計算機網絡安全現狀及網絡安全技術策略分析

福建信安網絡科技有限公司 方翔

隨著互聯網的普及應用，計算機網絡安全已經成為各行各業(yè)網絡信息化建設高度重視的問題，關乎到網絡信息系統(tǒng)的安全運行。在網絡安全建設中，要運用先進的網絡安全防范技術構建起完善的計算機網絡安全體系，消除計算機系統(tǒng)漏洞，防范非法入侵風險，全面維護網絡運行安全。本文從分析計算機網絡安全現狀入手，提出網絡安全技術策略，包括防火墻技術、入侵檢測技術、身份認證技術、虛擬專用網技術和防病毒技術，期望對提高網絡安全防范技術水平有所幫助。

1 計算機網絡安全現狀

1.1 軟件安全現狀

隨著計算機網絡功能的強大，各類型軟件不斷增多，部分軟件在設計階段存在安全漏洞，對計算機網絡安全構成嚴重威脅。通過對近年來的計算機網絡安全事件調查結果可知，軟件漏洞是引發(fā)網絡安全事件的主要原因。

1.2 硬件安全現狀

硬件設備是保障計算機網絡安全運行的物質基礎，當硬件設備存在安全問題時，極易引起計算網絡安全事件，造成網絡信息數據破壞[1]。如，網絡電纜是重要的硬件設備，主要由專線、光纜或電話線組成，每種電纜都會傳遞信息數據信號，當不法分子對網絡電纜進行破壞后，能夠直接竊取線纜傳輸的信號，獲取機密信息。

1.3 計算機系統(tǒng)安全現狀

系統(tǒng)安全是計算機網絡安全中的常見問題，當前主流操作系統(tǒng)都存在著一些安全漏洞，不法分子經常利用系統(tǒng)自身漏洞對系統(tǒng)發(fā)起攻擊，造成計算機癱瘓，大量數據信息出現永久性破壞。大部分計算機操作系統(tǒng)雖然配置了防火墻、入侵檢測系統(tǒng)等，但是這些軟件系統(tǒng)更新緩慢，很難主動處理網絡安全漏洞，使得計算機系統(tǒng)易受到病毒入侵破壞。

1.4 互聯網新技術安全現狀

隨著大數據、云計算、物聯網時代的到來，越來越多的先進技術需要借助計算機網絡運行，對計算機網絡安全提出了更高的要求[2]。但是，由于計算機網絡屬于開放性的網絡，安全管理難度大，所以導致互聯網新技術應用面臨一系列安全問題。如，在大數據技術應用中，該技術需要從計算機網絡中搜集大量數據信息，提取有價值的數據，并利用特定算法得出數據分析結果，將分析結果傳輸到數據庫中。如果在這一過程中出現網絡安全漏洞，則會造成數據信息被惡意篡改或破壞，影響大數據挖掘分析的準確性。

1.5 用戶網絡安全現狀

在計算機網絡安全管理中，用戶安全意識是影響網絡安全運行的重要因素。但是，由于計算機網絡用戶素質參差不齊，對網絡安全重要性認識程度不同，使得部分用戶出現了大量的不安全操作行為。如，部分用戶登錄非法網站連接或在高風險網站上下載資源，為病毒入侵計算機網絡提供了路徑；部分用戶的計算機系統(tǒng)操作技能不足，經常出現系統(tǒng)操作失誤，引發(fā)數據信息損壞風險。

2 計算機網絡安全技術策略

2.1 防火墻技術

防火墻技術是計算機網絡安全防范系統(tǒng)建設中廣泛采用的技術，由于傳統(tǒng)防火墻技術存在工作方式被動、工作效率低、信息傳遞閉塞、審計功能較弱以及內部風險防范能力不足等問題，所以必須優(yōu)化設計混合型防火墻系統(tǒng)，彌補傳統(tǒng)防火墻技術弊端。

2.1.1 混合型防火墻結構

主要包括內部防火墻、外部防火墻、堡壘主機、基站主機服務器4 個部分，其中內外防火墻在內外網之間形成安全子網，將公用服務器都屏蔽在安全子網中[3]。混合型防火墻各組成部分的功能如下：（1）內部防火墻。在內部網與安全子網之間設置內部防火墻，借助防火墻過濾安全子網與內部網之間的IP包，避免內部網受到外部網絡的入侵。內部防火墻可以傳輸內部網絡主機系統(tǒng)提出的請求，將請求發(fā)送到堡壘主機，杜絕未經認證的外部主機對內部網數據進行非法訪問。（2）外部防火墻。在Internet 網絡與安全子網之間設置外部防火墻，用于防范外部攻擊。當外部網絡系統(tǒng)訪問內部網絡系統(tǒng)時，需要經過外部防火墻的檢測，待檢測后允許外部系統(tǒng)訪問指定堡壘主機端口。（3）堡壘主機。在內部網絡與外部網絡的接點設置堡壘主機，配置安全性高的操作系統(tǒng)，清除系統(tǒng)中的部分工具程序代碼，保留FTP、SMTP、HTTP 網絡服務程序，并設計獨立的過濾管理模塊，用于統(tǒng)一管理分離出的網絡應用服務。（4）基站主機服務器。在服務器上設置網絡安全數據庫、過濾策略數據庫、網絡資源數據庫、網絡安全知識數據庫等，這些數據庫均與安全決策相關，由專門的網絡管理員負責管理。網絡安全數據庫要配置安全策略，保存各種網絡攻擊信息，包括網絡專家判斷信息、病毒攻擊信息、網絡供給處理信息等[4]。服務器還針對各種新攻擊生成日志文件，存儲到智能響應模塊中，用于執(zhí)行新的過濾指令。

2.1.2 混合型防火墻功能實現

在防火墻運行狀態(tài)下，堡壘主機服務器逐層分析通信協議，過濾管理模式對到達主機的數據包進行過濾，提取出安全信息，將安全信息送到接收基站主服務器，再由服務器回傳過濾信息。過濾管理器模塊依靠服務過濾功能配置相應程序，完成對數據包的過濾。如果內部網絡中出現非法操作行為，防火墻能夠快速隔離訪問行為，組織數據包傳輸，并提取數據包中的信息，發(fā)送到基站主機服務器，由服務器中的安全數據庫對比分析非法操作行為，采取相應的過濾策略，避免非法操作造成網絡安全問題。

2.2 入侵檢測技術

入侵檢測技術是計算機網絡安全防范的有效技術策略，當前最為常用的入侵檢測技術為誤用入侵檢測技術和異常入侵檢測技術。

2.2.1 誤用入侵檢測技術

該技術需要預先定義入侵模式，根據入侵發(fā)生情況對入侵檢測模式進行匹配。誤用入侵檢測系統(tǒng)采用以下技術：（1）專家系統(tǒng)。在計算機網絡中配置專家系統(tǒng)，用于檢測外網入侵行為。專家系統(tǒng)采用入侵行為編碼，利用“IF 條件THEN 動作”規(guī)則。IF 條件是對某些域中的審計記錄編寫限制條件，THEN 動作是當系統(tǒng)檢測到符合限制條件的行為時采取處理動作，可以提高專家系統(tǒng)對用戶行為檢測的敏感度[5]。專家系統(tǒng)可以識別一個入侵行為產生的一系列審計事件，判斷這些審計事件是否符合入侵行為描述。（2）入侵簽名分析技術。該技術需要將入侵攻擊行為描述轉換為系統(tǒng)審計跡中發(fā)現的信息，用于匹配數據模式，無需將其描述為語義級攻擊。在商用入侵檢測系統(tǒng)一般都采用入侵簽名技術識別入侵行為，但是該技術通常要在同一時間段識別每一種入侵攻擊的多個入侵簽名，增大了入侵簽名庫更新的難度。（3）狀態(tài)遷移分析技術。該技術能夠將某些行為的初始狀態(tài)遷移到危及系統(tǒng)安全的狀態(tài)，用系統(tǒng)屬性描述這一狀態(tài)，對初始狀態(tài)的安全性進行識別，分析兩個狀態(tài)遷移中的關鍵活動，判斷入侵行為對系統(tǒng)安全的影響。狀態(tài)遷移分析技術能夠檢測出協同攻擊者，快速識別出利用用戶會話攻擊網絡系統(tǒng)的行為。

2.2.2 異常入侵檢測技術

該技術是基于行為采取的入侵檢測技術，需要以收集入侵性動作為信息基礎，生成異常活動子集，通過判斷入侵攻擊活動與系統(tǒng)正常活動之間的差異識別出入侵行為[6]。異常入侵檢測系統(tǒng)需要建立起用戶正常行為特征輪廓，當審計跡數據與特征輪廓出現較大差異時，即判定為系統(tǒng)遭受入侵攻擊。異常入侵檢測系統(tǒng)主要采用以下技術：（1）統(tǒng)計分析技術。在系統(tǒng)中，需要運用統(tǒng)計分析技術統(tǒng)計出主體特征變量的均值、頻度、方差、行為屬性等特征值，如用戶登錄時間、資源占用時間、內存使用情況等。系統(tǒng)提取出統(tǒng)計性特征模塊，將其應用到監(jiān)控程序中，用于檢測非授權操作行為。（2）神經網絡技術。系統(tǒng)采用神經網絡從正常用戶活動數據中提取出特征數據，無需采用統(tǒng)計分析方式建立起用戶特征行為數據集，能夠提高審計數據分析效率，解決數據快速更新問題。（3）計算機免疫技術。在入侵檢測系統(tǒng)使用計算機免疫關鍵程序后，能夠自動分析用戶行為的易變性，在正常執(zhí)行軌跡中調用短序列集，建立起行為活動特征輪廓[7]。當系統(tǒng)檢測到執(zhí)行軌跡不符合調用序列集中的條件后，即判定為系統(tǒng)受到攻擊。

2.3 身份認證技術

身份認證技術是對某實體身份進行鑒別和確認的技術，該技術的認證方式包括口令、鑰匙、指紋、視網膜等。下面對常用的身份認證技術進行分析。

2.3.1 口令認證

對每個用戶均提供唯一性的口令或標識，當用戶登錄系統(tǒng)操作界面后，要輸入正確的口令或標識，待系統(tǒng)通過驗證后允許用戶進入系統(tǒng)。如果用戶輸入口令錯誤，則系統(tǒng)拒絕用戶登錄。與其他身份認證技術相比，口令認證雖然易于操作，但是安全性卻相對偏低。

2.3.2 數字簽名

數字簽名技術運用加密技術對報文進行數字簽名，用于核實收方身份、認定報文發(fā)送行為、杜絕非法者篡改報文[8]。一般情況下，數字簽名采用RSA 算法和DES算法進行報文加密、解密。對于用戶較多的計算機網絡，建議采用基于RSA 算法的數字簽名技術，解決密鑰分配問題。

2.3.3 認證技術

數字憑證是計算機網絡時代下電子商務系統(tǒng)中的重要技術，需要第三方認證機構發(fā)放數據憑證，依靠數字憑證保護用戶機密信息的安全性。在非對稱私密密鑰認證系統(tǒng)中，簽名密鑰與加密密鑰處于分開狀態(tài)，認證機構只能獲取用戶簽名公鑰，而無法獲取加密密鑰，所以能夠保證用戶信息的安全性。

2.3.4 數據證書

數字證書是對通信各方身份信息進行標志的數據，該證書由權威機構發(fā)行，用于通信各方識別對方的身份。在數據證書使用中，計算機網絡還要建立身份認證系統(tǒng)，保證從信息發(fā)送到信息接收期間不會出現信息竊取、信息篡改風險，并且避免發(fā)送方對發(fā)送信息出現抵賴行為。

2.4 虛擬專用網技術

虛擬專用網技術（VPN）是通過公用網絡安全地遠程訪問內部專用網絡的一種安全技術，能夠實現公共網絡與專用網絡之間信息的安全傳輸。VPN 技術利用認證技術、加密技術在公共網絡上建立專用隧道網絡，提高公共網絡上傳輸私有數據的安全等級。在計算機網絡安全防護中，可以采用VPN 技術驗證用戶身份，借助點對點協議、點對點加密算法加密處理數據，并由遠程VPN服務器強制執(zhí)行身份認證。在網絡數據傳輸中，VPN 針對敏感數據實施物理隔離機制，僅允許有權限的用戶在建立起VPN 連接后訪問敏感數據。VPN 技術在專用網絡范圍建立起點對點的網絡共享平臺，能夠保證所有數據流傳輸的安全性。在采用VPN 技術進行網絡安全防范時，還要結合采用安全掃描技術、防火墻技術、入侵檢測技術等，創(chuàng)建安全的網絡環(huán)境。

2.5 防病毒技術

計算機網絡安全易受到病毒入侵威脅，為保證網絡安全，應采用防病毒技術消除病害，防止病毒入侵網絡。計算機網絡系統(tǒng)應建立起多層次的病毒防護體系，采用有效的病毒防護策略，具體技術策略如下：（1）在計算機操作系統(tǒng)、服務器以及Internet 網關上安裝防病毒軟件，24h 在線監(jiān)測網絡安全運行狀態(tài)，第一時間隔離病毒[9]。防病毒軟件要具備系統(tǒng)兼容性、易用性、可管理性等特點，能夠強力查殺各類病毒，防范病毒擴散；（2）計算機網絡用戶可以建立病毒防殺中心，通過中心管理多臺聯網計算機，統(tǒng)一查殺聯網計算機病毒。查殺后及時公告病毒查殺信息，定期升級病毒庫，確保病毒防殺中心能夠有效查殺最新病毒。在域外聯網計算機病毒查殺中，病毒防殺中心要提供電子郵件病毒網關功能、在線殺毒功能、病毒引擎功能等，有效防范域外聯網狀態(tài)下的病毒傳播。

3 結語

計算機網絡安全管理是保障網絡信息安全、凈化網絡運行環(huán)境以及促進信息化建設全面開展的一項重要工作。在計算機網絡安全管理中，要以識別網絡安全現狀為前提，找到網絡安全薄弱環(huán)節(jié)，再采用防火墻技術、入侵檢測系統(tǒng)、身份認證技術、VPN 技術和防病毒技術等有效的安全防范技術措施，提高計算機網絡安全等級，避免計算機網絡受到非法入侵，從而保障網絡信息安全。

引用

[1] 范清永.試論當下計算機網絡安全現狀及對策[J].信息記錄材料,2021(5):58-59.

[2] 劉超南.計算機網絡安全現狀及防御技術[J].通訊世界,2019 (1):123-124.

[3] 陳瑞.計算機網絡安全現狀分析與防御技術探討[J].科技資訊,2018(13):9-10.

[4] 施衛(wèi)民.計算機網絡安全防護技術和策略研究[J].無線互聯科技,2022(4):17-19.

[5] 陳嘉楠.網絡維護中應用計算機網絡安全技術的策略探究[J].軟件,2022,43(2):93-95.

[6] 趙廣磊,牛俊朋.基于計算機網絡技術的計算機網絡信息安全及其防護策略分析[J].科學與信息化,2022(3):49-50.

[7] 李長挺.信息化背景下計算機網絡信息安全防護策略[J].電子世界,2022(1):146-147.

[8] 張年英.計算機網絡安全技術及其完善策略探討[J].信息記錄材料,2021(4):65-67.

[9] 郭均棟,齊文彬.計算機網絡安全技術的影響因素與防范策略[J].科技視界,2021(27):175-176.