自议网络信息防护体系的构建

    一、网络信息安全的关键技术

    信息安全是一个非常关键而又复杂的问题，网络信息安全已成为影响国家、企业大局和长远利益的函待解决的重大问题，对各个部门而言，没有网络安全解决方案，也就没有信息基础设施的安全保证。但是，由于早期网络协议设计上对安全问题的忽视，以及在使用和管理上的无序状态，逐渐使目前网络自身的安全受到严重的威胁，安全事故屡有发生。网络安全的威胁主要表现在:非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等方面。通过先进技术建立起的网络安全系统可以从根本上解决来自网络外部和内部对网络安全造成的各种威胁。利用高性能的网络安全环境，提供集整体防病毒、防火墙、人侵检测、身份验证、漏洞扫描、物理隔离等技术于一身的功能，形成网络安全的综合防护体系，从而有效地保证秘密、机密文件的安全传输，避免因信息的泄密造成重大损失。本文仅从技术的角度来研究对信息安全的保护，这些技术包括人侵检测技术、防火墙技术、漏洞扫描技术、防病毒技术和物理隔离技术等。

    (一)、防火墙技术

    防火墙(Failwal)是近年发展起来的重要安全技术，其特征是通过在网络边界上建立相应的网络通信监控系统，达到保障网络安全的目的。目前的防火墙根据其实现的方式大致可分为两种，即包过滤防火墙和应用层网关。

    包过滤防火墙的主要功能是接收被保护网络和外部网络之间的数据包，根据防火墙的访问控制策略对数据包进行过滤，只准许通行的数据包通行。

    应用层网关位于TCP/IP协议的应用层，实现对用户身份的验证，接受被保护网络和外部网络之间的数据流并对其进行检查。在防火墙技术中，应用层网关通常由代理服务器来实现。

    防火墙通过上述方法实现内部网络的访问控制及其安全策略，从而降低内部网络的安全风险，保护内部网络的安全。但防火墙由于自身的特点，使其无法避免某些风险，例如网络内部的攻击，内部网络与Intemet的直接连接等。防火墙处于被保护网络和外部的交界，网络内部的攻击并不通过防火墙，因而防火墙对这种攻击无能为力;而网络内部和外部的直接连接，如内部用户直接拨号连接到外部网络，也能越过防火墙而使防火墙失效。

    (二)、人侵检测技术

    人侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，查看网络中是否有违反安全策略的行为和遭到袭击的迹象。人侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。通过执行以下任务来实现:

    1.监视、分析用户及系统活动;

    2.系统构造和弱点的审计;

    3.识别反映已知进攻的活动模式并向相关人员报警;

    4.异常行为模式的统计分析;

    5.评估重要系统和数据文件的完整性;6.操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

    (三)、物理隔离技术

    物理隔离技术就是指内部信息网络不和Intemet

    等外部信息网络相连，从物理上断开来实现内部网络相对安全的一种技术。这种方法基本杜绝了因为网络互通互连所造成的外部攻击或内部泄密的可能。为此，网络安全厂商相应地推出了各种以物理隔离为实施目标的网络设备和解决方案。

    (四)、漏洞扫描技术

    漏洞扫描器(Networkshadowscaner)是一种自动检测远程或本地主机安全性弱点的程序。它的基本思想是模仿人侵者的攻击方法，从攻击者的角度来评估系统和网络的安全性。通过使用漏洞扫描器，系统管理员能够发现所维护的Web服务器各TCP端口的分配、提供的服务、Weh服务软件版本和这些服务及软件呈现在Internet上的安全漏洞。

    由于扫描器能够准确地向系统管理员指明系统存在安全问题的地方以及应该加强的方向，而且还提供了具体的解决措施，对管理员来说比其它安全方法(如防火墙、入侵检测、审计等)更有指导性与针对性，因此得到了广泛迅猛的发展。作为一个安全管理工具，扫描器已经成为网络安全防护中一个不可缺少的组成部分。

    (五)、病毒防护技术

    目前，各类病毒防护系统主要是从下面三层次

    对网络进行防护:

    1.网关

    将防毒网关配置在防火墙装置的内部或主机系统的最外部，这样所有进出网络的封包，将扫描过滤，以确保整个内部网络的安全。

    2.服务器端

    在网络中，不同的服务器提供着不同的服务，由于其担负的服务容易遭受病毒的攻击，如邮件服务器、群组服务器等。

    3.客户端

    客户端是整个网络的最末端，客户端的计算机是网络中最多也是最容易遭受到病毒感染的一个环节。采用防病毒系统主要是针对客户端进行保护，它承担着客户端上病毒的实时监控、.检测和清除任务，同时自动记录监测情况。

    二、网络信息防护体系的构建

    在实际网络系统的安全实施中，网络安全防护不是一个产品所能解决的，而是一套系统工程，它应该包括防火墙、人侵检测、防病毒、漏洞扫描等全面的解决方案，每种产品互为补充，缺一不可。

    (一)、防火墙与入侵检测系统联动

    防火墙与人侵检测系统联动是构建网络综合防护体系中重要的一环，这是因为这两种技术具有较强的互补性。目前，实现人侵检测和防火墙之间的联动有两种方式。一种是实现紧密结合，即把人侵检测系统嵌人到防火墙中，这样，人侵检测系统的数据不再来源于抓包，而是流经防火墙的数据流。所有通过的包不仅要接受防火墙检测规则的验证，还需要经过人侵检测，判断是否具有攻击性，以达到真正的实时阻断，这实际上是把两个产品合成一体。由于人侵检测系统本身也是一个很庞大的系统，所以无论从实施难度、合成后的性能等方面都会受到很大影响。这种方式仍于理论研究阶段。第二种方式是通过开放接口来实现联动，即防火墙或者人侵检测系统开放一个接口供调用，按照一定的协议进行通信、警报和传输。目前流行的联动方案有:checkPoint提出的oPsE(openPlatformforsecurity)、国内防火墙厂商天信提出的TopSEc(Talentopenplatformforsecrity)、中科网威公司提供了人侵检测产品的开放接口(OPenIDs)，实现各类防火墙产品之间的联动及防火墙与IDS之间的联动。

    人侵检测系统和防火墙之间联动的安全性主要表现在:防止攻击者利用伪造的源地址进行攻击，以达到阻断用户正常使用网络的目的。如攻击者对DNS服务器地址进行攻击，结果造成防火墙阻断DNs服务器发出的包，而使用户不能正常使用网络，防止攻击者伪造成人侵检测系统与防火墙联动，用公开的接口编写程序实现和防火墙的联动。由于错报和误报产生的错误信息，造成防火墙阻断正常网络。

    在采用联动策略前一定要慎重考虑，例如很多级别较低的报警不要设置为互动。另外，管理员可以设置防火墙针对某条联动规则设置一定阻断时间，为自己赢得解决问题的时间而又不会对网络造成危害。

    (二)、防火墙与防病毒实现联动

    病毒对网络系统造成了巨大的破坏和威胁，构建可靠的网络防毒体系是网络信息安全的必要保障。构建可靠的网络防病毒体系必须要具备全方位的防毒功能，能够考虑到所有可能的人侵通道;具有多层架构的防毒机制;易于集中管理及维护，具有自动更新升级的能力;中央控管的防毒规则，不需使用者设定，提高信息人员效率;具有病毒防护统计报告能力。在整个系统中防火墙处于内外网络信息流的必经之地，在网关一级对病毒进行查杀，成为网络防病毒系统的重要一环。Netscren、checkPoint等防火墙都可以与病毒防治软件进行联动，通过提供API定义异步接口，将数据包转发到装载了网关病毒防护软件的服务器上进行检查，其实现过程类似于端口映像方式。一旦发现网络中有病毒连接，如蠕虫病毒在网络中大量传播，将立即通知防火墙关闭病毒使用的传播端口，避免类似Nimda等病毒传播时导致网络流量大增致使网络瘫痪的情况。

    (三)、防火墙与日志处理系统之间的联动

    以CheckPoint的防火墙为例，它提供两个API:LEA(LogExportApl)和ELA(EventLoggingApl)，允许第三方访问日志数据。报表和事件分析采用LEAAPI，而安全与事件整合采用ELAAPI。许多防火墙产品利用这个接口与其它日志服务器合作，将大量的日志处理工作由专门的服务设备完成，提高了专业化程度。防火墙与其它一些技术之间的联动，如与认证系统联动、web资源联动、内容过滤技术联动以及电子商务、事件集成、负载均衡、用户端口映射等都是通过API实现的。

    三、结束语

    随着知识经济和信息化时代的到来，信息正逐渐成为时代的主要资源和财富。信息安全问题已提升到信息化发展的新高度。安全防御体系由各个模块组成，可以较好地形成资源整合，组成网络安全体系，避免了木桶效应的产生，同时，可以在最大程度上保障用户利益，根据用户需要建设安全的网络系统，确保网络环境下的信息安全。另一方面，当前中国计算机网络的关键设备和网络操作系统在很大程度上还受制于人，绝对安全的网络是不存在的，因此，政府各单位必须正确评估所拥有信息的价值，根据自身要求制定相应的信息安全策略。

    参考文献:

    [1]余青霓等译.网络入侵检测分析员手册.北京:人民邮电出版社，2001

    [2]胡华平，黄遵国，庞立会等.网络安全纵深防御与保障体系.我国国防信息安全战略研讨会，2001

    [3]胡华平，陈海涛，黄辰林等.入侵检测系统的研究现状与发展趋势.计算机工程与科学，2001

    [4]lATF3.0一2000，信息保障技术框架

    [5]赵战生.中国信息安全体系结构基本框架域构想计算机安全，2002，1(11)

    [6]肖庭治，王应泉.网络安全防御体系研究.2001信息安全体系学术研讨会，2001

    [7]刘宝旭，徐昔，徐榕生.黑客入侵防护体系研究与设计.计算机工程与应用，2001，37

    [8]ISO/IEC154OS，信息技术安全评定标准(ITSESC)

    [9]刘占全.网络管理与防火墙技术.北京:人民邮电出版社，2001:43一57