“互联网+”背景下网络安全防护对策

吴 姗

（雅安职业技术学院 四川 雅安 625000）

1 引言

互联网因具有开放性、匿名性等特征而存在着信息安全隐患，随着“互联网+”、5G、物联网、人工智能等技术的不断发展，网络安全已经成为国家、社会和个人关注的重点。中国互联网络信息中心发布的第46次《中国互联网络发展状况统计报告》显示，2020年上半年，我国境内被篡改网站数量、被植入后门网站数量、信息系统安全漏洞数量以及国家互联网应急中心（CNCERT）接收到的网络安全事件报告数量较2019年同期都有所增长。面对日益开放的网络环境和不断增加的安全隐患，网络安全防护成为重要的研究课题。

2 网络安全威胁分类

2.1 被动攻击

在被动攻击中，攻击者通过监视网络上的信息流来获取他人的通信内容。被动攻击在不修改所传送数据内容的情况下，获取由原站发送给目的站的有效数据，从而影响传送数据的保密性。被动攻击可以是基于网络或基于系统的，它很难被检测到。常见的被动攻击有流量分析和窃听等，可以采取数据加密等措施对被动攻击进行预防。

2.2 主动攻击

在主动攻击中，攻击者对数据流进行某些修改甚至生成虚假的数据流，常见的主动攻击有消息篡改、恶意程序、拒绝服务。在消息篡改攻击中，攻击者故意篡改网络上的报文，包括彻底中断传送的报文，甚至把完全伪造的报文传送给接收方。恶意程序主要有计算机病毒、后门入侵和流氓软件等，编制者通过侦测计算机系统在软硬件或管理上的漏洞、缺陷等，将木马、后门程序等植入计算机，从而达到攻击的目的。在拒绝服务攻击中，攻击者不断地向网络上的某个服务器发送大量分组，让该服务器不能提供正常的服务，甚至完全瘫痪。主动攻击无法预防，但是易于检测，可以采取防火墙、入侵检测技术等手段加以检测。

3 网络安全防护对策

3.1 数据加密技术

3.1.1 对称加密

对称加密所使用的密钥是单钥，在该算法中，发送方和接收方共享密钥。使用对称加密算法的发送方将明文通过加密算法和密钥进行加密，变换成密文后发送给接收方，接收方收到密文以后，再通过解密算法和密钥将其解密成明文。

常用的对称加密有DES、三重DES、IDEA、AES和RC4。DES是数据加密标准，它采用分组加密算法将明文分成多个组，每个分组长度为64位，对每组数据加密后分别产生64位的密文数据，将各组密文数据串接起来就可以得到整个密文。DES的密钥长度为56位，现在已经很容易被破译。三重DES改进了DES的算法，它使用两个密钥对报文做三次DES加密，密钥长度为112位，弥补了DES密钥长度较短的缺点。IDEA是国际数据加密算法，它是一个分组长度为64位的分组密码算法，密钥长度为128位，由8轮迭代操作实现加密，对密码分析具有很强的抵抗能力。AES是高级加密标准，它支持128位、192位和256位三种密钥长度，安全级别高，在软件和硬件上都能快速地加解密。RC4是一种流加密算法，它在加密时对明文中的各个字节以字节流的方式依次加密，解密时对密文中的各个字节依次解密，该算法简单且执行速度快，可以抵御暴力搜索密钥的攻击。对称加密的加密密钥和解密密钥使用相同的密码体制，通信双方使用同一个密钥进行加密和解密，因此，在通信过程中要确保密钥的保密性。

3.1.2 非对称加密

非对称加密算法又称公钥加密算法，它使用不同的密钥进行加密和解密。在非对称加密密码体制中，加密密钥（即公钥）是公开的，解密密钥（即私钥）是保密的，通过两组密钥配合使用来完成加密和解密过程。目前最著名的公钥加密算法是RSA，它的加密和解密过程是：密钥对产生器产生出接收方的一对密钥即公钥和私钥，发送方使用公匙对明文进行加密后发送给接收方，接收方使用私钥对密文进行解密后恢复出明文[1]。在非对称加密算法中，加密和解密操作是互逆的，用公钥对明文进行加密，用私钥对密文进行解密，可以实现保密通信。由于公钥加密算法的开销较大，因此，目前公钥加密算法并没有完全取代对称加密算法。

3.2 鉴别技术

3.2.1 报文鉴别

报文鉴别是为了证实收到的报文来自可信的源点并且未被篡改，报文鉴别方法包含密码散列函数和报文鉴别码[1]。密码散列函数可以用于报文的完整性鉴别，它与加密技术配合使用能够对报文的来源进行鉴别，还可以对存储文件的完整性进行检验。实用的密码散列函数有MD5和SHA。MD5是报文摘要算法，它把明文报文按512位分组，输出的报文摘要为128位，采用MD5生成报文摘要可以防止发送的报文被篡改，但不能防止报文被伪造，不能真正实现报文鉴别。SHA是安全散列算法，它把明文报文按512位分组，产生的散列值为160位，SHA算法的报文摘要更长，比MD5更安全，但计算起来要比MD5慢。报文鉴别码MAC是对散列加密后的结果，它使用对称密钥生成报文认证码，采用报文鉴别码MAC得到的扩展报文，不仅不可伪造，而且不可否认。

3.2.2 实体鉴别

实体鉴别和报文鉴别不相同，报文鉴别是每收到一个报文都要鉴别它的发送方，实体鉴别是在系统接入的全部连续时间内只验证一次与自己通信的对方实体。简单的实体鉴别是使用共享的对称密钥实现，这个密钥在通信过程中可能会被入侵者截获，造成如重放攻击、IP欺骗等后果。在实体鉴别中，可以使用不重数来对付重放攻击，不重数是一个不被重复使用的大随机数，也就是“一次一数”，不能重复使用，因此入侵者在进行重放攻击的时候无法重复使用所截获的不重数[1]。

3.3 防火墙技术

防火墙是一种建立在内部网络和外部网络之间的安全系统，它可以实现内部可信任网络与外部不可信任网络之间的隔离和访问控制。根据防护方式和侧重点不同，可以将防火墙分为包过滤型防火墙、应用网关型防火墙和代理服务型防火墙[2]。

包过滤型防火墙根据配置的ACL对数据包进行检查，根据数据包的源IP地址、目标IP地址以及端口号等信息来判断是否允许数据包通过。包过滤型防火墙工作效率高，但是不能彻底防止IP欺骗、无法发现基于应用层的攻击、不支持用户认证。应用网关型防火墙在应用层上对网络应用服务协议设置过滤及转发规则，从而对内部网络进行保护。它可以对数据包进行分析并形成报告，能够监控和过滤应用层的数据，能够提供详细的日志，但是开销比较大。代理服务型防火墙对应用层服务进行控制，它使用两个终止代理服务器实现对防火墙与外部系统之间的链接，让来自外部系统的链接无法直接连接到内部系统的计算机上，只能直接连接到代理服务器上[2]。代理服务型防火墙在内部网络向外部网络交流服务时发挥中间转接的作用。

防火墙能够极大地提高内部网络的安全性，但是目前的防火墙仍然具有诸多局限性。例如它不能解决来自内部网络的攻击和安全问题、不能防止自身安全漏洞的威胁、不能防范不经过防火墙的攻击等。在应用中，要根据实际情况选择防火墙的部署方式，以期发挥最大的防护作用。

3.4 入侵检测和防御技术

入侵检测系统IDS通过对收集的网络安全日志、用户行为和网络数据包等信息进行深度的分析及检测，当发现有违反安全策略的行为或入侵攻击的迹象时，将入侵行为记入日志并向管理员发出警报。IDS一般采用旁路挂接的方式链接在所有所关注的流量都必须流经的链路上，它可以用于检测Dos攻击、网络映射、端口扫描和系统漏洞攻击等多种网络攻击。根据IDS的数据来源，可以把它分为基于主机的IDS、基于网络的IDS和基于应用的IDS[3]。基于主机的IDS是针对网络中的主机或服务器的入侵行为进行检测和响应，它的性价比较高，误报率较低，但是可靠性不是很高，能够检测到的攻击类型也受到一定限制。基于网络的IDS可以针对整个网络的入侵行为进行监测和响应，它的隐蔽性好，能够检测出还未成功的攻击企图，但是不能检测到不同网段的数据包。基于应用的IDS是从正在运行的应用程序中获取事件日志及存储在应用程序内部的其他数据，它是基于主机的IDS的一个特殊子集，其优缺点和基于主机的IDS基本相同。虽然入侵检测技术弥补了防火墙不能监控网络内部所发生的攻击行为的不足，但是它存在漏报、误报率高和灵活性差等问题[4]。

随着网络攻击的类型和手段不断变化，传统的防火墙和入侵检测技术已经无法全面应对不断变化的网络安全威胁。入侵防御系统IPS是在IDS基础上发展起来的网络系统，它不仅具备检测攻击行为的能力，而且具有拦截攻击并且阻断攻击的功能。IPS采用串接的方式链接在网络中，它可以深度感知并检测流经的数据流量，一旦发现隐藏的网络攻击，就会根据该攻击的威胁级别立即采取向管理中心告警、丢弃报文和切断此次应用会话等防御措施。与IDS比较，IPS能够积极主动地防御攻击，具有较深的防御层次，但是它同样存在漏报和误报的情况，并且容易造成单点故障、存在性能瓶颈。

4 结语

在网络的部署和管理中，要综合运用现有的各类安全技术的优势，构造尽可能安全的网络防御体系。网络安全关系着国家安全和经济社会稳定，随着5G、人工智能、物联网等技术的发展，网络攻击、数据泄露和高危漏洞等网络安全问题也呈现出新的变化。在网络安全的研究中，除了完善相关法律法规，还需要加大对密码技术、加密系统和安全防御软硬件的研究，多措并举来提升网络的安全性。