計算機網絡如何構建安全防護體系

文/陳宇鈞

1 網絡環境下計算機系統面臨的威脅

1.1 內控脆弱

計算機雖然擁有復雜的組成體系，但分工與合作控制嚴格，其大腦（CPU）作為內控核心運行程序極為復雜，其中一部分（安全防護體系）負責對外防護，但卻并未表現出絕對安全，而是其機制越精密則越容易出現漏洞，一旦出現運行錯誤，則會致使內網失去穩定，輕則泄露信息，重則導致防護體統完全崩潰。一般情況下，終端機違章連接、網絡信息內外溝通與介質交叉使用成為內網泄密的主要渠道。

1.2 “黑客”攻擊

Windows系統自誕生之日開始，就和漏洞密不可分，隨著時間的推移，會有越來越多的漏洞被發現和被利用，一些不法分子通過對該漏洞的利用，便會進行一些違法活動，將“黑客”程序植入被害者計算機后，如此便可竊取其中的密保與口令等電子郵件，最終導致計算機系統全面癱瘓，無法進行正常運行與操作。網絡“黑客”因其極高的隱蔽性而對計算機網絡安全威脅最大，其可在自身計算機上采用特定程序控制他人計算機，從中查看信息。

1.3 病毒入侵

計算機病毒為一種可損傷計算機并破壞其系統且能自我復制的程序或代碼，計算機一旦遭受病毒的入侵，就會潛伏于計算機中時刻影響系統的正常運行，以此內在的監控與破壞計算系統。一般情況下，病毒在侵害計算機過程中，黑客可在自身計算機上采用特定程序對其實施控制，進而控制他人計算機，從中查看信息。計算機病毒通常以軟件或郵件為載體，貿然使用或下載則會導致自身計算機感染。

2 構建計算機網絡安全防護體系的關鍵技術

2.1 系統漏洞掃描技術及漏洞補丁

從本質上講，計算機系統自身就為一個復雜且巨大的代碼程序，當其與網絡關聯后，該程序中存在的缺陷被惡意利用后便會成為網絡漏洞，進而演化為計算機風險，此時便會存在遭受木馬、病毒入侵與黑客攻擊的機率。漏洞因大小的不同給計算機帶來的危害程度也不同，一般而言，大型漏洞可被及時發現并修復，小漏洞數目較多且隱蔽性極強，對其發現可能需消耗巨大的時間與精力。作為自動掃描、發現以及修復的技術，漏洞掃描技術以預防計算機出現系統漏洞為目的，以定期掃描系統漏洞為手段，從而最大程度保護系統穩定與安全，避免計算機遭受入侵與危害。發現漏洞就應該進行修補并保證該漏洞不再被輕易利用，通常操作系統及數據庫這類關鍵軟件在發現漏洞后，開發商都在第一時間推出漏洞補丁，及時安裝漏洞補丁很重要，為了能及時安裝漏洞補丁，應在網絡中部署漏洞升級服務器并向網絡內的計算機進行漏洞補丁的推送。

2.2 防火墻技術

該技術目前常用的幾種方式包括地址轉換防火墻、代理防火墻與過濾防火墻等，其主要是通過切斷危險傳播途徑，隔離用戶計算機的方式來達到保護計算機系統安全的目的，是為內、外網通信過程中最為關鍵的控制訪問技術。防火墻技術的運用，其可根據用戶自身定義針對不同的外網環境制定不同的安全防護等級與策略，通過對實施信息數據傳輸的檢測與監控，以此判斷網絡運行狀態是否正常，使用者對有關數據通信的操作是否被允許，如若有敏感內容發現，則會對程序運行實施自動組織，將數據傳輸中斷，進而達到保護計算機網絡安全的目的。

2.3 入侵檢測技術

入侵檢測技術為一種主動性防御技術，該技術可以應用在多種相關技術制定的或者與當下網絡環境可以相匹配的安全的規則，并且可以利用這一規則對與用戶在網絡中所獲取的數據信息進行相關的分析，進而達到監控網絡運行狀態的目的，并最終判斷正在運行的網絡中是否存在安全威脅。與此同時，該功能存在的目的是為了在系統中被保護的數據處在被解密狀態時，系統可以自動斷開當前的網絡連接，以此來確保加密系統內部的加密保護區的數據不會被惡意攻擊或者被非法竊取，且當系統內部被加密保護的數據文件處在加密狀態時，系統就會自動的進行網絡連接，使網絡恢復正常的運行狀態。

2.4 計算機網絡管理技術

計算機網絡管理技術并非針對用戶電腦進行的安全防護工作，而是在計算機網絡中實行的一種管理技術。網絡管理技術能夠有效的增強信息交流和數據傳遞的規范性和安全性，提升危險出現后的追溯和分析能力。用戶最常見的就是身份認證技術，保證用戶每個網絡行為都會受到網絡服務器的記錄和監控，能夠提前發現并及時阻止黑客的不法行為與發現并中斷病毒木馬的感染和傳播。通常有效的方法是使用“計算機域”管理技術，使域來嚴格控制網絡內計算機的系統最高權限不被輕易利用。

2.5 數據加密與簽名技術

數據加密和數字簽名技術在計算機網絡中起到的效果是類似的，都是對文件信息進行加密而后再在網絡中進行交流和傳播。這種技術能夠有效的控制信息在網絡傳輸中被截取抓包或是惡意篡改的危害，即使數據被不法分子獲取，但是數據一旦進行了加密，就不能被別人看到或是破壞，在很大程度上保證了信息的安全性。

3 個案實例

3.1 公司原基礎狀態

（1）內網約有150臺電腦PC，分布在四層辦公樓；

（2）邊界設備為深信服上網行為管理設備；

（3）僅有1臺關鍵業務服務器，主要用于應用系統、文件保存及共享；

（4）網絡設備交換機只運用基本交換機功能，用于二層數據交換，運行在單一的“工作組”模式下。

3.2 問題及現狀分析

3.2.1 互聯網威脅防御不足

僅通過深信服上網行為管理設備進行網絡邊界的人員身份識別、認證及簡單的安全威脅防護，存在如下安全風險：

（1）不具備專業的安全防護設備（如防火墻、IPS、安全網關等），對互聯網外部的惡意攻擊、惡意入侵進行有效的抵御及控制；

（2）外面利用病毒或者嗅探工具等可以比較容易獲取到用戶的相關信息，從而對業務系統進行非法或越權的訪問，破壞系統的正常運行，或非法獲得企業的商業秘密，造成信息泄露。

3.2.2 終端病毒惡意代碼攻擊

終端電腦均為未安裝企業版防病毒軟件，員工電腦均是各自使用從互聯網下載的單機版防病毒軟件進行簡單防護，或者無防護的裸機運行，存在如下安全風險：

（1）裸機運行的電腦易于被病毒、木馬等惡意程序入侵，導致辦公電腦程序及系統被破壞，嚴重者竊取公司敏感文件，導致信息泄露造成利益損失；

（2）使用單機版防病毒軟件行為，員工又不具備專業的意識，無法判斷防病毒軟件是否為正版或者是否具有后門程序，亦可能帶來惡意程序入侵結果；

3.3 網絡安全架構改造方案

3.3.1 實現互聯網邊界安全防護

通過在互聯網邊界和總部與分支機構之間，部署防火墻，實現如下效果：

（1）對Internet互聯網與企業內網之間進行安全隔離，對公司與總部安全域之間進行安全隔離；

（2）通過防火墻建立合理有效的安全過濾原則，對網絡數據包的協議、端口、源目的地址、流向進行審核，嚴格控制外網用戶非法訪問；

（3）只打開服務必須的HTTP、FTP、SMTP、POP3以及所需的其他服務，防范外部來的拒絕服務攻擊、病毒傳播、嗅探入侵等惡意威脅行為。

3.3.2 實現全面的上網行為管控

使用性能更高的上網行為管理設備。

（1）提高應用控制和流量管理功能，管控與工作無關的網絡應用，同時具備多項流量管控技術，杜絕帶寬資源濫用，保障核心業務帶寬；

（2）具備精細信息管控功能，可以管控各類信息外發途徑，記錄上網軌跡，規避泄密和法規風險；

3.3.3 實現VLAN配置管理

根據樓層用戶劃分到不同的VLAN中，此后從某個端口接收的報文將只能在相應的VLAN內進行傳輸，從而實現廣播域的隔離和虛擬工作組的劃分。當病毒、惡意攻擊、網絡中斷等事件爆發時，便于快捷追蹤源頭機器所在樓層或者部門，提高處理事件的響應速度。

3.3.4 實現AD域管理

部署DC1.XX.COM和DC2.XX.COM兩臺域控制器：（1）為每個員工創建域用戶以登錄域；（2）定義組策略管理用戶和計算機配置；（3）增強安全性，有效控制用戶使用與工作無關的應用；

（4）減輕IT管理員負擔，提高工作效率。

3.3.5 部署終端病毒防護

部署一套趨勢科技企業版終端防病毒系統：在服務器上搭建一套趨勢防病毒系統，PC終端上安裝防病毒客戶端，實現病毒防護的統一管理，及時有效的發現網絡中存在的病毒問題，有效的對病毒進行防御和查殺，提高用戶終端的安全性。

3.3.6 對新構建網絡實施漏洞掃描測試

采用XX漏洞掃描和管理系統，對服務器從系統層和配置層進行掃描，以及各終端掃描。漏洞掃描的結果主要是：服務器中發現中危漏洞4個，主要集中在微軟補丁漏洞，這些漏洞通過及時聯網更新進行修復，普通用戶終端中在本次掃描中沒有危險漏洞。

4 結語

本文通過筆者實踐經驗的總結，就計算機網絡信息在保護策略方面建議性提出以下幾點措施：

（1）以網絡涉密分級為依據具有針對性制定保護策略，其主要內容有管理規范、技術要求、方案設計與安全評價等；

（2）在安全密保方面進行動態防護，以網絡檢測加強的方式規避網絡威脅，以此提升邊界防護與監控等行為力度。同時建立應急方案，構建“容災與恢復”機制；

（3）大力推進“強審計”策略，提升人員網絡保護意識，建立并完善網絡安全法令法規。

參考文獻

[1]方一.計算機網絡凈化安全防護體系的構建[J].考試周刊,2014(09).

[2]許衛明.構建計算機網絡安全防護體系的研究[J].科技展望,2016,36(03):26.