計(jì)算機(jī)網(wǎng)絡(luò)安全防御系統(tǒng)的實(shí)現(xiàn)及關(guān)鍵技術(shù)研究

喬 娟

（鄭州信息工程職業(yè)學(xué)院，河南 鄭州 450121）

0 引 言

科技不斷進(jìn)步和發(fā)展下，人們的生活、工作以及學(xué)習(xí)也變得愈加便捷，但由于網(wǎng)絡(luò)開(kāi)放性特點(diǎn)，導(dǎo)致任何人都可以通過(guò)網(wǎng)絡(luò)獲取資源信息，這就導(dǎo)致很多用戶的重要隱私數(shù)據(jù)被竊取，或是計(jì)算機(jī)系統(tǒng)受到木馬病毒攻擊而癱瘓。網(wǎng)絡(luò)犯罪行為愈演愈烈，為了有效杜絕此類問(wèn)題出現(xiàn)，應(yīng)尋求合理有效的技術(shù)來(lái)構(gòu)建計(jì)算機(jī)網(wǎng)絡(luò)安全防御系統(tǒng)，通過(guò)此種方式來(lái)最大程度上保障用戶數(shù)據(jù)信息安全，在規(guī)避網(wǎng)絡(luò)問(wèn)題出現(xiàn)的同時(shí)凈化網(wǎng)絡(luò)環(huán)境。綜合研究分析計(jì)算機(jī)網(wǎng)絡(luò)安全和關(guān)鍵技術(shù)相關(guān)內(nèi)容，有助于推動(dòng)安全防御技術(shù)水平提升，對(duì)于規(guī)避各種網(wǎng)絡(luò)問(wèn)題出現(xiàn)具有一定參考價(jià)值。

1 計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)存問(wèn)題分析

我國(guó)網(wǎng)民數(shù)量不斷增加，在享受計(jì)算機(jī)網(wǎng)絡(luò)帶來(lái)的便利同時(shí)，也要承擔(dān)一定的安全風(fēng)險(xiǎn)。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)不斷推陳出新，網(wǎng)絡(luò)攻擊手段也層出不窮，嚴(yán)重威脅到用戶的信息安全。就當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)安全中的典型問(wèn)題來(lái)看，主要有以下幾點(diǎn)。

1.1 病毒類型多樣化

計(jì)算機(jī)網(wǎng)絡(luò)安全的一個(gè)主要隱患就是木馬病毒入侵。計(jì)算機(jī)的病毒庫(kù)不斷更新的同時(shí)，也在不斷涌出新的計(jì)算機(jī)病毒。計(jì)算機(jī)技術(shù)飛快進(jìn)步和發(fā)展，很多計(jì)算機(jī)黑客為了鞏固技術(shù)和迎接挑戰(zhàn)，或是受到利益誘惑，催生了更多的病毒。病毒類型多樣化，為計(jì)算機(jī)網(wǎng)絡(luò)安全帶來(lái)了嚴(yán)峻挑戰(zhàn)[1]。

1.2 網(wǎng)絡(luò)攻擊形式多樣化

計(jì)算機(jī)網(wǎng)絡(luò)大范圍普及，網(wǎng)絡(luò)金融開(kāi)始受到了人們的喜愛(ài)和支持，尤其是很多企業(yè)開(kāi)始選用數(shù)字貨幣，或是通過(guò)支付寶和微信等電子支付手段進(jìn)行經(jīng)濟(jì)往來(lái)，一定程度上刺激了網(wǎng)絡(luò)病毒的肆虐。受到這一環(huán)境影響，挖礦病毒大幅度增長(zhǎng)，很多企業(yè)服務(wù)器受到挖礦病毒攻擊，不僅計(jì)算機(jī)系統(tǒng)癱瘓，而且也為企業(yè)帶來(lái)了嚴(yán)重的經(jīng)濟(jì)損失。例如，2019年勒索病毒軟件的爆發(fā)呈現(xiàn)隱蔽性強(qiáng)和攻擊目標(biāo)明確的特點(diǎn)，造成很多用戶計(jì)算機(jī)被入侵，重要數(shù)據(jù)信息丟失[2]。

1.3 人們網(wǎng)絡(luò)安全意識(shí)薄弱

盡管當(dāng)前網(wǎng)民數(shù)量不斷增加，但是我國(guó)關(guān)于網(wǎng)絡(luò)安全的教育宣傳較少，很多網(wǎng)民只看到了計(jì)算機(jī)網(wǎng)絡(luò)帶來(lái)的便利服務(wù)，卻忽視了其潛藏的安全隱患。尤其是當(dāng)前移動(dòng)智能終端頻繁更新?lián)Q代，開(kāi)始成為人們連接互聯(lián)網(wǎng)的主要載體，由此引發(fā)的網(wǎng)絡(luò)安全問(wèn)題進(jìn)一步加劇。而目前很多網(wǎng)民對(duì)網(wǎng)絡(luò)安全知之甚少，網(wǎng)絡(luò)安全意識(shí)薄弱，這也為不法分子網(wǎng)絡(luò)攻擊提供了可趁之機(jī)[3]。

2 計(jì)算機(jī)網(wǎng)絡(luò)安全防御流程

計(jì)算機(jī)的病毒種類多樣，傳播方式多樣，隱蔽性較強(qiáng)，只要計(jì)算機(jī)連接網(wǎng)絡(luò)就存在著被病毒感染的可能性。因此，迫切需要推動(dòng)計(jì)算機(jī)安全防御系統(tǒng)創(chuàng)新優(yōu)化，不斷增強(qiáng)病毒入侵和惡意攻擊等行為的防御能力。基于數(shù)據(jù)挖掘計(jì)算機(jī)的計(jì)算機(jī)安全安全防御系統(tǒng)可以通過(guò)收集病毒入侵短時(shí)內(nèi)破壞計(jì)算機(jī)數(shù)據(jù)的特點(diǎn)，快速分析病毒并加以控制，以此來(lái)維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全[3]。

數(shù)據(jù)挖掘過(guò)程較為煩瑣、抽象，且難度較大，需要在計(jì)算機(jī)網(wǎng)絡(luò)安全防御系統(tǒng)設(shè)計(jì)中綜合考量，輸入完整數(shù)據(jù)挖掘信息，遵循預(yù)設(shè)程序和流程進(jìn)行，實(shí)現(xiàn)病毒快速解析和控制，維護(hù)用戶計(jì)算機(jī)網(wǎng)絡(luò)安全。

3 計(jì)算機(jī)網(wǎng)絡(luò)安全防御系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)

3.1 安全防御功能設(shè)計(jì)

目前，網(wǎng)絡(luò)攻擊多是針對(duì)移動(dòng)智能終端和PC端，很多病毒并非是感染初期就爆發(fā)，多有一定潛伏期，加之不法分子網(wǎng)絡(luò)攻擊范圍廣，所以為保證計(jì)算機(jī)網(wǎng)絡(luò)安全防御系統(tǒng)功能完善，應(yīng)結(jié)合時(shí)代發(fā)展要求，賦予系統(tǒng)自動(dòng)化和智能化特性，主動(dòng)解析和控制病毒[4]。關(guān)于安全防御系統(tǒng)的功能來(lái)看，具體包含用戶管理功能、系統(tǒng)配置管理功能、網(wǎng)絡(luò)狀態(tài)監(jiān)控功能、安全策略管理功能、網(wǎng)絡(luò)運(yùn)營(yíng)報(bào)表功能以及網(wǎng)絡(luò)運(yùn)行日志功能等，在明確各個(gè)功能模塊要求下優(yōu)化系統(tǒng)設(shè)計(jì)。

3.2 防火墻設(shè)計(jì)

防火墻是維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的有效技術(shù)之一，應(yīng)用較為常見(jiàn)，導(dǎo)致很多人對(duì)安全防御系統(tǒng)的漏洞存在誤解，偏頗的認(rèn)為只要有防火墻就可以避免一切攻擊[5]。也正是這種錯(cuò)誤的觀念，導(dǎo)致了一系列網(wǎng)絡(luò)安全問(wèn)題出現(xiàn)，因此需要針對(duì)性改造防火墻，構(gòu)建一道限制外部用戶訪問(wèn)以及基于子系統(tǒng)安裝方法來(lái)限制內(nèi)部用戶訪問(wèn)的防護(hù)墻（如圖1所示），通過(guò)雙重防護(hù)來(lái)提升系統(tǒng)整體安全防護(hù)能力。ALG技術(shù)作為一種有效的防火墻技術(shù)，可以實(shí)現(xiàn)應(yīng)用層報(bào)文高效處理。一般情況下，NAT對(duì)報(bào)頭IP和PORT信息轉(zhuǎn)換處理不需要分析應(yīng)用層數(shù)據(jù)載荷字段，而選用ALG，識(shí)別對(duì)應(yīng)報(bào)文后對(duì)IP報(bào)頭外在和信息解析處理，地址轉(zhuǎn)換后重新計(jì)算和校驗(yàn)。具體功能有網(wǎng)絡(luò)地址轉(zhuǎn)換、數(shù)據(jù)通道檢測(cè)以及應(yīng)用層狀態(tài)檢測(cè)等。ALG可以處理的協(xié)議包括DNS、FTP、H323、SIP、HTTP、ILS、MSN/QQ、NBT、RTSP、PPTP以及TFTP等。其中，F(xiàn)TP應(yīng)用基于控制連接和數(shù)據(jù)連接方式實(shí)現(xiàn)，而且數(shù)據(jù)連接的建立動(dòng)態(tài)地由控制連接的載荷信息決定，因此選用ALG技術(shù)可以高效處理載荷字段信息，構(gòu)建對(duì)應(yīng)的數(shù)據(jù)包。

圖1 防火墻

3.3 加密技術(shù)

數(shù)據(jù)傳輸過(guò)程中，如果安全防護(hù)不到位很容易被竊取重要信息，因此需要對(duì)數(shù)據(jù)信息傳輸系統(tǒng)加密處理。二進(jìn)制屬于一種密文，解密后即可變成可以看懂的文字，即明文。明文轉(zhuǎn)化為無(wú)法理解的數(shù)據(jù)文本，即密文，而這個(gè)轉(zhuǎn)化過(guò)程就是數(shù)據(jù)加密，主要是通過(guò)網(wǎng)絡(luò)七層協(xié)議實(shí)現(xiàn)，有鏈路和端對(duì)端兩種形式，均是借助數(shù)據(jù)加密技術(shù)分析邏輯位置來(lái)達(dá)成保護(hù)數(shù)據(jù)信息安全的目的[6]。計(jì)算機(jī)網(wǎng)絡(luò)中，RSA公司中的MD5算法應(yīng)用較為廣泛，聯(lián)合應(yīng)用SKIP協(xié)議可以實(shí)現(xiàn)數(shù)據(jù)加密處理，如Kerberos服務(wù)的telnet、rlogion與NFS等以及電子郵件加密的PEM和PCP技術(shù)，加密技術(shù)較為簡(jiǎn)單，不需要電子信息過(guò)高的網(wǎng)絡(luò)安全性能要求。

3.4 數(shù)字簽名與認(rèn)證技術(shù)

數(shù)字推行User Name/Password認(rèn)證，作為一種常見(jiàn)的認(rèn)證方式，多是用于系統(tǒng)登錄rlogin和telnet等，過(guò)程不需要加密，Password容易被解密和監(jiān)聽(tīng)。摘要算法的認(rèn)證Radius、SNMP Security Protocol以及OSPF（路由協(xié)議）等，可以實(shí)現(xiàn)Security Key共享。摘要算法本身屬于不可逆過(guò)程，認(rèn)證期間無(wú)法計(jì)算共享Security Key，不在網(wǎng)絡(luò)上傳輸信息。一般情況下，摘要算法MD5和SHA-1是市場(chǎng)上應(yīng)用較為廣泛的技術(shù)[7]。

數(shù)字簽名，驗(yàn)證發(fā)送者身份信息完整性，RSA基于私有和公共密鑰對(duì)，作為驗(yàn)證發(fā)送者身份和消息完整性的根據(jù)。CA可以選擇私有密鑰來(lái)計(jì)算數(shù)字簽名，提供公共密鑰，每個(gè)人都可以驗(yàn)證簽名真實(shí)性。通信雙方借助Diffie-Hellman密鑰系統(tǒng)，實(shí)現(xiàn)保密密鑰安全共享，并對(duì)密鑰信息加密處理。此種密鑰匙借助CA驗(yàn)證，密鑰數(shù)量和通信者數(shù)量呈現(xiàn)線性關(guān)系。數(shù)字簽名驗(yàn)證過(guò)程如圖2所示。

圖2 數(shù)字簽名驗(yàn)證過(guò)程

3.5 人工智能

人工智能是相較于常規(guī)人工操作的安全系統(tǒng)，可以更加智能、高效，減少人為主觀意識(shí)帶來(lái)的不良影響，提升網(wǎng)絡(luò)安全防御能力。由于網(wǎng)絡(luò)接入形式多樣，攻擊手段也不盡相同，通過(guò)應(yīng)用人工智能技術(shù)可以深層次挖掘和分析潛在問(wèn)題，形成主動(dòng)防御模型，及時(shí)發(fā)現(xiàn)和清除計(jì)算機(jī)網(wǎng)絡(luò)中的木馬病毒，并進(jìn)一步追蹤網(wǎng)絡(luò)病毒來(lái)源所在，從源頭上解決問(wèn)題，保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)不受攻擊[8]。

4 計(jì)算機(jī)網(wǎng)絡(luò)安全防御系統(tǒng)關(guān)鍵技術(shù)

4.1 求精模型

設(shè)計(jì)求精模型本質(zhì)上是限制訪問(wèn)計(jì)算機(jī)網(wǎng)絡(luò)用戶的權(quán)限，核實(shí)與查驗(yàn)用戶身份信息，進(jìn)而實(shí)現(xiàn)用戶身份信息管理。實(shí)時(shí)監(jiān)測(cè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行情況，針對(duì)系統(tǒng)中的漏洞重點(diǎn)檢測(cè)，及早發(fā)現(xiàn)潛在安全隱患，避免計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)遭受突然襲擊，始終可以保持正常狀態(tài)使用。快速響應(yīng)，具有控制計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)啟動(dòng)、關(guān)閉以及限制性訪問(wèn)功能，計(jì)算機(jī)網(wǎng)絡(luò)快速響應(yīng)可以有效提升整體安全性。恢復(fù)策略用于操作層策略重建，支持在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)內(nèi)部安裝漏洞補(bǔ)丁，提升系統(tǒng)安全防御性能[9]。

計(jì)算機(jī)網(wǎng)絡(luò)安全防御系統(tǒng)的關(guān)鍵性技術(shù)主要有以下兩種。一種是結(jié)構(gòu)語(yǔ)義一致性分析技術(shù)，可以滿足底層或高層策略需要，彼此之間形成相互對(duì)應(yīng)關(guān)系，需要在此基礎(chǔ)上維持實(shí)例語(yǔ)義一致。二是概念語(yǔ)義一致性分析技術(shù)，在計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域，通過(guò)特定語(yǔ)言形式來(lái)表達(dá)語(yǔ)義關(guān)系，從中提取修飾詞與核心詞，創(chuàng)建不同語(yǔ)義模型。

4.2 關(guān)鍵技術(shù)完善措施

為了推動(dòng)計(jì)算機(jī)網(wǎng)絡(luò)安全防御系統(tǒng)技術(shù)水平，應(yīng)契合實(shí)際情況積極構(gòu)建完善的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)體系，持續(xù)推動(dòng)技術(shù)創(chuàng)新，并組織相關(guān)人員參與技術(shù)培訓(xùn)，在完善的管理機(jī)制支持下穩(wěn)步推進(jìn)和落實(shí)計(jì)算機(jī)網(wǎng)絡(luò)安全防御工作。增加資金投入，完善配套的防護(hù)墻和數(shù)據(jù)加密設(shè)施，設(shè)置訪問(wèn)限制，禁止訪問(wèn)不明站點(diǎn)，避免為不法分子帶來(lái)可趁之機(jī)，維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全防御系統(tǒng)運(yùn)行。

與此同時(shí)，完善和創(chuàng)新現(xiàn)有的計(jì)算機(jī)網(wǎng)絡(luò)反病毒技術(shù)。對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)中的重要數(shù)據(jù)文件需要定期備份，即便計(jì)算機(jī)系統(tǒng)崩潰，仍然可以保證重要數(shù)據(jù)不丟失，維護(hù)用戶信息安全[10]。設(shè)置網(wǎng)絡(luò)訪問(wèn)權(quán)限，依據(jù)對(duì)應(yīng)權(quán)限訪問(wèn)互聯(lián)網(wǎng)，有效避免不法分子入侵計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，此外使用掃描技術(shù)，聯(lián)合反病毒技術(shù)，創(chuàng)設(shè)安全可靠的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境，對(duì)于維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全具有積極作用。

5 結(jié) 論

計(jì)算機(jī)網(wǎng)絡(luò)安全是當(dāng)前社會(huì)備受關(guān)注的熱點(diǎn)話題之一，為了充分發(fā)揮計(jì)算機(jī)網(wǎng)絡(luò)的優(yōu)勢(shì)作用，應(yīng)積極推動(dòng)配套安全防御系統(tǒng)升級(jí)優(yōu)化，構(gòu)建完善的安全管理體系，便于深層次挖掘和解決安全問(wèn)題，最大程度上保障用戶數(shù)據(jù)信息安全。