网络安全的技术与管理

2021-09-23赵婧

通信电源技术 2021年9期

赵婧

（北京中电飞华通信有限公司，北京 100192）

0 引言

随着信息化时代的到来以及互联网技术和应用的不断普及，云计算与大数据等数字化先进技术推动网络空间的不断延伸，但网络攻击和数据泄露等网络安全问题不断加剧，网络安全得到越来越多的重视。目前，已有很多专家学者致力于计算机网络安全与防范的研究。其中，田言笑等人以大数据时代为出发点，讨论了大数据时代背景下网络安全出现的各种新问题，并针对各种新的问题与挑战制定了具有针对性的方法策略[1]。张剑锋和叶磊等人从网络信息管理技术方面出发，深入分析其在网络安全中的重要作用[2,3]。黄坚福从企业的角度出发，重点分析互联网对企业日常工作高效开展的重要性，并提出针对企业的互联网安全防范措施[4]。本文重点从网络安全技术及管理两方面出发，讨论二者在网络安全中的重要作用。

1 网络安全相关概述

1.1 网络安全的定义

网络安全从本质上讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性以及可控性的相关技术和理论都是网络安全的研究领域。

1.2 网络安全问题分析

目前，网络安全问题频发，主要体现在以下几点。

1.2.1 网络安全技术缺陷

现存的各类网络安全技术主要针对某一特定方面，不能够对全部网络安全问题进行普遍防备与处理。例如，身份认证技术仅仅能够对用户的身份进行识别来防止非法人员的网络入侵，而这一技术并不能有效识别用户之间所传递信息的安全性。同样的，病毒防御技术仅能够识别和消灭相应的计算机病毒，而并不能实现用户识别功能。因此，技术方面的不全面导致了网络安全问题频出。

1.2.2 黑客攻击

黑客通过网络入侵用户计算机而引发的网络安全问题频频出现，其利用计算机网络的薄弱点对用户的计算机发起进攻，入侵他人电脑，窃取有用信息，修改他人数据，成为网络安全的重大隐患。

1.2.3 计算机病毒

计算机病毒出现于1990年后，具有很强的扩散性与广阔的延伸性，并且传播速度迅速，难以根除，最终造成巨大的经济损失。病毒入侵计算机后，轻则影响计算机的工作效率，重则导致计算机重要文件和资料的丢失甚至计算机的瘫痪。

1.2.4 恶意软件

不法之徒将带有病毒的软件以及间谍软件通过网络进行传播，达到破坏用户电脑的报复性目的。通过间谍软件能够获取用户的基本信息甚至财务信息，最终达到获利的目的。

2 网络安全的技术

网络安全技术有很多种类型，主要包括如下几种方式。

2.1 物理安全策略

所谓的物理安全策略，指的是对计算机体系、计算机网络服务器以及扫描仪等硬件实体和通信线路的保护，以防止它们受到天然危害破坏和人工损坏等。同时验证用户的身份，并对其设计计算机网络应用权限，防止不法分子违规操作计算机，从而保证网络体系有一个优良的工作环境。

2.2 访问控制策略

所谓的访问控制是网络安全防范和保护的重要策略，它的重要任务是保证网络资源不被不法应用和黑客探访。目前，针对黑客入侵及不法软件破坏等现象，出现了很多访问控制前沿技术，如最小权限技术和安全管制技术等。前者根据用网需求为用户分配最小的网络访问权限以保障网络的安全，后者能够判断所有正在访问网络的用户，这些用户的访问权限均被本计算机拥有者所管理，只有经过本机拥有者授权，方可获得网络访问权限。若访问者对网络不利，则防火墙能够自动发出警告，计算机拥有者只需撤销该访问者的访问权限即可保障网络的安全。这些策略通过控制用户的访问、识别用户的身份以及合理配置用户间的网络资源实现对网络安全的防范。此处以入侵检测技术为例，分析访问控制策略中前沿技术的应用[5]。

目前，网络攻击和入侵的手段十分复杂，常见的如病毒入侵、恶意代码、拒绝服务（Denial of Service，DoS）、欺骗、远程登录攻击、邮件服务器攻击以及Web服务攻击等，这些入侵轻则会导致数据丢失，重则将引发系统的瘫痪。因此，针对网络入侵问题，需要建立完善的入侵检测系统以确保网络的安全稳定运行[6-8]。

入侵检测系统主要包括传感器和控制器两大部分。其中，传感器主要负责对网络数据进行监听与分析，一旦发现网络受到入侵或者攻击会立即作出报警，并按照预先设定的安全响应规则作出相应的应对。控制器的主要作用是统计和分析所接收的报警数据，同时还能够对传感器进行参数设置以应对不同入侵的检测。

办公网络入侵检测系统工作原理如图1所示。首先传感器通过侦听端口对办公网络数据侦听，侦听端口接收网络数据包被传感器接收、储存并分析。其次传感器对数据包的属性进行检测，通常包括长度、来源、目标地址以及内容等，并匹配分析数据包攻击特性，分析包状态和协议状态等，检测流量异常情况。再次发现网络流量中的可疑行为后触发响应器，同时向控制台发送报警信息，入侵检测系统响应器根据攻击行为作出处理，如伪造ICMP应答、启动防火墙以及中断TCP会话等。最后控制器分析每次入侵数据及响应数据，不断调整传感器的响应策略，以完善入侵检测系统。

图1 办公网络入侵检测系统工作原理图

2.3 信息加密策略

信息加密指的是以保护网络内部的数据、重要文件、口令以及重要控制信息，确保网络传输数据安全为目的的网络安全防范策略。目前，信息加密策略方面所应用的前沿技术包括对称加密技术和非对称加密技术，其中对称加密技术的典型代表为数据加密标准（Data Encryption Standard，DES），非对称加密技术的典型代表为基于RSA加密技术[9]。

信息加密技术大多应用于企业客户信息加密，系统主要由服务端和用户计算机组成，服务器负责对用户的文件进行配置、加密以及解密等。服务端的加密服务流程如图2所示，主要包括文件分析、文件分块、文件提取以及建立列表4个子流程。其中，文件分析主要实现文件是否加密的判断，若文件已经加密，则需要对其进行加密算法分析，以判断与服务器当前的算法是否冲突，实现算法之间的完美衔接。文件提取主要实现文件的进一步操作，如调用和执行等。列表建立主要用于记录各个文件的加密过程所执行的操作等，方便后期的解密操作。

图2 加密服务流程图

2.4 软件定义数据

数据中心网络是一套复杂的系统，其不仅能够为服务器提供整合平台，同时能够高效进行事务处理、数据查询以及技术搜索。承载着巨大数据的数据中心的网络安全问题尤为重要，一旦遭到入侵，后果将会不堪设想。因此，数据中心网络的安全将比一般办公环境网络安全更为严格与复杂。

数据中心网络安全架构如图3所示。当使用SDN时，SDN控制器也是数据中心管理的一部分。用户虚拟机运行于Hypervisor之上，并连接到虚拟网络。网络安全服务需要在数据中心中部署安全服务控制平面、引流平面以及服务平面。控制平面与数据中心管理平台进行信息交互，并配置服务平面的功能。安全架构的引流平面并不引入新的模块，而是使用数据中心现有的虚拟网络单元，通过调用虚拟交换机API或SDNAPI进行引流配置。安全服务平面的安全服务模块分布于多个物理机上，接受控制平面的控制和配置，在某些场景下模块间会有必要的通信[10]。

图3 数据中心网络安全架构

3 网络安全管理策略

为了进一步保障网络安全，在前沿技术应用的同时，需要规范化的网络管理策略。一方面保障各单位和各部门之间的网络安全权责匹配，另一方面保障各前沿技术能够更顺利地实施。

3.1 以政府为主导的网络安全多种机制

随着网络安全的发展，我国已经有了很多专业负责管理的部门，但是各个部门之间的安全情报以及前沿技术无法实现及时的共享。因此，需要尽快成立联合部门以实现各部门之间网络安全信息和技术的共享，如可以成立以中央为核心的网络安全管理部门，集中协调与管理各个部门的网络安全维护，评估部门的网络安全技术，以保障其有足够的网络安全事故应对能力。同时，可以组织各部门之间进行相互学习借鉴，确保前沿技术的普及与推广。由该小组协调各政府部门及民事机构落实国家的网络安全政策，协调和整合各个网络安全专职机构的信息，然后集中分析和评估信息，找出可能的安全隐患，对网络系统问题的发展作出预判，分析并上报全国网络空间的运行状况，做到合理部署与统一行动。

此外，中央有关职能部门应当采取积极的措施，充分调动地方各个部门及民间机构，加强对网络安全的管理，以应对各种网络威胁。协助各部门进行网络安全相关的建设，如技术的推广和职员的培训，提高其对网络威胁和网络漏洞的应对能力、对前沿技术的应用能力以及对于网络安全新技术的创新能力。此外，尽量将网络安全事故扼杀在地方层级，避免事故的扩大化。更重要的是，在充分调动各部门应对网络安全事故的同时，能够对网络安全管理进行权责分配，实现网络安全集中管理，网络安全安全管理责任追踪定位。

3.2 政策引导技术创新

网络安全如今已成为备受关注的焦点，前沿技术的推行固然能够提高网络安全，然而新技术的产生往往需要国家政策的积极引导，只有这样才能不断引导网络安全技术的创新。因此，为了保障网络安全技术的实施，国家应当不断推行新的管理政策。

首先，加强网络安全意识。对于不同的网络，所面临的的网络态势也有所不同，但是在不同的态势之间都能够体现出一个共性特点，那就是网络安全环境的复杂化。对于网络安全的管理要认清网络安全的复杂化，提高安全意识。通常，从使用者的角度出发，网络可以分为专用网络和普通网络，专用网络诸如军用网络和企业网络等，普通网络也就是人们通常所使用的互联网络。虽然网络用途不同，但是都会面临着网络安全问题，因此对于网络安全的管理，提高全民个人的网络安全意识尤为重要。

其次，强化网络安全薄弱环节的管理。一是要强化网络安全易发区域的管理与应对，其中包括系统漏洞的检查与升级等。二是强化综合性监测，虽然网络具有普遍的安全问题，但是对于网络使用者而言，不同的使用者还会面临特殊的问题，因此除了网络安全综合管理之外，还需要针对不同的用户制定不同的安全管理策略。三是系统性防范，网络安全是一个系统性的工程，对于网络安全的管理应当对已经发生的历史性网络安全事故进行不断追溯，在动态推断中引导各单位全方位的关注网络安全。

最后，规范前沿技术的创新行为。技术创新可以强化网络安全，但一切创新都应该受到政策的约束。运用政策引导规范创新行为一般需要关注以下两方面的问题。一方面要规范创新人才培养实践，由于技术创新需要创新人才的支撑，因而在政策引导的层面上应该规范创新人才的培养问题，包括创新人才的培养方式、培养途径以及使用等。另一方面要规范创新中的技术知识产权保护，在网络安全的技术创新中，规范知识产权的保护一般也需要关注预防网络安全创新技术成果的保护以及创新过程中对引进技术和成果产权的政策性保护等问题。