网络安全与防范技术研究

王玉芳，王　喆，李九英，徐　蕾

（1.西安通信学院 信息安全系网络安全教研室，陕西　西安　710106；2.92403部队 指挥自动化工作站，福建　福州　350021）

网络安全与防范技术研究

王玉芳1，王喆1，李九英1，徐蕾2

（1.西安通信学院 信息安全系网络安全教研室，陕西西安710106；2.92403部队 指挥自动化工作站，福建福州350021）

文章就网络安全的技术和管理两个方面，介绍了几种常用的网络安全技术以及网络安全管理的要求。

网络安全；防火墙；入侵检测

随着网络的快速发展以及社会信息化程度的提高，网络已经深入到了人们的学习、生活和工作的各个角落。在网络给人们带来信息和便捷的同时，也带来了各种问题和威胁。了解自己的网络安全现状及威胁和有效的网络安全防范措施，是提高自身网络安全的必要手段。

1　网络安全威胁多样化

随着新的信息技术的应用，信息安全攻击手段和攻击形式向着多样化、复杂化发展，新型攻击方式不断涌现，各种攻击形式威胁着用户的网络安全［1］。如拒绝服务式攻击、利用型攻击、脚本与ActiveX 跨站攻击、病毒入侵和漏洞挖掘等。

2　网络安全防范技术

2.1防火墙技术

防火墙是设立于内部和外部网络之间，通过特定规则的设定，允许或限制数据通过，从而保护内部网络安全的系统或设备［2］。

在系统整体安全策略中，防火墙往往被定义为内部网络的第一道防线，从理论上讲是一个分离器、限制器和分析器。在实现内部网络的安全保护上，防火墙具备以下基本功能和作用。

（1）实现网络隔离。防火墙将网络划分为内部网络和外部网络两个不同的部分，因此网络隔离就成了防火墙的基本功能。防火墙通过将内部网络和外部网络相互隔离来确保内部网络的安全，同时限制局部的重点或敏感的网络安全问题对全局网络造成的影响，降低外部网络对内部网络的一些统计数据的探测能力。

（2）限制外部网络访问。防火墙针对每一个进入内部网络的行为都要依照安全策略进行过滤，即授权检查。如果该行为属于系统许可的行为则予以放行，否则将拒绝该行为。防火墙的这种功能实现了对系统资源的保护，防止了机密信息的泄露、盗窃和破坏。

（3）记录和审计内部网络与外部网络之间的活动。防火墙可以记录下来经过它的访问，并做出日志记录。从而对所有涉及内部网络和外部网络之间的存取与访问行为进行监控。通过对访问数据的统计，在发现可疑行为时，及时报警并提供详细信息。

2.2身份认证技术

身份认证是系统核查用户身份的过程，它让合法用户进入系统，而将非法用户拒之于门外。身份认证是网络系统安全的第一道防线，一般在服务器和客户机的网络操作系统中实现。

在网络世界中对用户的身份认证基本方法可以分为以下3种：

（1）基于信息秘密的身份认证。根据用户所知道的信息来证明用户的身份，常用的有静态密码，如口令。（2）基于信任物体的身份认证。根据用户所拥有的东西来证明用户身份，如有智能卡、短信密码等。（3）基于生物特征的身份认证。直接根据独一无二的身体特征来证明你的身份，常用的有生物识别，如视网膜识别、指纹识别、面貌等。

为了使身份认证的效果更加安全可靠，一些认证会采取两种方式结合的方法进行，也就是所谓的双因素认证。例如：动态口令牌结合、静态密码认证、USB KEY结合静态密码认证等。

2.3访问控制技术

访问控制是一种防止非法访问的技术，是网络安全防范和资源保护的关键策略之一。虽然身份认证可以防止非法用户的访问，但是，为了更合理和安全的系统管理，对合法用户对系统的访问权限也应有合理的限制，也就是决定何种用户可以对何种系统资源进行何种类型的访问，并不是所有用户都有权限访问系统的所有资源。从而保障系统资源在合法范围内得以有效使用和管理。这样，即使非法用户通过口令破解的方式混入系统后，如果不是管理员权限，也不能随意地访问系统资源或更改系统设置，对系统的安全起到了一定的保护作用。

（1）访问控制策略。访问控制的安全策略指的是组织或者系统决定访问权限的高层指导原则。美国可信计算机系统评价标准（Trusted Computer System Evaluation Criteria，TCSEC）中描述了自主访问控制（Discretionary Access Control，DAC）和强制访问控制（Mandatory Access Control，MAC）两种访问控制策略。这两种访问控制策略是最为著名的访问控制策略，应用也最为广泛。

（2）访问控制管理。访问控制管理涉及访问控制在系统中的部署、测试、监控，以及对用户访问的终止。虽然不一定需要对每一个用户设定具体的访问权限，但是访问控制管理依然需要做大量复杂而艰巨的工作。并且，访问控制决定时也需要考虑诸多因素，如机构的策略、员工和用户各自的职务描述、信息的敏感度等。

有3种基本的访问管理模式：集中式、分布式和混合式。每种管理模式各有优缺点，应该根据机构的实际情况选择合适的管理模式。

2.4入侵检测技术

入侵检测作为一种主动发觉入侵行为的网络安全防护技术，在不影响网络性能的情况下，通过收集和分析网络行为，检查网络或系统中是否存在违反安全策略的行为或恶意攻击的趋势。如果说防火墙常常被视为内部网络的第一道安全防线，则入侵检测则可以看作第二道安全防线，它是防火墙的有效补充。

（1）入侵检测技术的作用。入侵检测系统的作用主要有事前警告、事中防御、事后取证3方面.事前警告是指能够在入侵行为对网络系统造成危害之前，及时发现并准确报告入侵攻击行为；事中防御是指当攻击行为发生时，可以通过与防火墙联动等方式进行报警或动态防御；事后取证是指被入侵攻击后，可以提供详细的攻击信息，便于取证分析。

（2）入侵检测方法。一般而言，入侵检测方法可以分为异常检测和误用检测两类。

异常检测方法，如图1所示，需要建立一种系统正常行为的模式。这种系统正常行为的模式是根据用户正常行为所建立，入侵检测系统在进行审计时，通过和正常行为模式比较，当低于某阈值时则确定为正常行为，若高于阈值时则确定为非法入侵行为。

图1　异常检测模型

误用检测方法，又称为基于特征的检测，如图2所示，是根据某种已知攻击或入侵的具体信息建立某种入侵或攻击的模式，通过对比网络数据或用户行为和此模式的匹配情况来确定是否为该攻击类型。

图2　误用检测模型

两种方法各有优缺点，研究表明将两种方法结合在一起检测，效果会更理想。

2.5漏洞扫描系统

漏洞扫描是一种主动的网络安全防护技术，通过扫描的方式对指定系统的安全脆弱性进行检测，从而发现系统存在的漏洞，并针对检测出的安全隐患给出相应的修补措施或建议。其和防火墙、入侵检测系统合理的配合，可以有效提高网络的安全性。

通过对漏洞扫描，网络管理员能了解网络的安全设置和运行的应用服务，及时发现安全漏洞，客观评估网络风险等级。并且根据扫描的结果及时更正网络安全漏洞和系统中的错误设置，在网络遭到攻击前进行有效防范。

3　加强网络安全管理

为了更好地保护网络的安全，不仅要在技术方面加强升级和更新，还要从制度上加强监督和管理。

增强病毒或黑客入侵防范意识，例如：在自己的计算机中安装并合理设置个人防火墙，安装正版反病毒软件并及时更新，对重要数据进行加密并定期备份等。如有需要，在修复系统时，操作系统和应用软件可以重装，但重要的数据要靠备份保存，因此，不管采用什么防范措施，一定要随时或定期备份重要数据。制定严格的网络安全管理制度，提高用户对网络的安全意识，例如不登录不良网站、不随便打开随机弹出的网页、不接收陌生可疑的邮件等。

［1］木合亚提·尼亚孜别克，古力沙吾利·塔里甫.浅析网络安全与防范［J］.网络安全技术与应用，2011（6）：26-27.

［2］李丽新，袁烨.网络安全技术浅析［J］.现代情报，2007（10）：121-122.

Research on network security and prevention technology

Wang Yufang1， Wang Zhe1， Li Jiuying1， Xu Lei2
（1.Information Security Department of Xi'an Communications Institute of PLA， Xi'an 710106， China；
2.Command Automation Workstation of 92403 Army， Fuzhou 350021， China）

This paper introduces several commonly used network security technology and management requirements of network security in terms of two aspects which are network security technology and management.

network security； frewall； intrusion detection

王玉芳（1982— ），女，河南新乡；研究方向：网络安全。