福建信安網絡科技有限公司 方翔
隨著互聯網的普及應用,計算機網絡安全已經成為各行各業網絡信息化建設高度重視的問題,關乎到網絡信息系統的安全運行。在網絡安全建設中,要運用先進的網絡安全防范技術構建起完善的計算機網絡安全體系,消除計算機系統漏洞,防范非法入侵風險,全面維護網絡運行安全。本文從分析計算機網絡安全現狀入手,提出網絡安全技術策略,包括防火墻技術、入侵檢測技術、身份認證技術、虛擬專用網技術和防病毒技術,期望對提高網絡安全防范技術水平有所幫助。
隨著計算機網絡功能的強大,各類型軟件不斷增多,部分軟件在設計階段存在安全漏洞,對計算機網絡安全構成嚴重威脅。通過對近年來的計算機網絡安全事件調查結果可知,軟件漏洞是引發網絡安全事件的主要原因。
硬件設備是保障計算機網絡安全運行的物質基礎,當硬件設備存在安全問題時,極易引起計算網絡安全事件,造成網絡信息數據破壞[1]。如,網絡電纜是重要的硬件設備,主要由專線、光纜或電話線組成,每種電纜都會傳遞信息數據信號,當不法分子對網絡電纜進行破壞后,能夠直接竊取線纜傳輸的信號,獲取機密信息。
系統安全是計算機網絡安全中的常見問題,當前主流操作系統都存在著一些安全漏洞,不法分子經常利用系統自身漏洞對系統發起攻擊,造成計算機癱瘓,大量數據信息出現永久性破壞。大部分計算機操作系統雖然配置了防火墻、入侵檢測系統等,但是這些軟件系統更新緩慢,很難主動處理網絡安全漏洞,使得計算機系統易受到病毒入侵破壞。
隨著大數據、云計算、物聯網時代的到來,越來越多的先進技術需要借助計算機網絡運行,對計算機網絡安全提出了更高的要求[2]。但是,由于計算機網絡屬于開放性的網絡,安全管理難度大,所以導致互聯網新技術應用面臨一系列安全問題。如,在大數據技術應用中,該技術需要從計算機網絡中搜集大量數據信息,提取有價值的數據,并利用特定算法得出數據分析結果,將分析結果傳輸到數據庫中。如果在這一過程中出現網絡安全漏洞,則會造成數據信息被惡意篡改或破壞,影響大數據挖掘分析的準確性。
在計算機網絡安全管理中,用戶安全意識是影響網絡安全運行的重要因素。但是,由于計算機網絡用戶素質參差不齊,對網絡安全重要性認識程度不同,使得部分用戶出現了大量的不安全操作行為。如,部分用戶登錄非法網站連接或在高風險網站上下載資源,為病毒入侵計算機網絡提供了路徑;部分用戶的計算機系統操作技能不足,經常出現系統操作失誤,引發數據信息損壞風險。
防火墻技術是計算機網絡安全防范系統建設中廣泛采用的技術,由于傳統防火墻技術存在工作方式被動、工作效率低、信息傳遞閉塞、審計功能較弱以及內部風險防范能力不足等問題,所以必須優化設計混合型防火墻系統,彌補傳統防火墻技術弊端。
2.1.1 混合型防火墻結構
主要包括內部防火墻、外部防火墻、堡壘主機、基站主機服務器4 個部分,其中內外防火墻在內外網之間形成安全子網,將公用服務器都屏蔽在安全子網中[3]。混合型防火墻各組成部分的功能如下:(1)內部防火墻。在內部網與安全子網之間設置內部防火墻,借助防火墻過濾安全子網與內部網之間的IP包,避免內部網受到外部網絡的入侵。內部防火墻可以傳輸內部網絡主機系統提出的請求,將請求發送到堡壘主機,杜絕未經認證的外部主機對內部網數據進行非法訪問。(2)外部防火墻。在Internet 網絡與安全子網之間設置外部防火墻,用于防范外部攻擊。當外部網絡系統訪問內部網絡系統時,需要經過外部防火墻的檢測,待檢測后允許外部系統訪問指定堡壘主機端口。(3)堡壘主機。在內部網絡與外部網絡的接點設置堡壘主機,配置安全性高的操作系統,清除系統中的部分工具程序代碼,保留FTP、SMTP、HTTP 網絡服務程序,并設計獨立的過濾管理模塊,用于統一管理分離出的網絡應用服務。(4)基站主機服務器。在服務器上設置網絡安全數據庫、過濾策略數據庫、網絡資源數據庫、網絡安全知識數據庫等,這些數據庫均與安全決策相關,由專門的網絡管理員負責管理。網絡安全數據庫要配置安全策略,保存各種網絡攻擊信息,包括網絡專家判斷信息、病毒攻擊信息、網絡供給處理信息等[4]。服務器還針對各種新攻擊生成日志文件,存儲到智能響應模塊中,用于執行新的過濾指令。
2.1.2 混合型防火墻功能實現
在防火墻運行狀態下,堡壘主機服務器逐層分析通信協議,過濾管理模式對到達主機的數據包進行過濾,提取出安全信息,將安全信息送到接收基站主服務器,再由服務器回傳過濾信息。過濾管理器模塊依靠服務過濾功能配置相應程序,完成對數據包的過濾。如果內部網絡中出現非法操作行為,防火墻能夠快速隔離訪問行為,組織數據包傳輸,并提取數據包中的信息,發送到基站主機服務器,由服務器中的安全數據庫對比分析非法操作行為,采取相應的過濾策略,避免非法操作造成網絡安全問題。
入侵檢測技術是計算機網絡安全防范的有效技術策略,當前最為常用的入侵檢測技術為誤用入侵檢測技術和異常入侵檢測技術。
2.2.1 誤用入侵檢測技術
該技術需要預先定義入侵模式,根據入侵發生情況對入侵檢測模式進行匹配。誤用入侵檢測系統采用以下技術:(1)專家系統。在計算機網絡中配置專家系統,用于檢測外網入侵行為。專家系統采用入侵行為編碼,利用“IF 條件THEN 動作”規則。IF 條件是對某些域中的審計記錄編寫限制條件,THEN 動作是當系統檢測到符合限制條件的行為時采取處理動作,可以提高專家系統對用戶行為檢測的敏感度[5]。專家系統可以識別一個入侵行為產生的一系列審計事件,判斷這些審計事件是否符合入侵行為描述。(2)入侵簽名分析技術。該技術需要將入侵攻擊行為描述轉換為系統審計跡中發現的信息,用于匹配數據模式,無需將其描述為語義級攻擊。在商用入侵檢測系統一般都采用入侵簽名技術識別入侵行為,但是該技術通常要在同一時間段識別每一種入侵攻擊的多個入侵簽名,增大了入侵簽名庫更新的難度。(3)狀態遷移分析技術。該技術能夠將某些行為的初始狀態遷移到危及系統安全的狀態,用系統屬性描述這一狀態,對初始狀態的安全性進行識別,分析兩個狀態遷移中的關鍵活動,判斷入侵行為對系統安全的影響。狀態遷移分析技術能夠檢測出協同攻擊者,快速識別出利用用戶會話攻擊網絡系統的行為。
2.2.2 異常入侵檢測技術
該技術是基于行為采取的入侵檢測技術,需要以收集入侵性動作為信息基礎,生成異常活動子集,通過判斷入侵攻擊活動與系統正常活動之間的差異識別出入侵行為[6]。異常入侵檢測系統需要建立起用戶正常行為特征輪廓,當審計跡數據與特征輪廓出現較大差異時,即判定為系統遭受入侵攻擊。異常入侵檢測系統主要采用以下技術:(1)統計分析技術。在系統中,需要運用統計分析技術統計出主體特征變量的均值、頻度、方差、行為屬性等特征值,如用戶登錄時間、資源占用時間、內存使用情況等。系統提取出統計性特征模塊,將其應用到監控程序中,用于檢測非授權操作行為。(2)神經網絡技術。系統采用神經網絡從正常用戶活動數據中提取出特征數據,無需采用統計分析方式建立起用戶特征行為數據集,能夠提高審計數據分析效率,解決數據快速更新問題。(3)計算機免疫技術。在入侵檢測系統使用計算機免疫關鍵程序后,能夠自動分析用戶行為的易變性,在正常執行軌跡中調用短序列集,建立起行為活動特征輪廓[7]。當系統檢測到執行軌跡不符合調用序列集中的條件后,即判定為系統受到攻擊。
身份認證技術是對某實體身份進行鑒別和確認的技術,該技術的認證方式包括口令、鑰匙、指紋、視網膜等。下面對常用的身份認證技術進行分析。
2.3.1 口令認證
對每個用戶均提供唯一性的口令或標識,當用戶登錄系統操作界面后,要輸入正確的口令或標識,待系統通過驗證后允許用戶進入系統。如果用戶輸入口令錯誤,則系統拒絕用戶登錄。與其他身份認證技術相比,口令認證雖然易于操作,但是安全性卻相對偏低。
2.3.2 數字簽名
數字簽名技術運用加密技術對報文進行數字簽名,用于核實收方身份、認定報文發送行為、杜絕非法者篡改報文[8]。一般情況下,數字簽名采用RSA 算法和DES算法進行報文加密、解密。對于用戶較多的計算機網絡,建議采用基于RSA 算法的數字簽名技術,解決密鑰分配問題。
2.3.3 認證技術
數字憑證是計算機網絡時代下電子商務系統中的重要技術,需要第三方認證機構發放數據憑證,依靠數字憑證保護用戶機密信息的安全性。在非對稱私密密鑰認證系統中,簽名密鑰與加密密鑰處于分開狀態,認證機構只能獲取用戶簽名公鑰,而無法獲取加密密鑰,所以能夠保證用戶信息的安全性。
2.3.4 數據證書
數字證書是對通信各方身份信息進行標志的數據,該證書由權威機構發行,用于通信各方識別對方的身份。在數據證書使用中,計算機網絡還要建立身份認證系統,保證從信息發送到信息接收期間不會出現信息竊取、信息篡改風險,并且避免發送方對發送信息出現抵賴行為。
虛擬專用網技術(VPN)是通過公用網絡安全地遠程訪問內部專用網絡的一種安全技術,能夠實現公共網絡與專用網絡之間信息的安全傳輸。VPN 技術利用認證技術、加密技術在公共網絡上建立專用隧道網絡,提高公共網絡上傳輸私有數據的安全等級。在計算機網絡安全防護中,可以采用VPN 技術驗證用戶身份,借助點對點協議、點對點加密算法加密處理數據,并由遠程VPN服務器強制執行身份認證。在網絡數據傳輸中,VPN 針對敏感數據實施物理隔離機制,僅允許有權限的用戶在建立起VPN 連接后訪問敏感數據。VPN 技術在專用網絡范圍建立起點對點的網絡共享平臺,能夠保證所有數據流傳輸的安全性。在采用VPN 技術進行網絡安全防范時,還要結合采用安全掃描技術、防火墻技術、入侵檢測技術等,創建安全的網絡環境。
計算機網絡安全易受到病毒入侵威脅,為保證網絡安全,應采用防病毒技術消除病害,防止病毒入侵網絡。計算機網絡系統應建立起多層次的病毒防護體系,采用有效的病毒防護策略,具體技術策略如下:(1)在計算機操作系統、服務器以及Internet 網關上安裝防病毒軟件,24h 在線監測網絡安全運行狀態,第一時間隔離病毒[9]。防病毒軟件要具備系統兼容性、易用性、可管理性等特點,能夠強力查殺各類病毒,防范病毒擴散;(2)計算機網絡用戶可以建立病毒防殺中心,通過中心管理多臺聯網計算機,統一查殺聯網計算機病毒。查殺后及時公告病毒查殺信息,定期升級病毒庫,確保病毒防殺中心能夠有效查殺最新病毒。在域外聯網計算機病毒查殺中,病毒防殺中心要提供電子郵件病毒網關功能、在線殺毒功能、病毒引擎功能等,有效防范域外聯網狀態下的病毒傳播。
計算機網絡安全管理是保障網絡信息安全、凈化網絡運行環境以及促進信息化建設全面開展的一項重要工作。在計算機網絡安全管理中,要以識別網絡安全現狀為前提,找到網絡安全薄弱環節,再采用防火墻技術、入侵檢測系統、身份認證技術、VPN 技術和防病毒技術等有效的安全防范技術措施,提高計算機網絡安全等級,避免計算機網絡受到非法入侵,從而保障網絡信息安全。
引用
[1] 范清永.試論當下計算機網絡安全現狀及對策[J].信息記錄材料,2021(5):58-59.
[2] 劉超南.計算機網絡安全現狀及防御技術[J].通訊世界,2019 (1):123-124.
[3] 陳瑞.計算機網絡安全現狀分析與防御技術探討[J].科技資訊,2018(13):9-10.
[4] 施衛民.計算機網絡安全防護技術和策略研究[J].無線互聯科技,2022(4):17-19.
[5] 陳嘉楠.網絡維護中應用計算機網絡安全技術的策略探究[J].軟件,2022,43(2):93-95.
[6] 趙廣磊,牛俊朋.基于計算機網絡技術的計算機網絡信息安全及其防護策略分析[J].科學與信息化,2022(3):49-50.
[7] 李長挺.信息化背景下計算機網絡信息安全防護策略[J].電子世界,2022(1):146-147.
[8] 張年英.計算機網絡安全技術及其完善策略探討[J].信息記錄材料,2021(4):65-67.
[9] 郭均棟,齊文彬.計算機網絡安全技術的影響因素與防范策略[J].科技視界,2021(27):175-176.