計算機通信網絡安全與防護策略分析

榮華良，張芝雨

（許昌職業技術學院機電與汽車工程學院，河南 許昌 461000）

1 計算機通信網絡安全防護概述

計算機通信網絡具有極強的開放性特點，內部網絡布線相對復雜，極易導致計算機網絡數據信息傳輸泄密等安全問題。由于相關軟件設計缺乏對使用環境的充分協調和考慮，在計算機通信協議、軟件應用系統方面存在一定的缺陷和漏洞，導致一些不法分子對計算機通信網絡信息進行竊取和盜用，威脅計算機通信網絡用戶的安全。同時，計算機病毒對計算機網絡是一種常見的安全威脅，可以通過自我復制的方式對計算機程序進行破壞甚至強行摧毀，極大地影響了計算機通信網絡系統的正常運行。為此，要重點關注計算機通信網絡的安全防護問題，分析其中存在的各種影響因素，保證計算機通信網絡系統數據的安全[1]。

2 影響計算機通信網絡安全的因素

2.1 計算機通信網絡自身缺陷

計算機通信網絡數據傳輸面臨一定的安全威脅，在一定程度上受到計算機通信網絡自身布線、軟件開發與設計等方面的局限。由于計算機通信網絡自身存在的缺陷，引發數據安全與漏洞等問題，導致計算機通信網絡數據丟失或被篡改等，極大地威脅計算機通信網絡的安全。

2.2 人為因素

計算機通信網絡運行離不開人的操作，在此過程中若因用戶自身操作不當或缺乏對計算機通信網絡的了解，則會導致數據信息面臨被篡改、盜取、丟失等安全風險。另外部分計算機網絡用戶缺乏對軟件安全性能的全面考慮，缺乏安全意識和觀念，在身份認證、設定密碼等方面存在欠缺，導致自身的數據信息被泄露[2]。

2.3 環境因素

計算機網絡軟、硬件系統是安全運行不可缺少的環境。隨著軟、硬件更新速度的不斷加快，計算機通信網絡協議制定工作明顯滯后，難以及時有效地支持當前運行環境的需求，導致計算機通信網絡面臨被攻擊的威脅。同時，軟、硬件系統的更新也存在運行參數不相匹配的問題，導致各種參數指令出現錯誤代碼，從而增大了計算機通信網絡的安全風險[3]。

3 計算機通信網絡安全防護策略分析

3.1 增強計算機網絡安全防護意識

從計算機通信網絡管理層面來看，計算機通信網站軟件后臺管理者要增強自身的網絡通信安全意識，充分認識到計算機通信網絡安全的重要性，做好安全教育和培訓，提升計算機通信網絡管理系統相關人員的安全意識和觀念，掌握最新的計算機通信網絡安全防護技術和能力，研發應用安全系數更高的網站或軟件登錄系統，密切監控計算機通信網絡中的不安全動向，確保計算機通信網絡的安全與穩定。同時，考慮到計算機通信網絡環境中人員因素極其復雜，計算機通信設備維護及更新通常由網絡工作人員完成，要加強計算機通信網絡工作人員的內部管理，避免工作人員獲取用戶的數據及隱私信息進行非法牟利。

從計算機通信網絡用戶的層面來看，還需增強計算機通信網絡用戶的安全意識，要求計算機通信網絡用戶掌握常見的互聯網通信防御措施和步驟，了解簡單的密碼登錄、訪問控制手段等內容，通過密碼登錄設定私密的明文密碼，有效保護計算機通信網絡信息的安全；通過訪問控制手段防御非法黑客入侵，使特定用戶登錄計算機的相關權限。

3.2 加強對計算機通信網絡的安全隔離

（1）VPN。在公網中建立用戶到云服務器間的經過加密的私有專用網絡VPN，無須傳統專網中端到端的物理鏈路，而是通過私有的隧道技術在數據網絡上仿真一條點到點的專線，網絡用戶可以安裝VPN軟件實現計算機通信網絡的加密傳輸通信[4]。

（2）HTTPS。還可以采用HTTPS這種網絡隔離加密技術，基于HTTP傳輸協議對網絡數據進行加密交互和傳輸，并利用HTTPS中對訪問Web端的認證功能，對訪問服務端進行認證，在采用恰當的加密包且服務器證書可被驗證或被信任之后，再進行加密通信。

（3）VPC。專有網絡VPC能夠營造出隔離的網絡環境，使用戶能夠自主掌控IP地址范圍、網關、配置路由表、劃分網段等，并通過靈活的訪問控制規則實現對網絡的權限管理。

3.3 優化應用網絡加密技術

（1）對稱加密。通過同樣的密鑰對數據進行加密和解密，再將明文（原始數據）與加密密鑰一同經過特殊加密算法處理，使之成為復雜的加密密文，接收方通過逆算法對其進行解密。這種方法只有簡單快速的特點，然而在密鑰傳輸過程易于成為惡意用戶攻擊的對象，出現密鑰被破解導致數據泄露的情況[5]。

（2）非對稱加密。該技術之中的加密密鑰不可作為解密密鑰，算法中會生成兩個不同的密鑰，即公鑰和私鑰，公鑰是公開的，而私鑰是自己保存的，因其無須交換密鑰而有較高的安全性。然而其不足之處在于解密時間較長，算法相對復雜，且僅適用于少量的數據傳輸。

（3）混合加密。將對稱加密和非對稱加密技術相結合，則形成混合加密機制。先對系統進行初始化操作，在運行前生成必要的非對稱算法密鑰，對其預先進行加密保護。通常是由服務器端調用相關算法生成ECC的密鑰對，再用預先生成的密鑰來加密此密鑰對。在密鑰生成之后利用服務器端進行密鑰傳遞和交換，服務器端生成所有子節點的密鑰對，并進行密鑰分發，各子節點則要保存并及時更新密鑰文件。在系統運行過程中，服務器和客戶端要開啟各自的密鑰管理進程，客戶端向服務器端傳輸文件加密密鑰和生成摘要信息的簽名密鑰；服務器端在接收到客戶端的密鑰信息后，查找出本地對應的加密公鑰并對其加密，再用私鑰進行數字簽名，將簽名文件和二次加密密鑰文件一同傳送給客戶端。客戶端則要保存密鑰并驗證簽名文件的正確性，用密鑰加密傳輸文件，再運用摘要算法生成摘要信息，以簽名密鑰簽名文件并進行傳送。服務器端通過將摘要文件與簽名文件的比對，驗證客戶端數據的合法正確性。

另外，考慮到有些密鑰是通過公網進行傳輸的，為了更好地防止密鑰泄露，可以采用專用的硬件和密鑰中心同步防護的方式，保證計算機通信網絡數據的安全傳輸。在后續研究中要加大對簽名認證的研究，保證數據的安全與完整性[6]。

3.4 加強計算機通信網絡入侵檢測與安全防護

（1）運用網絡入侵檢測技術。隨著網絡攻擊手段的破壞性和隱蔽性日趨增強，要加強網絡入侵檢測技術的研發和應用，采用分布采集信息和協同處理的方式，將基于主機的IDS和基于網絡的IDS結合使用，增強計算機通信網絡抵御入侵的能力。具體包括以下入侵檢測技術：其一，高速實時入侵檢測技術。為了實現高速網絡中的實時入侵檢測，要重新設計入侵檢測系統的軟件結構和算法，開發和設計與其相適應的專用硬件結構和專用軟件，滿足高速網絡環境中的入侵檢測需求。其二，分布式協同檢測技術。考慮到異質網絡平臺的差異性，可以采用分布式智能Agent的結構方式，運用協同機制進行事件檢測、分析和響應，較好地應對分布式、協同式、復雜模式的網絡攻擊。其三，智能檢測技術。要研發和應用智能入侵檢測系統，引入智能體系、神經網絡和遺傳算法，較好地解決入侵檢測的誤報率和漏報率過高的問題。其四，應用層入侵檢測技術。該技術主要面向計算機網絡應用層的入侵檢測和安全防護，如Lotus Notes數據庫系統等應用系統、基于客戶/服務器結構和中間件技術的大型應用等。其五，整合技術。為了更好地提高計算機通信網絡數據的安全性，可以將入侵檢測技術與其他網絡安全技術相結合，如防火墻、PKIX、安全電子交易（SET）等，形成完整的計算機通信網絡安全防護、檢測和響應體系架構，并構建狀態模型，對計算機通信網絡當前的安全狀態進行監測，對網絡異常情形進行及時預警和應急處置。

（2）App協議。App協議是地址解析協議，是將IP地址與網絡物理地址一一對應的協議，實現IP地址和網卡實體地址之間的轉換。在App協議欺騙技術中，通常在計算機通信網絡中建立靜態ARP表，禁止相應網絡接口進行ARP解析，從而可有效抵御ARP欺騙攻擊。

3.5 面向內部威脅的數據泄漏防護

3.5.1 面向內部威脅的數據泄漏主動防護

對于計算機通信網絡內部數據泄漏的安全防護主要從網絡層面劃分安全保護域，從計算機通信網絡終端和存儲端口進行訪問控制，保證計算機通信網絡的內網安全。然而，這種技術有一定的局限性，僅考慮了對進程與文件之間的信息流進行約束，對于進程之間及進程與其他非文件資源之間的信息流缺乏限制。為此，需要對進程進行更加強有力的約束和限制，然而這種方式在一定程度上降低了系統的可用性和靈活性。

可以基于虛擬化技術和可信基礎設施構建虛擬隔離環境及不同隔離環境之間的可信通道，形成可信的虛擬保護域，通過公共隔離環境、私有隔離環境和底層的基礎通信設施進行安全增強，可較好地實現計算機通信網絡數據使用過程的隔離保護。然而這一技術的應用要以虛擬機為基本隔離單元，需要預先進行構建和配置，缺乏較強的靈活性，類似于一種靜態保護域的功能。

可信存儲主要是從數據存儲的層面劃分安全保護域，在存儲設備內部和終端系統中構建加解密及安全控制機制，形成數據存儲、處理和使用的信任鏈，主要通過多組件可信平臺進行網絡數據的可信訪問和使用，并利用雙向認證技術實現主機與硬盤的可信綁定，確保計算機通信網絡數據在遠程終端和非可信環境中使用的安全。

3.5.2 面向可信主體約束的動態隔離機制

考慮到計算機通信網絡對可信主體的防護需求，要構建面向可信主體約束的動態隔離機制，突破傳統虛擬隔離機制的局限性，實現對可信主體的有效約束和防護，避免安全域中的數據被泄漏到網絡、移動存儲設備及其他非安全域中。

在面向可信主體約束的動態隔離機制中，在基于CoDI和MoDI操作的前提下，實施讀隔離、寫隔離、通信隔離等例程，具體實施策略主要包括以下內容：其一，文件管理策略。對副本文件進行統一管理，將動態隔離過程中生成的重定向文件副本存儲于獨立安全區域，確保文件與程序執行的一致性。其二，進程管理策略。在虛擬方式的動態隔離中可以采用復制式遷移，對于重定向方式的動態隔離則采用重定向式遷移，通過將非可信進程遷移至TUE中執行的方式，實現對非可信進程及其正在訪問相關資源的隔離。

4 結束語

綜上所述，計算機通信網絡具有明顯的開放性和復雜性，數據安全問題尤其突顯，成為當前不容忽視的重要研究課題。針對計算機通信網絡安全問題，要全面深入地分析影響計算機通信網絡安全的相關因素，構建計算機通信網絡安全防護體系，從不同角度提出合理可行的計算機通信網絡安全防護策略，有效保證計算機通信網絡系統數據的安全與完整。■