布敏感詞匯等79 種方式對(duì)上網(wǎng)行為管理以及防火墻（內(nèi)部風(fēng)險(xiǎn)管理模塊）的安全功能和訪問延時(shí)進(jìn)行測(cè)試。驗(yàn)證防御與審計(jì)功能，同時(shí)對(duì)比兩種部署模式的時(shí)延參數(shù)。

4.3 測(cè)試結(jié)果

對(duì)于外網(wǎng)攻擊，防火墻、入侵檢測(cè)等設(shè)備可以按照功能100%識(shí)別，并且按照規(guī)則進(jìn)行有效的告警和防御。其中，嘗試不同方式破解業(yè)務(wù)服務(wù)器1 登錄口令時(shí)，堡壘機(jī)做到了實(shí)時(shí)全部響應(yīng)，防火墻（服務(wù)器保護(hù)功能）對(duì)于暴力破解方式做出了響應(yīng)。

內(nèi)網(wǎng)訪問測(cè)試時(shí)，上網(wǎng)行為管理設(shè)備均作出了響應(yīng)并且執(zhí)行了安全審計(jì)策略。內(nèi)容控制、終端控制、流量控制功三大類安全功能均有效。

在驗(yàn)證上網(wǎng)行為管理設(shè)備時(shí)，旁路部署模式的平均數(shù)據(jù)訪問延時(shí)低于直連部署模式近22%。

通過測(cè)試結(jié)果可以看出，上述規(guī)劃方案中網(wǎng)絡(luò)安全設(shè)備發(fā)揮了應(yīng)有的作用。該方案針對(duì)攻擊鏈各環(huán)節(jié)均可持續(xù)檢測(cè)，可以及時(shí)、準(zhǔn)確的響應(yīng)安全事件，將威脅影響面降到更低。該方案對(duì)數(shù)據(jù)中心安全進(jìn)行了有效補(bǔ)充，解決僅規(guī)劃防火墻，缺乏完善的安全防御和檢測(cè)技術(shù)所帶來的風(fēng)險(xiǎn)，可以在復(fù)雜業(yè)務(wù)環(huán)境下保障數(shù)據(jù)中心信息安全。在上網(wǎng)行為管理方面，用戶、終端、應(yīng)用、內(nèi)容、流量可控，滿足國(guó)家合規(guī)以及等級(jí)保護(hù)要求。值得一提的是，旁路部署模式一樣可以對(duì)上網(wǎng)行為進(jìn)行控制且具有更小的延時(shí)，對(duì)當(dāng)前網(wǎng)絡(luò)影響更小。

5 結(jié)束語(yǔ)

本文對(duì)網(wǎng)絡(luò)安全防御與漏洞掃描技術(shù)進(jìn)行了評(píng)述。提出了常用的網(wǎng)絡(luò)安全防御方案，并對(duì)方案可行性進(jìn)行了測(cè)試驗(yàn)證，對(duì)不同的部署模式優(yōu)缺點(diǎn)進(jìn)行簡(jiǎn)要的分析。用戶可以根據(jù)實(shí)際情況對(duì)通用方案進(jìn)行調(diào)整，當(dāng)然實(shí)際應(yīng)用中安全防御效果和設(shè)備性能以及規(guī)則配置方案有直接的關(guān)系。