陶睿天

【摘 要】隨著科技的發(fā)展，網(wǎng)絡(luò)已經(jīng)滲入到社會生活的各個領(lǐng)域，與人們的日常生活息息相關(guān)，在訪問互聯(lián)網(wǎng)的過程中，網(wǎng)絡(luò)安全是常常被提及的重要話題。分析了計算機(jī)網(wǎng)絡(luò)安全分層防護(hù)體系，描述了防護(hù)體系廣泛存在的問題，并提出了相關(guān)的解決方法與建議，以供參考。

【關(guān)鍵詞】計算機(jī)網(wǎng)絡(luò)安全;防護(hù)體系;安全分層

中圖分類號： TP393.08文獻(xiàn)標(biāo)識碼： A文章編號： 2095-2457（2019）19-0047-002

DOI：10.19694/j.cnki.issn2095-2457.2019.19.021

1 計算機(jī)網(wǎng)絡(luò)安全分層評價防護(hù)體系概述

自從新世紀(jì)以來，計算機(jī)在我國的普及程度越來越高，直到現(xiàn)在的移動互聯(lián)網(wǎng)的比重全面超過電腦端互聯(lián)網(wǎng)，載體不同，但適用的對象沒有改變，網(wǎng)絡(luò)已經(jīng)植入人們的生活，與居民息息相關(guān)，網(wǎng)絡(luò)安全也是當(dāng)下值得重視的問題，一般認(rèn)為計算機(jī)網(wǎng)絡(luò)安全以針對計算機(jī)的硬軟件為主，以使用者個人資料，數(shù)據(jù)傳輸，網(wǎng)絡(luò)管理，使用者個人賬戶為基礎(chǔ)，網(wǎng)絡(luò)安全可以通過規(guī)范網(wǎng)絡(luò)環(huán)境，強(qiáng)化網(wǎng)絡(luò)管理兩大方面來實(shí)現(xiàn)。

隨著計算機(jī)網(wǎng)絡(luò)的發(fā)展，攻擊的手段也日趨多樣復(fù)雜，傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)難以應(yīng)對多樣的網(wǎng)絡(luò)攻擊，計算機(jī)網(wǎng)絡(luò)安全分層評價防護(hù)體系是解決這一問題的利器，網(wǎng)絡(luò)安全就是對于數(shù)據(jù)的爭奪。安全人員從漏洞、軟件加固、系統(tǒng)內(nèi)核、網(wǎng)絡(luò)防火墻、內(nèi)網(wǎng)安全等等上下功夫，排除修復(fù)從軟硬件帶來的邏輯缺陷，保護(hù)數(shù)據(jù)按照既定設(shè)計的路去走，簡單來講，計算機(jī)網(wǎng)絡(luò)安全分層評價防護(hù)體系由三大部分組成，即安全服務(wù)，安全評估和安全防護(hù)，囊括系統(tǒng)漏洞掃描，網(wǎng)絡(luò)管理評估，網(wǎng)絡(luò)監(jiān)控，病毒防御，數(shù)據(jù)備份與恢復(fù)，應(yīng)急服務(wù)，訪問控制等多個模塊。擁有如下的特性，首先是可用性，用戶的操作與其他輔助軟件分離，不必考慮數(shù)據(jù)傳輸中的其他問題，在精力集中在自己的操作上，實(shí)現(xiàn)用戶以自己為操作的核心;其次是完整性，互聯(lián)網(wǎng)的數(shù)據(jù)傳輸實(shí)際參與的有工作站，服務(wù)器和主機(jī)系統(tǒng)，網(wǎng)絡(luò)安全產(chǎn)生的原因應(yīng)該從人為操作，硬件故障，網(wǎng)絡(luò)故障三大方面去思考，確保不會遺漏網(wǎng)絡(luò)攻擊的重要，不讓不法分子有可乘之機(jī)。最后是機(jī)密性，要實(shí)現(xiàn)互聯(lián)網(wǎng)安全，可以廣泛使用SSL技術(shù)，即為WEB瀏覽在HTTP層和TCP層之間添加一層安全套接字，其原理是采用對稱算法和非對稱算法結(jié)合SLL證書，讓服務(wù)器在相應(yīng)客戶端請求時，發(fā)送一個SSL證書，包含有效期，持有者，證書發(fā)布機(jī)構(gòu)等信息，連同公鑰一起發(fā)送，客戶端在接收到接收到服務(wù)端發(fā)來的SSL證書時，會對證書的真?zhèn)芜M(jìn)行校驗(yàn)，通過讀取證書中的證書所有者、有效期等信息進(jìn)行一一校驗(yàn)，查找操作系統(tǒng)中已內(nèi)置的受信任的證書發(fā)布機(jī)構(gòu)CA，與服務(wù)器發(fā)來的證書中的頒發(fā)者CA比對，用于校驗(yàn)證書是否為合法機(jī)構(gòu)頒發(fā)，然后對服務(wù)器發(fā)來的證書里面的簽名進(jìn)行解密，使用相同的hash算法計算出服務(wù)器發(fā)來的證書的hash值，將這個計算的hash值與證書中簽名做對比，對比結(jié)果一致，則證明服務(wù)器發(fā)來的證書合法，這樣就算被黑客掌握到這次會話里的公鑰，也會由于無法模擬真實(shí)的SSL證書而失敗，讓網(wǎng)站完成HTTP到HTTPS的改造升級，在服務(wù)器和客戶端之間SSL安全通道，保證數(shù)據(jù)在傳輸?shù)倪^程中不會有泄露，減少竊聽風(fēng)險和篡改風(fēng)險，也防止惡意程序通過釣魚網(wǎng)站竊取用戶信息的可能。

2 計算機(jī)網(wǎng)絡(luò)安全分層評價防護(hù)體系的主要技術(shù)

技術(shù)只是實(shí)現(xiàn)目標(biāo)的手段，在實(shí)際操作中可以根據(jù)操作系統(tǒng)，使用環(huán)境，平臺等來綜合考量，此處列出幾個常用的技術(shù)。

首先是JSP技術(shù)，jsp必須要在支持java的web服務(wù)器里運(yùn)行，主要應(yīng)用在開發(fā)動態(tài)網(wǎng)頁中，可以實(shí)現(xiàn)高效的頁面生成，JSP本質(zhì)上是servlet的封裝，jsp多用來展現(xiàn)一些動態(tài)的代碼，利用JSP技術(shù)在進(jìn)行處理時可以減少時間的損耗，提升項(xiàng)目的研發(fā)時間，在服務(wù)器端口還可以生成超文本標(biāo)記語言，保護(hù)了開發(fā)者的代碼源文件，也保障了HTML頁面的正常運(yùn)行。其次是JavaScript技術(shù)，JavaScript是動態(tài)類型語言，非常靈活。作為一門新型語言，JavaScript可以快速融入HTML，根據(jù)使用者的需要來進(jìn)行數(shù)據(jù)交互，擺脫服務(wù)器端的處理，使用客戶端應(yīng)用程序直接操作，保障了信息在傳輸過程中的完整性。最后是iava數(shù)據(jù)庫連接計數(shù)，在java數(shù)據(jù)庫連接中JDBC是標(biāo)準(zhǔn)的連接方法，JDBC是用于執(zhí)行SQL語句的Java API。

3 現(xiàn)狀

3.1 防護(hù)范圍不夠全面

現(xiàn)有的計算機(jī)網(wǎng)絡(luò)安全分層評價防護(hù)體系防護(hù)的范圍不夠全面，遺漏了部分內(nèi)容，存在安全隱患，以資料傳輸舉例，發(fā)現(xiàn)問題往往在造成破壞之后，這就暴露了計算機(jī)網(wǎng)絡(luò)安全分層評價防護(hù)體系的不足，這是一個值得重點(diǎn)研究的方向。

3.2 防護(hù)功能滯后

計算機(jī)網(wǎng)絡(luò)安全分層評價防護(hù)體系的滯后體現(xiàn)在時間性和防御性兩個方面，防護(hù)體系更新不足，無以應(yīng)對最新的木馬，形成有效的防御，此外，在木馬病毒造成破壞后才能夠喚起防護(hù)系統(tǒng)，這也體現(xiàn)了其缺少主動防御性，例如，用戶在網(wǎng)絡(luò)上下載文件，可能潛藏了木馬程序，但不能通過防護(hù)系統(tǒng)及時發(fā)現(xiàn)而中止下載，而在下載完成后，木馬潛入電腦，大肆破壞后人們才發(fā)現(xiàn)計算機(jī)的一場，這個時候損失已經(jīng)造成了，如果是遠(yuǎn)程木馬可能威脅更大，這都是計算機(jī)網(wǎng)絡(luò)安全分層評價防護(hù)體系滯后性的體現(xiàn)。

3.3 層次建設(shè)不完善

現(xiàn)有的計算機(jī)網(wǎng)絡(luò)安全分層評價防護(hù)體系建設(shè)不夠完善，僅僅是以簡單隔離可疑程序，報告風(fēng)險，不確定的因素大，層級建設(shè)不全，完整的防護(hù)體系結(jié)構(gòu)會傾向多種多樣，存在指令接收處理中心，傳輸端，接收端，以這些結(jié)構(gòu)為核心，囊括甄別，處理，反饋，記錄多樣的模塊，實(shí)現(xiàn)完整的安全分層架構(gòu)。

4 完善計算機(jī)網(wǎng)絡(luò)安全分層評價防護(hù)體系的幾點(diǎn)建議

4.1 擴(kuò)大安全防護(hù)范圍

擴(kuò)大安全防護(hù)的作用范圍，確保每個環(huán)節(jié)都萬無一失，以資料傳輸為例，首先用防火墻隔離掉風(fēng)險程序，防火墻技術(shù)是網(wǎng)絡(luò)安全中的重要元素，是外網(wǎng)與內(nèi)網(wǎng)進(jìn)行通信時的一道屏障，一個哨崗，隔離之后提示使用者存在可疑程序的風(fēng)險，防火墻不能對所有應(yīng)用層的數(shù)據(jù)包進(jìn)行分析，會成為網(wǎng)絡(luò)數(shù)據(jù)通訊的瓶頸。即便是代理型防火墻也不能檢查所有應(yīng)用層的數(shù)據(jù)包。入侵檢測是防火墻的合理補(bǔ)充，如果防火墻的校驗(yàn)通過后，這時再用檢測系統(tǒng)甄別其是否對計算機(jī)安全性具有威脅，它的原理是通過收集、分析計算機(jī)系統(tǒng)、計算機(jī)網(wǎng)絡(luò)介質(zhì)上的各種有用信息幫助系統(tǒng)管理員發(fā)現(xiàn)攻擊并進(jìn)行響應(yīng)，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時保護(hù)，如果判斷程序存在風(fēng)險，則直接隔離，或者強(qiáng)制刪除，若不存在風(fēng)險就指示處理中心，讓程序進(jìn)入計算機(jī)，保障用戶的計算機(jī)安全。

4.2 啟用實(shí)時監(jiān)測

實(shí)時監(jiān)測是讓防護(hù)體系隨時待命，當(dāng)有木馬嘗試攻擊計算機(jī)時，發(fā)出警報，其優(yōu)點(diǎn)是當(dāng)木馬偽裝繞過防火墻后，依然會觸發(fā)警報，提高網(wǎng)絡(luò)安全性，缺點(diǎn)是無論任何嘗試進(jìn)入計算機(jī)的程序都會發(fā)出警報，這就需要人員及時甄別，對疑似高風(fēng)險的程序采用隔離或刪除的手段，減少計算機(jī)的風(fēng)險。

4.3 完善防護(hù)體系分層建設(shè)

網(wǎng)絡(luò)不斷地發(fā)展，網(wǎng)絡(luò)攻擊手段也隨之不斷改進(jìn)，形式多樣，傳統(tǒng)的網(wǎng)絡(luò)防護(hù)主要是被動防御，在更新上往往比不上迭代快速的新技術(shù)，所以完善防護(hù)體系尤為關(guān)鍵，計算機(jī)網(wǎng)絡(luò)安全分層評價防護(hù)體系主要是包括安全評估和安全防護(hù)以及安全服務(wù)，安全評估包括了系統(tǒng)病毒查殺，漏洞掃描，網(wǎng)絡(luò)管理評估，是對使用環(huán)境的完全性的完整評估;安全防護(hù)包括網(wǎng)絡(luò)監(jiān)控和數(shù)據(jù)保密，訪問控制，從源頭杜絕非法訪問，保證互聯(lián)網(wǎng)安全;安全服務(wù)包括數(shù)據(jù)備份與恢復(fù)，應(yīng)急服務(wù)等，安全具有相對性，絕對的安全是不存在的，隨著時間的推移，再先進(jìn)的技術(shù)手段也會過時，淪為被攻擊的漏洞，在更新技術(shù)完善防護(hù)體系的同時，更應(yīng)該及時做好數(shù)據(jù)備份，制定在異常狀況下的處理方案，做好數(shù)據(jù)的恢復(fù)工作，盡量減少損失。

4.4 關(guān)于計算機(jī)網(wǎng)絡(luò)安全分層評價防護(hù)體系其他建議

第一，加強(qiáng)訪問控制，在實(shí)際應(yīng)用中，計算機(jī)網(wǎng)絡(luò)安全分層評價防護(hù)體系應(yīng)該抓住防護(hù)的重點(diǎn)，從源頭入手，主抓用戶的訪問控制，用戶向服務(wù)器發(fā)送訪問請求時，應(yīng)該嚴(yán)格按照規(guī)定的步驟進(jìn)行訪問，首先是正確填寫用戶身份，輸入密碼，檢驗(yàn)驗(yàn)證信息，賬號風(fēng)險監(jiān)測，常用登陸地檢測等等，這些環(huán)節(jié)層層遞進(jìn)，環(huán)環(huán)相扣，無論哪一個小節(jié)上出現(xiàn)問題，用戶的訪問都應(yīng)該都被中止，網(wǎng)絡(luò)訪問權(quán)限的作用在此時得以體現(xiàn)，實(shí)現(xiàn)服務(wù)器的安全控制，就是通過服務(wù)器來實(shí)現(xiàn)軟件的下載與應(yīng)用，網(wǎng)絡(luò)權(quán)限的控制，是對非法行為進(jìn)行及時的截斷和有效的應(yīng)對，明確可被訪問的信息;除此之外，用戶還可以進(jìn)行屬性安全的設(shè)置，在確保屬性安全的前提下，可以允許用戶訪問上傳的文件與資料。

第二，完善計算機(jī)基礎(chǔ)硬件配置。用戶應(yīng)該提高安全意識，在網(wǎng)內(nèi)外接口處的設(shè)備進(jìn)行定期的安全維護(hù)和實(shí)時的系統(tǒng)監(jiān)控，可以根據(jù)自身的情況來完善優(yōu)化硬件設(shè)施，做好網(wǎng)絡(luò)安全防護(hù)工作，，對已經(jīng)存在問題的設(shè)備，要具體分析問題，進(jìn)行全面的檢修，只有做到這幾點(diǎn)，才能為計算機(jī)安全提供保障，從根源上攔截不健康的信息，減少被惡意攻擊的可能，算機(jī)網(wǎng)絡(luò)安全分層體系內(nèi)各部門要精誠合作，形成統(tǒng)一的監(jiān)管模式，為維護(hù)計算機(jī)網(wǎng)絡(luò)安全貢獻(xiàn)自己的力量。

第三，強(qiáng)化用戶安全意識，計算機(jī)的價格日益普及，計算機(jī)網(wǎng)絡(luò)的用戶也是與日俱增，由于群體技術(shù)龐大，導(dǎo)致多樣性的存在，用戶掌握的網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)安全意識參差不齊，讓計算機(jī)安全成為一個值得深入研究的課題，互聯(lián)網(wǎng)高水平的使用者占少數(shù)，大部分用戶網(wǎng)絡(luò)安全意識差，網(wǎng)絡(luò)技術(shù)水平偏低，給不法分子以可乘之機(jī)，也造成了互聯(lián)網(wǎng)病毒木馬的泛濫，為互聯(lián)網(wǎng)安全埋下了隱患，計算機(jī)網(wǎng)絡(luò)安全分層評價防護(hù)體系能夠優(yōu)化網(wǎng)絡(luò)管理，減少用戶被攻擊的次數(shù)，也能夠提升用戶的網(wǎng)絡(luò)安全意識，用戶可以通過安裝殺毒軟件，拒絕盜版系統(tǒng)，使用正版系統(tǒng)軟件，及時更新系統(tǒng)補(bǔ)丁，為計算機(jī)加設(shè)安全口令等等。培養(yǎng)強(qiáng)化用戶的安全意識也可以反過來作用于計算機(jī)網(wǎng)絡(luò)安全分層評價防護(hù)體系，使其進(jìn)一步完善，網(wǎng)絡(luò)安全沒有絕對可言，任何的數(shù)據(jù)防護(hù)和安全都是有局限性和針對性的，用戶需要對此有一定了解，及時對關(guān)鍵數(shù)據(jù)進(jìn)行備份，定期對計算機(jī)設(shè)備進(jìn)行病毒查殺等，除開用戶的安全意識，另外一方面，還應(yīng)建設(shè)可靠的安全管理制度，比如設(shè)備的訪問控制權(quán)限，設(shè)備的管理制度，應(yīng)急處理和網(wǎng)絡(luò)管理制度，只有多方面的協(xié)調(diào)才能進(jìn)最大地可能實(shí)現(xiàn)互聯(lián)網(wǎng)安全。

【參考文獻(xiàn)】

[1]計算機(jī)網(wǎng)絡(luò)安全分層評價防護(hù)體系研究[D].吉林大學(xué)， 2016.

[2]胡宇航，陳圣健，孫銘陽.計算機(jī)網(wǎng)絡(luò)安全分層評價防護(hù)體系研究[J].通訊世界，2017，（11）：123-123.