徐宛東

（中石化共享服務(wù)公司南京分公司，江蘇 南京 210000）

物聯(lián)網(wǎng)和云計(jì)算在得到了廣泛的應(yīng)用和推廣后，數(shù)據(jù)量和信息量不斷增長(zhǎng)。人們?cè)谶M(jìn)入大數(shù)據(jù)時(shí)代后，計(jì)算機(jī)網(wǎng)絡(luò)信息安全問(wèn)題逐步凸顯，例如數(shù)據(jù)丟失、黑客介入等安全隱患增加，這些信息安全問(wèn)題都會(huì)使計(jì)算機(jī)系統(tǒng)出現(xiàn)癱瘓等問(wèn)題，影響整個(gè)計(jì)算機(jī)信息系統(tǒng)的正常運(yùn)轉(zhuǎn)，用戶的財(cái)產(chǎn)安全和個(gè)人信息安全也會(huì)產(chǎn)生較大的損失。因此，加強(qiáng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息安全技術(shù)的研究至關(guān)重要，對(duì)維護(hù)網(wǎng)絡(luò)信息安全具有重要的意義。

1 大數(shù)據(jù)時(shí)代下的網(wǎng)絡(luò)信息安全問(wèn)題

1.1 黑客入侵，容易出現(xiàn)泄密的風(fēng)險(xiǎn)

大數(shù)據(jù)時(shí)代下，網(wǎng)絡(luò)中的敏感數(shù)據(jù)和信息呈現(xiàn)海量增長(zhǎng)，在其處理過(guò)程中如果遭到黑客的攻擊或者相關(guān)人員故意泄露重要信息，就會(huì)增加系統(tǒng)泄密的風(fēng)險(xiǎn)[1]。尤其是軍事單位或者政府的機(jī)構(gòu)單位中的重要信息被泄露，就會(huì)造成較大的損失。例如，一些黑客在進(jìn)行非法進(jìn)攻時(shí)主要采用主動(dòng)式和被動(dòng)式的方式，對(duì)目標(biāo)數(shù)據(jù)展開(kāi)攻擊，進(jìn)而造成信息泄露或者遺失。如果計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)使用不當(dāng)，缺乏安全防護(hù)意識(shí)，在操作中極易出現(xiàn)泄露用戶安全口令等問(wèn)題，造成信息的丟失。

1.2 經(jīng)常發(fā)生服務(wù)中斷的現(xiàn)象

計(jì)算機(jī)網(wǎng)絡(luò)在遭受到人們的故意攻擊或者破壞后，計(jì)算機(jī)系統(tǒng)很難正常運(yùn)轉(zhuǎn)。例如，企業(yè)在開(kāi)展重要的決策會(huì)議或者視頻會(huì)議后，其重要的文件無(wú)法流轉(zhuǎn)，這不僅使工作陷入停止的狀態(tài)，還會(huì)影響整體的工作效率。

1.3 病毒的入侵，給企業(yè)帶來(lái)重大經(jīng)濟(jì)損失

計(jì)算機(jī)網(wǎng)絡(luò)信息具有開(kāi)放式特征，這種特征在一定程度上為網(wǎng)絡(luò)病毒的入侵創(chuàng)造了機(jī)會(huì)和入口，使計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題越來(lái)越嚴(yán)。這些病毒具有破壞性強(qiáng)、隱蔽性強(qiáng)和傳播性快等特征，主要依靠硬盤、軟盤等進(jìn)行傳播，計(jì)算機(jī)一旦遭到網(wǎng)絡(luò)病毒的入侵就會(huì)給網(wǎng)絡(luò)信息安全帶來(lái)嚴(yán)重的損害和不良的后果，給企業(yè)帶來(lái)重大的經(jīng)濟(jì)損失。

2 計(jì)算機(jī)網(wǎng)絡(luò)信息安全技術(shù)的分析和應(yīng)用

2.1 虛擬專用網(wǎng)技術(shù)的功能

隨著大數(shù)據(jù)時(shí)代的到來(lái)，企業(yè)信息安全問(wèn)題引起了人們高度的重視，當(dāng)企業(yè)研發(fā)出新的系統(tǒng)時(shí)，首先要網(wǎng)絡(luò)信息系統(tǒng)的安全性和可行性。目前，企業(yè)的網(wǎng)上信息系統(tǒng)主要有：網(wǎng)站信息處理系統(tǒng)；內(nèi)部員工開(kāi)放的系統(tǒng)；用戶開(kāi)放的遠(yuǎn)程應(yīng)用系統(tǒng)。為了能夠進(jìn)行遠(yuǎn)程的辦公，保障遠(yuǎn)程辦公時(shí)的數(shù)據(jù)、信息安全性，可以利用當(dāng)?shù)毓簿W(wǎng)絡(luò)，通過(guò)虛擬專用網(wǎng)絡(luò)隧道進(jìn)入企業(yè)的內(nèi)部網(wǎng)站，以實(shí)現(xiàn)異地辦公，對(duì)用戶的訪問(wèn)權(quán)限進(jìn)行適當(dāng)?shù)南拗?，使公司的?nèi)部系統(tǒng)安全性得到有效保障[2]。在訪問(wèn)過(guò)程中需要訪問(wèn)與自身相關(guān)的遠(yuǎn)程應(yīng)用信息。表1 驗(yàn)證了網(wǎng)絡(luò)隧道機(jī)制是否能夠成功應(yīng)用到新系統(tǒng)的研發(fā)中。

2.2 防火墻技術(shù)

2.2.1 防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用

大數(shù)據(jù)時(shí)代下，想要控制惡意破壞網(wǎng)絡(luò)信息的行為，并且還要在一定程度上阻止病毒對(duì)網(wǎng)絡(luò)信息安全行為的破壞，除了加強(qiáng)人員的安全防護(hù)意識(shí)，還需要使用防火墻技術(shù)，對(duì)非法入侵的行為等進(jìn)行管理。其中，防火墻技術(shù)主要是利用拓?fù)浣Y(jié)構(gòu)提升網(wǎng)絡(luò)運(yùn)行的安全性和可靠性，將網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行內(nèi)外整合，使其更加安全。另外，防火墻還能夠?qū)Χ鄻踊《具M(jìn)行有效抑制，從而使計(jì)算機(jī)網(wǎng)絡(luò)能夠得到正常的運(yùn)行。

2.2.2 防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)信息安全中的技術(shù)應(yīng)用

2.2.2.1 包過(guò)濾防火墻

包過(guò)濾防火墻能夠借助相關(guān)軟件的查看功能對(duì)流經(jīng)的數(shù)據(jù)包查看包頭，然后借助該功能對(duì)數(shù)據(jù)包的安全性進(jìn)行分析。這種技術(shù)主要應(yīng)用于OSL 七層模型中的網(wǎng)絡(luò)數(shù)據(jù)層中。在使用包過(guò)濾防火墻技術(shù)對(duì)計(jì)算機(jī)開(kāi)展自動(dòng)化的檢查后，提前對(duì)檢查邏輯思路進(jìn)行全面設(shè)定，然后分析安全監(jiān)測(cè)的情況，檢查端口、地址和源地址。在保障這些數(shù)據(jù)包中的信息與規(guī)定邏輯一致后，其數(shù)據(jù)包才能通過(guò)安全檢查[3]。相反，如果出現(xiàn)不一致的問(wèn)題，就會(huì)出現(xiàn)阻止下載與操作的警示。因此，借助這種方式能夠?qū)τ?jì)算機(jī)網(wǎng)絡(luò)信息安全問(wèn)題加強(qiáng)防護(hù)，使計(jì)算機(jī)網(wǎng)絡(luò)信息安全水平得到不斷提升，如圖1 所示。

表1 內(nèi)部網(wǎng)絡(luò)隧道機(jī)制實(shí)驗(yàn)的結(jié)果分析

圖1 包過(guò)濾防火墻技術(shù)工作原理

2.2.2.2 應(yīng)用網(wǎng)關(guān)防火墻

相比于包過(guò)濾防火墻技術(shù)，這種技術(shù)的安全防護(hù)水平更高。用戶在使用網(wǎng)關(guān)防火墻技術(shù)進(jìn)行計(jì)算機(jī)的網(wǎng)絡(luò)信息安全防護(hù)時(shí)，通過(guò)對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行重復(fù)的驗(yàn)證后，才有資格對(duì)網(wǎng)絡(luò)資源和相關(guān)的信息開(kāi)展訪問(wèn)、操作，當(dāng)出現(xiàn)重復(fù)性的驗(yàn)證錯(cuò)誤后，可能會(huì)出現(xiàn)阻止訪問(wèn)的問(wèn)題。例如：在驗(yàn)證的方式上主要有口令、密碼等，其驗(yàn)證的時(shí)間相對(duì)較短，黑客攻擊的時(shí)間也相對(duì)較短，很難對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息產(chǎn)生較大的攻擊。同時(shí)，網(wǎng)關(guān)防火墻的類型主要有2 種：直通式防火墻和連接網(wǎng)關(guān)防火墻。后者防火墻在應(yīng)用時(shí)需要進(jìn)行認(rèn)證，并且該認(rèn)證的信息條款相對(duì)較多，可以利用解獲數(shù)據(jù)流量進(jìn)行驗(yàn)證，同時(shí)也可以加強(qiáng)對(duì)應(yīng)用層的保護(hù)。前者防火墻的功能較弱，因此在選擇防火墻技術(shù)時(shí)需要根據(jù)用戶的需求進(jìn)行有效確定。

2.2.2.3 檢測(cè)防火墻

檢測(cè)防火墻是一種最新的防火墻技術(shù)，該技術(shù)的優(yōu)勢(shì)更為明顯，即能夠?qū)Σ煌瑢哟蔚臄?shù)據(jù)開(kāi)展實(shí)時(shí)監(jiān)控，然后把這些數(shù)據(jù)作為參考的信息，在各種網(wǎng)絡(luò)端口或者計(jì)算機(jī)服務(wù)器上對(duì)數(shù)據(jù)進(jìn)行探測(cè)，這種方式能夠?qū)Ω鞣N網(wǎng)絡(luò)攻擊行為開(kāi)展實(shí)時(shí)的檢測(cè)。抵抗內(nèi)部出現(xiàn)的攻擊行為，減少數(shù)據(jù)被盜取和丟失的情況。同時(shí)該技術(shù)還能夠?qū)P 包載荷的內(nèi)容等進(jìn)行讀取，然后建立相應(yīng)的OSL 的應(yīng)用層信息，開(kāi)展對(duì)流量的有效管理。

2.3 病毒防護(hù)技術(shù)

由于網(wǎng)絡(luò)的廣泛互聯(lián)，病毒傳播的速度加快。目前病毒傳播的途徑見(jiàn)表2。

表2 病毒傳播的主要途徑

2.4 入侵檢測(cè)技術(shù)

2.4.1 入侵檢測(cè)技術(shù)的分類

Denning 等人對(duì)入侵檢測(cè)技術(shù)開(kāi)展了相關(guān)的研究，其通過(guò)對(duì)數(shù)據(jù)采集、入侵等相應(yīng)問(wèn)題進(jìn)行綜合的分析后，建立了相應(yīng)的模型，然后，對(duì)入侵檢測(cè)技術(shù)的構(gòu)成進(jìn)行了描述，如圖2 所示。

入侵檢測(cè)技術(shù)可以分為2 種，即基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)和基于主機(jī)的入侵檢測(cè)系統(tǒng)。該文主要針對(duì)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)進(jìn)行了分析。

圖2 入侵檢測(cè)通用模型

2.4.2 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的應(yīng)用

基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)主要是對(duì)網(wǎng)絡(luò)信息開(kāi)展有效的防護(hù)。這已經(jīng)成為入侵檢測(cè)技術(shù)發(fā)展的主要趨勢(shì)。當(dāng)被保護(hù)的子網(wǎng)與外部網(wǎng)絡(luò)開(kāi)展通信時(shí)，這種技術(shù)主要是通過(guò)網(wǎng)絡(luò)嗅探，從網(wǎng)絡(luò)接口中獲取分組報(bào)文，如圖3 所示。入侵分析引擎能夠?qū)λ厝〉膱?bào)文數(shù)據(jù)開(kāi)展有效的處理，并通過(guò)解析數(shù)據(jù)體和數(shù)據(jù)包包頭，對(duì)引擎進(jìn)行分析，進(jìn)而提取出用戶行為的特征模式。在高負(fù)載的網(wǎng)絡(luò)環(huán)境中借助命令解析或者協(xié)議解析的方式能夠?qū)?shù)據(jù)包進(jìn)行逐一的解析。

圖3 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)

入侵規(guī)則庫(kù)在對(duì)出現(xiàn)的規(guī)則進(jìn)行描述后，能夠了解到攻擊行為的特征。當(dāng)出現(xiàn)異常的行為或者潛在的破壞者時(shí)，其行為特征將會(huì)進(jìn)入入侵規(guī)則庫(kù)中，進(jìn)而對(duì)出現(xiàn)的行為檢測(cè)出未知的攻擊行為。當(dāng)出現(xiàn)入侵行為后，提取出的行為特征模式將與規(guī)則庫(kù)的匹配情況相一致，相反，用戶屬于正常的行為。同時(shí)，該技術(shù)中還包括相應(yīng)模塊，當(dāng)相應(yīng)模塊接收到信息后，就會(huì)發(fā)出報(bào)警信號(hào)等，進(jìn)而對(duì)當(dāng)前的行為開(kāi)展有效監(jiān)督，幫助管理人員了解到相應(yīng)的實(shí)時(shí)狀況。

2.5 基于網(wǎng)絡(luò)的漏洞掃描技術(shù)

TCP 協(xié)議和UDP 協(xié)議TCPIIP 協(xié)議傳輸層中的2 個(gè)用于控制數(shù)據(jù)傳輸?shù)膮f(xié)議，能夠?qū)Υ罅康亩丝谶M(jìn)行控制，因此，受到了很多黑客的關(guān)注[4]。

2.5.1 端口掃描技術(shù)

端口掃描技術(shù)適用于不易被發(fā)現(xiàn)的情況，即端口出發(fā)后能夠篩選活動(dòng)的服務(wù)器端，進(jìn)而對(duì)可疑的用戶進(jìn)行及時(shí)的發(fā)現(xiàn)。針對(duì)這種情況，能夠有效避免用戶出現(xiàn)造假問(wèn)題。

2.5.2 弱口令漏洞掃描技術(shù)

該技術(shù)的應(yīng)用能夠有效提升用戶的體驗(yàn)效果。所有的網(wǎng)絡(luò)業(yè)務(wù)將權(quán)限分配給用戶，即計(jì)算機(jī)的登陸賬號(hào)和密碼，兩者在聯(lián)合使用后能夠降低網(wǎng)絡(luò)安全問(wèn)題發(fā)生的概率，只有對(duì)用戶名進(jìn)行破解或密碼的破解后才能盜取相關(guān)的信息。因此，掃描各個(gè)用戶的弱口令能夠提升用戶的安全問(wèn)題。

2.6 VPN技術(shù)

2.6.1 企業(yè)對(duì)VPN 技術(shù)的需求

企業(yè)與各分支之間在相互聯(lián)系時(shí)主要利用internet 網(wǎng)絡(luò)進(jìn)行有效的連接，internet 網(wǎng)絡(luò)屬于公用的網(wǎng)站，在使用時(shí)需要對(duì)其安全性予以重視。因此，我們將能夠?qū)崿F(xiàn)的私用網(wǎng)絡(luò)稱為虛擬的私用網(wǎng)。

2.6.2 IPSEC

IP v4 及IP v6 上的加密通信框架主要為IPSEC，受到了很多廠商的重視，是VPN 實(shí)現(xiàn)的Internet 標(biāo)準(zhǔn)。IPSEC能夠提供的能力主要是IP 網(wǎng)絡(luò)層上的加密通信能力，即能夠?yàn)槊恳粋€(gè)IP 提供包頭格式，Authentication Header（AH）及encapsualting security payload（ESP）。IPsec 使用ISAKMP/Oakley 及SKIP 進(jìn)行密鑰交換、管理及加密通信協(xié)商（Security Association）。

2.7 數(shù)據(jù)保存和流通的加密技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)中經(jīng)常出現(xiàn)數(shù)據(jù)保存和數(shù)據(jù)流通的問(wèn)題。加強(qiáng)對(duì)這兩方面的保護(hù)已經(jīng)成為計(jì)算機(jī)網(wǎng)絡(luò)安全中亟需解決的問(wèn)題。一方面，加大對(duì)數(shù)據(jù)保存文件的加密措施；另一方面，采用數(shù)據(jù)流通中的加密技術(shù)。即通過(guò)線路加密或者端對(duì)端加密的方式，對(duì)傳輸中的一些數(shù)據(jù)進(jìn)行安全保護(hù)，然后制定不同的加密密鑰等對(duì)目標(biāo)數(shù)據(jù)開(kāi)展有效的保護(hù)。

其中，端對(duì)端加密主要是借助加密軟件來(lái)實(shí)現(xiàn)。文件發(fā)送者借助加密軟件對(duì)所發(fā)送的目標(biāo)數(shù)據(jù)進(jìn)行加密，然后將其轉(zhuǎn)為加密文的方式向?qū)Ψ竭M(jìn)行有效傳輸。當(dāng)對(duì)方在接收到相關(guān)的數(shù)據(jù)信息后，需要運(yùn)用密鑰來(lái)解密，這就形成了明文過(guò)程，圖4 為數(shù)據(jù)加密解密的技術(shù)工作圖。

圖4 數(shù)據(jù)加密解密的技術(shù)

3 結(jié)語(yǔ)

大數(shù)據(jù)時(shí)代下，網(wǎng)絡(luò)信息安全問(wèn)題成了人們關(guān)注的主要話題，大數(shù)據(jù)技術(shù)的應(yīng)用能夠?yàn)槠髽I(yè)的發(fā)展帶來(lái)更多的經(jīng)濟(jì)效益。在應(yīng)用大數(shù)據(jù)時(shí)需要注重網(wǎng)絡(luò)安全問(wèn)題，一方面是對(duì)數(shù)據(jù)信息的安全防護(hù)，另一方面是保障計(jì)算機(jī)系統(tǒng)的正常運(yùn)行。計(jì)算機(jī)網(wǎng)絡(luò)具有開(kāi)放性和覆蓋性強(qiáng)等特征，在運(yùn)行過(guò)程中會(huì)產(chǎn)生不同程度的安全問(wèn)題，給企業(yè)的發(fā)展帶來(lái)不良的影響和重大經(jīng)濟(jì)損失。因此，該文在列舉出多種計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)后，為加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全信息的問(wèn)題提供了更多可能性，加強(qiáng)了對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息安全的保護(hù)，促進(jìn)了各項(xiàng)數(shù)據(jù)信息的正常傳輸。