网络信息防护研究.docx

网络信息防护研究 【摘 要】现有网络信息防护主要仰赖防火墙条件式过滤网络地址（IP），但对于可疑、伪装、中毒的网络地址（IP）却无法有效且实时辨别并加以封阻，甚至得知网络地址（IP）后遇到无法主动追根究源的窘境。且面对现阶段入侵威胁演进，诸多恶意软件演进伪装成合法服务的攻击手法，现有计算机病毒防护系统、防火墙、入侵检测均无法有效且实时辨别攻击，确认封包承载服务内容的真伪，导致安全防护漏洞，思考封闭式网络企业中是不是可以达到绝对百分之百的网络地址配发掌控，对于非法连接达有效封阻；资安事件发生时，是不是可以利用网络访问控制，达封锁攻击源或问题源 IP，可立即得到 IP 所属人员信息，进行纠举。 下载 【关键词】网络信息；防护研究 目前企业内部网络地址配发所遇问题，不外乎包含： 私设 DHCP、IP 地址冲突或冒用、现有固定 IP 管理机制不易管理、Geteway 误设、使用者认证困难等。若借助各式商用防护软件进行监控终端信息设备，第一以侵入代理程式进行管控，其每年合约所需经费，第二会有硬件或软件上的限制。退一步思考，研究开发非侵入式网络管理系统，控制网络设备，掌控终端信息设备连网能力，搭配网络访问控制策略，兼容于现有软、硬环境，提升网管人员网络地址管理效能，续整合现有资安设备信息，节省资安软件经费支出，解决 IP 配发衍生的问题。 一、OSI网络层 依据 TCP/IP 工作模块、WIKI 及 Glenn Surman （2002），OSI表述综和如下 OSI 将数据通讯分为七个层级，分别为物理层、数据连接层、网络层、传送层、会谈层、表现层、应用层，层层各司其职，但又有其相依性。网路各层意义如下： （1）第一层物理层（Physical Layer）：物理层定义了所有电子及物理装置的规范。其中特别定义了装置与物理媒介之间的关联，这包括了针脚、电压、线缆规范、集线器、中继器、网卡、主机适配器以及其他的装置的设计定义。因为物理层传送的是原始的位流，即设计的目的是为了保证当发送时的讯号为二进制1时，对方接收到的也是二进制1而不是二进制0及一个 bit 需要持续几微秒，传输讯号是否在双向上同时进行，最初的联机如何建立和最终如何终止等问题 （2）第二层数据链结层（Data Link Layer）：首先数据链结层的功能在于管理第一层的位数据，并且将正确的数据传送到没有传输错误的路线中。建立还有辨认数据开始以及结束的位置同时予以标记。另外，就是处理资料受损、遗失甚至重复传输错误的问题，使后续的层级不会受到影响，所以它执行数据的侦错、重传或修正，还有决定设备何时进行传输。设备有：Bridge 网桥 switch 交换器等。 （3）第三层网络层（Network Layer）：网络层为数据传送的目的地寻址，再选择出传送数据的最佳路线。 （4）第四层传输层（Transport Layer）：传输层用于控制数据流量，并且进行侦错及错误处理，以确保通讯顺利。而传送端的传输层会为封包加上序号，方便接收端把封包重组为有用的数据或档案。 （5）第五层?谈层（Session Layer）：会谈层用于为通讯双方制定通讯方式，并建立、挂断会话（双方通讯）。 （6）第六层展现层 （Presentation Layer）：表示层能为不同的客户端提供数据和信息的语法转换内码，使系统能解读成正确的数据。同时，也能提供压缩解压、加密解密。 （7）第七层应用层（Application Layer）：应用层能与应用程序编程接口沟通，以达至展示给用户的目的。 网络数据 TCP/IP 工作模块叙述 OSI 协议就像堆积木一样，层层迭上去，因此此一架构常被称为堆栈（stack），或是协议堆栈。每一个协定都只和与之对应的协议沟通，然后于结构相邻的协议进行解译。层层之间传送数据都有一定的协议，而且层层相扣不同的表头，协力完成传输任务。从发送端至接收端各层无需知道其他层是如何工作的，只需专于相同层级的协议沟通即可?r但层与层之间却有一套既定协议相互交换处理结果。这样于各层设计与发展空间是有利的，当某一层要进行协议更新，其他层无需同时被修改。 二、网络分层优化 TCP/IP工作模块叙述，各架构让协议设计者将数据传输复杂的问题分成阶段，然后再分别处理。代价是令到分层的解析变得非常重要。如?s应用程序将一串字节交到传送层，经过封包切割之后，再传至网络上。在此一过程中，传送层会选择最大的封包体积，以达到传输的优化，以配合讯框在实体网络中优化传送。若解析的分层过严、过多的话，传送层就无法知道底层的路由状况，也不知道与直接相连的网络有哪些。甚至传送层也不知讯框的格式，也就无法界定封包体积的大小。所以，解析过严反而会成为传送优化的障碍。所以协议设计者在设计协议解析时，为求优化与分层结构中取得平衡，通常会放宽限制，以允许路由选择、MTU之类的讯息广播，或是在分配缓冲区的时候，会预先留下标头空间让低层填充信息，或在高层协议传送讯框时保留标头信息。这样才可以提高传输效率。下列将 OSI、Internet Protocol Suite、Microsoft Network 各层进行比较，可以看出 Internet Protocol Suite 及 MicrosoftNetwork 都是合并为4层，虽合并层次不同，但目的都是使传输得以简化得到优化的结果。 三、网络安全防护组件 在探讨网络安全架构时，想到企业需求，如：连网要做什么、连去哪里、企业本身需提供甚么服务、那外部或内部网络该通行甚么样的服务、服务对象是谁、谁可以存取甚么数据，传输要如何传才得以保密等等，这些都是范畴之一。在这些范畴中网络设备组件大致所需项目如下： （1）资料加解密：利用数据加解密技术，确保数据的私密性，数据在企业网络传送时，若有侧录者亦无法得知数据内容。（2）认证机制：对使用者的身份做认证，防止非法或假冒者任意使用企业网络资源，如输入用户密码（Password）或利用电子签章来认证，而本文则是使用目录服务进行认证。（3）访问机制：其中包含网络线路存取及网络数据存取，依用户的身份对其所能使用的企业网络资源作各种不同的权限设定，以增强数据的安全性。如某些高机密性的数据就设定成只有少数有较高权限的使用者才能存取。（4）防病毒软件：防病毒软件可避免已知病毒扩散或感染系统，但通常病毒会隐藏任何档案中伺机而动，故可利用侦毒软件目的是侦察已知病毒的存在与否。（5）防火墙：防火墙可过滤掉已知的恶意站台，增加企业网络的安全，更可阻止网络黑客的任意入侵。（6）入侵检测系统：一般防火墙只过滤特定的数据封包，但是无法侦测通过的封包是否异常，入侵检测系统可以分析通过的封包或系统的日志档，侦测出可能的入侵行为，主动告警通知信息人员，提高防御能力。（7）网络管理工作：网络管理工作于非常庞大而复杂的企业网络架构，光靠人力来管理是无法完成的。网络管理人员必借助网络管理系统来协助他们做好企业网络管理的工作，如备援线路、路由导向、网络流量控制、IP分配掌控、无线网络安全、人员确认、事件处置等。 所以协议设计者在设计协议解析时，为求优化与分层结构中取得平衡，通常会放宽限制，以允许路由选择、MTU 之类的讯息广播，或是在分配缓冲区的时候，会预先留下标头空间让低层填充信息，或在高层协议传送讯框时保留标头信息。这样才可以提高传输效率。下列将 OSI、Internet Protocol Suite、Microsoft Network 各层进行比较，可以看出 Internet Protocol Suite 及 MicrosoftNetwork 都是合并为 4 层，虽合并层次不同，但目的都是使传输得以简化得到优化的结果。 参考文献： 王蕾.企业计算机网络的安全管理探讨J.