互联网安全防御技术的分析

2016-02-05◆王刚

网络安全技术与应用 2016年7期

关键词：主动防御防病毒信息网

◆王刚

（陕西省汉中市邮政局陕西 723000）

互联网安全防御技术的分析

◆王刚

（陕西省汉中市邮政局陕西 723000）

随着互联网技术的不断发展，邮政的传统业务和金融业务必须依托互联网平台，进一步拓展各类业务的服务渠道。因此，互联网的安全问题引起了管理层的高度关注，本文对互联网面临的安全问题进行了论述，讨论了常见的攻击类型和安全防御技术，并提出了互联网安全方案，对邮政信息网建立完善的安全防护体系具有一定的参考价值。

邮政；互联网；攻击；防御技术；安全方案

0 引言

邮政企业信息化建设的日益深入和互联网技术的普及，给邮政的传统业务和金融业务的发展，提供了新的渠道，互联网+邮政业务是企业转型升级、拓展市场的较好方式。但与此同时，各种网络安全问题也频繁出现，邮政信息网面临严重的安全隐患，所以，针对互联网安全防御技术展开分析具有非常重要的现实意义。

1 互联网安全概述

互联网安全从本质上来讲就是互联网上诸多信息的安全。从广义角度而言，只要与互联网上信息的保密性、完整性、实用性及可控性等相关的技术都是其研究的范围。它是一门涉及计算机科学、网络技术、应用数学、信息安全等综合性的学科。

2 传统互联网管理模式存在的主要问题

随着计算机在各行各业不断渗入的趋势下，网络安全防御技术的重要性也日益凸现出来，在这几年里尽管发展速度很快但依然存在着很多问题。主要有：（1）被动防御，从硬件还是软件，传统管理都可理解为被动的、防守式的管理。其特点是应急式、救火式，属于事后管理方式。缺乏对风险点和系统脆弱性的事前评估和监控。（2）软硬件无法联动，网络系统的软件和硬件相互隔离，独成体系，存在严重的安全隐患。比如，发生ARP欺骗地址攻击时，由于软硬件无法联动，不能迅速定位攻击源，导致病毒泛滥。（3）实时网络监控系统缺失，接入互联网的计算机均安装了防病毒软件，但并未配备防病毒服务器进行有效管理，无法掌握系统安全防范的实时状况。有些计算机长期未进行系统补丁、病毒库升级操作，为非法攻击提供了机会。

由于传统互联网管理模式存在上述问题，造成了如下安全隐患：（1）防火墙被黑客攻击给互联网安全保障带来了极大的威胁。（2）入侵检测技术不成熟，误报和漏报概率过高。（3）网络流量大致使检测分析难度增加。（4）既有的网络完全防御系统漏洞过多。

3 互联网常见攻击类型

3.1 木马攻击

木马程序对互联网用户来说并不陌生，它是潜伏在计算机系统中，当系统启动后隐藏在某特设系统端口内，当木马程序接收到指示后，会将目标数据进行复制、窃取密码等隐蔽性操作。

3.2 拒绝服务攻击

它是利用防御不足的网络端口使正在运行的计算机瘫痪，导致其死机或无法响应的状态。拒绝服务器攻击行为通常是将一段设定好的代码发送到网络服务器终端，从而使网络服务器向目标计算机发送大量需要回复的信息，如此一来，带宽全部被其占用，那么互联网或者计算机势必会瘫痪。

3.3 入侵攻击

入侵攻击是指攻击者将事先设定好的程序，通过多种途径取得计算机控制的权限，然后使用该程序对目标信息进行复制、窃取等操作。

3.4 缓冲区溢出攻击

它是指向目标程序的缓冲区内发送超限长度的内容，导致缓冲区由于内容过长无法将其正常处理，从而使程序执行其它的指令，比如root权限被攻击。

3.5 欺骗攻击

欺骗攻击是指通过TCP、UDP协议出现的漏洞，对用户经常使用的网络进行攻击，其主要的攻击方式是通过DNS欺骗，IP欺骗等手段来实现的。

4 网络安全防御技术

近年来，互联网安全遭受攻击的事件频繁发生，攻击手段多种多样，网络安全防御技术的发现尤为迫切[1]。笔者将参考国内外相关资料的心得与实践经验相结合，将大致可以分为两类：传统防御和主动防御。

4.1 传统防御技术

（1）防火墙技术

图1 汉中邮政互联网接入拓扑图

防火墙技术是使用互联网的用户最熟知的，它是内外网络交互的一道屏障，用来保护内部信息不被恶意侵犯的系统[2]。防火墙系统主要由分组过滤和代理服务两种技术组成。前者是在路由器的基础之上，使用分组过滤路由器将同一个IP的源代码、目的代码及相关协议进行分组后，进行设定允许或者拒绝通过的权限。而代理服务技术是将某一个高层的应用网关作为代理，在外来用户申请时，系统根据判定后允许其互联的一种方式，外部用户一直处于受控状态。如图1所示，为汉中邮政互联网接入拓扑结构。

（2）访问控制

互联网安全防御技术手段的核心就是访问控制，它可以使外来用户在不被允许的情况下无法使用、访问网络内部资源[3]。访问控制技术主要包括入网权限控制、访问权限控制、目录级安全控制、网络端口及节点的安全控制等。它可以根据互联网实际使用情况及所处的网络环境，进行自由灵活的设置和掌控。如图2所示，为汉中邮政信息网与第三方连接拓扑结构。

图2 汉中邮政信息网与第三方连接拓扑图

（3）入侵检测技术

入侵检测技术是通过对计算机系统或者是互联网上各类信息的关键点进行收集并分析，从中找到危害互联网安全的迹象。从技术的角度进行划分，入侵监测分为异常检测和特征检测两种检测模型：前者检测模型漏报数据概率比较低，但是报送异常概率失误率很高。而后者是将所有已经获得的攻击性特征组成一个特征库，然后将其截获的异常特征与特征库中的特征一一对比后，以此判断是否为恶意入侵或者是病毒性攻击。

4.2 主动防御技术

随着科技水平的不断提高，主动防御技术取得了长足的进步，已经成为网络安全领域的一个研究热点，获得了人们的普遍关注。所谓主动防御技术指的是，可以在第一时间发现并找出进行中的有关网络攻击行为，且能够对潜在攻击进行预测和识别，并能采取针对性动作使攻击者无法达成目的一系列技术措施。相较传统防御技术而言，主动防御技术在思想方面和技术方面取得了极大突破，有效弥补了传统防御中的诸多不足。在主动防御技术得以广泛应用的背景下．互联网安全迈入了一个更好的发展时期，可以预测，主动防御技术将是网络安全防御技术的一个主流发展方向。主动防御技术中，最常见的包括以下几种：

（1）入侵防护技术（IPS）

IPS是通过一个网络端口将来自外部体系的流量进行检查，只要确认它的安全性，外部体系的流量会通过另外一个端口直接与内部系统接轨。IPS是直接嵌入网络，而非利用其它介质间接进入内部系统。因此，IPS一旦发现恶意入侵，就会根据入侵特性创建新的过滤器。若有攻击者通过Layer2（介质访问控制）至Layer7（应用）的漏洞发起对内部互联网的攻击，IPS能够深入数据流中进行详细检查的同时对其进行阻拦。

（2）蜜罐技术

蜜罐是新兴的互联网安全防御技术，它可以进行动态识别未知攻击信息，将未知攻击信息及时地反馈给互联网防护体系，实现防护能力的动态提高。蜜罐技术与其它防御技术不同，它允许攻击者侵入，在侵入过程中蜜罐会主动学习并详尽地记录攻击行为相关的信息。在此基础上系统自行分析后，调整互联网安全防御手段，从而提高系统安全性能。

（3）计算机取证技术

计算机取证技术与法律取证有异曲同工之妙，取证技术就是基于此基础上发展起来的，它包括静态和动态两种取证技术。前者是在已经遭受攻击的形势下，获取相关入侵数据对其分析、确认、抽检等各种途径进行分析取证。而动态取证技术则是在未遭受攻击的互联网上植入代理，一旦遭受攻击，系统和代理会将攻击数据进行记录，然后根据记录的日志文件对已经遭受修改、删除、复制的文件最大限度地进行还原。最后将这些入侵日志进行保存作为取证的证据。

5 互联网安全方案设计

5.1 设计原则

以统一管理、主动防御、协同检测、快速响应为目标，制定互联网整体安全解决方案，由安全的操作系统、应用系统、防火墙、入侵检测、网络监控、安全扫描等组件组成。目前邮政信息网建立了较为完善的安全防护体系，设置有防病毒服务器进行有效管理，接入生产网的计算机都安装了趋势防病毒套件，对于第三方接入采取了防火墙技术。邮政信息网安全防护遵循三个原则：全面防护原则、先进性原则、可扩展性原则。如图3 所示，为汉中邮政信息网安全防范拓扑结构。

图3 汉中邮政信息网安全防范拓扑图

5.2 安全措施

配备最新版本的防病毒服务器，在计算机上安装防病毒客户端，并接受统一管理。通过主动寻找入侵信号，实现内外部攻击和误操作的安全防护。通过IP、MAC交换机端口等的绑定[4]，确保接入互联网用户身份的合法性，杜绝IP地址冲突、非法用户登录等问题，发生攻击时能迅速锁定事件责任人。生成漏洞扫描风险评估报告，帮助管理员及时发现网络中存在的安全隐患，并进行安全加固。