引言

　　信息网络对抗作为信息作战的主要形式之一已获得了各国广泛地认同，一些西方国家甚至专门组建了网络作战部队，组织实施针对信息网络的对抗活动。从概念上讲，信息网络是广义的，一切能够实现信息传递与共享的软、硬件设施的集合都可以被称为信息网络。因此，信息网络并不完全等同于计算机网络，传感器网络、短波无线电台网络、电话网等都属于信息网络的范畴。本文所讨论的信息网络对抗主要涉及计算机网络，对其他类型的信息网络也有一定的普适性。

　　信息网络（以下简称为网络〕对抗包括攻击和防御两个方面，本文首先对网络对抗机制进行了归纳分，然后讨论了各种网络防御机制，重点分析了不同防御机制中所存在的脆弱性，并提出了相应的攻击机制。最后，对当前网络对抗机制间的攻防关系进行了总结。

　　1、网络对抗机制的分类

　　网络对抗机制泛指网络攻击、防御的方式及其各自实现的策略或过程。网络攻防双方对抗的焦点是信息资源的可用性、机密性和完整性。目前，网络攻击方式可以说是日新月异，并呈现出智能化、系统化、综合化的发展趋势。而针对不同的网络层次和不同的应用需求也存在着多种安全防御措施，其中，综合利用多种防御技术，以软、硬件相结合的方式对网络进行全方位的防御被看作是网络防御的最佳解决方案。通过分析和总结，本文提出了一种具有普遍意义的网络对抗分类体系。我们认为，这一分类体系基本涵盖了当前各种类型的网络攻击机制和防御机制。

　　2、网络防御抵抗网络攻击

　　2.1 访问控制

　　访问控制主要是防止未授权用户使用网络资源，避免网络入侵的发生。主要措施有：

　　（1）物理隔离：不接入公用网络（如因特网）或采用专用、封闭式的网络体系能够将外部攻击者拒之网外，从而极大地降低了外部攻击发生的可能性。对于一些关键部门或重要的应用场合（如战场通信），物理隔离是一种行之有效的防御手段。

　　（2）信号控制接入：直扩、跳频或扩跳结合等信号传输方面的安全措施都是相当有效的网络接入控制手段。

　　（3）防火墙是网络间互联互通的一道安全屏障，它根据用户制定的安全策略对网络间的相互访问进行限制，从而达到保护网络的目的。同时，基于代理技术的应用网关防火墙还能够屏蔽网络内部的配置信息，从而抑制部分网络扫描活动。充当TCP连接中介的防火墙对SYN flood攻击也有一定的防御作用。

　　（4）身份认证用于鉴别参与通信的用户、主机或某种材料（如数字证书）的真实性。通过身份认证后，不同的用户会被赋予不同的网络访问权限。身份认证是防止欺骗攻击的有效手段。

　　2.2 加密

　　加密是对信息进行某种形式的变换，使得只有拥有解密信息的用户才能阅读原始信息。对信息进行加密可以防御网络监听，保护信息的机密性。同时，高强度的信息加密技术极大地抑制了密码破译攻击的成攻实施，尤其是采取了算法保密等非技术措施后，企图采用技术手段破译加密系统是极其困难的。另外，加密既可以作为身份认证的一种实现方式，又可以为认证安全提供保障，因而在一定程度上也能够防止欺骗攻击的发生。

　　网络传输中一般采取链路层加密和网络层加密的保护措施。

　　链路层加密为相邻链路节点间的点对点通信提供传输安全保证。它首先对欲传输的链路帧进行加密处理，然后由每一中间节点对所接收的链路帧进行解密及相应的处理操作，如该帧需继续传输，则使用下一条链路的密钥对消息报文重新进行加密。链路层加密又分为链路加密和节点加密两种。二者的差异在于：链路加密对包括源/宿节点地址信息在内的所有传输信息都进行加密处理，中间节点必须对链路帧完全解密以对用户报文进行正确的处理，所以用户消息在中间节点以明文形式存在。而在节点加密中，源/宿节点的地址信息以明文形式传输，由一个与节点机相连的安全模块（被保护的外围设备）负责对密文进行解密及加密处理，不允许用户消息在中间节点以明文形式出现。 　　网络层加密也称作端到端加密，它允许用户报文在从源点到终点的传输过程中始终以密文形式存在，中间节点只负责转发操作而不做任何解密处理，所以用户的信息内容在整个传输过程中都受到保护。同时，各报文均独立加密，单个报文的传输错误不会影响到后续报文。因此对网络层加密而言，只要保证源点和终点的安全即可。

　　2.3 监控

　　网络防御中的监控可分为恶意代码扫描和入侵检测两部分。恶意扫描主要是病毒扫描和后门程序扫描，现有病毒扫描软件在查杀病毒方面的有效性已得到了公众的认可，是防御恶意代码攻击的有力武器。入侵检测系统主要通过搜集、分析网络或主机系统的信息来识别异常事件的发生，并会及时地报告、制止各种可能对网络或主机系统造成危害的入侵活动。入侵检测系统可以发现网络扫描活动，并对拒绝服务攻击的防御起着重要作用。

　　2.4 审计

　　审计是一种事后措施，用以及早地发现攻击活动、获得入侵证据和入侵特征，从而实现对攻击的分析和追踪。建立系统日志是实现审计功能的重要手段，它可以记录系统中发生的所有活动，因此有利于发现非法扫描、拒绝服务攻击及其他可疑的入侵行为。

　　3、网络攻击对抗网络防御

　　3.1 针对访问控制的攻击

　　首先，采取物理隔离措施的目标网络构成了一个信息“孤岛”，外界很难利用网络对其进行渗透，只能采用物理摧毁或通过间谍手段将病毒代码、逻辑炸弹等植入目标网络。

　　其次，就信号控制接入而言，信号截获、信号欺骗和信号干扰等都是可行的攻击方式。目前已具备截获慢速短波跳频信号、直扩信号和定频信号的能力。针对定频信号可实施欺骗攻击，如能获取目标网络的信号传输设备，则对扩频信号进行欺骗也具有实施的可能，WLAN中就常常使用这种方式进行网络嗅探。当然，实施有效的信号截获和信号欺骗必须对信号格式有所了解，这个条件是比较容易满足的。另外，电磁干扰手段是对付各种电子信号的普遍方式。

　　第三，对防火墙控制技术来说，由于其无法对以隧道方式传输的加密数据包进行分析，因此可利用伪装的含有恶意代码的隧道加密数据包绕过防火墙。另外，利用网络扫描技术可以寻找因用户配置疏忽或其他原因而敞开的网络端口，从而以此为突破口对系统进行入侵。

　　第四，对认证技术来说，基于主机的认证方式大多利用主机IP地址作为认证对象，因而可利用IP地址欺骗等方式对其进行攻击。基于用户的认证方式安全性更高，对其攻击主要以缓冲区溢出和报文截获分析为主。同时，密码破译也是一种可能的攻击手段。

　　3.2 加密的脆弱性及其攻击

　　3.2.1链路层加密的脆弱性及攻击

　　（1）同步问题：链路层加密通常用在点对点的同步或异步链路中，因而在加密前需要先对链路两端的加密设备进行同步。如果链路质量较差，就需要频繁地对加密设备进行同步，从而造成数据的丢失或频繁重传。

　　（2）通信量分析：节点加密要求链路帧的地址信息以明文形式传输。以便中间节点能对其进行正确地转发处理。可以看出，这种处理方式对于通信量分析攻击是脆弱的。

　　（3）节点的物理安全依赖性：链路加密要求消息报文在中间节点以明文形式存在，从而增加了传输安全对节点物理安全的依赖性。

　　（4）密钥的分配与管理问题：链路层加密大多采用对称加密技术，所有密钥必须安全保存，并按一定的规则进行更新。由于各节点必须存储与其连接的所有链路的加密密钥，密钥的分发和更新便需要通过物理传送或建立专用的网络设施来进行。对于节点地理分布广阔的网络而言，这种密钥分发与更新的过程非常复杂，而且密钥连续分配的代价也非常高。

　　（5）密码机是实现点对点链路传输加密的常用设备，它实现单点到多点传输的成本非常高，而且其加密强度的提高会对所采用的信道传输速率有所限制，或导致较高的传输误码率。