計算機網(wǎng)絡(luò)安全防御系統(tǒng)的實現(xiàn)及關(guān)鍵技術(shù)分析

李巖 馬旭東

（民航氣象中心 北京市 100122）

計算機網(wǎng)絡(luò)安全防御系統(tǒng)作為計算機安全關(guān)鍵防線，在保護計算機安全與用戶信息安全層面上有不可估量的作用。這就需要技術(shù)人員詳細分析系統(tǒng)的實現(xiàn)與運用的關(guān)鍵性技術(shù)，保障安全防御系統(tǒng)可以發(fā)揮出最大的效果。

1 計算機網(wǎng)絡(luò)安全問題

在時代的發(fā)展下，信息水平不斷提高，計算機也走進了千家萬戶，伴隨著信息網(wǎng)絡(luò)多樣化服務(wù)應(yīng)用頻率的增多，使得信息領(lǐng)域中出現(xiàn)了不可忽視的安全問題。出現(xiàn)這種安全問題的根本原因無非是，計算機自身問題和計算機應(yīng)用問題，簡單來說，就是不法分子已經(jīng)在計算機領(lǐng)域盜取隱私信息后，計算機系統(tǒng)無法判斷自身安全有沒有受到侵犯，因此也就不會給出安全提醒。如果是在進行某種信息共享資源服務(wù)的時候，由于硬件、軟件等設(shè)備需要進行對接，因此在數(shù)據(jù)共享、信息傳遞的過程中，就會無意識或有意識地出現(xiàn)數(shù)據(jù)信息泄露。

2 防御技術(shù)的挑戰(zhàn)

操作系統(tǒng)一旦有未知性漏洞，而黑客先一步發(fā)現(xiàn)該漏洞并加以運用，會導致整體操作系統(tǒng)處于危險的癥狀之下。數(shù)據(jù)加密技術(shù)也存在挑戰(zhàn)，伴隨著各類加密技術(shù)的廣泛運用，所對應(yīng)的密碼破解技術(shù)也在被不斷的研發(fā)出，對此，需要技術(shù)人員對密碼技術(shù)不但更新。現(xiàn)階段，防火墻技術(shù)也存在一定的局限性。防火墻很難對網(wǎng)絡(luò)協(xié)議的漏洞和系統(tǒng)的漏洞進行防范。加之，防火墻對惡意性的代碼所具有的防御功能也是存在一定的局限性，其不能夠有效性的規(guī)避木馬亦或是病毒的攻擊。不同的防火墻技術(shù)存在特定的不足之處，例如，分組過濾的防火墻并不能避免IP 地址的欺騙，使用代理的防火墻其自身存有軟件漏洞。難以規(guī)避的為入侵檢測系統(tǒng)經(jīng)常會出現(xiàn)對入侵與異常性的誤報與漏報等，唯有對入侵檢測技術(shù)進一步完善，才可以較好的對入侵檢測技術(shù)進一步完善，保障IDS 可以更為精準與全面發(fā)揮出其防御性功效。

3 防御技術(shù)

3.1 操作系統(tǒng)安全配置技術(shù)

操作系統(tǒng)安全性作為計算機網(wǎng)絡(luò)安全防御系統(tǒng)的關(guān)鍵一環(huán)，雖然現(xiàn)階段的操作系統(tǒng)安全級別相對較高，但是，難以避免的是其中存在漏洞。這就需要對操作系統(tǒng)進行全面化的考慮，對操作系統(tǒng)開展針對性的安全配置，抵御各類安全威脅。

3.2 入侵檢測技術(shù)

入侵檢測技術(shù)（圖 1 為入侵檢測技術(shù)流程圖）主要應(yīng)用的對象就是一些惡意來訪、黑客、竊取文件人員等等，在局域網(wǎng)絡(luò)應(yīng)用了入侵檢測技術(shù)之后，該技術(shù)可以對網(wǎng)絡(luò)系統(tǒng)整體進行一個看管和檢測，也就是說如果網(wǎng)絡(luò)內(nèi)部出現(xiàn)了任何異常情況都會第一時間被檢測出來，隨后進行上報和處理。一般來講網(wǎng)絡(luò)異常問題都是非法入侵、無權(quán)限訪問以及惡意破壞等等，入侵檢測技術(shù)可以很好地對違反網(wǎng)絡(luò)安全規(guī)定的入侵行為進行檢測和預(yù)防，保證計算機在遭受到破壞之前發(fā)現(xiàn)威脅、解決威脅，采取對應(yīng)的手段來進行防護。入侵檢測技術(shù)還可以給對方進行一個危險警告，減少對方的攻擊行為，通過這種方式來保證局域網(wǎng)的安全。

3.3 PKI技術(shù)和防火墻技術(shù)

防火墻技術(shù)（圖2 為防火墻技術(shù)運用原理）屬于最基本的網(wǎng)絡(luò)防護手段，現(xiàn)如今無論哪種系統(tǒng)的電腦都具有防火墻功能，防火墻是計算機系統(tǒng)自帶的高端防護技術(shù)。首先防火墻技術(shù)主要是在計算機聯(lián)網(wǎng)狀態(tài)下進行工作，當計算機系統(tǒng)受到系統(tǒng)攻擊的時候，防火墻技術(shù)可以抵御攻擊，保證計算機系統(tǒng)的安全。防火墻技術(shù)是組織非法用戶進行局域網(wǎng)絡(luò)的最有效也是最簡單的辦法，在實際應(yīng)用的過程中應(yīng)該得到工作人員的重視。在實際工作的過程中工作人員需要注意防火墻的開啟，以此來保護系統(tǒng)的安全。PKI 技術(shù)是計算機網(wǎng)絡(luò)技術(shù)中的一個重要組成部分，PKI 技術(shù)也可以叫做是電子商務(wù)技術(shù)，其中還包括一些政務(wù)活動，PKI 技術(shù)的主要原理就是使用計算機數(shù)據(jù)加密技術(shù)來保證政務(wù)活動的信息不被泄露，PKI 技術(shù)在電子商務(wù)中具有廣泛的應(yīng)用和效果。

3.4 數(shù)據(jù)加密技術(shù)

3.4.1 對稱加密

對稱加密也被叫作共享密鑰，簡單來說這種技術(shù)是基于利用較為一致的密鑰，讓信息輸送方和信息接受方都能夠?qū)?shù)據(jù)信息進行加密和解密的一種手段，因此這也意味著，在進行數(shù)據(jù)傳輸之前，信息輸送方和信息接受方都要有共享密鑰，以此在確保密鑰保密和安全的前提下，實現(xiàn)數(shù)據(jù)傳輸過程中的安全度和完整度的提升。與此同時，對稱加密也為數(shù)據(jù)加密多樣化手段中經(jīng)常應(yīng)用的加密手段，對稱加密手段基礎(chǔ)算法有DES、AES 和IDEA。從本質(zhì)上來看DES能夠為二元數(shù)據(jù)展開加密計算，其中還涵蓋了分組密碼對稱64，以及分組密碼56 位，其余8 位呈現(xiàn)奇偶校驗的密鑰。除此之外，DES 在對稱加密中是比較標準化的，因此在加密速度和加密效率方面，同其他對稱加密手段相比，有著較大優(yōu)勢，并且DES 在加密范圍方面比較廣泛，因此DES 在我國主要在銀行的電子商務(wù)方面應(yīng)用。

3.4.2 非對稱加密

非對稱加密也被稱作公鑰，簡單來說這種技術(shù)是基于不同種密鑰實現(xiàn)的一種數(shù)據(jù)加密和加密的手段，也就是說信息輸送方和信息接受方，要使用不一樣的密鑰進行數(shù)據(jù)信息的加密和解密。密鑰交換協(xié)議為此種技術(shù)應(yīng)用的基礎(chǔ)，其中要求需要進行通信操作的兩者，是不需要展開密鑰交換，并可以實現(xiàn)安全通信，因此這種技術(shù)手段，在一定程度上消除了密鑰在安全方面的隱患，也提升了數(shù)據(jù)信息在傳輸過程中的完整和安全性。對稱加密手段基礎(chǔ)算法有RSA、Diddie‐Hellman、EIGamal、橢圓曲線。其中十分經(jīng)典的算法是RSA，這個算法能夠抵擋目前所有已知的攻擊模式，并且RSA也是現(xiàn)今非常常用的加密算法。除此之外非對稱加密不僅可以用于數(shù)據(jù)信息的加密，還可以完整的驗證身份系統(tǒng)和數(shù)據(jù)信息，以及交換數(shù)字證書、數(shù)字簽名。

3.5 防范電子郵件攻擊

在日常生活工作的過程中，我們的電腦經(jīng)常會有不明來歷的各種郵件，這個時候電腦使用者必須要對各類郵件進行謹慎的處理，可以盡量不把郵件打開，從而有效的避免由于受到郵件病毒的侵害就現(xiàn)階段來講，郵件內(nèi)病毒是越來越多，若是稍有不慎，黑客就會通過郵件病毒進入到計算機系統(tǒng)內(nèi)，對系統(tǒng)進行惡意攻擊。電子郵件被攻擊的方式多種，主要表現(xiàn)在以下兩種：

（1）轟炸性電子郵件也可以被稱作是滾雪球類電子郵件，主要是使用非法IP 地址對計算機使用者的郵箱進行攻擊，就會導致郵箱在短時間之內(nèi)有較多的垃圾郵件出現(xiàn)，以至于郵箱容量有超載狀況進一步導致癱瘓出現(xiàn)。

（2）欺騙性電子郵件，有的黑客將會偽裝系統(tǒng)中管理者身份使用郵件的方式要求用戶將系統(tǒng)口令進行更改，這就導致計算機用戶的系統(tǒng)內(nèi)被植入病毒亦或是木馬，在對該種病毒進行預(yù)防的時候可以較為便捷，可以直接使用商城中的攔截軟件進行。

3.6 安全設(shè)置瀏覽器

瀏覽器是網(wǎng)絡(luò)各類病毒進入的關(guān)鍵地點，在對網(wǎng)頁瀏覽時，大多數(shù)的網(wǎng)站都會向電腦中硬盤錄入較多的信息數(shù)據(jù)，然后把用戶的信息詳細的記錄看到用戶返回這個界面是上面所錄入的信息，數(shù)據(jù)都會被重復的運用。可以看出安全性的瀏覽器需要設(shè)置出不同等的安全指數(shù)級別，然后把瀏覽環(huán)節(jié)中被網(wǎng)轉(zhuǎn)錄入的信息刪除。這就需要用戶能夠較優(yōu)質(zhì)的將自身IP 地址進行保護，在網(wǎng)絡(luò)安全企業(yè)意義范圍之內(nèi)和以往Internet服務(wù)器等各個終端都會存在獨立性地址，不管對于用戶還是對方來說，IP 地址都是比較隱藏的，但是在網(wǎng)絡(luò)聊天時，因為聊天所用到的信息數(shù)據(jù)傳輸都需要在IP 地址上捆綁，就會造成IP 地址泄露狀況，給黑客留下可乘之機，黑客獲取到計算機用戶IP 地址的路徑相對較多。但是其中較為普遍的路徑為在網(wǎng)絡(luò)上查看計算機用戶的信息，并對其賬號進行跟蹤，落實，黑客獲取到計算機用戶自身的IP地址，就會針對性的對其網(wǎng)絡(luò)發(fā)起進攻。

3.7 訪問控制與物理安全策略

訪問控制環(huán)節(jié)是對外部的各種訪問實施過濾的關(guān)鍵性技術(shù)，其關(guān)鍵的任務(wù)在于保障網(wǎng)絡(luò)信息資源不會被非法的訪問和運用，訪問控制并不需要用戶提供積極主動性的網(wǎng)絡(luò)安全保護和防范，還可以保護和維護網(wǎng)絡(luò)系統(tǒng)的安全把危險性因素進一步隔離。就現(xiàn)階段來講，使用相對比較廣泛的訪問技術(shù)有很多。在對不同類別訪問控制技術(shù)進行運用時，必須要按照網(wǎng)絡(luò)的實際狀況開展參考網(wǎng)絡(luò)中的安全級別，在不會對資源進行浪費的情況下實施安全性的網(wǎng)絡(luò)訪問工作。與此同時，在對物理完全策略進行運用的時候，該項技術(shù)的觀點是對網(wǎng)絡(luò)系統(tǒng)進行保護，作為保障計算機系統(tǒng)，網(wǎng)絡(luò)服務(wù)器和外部連接設(shè)備等的關(guān)鍵性技術(shù)，會需要計算機用戶對身份進行驗證，確保個人用戶安全隱私不受侵犯。加之，對計算機特定的工作環(huán)境安全性進一步維護也是至關(guān)重要的，計算機經(jīng)常會被其他中電磁的干擾，導致計算機的運行不夠穩(wěn)定，這就需要對安全管理的制度進一步完善，從而保障計算機的網(wǎng)絡(luò)安全防御效果較好。

3.8 計算機防病毒技術(shù)

該項技術(shù)運用關(guān)鍵的內(nèi)容是規(guī)避黑客惡意的進入互聯(lián)網(wǎng)，導致網(wǎng)絡(luò)出現(xiàn)危險性，從而保障計算機用戶信息數(shù)據(jù)不受侵犯。將該項技術(shù)引入到計算機系統(tǒng)內(nèi)，能夠?qū)Σ《緦崟r查殺和檢測該項技術(shù)，還將網(wǎng)絡(luò)虛擬化技術(shù)和人工智能技術(shù)有機的結(jié)合在一起，經(jīng)過系統(tǒng)自動的對互聯(lián)網(wǎng)絡(luò)實施經(jīng)濟的查查，從而保障系統(tǒng)具有較高的安全性，在開展檢查的時候，該項技術(shù)還會不斷的進行可行，確保系統(tǒng)具有較高的穩(wěn)定性從而降低病毒侵入出現(xiàn)的概率。在對計算機防毒技術(shù)進行應(yīng)用的時候，還將人工智能技術(shù)引入其中，確保該項技術(shù)具有較強的自動檢查功能，快速掃描功能以及自動搜索功能，可以確保在檢測的環(huán)節(jié)中能夠精準和及時的尋求到病毒的來源和類型，而后對其進行特定性的分析，精準處理，確保網(wǎng)絡(luò)系統(tǒng)具有較高的安全性。

4 結(jié)束語

綜上，隨著科學技術(shù)的不斷發(fā)展，各種先進的防御技術(shù)被研制出的同時，各種攻擊技術(shù)也在不斷優(yōu)化，這就需要有關(guān)技術(shù)人員重視對計算機網(wǎng)絡(luò)安全防御系統(tǒng)的完善，靈活分析各類技術(shù)，保障技術(shù)運用的合理性和針對性，提升系統(tǒng)構(gòu)建的完善性。