關(guān)于信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范模式的探析

◆賀振男

(渭南技師學(xué)院 陜西 714000)

網(wǎng)絡(luò)安全綜述與趨勢(shì)

關(guān)于信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范模式的探析

◆賀振男

(渭南技師學(xué)院 陜西 714000)

自網(wǎng)絡(luò)科技時(shí)代以來(lái)，互聯(lián)網(wǎng)的使用率便逐年增加，加上近年云端服務(wù)的推行，許多網(wǎng)絡(luò)服務(wù)更是不斷地推陳出新，網(wǎng)絡(luò)服務(wù)著實(shí)成為人們生活中不可或缺的一部份。龐大的網(wǎng)絡(luò)客群帶來(lái)龐大的商業(yè)利益，各家網(wǎng)絡(luò)服務(wù)業(yè)者無(wú)不極力確保能提供優(yōu)良的服務(wù)質(zhì)量。本文將主要針對(duì)當(dāng)前信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)問(wèn)題進(jìn)行分析，并提出信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的防范措施，在網(wǎng)絡(luò)安全方面具有一定的參考價(jià)值。

信息；網(wǎng)絡(luò)安全；風(fēng)險(xiǎn)防范；模式

0 前言

隨著網(wǎng)絡(luò)普及率逐年成長(zhǎng)，為了提高信息的傳輸與存儲(chǔ)效率，各行各業(yè)中信息網(wǎng)絡(luò)管理已得到充足的應(yīng)用，也極大地促進(jìn)了企業(yè)信息管理效率。但是由于網(wǎng)絡(luò)攻擊也層出不窮，已嚴(yán)重威脅到網(wǎng)絡(luò)信息的安全，其中分布式拒絕服務(wù)攻擊是常見(jiàn)的威脅之一。為了確保企業(yè)自身的網(wǎng)絡(luò)安全，建置入侵防護(hù)系統(tǒng)為不可或缺的方法。由于開(kāi)放原始碼（Open Source）軟件的興起與其可客觀化的功能性，使得免費(fèi)的入侵偵測(cè)系統(tǒng)軟件——Snort廣受歡迎。Snort在應(yīng)用上多以入侵偵測(cè)的角色為主，通過(guò)偵測(cè)到攻擊產(chǎn)生警訊后，通知管理者或 SIEM（Security Information Event Manager）設(shè)備，但此方式并無(wú)法在面對(duì)攻擊時(shí)，實(shí)時(shí)地阻斷攻擊來(lái)源。Snort可通過(guò)部署的架構(gòu)方式或統(tǒng)計(jì)信息地址的權(quán)重來(lái)判斷其是否遭受攻擊，但若核心的偵測(cè)引擎與規(guī)則無(wú)法偵測(cè)到此類攻擊，會(huì)導(dǎo)致偵測(cè)效率不佳[1]。

1 當(dāng)前信息網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)問(wèn)題

阻斷服務(wù)（Denial-of-Service， DoS）攻擊是一種阻絕的攻擊方式，這類攻擊會(huì)使被害者如計(jì)算機(jī)、服務(wù)器或網(wǎng)絡(luò)系統(tǒng)，無(wú)法提供可用的網(wǎng)絡(luò)資源。大部分阻斷服務(wù)攻擊利用大量的聯(lián)機(jī)請(qǐng)求來(lái)癱瘓被害者的計(jì)算機(jī)、服務(wù)器的網(wǎng)絡(luò)頻寬或聯(lián)機(jī)資源，達(dá)到拒絕服務(wù)之目的。分布式阻斷服務(wù)攻擊則是通過(guò)如木馬、后門(mén)程序，事先入侵大量計(jì)算機(jī)并植入傀儡，在同一時(shí)間對(duì)感染計(jì)算機(jī)或服務(wù)器啟動(dòng)攻擊指令，對(duì)被害者計(jì)算機(jī)執(zhí)行阻斷服務(wù)攻擊，達(dá)到影響合法使用者存取的功能[2]。當(dāng)有大量的 Half-Open Connection 發(fā)生時(shí)，因?yàn)槠渎?lián)機(jī)緩沖區(qū)已經(jīng)滿載，目標(biāo)計(jì)算機(jī)將無(wú)法再接收新的聯(lián)機(jī)請(qǐng)求。對(duì)于這樣的行為，多數(shù)的計(jì)算機(jī)均設(shè)有Timeout 機(jī)制來(lái)預(yù)防，也就是當(dāng)設(shè)定的時(shí)間間隔內(nèi)未收到ACK封包，就切斷該聯(lián)機(jī)釋放緩沖區(qū)的資源，以接收新的聯(lián)機(jī)請(qǐng)求。

每一個(gè)狀態(tài)的信息若觸發(fā)的事件等級(jí)小于或等于原提升狀態(tài)的等級(jí)事件，則仍停留在原狀態(tài)。此外，每一個(gè)信息地址紀(jì)錄有其點(diǎn)數(shù)值，此點(diǎn)數(shù)值會(huì)逐日遞減，直至點(diǎn)數(shù)為零。因?yàn)楣舻陌l(fā)生通常會(huì)在短時(shí)間內(nèi)，如一周、一個(gè)月，而不會(huì)間隔太長(zhǎng)的時(shí)間。通過(guò)將Snort的入侵事件紀(jì)錄進(jìn)行分級(jí)，同時(shí)將所紀(jì)錄到的信息地址進(jìn)行分級(jí)，建構(gòu)一個(gè)信息地址狀態(tài)數(shù)據(jù)庫(kù)儲(chǔ)存，提供管理人員不同層級(jí)的紀(jì)錄數(shù)據(jù)，減輕管理人員負(fù)擔(dān)，并能實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)的入侵行為[3]。

傳統(tǒng)的分布式阻斷服務(wù)攻擊是先入侵多臺(tái)計(jì)算機(jī)主機(jī)，然后利用這些主機(jī)同時(shí)對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行攻擊，達(dá)到妨礙合法使用者無(wú)法存取資源之目的。因?yàn)榇祟惞艏夹g(shù)門(mén)坎不高，有許多黑客將其制作成單一工具，使得許多人也可通過(guò)此類工具進(jìn)行攻擊，大多稱其為腳本小子。

Packet Sniffer的功能如同電話竊聽(tīng)一樣，差別在于它是竊聽(tīng)網(wǎng)絡(luò)上的信息，而非語(yǔ)音。所謂網(wǎng)絡(luò)信息即是信息地址流量，這些流量中也包含較高層的通訊協(xié)議，包含TCP、UDP、ICMP、信息地址Sec等，許多Sniffer工具會(huì)將這些不同的通訊協(xié)議轉(zhuǎn)換成人類可讀的信息。Snort的第一個(gè)組件即是Sniffer，它能將收集到的封包直接轉(zhuǎn)存至Logger，也能交由下個(gè)組件 ——Preprocessor，供后續(xù)分析使用[4]。當(dāng)封包進(jìn)入Preprocessor后，這個(gè)階段的任務(wù)便是分析封包流量的行為。Snort的 Preprocessor包含許多的Plug-ins，如HTTP Plug-in、Port Scanner Plug-in等。這些Plug-ins會(huì)逐一針對(duì)封包做特定行為的檢查，一旦符合行為規(guī)范，便將這些封包再傳送至下一個(gè)組件 ─ Detection Engine。

圖1 Preprocessor運(yùn)作

2 信息網(wǎng)絡(luò)面臨安全風(fēng)險(xiǎn)的防范措施

2.1 強(qiáng)化個(gè)人端或伺服端的計(jì)算機(jī)主機(jī)安全

強(qiáng)化個(gè)人端或伺服端的計(jì)算機(jī)主機(jī)安全永遠(yuǎn)是防御各類網(wǎng)絡(luò)攻擊的最佳方案。然而，信息安全的核心雖在于人，也就是人員對(duì)信息安全的素質(zhì)，但此部分卻也是最難以實(shí)現(xiàn)的。因?yàn)橛袝r(shí)為了便利性，我們可能就會(huì)選擇犧牲某些可以保護(hù)我們計(jì)算機(jī)的方式，比如操作計(jì)算機(jī)使用管理者賬號(hào)登入、減少惱人的操作提示窗口。但當(dāng)減少此惱人的行為，也等同給予黑客減少這個(gè)繁瑣的管理者密碼輸入提示[5]。優(yōu)良的服務(wù)質(zhì)量除了自身系統(tǒng)平臺(tái)穩(wěn)健外，更須防范外在的網(wǎng)絡(luò)攻擊。因?yàn)橐坏┰馐芄羧缱钄喾?wù)，短時(shí)間內(nèi)便可能損失極大的利益，甚至?xí)斐墒褂谜叩牟恍湃胃小?/p>

2.2 啟用Snort的規(guī)則偵測(cè)

NIDS Mode則是啟用Snort的規(guī)則偵測(cè)，讓每個(gè)流經(jīng)Snort的封包進(jìn)行規(guī)則比對(duì)與檢測(cè)，當(dāng)發(fā)現(xiàn)有符合規(guī)則定義時(shí)，即產(chǎn)生警訊（Alert），告知管理人員當(dāng)前網(wǎng)絡(luò)出現(xiàn)疑似攻擊的情況。Preprocessor對(duì) IDS而言是一個(gè)很重要的特性，因?yàn)樗梢宰杂傻貑⒂没蛲Ｓ?，達(dá)到資源配置或警訊多寡的目標(biāo)[6]。比如說(shuō)，當(dāng)架設(shè)完Snort作為IDS后，發(fā)現(xiàn)有大量且持續(xù)性的Port Scan警訊，假如管理人員明確知道自身網(wǎng)絡(luò)環(huán)境是安全的，可忽略這些警訊，那么就可進(jìn)入Preprocessor停用Port Scanner Plug-in，Snort將不再產(chǎn)生Port Scan的警訊，但其它的Plug-ins仍舊維持正常運(yùn)作，不會(huì)有所謂的非全有即全無(wú)（All-or-nothing）特性[7]。

2.3 加強(qiáng)云平臺(tái)自身的網(wǎng)絡(luò)安全防護(hù)

云平臺(tái)自身的網(wǎng)絡(luò)安全防護(hù)特別是對(duì)海量數(shù)據(jù)安全的防護(hù)將面臨著挑戰(zhàn)[8]。另外是云平臺(tái)的安全審核和管理機(jī)制問(wèn)題，目前大多數(shù)云服務(wù)商的安全審核機(jī)制并不完善，用戶租用后作何用途，云服務(wù)商并不清楚知曉。也未作嚴(yán)格審核或周期性檢查，因此出現(xiàn)黑客在云平臺(tái)部署釣魚(yú)網(wǎng)站、傳播惡意代碼或發(fā)動(dòng)攻擊的情況，如不及時(shí)加強(qiáng)管理，未來(lái)這種現(xiàn)象將繼續(xù)增多。

3 實(shí)施效果

通過(guò)強(qiáng)化個(gè)人端或伺服端的計(jì)算機(jī)主機(jī)安全、啟用Snort的規(guī)則偵測(cè)、加強(qiáng)云平臺(tái)自身的網(wǎng)絡(luò)安全防護(hù)等相關(guān)信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范措施，利用強(qiáng)化個(gè)人端或伺服端的計(jì)算機(jī)主機(jī)安全強(qiáng)化內(nèi)部安全信息防范，同時(shí)利用Snort的規(guī)則偵測(cè)安全危險(xiǎn)源，加強(qiáng)云平臺(tái)的網(wǎng)絡(luò)安全防護(hù)保證外部網(wǎng)絡(luò)環(huán)境的安全，由內(nèi)而外的建立信息網(wǎng)絡(luò)安全防范模式，可以構(gòu)建全面、科學(xué)、高效、合理的網(wǎng)絡(luò)安全管理體系，強(qiáng)化安全管理水平，對(duì)危害信息網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)起到一個(gè)重要的攔截作用，充分保障信息的安全性，保障其不受到惡意程序的攻擊，避免了信息的破壞、惡意修改及其泄漏等安全問(wèn)題。同時(shí)這些舉措也有助于強(qiáng)化信息網(wǎng)絡(luò)產(chǎn)業(yè)的管理與監(jiān)督，確保信息網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行。

4 結(jié)論

不論網(wǎng)絡(luò)的形態(tài)、種類如何發(fā)展，不論網(wǎng)絡(luò)的技術(shù)如何變化，其影響的范圍將越來(lái)越廣，使用的人群越來(lái)越多，存在的各種風(fēng)險(xiǎn)與危害也將越來(lái)越大。因此，加強(qiáng)對(duì)泛在網(wǎng)中各類技術(shù)及管理方法的研究，構(gòu)建統(tǒng)一標(biāo)準(zhǔn)的互聯(lián)網(wǎng)信息安全保障體系是十分重要的。本文主要論述了將現(xiàn)有網(wǎng)絡(luò)中的各種技術(shù)及管理方法，將其融合到互聯(lián)網(wǎng)中，充分利用已有的技術(shù)來(lái)保障互聯(lián)網(wǎng)的安全運(yùn)行。

[1]李依琳．網(wǎng)絡(luò)會(huì)計(jì)電算化的信息安全風(fēng)險(xiǎn)分析及防范策略[J]．當(dāng)代經(jīng)濟(jì)，2017．

[2]楊?。畔⒕W(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范模式探析[J]．黑龍江科技信息，2017．

[3]李華，胡菲． 網(wǎng)絡(luò)信息安全的社會(huì)風(fēng)險(xiǎn)防控[J]．蘇州市職業(yè)大學(xué)學(xué)報(bào)，2016．

[4]段利均．信息共享與供應(yīng)鏈網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的關(guān)系研究[J]．商場(chǎng)現(xiàn)代化，2016．

[5]杜蕓．信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與防范的幾點(diǎn)思考[J]．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016．