計算機網絡邊界安全防護與管理策略探討

武警河南省總隊 河南 鄭州 450018

計算機系統之間由網絡完成聯系,由于網絡的復雜性,導致計算機系統受到網絡攻擊的威脅,在網絡邊界加強安全防護與管理就顯得尤為重要。站在理論層面來看,只有提升對網絡邊界安全的防護效果,才能有效避免網絡安全問題,保證計算機網絡運行的可靠性,減少系統受到攻擊的風險。因此我們要加強計算機網絡邊界安全防護,綜合采用多種技術手段,讓計算機網絡始終處于安全、穩定的運行狀態。

一、計算機網絡邊界安全隱患分析

當前人們非常重視計算機網絡邊界安全防護,這是因為病毒入侵變得日益頻繁,也由此研究出很多安全防護與管理方法。分析計算機網絡邊界安全隱患,通常表現在以下幾點：第一,人為操作不當。計算機網絡包含了很多復雜的內容,均要求人工方式操作,若是用戶缺乏較強的安全意識,則容易發生操作失誤的情況,并由此產生安全隱患。第二,黑客入侵行為。現階段黑客入侵技術日益成熟,很多新技術層出不窮,通過對計算機網絡系統的非法入侵,能夠竊取其中的關鍵信息,不僅導致內部重要信息出現丟失的現象,也將引起系統的癱瘓,為用戶、企業等帶來嚴重損失。第三,病毒感染。計算機感染病毒后,將出現不同程度的危害,若程度較輕,將導致系統工作效率降低,若程度嚴重,則會引起整個計算機網絡系統發生癱瘓,并造成各種重要數據丟失,主板也會因此損壞。

二、計算機網絡邊界安全防護與管理策略

(一)防火墻。防火墻是保護計算機網絡邊界安全的常用設備,能夠在不同網絡與安全域中設置一道安全屏障,達到安全訪問控制的目的。發揮防火墻的作用,能夠促使網絡內部數據流滿足合法性要求,避免進入外部非法數據流,也加強對內部網絡用戶訪問外部網絡權限的管理,在網絡環境下數據流可以在兩個不同鏈路中實現快速轉發。防火墻通過對數據流的安全訪問控制,數據若要通過應先滿足防火墻策略,否則會被拒絕。端口不使用時會被關閉,避免出現指定端口通信和指定站點訪問等[1]。在計算機網絡邊界安全防護中應用防火墻,具體作用包括以下幾點：第一,對通過網絡數據流進行過濾；第二,對進出網絡訪問行為進行管理；第三,將防火墻信息內容與活動記錄下來；第四,檢測與報警出現的網絡攻擊。

防火墻所用安全控制技術分為包過濾與應用代理服務兩種,其中對包過濾技術來說,能夠解決OSI參考模型的網絡層、傳輸層中數據安全問題,從數據分組的原地址、目的地址、端口號以及協議類型出發,設置通過的標準,達到該條件數據分組才能轉發,不滿足條件的將被丟棄。對應用代理技術來說,能夠保證應用層數據分組更加安全,一般在多個網絡中運行,避免出現兩端直接通信現象,全部通信需要由應用層進行代理轉發,防止訪問者同服務器直接連接。應用代理技術優點在于保證了代理方式的透明性,網絡各層數據通信將被篩選保護,且檢測性能好,保證了網絡的安全,不夠需要有頻繁的配置,處理效率也相對較慢。

(二)入侵檢測與防御。入侵檢測的優勢表現在能夠主動完成安全檢測和防護,在特定技術支持下,入侵檢測系統將實現對攻擊者惡意行為全過程的檢測、判斷和預警記錄,提升了計算機網絡安全防護水平。入侵檢測系統主要由三個部分構成,分別是系統信息采集部分、信息分析部分、結合策略對分析結果作出特定響應部分。第一,系統信息采集作為入侵檢測的首要環節,主要涉及系統狀態、用戶行為和網絡數據等內容。信息來源應保證廣而寬,不能局限在某個主機中的系統日志,從而保證收集的信息更加可靠與準確,能夠入侵檢測與防御提供有價值參考。第二,信息分析作為整個入侵檢測系統的核心內容,主要綜合運用多種技術分析收集的各種信息,此時主要以模式匹配技術為主。針對數據量較大的情況,應選擇系統應用的算法,只有提高了數據處理效率,才能為入侵檢測全局性帶來有利影響。第三,結合策略對分析結果作出特定響應,需考慮到Policy,確定最終行為響應,包括預警與記錄等,便于系統管理員及時掌握系統狀態等情況。

(三)數據交換網技術。防火墻主要實行關卡式防護手段,對黑客最新攻擊技術防御效果不佳,缺乏相應監控措施,為解決“人”的攻擊行為,可以應用數據交換網技術。該技術融入了緩沖區隔離的思想,在城門處打造了“數據交易市場”,構成兩個緩沖區隔離,并結合銀行系統的Clark-Wilson模型,目的能夠維護數據的完整性,不僅避免內部網絡出現數據泄密的現象,只有獲得授權才能對數據作出修改,既避免了授權用戶錯誤修改,也讓內外數據能夠保持一致[2]。近年來數據交換網技術在計算機網絡邊界安全防護中發揮著重要作用,在網絡中完成對數據的交換,類似于“土地換安全”的策略,不同網絡之間因為有了緩沖地,因此各“貿易往來”能夠保持在可控狀態。

不同于其他計算機網絡邊界安全防護技術,數據交換網技術特點表現在以下幾點：第一,設置了多種安全網關和網閘,構建了多層次的安全“關卡”。第二,因為設置有緩沖區,能夠發揮安全監控和審計的功能,由專家應對黑客入侵行為,保證計算機網絡邊界能夠得到有效控制,讓各種情況都處于監控之中。第三,業務代理能夠確保數據更加完整,外來訪問者也只能止步于網絡交換區,服務人員提供全部需求。

三、結語

總之,當前人們生活節奏越來越快,對生活質量有了更高追求,計算機網絡邊界安全問題也備受各界關注。為了提升計算機網絡邊界安全防護與管理水平,除了要做好計算機安全系統維護工作以外,也要采取防火墻、入侵檢測系統和數據交換網技術等手段,有效防范外來病毒的入侵,讓計算機網絡邊界始終處于安全可靠環境中運行。