計(jì)算機(jī)應(yīng)用中網(wǎng)絡(luò)安全防護(hù)體系構(gòu)建研究

（安康職業(yè)技術(shù)學(xué)院，陜西安康市，725000） 魏恩志

對網(wǎng)絡(luò)項(xiàng)目的安全管理進(jìn)行深入探討，為網(wǎng)絡(luò)企業(yè)或?qū)W校的安全管理、提高企業(yè)或?qū)W校的經(jīng)濟(jì)效益、推動企業(yè)或?qū)W校的發(fā)展提供了理論依據(jù)，如何使我國的網(wǎng)絡(luò)管理能夠順利、穩(wěn)定地進(jìn)行下去，就顯得尤為重要。有效實(shí)施計(jì)算機(jī)網(wǎng)絡(luò)安全管理，是促進(jìn)經(jīng)濟(jì)快速發(fā)展的重要保證。由于計(jì)算機(jī)網(wǎng)絡(luò)中的各種問題時有發(fā)生，造成我國每年都出現(xiàn)巨大的財產(chǎn)損失。由于我國的計(jì)算機(jī)產(chǎn)業(yè)發(fā)展相對滯后，與世界上其它國家相比存在著一定的差距。通過采取切實(shí)、有效的措施，可以在一定程度上改善我國的計(jì)算機(jī)產(chǎn)業(yè)管理，從而提升國內(nèi)計(jì)算機(jī)產(chǎn)業(yè)的國際競爭力。通過網(wǎng)絡(luò)管理，保證網(wǎng)絡(luò)的安全，最大限度地防止計(jì)算機(jī)的漏洞，達(dá)到保護(hù)的目的，從而提高企業(yè)或?qū)W校的競爭資本，實(shí)現(xiàn)高效的安全管理已經(jīng)成為當(dāng)今計(jì)算機(jī)產(chǎn)業(yè)和安全保護(hù)公司的當(dāng)務(wù)之急。

1 個案分析

1.1 企業(yè)或?qū)W校原有的基本狀況

四樓辦公樓內(nèi)網(wǎng)，大約有150 臺計(jì)算機(jī)PC，邊框裝置是深信服的網(wǎng)絡(luò)行為管理裝置，只有1 個核心服務(wù)服務(wù)器，用于應(yīng)用系統(tǒng)、文件保存和共享，網(wǎng)絡(luò)設(shè)備交換器僅使用基礎(chǔ)交換機(jī)的功能，并在一個“工作組”模式下進(jìn)行二層數(shù)據(jù)交換。

1.2 存在的問題和現(xiàn)狀

1.2.1 缺乏防范互聯(lián)網(wǎng)的威脅

只使用深信服的上網(wǎng)行為管理裝置進(jìn)行人員身份識別、認(rèn)證和簡單的安全威脅保護(hù)，就會產(chǎn)生以下的安全隱患，沒有專門的防火墻、IPS、安全網(wǎng)關(guān)等安全保護(hù)設(shè)施，對來自互聯(lián)網(wǎng)的惡意攻擊、惡意入侵進(jìn)行有效的防御及控制。在外部通過病毒、嗅覺等手段，可以更方便地獲取使用者的相關(guān)信息，從而非法、越權(quán)地進(jìn)入公司的業(yè)務(wù)系統(tǒng)，擾亂系統(tǒng)的正常運(yùn)轉(zhuǎn)，竊取公司的商業(yè)機(jī)密，并導(dǎo)致信息泄漏。

1.2.2 惡意程序終端機(jī)病毒的攻擊

所有的終端計(jì)算機(jī)都沒有安裝公司版本的防病毒軟件，所有的工作人員都是通過網(wǎng)絡(luò)上下載的單機(jī)防病毒軟件來進(jìn)行簡單的保護(hù)，或者在沒有任何保護(hù)的情況下進(jìn)行裸機(jī)操作。在裸機(jī)上運(yùn)行的計(jì)算機(jī)容易受到病毒、木馬等惡意軟件的攻擊，從而使計(jì)算機(jī)軟件和系統(tǒng)受到損害，甚至可以盜用公司的機(jī)密文件，造成信息泄漏，造成利益受損。

1.3 網(wǎng)絡(luò)安全體系結(jié)構(gòu)改進(jìn)計(jì)劃

1.3.1 網(wǎng)絡(luò)邊界的安全保護(hù)

在互聯(lián)網(wǎng)的邊界和分公司之間設(shè)置防火墻，網(wǎng)絡(luò)與企業(yè)或?qū)W校內(nèi)部網(wǎng)的安全、公司和總部的網(wǎng)絡(luò)的安全，建立一個合理的、高效的防火墻安全篩選規(guī)則，用于協(xié)議、端口和源目的地址、外網(wǎng)的流量審查工作，對非法進(jìn)入的用戶進(jìn)行嚴(yán)格的監(jiān)控，僅開啟HTTP、FTP、SMTP、POP3 和其它需要的服務(wù)，可以防止拒絕服務(wù)攻擊，病毒傳播，嗅探入侵。

1.3.2 實(shí)現(xiàn)對上網(wǎng)行為的綜合控制

使用更好的網(wǎng)絡(luò)行為管理設(shè)備。加強(qiáng)應(yīng)用程序的控制和流量管理，對非工作相關(guān)的網(wǎng)絡(luò)應(yīng)用進(jìn)行管控，并采用多種流量控制技術(shù)，防止帶寬資源的浪費(fèi)，保證核心業(yè)務(wù)的帶寬。

1.3.3 VLAN的配置管理

由于各層的使用者被分成了不同的VLAN，因此從各個端口收到的消息都會被限制在各自的VLAN 中，這樣就可以將廣播領(lǐng)域與虛擬工作組分開。當(dāng)發(fā)生病毒、惡意攻擊、網(wǎng)絡(luò)中斷等突發(fā)事件時，可快速地跟蹤源頭計(jì)算機(jī)所在的樓層或部門，以加快事件處理的速度。

1.3.4 AD領(lǐng)域管理的實(shí)現(xiàn)

配置DC1.XX.COM 和DC2.XX.COM.COM 兩臺域控制器，為每位員工建立一個域名的注冊域名，界定使用者與計(jì)算機(jī)組態(tài)的群組政策，加強(qiáng)安全，對非工作應(yīng)用程序的使用者進(jìn)行有效的控制，降低IT 管理人員的工作壓力，使他們的生產(chǎn)力得到提升。

1.3.5 終端病毒防護(hù)的部署

部署一套趨勢技術(shù)公司版本的終端防病毒系統(tǒng)：建立一套趨勢防病毒系統(tǒng)，PC 端安裝防病毒客戶端，對病毒進(jìn)行統(tǒng)一的保護(hù)，并能及時發(fā)現(xiàn)網(wǎng)絡(luò)中的病毒，可以有效的防范和清除病毒，增強(qiáng)用戶終端的安全。

1.3.6 在新構(gòu)建的網(wǎng)絡(luò)中執(zhí)行一個缺陷掃描測試

利用XX 漏洞的掃描與管理系統(tǒng)，從系統(tǒng)級到組態(tài)，再到各個終端的掃描。對該系統(tǒng)的漏洞進(jìn)行掃描，發(fā)現(xiàn)4 個中危漏洞，其中以微軟的補(bǔ)丁為重點(diǎn)，通過網(wǎng)絡(luò)及時的升級來解決，一般的用戶終端不存在安全漏洞。

2 網(wǎng)絡(luò)環(huán)境下計(jì)算機(jī)系統(tǒng)所面臨的威脅

2.1 內(nèi)部控制薄弱

計(jì)算機(jī)的結(jié)構(gòu)雖然復(fù)雜，但其內(nèi)部結(jié)構(gòu)非常復(fù)雜，計(jì)算機(jī)中央處理器（CPU）是一個非常復(fù)雜的系統(tǒng)，其負(fù)責(zé)外部的保護(hù)，但并不代表中央處理器就是絕對的安全，CPU 結(jié)構(gòu)越是復(fù)雜就越是容易出錯。如果出現(xiàn)運(yùn)行錯誤，內(nèi)部網(wǎng)絡(luò)就會不穩(wěn)，輕則消息外泄，重則甚至整個防御系統(tǒng)都會徹底崩潰。通常終端違規(guī)連接、網(wǎng)絡(luò)信息內(nèi)外交流和媒體交叉利用是內(nèi)網(wǎng)信息泄漏的重要途徑。

2.2 “黑客”攻擊

Windows 從誕生之初就與各種漏洞緊密相連，并且隨著時間的流逝，將會有更多的漏洞被發(fā)現(xiàn)并被利用，有些罪犯會利用這個漏洞，進(jìn)行非法的行為，如在受害者的計(jì)算機(jī)上安裝“黑客”軟件，然后盜取密碼、密碼之類的東西，從而讓計(jì)算機(jī)癱瘓。由于其高度隱蔽性，網(wǎng)絡(luò)“黑客”是最大的威脅，可以利用自己的計(jì)算機(jī)上的特定程序，來控制別人的計(jì)算機(jī)，從而獲取自己的信息。

2.3 病毒入侵

計(jì)算機(jī)病毒作為一種可以損傷計(jì)算機(jī)并且破壞其系統(tǒng)、具有自我復(fù)制能力的代碼或者程序，計(jì)算機(jī)一旦遭受到病毒的入侵，其就會潛伏在計(jì)算機(jī)中，時時刻刻影響著計(jì)算機(jī)系統(tǒng)的正常運(yùn)行。一般條件下，病毒在侵害計(jì)算機(jī)期間，何可可以在自身計(jì)算機(jī)上采取特定的程序?qū)ζ溥M(jìn)行控制，進(jìn)而對他人計(jì)算機(jī)進(jìn)行遠(yuǎn)程控制，查看關(guān)鍵信息。一般的計(jì)算機(jī)病毒會以郵件或者是軟件為載體，貿(mào)然使用或者下載很容易使計(jì)算機(jī)感染上病毒。

3 構(gòu)建計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)體系的關(guān)鍵技術(shù)

3.1 漏洞補(bǔ)丁與系統(tǒng)漏洞掃描技術(shù)

從根本上說，計(jì)算機(jī)系統(tǒng)本身就是一個龐大而復(fù)雜的程序，一旦程序與網(wǎng)路有了聯(lián)系，程序本身的缺點(diǎn)一旦被惡意使用，就會演變?yōu)橛?jì)算機(jī)風(fēng)險，此時就有有可能被木馬、病毒等入侵或者是遭受黑客攻擊。根據(jù)漏洞的大小對計(jì)算機(jī)造成的傷害程度也不盡相同，一般情況下，大的漏洞可以被及時發(fā)現(xiàn)并修補(bǔ)，但小漏洞數(shù)量很多，而且很難被發(fā)現(xiàn)，要想找到需要花費(fèi)大量的時間和精力。

漏洞掃描技術(shù)是一種自動掃描、發(fā)現(xiàn)和修復(fù)技術(shù)，主要是為了防止計(jì)算機(jī)系統(tǒng)出現(xiàn)漏洞，通過對系統(tǒng)的定期掃描來保證系統(tǒng)的穩(wěn)定性和安全性，防止計(jì)算機(jī)受到攻擊和傷害。一旦發(fā)現(xiàn)漏洞就必須修復(fù)，確保不會再被人利用。

3.2 防火墻技術(shù)

目前這種防火墻技術(shù)有地址轉(zhuǎn)換、代理防火墻、過濾防火墻等幾種方式，其作用就是切斷網(wǎng)絡(luò)的危險傳播，將使用者的計(jì)算機(jī)隔離，從而保證計(jì)算機(jī)的安全，是內(nèi)外網(wǎng)通信中最重要的一種控制存取技術(shù)。利用防火墻技術(shù)可以根據(jù)使用者的要求，為不同的外部網(wǎng)絡(luò)提供不同的安全保護(hù)級別和策略。用戶是否可以進(jìn)行數(shù)據(jù)通訊，如果發(fā)現(xiàn)了敏感的信息，就會自動組織程序的執(zhí)行，從而干擾數(shù)據(jù)的傳送，實(shí)現(xiàn)對計(jì)算機(jī)網(wǎng)絡(luò)的安全保護(hù)。

3.3 入侵檢測技術(shù)

入侵檢測技術(shù)是一種主動防御技術(shù)，其可以用于各種技術(shù)開發(fā)的或與當(dāng)前網(wǎng)絡(luò)環(huán)境相適應(yīng)的安全規(guī)范，并能根據(jù)這些規(guī)律對用戶從網(wǎng)絡(luò)中獲得的數(shù)據(jù)進(jìn)行相關(guān)分析，從而實(shí)現(xiàn)對網(wǎng)絡(luò)工作狀況的監(jiān)測，最后確定網(wǎng)絡(luò)中有沒有安全隱患。同時這一功能的作用在于，當(dāng)系統(tǒng)所保護(hù)的資料處于解密狀態(tài)時，可以自動切斷現(xiàn)有的網(wǎng)絡(luò)連接，從而保證加密系統(tǒng)中的加密保護(hù)區(qū)的資料不會遭到惡意的攻擊和盜用。

3.4 計(jì)算機(jī)網(wǎng)絡(luò)管理技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)管理技術(shù)并非針對的是用戶電腦所進(jìn)行的安全防護(hù)技術(shù)工作，其是一種應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)的管理技術(shù)。網(wǎng)絡(luò)管理技術(shù)可以提高信息交換、數(shù)據(jù)傳輸?shù)臉?biāo)準(zhǔn)化、安全，提高對突發(fā)事件的跟蹤和分析能力。最常用的就是身份驗(yàn)證技術(shù)，可以確保用戶的每一次網(wǎng)絡(luò)行為都會被服務(wù)器所記錄和監(jiān)視，從而及時的發(fā)現(xiàn)和制止黑客的非法行為，從而防止和阻斷病毒的蔓延。一般有效的辦法是采用“計(jì)算機(jī)域”的管理技術(shù)，使得該領(lǐng)域能夠?qū)W(wǎng)絡(luò)中的電腦進(jìn)行嚴(yán)密的控制，從而避免了對系統(tǒng)的最高權(quán)限的濫用。

3.5 數(shù)據(jù)加密與簽名技術(shù)

數(shù)據(jù)加密和數(shù)字簽名技術(shù)在目前的計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)中起到的效果相似，都是一種加密文件信息后在網(wǎng)絡(luò)中傳播與交流的一種防護(hù)技術(shù)。這中技術(shù)可以有效避免和控制信息在傳輸期間被截取或者惡意篡改所帶來的危害，如果數(shù)據(jù)進(jìn)行加密，很難被破壞，在一定程度上保障了信息的安全性。

4 構(gòu)建計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)體系的主要策略

4.1 加強(qiáng)防護(hù)技術(shù)與管理人員的教育與培訓(xùn)

提升技術(shù)人員與管理人員的綜合素質(zhì)是保障計(jì)算機(jī)網(wǎng)絡(luò)被安全防護(hù)的重要基礎(chǔ)，因此需要加強(qiáng)對計(jì)算機(jī)防護(hù)技術(shù)人員和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的相關(guān)管理人員的安全教育和培訓(xùn)，提升個人的防護(hù)意識，減少計(jì)算機(jī)網(wǎng)絡(luò)遭受病毒入侵的概率。

對于管理人員而言，需要對其進(jìn)行定期培訓(xùn)，包含管理人員的綜合素質(zhì)和安全意識，進(jìn)而實(shí)現(xiàn)安全管理體系的建立。且對于安全教育培訓(xùn)的內(nèi)容和方法來講，還可借鑒國外一些先進(jìn)安全管理的經(jīng)驗(yàn)來提升管理水平，也可通過視頻來借鑒國內(nèi)外有效安全防護(hù)管理的經(jīng)典案例，使工作人員汲取教訓(xùn)，并明確相關(guān)危險因素出現(xiàn)的原因，提出關(guān)鍵防范措施，以此來警醒所有工作人員。

4.2 采取先進(jìn)的技術(shù)手段

基于上文分析，目前計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)所保護(hù)的技術(shù)手段數(shù)量較多，因此如何去選擇先進(jìn)的技術(shù)手段來保障計(jì)算機(jī)網(wǎng)絡(luò)安全是目前所需關(guān)注的重點(diǎn)。目前我國在計(jì)算機(jī)網(wǎng)絡(luò)安全方面的管理方法和手段相比于西方發(fā)達(dá)國家還存在一定的差距，所以國家需要積極引進(jìn)西方先進(jìn)的防護(hù)手段和技術(shù)設(shè)備，將西方先進(jìn)的科技成果和理論成果應(yīng)用到我們的計(jì)算機(jī)安全技術(shù)中去，實(shí)現(xiàn)計(jì)算機(jī)應(yīng)用網(wǎng)絡(luò)安全防護(hù)體系的快速構(gòu)建。

5 結(jié)語

綜上所述，計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)體系的構(gòu)建，需要結(jié)合目前計(jì)算機(jī)網(wǎng)絡(luò)中所可能遭受到的威脅和危險因素，并結(jié)合各種科學(xué)技術(shù)的分析，選擇適合的防護(hù)技術(shù)，在提升計(jì)算機(jī)應(yīng)用安全的同時，也為企業(yè)、學(xué)校等部門提供安全有效的數(shù)據(jù)內(nèi)容。