計算機網絡安全問題及防護對策

◆董漢霞 呂東鋒 商乙山

（河南省軍區數據信息室 河南 450000）

計算機網絡安全具有機密性、完整性、可用性、可控性、可審查性的特點，由于計算機自身的脆弱性、開放性和自由性，使計算機網絡難免存在安全問題，因此，要分析計算機網絡安全問題及其成因，并采取針對性措施，加強內網防護：

1 計算機內部網絡的常見安全問題及成因

計算機內部網絡存在的安全問題主要包括：客戶端存在系統漏洞，沒有及時更新補丁，缺乏統一的內部網絡安全策略；筆記本電腦和移動存儲設備隨意接入計算機內部網絡，導致內部網絡信息安全受到威脅；缺乏對計算機內部網絡的點對點監控，對于網絡客戶端的應用軟件缺乏統一化的管理，無法快速、準確、有效地進行對計算機網絡安全事件的響應。

2 計算機網絡安全防護對策

計算機網絡安全防護最常見的網絡安全模型是PDRR 模型，也即：Protection（防護）、Detection（檢測）、Response（響應）、Recovery（恢復），如下圖所示：

圖1 計算機網絡安全模型

防護是預先阻止網絡攻擊事件的發生，是網絡安全的首道屏障；檢測是采用入侵檢測系統和工具，及早檢測出網絡入侵問題，是第二道安全屏障；響應是在發生網絡攻擊（入侵）事件后進行處理，恢復到安全狀態，包括系統恢復和信息恢復。

2.1 計算機內網終端安全防護管理系統的設計方案和應用

在計算機網絡安全防護管理系統之中，主要采用三級結構，即：探測器主要監聽網絡動態變化情況；管理中心主要進行計算機網絡數據處理、存儲安全管理；控制臺中樞則通過管理界面、事件查看系統和報表查看系統進行操作和管理，負責網絡數據的轉換、交互和策略分發等工作，并依據報警等級進行安全事件的自動響應、安全檢測、監視。

2.1.1 安全防護管理系統接入控制

計算機網絡系統要對接入網絡的終端進行掃描、認證和安全檢測，判定接入網絡終端的合法性，查詢其是否安裝殺毒軟件、防火墻，并綁定IP 地址、MAC 地址，合格后方可接入內網，并對其進行監測和審計。

（1）終端接入控制。基于802.1X 協議實施終端訪問控制和認證，在認證服務器、核心交換機、用戶認證交換機、用戶終端的支持下，通過不同的通道開展認證業務。同時，要考慮計算機網絡的規模，合理選取不同的認證組網方式，如：集中式組網、分布式組網、本地認證組網等。

（2）地址綁定。主要采用TCP/IP 協議進行地址綁定，IP 協議對應網絡層，使網絡主機的IP 地址與其物理地址相對應，能夠采用對應的IP 地址訪問網絡資源。

（3）終端監控。由監視服務器實現對計算機網絡終端桌面的監視，并生成終端屏幕監控視圖，還利用Windows 系統消息處理平臺進行應用程序的監控，及時獲悉和判斷計算機網絡終端用戶的行為。

（4）補丁分發。通常由網絡管理員進行補丁分發工作，主要是通過內網部署WSUS 服務器，再利用WSUS 服務器從網站下載系統補丁，由內網WSUS 服務器將該補丁信息傳送至內網終端用戶，實現統一的安全設置，避免內網管理的人為漏洞，提高計算機內部網絡終端的更新效率。

2.1.2 日志審計平臺的應用

在日志審計平臺之中包括各級模塊，即：日志采集代理模塊、日志采集中心模塊、日志審計中心模塊和日志存儲中心模塊。具體來說，由日志采集代理模塊采集計算機網絡數據，使之具有高可靠性、高準確性和高效性，能夠幫助審計系統通過匹配關鍵詞來檢測網絡攻擊或入侵。由日志采集中心模塊接收并緩存各類日志數據，體現出高可靠性和安全性。由日志審計中心模塊采集日志采集中心轉發的系統日志數據，進行關鍵詞匹配檢測和響應處理。由日志存儲中心進行日志數據的分類檢索、數據挖掘、統計分析和存儲。

2.1.3 安全聯動技術的應用

采用防火墻和入侵檢測系統的安全聯動技術，通過開放式接口實現安全聯動，可以將入侵檢測系統嵌入到防火墻之中，形成嵌入式的安全聯動防護，防止偽造地址實施身份替代攻擊，并有效防止攻擊者化身為入侵檢測系統而導致的網絡安全問題。

2.1.4 入侵檢測技術的應用

（1）防火墻系統的應用。利用防火墻審查通信的IP 源地址、目的地址及端口號，實現對路由器、主機網關、子網的屏蔽，較好地控制網絡進出行為。

（2）入侵檢測系統。通過主動的網絡安全防護策略，從系統內部和網絡資源中采集各種信息數據，進行計算機網絡入侵或攻擊行為分析和預測。

（3）硬件加密機。采用TCP/IP 協議進行硬件加密機和主機之間的通信，能夠支持RSA、DES、SDHI、MD5 等多種密碼算法，包括三層密鑰體系，即：本地主密鑰、傳輸主密鑰、工作密鑰等，為計算機網絡提供安全保密的數據通信服務。

可以在計算機網絡中配置開源、分布式的Snort 入侵檢測系統，通過調用外部捕包程序庫來抓包，捕獲發往計算機網絡主機的數據包，再由包解碼器進行解碼，按照數據鏈路層、網絡層、傳輸層進行逐層解析，再進入預處理程序，由檢測引擎對每個包進行入侵檢測。

2.2 計算機網絡安全預警系統的構建

要構建針對網絡行為的計算機網絡安全預警系統，在對網絡使用行為進行分析和預測的前提下，進行及時快速的預警和響應，有效提高計算機網絡的可靠性和安全性。如下圖2所示。

圖2 計算機網絡安全預警系統模型圖

2.2.1 數據采集模塊的應用

該模塊實時采集受監控子網的數據信息，并進行數據流信息的預處理、統計查詢和分析預測，最后將其存儲于NetFlow 數據庫之中。

2.2.2 網絡行為分析模塊的應用

依據源IP、目的IP、源端口、目的端口、數據包數量等基礎特征值數據，進行網絡行為特征的提取、統計和分析處理。同時，要構建網絡行為分析功能模型，采用聚類分析和關聯分析的方法，構建網絡使用行為序列和模式，進行網絡行為特征分析、檢測，以此作為計算機網絡安全策略決策的依據和參考。

2.2.3 網絡行為預測模塊的應用

在挖掘獲悉計算機網絡使用行為模式之后，要生成網絡使用行為帶權有向圖，獲悉不同網絡使用行為之間的關聯性，再利用系統模型進行網絡使用行為預測，進行網絡使用行為權值的實時調整，提高計算機網絡安全預警系統的精準性。

2.2.4 網絡預警及響應模塊的應用

在網絡預警模塊的應用之中，該模塊主要鑒定和識別網絡用戶行為，判定其是否屬于攻擊行為，對攻擊行為的類別、企圖、對象、范圍、可能造成的后果進行分析，并生成計算機網絡安全預警報告表。

在策略響應模塊中，主要在發現或預測攻擊行為時采取對應的應急處置和響應，并生成記錄日志，快速高效地擬定計算機網絡安全防護策略。

2.2.5 信息發布模塊的應用

該模塊提供直接面向用戶的交互性界面，向網絡管理員直觀展示檢測到的網絡使用行為特征信息，為其提供數據庫和狀態監控功能，分類存儲于不同的數據庫，如：用戶行為模式數據庫、特征值數據庫、有向圖數據庫等。

3 小結

綜上所述，計算機網絡安全防護極其復雜，要構建計算機網絡安全預警系統，進行網絡使用攻擊行為的分析和趨勢預測，有效提高計算機網絡安全防護能力。后續還要采集更多的數據進行算法優化和分析，并要加強計算機網絡數據分析平臺與傳統防御措施的聯動性，有效提高計算機網絡安全防御收斂速度，切實保障計算機網絡安全和可靠性。