網絡安全技術和解決方案芻議

0 引言

隨著網絡時代的發展，人們已經進入了一個全新的信息世界，世界連成了一個整體，實現了“雙腳不出門，盡知天下事”的時代發展目標。計算機技術的快速發展以及網絡安全所具有的保密性、完整性、可用性、可控性和可審查性等特征使得網絡安全愈發成為各界關注焦點。網絡安全能夠做到防范于未然，將潛在的網絡安全隱患扼殺在搖籃中，以使各自的利益得到保障。不同應用環境有不同的網絡安全類型，最常見的網絡安全類型有系統安全，網絡的安全、網絡傳播安全和信息內容安全等。計算機技術的快速發展使得網絡安全技術相關工作不斷面臨挑戰，網絡安全隱患大大增多。因此，利用網絡安全技術，解決相關問題，減少安全隱患，提升網絡安全性迫在眉睫。

1 網絡安全問題簡析

現階段的網絡安全問題主要體現在存在較多網絡隱患上，具體表現為以下六個方面。

（1）Internet作為一個沒有控制機構的開放網絡，其計算機系統很容易遭到黑客入侵，最終導致特權被盜用、重要數據被破壞、機密數據被竊取甚至是系統癱瘓的后果。

（2）TCP/IP是一種沒有信息安全措施的通信協議，而Internet所有的數據傳輸都是在此基礎上進行的，所以存在一定安全隱患。

（3）Unix是一種安全性較弱的操作系統，而 Internet中大部分的通信業務都是由該系統支持完成的，因此仍舊存在一定安全隱患。

（4）由計算機存儲、傳輸及處理的電子信息的真實性和可靠性還不能保證，其在應用層中的相關服務協議全靠彼此間的君子協定維系，安全性有待加強。

（5）電子郵件被誤投、拆看以及偽造的情況大量存在，用其傳輸機密性的信息文件時，安全系數將會大大降低。

（6）Internet在傳播過程中容易帶來計算機病毒，進而導致數據文件丟失、系統癱瘓等較為嚴重的后果。

2 網絡安全技術簡介

2.1 防火墻

防火墻通常被放置在網絡邊界地帶，用于隔離網絡內外兩部，發揮安全隔離作用，以此監控審核通信信息，確保網絡安全。防火墻結合相關安全策略，對網絡傳輸數據進行檢測分析，改變所檢測到的較為機密的數據，將內部的數據結構以及運行狀態等隱藏起來，進而使網絡安全得以保障。包過濾技術、代理技術、狀態檢測技術以及地址轉換技術是最為常見的四種防火墻技術，是依據其所采用的技術標準劃分的。防火墻是網絡安全的屏障，能夠阻止與安全策略不相符合的較為危險的網絡信息的傳播，進而提高網絡安全防護能力。防火墻對用戶權限的訪問以及數據內容的控制也是其的重要功能。除此之外，防火墻還具有網絡訪問審計和地址轉換的功能，作為連接網絡內外兩部的唯一通道，防火墻能夠記錄有關網絡的所有訪問記錄，再對其進行了較為仔細的審計和分析，并以日志信息的形式呈現出來。在此過程中，NAT服務協助防火墻實現內外部網絡的地址交換，共享資源，提高其安全性能。

2.2 入侵檢測

與防火墻不同的是，入侵檢測技術在安全防御這個過程中顯得更為主動，其實質是一種自我防御技術。入侵檢測技術通過“整理→收集→分析”這一流程對網絡中那些較為關鍵的節點信息進行處理，再判斷其是否被人入侵或者攻擊。此外，該技術還能監督系統的運轉狀況，發覺各種各樣的進攻計劃、行為或者后果，進而保障系統的完整性、機密性以及可用性。

入侵檢測技術主要有使用主機入侵的檢測和使用網絡入侵的檢測兩種方式。前者是以主機為檢測對象，將入侵檢測設置于系統之上，以避免因網絡遭到外部攻擊而造成系統不能正常運行的狀況發生。后者是以網絡為檢測對象，又可以稱是硬件檢測，該檢測是將網絡中的數據包安插在相對重要的地方，再對其進行分析和配置，一旦發現有攻擊行為存在，系統便根據有之前配置的相關安全策略阻斷網絡，以保證網絡安全。

2.3 VPN

VPN是一種利用公用網絡架設虛擬專用網絡的遠程訪問技術，其實質通過共享網絡建立一個能夠連接內部網絡的隧道。對遠程用戶來說，VPN非常實用，不僅成本較低，還能夠通過其獲取可靠安全的資源，并且在此過程中傳輸數據時的安全性也能夠得到相應保障。

隧道技術、加密和解密技術、密鑰管理技術以及身份認證技術是VPN中最主要的四種安全技術。VPN技術最主要的特點有兩個，一是能夠保障安全性，二是能夠保證 QoS的服務質量。前者主要體現在VPN能夠保證網絡傳輸中所傳輸數據的可靠性和保密性。而后者主要體現在能夠預測網絡在高峰期的使用情況，并建立一定策略機制，設置相關權限以控制執行先后順序，避免出現擁塞現象。

3 網絡安全解決方案

3.1 構建網絡安全體系

網絡服務的保密性、完整性和持續性是網絡安全體系的最主要體現，現階段的網絡應用中存在不少安全隱患，這在一定程度上影響了網絡服務的質量。所以，要提升網絡安全系數，保證網絡安全質量就不得不首先從構建網絡安全體系著手。例如，要構建一個圖書館的網絡安全體系，其具體操作流程如下。

第一，對具體的業務、系統、網絡等實際應用情況做一個全面具體的分析，建立一個初步的、具有一定整體性的安全體系結構框架。圖書館的網絡安全體系結構框架可以從存儲系統、網絡結構和自動化系統這三個方面設計。

第二，再對以上三個方面進行詳細分點設計，整理出每一方面需要設計的內容。具體如下。

（1）存儲系統方面，DAS系統的技術相對而言更具成熟性和穩定性，故而該圖書館的存儲系統可采用該系統。

（2）網絡結構方面，為免受設備物理位置的限制，可采用VLAN劃分技術，實現每一個職能部門計算機的邏輯劃分。

（3）自動化系統方面，服務器對應用訪問的熱備份需求日益增加，為滿足這一需求，圖書館在自動化系統方面可以采用雙機熱備技術。

3.2 技術與管理相結合

技術和管理的有機結合能夠更好地實現網絡安全，控制網絡內部的不安全因素的產生。此處仍以圖書館為例，具體操作如下所示。

（1）使用防火墻。DDoS和DoS的攻擊可能會使得PC機和關鍵服務器受到損害，這個時候就需要設置防火墻，并制定相關的限制訪問策略，以響應各種網絡攻擊。圖書館可以根據自身實際情況配置防火墻，以防止外部非法用戶在該圖書館網絡中自由出入，獲取資源。另外，為了保證計算機網絡系統安全，圖書館還應該隨時對系統進行升級。

（2）安裝防毒軟件。安裝防毒軟件防止病毒入侵的重要方式之一，桌面、服務器、郵件以及網關等隨時都有可能遭病毒入侵，所以設置防病毒軟件尤為必要。在選擇時，一定要選擇公認的質量較好的、升級服務較為及時的、響應和跟蹤新病毒速度較快的防病毒軟件。

（3）多重加密技術。網絡安全的威脅途徑主要來源于數據的內部傳送、中轉過程以及線路竊聽，采用多重加密技術，可以有效地提高信息數據及系統的保密性和安全性。多重加密技術主要分為幾個過程，首先是傳輸數據的加密，這是保證傳輸過程的嚴密，主要有端口加密和線路加密兩種方式。其次是數據儲存的加密，目的是為了防范數據在儲存中失密，主要方式是儲存密碼控制。最后是數據的鑒別和驗證，這包括了對信息傳輸、儲存、提取等多過程的鑒別，是一種以密鑰、口令為鑒別方式的綜合數據驗證。日常的網絡生活中，加密技術也常能看見。比如各大社交軟件、游戲賬號、郵箱等，都設有個人密碼，只不過多重加密技術是一種更高級的滲透入網絡數據傳輸各環節的一種加密形式，有效地采用多重加密技術將極大促進網絡重要數據的安全性。

3.3 制定安全問題應急策略

網絡安全事故在所難免，但是可以通過一定的措施控制其發生的頻率。制定應急措施便是不錯的方法之一。應急策略包括緊急響應計劃和災難恢復計劃。前者主要是指出在事故發生之時系統和網絡可能遭到的破壞和故障有哪些，而后者主要是指明如何及時地應對這些破壞和故障，使其恢復到正常狀態。

3.4 注重相關人員技術培訓

培訓不能僅僅只針對相關技術人員，非技術管理人員的培訓也尤為重要。現階段，無論是技術性還是非技術性員工，對網絡安全的重視程度仍舊不夠。所以，加強其網絡安全意識勢在必行。對非技術人員的培訓而言，主要是使其了解基本安全技術、能夠分辨網絡或系統中存在的安全隱患等。而對于技術人員而言，要求則相對較高，必須使其掌握相關的黑客攻擊技術，找到應對方法，并將其應用于實際工作中，以保證網絡安全等。

4 結束語

網絡安全的重要性不言而喻，但是現階段，仍舊有不少網絡安全隱患存在，所以做好網絡安全相關工作極為重要。網絡安全技術是實現網絡安全的重要保障，防火墻、入侵檢測以及 VPN等都是較為常用的網絡安全技術。利用好相關技術，構建網絡安全體系，實現管理與技術的結合、制定安全問題應急策略等措施能夠在一定程度上解決網絡安全問題，提高網絡安全性。