计算机网络防御

浅析计算机网络防御

摘要：计算机网络防御(cnd)是真正实现网络战斗力、有效完成作战任务的必要条件。本文对计算机网络纵深防御概念、防御体系、建设现状及发展趋势进行了简略的分析。

关键词：计算机网络防御(cnd)防御体系网络防御未来发展我们为了保护信息的安全，必须进行有效地网络防御。网络和信息不断遭受来自多方面的、高级、复杂且形式不断变化的威胁。这是我们所面临的挑战，它要求我们具备比以往任何时候都更为高级、持久、尖端和领先的技术。如果我们与政府和相关行业协作，把日益有限的资源高效和巧妙地集中起来，就可以使我们具有积极主动的地位，必要的时候就能做出实时反应，就能实现防御能力的目标。就像与其它国防部门和机构合作制定的投资决策一样

一.计算机网络防御(cnd)

计算机网络防御（computer network defense，简称cnd）是被广泛定义的网络空间（cyberspace)网络空间战(cybereoperations）的要素之一，是信息战（io）与网络空间（cyberspace)的交叉部分。计算机网络防御(cnd)则是计算机网络战(cno)的组成部分之一.主要服务内容是对网络进行保护、监控、分析、侦测和应对网络攻击。这些服务是指为了防止或减弱可能导致计算机网络中断、拒绝访问、降级、崩溃，计算机网络和信息系统被入侵，信息被偷窃的网络攻击所开展的作战行动

二. 计算机网络防御的起步

国防部(dod)和海军部(don)的特定需求推动了计算机网络防御的起步。为了发展和不断改进计算机网络防御(cnd)的形态和性能，下

面是一些正在进行的主要起步工作.

1.普罗米修斯系统

海军部提出了为海军企业网络提供积极防御所必须的“网络空间感知”计划，来收集、关联、融合、分析、显示和发布来自各种渠道迥然不同的数据。海军部已经运行了“普罗米修斯”系统，并在不断扩展它的功能。

2. 基于主机的安全系统(host based security system，简称hbss)

正在运行基于主机的安全系统(hbss)，实现了对已知的网络攻击进行实时侦测和反击。基于主机的安全系统(hbss)通过受中心控制的“基于主机的防火墙系统”和“基于主机的防入侵系统”，提供充足的缓冲器溢出保护、基于署名和行为的入侵保护和使用监控，达到保护主机不被利用和免遭恶意攻击的目的。

3. 恶意广告软件和间谍软件探测、清除和保护系统(spyware detection, eradication and protection，简称sdep) 对于恶意广告软件和sdep的功能，依靠基于主机的安全系统(hbss)的主动防御功能实现。

4. 用户自定义操作界面(user defined operational picture，简称udop)

为使相关个人或团体能发展和了解在自身系统和网络上的活动和行为，正在发展和实现一项能共享一般信息，改进对情况的感知，改善对网络的指挥和控制的功能。通过用户自定义操作界面(udop)提供入口来实现这一功能，由这个入口获得满足相关个人或团体要求而定制的内容。

5. 国防部内部威胁主动侦测系统

为处理“内部威胁”，正在参与国防部内部威胁主动侦测系统，该系统正在开发和部署一个内部威胁集中侦测工具(insider threat focused observation tool，简称intfot)。

6.侵保护系统(intrusion protection systems，简称ips)

通过运行入侵保护系统(ips)，监控网络和系统中的活动，查找恶意和多余的网络行为，并允许网络防卫人员实时采取果断的行动对其进行阻止或预防。

7.户对计算机网络防御(cnd)的认知

不断强调和加强用户对计算机网络防御(cnd)认识，确保计算机和网络用户充分意识到威胁的存在，及他们有责任对威胁进行防御。

8.密码登录(cryptographic log，简称on clo)

不再信任用户名和口令的安全性，为提高网络的安全性，正在向完全的密码登陆(clo)方式转变。

9. 过滤网络内容

正在通过过滤网络内容的功能，预防来自接入网络的恶意软件、

间谍软件、不稳定的恶意代码和其它不适宜的内容，为网络提供实时保护。

三.计算机网络防御(cnd)的未来发展

为适应不断变化的威胁，侦测网络上不适宜的活动和行为，并能实时采用正确的应对措施，正在全面建设多层防御—纵深防御体系，主动防御已知的威胁，主动处理新型的和未知的威胁。未来的计算机网络防御(cnd)在技术方面将包括下列几部分：

1.高级网络访问控制(network access control，简称nac)

通过这项功能，能评估接入网络的设备的安全状态。一旦设备被接入网络，它就能对其进行不间断的监控，并依据设备的状态采取必要的修正策略。这项功能允许管理包括从防火墙外接入网络的设备在内的所有网络终端，防火墙是网络的第一道外围防御，它在网络的边缘提供真正的点保护。海军部(don)将使计算机网络防御(cnd)与涵盖所有企业访问控制的解决方案充分结合，这个方案支持“第一个为此成立的联盟/非政府组织(ngo)环境联盟”内部的点对点请求，该联盟消除了不同环境信任等级的差异。

2.增强型反病毒技术

这项技术优于基于署名的检测和修复技术。它支持实时和嵌入式检测和修复，利用全面扫描来发现和清除rootkits和其它被植入很深的病毒活动。另外，这项增强型技术能防御未知或无法提供签名或修复方法的新生(zero-day)病毒，支持基于行为的病毒防护。

3.识别虚拟环境

通过加强针对所有被激活的虚拟计算机和存档的图像的安全策略，计算机网络防御(cnd)必将具备识别虚拟环境，保护在线和离线虚拟图像的功能。

4.高级取证能力

这项功能引入了事后取证和事前取证的关联性，能持续监视网络的状态。它支持对用户、系统和网络的行为进行学习和了解的功能，使行为的标准更容易被确定，进而能主动应对系统和网络中的异常活动和行为。

纵观计算机网络防御体系建设的做法与经验，笔者认为以下几个方面在我军网络安全建设中应该引起重视：

一是理论研究与队伍建设应高于网络环境建设，只有扎实的理论基础与过硬网络安全技术队伍才能真正地立于不败，走的更远；

二是在政府支持下建立网络安全产业联盟，充分而有效地利用民间技术力量为我所用；

三是确立正确计算机网络防御战略目标，以作战需求为牵引，为战而防，消除为防而防、为安全责任而防的消极计算机网络防御思想。

参考文献:

(1) 摘自2009年5月发布的《美海军计算机网络防御路线图》

(2) 2010年《现代军事》第4期，周保太。

(3) 引自联合出版物3-13,《信息战》。