計算機應用中網絡安全防護體系構建研究

（安康職業技術學院，陜西安康市，725000） 魏恩志

對網絡項目的安全管理進行深入探討，為網絡企業或學校的安全管理、提高企業或學校的經濟效益、推動企業或學校的發展提供了理論依據，如何使我國的網絡管理能夠順利、穩定地進行下去，就顯得尤為重要。有效實施計算機網絡安全管理，是促進經濟快速發展的重要保證。由于計算機網絡中的各種問題時有發生，造成我國每年都出現巨大的財產損失。由于我國的計算機產業發展相對滯后，與世界上其它國家相比存在著一定的差距。通過采取切實、有效的措施，可以在一定程度上改善我國的計算機產業管理，從而提升國內計算機產業的國際競爭力。通過網絡管理，保證網絡的安全，最大限度地防止計算機的漏洞，達到保護的目的，從而提高企業或學校的競爭資本，實現高效的安全管理已經成為當今計算機產業和安全保護公司的當務之急。

1 個案分析

1.1 企業或學校原有的基本狀況

四樓辦公樓內網，大約有150 臺計算機PC，邊框裝置是深信服的網絡行為管理裝置，只有1 個核心服務服務器，用于應用系統、文件保存和共享，網絡設備交換器僅使用基礎交換機的功能，并在一個“工作組”模式下進行二層數據交換。

1.2 存在的問題和現狀

1.2.1 缺乏防范互聯網的威脅

只使用深信服的上網行為管理裝置進行人員身份識別、認證和簡單的安全威脅保護，就會產生以下的安全隱患，沒有專門的防火墻、IPS、安全網關等安全保護設施，對來自互聯網的惡意攻擊、惡意入侵進行有效的防御及控制。在外部通過病毒、嗅覺等手段，可以更方便地獲取使用者的相關信息，從而非法、越權地進入公司的業務系統，擾亂系統的正常運轉，竊取公司的商業機密，并導致信息泄漏。

1.2.2 惡意程序終端機病毒的攻擊

所有的終端計算機都沒有安裝公司版本的防病毒軟件，所有的工作人員都是通過網絡上下載的單機防病毒軟件來進行簡單的保護，或者在沒有任何保護的情況下進行裸機操作。在裸機上運行的計算機容易受到病毒、木馬等惡意軟件的攻擊，從而使計算機軟件和系統受到損害，甚至可以盜用公司的機密文件，造成信息泄漏，造成利益受損。

1.3 網絡安全體系結構改進計劃

1.3.1 網絡邊界的安全保護

在互聯網的邊界和分公司之間設置防火墻，網絡與企業或學校內部網的安全、公司和總部的網絡的安全，建立一個合理的、高效的防火墻安全篩選規則，用于協議、端口和源目的地址、外網的流量審查工作，對非法進入的用戶進行嚴格的監控，僅開啟HTTP、FTP、SMTP、POP3 和其它需要的服務，可以防止拒絕服務攻擊，病毒傳播，嗅探入侵。

1.3.2 實現對上網行為的綜合控制

使用更好的網絡行為管理設備。加強應用程序的控制和流量管理，對非工作相關的網絡應用進行管控，并采用多種流量控制技術，防止帶寬資源的浪費，保證核心業務的帶寬。

1.3.3 VLAN的配置管理

由于各層的使用者被分成了不同的VLAN，因此從各個端口收到的消息都會被限制在各自的VLAN 中，這樣就可以將廣播領域與虛擬工作組分開。當發生病毒、惡意攻擊、網絡中斷等突發事件時，可快速地跟蹤源頭計算機所在的樓層或部門，以加快事件處理的速度。

1.3.4 AD領域管理的實現

配置DC1.XX.COM 和DC2.XX.COM.COM 兩臺域控制器，為每位員工建立一個域名的注冊域名，界定使用者與計算機組態的群組政策，加強安全，對非工作應用程序的使用者進行有效的控制，降低IT 管理人員的工作壓力，使他們的生產力得到提升。

1.3.5 終端病毒防護的部署

部署一套趨勢技術公司版本的終端防病毒系統：建立一套趨勢防病毒系統，PC 端安裝防病毒客戶端，對病毒進行統一的保護，并能及時發現網絡中的病毒，可以有效的防范和清除病毒，增強用戶終端的安全。

1.3.6 在新構建的網絡中執行一個缺陷掃描測試

利用XX 漏洞的掃描與管理系統，從系統級到組態，再到各個終端的掃描。對該系統的漏洞進行掃描，發現4 個中危漏洞，其中以微軟的補丁為重點，通過網絡及時的升級來解決，一般的用戶終端不存在安全漏洞。

2 網絡環境下計算機系統所面臨的威脅

2.1 內部控制薄弱

計算機的結構雖然復雜，但其內部結構非常復雜，計算機中央處理器（CPU）是一個非常復雜的系統，其負責外部的保護，但并不代表中央處理器就是絕對的安全，CPU 結構越是復雜就越是容易出錯。如果出現運行錯誤，內部網絡就會不穩，輕則消息外泄，重則甚至整個防御系統都會徹底崩潰。通常終端違規連接、網絡信息內外交流和媒體交叉利用是內網信息泄漏的重要途徑。

2.2 “黑客”攻擊

Windows 從誕生之初就與各種漏洞緊密相連，并且隨著時間的流逝，將會有更多的漏洞被發現并被利用，有些罪犯會利用這個漏洞，進行非法的行為，如在受害者的計算機上安裝“黑客”軟件，然后盜取密碼、密碼之類的東西，從而讓計算機癱瘓。由于其高度隱蔽性，網絡“黑客”是最大的威脅，可以利用自己的計算機上的特定程序，來控制別人的計算機，從而獲取自己的信息。

2.3 病毒入侵

計算機病毒作為一種可以損傷計算機并且破壞其系統、具有自我復制能力的代碼或者程序，計算機一旦遭受到病毒的入侵，其就會潛伏在計算機中，時時刻刻影響著計算機系統的正常運行。一般條件下，病毒在侵害計算機期間，何可可以在自身計算機上采取特定的程序對其進行控制，進而對他人計算機進行遠程控制，查看關鍵信息。一般的計算機病毒會以郵件或者是軟件為載體，貿然使用或者下載很容易使計算機感染上病毒。

3 構建計算機網絡安全防護體系的關鍵技術

3.1 漏洞補丁與系統漏洞掃描技術

從根本上說，計算機系統本身就是一個龐大而復雜的程序，一旦程序與網路有了聯系，程序本身的缺點一旦被惡意使用，就會演變為計算機風險，此時就有有可能被木馬、病毒等入侵或者是遭受黑客攻擊。根據漏洞的大小對計算機造成的傷害程度也不盡相同，一般情況下，大的漏洞可以被及時發現并修補，但小漏洞數量很多，而且很難被發現，要想找到需要花費大量的時間和精力。

漏洞掃描技術是一種自動掃描、發現和修復技術，主要是為了防止計算機系統出現漏洞，通過對系統的定期掃描來保證系統的穩定性和安全性，防止計算機受到攻擊和傷害。一旦發現漏洞就必須修復，確保不會再被人利用。

3.2 防火墻技術

目前這種防火墻技術有地址轉換、代理防火墻、過濾防火墻等幾種方式，其作用就是切斷網絡的危險傳播，將使用者的計算機隔離，從而保證計算機的安全，是內外網通信中最重要的一種控制存取技術。利用防火墻技術可以根據使用者的要求，為不同的外部網絡提供不同的安全保護級別和策略。用戶是否可以進行數據通訊，如果發現了敏感的信息，就會自動組織程序的執行，從而干擾數據的傳送，實現對計算機網絡的安全保護。

3.3 入侵檢測技術

入侵檢測技術是一種主動防御技術，其可以用于各種技術開發的或與當前網絡環境相適應的安全規范，并能根據這些規律對用戶從網絡中獲得的數據進行相關分析，從而實現對網絡工作狀況的監測，最后確定網絡中有沒有安全隱患。同時這一功能的作用在于，當系統所保護的資料處于解密狀態時，可以自動切斷現有的網絡連接，從而保證加密系統中的加密保護區的資料不會遭到惡意的攻擊和盜用。

3.4 計算機網絡管理技術

計算機網絡管理技術并非針對的是用戶電腦所進行的安全防護技術工作，其是一種應用于計算機網絡的管理技術。網絡管理技術可以提高信息交換、數據傳輸的標準化、安全，提高對突發事件的跟蹤和分析能力。最常用的就是身份驗證技術，可以確保用戶的每一次網絡行為都會被服務器所記錄和監視，從而及時的發現和制止黑客的非法行為，從而防止和阻斷病毒的蔓延。一般有效的辦法是采用“計算機域”的管理技術，使得該領域能夠對網絡中的電腦進行嚴密的控制，從而避免了對系統的最高權限的濫用。

3.5 數據加密與簽名技術

數據加密和數字簽名技術在目前的計算機網絡安全防護中起到的效果相似，都是一種加密文件信息后在網絡中傳播與交流的一種防護技術。這中技術可以有效避免和控制信息在傳輸期間被截取或者惡意篡改所帶來的危害，如果數據進行加密，很難被破壞，在一定程度上保障了信息的安全性。

4 構建計算機網絡安全防護體系的主要策略

4.1 加強防護技術與管理人員的教育與培訓

提升技術人員與管理人員的綜合素質是保障計算機網絡被安全防護的重要基礎，因此需要加強對計算機防護技術人員和計算機網絡系統的相關管理人員的安全教育和培訓，提升個人的防護意識，減少計算機網絡遭受病毒入侵的概率。

對于管理人員而言，需要對其進行定期培訓，包含管理人員的綜合素質和安全意識，進而實現安全管理體系的建立。且對于安全教育培訓的內容和方法來講，還可借鑒國外一些先進安全管理的經驗來提升管理水平，也可通過視頻來借鑒國內外有效安全防護管理的經典案例，使工作人員汲取教訓，并明確相關危險因素出現的原因，提出關鍵防范措施，以此來警醒所有工作人員。

4.2 采取先進的技術手段

基于上文分析，目前計算機網絡安全防護所保護的技術手段數量較多，因此如何去選擇先進的技術手段來保障計算機網絡安全是目前所需關注的重點。目前我國在計算機網絡安全方面的管理方法和手段相比于西方發達國家還存在一定的差距，所以國家需要積極引進西方先進的防護手段和技術設備，將西方先進的科技成果和理論成果應用到我們的計算機安全技術中去，實現計算機應用網絡安全防護體系的快速構建。

5 結語

綜上所述，計算機網絡安全防護體系的構建，需要結合目前計算機網絡中所可能遭受到的威脅和危險因素，并結合各種科學技術的分析，選擇適合的防護技術，在提升計算機應用安全的同時，也為企業、學校等部門提供安全有效的數據內容。