計算機網絡安全防御系統的實現及關鍵技術研究

喬 娟

（鄭州信息工程職業學院，河南 鄭州 450121）

0 引 言

科技不斷進步和發展下，人們的生活、工作以及學習也變得愈加便捷，但由于網絡開放性特點，導致任何人都可以通過網絡獲取資源信息，這就導致很多用戶的重要隱私數據被竊取，或是計算機系統受到木馬病毒攻擊而癱瘓。網絡犯罪行為愈演愈烈，為了有效杜絕此類問題出現，應尋求合理有效的技術來構建計算機網絡安全防御系統，通過此種方式來最大程度上保障用戶數據信息安全，在規避網絡問題出現的同時凈化網絡環境。綜合研究分析計算機網絡安全和關鍵技術相關內容，有助于推動安全防御技術水平提升，對于規避各種網絡問題出現具有一定參考價值。

1 計算機網絡安全現存問題分析

我國網民數量不斷增加，在享受計算機網絡帶來的便利同時，也要承擔一定的安全風險。計算機網絡技術不斷推陳出新，網絡攻擊手段也層出不窮，嚴重威脅到用戶的信息安全。就當前計算機網絡安全中的典型問題來看，主要有以下幾點。

1.1 病毒類型多樣化

計算機網絡安全的一個主要隱患就是木馬病毒入侵。計算機的病毒庫不斷更新的同時，也在不斷涌出新的計算機病毒。計算機技術飛快進步和發展，很多計算機黑客為了鞏固技術和迎接挑戰，或是受到利益誘惑，催生了更多的病毒。病毒類型多樣化，為計算機網絡安全帶來了嚴峻挑戰[1]。

1.2 網絡攻擊形式多樣化

計算機網絡大范圍普及，網絡金融開始受到了人們的喜愛和支持，尤其是很多企業開始選用數字貨幣，或是通過支付寶和微信等電子支付手段進行經濟往來，一定程度上刺激了網絡病毒的肆虐。受到這一環境影響，挖礦病毒大幅度增長，很多企業服務器受到挖礦病毒攻擊，不僅計算機系統癱瘓，而且也為企業帶來了嚴重的經濟損失。例如，2019年勒索病毒軟件的爆發呈現隱蔽性強和攻擊目標明確的特點，造成很多用戶計算機被入侵，重要數據信息丟失[2]。

1.3 人們網絡安全意識薄弱

盡管當前網民數量不斷增加，但是我國關于網絡安全的教育宣傳較少，很多網民只看到了計算機網絡帶來的便利服務，卻忽視了其潛藏的安全隱患。尤其是當前移動智能終端頻繁更新換代，開始成為人們連接互聯網的主要載體，由此引發的網絡安全問題進一步加劇。而目前很多網民對網絡安全知之甚少，網絡安全意識薄弱，這也為不法分子網絡攻擊提供了可趁之機[3]。

2 計算機網絡安全防御流程

計算機的病毒種類多樣，傳播方式多樣，隱蔽性較強，只要計算機連接網絡就存在著被病毒感染的可能性。因此，迫切需要推動計算機安全防御系統創新優化，不斷增強病毒入侵和惡意攻擊等行為的防御能力。基于數據挖掘計算機的計算機安全安全防御系統可以通過收集病毒入侵短時內破壞計算機數據的特點，快速分析病毒并加以控制，以此來維護計算機網絡安全[3]。

數據挖掘過程較為煩瑣、抽象，且難度較大，需要在計算機網絡安全防御系統設計中綜合考量，輸入完整數據挖掘信息，遵循預設程序和流程進行，實現病毒快速解析和控制，維護用戶計算機網絡安全。

3 計算機網絡安全防御系統設計實現

3.1 安全防御功能設計

目前，網絡攻擊多是針對移動智能終端和PC端，很多病毒并非是感染初期就爆發，多有一定潛伏期，加之不法分子網絡攻擊范圍廣，所以為保證計算機網絡安全防御系統功能完善，應結合時代發展要求，賦予系統自動化和智能化特性，主動解析和控制病毒[4]。關于安全防御系統的功能來看，具體包含用戶管理功能、系統配置管理功能、網絡狀態監控功能、安全策略管理功能、網絡運營報表功能以及網絡運行日志功能等，在明確各個功能模塊要求下優化系統設計。

3.2 防火墻設計

防火墻是維護計算機網絡安全的有效技術之一，應用較為常見，導致很多人對安全防御系統的漏洞存在誤解，偏頗的認為只要有防火墻就可以避免一切攻擊[5]。也正是這種錯誤的觀念，導致了一系列網絡安全問題出現，因此需要針對性改造防火墻，構建一道限制外部用戶訪問以及基于子系統安裝方法來限制內部用戶訪問的防護墻（如圖1所示），通過雙重防護來提升系統整體安全防護能力。ALG技術作為一種有效的防火墻技術，可以實現應用層報文高效處理。一般情況下，NAT對報頭IP和PORT信息轉換處理不需要分析應用層數據載荷字段，而選用ALG，識別對應報文后對IP報頭外在和信息解析處理，地址轉換后重新計算和校驗。具體功能有網絡地址轉換、數據通道檢測以及應用層狀態檢測等。ALG可以處理的協議包括DNS、FTP、H323、SIP、HTTP、ILS、MSN/QQ、NBT、RTSP、PPTP以及TFTP等。其中，FTP應用基于控制連接和數據連接方式實現，而且數據連接的建立動態地由控制連接的載荷信息決定，因此選用ALG技術可以高效處理載荷字段信息，構建對應的數據包。

圖1 防火墻

3.3 加密技術

數據傳輸過程中，如果安全防護不到位很容易被竊取重要信息，因此需要對數據信息傳輸系統加密處理。二進制屬于一種密文，解密后即可變成可以看懂的文字，即明文。明文轉化為無法理解的數據文本，即密文，而這個轉化過程就是數據加密，主要是通過網絡七層協議實現，有鏈路和端對端兩種形式，均是借助數據加密技術分析邏輯位置來達成保護數據信息安全的目的[6]。計算機網絡中，RSA公司中的MD5算法應用較為廣泛，聯合應用SKIP協議可以實現數據加密處理，如Kerberos服務的telnet、rlogion與NFS等以及電子郵件加密的PEM和PCP技術，加密技術較為簡單，不需要電子信息過高的網絡安全性能要求。

3.4 數字簽名與認證技術

數字推行User Name/Password認證，作為一種常見的認證方式，多是用于系統登錄rlogin和telnet等，過程不需要加密，Password容易被解密和監聽。摘要算法的認證Radius、SNMP Security Protocol以及OSPF（路由協議）等，可以實現Security Key共享。摘要算法本身屬于不可逆過程，認證期間無法計算共享Security Key，不在網絡上傳輸信息。一般情況下，摘要算法MD5和SHA-1是市場上應用較為廣泛的技術[7]。

數字簽名，驗證發送者身份信息完整性，RSA基于私有和公共密鑰對，作為驗證發送者身份和消息完整性的根據。CA可以選擇私有密鑰來計算數字簽名，提供公共密鑰，每個人都可以驗證簽名真實性。通信雙方借助Diffie-Hellman密鑰系統，實現保密密鑰安全共享，并對密鑰信息加密處理。此種密鑰匙借助CA驗證，密鑰數量和通信者數量呈現線性關系。數字簽名驗證過程如圖2所示。

圖2 數字簽名驗證過程

3.5 人工智能

人工智能是相較于常規人工操作的安全系統，可以更加智能、高效，減少人為主觀意識帶來的不良影響，提升網絡安全防御能力。由于網絡接入形式多樣，攻擊手段也不盡相同，通過應用人工智能技術可以深層次挖掘和分析潛在問題，形成主動防御模型，及時發現和清除計算機網絡中的木馬病毒，并進一步追蹤網絡病毒來源所在，從源頭上解決問題，保護計算機網絡不受攻擊[8]。

4 計算機網絡安全防御系統關鍵技術

4.1 求精模型

設計求精模型本質上是限制訪問計算機網絡用戶的權限，核實與查驗用戶身份信息，進而實現用戶身份信息管理。實時監測計算機網絡系統運行情況，針對系統中的漏洞重點檢測，及早發現潛在安全隱患，避免計算機網絡系統遭受突然襲擊，始終可以保持正常狀態使用。快速響應，具有控制計算機網絡系統啟動、關閉以及限制性訪問功能，計算機網絡快速響應可以有效提升整體安全性。恢復策略用于操作層策略重建，支持在計算機網絡系統內部安裝漏洞補丁，提升系統安全防御性能[9]。

計算機網絡安全防御系統的關鍵性技術主要有以下兩種。一種是結構語義一致性分析技術，可以滿足底層或高層策略需要，彼此之間形成相互對應關系，需要在此基礎上維持實例語義一致。二是概念語義一致性分析技術，在計算機網絡領域，通過特定語言形式來表達語義關系，從中提取修飾詞與核心詞，創建不同語義模型。

4.2 關鍵技術完善措施

為了推動計算機網絡安全防御系統技術水平，應契合實際情況積極構建完善的計算機網絡安全技術體系，持續推動技術創新，并組織相關人員參與技術培訓，在完善的管理機制支持下穩步推進和落實計算機網絡安全防御工作。增加資金投入，完善配套的防護墻和數據加密設施，設置訪問限制，禁止訪問不明站點，避免為不法分子帶來可趁之機，維護計算機網絡安全防御系統運行。

與此同時，完善和創新現有的計算機網絡反病毒技術。對于計算機網絡中的重要數據文件需要定期備份，即便計算機系統崩潰，仍然可以保證重要數據不丟失，維護用戶信息安全[10]。設置網絡訪問權限，依據對應權限訪問互聯網，有效避免不法分子入侵計算機網絡系統，此外使用掃描技術，聯合反病毒技術，創設安全可靠的計算機網絡環境，對于維護計算機網絡安全具有積極作用。

5 結 論

計算機網絡安全是當前社會備受關注的熱點話題之一，為了充分發揮計算機網絡的優勢作用，應積極推動配套安全防御系統升級優化，構建完善的安全管理體系，便于深層次挖掘和解決安全問題，最大程度上保障用戶數據信息安全。