网络防御系统的设计与实现

摘要：目前，网络攻击技术严重威胁着网络信息系统的安全，较为常见的攻击行为技术包括拒绝服务、恶意软件、利用脆弱性及内部攻击等。在设计网络防御系统时，不仅要考虑设计方案的目标与用户职责，同时还要重点进行网络风险分析，进而制定网络策略。可以说，通过网络、系统及数据三方面的各种安全技术手段，可以有效保护网络信息系统的安全性。

关键词：网络防御系统；设计；入侵检测

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9599(2011)23-0000-01

Network Defense System Design and Implementation

Yang Di

(Civil Aviation Northwest Air Traffic Management Bureau,Xi'an 710082,China)

Abstract:At present,network attacks,network technology,a serious threat to the security of information systems,the more common techniques include denial of service attacks,malicious software,the use of vulnerability and internal attacks.In the design of network defense systems,not only to consider the design goals and user roles,but also focus on risk analysis of the network,then the development of network strategies.It can be said,through the network,systems and data in three areas of security techniques,can effectively protect the network information system security.

Keywords:Network defense system;Design;Intrusion Detection

一、引言

目前，网络问题已经引起人们的广泛关注，这主要是因为网络病毒或者网络黑客最近几年呈猖獗之势、网络攻击造成巨大的经济与社会损失以及网络管理面临着巨大的挑战。可以说，在当今日趋发达的网络信息社会中，确保网络信息系统的安全无论是对个人、企业，还是对整个国家，其意义都是重大的。假如，个人隐私信息被泄露，公司的财务与商业信息被恶意窃取，或者关系到一个国家的国防信息被盗取，都会造成不同程度上的损失。本研究正是基于此，探讨网络防御系统的设计过程、安全策略及防御系统的实现，从某种程度上来说，对确保网络具有一定的理论与实际价值。

二、几种常见的网络攻击行为技术及相应的应对策略

从某种程度上来说，网络和网络攻击有着千丝万缕的联系，假如没有网络攻击，网络也就无从说起，一般来说，目前，拒绝服务、恶意软件、利用脆弱性及内部攻击是较为典型的网络攻击技术，这些网络攻击技术严重威胁着网络信息系统的安全，如果没有一个系统完善的网络防御系统的设计，网络信息将很容易被修改、泄露。（一）拒绝服务与恶意软件。拒绝服务攻击主要采用淹没、分片攻击及带外数据包攻击等几种方式。其中淹没是指网络黑客通过向主机发送大量的无效请求或者数据，来实现扰乱服务器为合法的用户提供服务的目的；带外数据包攻击是指通过向用户发送带外数据包的垃圾信息，进而造成该用户系统运行不正常。目前分布式网络攻击已经成为互联网上黑客主要的攻击手段，所以，需要从源头上保护好上网主机的安全，此外，还需要协调好ISP和网络管理员之间的关系。恶意软件攻击网络主要是通过逻辑炸弹、后门、蠕虫、病毒及特洛伊木马等程序来实现的，其中逻辑炸弹是由于系统存在漏洞而对目标系统产生破坏作用的一种程序；蠕虫是一种将病毒从一个系统繁殖到另一系统上的独立程序；特洛伊木马是一种具有隐藏性且执行任意命令的非法程序。一般可以采用安装反病毒工具及时清除恶意软件工具来防止这些恶意软件威胁网络。（二）利用脆弱性与内部攻击。一般来说，利用脆弱性主要是通过访问权限、信息泄露、蛮力攻击机缓冲区溢出等方式来实现， 网络黑客利用这些缺陷来实现攻击的目的，通过可以采取持续升级系统软件版本，安装补丁及设置口令等方式来加以防范。内部攻击会通过“后门”守护程序、日志修改、隐藏、窃听及“非盲”欺骗来实现，其中“后门“守护程序是指黑客通过在主机上安装守护程序来达到对主机的控制，进而实现全方位的攻击。

三、网络防御系统的设计过程与网络防御系统的实现

（一）网络防御系统的设计过程。1.网络防御设计方案的目标与用户职责。构建一个安全的网络防御系统对防止各种网络攻击行为有着非常重要的意义，一般来说，网络防御系统的设计涉及到设计方案的目标、用户职责、风险分析及制定安全策略等方面。定义整个网络系统所期望使用的策略是设计一个网络防御系统首选目标，此外，在设计一个网络方案之前，要定义好每一个用户在整个安全方案中所承担的责任。2.网络防御风险分析。在确定好网络设计方案的目标与用户职责后，要进行风险分析，因为风险分析可以有效避免将时间与经费花在不必要的系统上，从某种程度上来说，网络防御风险分析是网络防御系统设计过程中一个非常关键性的一个阶段，做好这一阶段的分析工作有着非同寻常的意义。一般来说，在风险分析时，需要确定系统资产情况与风险大小，其中系统资产包括数据、软硬件、人员、物资及档案等。通常情况下，这些资源并不是所有的都很关键，因此，需要根据其重要程度来采取有区别性地保护措施，进而确保用户在安全投入上物有所值。一般情况下，这些系统资源依据其重要程度，分为公开信息、内部信息、私有信息及秘密信息等四个级别，其中公开信息是敏感度最低级别的信息，秘密信息则是敏感度最高级别的信息，对这类信息要加大安全投入，需要确保数据的完整性、保密性及可用性。共享密钥保密性的认证如图1所示。

图1 共享密钥认证

在ESP头后面的字段都进行了封装加密。根据这样的方案，在协议头字段中，外层新IP头包含了进行IPSec处理的源与目的安全网关IP结点地址，内层IP头为IPSec处理前的原IP头，包含了该信包的最终目的IP地址。安全协议头ESP或AH 位于外层新IP头之后、内层原IP头之前，外层新IP头里的“协议”域指明后面紧跟ESP头还是AH头（ESP-50，AH-51)。确定系统风险要要重点考虑系统漏洞、攻击人及目的、攻击地点及工具、攻击后果及用户风险等。其中在分析系统漏洞时，首先要了解系统的漏洞及严重程度，一般来说，网络系统中的漏洞包括实现漏洞、设计漏洞及配置漏洞三种类型；攻击者一般包括黑客、间谍、、内部人员、专业犯罪及蓄意破坏者等几种类型，攻击者的目的通常是出于政治、经济、个人及破坏等原因；目前，在互联网上攻击的方法主要包括用户命令、脚本程序、工具包、自动程序、数据截取及分布式工具等；如果攻击成功后，将会造成破坏信息、盗取信息、盗用服务、拒绝服务及公布信息等后果；用户风险从一定方面来说是一个非技术性质的因素，一个信息系统所面临的最大信息威胁通常是来自系统内部，所以，加强信息系统内部攻击行为的管理显得尤为重要。3.网络策略。在完成系统风险分析之后，就需要执行网络策略，一般来说，制定一个完整的网络系统安全策略需要注重考虑诸如整体安全、信息安全、个人安全、计算机安全及网络等策略。其中整体安全策略的目标是重点保护关键性的数据，且依据系统资产重要程度来采取相应的措施；信息安全策略通常情况下会涉及到信息的存储、信息的传输及信息的销毁等方面，因此，需要从信息存储、传输及销毁等方面来采取有区别的安全策略；个人安全策略一般包括口令策略、软件策略、网络策略、互联网策略及嵌入式计算机使用策略等，此外，在个人原则上，需要注意不要向别人透漏自己的账号与口令，不要滥用系统资源，不要拷贝没有授权的软件；计算机系统管理策略一般包括物理安全策略、访问控制策略、登录策略、信度策略、日志与审计策略及可靠服务策略等，其中可信度策略主要是定期对系统安全进行审计工作，确保它的可信度；网络策略主要包括网络分布式系统的策略、拨入访问策略、拨出访问策略、互联网防火墙管理策略及和其他网络的接口策略等。其中网络分布式系统策略涉及到可信度、鉴别与认证、责任与审计、访问控制、准确性、数据交换机服务的可靠性等策略。此外，为了确保网络在事故后，能够快速恢复正常工作环境，需要设置一个应急响应措施。（二）网络防御系统的实现。构建一个完善的网络防御系统需要采取各种安全技术手段，进而确保设计方案中的安全策略能够成功实现，一般来说，这些技术手段包括防火墙技术、鉴别与授权技术、审计与监控技术、加密技术及安全扫描技术等。其中防火墙主要是实现各级网络用户间的相互访问，及对用户起到一定的隔离作用，防止某一子网所引发的安全事故波及到其他的子网；鉴别与授权技术主要是针对用户的一种访问控制措施，它由多个层次共同构成；审计与监控技术主要是借助网络中所有活动的记录，发现及追查一些非法的活动，降低攻击的后果；加密技术主要包括存储加密与传输加密两种技术，它是一种较为有效的信息安全措施；安全扫描技术主要是扫描网上设备的漏洞，以便于及时修补漏洞，另外安全扫描还具有防治病毒的功能，借助网上病毒扫描功能，可以有效防止病毒的蔓延或者新病毒的入侵。总之，在整个网络防御系统中，需要使用多种安全技术手段，才能有效防御各种网络攻击，本研究重点将重点介绍网络、系统安全及数据安全三个维度来说明网络防御系统的实现。

信息安全风险评估的实施流程如图2所示。

图2网络防范实施流程图

1.网络。一般来说，网络离不开网络防火墙、网络实时入侵检测及审计与监控等手段，其中防火墙具有网络地址转换、防止IP地址欺骗、防止DOS攻击、网络隔离及包过滤等功能；实时入侵检测可以对网络数据的收集与分析，判断入侵行为是否发生，且及时提供报警信息，进而切断非法链接；审计与监控能够详细统计所有主机的网络流量、流向及目的地址信息，且可以对内部网诸如网络流量进行远程监控，反映网络状况。网络病毒的传播速度非常快，只用单机防病毒产品已经很验证全面彻底的清除网络病毒，必须有适合于单位局域网内的防病毒软件。通过对防病毒软件全方位的，多层次的配置，还有不定期的升级与维护，保证网络病毒不得入侵。设置防火墙其实是一种把内部网络和外部联系到一起的具有隔离判断的一种技术，选择判断允许，则外界用户与数据皆可进入其内部，选择判断阻止，则外界的用户与数据将被隔离，无法进入，这样可以极大可能的把非法入侵者拒之门外。防火墙技术是指网络之间通过预定义的安全策略，对内外网通信强制实施访问控制的安全应用措施。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。由于它简单实用且透明度高，可以在不修改原有网络应用系统的情况下，达到一定的安全要求，所以被广泛使用。据预测近5年世界防火墙需求的年增长率将达到174％。系统本身就存在着这样的漏洞，操作系统和应用软件之间有时可能也会产生某种冲突，系统有时会默认程序和缓存的变化，不会对其有合理的安排，把溢出的信息放到堆栈里，这样攻击者就有机可趁，只要发送超过缓存所能处理的长度的指令系统就将受到威胁。所以，要用可靠的软件进行漏洞的扫描，下载补丁进行修补，采取相应的措施就会把威胁降到最低点，可以对网路安全起到较大的作用。2.系统安全。系统安全一般涉及到鉴别认证机制、安全操作系统及周期性的安全检查，其中，在整个网络防御系统中，主要使用了利用安全操作系统提供的鉴别机制及双向鉴别认证机制；安全操作系统需要具有较好的安全特性，比如登陆控制、进程权限控制、系统完整性保护及安全审计等；周期性的安全扫描可以及时发现网络漏洞，且及时加以修补，通过及时升级来防止新病毒的入侵。首先，程序人员确定大的网络的安全，制定安全的等级和范围。定期进行网络维护，如出现意外能及时发现并采取积极有效的措施，这样对计算机网络的安全也了一个很好的保障,其次就是操作人员对计算机的操作规章制度管理，这样也能降低了黑客对程序的恶意破坏。在企事业单位的不断发展壮大中，自身的信息量也在增加，所以对于网络数据的监控也是必不可少的，利用网络监听维护等安全措施，可以对各个下属网点建立有一定过滤功能的监听程序，时时监听局域网内部计算机间的互相联系情况。3.数据安全。通常情况下，数据安全涉及到数据的完整性、保密性、可用性及可靠性。其中信息的完整性是指数据信息在数据库中，能够保持完整，且建立了一个数据备份恢复系统；保密性一般通过SSL通道加密、安全邮件系统及内容监控软件来实现，确保数据不被泄露或者公开；通常情况下，借助数据完整性检查可以有效确保数据的完整性与可靠性，假如范闲数据遭到破坏，通过备份数据恢复程序，就可以实现数据的可用性。

四、结束语

总之，拒绝服务、恶意软件、利用脆弱性及内部攻击是较为典型的网络攻击技术，这些网络攻击技术严重威胁着网络信息系统的安全，网络防御系统的设计过程包括方案的目标与用户职责、风险分析及网络策略制定等方面，借助网络、系统及数据等方面的各种安全技术手段，可以有效保护网络信息系统的安全性。

参考文献：

[1]张剑.网络防御系统的设计与实现[J].电子科技大学,2001

[2]朱银芳.校园网环境下的安全与防御系统研究[J].科技信息,2008

[3]刘建炜.基于网络层次结构安全的校园网络防护体系解决方案[J].教育探究,2010

[4]石鹏.网络工具的分析与设计实现[J].电子科技大学,2001

[5]张里.数据挖掘在网络入侵检测系统中的应用[J].重庆工学院学报,2008

[作者简介]

杨迪（1973-）学历：本科，职称：工程师，研究方向：计算机应用。