符績彰海南經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院

?

關(guān)于計算機網(wǎng)絡(luò)技術(shù)安全與網(wǎng)絡(luò)防御的研究

符績彰
海南經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院

摘要：隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展，無論是軍事，還是民用領(lǐng)域，信息系統(tǒng)的應(yīng)用越來越廣泛，而對信息系統(tǒng)計算機網(wǎng)絡(luò)安全性的要求也隨著網(wǎng)絡(luò)惡意攻擊、病毒入侵以及數(shù)據(jù)竊取等安全隱患的增加而提高。本文針對上述闡述的問題，通過研究現(xiàn)有主流的網(wǎng)絡(luò)防御技術(shù)，提出了一些實際應(yīng)對網(wǎng)絡(luò)安全風(fēng)險的解決方案，旨在為信息系統(tǒng)建設(shè)中網(wǎng)絡(luò)技術(shù)安全防范提供參考。

關(guān)鍵字：計算機 網(wǎng)絡(luò)安全 安全隱患 網(wǎng)絡(luò)防御技術(shù)

面對信息系統(tǒng)組成多元化、業(yè)務(wù)邏輯復(fù)雜化、以及呈級數(shù)增加的信息量，為保障系統(tǒng)運行的安全、穩(wěn)定和可靠，人們對信息系統(tǒng)安全性的要求日益增加，因此，需要將計算機網(wǎng)絡(luò)安全、信息加密、安全防御等技術(shù)應(yīng)用在信息系統(tǒng)的建設(shè)中。

1　信息系統(tǒng)計算機網(wǎng)絡(luò)面臨的安全隱患

由于信息系統(tǒng)是由硬件設(shè)備、傳輸通信網(wǎng)絡(luò)和軟件組成，因此，信息系統(tǒng)計算機網(wǎng)絡(luò)面臨的主要安全隱患主要由以下三個方面構(gòu)成。

1.1硬件設(shè)備

一般信息系統(tǒng)計算機硬件設(shè)備由計算設(shè)備、存儲設(shè)備、通信傳輸設(shè)備、傳感設(shè)備組成。對于設(shè)備而言，電磁泄漏是信息系統(tǒng)硬件層面需要重點考慮的信息安全隱患。電磁安全隱患主要涉及存儲或處理的信息安全，由于設(shè)備自身存在潛在的電磁泄漏風(fēng)險，尤其像磁盤陣列、存儲服務(wù)器及數(shù)據(jù)庫等存儲設(shè)備，若發(fā)生電磁輻射及信號泄露，其存儲和處理的敏感信息可能被不法人員竊取，從而造成信息的失泄密。

1.2通信傳輸網(wǎng)絡(luò)隱患及惡意攻擊

無論是局域網(wǎng)或廣域網(wǎng)，還是有線光纖或無線傳輸網(wǎng)絡(luò)，其構(gòu)成的通信傳輸網(wǎng)絡(luò)的健壯性與安全性是影響信息系統(tǒng)網(wǎng)絡(luò)安全性的關(guān)鍵要素。一方面，由于網(wǎng)絡(luò)劃分和體系架構(gòu)的不合理，可導(dǎo)致通信網(wǎng)絡(luò)的中斷、信道擁塞和系統(tǒng)癱瘓等問題。另一方面，惡意攻擊者可根據(jù)網(wǎng)絡(luò)環(huán)境的缺陷和潛在安全漏洞，向目標(biāo)信息系統(tǒng)發(fā)送攻擊報文，例如：拒絕服務(wù)攻擊，致使系統(tǒng)無法正常傳輸信息。

1.3操作系統(tǒng)及軟件邏輯

根據(jù)權(quán)威殺毒軟件掃描及統(tǒng)計，無論是Windows還是Linux操作系統(tǒng)，及其上運行的基礎(chǔ)軟件（如：IE瀏覽器）或開發(fā)的應(yīng)用軟件，或多或少存在一定數(shù)量的后門或軟件漏洞，因此，黑客可利用操作系統(tǒng)的后門與漏洞，植入木馬程序、惡意代碼或腳本，強行占用系統(tǒng)端口，獲得操作權(quán)限并控制用戶資源，竊取個人信息。

2　網(wǎng)絡(luò)防御策略與技術(shù)

針對上述計算機通信網(wǎng)絡(luò)潛在安全隱患，文本對現(xiàn)有主流的網(wǎng)絡(luò)安全防御技術(shù)進(jìn)行了較為深入的研究，提出以下幾個安全防御策略和解決方案。

2.1硬件設(shè)備安全防護(hù)

針對計算機硬件設(shè)備的信息安全防護(hù)，主要體現(xiàn)在對設(shè)備運行環(huán)境和電磁防輻射泄露等方面的防護(hù)，尤其在信息系統(tǒng)計算機房，應(yīng)注意提高各類電磁干擾及環(huán)境適應(yīng)性，做好預(yù)防為主，防治結(jié)合的總體防護(hù)策略。

2.2網(wǎng)絡(luò)劃分及防護(hù)設(shè)備

合理的網(wǎng)絡(luò)劃分是將信息系統(tǒng)的通信網(wǎng)絡(luò)劃分為外部采集網(wǎng)絡(luò)、內(nèi)部傳輸及重要邏輯處理局域網(wǎng)，采用VLAN、VPN和 VPLS等虛擬網(wǎng)絡(luò)技術(shù)，構(gòu)建核心和匯聚鏈路，從邏輯層面實現(xiàn)對網(wǎng)絡(luò)環(huán)境及體系結(jié)構(gòu)的合理規(guī)劃與管理。同時，可采用網(wǎng)絡(luò)防火墻、網(wǎng)閘等物理隔離防護(hù)設(shè)備，構(gòu)建外部采集網(wǎng)絡(luò)與內(nèi)部傳輸網(wǎng)絡(luò)之間的安全屏障，對潛在的外部攻擊行為、惡意代碼及插件進(jìn)行攔截與隔離，將攻擊行為阻隔在外部。

2.3入侵檢測技術(shù)

在網(wǎng)絡(luò)防護(hù)設(shè)備提供的物理防護(hù)基礎(chǔ)上，可采用信息入侵檢測機制，對信息的采集、傳輸與處理等行為進(jìn)行限制與篩選過濾，以識別惡意攻擊行為或數(shù)據(jù)報文，并進(jìn)行入侵告警。入侵檢測分為異常告警檢測和特征提取檢測兩種，異常告警檢測是針對與可接受的行為模型進(jìn)行匹配，從而獲得合法的信息輸入；特征提取檢測是將數(shù)據(jù)報文與特征模型庫的非法特征進(jìn)行匹配，以捕獲非法的惡意入侵。

2.4信息加密

信息傳輸過程，通過對源宿端收發(fā)的信息進(jìn)行加密，實現(xiàn)對信息的完整性、正確性和可用性的保護(hù)。加密通常是采用各類對稱或非對稱的加密算法，例如：RSA、DES等，采用公鑰與密鑰機制實現(xiàn)對信息的加解密處理。

2.5主動防御技術(shù)

大多數(shù)的網(wǎng)絡(luò)防御技術(shù)都采用的是被動檢測方法，雖然可以對入侵的信息和數(shù)據(jù)報文進(jìn)行檢測，但無法實現(xiàn)安全預(yù)警。而主動防御技術(shù)是對網(wǎng)絡(luò)防火墻、入侵檢測及信息加密等技術(shù)的應(yīng)用擴(kuò)展。主動防御旨在識別和預(yù)測未知的惡意攻擊，對入侵行為、惡意代碼和木馬病毒程序進(jìn)行更嚴(yán)格的檢測。

典型的主動防御技術(shù)應(yīng)用是IPS主動入侵防御系統(tǒng)，IPS主要由入侵探測器、數(shù)據(jù)過濾引擎組成。入侵探測器采用操作系統(tǒng)的網(wǎng)絡(luò)端口自動獲取外部信息，通過特征庫檢測異?；蚍欠▓笪膬?nèi)容，將其標(biāo)識為異常數(shù)據(jù)，后續(xù)一旦檢測出該類報文傳輸時，系統(tǒng)進(jìn)行告警。數(shù)據(jù)過濾引擎是針對入侵的和潛在的非法數(shù)據(jù)報文，根據(jù)探測器識別的異常數(shù)據(jù)報文，按字節(jié)進(jìn)行檢查，將傳輸至目標(biāo)信息系統(tǒng)的數(shù)據(jù)報文進(jìn)行標(biāo)記與分類，并對非法數(shù)據(jù)報文進(jìn)行丟棄與過濾。

參考文獻(xiàn)

［1］趙亮. 關(guān)于計算機網(wǎng)絡(luò)技術(shù)安全與網(wǎng)絡(luò)防御的研究［J］. 電腦知識與技術(shù)，2015，v.1107：88-89

［2］黃煒. 計算機網(wǎng)絡(luò)技術(shù)安全與網(wǎng)絡(luò)防御技術(shù)分析［J］. 電子技術(shù)與軟件工程，2015，No.6919：231

作者介紹

符績彰（1974-），男，漢族，籍貫： 海南省文昌市，助教，單位：海南經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院，研究方向：網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)安全等