【導讀】計算機網絡是現代數字信息傳輸與存儲的主要通道之一,隨着其在日常應用中的深入,基於網絡的信息安全問題越來越多,針對網絡信息的信息竊取與泄露事件時有發生,因此建立完善可用的計算機網絡安全防護體系顯得日趨重要。爲提供高效可靠的安全防護性能,諸多安全防護技術被應用到計算機網絡,如數據加密與簽名認證、主動防禦技術、網絡訪問控制技術、防火牆技術等。這些技術在某些方面具有良好的應用效果,但是存在一定的應用侷限性。爲提升計算機網絡的適應性、動態性和靈活性,必須應用多種相互匹配的安全防護技術構成安全防護體系,爲計算機網絡提供足夠的安全防護措施。
1 計算機網絡安全防護體系
傳統的計算機網絡安全防護更多集中在網絡運行過程的安全防護技術應用,但是隨着網絡***手段的演變與增加,傳統的防火牆技術、數據加密技術、用戶身份認證技術等安全防護手段已經無法滿足應用需求,針對計算機網絡的安全防護開始從被動防禦向主動防禦轉變,由單獨安全防護技術應用向網絡安全防護體系建設發展。綜合來看,計算機網絡安全防護體系主要由三部分內容構成:網絡安全評估部分、安全防護相關技術部分以及網絡安全服務部分。每一部分中又包含若干具體的網絡安全防護措施,他們共同作用向計算機網絡提供安全防護服務。
2 計算機網絡安全防護體系中的關鍵技術
2.1 系統漏洞掃描
任何計算機網絡中都不可避免的存在漏洞或缺陷,這些漏洞或缺陷一旦被惡意利用即有可能對計算機網絡以及網絡中的用戶造成安全威脅。爲解決和預防因漏洞所帶來的安全問題,要定期對計算機網絡進行漏洞掃描和漏洞修復。
2.2 網絡訪問與應用管理技術
爲增強網絡應用的規範性,同時提升網絡安全問題發生後的追溯與分析能力,可以使用身份認證技術對網絡用戶進行身份認證,併爲用戶分配對應的網絡操作權限。這一方面可以提升非法用戶訪問網絡的難度,另一方面還可以對網絡用戶的異常操作行爲進行記錄與追蹤。
2.3 防火牆技術
防火牆技術是一種內網與外網通信過程中的網絡訪問控制技術。該技術可以按照用戶設定的安全防護策略對不同網絡之間的信息傳輸與網絡訪問等行爲進行監控與數據檢查,以確認網絡運行是否正常,數據通信是否被允許。目前常用的防火牆技術有包過濾防火牆、地址轉換防火牆以及代理防火牆等三種。
其中,包過濾防火牆技術會對網絡中傳輸的數據包進行地址審查,確認數據傳輸域發送地址是否可信任,若地址不可信則濾除該信息的接收與發送操作;地址轉換防火牆技術可以將內網的IP地址轉換爲外網的IP地址,從而隱藏通信終端的真實地址,避免外網與內網終端之間建立直接通信連接;代理防火牆技術使用代理服務器技術將通信雙方的通信數據進行接收與轉發,使得客戶端與網絡服務器之間的數據通信需要經過兩次通路才能夠實現,這樣便提升了內網的安全性。
2.4 ***檢測技術
***檢測技術是一種主動防禦技術,該技術可以應用多種相關技術制定與網絡環境相匹配的安全規則,並利用該規則對從網絡中獲取的數據信息進行分析,進而對網絡的運行狀態進行監控,判斷網絡中是否存在安全威脅。***檢測技術根據檢測數據的類型可以分爲異常檢測與濫用監測兩種。前者以用戶的統計行爲習慣作爲特徵參量來辨認網絡中是否存在***行爲,該技術是一種自適應技術,可用於對未知***行爲進行檢測與防禦;後者則是以網絡信息檢測規則來判斷是否存在***行爲,由於該技術是基於規則而實現的,因而其主要用於對己知的***類型與***行爲進行檢測與防禦。
2.5 數據加密與數字簽名技術
數據加密技術主要用於防止數據在計算機網絡傳輸過程中產生的信息泄露或竊取,其根據加密數據應用類型不同可以分爲傳輸加密、存儲加密以及完整性驗證等三種。
在傳輸加密中,端加密技術可以將需要傳輸的明文數據信息轉變爲密文信息,該信息只有使用與之相匹配的解密算法和解密密鑰才能夠恢復成爲正確的明文信息,線路加密技術可以對信息傳輸的路徑進行加密,使數據的傳輸路徑得到安全保護。
在存儲加密中,數據加密算法可以將需要存儲的信息轉換爲密文信息,該密文信息在需要存取時需要進行用戶身份驗證與權限審查,只有合法用戶在其權限範圍內才能夠對數據進行相應的操作。
在數據完整性驗證中,數據中包含了發件人、收件人以及數據相關內容的驗證與鑑別信息,在驗證數據完整性時需要數據使用對象按照相應的驗證參數進行特徵驗證,確認信息是否完整或受到篡改。數字簽名技術在數據完整性驗證中具有非常重要的應用意義。
2.6 其他網絡安全服務
爲構成一個完整有效的網絡安全服務體系,除了上述安全防護技術外,還應該在網絡中提供應急保障服務,以確保出現安全問題時能夠儘量減小問題所造成的影響,最短時間內將網絡恢復到正常運行狀態。這就要求~方面要建立和完善應急服務體系,如雙系統待機等,保證一條網絡出現問題時可以及時切換到備用網絡;另一方面要建立和完善數據恢復體系,如服務器雙熱備份等,保證網絡服務器出現數據損毀或缺失時能夠存在備用數據庫將其恢復。此外,科學規範的網絡安全使用培訓也是非常有必要的,其可以降低人爲因素所帶來的網絡安全威脅。
參考文獻
[1]彭瑁,高瑁.計算機網絡信息安全及防護策略研究[J].計算機與數字工程,2011,39(1).
[2]盧鵬.計算機網絡安全及其防護策略探析[J].硅谷,2009(12).
[3]王永中.計算機網絡管理技術及其應用[J].科技信息導報,2007(01).