計算機通信網絡安全防護策略分析

程曉薇

關鍵詞：計算機通信網絡；安全防護；防護體系

計算機通信網絡中保存著大量的信息，為避免發生信息安全問題，就必須結合多種先進防護技術的應用，以展開計算機通信網絡安全防護工作。

1計算機通信網絡安全防護的必要性分析

計算機通信網絡的關鍵為其中所存儲的大量信息，能夠為用戶提供多種信息服務，而在開放的網絡環境中，計算機通信網絡所面對的安全威脅相對較大，若不落實安全防護工作，則有可能造成信息泄漏、被篡改、丟失等問題，威脅用戶的信息安全，甚至會引發網絡崩潰。因此，需要從多方面人手，并加大計算機通信網絡安全防護力度[1]。

總體而言，對計算機通信網絡進行安全防護在當前有著極高的實施價值與意義，是確保計算機通信網絡能夠長時間安全、穩定、高效運行的重要舉措與必然選擇，從而實現對計算機通信網絡內各類數據信息以及各項操作活動的安全性維護。

2計算機通信網絡安全防護的常用技術分析

2.1防火墻技術

防火墻主要對網絡之間的通信進行合理篩選，以避免未經授權的訪問進入網絡，并落實對網絡的訪問控制，以提升網絡的安全防御能力。對于惡意攻擊，其不一定全部來自外部，網絡內部也可能存在一定的安全威脅。基于此，就需要在網絡系統的各個層次上強化落實保護。依托防火墻能夠實現對內部以及外部威脅的有效應對，也可以對諸如網絡入侵的蠕蟲等一系列惡意軟件進行防控，同時允許系統將非法數據轉發到另一個系統內。例如，在私有網絡與公共網絡之間普遍存在網絡墻，以實現對數據包進出的過濾。

2.2身份認證技術

在當前的計算機通信網絡安全保護工作實踐中，身份認證技術具有較為廣泛的應用范圍。例如，用戶可以根據自己存儲在網絡系統內的信息獲取隨機登錄密碼，并完成系統登錄。基于這種身份認證方式，可以實現更好地保護用戶個人信息的效果。在具體的身份認證技術應用過程中，包含的認證方式主要有結合用戶的個人信息證明用戶身份，結合用戶所掌握的信息認證身份。

2.3數據加密技術

數據加密技術即對存儲、傳輸的數據實施加密處理，避免使用明文傳輸，以防止發生數據信息泄露、被盜用的問題。結合不同的加密引擎，常用的數據加密技術也較為多樣，具體有主機加密，此時需要落實外置密鑰管理，多在云加密場景、敏感數據加密、銷毀場景中應用；存儲引擎硬加密，此時需要落實外置密鑰管理以及內置密鑰管理，多在云加密場景、敏感數據加密、銷毀場景中應用；存儲引擎軟加密，此時需要落實外置密鑰管理，多在云加密場景、敏感數據加密、銷毀場景中應用[2]：后端SAS IO加密，此時需要落實外置密鑰管理，多在敏感數據集中加密、銷毀場景中應用。

3計算機通信網絡安全防護的優化策略探究

3.1計算機通信網絡安全防護體系的構建

投放網管冗余設備、防火墻、網管局域網交換機、入侵檢測設備、網絡管理服務器（主用與備用）、流量管理終端、網絡管理終端、用戶準人系統服務器、復試終端、堡壘機等結構設備，組建計算機通信網絡安全防護系統，以提升計算機通信網絡安全防護的現實成效。

其中，對于投放的網管冗余設備而言，其主要依托冗余方式實現對計算機通信網絡以及業務的抗災以及災難恢復能力的強化，以提升數據信息存儲安全性。對于投放的防火墻而言，其主要在網管局域網與網絡設備之間形成邏輯隔離，其具備良好的技術隔離功能、過濾功能以及邏輯隔離功能。對于投放的堡壘機而言，其主要在網管局域網內完成布設，審計網管操作人員的集中登錄與行為，其具備良好的訪問控制功能、權限控制功能。對于投放的入侵檢測設備而言，其主要承擔分析進入網絡的惡意代碼、惡意入侵行為的任務，具備良好的追蹤功能、告警監測功能、入侵檢測及報警功能、完整性檢測功能、惡意代碼防御功能。對于投放的終端管控設備而言，其主要承擔對所有數據網網管服務器、終端安裝用戶準人客戶端軟件進行集中性管控的任務，具備良好的接人阻斷功能、接出阻斷功能。另外，為了進一步提升計算機通信網絡安全防護系統的功能性，還要在系統內投放其他配置，主要包含入侵防御設備、日志審計設備、漏洞掃描機配置核查設備等。

3.2加強計算機通信網絡入侵檢測與安全防護

從當前情況來看，網絡攻擊手段的破壞性以及隱蔽性呈現出顯著增強的發展趨勢，基于此，為了落實對計算機通信網絡安全性的有效維護，必須強化對網絡入侵檢測技術的研發以及應用。基于分布采集信息及協同處理的方式，結合使用基于主機的IDS以及基于網絡的IDS，以推動計算機通信網絡對外部入侵的地域能力呈現出明顯增強的發展狀態[3]。實踐中，可以應用的網絡入侵技術主要包括以下幾種。（1）高速實時入侵檢測技術，對入侵檢測系統的軟件結構以及算法進行重新設定，并對專用的硬件結構以及軟件系統進行開發，促使在高速網絡環境中實時性入侵檢測成為現實。（2）分布式協同檢測技術，出于對異質網絡平臺之間差異性的有效保證，可以引入分布式智能Agent的結構方式，結合協同機制的應用，促使事件檢測、分析和響應成為現實，以此更好地應對復雜模式、協同式、分布式網絡攻擊。（3）智能檢測技術，結合神經網絡、智能體系、遺傳算法，構建智能人侵檢測系統，促使入侵檢測誤報率大幅下降，以避免產生過高的漏報率。（4）應用層侵入檢測技術，主要面向計算機網絡的應用層進行安全防護，并提供入侵檢測服務。（5）整合技術，結合多種網絡安全技術以及入侵檢測技術，以構建更為完善的計算機通信網絡安全防護檢測與響應架構，并在此基礎上，強化對計算機通信網絡安全狀態的實時性檢測，一旦發現網絡異常情況，能夠第一時間發出預警，并迅速作出應急處置。

3.3強化落實面向內部威脅的數據泄露防護

（1）面向內部威脅的數據泄漏主動防護。在網絡層面落實對安全保護域的劃分，從計算機通信網絡終端以及存儲端口組織展開訪問控制，以確保內網的安全性達到理想水平。需要注意的是，這種面向內部威脅的數據泄漏主動防護技術有著一定的局限性，單純對文件與進程之間的信息流進行約束與管理，而并沒有對進程之間、進程與其他非文件資源之間的信息流落實有效限制。基于此，必須進一步優化約束限制，但這種方式也會降低系統的靈活性與可用性。實踐中，可以依托虛擬化技術、可信基礎設施，完成虛擬隔離環境的構建，形成不同隔離環境之間的可信通道，以構建可信性相對較強的虛擬保護域，結合私有隔離環境、公共隔離環境、底層的基礎通信設施，以增強安全性，強化對計算機通信網絡數據應用過程的隔離保護力度。在此基礎上，還要進一步從數據存儲層面落實安全保護域的劃分，將加解密以及安全控制機制構建于存儲設備內部以及終端系統中，以促使數據存儲、處理以及使用的信任鏈形成。依托多組建可信平臺的應用訪問、使用網絡數據，結合雙向認證技術的應用，促使主機與硬盤之間的可信綁定成為現實，以確保計算機通信網絡數據可以在非可信環境中以及遠程終端內實現安全使用[4]。

（2）面向內部威脅的數據泄漏主動防護。為確保計算機通信網絡對可信主體的防護需求得到及時滿足，需要落實面向可信主體約束的動態隔離機制的構建，以實現對虛擬隔離機制局限性的有效突破，以提升對可信主體約束與防護的有效性，降低存在于安全域中的數據信息泄漏問題的發生概率。在構建面向可行主體約束的動態隔離機制期間，需要在引入CoDI和MoDI操作的基礎上，組織展開讀隔離、寫隔離、通信隔離。在此過程中，可以應用的方法手段主要包括文件管理，即統一管理副本文件，在獨立安全區域內，對動態隔離過程中所形成的重定向文件副本進行有效存儲，促使文件與程序具有較高的一致性：進程管理，即應用復制式遷移組織展開基于虛擬方式的動態隔離．應用重定向式遷移組織展開基于重定向方式的動態隔離，在TUE中遷移進非可信進程，并以此隔離非可信進程以及其正在訪問的對應資源。

3.4提升網絡安全防護意識并加強網絡安全管理

近年來，互聯網環境錯綜復雜，疑似境外黑客組織的網絡攻擊日益增加，各單位組織要充分認識到網絡安全和數據安全的重要性，不斷完善網絡安全管理制度、健全工作機制、抓牢抓實網絡安全保障工作[5]。實踐中，為保障計算機通信網絡專線的安全使用，采用計算機通信網絡安全專線產品，配合防火墻及三層管控交換機進行安全策略設置、IP地址實名管控、區域VLAN劃分管理，能夠較好地對計算機通信網絡進行防護，保障網絡安全。

另外，要強化組織領導，完善網信隊伍建設。落實網絡安全工作責任制，充分調整網絡安全和信息化委員會成員，組織信息化管理人員開展信息系統業務知識培訓，進一步提升業務人員基礎統建信息系統管理安全運維能力，使其按要求完成日常網絡安保工作。在此基礎上，強化宣傳學習，提高網絡安全意識。在國家網絡安全宣傳周期間，積極開展關于增強員工網絡安全意識、筑牢網絡與信息安全防線的相關學習宣傳活動，宣傳網絡安全法規、典型案例和日常用網知識，全面提升全員網絡安全意識。另外，強化基礎建設，提升通信質量與安全。為保證計算機通信網絡高效安全運行，通過與網絡運營商溝通引進基站建設，解決信號覆蓋不良等問題。信息化管理人員定期對網絡安全問題隱患進行自查，及時梳理信息資產，封堵隱患IP地址及惡意域名，切實提高計算機通信網絡運行安全性；制定信息化應急預案并按要求開展信息化應急演練，使員工能夠較好地應對突發情況，以提供更為理想的通信安全保障。

通過提升網絡安全防護意識、做好網絡安全管理、展開網絡安全防護教育培訓，提升了計算機通信網絡安全防護工作質量以及現實成效。在后續的發展中，要持續加強網絡和重要信息系統的安全防護，強化相關工作人員的網絡安全意識，加大計算機通信網絡安全防護力度，實現計算機通信網絡、軟硬件、信息數據等網絡安全防護客觀上不存在威脅，主觀上不存在恐懼。

4結束語

對計算機通信網絡進行安全防護在當前有著極高的實施價值與意義，是確保計算機通信網絡能夠長時間安全、穩定、高效運行的重要舉措與必然選擇。實踐中，依托防火墻技術、數據加密技術等多種信息安全防護技術的整合應用，結合計算機通信網絡安全防護策略的更新與優化，推動了計算機通信網絡安全防護工作的升級。