程曉薇

關(guān)鍵詞：計(jì)算機(jī)通信網(wǎng)絡(luò)；安全防護(hù)；防護(hù)體系

計(jì)算機(jī)通信網(wǎng)絡(luò)中保存著大量的信息，為避免發(fā)生信息安全問(wèn)題，就必須結(jié)合多種先進(jìn)防護(hù)技術(shù)的應(yīng)用，以展開計(jì)算機(jī)通信網(wǎng)絡(luò)安全防護(hù)工作。

1計(jì)算機(jī)通信網(wǎng)絡(luò)安全防護(hù)的必要性分析

計(jì)算機(jī)通信網(wǎng)絡(luò)的關(guān)鍵為其中所存儲(chǔ)的大量信息，能夠?yàn)橛脩籼峁┒喾N信息服務(wù)，而在開放的網(wǎng)絡(luò)環(huán)境中，計(jì)算機(jī)通信網(wǎng)絡(luò)所面對(duì)的安全威脅相對(duì)較大，若不落實(shí)安全防護(hù)工作，則有可能造成信息泄漏、被篡改、丟失等問(wèn)題，威脅用戶的信息安全，甚至?xí)l(fā)網(wǎng)絡(luò)崩潰。因此，需要從多方面人手，并加大計(jì)算機(jī)通信網(wǎng)絡(luò)安全防護(hù)力度[1]。

總體而言，對(duì)計(jì)算機(jī)通信網(wǎng)絡(luò)進(jìn)行安全防護(hù)在當(dāng)前有著極高的實(shí)施價(jià)值與意義，是確保計(jì)算機(jī)通信網(wǎng)絡(luò)能夠長(zhǎng)時(shí)間安全、穩(wěn)定、高效運(yùn)行的重要舉措與必然選擇，從而實(shí)現(xiàn)對(duì)計(jì)算機(jī)通信網(wǎng)絡(luò)內(nèi)各類數(shù)據(jù)信息以及各項(xiàng)操作活動(dòng)的安全性維護(hù)。

2計(jì)算機(jī)通信網(wǎng)絡(luò)安全防護(hù)的常用技術(shù)分析

2.1防火墻技術(shù)

防火墻主要對(duì)網(wǎng)絡(luò)之間的通信進(jìn)行合理篩選，以避免未經(jīng)授權(quán)的訪問(wèn)進(jìn)入網(wǎng)絡(luò)，并落實(shí)對(duì)網(wǎng)絡(luò)的訪問(wèn)控制，以提升網(wǎng)絡(luò)的安全防御能力。對(duì)于惡意攻擊，其不一定全部來(lái)自外部，網(wǎng)絡(luò)內(nèi)部也可能存在一定的安全威脅?；诖?，就需要在網(wǎng)絡(luò)系統(tǒng)的各個(gè)層次上強(qiáng)化落實(shí)保護(hù)。依托防火墻能夠?qū)崿F(xiàn)對(duì)內(nèi)部以及外部威脅的有效應(yīng)對(duì)，也可以對(duì)諸如網(wǎng)絡(luò)入侵的蠕蟲等一系列惡意軟件進(jìn)行防控，同時(shí)允許系統(tǒng)將非法數(shù)據(jù)轉(zhuǎn)發(fā)到另一個(gè)系統(tǒng)內(nèi)。例如，在私有網(wǎng)絡(luò)與公共網(wǎng)絡(luò)之間普遍存在網(wǎng)絡(luò)墻，以實(shí)現(xiàn)對(duì)數(shù)據(jù)包進(jìn)出的過(guò)濾。

2.2身份認(rèn)證技術(shù)

在當(dāng)前的計(jì)算機(jī)通信網(wǎng)絡(luò)安全保護(hù)工作實(shí)踐中，身份認(rèn)證技術(shù)具有較為廣泛的應(yīng)用范圍。例如，用戶可以根據(jù)自己存儲(chǔ)在網(wǎng)絡(luò)系統(tǒng)內(nèi)的信息獲取隨機(jī)登錄密碼，并完成系統(tǒng)登錄。基于這種身份認(rèn)證方式，可以實(shí)現(xiàn)更好地保護(hù)用戶個(gè)人信息的效果。在具體的身份認(rèn)證技術(shù)應(yīng)用過(guò)程中，包含的認(rèn)證方式主要有結(jié)合用戶的個(gè)人信息證明用戶身份，結(jié)合用戶所掌握的信息認(rèn)證身份。

2.3數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)即對(duì)存儲(chǔ)、傳輸?shù)臄?shù)據(jù)實(shí)施加密處理，避免使用明文傳輸，以防止發(fā)生數(shù)據(jù)信息泄露、被盜用的問(wèn)題。結(jié)合不同的加密引擎，常用的數(shù)據(jù)加密技術(shù)也較為多樣，具體有主機(jī)加密，此時(shí)需要落實(shí)外置密鑰管理，多在云加密場(chǎng)景、敏感數(shù)據(jù)加密、銷毀場(chǎng)景中應(yīng)用；存儲(chǔ)引擎硬加密，此時(shí)需要落實(shí)外置密鑰管理以及內(nèi)置密鑰管理，多在云加密場(chǎng)景、敏感數(shù)據(jù)加密、銷毀場(chǎng)景中應(yīng)用；存儲(chǔ)引擎軟加密，此時(shí)需要落實(shí)外置密鑰管理，多在云加密場(chǎng)景、敏感數(shù)據(jù)加密、銷毀場(chǎng)景中應(yīng)用[2]：后端SAS IO加密，此時(shí)需要落實(shí)外置密鑰管理，多在敏感數(shù)據(jù)集中加密、銷毀場(chǎng)景中應(yīng)用。

3計(jì)算機(jī)通信網(wǎng)絡(luò)安全防護(hù)的優(yōu)化策略探究

3.1計(jì)算機(jī)通信網(wǎng)絡(luò)安全防護(hù)體系的構(gòu)建

投放網(wǎng)管冗余設(shè)備、防火墻、網(wǎng)管局域網(wǎng)交換機(jī)、入侵檢測(cè)設(shè)備、網(wǎng)絡(luò)管理服務(wù)器（主用與備用）、流量管理終端、網(wǎng)絡(luò)管理終端、用戶準(zhǔn)人系統(tǒng)服務(wù)器、復(fù)試終端、堡壘機(jī)等結(jié)構(gòu)設(shè)備，組建計(jì)算機(jī)通信網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，以提升計(jì)算機(jī)通信網(wǎng)絡(luò)安全防護(hù)的現(xiàn)實(shí)成效。

其中，對(duì)于投放的網(wǎng)管冗余設(shè)備而言，其主要依托冗余方式實(shí)現(xiàn)對(duì)計(jì)算機(jī)通信網(wǎng)絡(luò)以及業(yè)務(wù)的抗災(zāi)以及災(zāi)難恢復(fù)能力的強(qiáng)化，以提升數(shù)據(jù)信息存儲(chǔ)安全性。對(duì)于投放的防火墻而言，其主要在網(wǎng)管局域網(wǎng)與網(wǎng)絡(luò)設(shè)備之間形成邏輯隔離，其具備良好的技術(shù)隔離功能、過(guò)濾功能以及邏輯隔離功能。對(duì)于投放的堡壘機(jī)而言，其主要在網(wǎng)管局域網(wǎng)內(nèi)完成布設(shè)，審計(jì)網(wǎng)管操作人員的集中登錄與行為，其具備良好的訪問(wèn)控制功能、權(quán)限控制功能。對(duì)于投放的入侵檢測(cè)設(shè)備而言，其主要承擔(dān)分析進(jìn)入網(wǎng)絡(luò)的惡意代碼、惡意入侵行為的任務(wù)，具備良好的追蹤功能、告警監(jiān)測(cè)功能、入侵檢測(cè)及報(bào)警功能、完整性檢測(cè)功能、惡意代碼防御功能。對(duì)于投放的終端管控設(shè)備而言，其主要承擔(dān)對(duì)所有數(shù)據(jù)網(wǎng)網(wǎng)管服務(wù)器、終端安裝用戶準(zhǔn)人客戶端軟件進(jìn)行集中性管控的任務(wù)，具備良好的接人阻斷功能、接出阻斷功能。另外，為了進(jìn)一步提升計(jì)算機(jī)通信網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的功能性，還要在系統(tǒng)內(nèi)投放其他配置，主要包含入侵防御設(shè)備、日志審計(jì)設(shè)備、漏洞掃描機(jī)配置核查設(shè)備等。

3.2加強(qiáng)計(jì)算機(jī)通信網(wǎng)絡(luò)入侵檢測(cè)與安全防護(hù)

從當(dāng)前情況來(lái)看，網(wǎng)絡(luò)攻擊手段的破壞性以及隱蔽性呈現(xiàn)出顯著增強(qiáng)的發(fā)展趨勢(shì)，基于此，為了落實(shí)對(duì)計(jì)算機(jī)通信網(wǎng)絡(luò)安全性的有效維護(hù)，必須強(qiáng)化對(duì)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的研發(fā)以及應(yīng)用。基于分布采集信息及協(xié)同處理的方式，結(jié)合使用基于主機(jī)的IDS以及基于網(wǎng)絡(luò)的IDS，以推動(dòng)計(jì)算機(jī)通信網(wǎng)絡(luò)對(duì)外部入侵的地域能力呈現(xiàn)出明顯增強(qiáng)的發(fā)展?fàn)顟B(tài)[3]。實(shí)踐中，可以應(yīng)用的網(wǎng)絡(luò)入侵技術(shù)主要包括以下幾種。（1）高速實(shí)時(shí)入侵檢測(cè)技術(shù)，對(duì)入侵檢測(cè)系統(tǒng)的軟件結(jié)構(gòu)以及算法進(jìn)行重新設(shè)定，并對(duì)專用的硬件結(jié)構(gòu)以及軟件系統(tǒng)進(jìn)行開發(fā)，促使在高速網(wǎng)絡(luò)環(huán)境中實(shí)時(shí)性入侵檢測(cè)成為現(xiàn)實(shí)。（2）分布式協(xié)同檢測(cè)技術(shù)，出于對(duì)異質(zhì)網(wǎng)絡(luò)平臺(tái)之間差異性的有效保證，可以引入分布式智能Agent的結(jié)構(gòu)方式，結(jié)合協(xié)同機(jī)制的應(yīng)用，促使事件檢測(cè)、分析和響應(yīng)成為現(xiàn)實(shí)，以此更好地應(yīng)對(duì)復(fù)雜模式、協(xié)同式、分布式網(wǎng)絡(luò)攻擊。（3）智能檢測(cè)技術(shù)，結(jié)合神經(jīng)網(wǎng)絡(luò)、智能體系、遺傳算法，構(gòu)建智能人侵檢測(cè)系統(tǒng)，促使入侵檢測(cè)誤報(bào)率大幅下降，以避免產(chǎn)生過(guò)高的漏報(bào)率。（4）應(yīng)用層侵入檢測(cè)技術(shù)，主要面向計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用層進(jìn)行安全防護(hù)，并提供入侵檢測(cè)服務(wù)。（5）整合技術(shù)，結(jié)合多種網(wǎng)絡(luò)安全技術(shù)以及入侵檢測(cè)技術(shù)，以構(gòu)建更為完善的計(jì)算機(jī)通信網(wǎng)絡(luò)安全防護(hù)檢測(cè)與響應(yīng)架構(gòu)，并在此基礎(chǔ)上，強(qiáng)化對(duì)計(jì)算機(jī)通信網(wǎng)絡(luò)安全狀態(tài)的實(shí)時(shí)性檢測(cè)，一旦發(fā)現(xiàn)網(wǎng)絡(luò)異常情況，能夠第一時(shí)間發(fā)出預(yù)警，并迅速作出應(yīng)急處置。

3.3強(qiáng)化落實(shí)面向內(nèi)部威脅的數(shù)據(jù)泄露防護(hù)

（1）面向內(nèi)部威脅的數(shù)據(jù)泄漏主動(dòng)防護(hù)。在網(wǎng)絡(luò)層面落實(shí)對(duì)安全保護(hù)域的劃分，從計(jì)算機(jī)通信網(wǎng)絡(luò)終端以及存儲(chǔ)端口組織展開訪問(wèn)控制，以確保內(nèi)網(wǎng)的安全性達(dá)到理想水平。需要注意的是，這種面向內(nèi)部威脅的數(shù)據(jù)泄漏主動(dòng)防護(hù)技術(shù)有著一定的局限性，單純對(duì)文件與進(jìn)程之間的信息流進(jìn)行約束與管理，而并沒(méi)有對(duì)進(jìn)程之間、進(jìn)程與其他非文件資源之間的信息流落實(shí)有效限制。基于此，必須進(jìn)一步優(yōu)化約束限制，但這種方式也會(huì)降低系統(tǒng)的靈活性與可用性。實(shí)踐中，可以依托虛擬化技術(shù)、可信基礎(chǔ)設(shè)施，完成虛擬隔離環(huán)境的構(gòu)建，形成不同隔離環(huán)境之間的可信通道，以構(gòu)建可信性相對(duì)較強(qiáng)的虛擬保護(hù)域，結(jié)合私有隔離環(huán)境、公共隔離環(huán)境、底層的基礎(chǔ)通信設(shè)施，以增強(qiáng)安全性，強(qiáng)化對(duì)計(jì)算機(jī)通信網(wǎng)絡(luò)數(shù)據(jù)應(yīng)用過(guò)程的隔離保護(hù)力度。在此基礎(chǔ)上，還要進(jìn)一步從數(shù)據(jù)存儲(chǔ)層面落實(shí)安全保護(hù)域的劃分，將加解密以及安全控制機(jī)制構(gòu)建于存儲(chǔ)設(shè)備內(nèi)部以及終端系統(tǒng)中，以促使數(shù)據(jù)存儲(chǔ)、處理以及使用的信任鏈形成。依托多組建可信平臺(tái)的應(yīng)用訪問(wèn)、使用網(wǎng)絡(luò)數(shù)據(jù)，結(jié)合雙向認(rèn)證技術(shù)的應(yīng)用，促使主機(jī)與硬盤之間的可信綁定成為現(xiàn)實(shí)，以確保計(jì)算機(jī)通信網(wǎng)絡(luò)數(shù)據(jù)可以在非可信環(huán)境中以及遠(yuǎn)程終端內(nèi)實(shí)現(xiàn)安全使用[4]。

（2）面向內(nèi)部威脅的數(shù)據(jù)泄漏主動(dòng)防護(hù)。為確保計(jì)算機(jī)通信網(wǎng)絡(luò)對(duì)可信主體的防護(hù)需求得到及時(shí)滿足，需要落實(shí)面向可信主體約束的動(dòng)態(tài)隔離機(jī)制的構(gòu)建，以實(shí)現(xiàn)對(duì)虛擬隔離機(jī)制局限性的有效突破，以提升對(duì)可信主體約束與防護(hù)的有效性，降低存在于安全域中的數(shù)據(jù)信息泄漏問(wèn)題的發(fā)生概率。在構(gòu)建面向可行主體約束的動(dòng)態(tài)隔離機(jī)制期間，需要在引入CoDI和MoDI操作的基礎(chǔ)上，組織展開讀隔離、寫隔離、通信隔離。在此過(guò)程中，可以應(yīng)用的方法手段主要包括文件管理，即統(tǒng)一管理副本文件，在獨(dú)立安全區(qū)域內(nèi)，對(duì)動(dòng)態(tài)隔離過(guò)程中所形成的重定向文件副本進(jìn)行有效存儲(chǔ)，促使文件與程序具有較高的一致性：進(jìn)程管理，即應(yīng)用復(fù)制式遷移組織展開基于虛擬方式的動(dòng)態(tài)隔離．應(yīng)用重定向式遷移組織展開基于重定向方式的動(dòng)態(tài)隔離，在TUE中遷移進(jìn)非可信進(jìn)程，并以此隔離非可信進(jìn)程以及其正在訪問(wèn)的對(duì)應(yīng)資源。

3.4提升網(wǎng)絡(luò)安全防護(hù)意識(shí)并加強(qiáng)網(wǎng)絡(luò)安全管理

近年來(lái)，互聯(lián)網(wǎng)環(huán)境錯(cuò)綜復(fù)雜，疑似境外黑客組織的網(wǎng)絡(luò)攻擊日益增加，各單位組織要充分認(rèn)識(shí)到網(wǎng)絡(luò)安全和數(shù)據(jù)安全的重要性，不斷完善網(wǎng)絡(luò)安全管理制度、健全工作機(jī)制、抓牢抓實(shí)網(wǎng)絡(luò)安全保障工作[5]。實(shí)踐中，為保障計(jì)算機(jī)通信網(wǎng)絡(luò)專線的安全使用，采用計(jì)算機(jī)通信網(wǎng)絡(luò)安全專線產(chǎn)品，配合防火墻及三層管控交換機(jī)進(jìn)行安全策略設(shè)置、IP地址實(shí)名管控、區(qū)域VLAN劃分管理，能夠較好地對(duì)計(jì)算機(jī)通信網(wǎng)絡(luò)進(jìn)行防護(hù)，保障網(wǎng)絡(luò)安全。

另外，要強(qiáng)化組織領(lǐng)導(dǎo)，完善網(wǎng)信隊(duì)伍建設(shè)。落實(shí)網(wǎng)絡(luò)安全工作責(zé)任制，充分調(diào)整網(wǎng)絡(luò)安全和信息化委員會(huì)成員，組織信息化管理人員開展信息系統(tǒng)業(yè)務(wù)知識(shí)培訓(xùn)，進(jìn)一步提升業(yè)務(wù)人員基礎(chǔ)統(tǒng)建信息系統(tǒng)管理安全運(yùn)維能力，使其按要求完成日常網(wǎng)絡(luò)安保工作。在此基礎(chǔ)上，強(qiáng)化宣傳學(xué)習(xí)，提高網(wǎng)絡(luò)安全意識(shí)。在國(guó)家網(wǎng)絡(luò)安全宣傳周期間，積極開展關(guān)于增強(qiáng)員工網(wǎng)絡(luò)安全意識(shí)、筑牢網(wǎng)絡(luò)與信息安全防線的相關(guān)學(xué)習(xí)宣傳活動(dòng)，宣傳網(wǎng)絡(luò)安全法規(guī)、典型案例和日常用網(wǎng)知識(shí)，全面提升全員網(wǎng)絡(luò)安全意識(shí)。另外，強(qiáng)化基礎(chǔ)建設(shè)，提升通信質(zhì)量與安全。為保證計(jì)算機(jī)通信網(wǎng)絡(luò)高效安全運(yùn)行，通過(guò)與網(wǎng)絡(luò)運(yùn)營(yíng)商溝通引進(jìn)基站建設(shè)，解決信號(hào)覆蓋不良等問(wèn)題。信息化管理人員定期對(duì)網(wǎng)絡(luò)安全問(wèn)題隱患進(jìn)行自查，及時(shí)梳理信息資產(chǎn)，封堵隱患IP地址及惡意域名，切實(shí)提高計(jì)算機(jī)通信網(wǎng)絡(luò)運(yùn)行安全性；制定信息化應(yīng)急預(yù)案并按要求開展信息化應(yīng)急演練，使員工能夠較好地應(yīng)對(duì)突發(fā)情況，以提供更為理想的通信安全保障。

通過(guò)提升網(wǎng)絡(luò)安全防護(hù)意識(shí)、做好網(wǎng)絡(luò)安全管理、展開網(wǎng)絡(luò)安全防護(hù)教育培訓(xùn)，提升了計(jì)算機(jī)通信網(wǎng)絡(luò)安全防護(hù)工作質(zhì)量以及現(xiàn)實(shí)成效。在后續(xù)的發(fā)展中，要持續(xù)加強(qiáng)網(wǎng)絡(luò)和重要信息系統(tǒng)的安全防護(hù)，強(qiáng)化相關(guān)工作人員的網(wǎng)絡(luò)安全意識(shí)，加大計(jì)算機(jī)通信網(wǎng)絡(luò)安全防護(hù)力度，實(shí)現(xiàn)計(jì)算機(jī)通信網(wǎng)絡(luò)、軟硬件、信息數(shù)據(jù)等網(wǎng)絡(luò)安全防護(hù)客觀上不存在威脅，主觀上不存在恐懼。

4結(jié)束語(yǔ)

對(duì)計(jì)算機(jī)通信網(wǎng)絡(luò)進(jìn)行安全防護(hù)在當(dāng)前有著極高的實(shí)施價(jià)值與意義，是確保計(jì)算機(jī)通信網(wǎng)絡(luò)能夠長(zhǎng)時(shí)間安全、穩(wěn)定、高效運(yùn)行的重要舉措與必然選擇。實(shí)踐中，依托防火墻技術(shù)、數(shù)據(jù)加密技術(shù)等多種信息安全防護(hù)技術(shù)的整合應(yīng)用，結(jié)合計(jì)算機(jī)通信網(wǎng)絡(luò)安全防護(hù)策略的更新與優(yōu)化，推動(dòng)了計(jì)算機(jī)通信網(wǎng)絡(luò)安全防護(hù)工作的升級(jí)。