袁杰

【關(guān)鍵詞】網(wǎng)絡(luò)安全隱患;機房;網(wǎng)絡(luò)安全技術(shù)

【中圖分類號】TP393 【文獻標(biāo)識碼】A 【文章編號】1674-0688（2021）06-0087-03

0 引言

信息時代下，互聯(lián)網(wǎng)具有娛樂、商務(wù)、學(xué)習(xí)等各種功能，且其功能正處于不斷擴展的趨勢中，相應(yīng)地，含有大量互聯(lián)網(wǎng)技術(shù)載體的機房網(wǎng)絡(luò)安全重要性也在不斷提升，針對當(dāng)前不法分子的惡意攻擊和系統(tǒng)本身使用等方面造成的安全隱患，需要采用針對性的安全技術(shù)進行解決，提升其運行的安全性。

1 機房網(wǎng)絡(luò)安全隱患

1.1 機房技術(shù)和軟件隱患

從當(dāng)前機房網(wǎng)絡(luò)設(shè)計技術(shù)來看，常見的設(shè)計方式就是網(wǎng)絡(luò)拓撲，相關(guān)人員在操作計算機進入服務(wù)器的過程中會經(jīng)過防火墻的監(jiān)控，但是這種防火墻的設(shè)置會受用戶登錄方式的影響，有一定的設(shè)計漏洞，如果選用撥號登錄網(wǎng)絡(luò)，防火墻則不會有監(jiān)控效果，進而產(chǎn)生安全問題。

同時，計算機在使用過程中會根據(jù)用戶的個人需求而運行各種不同的軟件，如繪圖軟件、社交軟件及辦公軟件等，其可能由于經(jīng)濟性、便捷性等多種因素的影響，在下載軟件的過程中，選擇的都是非正版的免費軟件，這類軟件的漏洞很多，安全性根本沒有保障，會帶來嚴(yán)重的安全隱患，為不法分子提供可乘之機，影響機房網(wǎng)絡(luò)安全。此外，還會受軟件設(shè)計的影響，部分程序員在設(shè)計軟件的過程中會存在緩沖溢出問題，一旦在測試環(huán)節(jié)沒有發(fā)現(xiàn)該問題，則會降低軟件本身的安全性，如果用戶下載該軟件則會為機房網(wǎng)絡(luò)帶來同樣的安全隱患[1]。

1.2 系統(tǒng)管理和惡意攻擊隱患

部分單位在建設(shè)機房網(wǎng)絡(luò)的過程中，缺乏安全意識，未能按照建設(shè)標(biāo)準(zhǔn)形成統(tǒng)一的安全體系，在安全驗證、訪問授權(quán)及密碼設(shè)置上存在一定的不足，造成機房系統(tǒng)本身在安全上的不足，留有較多的安全漏洞。例如，已經(jīng)離職的員工還可以登錄機房管理系統(tǒng)，就可能會導(dǎo)致由于員工個人因素而引入計算機病毒，降低安全性。

此外，機房網(wǎng)絡(luò)還會被迫面對惡意攻擊行為，受到人為破壞，產(chǎn)生相應(yīng)的風(fēng)險，其分成被動攻擊和主動攻擊兩種形式。其中，被動攻擊主要是指在用戶沒有察覺的情況上，竊取用戶的個人資料、企劃方案等機密信息，這種行為不會損壞計算機系統(tǒng)本身，但是會對用戶產(chǎn)生嚴(yán)重影響;而主動攻擊則是對計算機系統(tǒng)本身的破壞行為，通過篡改、刪除等降低系統(tǒng)性能，使計算機系統(tǒng)崩潰，用戶不能訪問系統(tǒng)。

1.3 病毒和木馬隱患

病毒和木馬對機房網(wǎng)絡(luò)的破壞一般需要具有一定技術(shù)水平的黑客完成，通過在計算機系統(tǒng)中安裝破壞性程序，使其在點擊打開該程序的過程中系統(tǒng)發(fā)生崩潰或者計算機中的數(shù)據(jù)會產(chǎn)生泄露，導(dǎo)致無法使用，并利用計算機對程序的自動復(fù)制能力，將病毒進行傳遞，感染其他的計算機系統(tǒng)，形成大面積的影響。正常情況下，黑客的攻擊方向側(cè)重于游戲服務(wù)器上，通過植入病毒獲取游戲賬戶、網(wǎng)銀賬戶等信息以謀得個人利益。

病毒和木馬隱患與用戶下載軟件行為有關(guān)，如果用戶的下載行為不規(guī)范，軟件中安裝木馬或者捆綁軟件的可能性會很大，只要打開就會造成病毒入侵。按照其入侵形式來看，當(dāng)前計算機病毒種類可以分成系統(tǒng)修改型、代碼取代攻擊性、源代碼嵌入攻擊型、外殼附加型4種，在信息化技術(shù)的發(fā)展中，其種類還會增多，且破壞性和傳播力會更強，嚴(yán)重影響機房網(wǎng)絡(luò)安全。此外，還存在一定的自然隱患，主要是指物理層面的因素，如突發(fā)性的火災(zāi)、地震、水災(zāi)等同樣是機房網(wǎng)絡(luò)安全隱患的一部分，機房中的電源故障、環(huán)境系統(tǒng)、管理人員的管理行為是否合理也會直接影響其安全性。

2 維護機房網(wǎng)絡(luò)安全技術(shù)分析

首先，防火墻技術(shù)。防火墻技術(shù)分為3類，分別為包過濾防火墻、應(yīng)用程序代理防火墻和動態(tài)檢測防火墻。包過濾防火墻：一代防火墻和基本形式的防火墻在進行維護網(wǎng)絡(luò)安全的過程中會使用檢查網(wǎng)絡(luò)包的形式，并根據(jù)自身獨特的運行規(guī)則，將網(wǎng)絡(luò)包進行丟棄、放行。這種防火墻的優(yōu)點為對每條傳入或傳出的網(wǎng)絡(luò)包進行低水平的控制，如IP包中源地址、目的地址等信息可以輕易獲取，并在網(wǎng)絡(luò)運行中作為兩個網(wǎng)絡(luò)之間不可避免的訪問來源，對信息的控制力度強。但在應(yīng)用中也存在一定的弊端，如包過濾防火墻的配置困難，如果在建立時未能完善其規(guī)則規(guī)制或有錯誤操作，將會在網(wǎng)絡(luò)防火墻上產(chǎn)生漏洞，并且在特定服務(wù)端開放的端口可能出現(xiàn)用于其他傳輸?shù)奈ｋU操作。應(yīng)用程序代理防火墻：其核心理念為網(wǎng)絡(luò)內(nèi)部用戶對外部通信時，需要結(jié)合使用應(yīng)用程序安裝代理程序代碼，避免直接通信。常見的應(yīng)用程序有HTTP、SMTP、NNTP等。其優(yōu)點是可以對既定的連接、協(xié)議等加強控制，避免出現(xiàn)不必要的網(wǎng)絡(luò)服務(wù)。其限制因素為需要選擇應(yīng)用程序，避免使用不支持代理連接的應(yīng)用程序。動態(tài)檢測防火墻：在應(yīng)用中可以跟蹤網(wǎng)絡(luò)連接和網(wǎng)絡(luò)包，可結(jié)合一組附加標(biāo)準(zhǔn)選擇對通信的處理方式。其具有較強的記錄能力，可以對每個網(wǎng)絡(luò)包的詳細信息進行獲取，缺點為在有多個連接同時激活時，會降低工作效率。

其次，入侵檢測技術(shù)。這種技術(shù)在機房網(wǎng)絡(luò)安全保護應(yīng)用中效果最好、安全防護最有效。其主要功能為當(dāng)檢測到有惡意的網(wǎng)絡(luò)入侵現(xiàn)象時，可以及時對計算機使用者進行安全警報提示，并采取一系列的防護措施，在使用這種技術(shù)進行網(wǎng)絡(luò)安全防護時，應(yīng)結(jié)合其對網(wǎng)絡(luò)協(xié)議有針對效果的特征，建立入侵檢測系統(tǒng)于關(guān)鍵節(jié)點位置，在這個節(jié)點即可實現(xiàn)對網(wǎng)絡(luò)狀態(tài)、數(shù)據(jù)等內(nèi)容的過濾、分析等，有利于減少出現(xiàn)惡意入侵行為。

再次，信息對抗技術(shù)。這種安全技術(shù)主要是防范黑客入侵、網(wǎng)絡(luò)惡意程序攻擊和入侵行為等進行安全防護。在計算機中結(jié)合信息偽裝理論、監(jiān)控入侵檢測等原理，在面對黑客入侵等問題，可以建立人工免疫系統(tǒng)，以此反擊黑客入侵。

最后，通信網(wǎng)絡(luò)內(nèi)部協(xié)議安全技術(shù)。這種技術(shù)是保護網(wǎng)絡(luò)內(nèi)部協(xié)議采用鑒別數(shù)據(jù)的認證和完整性的方式運行的。在應(yīng)用設(shè)計中會選擇使用密碼算法和哈希函數(shù)進行構(gòu)建，當(dāng)計算機收到網(wǎng)絡(luò)數(shù)據(jù)時，根據(jù)數(shù)據(jù)的源發(fā)起點使用通信網(wǎng)絡(luò)內(nèi)部協(xié)議安全技術(shù)，即可完成數(shù)據(jù)安全性的認證和鑒別。因此，這種技術(shù)在網(wǎng)絡(luò)安全維護中應(yīng)用具有很強的便捷性，其在安全協(xié)議中只需要結(jié)合一次完整的信令過程加密，即可實現(xiàn)保障機房網(wǎng)絡(luò)安全的作用。

3 網(wǎng)絡(luò)安全技術(shù)在機房中的應(yīng)用策略

3.1 優(yōu)化防火墻

防火墻是保證計算機系統(tǒng)安全的主要手段，應(yīng)用在機房網(wǎng)絡(luò)上可以起到良好的安全防御性，其可以有效分析機房網(wǎng)絡(luò)中的信息流，對其進行篩選，限制信息流通，避免危險信息進入內(nèi)網(wǎng)，為內(nèi)外網(wǎng)的連接打造安全環(huán)境。在應(yīng)用該技術(shù)的過程中需要重視管理，保證其可以選擇合適的登錄方式，規(guī)范用戶行為。當(dāng)前，防火墻技術(shù)應(yīng)用的功能主要有3點：①狀態(tài)監(jiān)測技術(shù)，即根據(jù)用戶行為實時動態(tài)地監(jiān)測信息，利用防火墻數(shù)據(jù)包分析信息的安全性，一旦出現(xiàn)不安全成分則拒絕信息通過，提升機房安全。②控制危險服務(wù)，即在監(jiān)測信息、避免不安全成分流入的基礎(chǔ)上，防火墻還可以拒絕不安全服務(wù)，將所有潛在的危險因素隔絕在外。③集中性安全防護，將在內(nèi)網(wǎng)中的軟件按照用戶需要進行防護，提供身份認證、密碼管理及電子口令等服務(wù)，避免主機分散防護的低效率，同時具有屏蔽外網(wǎng)功能[2]。

3.2 嚴(yán)管軟件安裝

機房管理人員需要嚴(yán)格管控軟件安裝行為，盡可能選擇正規(guī)的正版軟件。對此，需要提升安全意識，加強對不正當(dāng)網(wǎng)站、不正規(guī)軟件危險性的講解，在機房內(nèi)部營造安全氛圍，鼓勵使用正版軟件。①管理人員可以定期做好機房人員的思想政治教育工作，使其可以規(guī)范行為，提升正確獲取軟件意識，盡量不使用網(wǎng)上的共享數(shù)據(jù)包，盡可能在相應(yīng)軟件的官網(wǎng)進行下載。②用獎懲制度進行帶有強制性的規(guī)范，不用主動管理機房人員下載軟件行為，而是在事后進行管理，一旦由于安裝軟件產(chǎn)生安全事故則需要進行嚴(yán)格的處罰，引起機房人員的注意，避免再犯。但是，這種方式對機房網(wǎng)絡(luò)安全的保障效果過低，一般都是在已經(jīng)出現(xiàn)問題、產(chǎn)生損失之后才能起到效果，需要管理人員結(jié)合機房實際情況理性使用，在堅持事前預(yù)防原則的前提下，如果出現(xiàn)問題要進行嚴(yán)懲，維護機房網(wǎng)絡(luò)運行的安全。

3.3 構(gòu)建加密體系

機房可以利用加密技術(shù)構(gòu)建一套密碼體系，當(dāng)利用算法、密鑰和明文進行加密處理，其主要有以下兩種形式：①非對稱加密，即信息發(fā)送人員和接收人員有兩種不同的密鑰，一般這兩種密鑰會劃分為私有和公開的，一方丟失不會影響系統(tǒng)信息，系統(tǒng)中的數(shù)據(jù)信息不會被盜取，其算法有Eigamal、RSA等，加密過程相較于共享密鑰加密更加復(fù)雜，效率不佳，但是具有良好的安全防護性。②共享密鑰加密，就是對稱加密，在接收信息或者發(fā)送信息過程中開展加密任務(wù)，屬于較為常見的機房網(wǎng)絡(luò)安全技術(shù)。包含AES、DES、TDEA 3種算法，其中DES的密鑰正常情況下為56位，具有較高的加密效率，加密范圍理想，適用于各種領(lǐng)域，屬于分組密碼;而AES則是以DES為基礎(chǔ)，其密鑰可以達到128位，安全保障效果，適應(yīng)于對安全要求較高的機房網(wǎng)絡(luò)中[3]。

3.4 設(shè)定安全等級

安全等級的設(shè)定更傾向于管理層面的保證網(wǎng)絡(luò)安全技術(shù)，需要機房建立管理等級，實行等級制度，根據(jù)用戶的等級情況開放對應(yīng)的權(quán)限。例如，基層管理人員具有查看信息、儲存信息的權(quán)限;中層管理人員在此基礎(chǔ)上增加搜索信息權(quán)限;高層管理人員為最高級別的安全等級，具有查看信息、儲存信息、搜索信息及修改信息的權(quán)限。需要結(jié)合機房所屬單位的實際情況進行設(shè)定，避免內(nèi)部人員超權(quán)操作計算機系統(tǒng)，降低安全性。

此外，應(yīng)加強對機房人員和機房環(huán)境的管理力度。①機房人員有較強的變動性，在其崗位發(fā)生變化的過程中，機房管理人員需要及時將其在機房中的權(quán)限情況進行調(diào)整，如果機房人員離職則立刻注銷其在機房網(wǎng)絡(luò)中的原有賬號。②優(yōu)化機房環(huán)境，做好電氣接地設(shè)備的檢查，并結(jié)合機房規(guī)模情況處理好降溫設(shè)施，合理設(shè)置空調(diào)數(shù)量，避免溫度過高縮短計算機壽命，降低數(shù)據(jù)安全，引進精密空調(diào)，為機房網(wǎng)絡(luò)創(chuàng)建優(yōu)質(zhì)環(huán)境基礎(chǔ)。

3.5 建立殺毒系統(tǒng)

機房需要利用殺毒軟件建立機房網(wǎng)絡(luò)的殺毒系統(tǒng)，將當(dāng)前性能較好的獵豹、360等殺毒軟件安裝在計算機系統(tǒng)中，提升機房網(wǎng)絡(luò)安全。①利用殺毒軟件定期進行全系統(tǒng)的掃描和殺毒，一旦系統(tǒng)含有漏洞或者軟件出現(xiàn)問題可以及時被發(fā)現(xiàn)，制訂相應(yīng)的解決方案，并且該網(wǎng)絡(luò)安全技術(shù)還可以讓機房管理人員增強對網(wǎng)絡(luò)狀態(tài)的理解，評估其安全性，做好防護準(zhǔn)備。②將殺毒軟件設(shè)置在計算機的操作終端可以有效阻止病毒郵件和軟件等具有病毒載體的入侵，結(jié)合其機房網(wǎng)絡(luò)實際情況，通過官方軟件靈活下載補丁，將系統(tǒng)漏洞及時進行修補，穩(wěn)定系統(tǒng)運行，提升安全性。此外，可以運用檢測入侵技術(shù)，識別網(wǎng)絡(luò)運行狀態(tài)，一旦存在問題則馬上進行警報，提前預(yù)警，密切關(guān)注外網(wǎng)情況，并檢測內(nèi)網(wǎng)情況。

4 結(jié)語

總而言之，針對當(dāng)前機房存在的網(wǎng)絡(luò)安全隱患，需要做好全方位的防護，加強安全建設(shè)，保證機房網(wǎng)絡(luò)的可靠性，在此基礎(chǔ)上加強對內(nèi)部人員的管理，將造成安全隱患的主客觀因素扼殺在搖籃中，從而為相關(guān)單位的運營提供安全的信息管理基礎(chǔ)。

參 考 文 獻

[1]張存燁.簡析計算機網(wǎng)絡(luò)安全中虛擬網(wǎng)絡(luò)技術(shù)的作用與效果[J].電腦編程技巧與維護，2020（12）：144-146.

[2]包隨義.開創(chuàng)民用機場網(wǎng)絡(luò)安全和信息化工作新局面[N].中國民航報，2020-12-17（006）.

[3]朱果平.試析計算機網(wǎng)絡(luò)安全技術(shù)發(fā)展中面臨的困境及解決對策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（12）：9-11.