◆徐曉璇 石桓印

寬帶IP數(shù)據(jù)網(wǎng)的安全研究及策略

◆徐曉璇 石桓印

（武警山西省總隊(duì)綜合信息保障中心 山西 030000）

在網(wǎng)絡(luò)化信息化社會(huì)背景下，寬帶IP數(shù)據(jù)網(wǎng)的應(yīng)用范圍不斷擴(kuò)大，各行業(yè)在生產(chǎn)銷售以及行政管理等諸多領(lǐng)域均需應(yīng)用到寬帶IP數(shù)據(jù)網(wǎng)作為其工作基礎(chǔ)，而日常生活學(xué)習(xí)中，人們也大量利用網(wǎng)絡(luò)資源來滿足自身的生活學(xué)習(xí)需求。在寬帶IP數(shù)據(jù)網(wǎng)應(yīng)用過程中，大量的數(shù)據(jù)信息交換、數(shù)據(jù)傳遞使得網(wǎng)絡(luò)安全性備受關(guān)注。在應(yīng)用寬帶IP數(shù)據(jù)網(wǎng)的過程中，信息安全是用戶正常使用的基本要求，而隨著相關(guān)技術(shù)的不斷發(fā)展，由于寬帶IP數(shù)據(jù)網(wǎng)中重要數(shù)據(jù)信息日益增多，想利用不法手段竊取網(wǎng)絡(luò)數(shù)據(jù)的群體也不斷增加，提升寬帶IP數(shù)據(jù)網(wǎng)的安全是當(dāng)前網(wǎng)絡(luò)化信息化社會(huì)發(fā)展的重要保障。

寬帶IP數(shù)據(jù)網(wǎng)；網(wǎng)絡(luò)安全；威脅；安全防護(hù)策略

由于當(dāng)前數(shù)據(jù)信息流量較大，各種有價(jià)值的數(shù)據(jù)信息層出不窮，一旦信息遭到泄露或受到損害，都將對(duì)信息使用者造成較為嚴(yán)重的經(jīng)濟(jì)或其他方面損失。目前網(wǎng)絡(luò)安全態(tài)勢(shì)整體較差，隨著各協(xié)議層相關(guān)協(xié)議內(nèi)容的不斷增加，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也不斷增加。另外當(dāng)前影響網(wǎng)絡(luò)安全的相關(guān)技術(shù)也不斷發(fā)展，防護(hù)技術(shù)與攻擊技術(shù)在技術(shù)發(fā)展層面存在一定差異，一旦未受保護(hù)的網(wǎng)絡(luò)信息遭到主動(dòng)或被動(dòng)攻擊都很容易導(dǎo)致信息內(nèi)容受損或信息直接被盜。在這種情況下，本文將針對(duì)寬帶IP數(shù)據(jù)網(wǎng)安全進(jìn)行詳細(xì)分析，研究當(dāng)前寬帶IP數(shù)據(jù)網(wǎng)面臨的安全威脅，并提出相應(yīng)的網(wǎng)絡(luò)安全防護(hù)策略。

1 寬帶IP數(shù)據(jù)網(wǎng)安全概述

寬帶IP數(shù)據(jù)網(wǎng)安全防護(hù)不僅包括純軟件方面的防護(hù)，同時(shí)也包含對(duì)硬件中相關(guān)信息的防護(hù)。保護(hù)參與網(wǎng)絡(luò)數(shù)據(jù)交換的各軟件及硬件中相關(guān)信息的安全是網(wǎng)絡(luò)安全防護(hù)的基本目標(biāo)。不論是個(gè)人用戶還是網(wǎng)絡(luò)數(shù)據(jù)平臺(tái)，網(wǎng)絡(luò)信息安全都是重點(diǎn)防護(hù)部分。網(wǎng)絡(luò)安全防護(hù)既要保證獨(dú)立用戶在進(jìn)行網(wǎng)絡(luò)連接和數(shù)據(jù)傳輸?shù)倪^程中傳輸?shù)臄?shù)據(jù)內(nèi)容安全，同時(shí)也要防護(hù)個(gè)體用戶及網(wǎng)絡(luò)數(shù)據(jù)平臺(tái)的后臺(tái)信息內(nèi)容。而數(shù)據(jù)保護(hù)包括避免讓數(shù)據(jù)受到破壞、避免讓數(shù)據(jù)遭到惡意篡改、避免數(shù)據(jù)泄露這三方面[1]。在對(duì)相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行防護(hù)的同時(shí)，還要保障個(gè)體用戶及網(wǎng)絡(luò)數(shù)據(jù)平臺(tái)的正常運(yùn)行，保障網(wǎng)絡(luò)服務(wù)通暢，避免因惡意攻擊導(dǎo)致網(wǎng)絡(luò)癱瘓。從整體角度上來看，想保障網(wǎng)絡(luò)信息安全，必須保障網(wǎng)絡(luò)信息以下幾方面的特征。這些特征分別包括網(wǎng)絡(luò)信息保密性、網(wǎng)絡(luò)信息可控性、網(wǎng)絡(luò)信息完整性、網(wǎng)絡(luò)信息真實(shí)性。切實(shí)保障網(wǎng)絡(luò)信息的上述特性，較好地保障網(wǎng)絡(luò)數(shù)據(jù)安全。

2 寬帶IP數(shù)據(jù)網(wǎng)面臨的安全威脅

2.1 被動(dòng)攻擊

網(wǎng)絡(luò)信息安全威脅主要分為被動(dòng)攻擊和主動(dòng)攻擊兩種，其中被動(dòng)攻擊是指攻擊網(wǎng)絡(luò)，這只對(duì)數(shù)據(jù)進(jìn)行截獲并不對(duì)數(shù)據(jù)本體進(jìn)行修改，而網(wǎng)絡(luò)真實(shí)接受者同樣在數(shù)據(jù)被截獲后能夠收到正確的數(shù)據(jù)內(nèi)容。在被動(dòng)攻擊中攻擊者僅對(duì)PDU進(jìn)行分析和觀察。2020年某論壇網(wǎng)站上驚現(xiàn)大量家庭智能攝像機(jī)設(shè)備拍攝的家庭內(nèi)部畫面，這些家庭智能攝像設(shè)備受到被動(dòng)攻擊后，相應(yīng)的拍攝數(shù)據(jù)被攻擊者截獲，攻擊者通過竊聽和流量分析的形式來截獲視頻及音頻數(shù)據(jù)信息，而在此過程中發(fā)起被動(dòng)攻擊的人員僅對(duì)一個(gè)協(xié)議數(shù)據(jù)單元的PDU進(jìn)行觀察和分析。由于局域網(wǎng)數(shù)據(jù)傳輸以廣播方式進(jìn)行，攻擊者借助計(jì)算機(jī)網(wǎng)卡在雜收模式下接收到廣播數(shù)據(jù)信息，并通過分包解讀來獲取相應(yīng)的信息內(nèi)容，如此一來，家庭智能攝錄設(shè)備拍攝到的畫面信息就被攻擊者截獲。此事件造成較大的網(wǎng)絡(luò)安全信任危機(jī)，相應(yīng)的智能攝錄設(shè)備廠商也更新了硬件防護(hù)并對(duì)相應(yīng)的數(shù)據(jù)加密邏輯進(jìn)行調(diào)整，避免再次發(fā)生攝入影像內(nèi)容遭到攻擊者截獲的問題[2]。

2.2 主動(dòng)攻擊

主動(dòng)攻擊形式多樣，能夠?qū)е略景l(fā)出信息無法傳輸?shù)侥康恼荆部蓪?dǎo)致目的站收到被篡改的信息，另外還可能受到攻擊者直接發(fā)出的偽造信息。發(fā)起主動(dòng)攻擊者可以通過中斷網(wǎng)絡(luò)通信使目的站無法收取相應(yīng)信息，也可通過篡改的形式使目的站收到錯(cuò)誤的報(bào)文。在原站不發(fā)出相應(yīng)報(bào)文的情況下，攻擊者可以通過直接偽造報(bào)文使目的站收到錯(cuò)誤信息。當(dāng)前主動(dòng)攻擊的攻擊者，可以通過某個(gè)網(wǎng)絡(luò)連接中的協(xié)議數(shù)據(jù)單元PDU進(jìn)行處理并達(dá)到相應(yīng)的攻擊目的[3]。當(dāng)前，植入各種惡意程序也是比較常見的主動(dòng)攻擊手段。這其中比較常見的包括邏輯炸彈、特洛伊木馬以及蠕蟲病毒等。比較出名的熊貓燒香病毒是一種典型的主動(dòng)攻擊形式，該病毒能夠直接感染計(jì)算機(jī)硬盤并主動(dòng)篡改硬盤中的各種文件信息。該病毒感染計(jì)算機(jī)后會(huì)對(duì)磁盤中所有符合攻擊特征的文件包進(jìn)行篡改，使用戶在各個(gè)文件包及待機(jī)畫面中出現(xiàn)熊貓燒香圖案，由于其對(duì)計(jì)算機(jī)邏輯及處理載荷造成較大影響，因而可能造成計(jì)算機(jī)重啟、藍(lán)屏。熊貓燒香病毒，本質(zhì)上是一種變形的蠕蟲病毒，其可以通過磁盤根目錄在計(jì)時(shí)器的引導(dǎo)下生成相應(yīng)的病毒本體，并利用局域網(wǎng)進(jìn)行病毒傳播。該病毒還能主動(dòng)與各種殺毒軟件進(jìn)行對(duì)抗，阻止殺毒軟件清除具有數(shù)據(jù)篡改能力的數(shù)據(jù)包。熊貓燒香病毒給我國(guó)網(wǎng)絡(luò)安全造成了嚴(yán)重影響，帶來的直接經(jīng)濟(jì)損失和間接經(jīng)濟(jì)損失無法估量。

3 寬帶IP數(shù)據(jù)網(wǎng)安全防護(hù)策略

3.1 防火墻技術(shù)

防火墻技術(shù)是當(dāng)前寬帶IP數(shù)據(jù)網(wǎng)安全防護(hù)的重要手段。所謂防火墻技術(shù)是指將計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)與Internet分開，可以將防火墻簡(jiǎn)單地理解為訪問限制技術(shù)。本質(zhì)上來講，防火墻屬于網(wǎng)絡(luò)隔離技術(shù)，通過防火墻能夠?qū)崿F(xiàn)控制外部數(shù)據(jù)信息及相應(yīng)指令進(jìn)入本地網(wǎng)絡(luò)的目的[4]。通過方向設(shè)置，可以使允許進(jìn)入本地網(wǎng)絡(luò)的數(shù)據(jù)及相應(yīng)指令進(jìn)入，同時(shí)拒絕所有非法訪問以及數(shù)據(jù)信息。防火墻根據(jù)分類標(biāo)準(zhǔn)，可分為網(wǎng)絡(luò)防火墻和計(jì)算機(jī)防火墻。網(wǎng)絡(luò)防火墻，通過用戶網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的隔離來實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)，而計(jì)算機(jī)防火墻則內(nèi)置于計(jì)算機(jī)之中，用以對(duì)外部網(wǎng)絡(luò)信息進(jìn)行篩選隔離。當(dāng)前來自世界各國(guó)的防火墻技術(shù)種類相對(duì)較多，這里介紹一種比較知名的防火墻，NAI Gauntlet，該防火墻屬于應(yīng)用層網(wǎng)關(guān)一級(jí)防火墻，該防火墻在防護(hù)過程中能夠?qū)W(wǎng)絡(luò)通信進(jìn)行雙向檢測(cè)，根據(jù)自身邏輯框架，對(duì)高數(shù)據(jù)流量網(wǎng)絡(luò)進(jìn)行雙向安全防護(hù)。普通用戶在使用該防火墻技術(shù)的過程中，可根據(jù)高危網(wǎng)絡(luò)安全問題進(jìn)行相應(yīng)的病毒防控調(diào)整。該方向技術(shù)能夠進(jìn)入到網(wǎng)絡(luò)分包文件之中，對(duì)文件信息內(nèi)容進(jìn)行辨識(shí)，具有較高的網(wǎng)絡(luò)安全防護(hù)性能。

3.2 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)主要針對(duì)被動(dòng)攻擊進(jìn)行防護(hù)，數(shù)據(jù)加密的本質(zhì)含義是將明文信息通過一定的密鑰匙或加密函數(shù)進(jìn)行信息轉(zhuǎn)換，使之成為表面無意義的亂碼密文，接收相關(guān)信息的一方必須具有密鑰才能對(duì)密文進(jìn)行解讀，從而獲得可直接利用的相關(guān)信息。加密技術(shù)根據(jù)其具體形式的不同，可以分為對(duì)稱密鑰、公開密鑰以及專用密鑰等，原站與目的站之間使用同一套加密方式以及密鑰時(shí)，稱之為對(duì)稱密鑰[5]。而公開利用其數(shù)據(jù)從原站發(fā)出時(shí)進(jìn)行的加密方式與目的站接收時(shí)所使用的解密密鑰并不完全一致，二者之間可能存在一定的函數(shù)關(guān)系。DES是一種具有較好加密效果的數(shù)據(jù)加密技術(shù)，應(yīng)用該數(shù)據(jù)加密技術(shù)時(shí)，其通過自身64位的數(shù)據(jù)分解算法，將源數(shù)據(jù)分解為數(shù)據(jù)塊，進(jìn)行原文密鑰置換的過程中會(huì)得到相應(yīng)的亂碼，其所形成的亂碼數(shù)據(jù)平均分為兩段，而在接下來的過程中會(huì)對(duì)這兩段數(shù)據(jù)段落進(jìn)行疊加加密并給出相應(yīng)的密鑰參數(shù)。使用該數(shù)據(jù)加密技術(shù)后，能夠較好地避免數(shù)據(jù)被截獲后直接利用。

3.3 身份識(shí)別和認(rèn)證技術(shù)

身份識(shí)別和認(rèn)證技術(shù)是寬帶IP數(shù)據(jù)網(wǎng)的重要安全防護(hù)策略，數(shù)據(jù)訪問是否被允許是控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的關(guān)鍵所在，允許獲得訪問權(quán)限的信息和人員訪問規(guī)定范圍內(nèi)的數(shù)據(jù)信息，這是身份識(shí)別和認(rèn)證技術(shù)的主體。一般來講，各種網(wǎng)絡(luò)安全風(fēng)險(xiǎn)普遍來自于突破外層防御后對(duì)其內(nèi)部信息的盜取篡改等，而高效的身份識(shí)別和認(rèn)證技術(shù)能夠兼顧外部防御系統(tǒng)抵御非法訪問從而降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。外部訪問請(qǐng)求進(jìn)入后，將對(duì)訪問者IP進(jìn)行驗(yàn)證，獲準(zhǔn)訪問者將正常進(jìn)行訪問，而身份信息識(shí)別不通過的將拒絕訪問。另外除軟件系統(tǒng)的查證識(shí)別外，通過掃描一些獲準(zhǔn)人的生物信息特征，同樣可以達(dá)到身份識(shí)別認(rèn)證的目的，例如當(dāng)前比較常用的指紋識(shí)別、虹膜識(shí)別、聲紋識(shí)別等，通過這些獨(dú)特的生物特征，同樣可以有效鑒別訪問者是否具有相應(yīng)的訪問權(quán)限。

3.4 采用VPN保障網(wǎng)絡(luò)安全

利用虛擬專網(wǎng)技術(shù)來構(gòu)建安全性較高、可靠性相對(duì)較強(qiáng)、具有較好管理特性的私有專用網(wǎng)絡(luò)也是保障網(wǎng)絡(luò)安全的重要措施。公共網(wǎng)絡(luò)中網(wǎng)絡(luò)安全風(fēng)險(xiǎn)相對(duì)較多，在這種情況下構(gòu)建VPN，通過私有網(wǎng)絡(luò)框架來執(zhí)行相應(yīng)的信息傳遞任務(wù)能夠達(dá)到更高的安全水平。利用共享通信基礎(chǔ)來實(shí)現(xiàn)非固定物理連接的網(wǎng)絡(luò)傳輸效果。VPN最大的網(wǎng)絡(luò)安全優(yōu)勢(shì)在于私有性，用戶可根據(jù)自身的網(wǎng)絡(luò)需求通過公共網(wǎng)絡(luò)框架來構(gòu)建一個(gè)獨(dú)立的網(wǎng)絡(luò)體系，在該體系內(nèi)尋址空間以及路由空間都是獨(dú)立存在且符合用戶本身網(wǎng)絡(luò)需求的[6]。在IP VPN體系內(nèi)，發(fā)送者和接收者均可以明文形式發(fā)送報(bào)文，而負(fù)責(zé)加密解密的則是各VPN網(wǎng)關(guān)，源VPN網(wǎng)關(guān)在報(bào)文傳送過程中，通過訪問控制、報(bào)文加密、鑒別查證以及IP封裝來將其通過公共網(wǎng)絡(luò)進(jìn)行發(fā)送，接收者網(wǎng)關(guān)則逆行相關(guān)流程實(shí)現(xiàn)明文接收，這種報(bào)文傳送方式更具安全性。

4 結(jié)束語

本文針對(duì)網(wǎng)絡(luò)安全相關(guān)內(nèi)容進(jìn)行了探討分析，重點(diǎn)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及威脅以及安全防護(hù)策略進(jìn)行了研究，希望對(duì)未來網(wǎng)絡(luò)安全發(fā)展起到推動(dòng)作用。

[1]駱國(guó)軍. 基于網(wǎng)絡(luò)安全的可疑IP配置方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)：CN109688094A[P].2019.

[2]胡靜. 基于大數(shù)據(jù)平臺(tái)的移動(dòng)分組網(wǎng)絡(luò)安全及IP性能的探討[J]. 數(shù)碼設(shè)計(jì)（下），2019，000（005）：159-160.

[3]牛霞紅. 大數(shù)據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)感知中數(shù)據(jù)融合技術(shù)研究[J]. 信息技術(shù)與信息化，2020（3）.

[4]張海霞，喬贊瑞，潘嘯，等. 網(wǎng)絡(luò)安全數(shù)據(jù)采集關(guān)鍵技術(shù)研究[J]. 計(jì)算機(jī)科學(xué)與應(yīng)用，2021，11（4）：8.

[5]趙榮康，孔祥瑞，梁蓉蓉. 不同安全等級(jí)網(wǎng)絡(luò)之間的數(shù)據(jù)交換方案研究與實(shí)現(xiàn)[J]. 信息安全研究，2020，006（004）：338-344.

[6]王力. 關(guān)于網(wǎng)絡(luò)數(shù)據(jù)安全防護(hù)手段的研究[J]. 內(nèi)蒙古科技與經(jīng)濟(jì)，2020（17）.