基于计算机网络的安全防御策略研究

张 洋

（北京卫星环境工程研究所 北京 100094）

0 引言

随着信息技术的飞速发展，计算机网络已成为现代社会中不可或缺的基础设施。 它连接了人们、组织和各种设备，为信息的交流和资源的共享提供了便捷的途径。 然而，计算机网络的开放性和复杂性也使其成为威胁和攻击的目标。 网络安全威胁的不断演变和增长，对网络安全防御提出了更高的要求。

1 计算机网络安全基础

1.1 常见的网络安全威胁和攻击类型

1.1.1 恶意软件

恶意软件，也被称为“恶意代码”，是一种专门设计用来破坏计算机系统、窃取敏感数据或者干扰网络服务的软件。 它们的种类繁多，包括病毒、蠕虫、特洛伊木马、间谍软件、勒索软件等。 例如，病毒是一种可以自我复制的恶意代码，它会寄生在正常程序中，当用户运行这个程序时，病毒就会被激活并开始传播。

1.1.2 钓鱼

钓鱼是一种通过伪装成可信的实体，欺骗用户提供敏感信息的网络攻击方式。 钓鱼攻击通常通过电子邮件或者网站进行，其目标可能是用户的用户名、密码、信用卡号等敏感信息。 例如，攻击者可能会发送一封看起来像是来自用户银行的电子邮件，引导用户点击一个链接并在一个伪造的网站上输入他们的银行账号和密码。

1.1.3 社交工程

社交工程是一种利用人的心理弱点进行欺诈的技术。社交工程攻击者通常通过伪装、欺骗、引诱等方式，使用户在没有意识到的情况下泄露敏感信息或者进行不安全的行为。 例如，攻击者可能会假装成公司的IT 支持人员，打电话给员工并请求他们提供登录凭证，以便“帮助”他们解决一个不存在的问题。

1.1.4 分布式拒绝服务攻击

分布式拒绝服务攻击（distributed denial of service，DDoS）是一种旨在通过大量的请求淹没目标服务器，使其无法为正常用户提供服务的攻击。 在DDoS 攻击中，攻击者通常会控制一个由大量机器组成的“僵尸网络”，并同时向目标发送请求。 例如，攻击者可能会利用僵尸网络向目标服务器发送大量的数据包，使其网络连接或者处理能力达到极限，从而导致正常用户无法访问该服务器的服务。

1.2 网络安全的基本属性

1.2.1 机密性

机密性指的是系统的能力，能够防止未经授权的个体访问信息。 机密性的关键在于对数据实行严格的访问控制，只有被授权的用户才有权限查看特定的信息。 例如，应用加密算法能够在信息传输过程中保护数据，使得未经授权的用户不能解读数据的实际内容，即使他们能够接触到数据。 这种保护机密性的实践表明，即使在数据被截获的情况下，信息的机密性也能得到维护。

1.2.2 完整性

完整性确保了数据在传输和存储过程中的一致性和准确性，它阻止了未经授权的数据篡改或删除。 要实现数据的完整性，需要应用一些技术手段，比如哈希函数和数字签名等。 哈希函数能够从数据中生成一个定长的唯一摘要，如果数据被修改，哈希摘要将会发生变化，检测到摘要的变化就能发现数据的变动，从而确保数据的完整性。

1.2.3 可用性

可用性保证网络和网络服务能够持续地为用户提供服务。 保证服务的可用性就是要确保服务不会因为系统故障、恶意攻击或网络拥堵等原因而中断。 为了提高系统的可用性，可以使用负载均衡技术，将请求分发到多个服务器，以避免单个服务器过载。 同时，使用冗余设计，即使部分系统或网络发生故障，其他部分也可以提供服务。 此外，为防止拒绝服务攻击，网络安全系统需要应用一些防御措施，如防火墙和流量限制等［1］。

1.2.4 可追溯性

可追溯性是网络安全的一个重要属性，它要求能够追踪和审计网络活动，以确定事件的来源和责任。 在网络通信中，可追溯性允许对用户的操作行为、网络攻击事件和异常活动进行记录和跟踪，以提供追溯和溯源的能力。

通过实施可追溯性措施，网络管理员和安全团队可以收集和分析网络活动的日志记录、审计数据和事件信息。这些信息可以用于确定事件发生的时间、地点、参与者以及相关的行为，从而帮助发现潜在的安全漏洞、入侵行为和异常活动。 同时，可追溯性也为取证和调查提供了重要的依据，使得网络安全事件的调查和解决更加可靠和有效。

2 计算机网络的安全防御机制

2.1 防火墙

防火墙是计算机网络安全防御机制中的核心组件，作为网络的“门户”，它决定了哪些网络流量可以通过，哪些应当被阻止。 防火墙的工作原理主要依赖于预设的安全策略，这些策略定义了防火墙应如何处理流经它的各类数据包。 防火墙主要分为包过滤防火墙、状态检测防火墙、应用层防火墙，详情如下。

2.1.1 包过滤防火墙

包过滤防火墙在网络层进行操作，主要依据数据包的IP 地址、端口号以及协议类型进行过滤。 其工作原理可以用如下公式表示：

2.1.2 状态检测防火墙

状态检测防火墙在网络层和传输层进行操作，除了包过滤防火墙的过滤规则，还会对传输控制协议／用户数据报协议（transmission control protocol／user datagram protocol，TCP／UDP）会话进行追踪。 通过保存会话的信息（例如序列号、确认号等），状态检测防火墙能够更精确地进行数据包过滤。

2.1.3 应用层防火墙

应用层防火墙则在应用层进行操作，它可以理解并执行特定应用协议的命令，识别并阻止协议规定行为之外的行为。 这使得应用层防火墙能够提供更为精细的访问控制［2］。

2.2 入侵检测系统

入侵检测系统（intrusion detection system，IDS）是一种专门用于检测网络中异常或违规行为的安全防御技术。主要通过收集并分析网络流量数据，依据特定的策略和规则，对可能的威胁进行实时警报。

2.2.1 基于签名的入侵检测

基于签名的IDS 主要是对比网络流量并与预先定义的攻击模式（或称为“签名”）进行匹配。 这种签名通常是由已知的恶意行为产生的特征，例如特定的比特序列、恶意软件的哈希值或特定的系统行为。 然而，基于签名的IDS 的主要挑战在于它们对未知威胁的检测能力有限。

2.2.2 基于异常的入侵检测

基于异常的IDS 则是通过学习正常的网络流量模式，并检测任何偏离这些模式的行为。 该类型的IDS 通常使用统计模型、机器学习等技术进行异常检测。 其中一种常见的方法是使用自组织映射（self-organizing map， SOM）进行聚类分析，SOM 能够通过无监督学习对输入数据进行特征提取和分类。

例如，一个使用SOM 的基于异常的IDS 可能会使用以下步骤进行异常检测：

Step1：对网络流量数据进行预处理，包括标准化、去噪、特征选择等。

Step2：使用SOM 算法对预处理后的数据进行训练，并创建特征映射。

Step3：将新的网络流量数据投射到SOM 特征映射上，并通过计算其与最近训练数据点的距离进行异常评分。

Step4：如果异常评分超过预定的阈值，则生成入侵警报。

虽然基于异常的IDS 能够有效地检测未知威胁，但它们也更容易产生误报，因为网络流量的正常模式可能会因各种非恶意原因而发生变化。

因此，许多现代IDS 系统采用混合模式，结合基于签名的检测和基于异常的检测，以实现更准确和全面的入侵检测［3］。

2.3 加密技术

2.3.1 对称加密

对称加密是最早的加密技术之一，它使用同一密钥进行数据的加密和解密。 典型的对称加密算法有美国的数据加密标准（Rivest-Shamir-Adleman， RSA）、高级加密标准（advanced encryption standard， AES）等。 其核心思想可以被抽象地表达为：设K为密钥，E为加密函数，D为解密函数，M为明文，C为密文，那么，对称加密的基本运算表达方式为式（1）、式（2）：

尽管对称加密的速度快、效率高，但是密钥的分发和管理问题成为了其主要挑战。

2.3.2 非对称加密

非对称加密又称为公钥加密，使用一对密钥，即公钥和私钥。 公钥用于加密数据，私钥用于解密数据。 典型的非对称加密算法有公钥数据加密标准（ron rivest、adi shamir、leonard adleman， RSA）、椭圆曲线加密（error checking and correction， ECC）等。 非对称加密的基本运算表达方式为式（3）、式（4）：

非对称加密解决了密钥分发问题，但其运算速度相比对称加密较慢。

2.3.3 哈希函数

哈希函数是一种单向函数，接受任意长度的输入，生成固定长度的输出。 典型的哈希函数有MD5、SHA-1、SHA-256 等。 哈希函数在网络安全中主要应用于数据完整性验证和密码存储。 哈希函数的基本运算表达方式为式（5）：

式（5）中H代表哈希值，M代表输入的数据。 哈希函数的一个重要性质是，对于给定的输入M，输出H是固定的。此外，由于哈希函数的单向性，从H反推M是非常困难的［4］。

2.4 安全协议

安全协议是一种用于在网络通信中确保数据的加密和传输的方法，以保障通信的安全性。 安全套接层协议／安全传输层协议（secure socket layer／transport layer security， SSL／TLS）、安全外壳协议（secure shell， SSH）、互联网安全协议（internet protocol security， IPSec）等都是典型的安全协议。 例如，SSL／TLS 协议在客户端和服务器之间建立一个安全的通信通道，防止数据在传输过程中被拦截或篡改。 SSL／TLS 使用公钥和私钥对数据进行加密，防止未经授权的访问。 此外，SSL／TLS 还可以进行身份验证，防止冒充攻击。

2.5 认证和访问控制

认证是一个过程，其目的是确认一个用户、系统或设备的身份，以确定它是否有权访问网络资源。 认证通常涉及到一种挑战-应答机制，其中系统会向用户发出一个挑战，用户必须以正确的方式应答才能通过认证。 通常的认证方法包括密码、数字证书、智能卡、生物特征等。

访问控制则是一种方法，用于决定一个已认证的用户是否可以访问特定的网络资源，并确定他们可以执行哪些操作。 访问控制策略通常根据用户的角色和资源的分类来定义，而访问控制机制（如访问控制列表）则用于实施这些策略。 访问控制帮助保护敏感信息，防止数据泄露，保障系统的完整性和保密性［5］。

3 计算机网络的安全策略实施

3.1 制定安全政策

网络安全的成功实施首先依赖于明确、全面的安全政策。 安全政策为保护组织的信息资产提供了基础性的框架，它定义了组织对网络安全的态度、承诺以及具体操作规程。 安全政策中应明确规定各类用户的行为规范，包括员工、客户、供应商等所有涉及使用和访问组织信息资源的角色。 其次，安全政策应对各类可能的网络安全事件，包括外部攻击、内部错误、自然灾害等情况，给出预防、应对以及恢复的具体措施和步骤。 例如，针对员工的远程办公行为，安全政策可能需要明确规定使用安全的网络连接方式，禁止在公共无线网络环境下访问公司敏感资源等。对于可能遭受的DDoS 攻击，安全政策可能需要定义事前的流量监控和预警机制，事中的流量清洗和调度方案，以及事后的事件分析和改进措施等。

安全政策的制定并不是一次性完成的，它需要根据组织的业务需求、技术环境的变化以及网络安全形势的发展进行定期的更新和完善。 只有这样，才能确保安全政策始终能有效地指导组织的网络安全实践，达到预防网络威胁、保护信息资产、应对安全事件的目标。

3.2 实施防御机制

防御机制的实施涉及到多个层次，包括物理、网络、主机、应用等各个层面。 在物理层面，需要安排专门的安全区域存放服务器和网络设备，采取门禁控制、监控摄像等措施防止未授权访问。 在网络层面，需要部署防火墙、入侵检测和防御系统、数据泄露防护系统等，实现对网络流量的监控和控制。 在主机和应用层面，需要部署主机防护软件、数据库防护系统，以及针对互联网应用的防护工具，如网站应用级入侵防御系统等。 例如，通过防火墙可以实现对内外网络之间的隔离，防止恶意流量进入内部网络；通过入侵检测系统可以实现对网络攻击的实时发现和预警；通过数据泄露防护系统可以防止敏感信息的外泄等［6］。

3.3 持续的安全审计

安全审计可以帮助组织检测潜在的安全威胁和漏洞，评估现有安全措施的有效性，并提出改进建议。 例如，一个典型的安全审计过程可能包括对网络流量、系统日志、用户行为等的详细分析，通过对比预期的安全行为和实际的运行情况，发现可能的异常和漏洞。

为了有效地进行安全审计，可以使用各种工具和方法，如日志分析工具、入侵检测系统、安全信息和事件管理系统等。 另外，为了确保审计结果的准确性和全面性，应从多个层面进行审计，包括网络层面、系统层面、应用层面等，并应涵盖所有的信息系统组成部分，如服务器、网络设备、数据库、应用程序等。

3.4 安全漏洞的检测和修复

漏洞检测旨在发现网络中存在的安全弱点，而修复则是针对这些弱点进行改进，以防止它们被恶意利用。 例如，常见的漏洞检测方式包括对网络和系统进行定期的扫描和测试，使用专门的漏洞扫描工具，以及参考公开的漏洞数据库等。

漏洞修复则包括对系统和软件进行更新和补丁的应用，对配置进行修改，以及对安全策略进行调整等。 例如，如果发现某个系统的版本存在已知的安全漏洞，可以通过更新到最新版本或者应用官方发布的安全补丁来修复。对于一些不能直接修复的漏洞，可能需要通过调整防火墙规则、改变网络配置、限制用户权限等方式来降低其风险。需要注意的是，漏洞的检测和修复都应是一个持续的过程，而不是一次性的任务，因为新的漏洞可能随时出现，而旧的漏洞也可能由于环境变化而再次成为威胁［7］。

4 结语

综上所述，计算机网络的安全防御是一个综合性的挑战，需要综合考虑多个方面，包括制定安全政策、实施防御机制、持续的安全审计和安全漏洞的检测与修复等。 通过制定明确的安全政策，组织可以确立安全目标和规则，为网络安全提供指导。 实施各种防御机制，如防火墙、入侵检测系统和加密技术，可以有效地保护计算机网络的机密性、完整性和可用性。 持续的安全审计和安全漏洞的检测与修复，可以及时发现和纠正安全漏洞，提高网络的安全性和可靠性。 在快速发展的网络环境中，计算机网络的安全防御策略需要不断演进和适应新的威胁形势。 面对云计算、物联网和人工智能等新兴技术的发展，需要不断研究和改进安全防御策略，以应对新型攻击手法和威胁。 只有不断加强研究和实践，以及与各方共同努力，我们才能够建立更安全、可靠的计算机网络环境，确保信息的安全和社会的稳定发展。