祝文龍 俞海英

摘要：部隊(duì)信息化建設(shè)是我軍面臨的歷史性課題，而網(wǎng)絡(luò)安全是信息化建設(shè)的重中之重。從其本質(zhì)上來(lái)講網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全，使網(wǎng)絡(luò)按照授權(quán)動(dòng)作進(jìn)行操作，并最終實(shí)現(xiàn)網(wǎng)絡(luò)的保密性、完整性、可用性、真實(shí)性和可控性等。該文簡(jiǎn)單介紹了幾種網(wǎng)絡(luò)安全的防護(hù)措施，對(duì)部隊(duì)的網(wǎng)絡(luò)安全建設(shè)具有輔助意義。

關(guān)鍵詞：網(wǎng)絡(luò)安全；部隊(duì)；訪問(wèn)控制列表；防火墻；入侵防御系統(tǒng)

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2012)05-1043-02

Brief Probe into the Question about the Armys Security of Network

ZHU Wen-long1, YU Hai-ying2

(1.The PLA University of Technology & Science, Nanjing 210007,China；2.The PLA University of Technology & Science, Nanjing 210007, China)

Abstract：The construction of military informationization is a historical topic to our army, and the security of network is the most impor? tant thing in it. Essentially speaking, the network security is really the information security in the internet, and that means the computer us? er can just operate computer upon authorization, so we can guarantee the networks confidentiality, integrity, availability, authenticity, con? trollability and so on. This paper briefly describes several kinds of network security protection measures, and having assistant function to the network security construction of our army.

Key words: security of network; army; access control list; firewall;intrusion prevention system

克勞塞維茨曾說(shuō)過(guò)：“每個(gè)時(shí)代均應(yīng)有其特定的戰(zhàn)爭(zhēng)”。隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展，歷史的車輪駛進(jìn)了信息時(shí)代，而信息時(shí)代的主要戰(zhàn)爭(zhēng)形態(tài)是信息化戰(zhàn)爭(zhēng)，信息安全成為制勝的關(guān)鍵因素。怎樣在信息化條件下打贏現(xiàn)代化戰(zhàn)爭(zhēng)已成為時(shí)代的課題。大力發(fā)展網(wǎng)絡(luò)化建設(shè)，提高網(wǎng)絡(luò)安全技術(shù)已經(jīng)成為部隊(duì)的重要課題。

經(jīng)過(guò)幾年的努力，計(jì)算機(jī)網(wǎng)絡(luò)已廣泛應(yīng)用于部隊(duì)的日常辦公與管理。但由于使用人的技術(shù)水平有限或者安全防范意識(shí)薄弱等原因，使得部隊(duì)的網(wǎng)絡(luò)泄密事件不斷發(fā)生。提高網(wǎng)絡(luò)安全技術(shù)，強(qiáng)化應(yīng)用系統(tǒng)功能，為部隊(duì)建設(shè)一套安全可靠的網(wǎng)絡(luò)體系成為我們思考的方向。下面就計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題介紹已有的幾種網(wǎng)絡(luò)安全措施。

1以太網(wǎng)接入控制與認(rèn)證機(jī)制

1.1安全端口建立訪問(wèn)控制列表

訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)，是保證網(wǎng)絡(luò)安全最重要的核心策略之一，它在以太網(wǎng)交換機(jī)的每一個(gè)訪問(wèn)端口都配置訪問(wèn)控制列表，即Access Control List(ACL)，只有在源MAC地址為訪問(wèn)控制列表中允許接入的終端MAC地址時(shí)，才可以繼續(xù)轉(zhuǎn)發(fā)MAC幀，否則該MAC幀將被丟棄。

1.2 802.1X接入控制機(jī)制

由于我們有時(shí)需要更換動(dòng)態(tài)訪問(wèn)控制列表，所以更重要的是終端MAC地址是可以更改的。如果敵方知道我訪問(wèn)控制列表中的MAC地址，就可以將自己終端MAC地址設(shè)為列表中的MAC地址而實(shí)現(xiàn)非法接入。針對(duì)這一現(xiàn)象我們可以采用802.1X接入控制機(jī)制。它需要建立一個(gè)鑒別數(shù)據(jù)庫(kù)，每一個(gè)新接入交換機(jī)的終端只有輸入用戶名和密碼，經(jīng)由以太網(wǎng)交換機(jī)鑒別數(shù)據(jù)庫(kù)的鑒定為有效后才可以進(jìn)入訪問(wèn)控制列表。其邏輯圖如圖1。

在圖1中注冊(cè)數(shù)據(jù)庫(kù)中有用戶A與用戶C及其各自的口令，當(dāng)用戶A、B、C、D接入交換機(jī)時(shí)，同時(shí)啟動(dòng)鑒別機(jī)制，而只有A、C才有登陸用戶名與口令，輸入正確后在訪問(wèn)控制列表中加入MAC A與MAC C，進(jìn)而可以訪問(wèn)敏感信息資源。對(duì)于用戶B和C而言，由于注冊(cè)數(shù)據(jù)庫(kù)中并沒(méi)有其數(shù)據(jù)記錄，因而被禁止訪問(wèn)敏感信息資源。

2防火墻技術(shù)

圖1

防火墻技術(shù)目前已成為部隊(duì)用于網(wǎng)絡(luò)安全建設(shè)的主要技術(shù)支撐，其在我軍網(wǎng)絡(luò)防護(hù)中起到了重要作用。防火墻通常位于內(nèi)網(wǎng)與外網(wǎng)的連接點(diǎn)，強(qiáng)制所有出入內(nèi)外網(wǎng)的數(shù)據(jù)流都必須經(jīng)過(guò)此安全系統(tǒng)，是一種對(duì)不同網(wǎng)絡(luò)之間信息傳輸過(guò)程實(shí)施監(jiān)測(cè)和控制的設(shè)備，在邏輯上，防火墻就是一部隔離器、分析器與限制器，用于保護(hù)內(nèi)網(wǎng)中的信息資源。其提供的服務(wù)有：

1）行為控制：不同網(wǎng)段間只允許傳輸與行為合理的網(wǎng)絡(luò)資源訪問(wèn)過(guò)程相關(guān)的信息流。2）服務(wù)控制：不同網(wǎng)段間終端只允許傳輸與特定服務(wù)相關(guān)的信息流。

3）方向控制：不同網(wǎng)段間只允許傳輸與由特定網(wǎng)段中終端發(fā)起的會(huì)話相關(guān)的信息流。

4）用戶控制：不同網(wǎng)段間只允許傳輸與授權(quán)用戶合法訪問(wèn)網(wǎng)絡(luò)資源相關(guān)的信息流。

防火墻分為個(gè)人防火墻與網(wǎng)絡(luò)防火墻，關(guān)鍵技術(shù)主要有分組過(guò)濾器、電路層網(wǎng)關(guān)和應(yīng)用層網(wǎng)關(guān)。由于分組過(guò)濾器對(duì)信息的發(fā)送端和接收端是透明的，因此不需要改變終端訪問(wèn)網(wǎng)絡(luò)的方式。而且隨著有狀態(tài)分組過(guò)濾器的產(chǎn)生，它對(duì)于內(nèi)外與外網(wǎng)件傳輸?shù)男畔⒘鞯谋O(jiān)控變得更加精確，有狀態(tài)分組過(guò)濾器也成為部隊(duì)主要的網(wǎng)絡(luò)安全技術(shù)。其邏輯圖如如圖2：

圖2

在圖2中，防火墻將網(wǎng)絡(luò)傳輸系統(tǒng)分為3個(gè)區(qū)，分別為命名為信任區(qū)，非軍事區(qū)與非信任區(qū)，我們可以對(duì)防火墻進(jìn)行設(shè)置，令信任區(qū)內(nèi)網(wǎng)絡(luò)可以對(duì)非軍事區(qū)以及非信任區(qū)內(nèi)網(wǎng)絡(luò)進(jìn)行訪問(wèn)，而非信任區(qū)內(nèi)網(wǎng)絡(luò)只能對(duì)非軍事區(qū)網(wǎng)絡(luò)進(jìn)行訪問(wèn)，不可以訪問(wèn)信任區(qū)網(wǎng)絡(luò)。從而達(dá)到對(duì)信任區(qū)內(nèi)網(wǎng)絡(luò)的保護(hù)。

3入侵防御系統(tǒng)（Intrusion Prevention System）

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，攻擊者的攻擊工具與手段也日益成熟多樣，外網(wǎng)對(duì)內(nèi)網(wǎng)的攻擊往往是在內(nèi)網(wǎng)防火墻訪問(wèn)控制策略所允許的條件下進(jìn)行的，如通過(guò)惡意代碼傳播控制內(nèi)網(wǎng)終端從而實(shí)行對(duì)內(nèi)網(wǎng)的攻擊，這樣防火墻就很難進(jìn)行有效的防御。因此，能對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別和處理的系統(tǒng)——入侵防御系統(tǒng)，就凸顯其重要作用。

入侵防御系統(tǒng)主要分為網(wǎng)絡(luò)入侵防御系統(tǒng)（Network Intrusion Prevention System）和主機(jī)防御系統(tǒng)（Host Intrusion Prevention Sys? tem），網(wǎng)絡(luò)入侵防御系統(tǒng)能夠有效的對(duì)網(wǎng)絡(luò)中傳輸?shù)男畔⑦M(jìn)行檢測(cè)并對(duì)異常信息的傳輸進(jìn)行處理，而主機(jī)入侵防御系統(tǒng)可以對(duì)于主機(jī)資源的訪問(wèn)進(jìn)行監(jiān)控，對(duì)非法訪問(wèn)進(jìn)行管制。作為防火墻的合理補(bǔ)充，它提高了安全基礎(chǔ)結(jié)構(gòu)的完整性，被認(rèn)為是繼防火墻之后的第二道安全閘門。其邏輯圖如圖3：

圖3

在圖3中，路由器連接外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)，在外網(wǎng)與內(nèi)網(wǎng)間接入網(wǎng)絡(luò)入侵防御系統(tǒng)，使得網(wǎng)絡(luò)入侵防御系統(tǒng)可以捕獲外網(wǎng)流入內(nèi)網(wǎng)的異常信息，并做出相應(yīng)的信息反制動(dòng)作，而在重要終端上安裝的主機(jī)入侵防御系統(tǒng)，又可以有效地保護(hù)重要終端，從而達(dá)到相輔相成，協(xié)調(diào)一致的效果。由此我們也可以看到入侵防御系統(tǒng)發(fā)展前景的廣泛。就目前來(lái)看，在部隊(duì)中防火墻技術(shù)已經(jīng)相對(duì)成熟，應(yīng)用也比較廣泛。但是對(duì)于入侵防御系統(tǒng)的應(yīng)用還不夠充分，究其原因，是由于網(wǎng)絡(luò)入侵防御系統(tǒng)只能對(duì)部分網(wǎng)絡(luò)資源進(jìn)行保護(hù)，并且在處理未知范圍內(nèi)的異常信息處理能力還略有不足，而主機(jī)入侵犯防御系統(tǒng)終究只是一個(gè)應(yīng)用程序，屬于被動(dòng)防御，即只有惡意攻擊到達(dá)終端時(shí)才做出反應(yīng)，而我們更希望的是主動(dòng)出擊，即在惡意程序還沒(méi)有到達(dá)終端之前就將其攔截處理。另外若對(duì)每一個(gè)重要終端都安裝入侵防御系統(tǒng)，其成本也較大。正是由于其上不足之處，使得入侵防御系統(tǒng)還沒(méi)有在網(wǎng)路安全中完全得以應(yīng)用。但相信經(jīng)過(guò)一定的發(fā)展與改良，入侵防御系統(tǒng)會(huì)成為部隊(duì)網(wǎng)絡(luò)安全建設(shè)的一道堅(jiān)固城墻。

4結(jié)束語(yǔ)

除以上安全措施外，還有很多方法可以提高我們的網(wǎng)絡(luò)安全系數(shù)。如安裝殺毒軟件，對(duì)需要傳遞的重要信息進(jìn)行加密，使用數(shù)字簽名技術(shù)等，都有其獨(dú)特的優(yōu)勢(shì)來(lái)進(jìn)行網(wǎng)絡(luò)安全防護(hù)。但是部隊(duì)網(wǎng)絡(luò)安全建設(shè)仍是一項(xiàng)重要的需要不斷發(fā)展研究的課題，尤其是部隊(duì)的重要信息更是敵對(duì)勢(shì)力想法設(shè)法竊取的對(duì)象，更加大了我軍網(wǎng)絡(luò)安全的壓力。如今的網(wǎng)絡(luò)安全已經(jīng)是涵蓋了網(wǎng)絡(luò)級(jí)與應(yīng)用級(jí)在內(nèi)的完整概念，我軍需從整體網(wǎng)絡(luò)管理平臺(tái)的角度統(tǒng)一建設(shè)完整的網(wǎng)絡(luò)安全體系，加大網(wǎng)路安全研究力度，以大魄力進(jìn)行整體改革，全面提升全軍網(wǎng)絡(luò)安全能力，為打贏以后可能發(fā)生的信息化戰(zhàn)爭(zhēng)建立堅(jiān)實(shí)的網(wǎng)絡(luò)基礎(chǔ)。

參考文獻(xiàn)：

[1]沈鑫剡.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)及應(yīng)用[M].2版.北京:清華大學(xué)出版社,2010.

[2]趙霞.網(wǎng)路安全防護(hù)技術(shù)淺析[J].科技創(chuàng)新導(dǎo)報(bào),2010.

[3]張曉杰,姜同敏,王曉峰.提高計(jì)算機(jī)網(wǎng)絡(luò)看可靠性方法研究[J].計(jì)算機(jī)工程與設(shè)計(jì),2010.