計算機網絡搭建及安全防范要點分析

劉 源

（新鄉職業技術學院計算機學院，河南 新鄉 453000）

隨著互聯網的迅速普及與計算機、智能手機等高科技產品的大量涌現，中國互聯網絡信息中心（CNNIC）第51次《中國互聯網絡發展狀況統計報告》顯示，我國網民數量在2022年12月底達到了10.67億人。計算機網絡已經成為現代社會不可或缺的基礎設施之一，它為人們提供了高效、快捷、安全、穩定的通信服務，改變著人們的工作和生活方式。隨著網絡規模的不斷擴大和網絡信息的日益增長，網絡攻擊的種類和數量也在不斷增多，網絡安全問題越來越受到人們的關注[1]。計算機網絡搭建及安全防范是確保網絡系統能夠正常、高效運行的重要環節。網絡搭建旨在構建一個結構合理、功能完善、性能優良的網絡體系，為用戶提供高品質的網絡服務；網絡安全防范是在網絡搭建的基礎上，采取措施保障網絡系統的信息安全和運行穩定。目前，全球范圍內的機構、企業都在積極推進網絡安全防范工作，投入資金建設和完善網絡安全系統，開展網絡安全技術研究，致力于提高網絡安全防范的能力和水平，保障各類信息系統的穩定運行[2]。因此，本文主要分析了計算機網絡搭建及安全防范要點，以期為相關人員提供理論參考。

1 計算機網絡搭建

1.1 計算機網絡搭建的基本原則

一是可靠性。計算機網絡應具備高可靠性，確保數據的安全傳輸和存儲。二是可擴展性。計算機網絡應具備良好的可擴展性，能夠滿足日益增長的用戶需求和網絡規模的擴大。計算機網絡靈活的架構和組件化設計可以支持網絡的無縫擴展。三是安全性。計算機網絡應具備強大的安全機制，保護網絡免受未經授權的訪問、惡意攻擊和數據泄露的風險。四是簡單性。計算機網絡應具備簡潔易懂的設計和管理方式，降低網絡部署和維護的復雜性；應具備清晰的文檔和易于使用的管理工具，幫助管理員更好地管理網絡。五是經濟性。計算機網絡的搭建和維護應在經濟可承受范圍內進行，合理利用資源，降低成本。通過遵循以上五項基本原則，可以搭建高效、可靠、安全和可擴展的計算機網絡，并為用戶提供良好的網絡體驗。

1.2 計算機網絡系統的構架原理

計算機網絡系統的構架原理是指計算機網絡中不同層次之間的交互協議和接口，以分層組織結構相互關聯完成網絡通信。現代計算機網絡中采用OSI參考模型或TCP/IP模型。OSI（開放式系統互連）參考模型將計算機網絡按照功能拆分成七個分層：物理層、數據鏈路層、網絡層、傳輸層、會話層、表示層和應用層。每一分層都有自己的協議實現方案，并通過協議數據單元（PDU）與下一層進行通信。TCP/IP模型由傳輸控制協議/因特網協議（TCP/IP）定義。TCP/IP將網絡協議分成四個層次：網絡接口層、互聯網層、傳輸層和應用層。網絡接口層描述了主機和物理網絡的連接，互聯網層處理IP地址和轉發數據包，傳輸層為進程提供可靠的通信服務，應用層包含各種應用程序和服務。兩種模型雖然有所不同，但都具有分層設計的概念，分層設計可以使計算機網絡更加靈活、可擴展和易于管理。每個分層都有特定的功能，可為每層提供嚴格定義的接口來進行協調和交互。這些接口使不同廠家的產品能夠相互兼容，最終實現全球范圍內的網絡通信。

1.3 計算機網絡搭建的步驟

網絡搭建步驟如圖1所示。

圖1 計算機網絡搭建的步驟

2 計算機網絡安全存在的問題

2.1 網絡攻擊

網絡攻擊是指針對計算機網絡系統的惡意攻擊行為，網絡攻擊可以破壞系統功能、竊取敏感信息和干擾正常的網絡通信[3]。目前較為常見的網絡攻擊有計算機病毒和惡意軟件、DDoS攻擊（分布式拒絕服務攻擊）、網絡釣魚等。計算機病毒和惡意軟件（如蠕蟲、木馬、間諜軟件等）可以通過網絡傳播，破壞入侵的計算機系統、損毀數據或盜取敏感信息。D D o S 攻擊（分布式拒絕服務攻擊）可以利用大量的惡意流量使目標網絡或服務器進行壓倒性地超負荷工作，導致正常用戶無法進行網絡訪問，從而造成網絡服務中斷、業務損失和惡劣的用戶體驗。網絡釣魚是指通過偽裝成可信實體（如銀行、企業等）的電子郵件、網站或消息，誘騙用戶提供敏感信息（如用戶名、密碼、銀行賬戶等），然后利用獲取的信息進行非法活動。此外，網絡攻擊者還可以通過竊取傳輸中的數據包或侵入存儲的數據包來獲取敏感信息，竊取到的信息包括個人身份信息、財務記錄和商業機密，給個人和組織帶來重大損失。

2.2 物理攻擊

物理攻擊方式有很多種，一是攻擊者可以通過偷拍、錄音、攔截信號等方式竊聽并監視通信流量和數據傳輸內容，從而獲得敏感信息；二是攻擊者可以對計算機硬件設施進行人為損毀，如投毀計算機硬件設備、切斷電源等，直接導致系統崩潰和數據損毀；三是攻擊者可以利用暴力破解、偷盜鑰匙、撬鎖等方式闖入計算機網絡設施間，破壞、篡改、盜取計算機系統和設備上的數據和文件，影響計算機網絡安全。

2.3 系統安全漏洞

系統安全漏洞是指操作系統、應用程序或其他軟件中存在缺陷或錯誤，這些缺陷會被攻擊者利用來獲取未授權的訪問權限或執行惡意代碼。其中最為常見的為軟件漏洞，軟件漏洞是軟件開發過程中出現錯誤，導致軟件中存在各種漏洞。另外，用戶如果訪問不受信任的網站、打開惡意電子郵件附件或下載感染病毒的文件，就會無意間將惡意軟件引入系統。這些惡意軟件會破壞系統、竊取敏感信息或作為遠程控制工具，使計算機網絡安全受到威脅。

2.4 無線網絡漏洞

現代通信技術的發展使人們越來越依賴無線網絡。但在無線網絡中，數據傳輸過程使用的是無線信號，這種信號很容易受到外部因素干擾，如天氣因素、地質災害等都會對無線信號造成嚴重的干擾，從而進一步影響計算機網絡安全。此外，當前的無線網內核加密機制WEP/WPA2等協議有較大安全漏洞，已經不能滿足大規模網絡應用所需的保護要求。黑客可以通過監聽或竊聽獲取無線網絡中的敏感信息，從而威脅網絡安全。同時，黑客也可以通過遠程方式來攻擊無線網絡，例如，獲取客戶端所使用過的公共無線網絡信號，對客戶端設備進行遠程控制，從而實施各種網絡犯罪行為。

3 計算機網絡安全防范要點研究

3.1 防火墻技術

防火墻技術是計算機網絡安全的重要組成部分，它能夠在網絡層、傳輸層和應用層為網絡提供安全保護，有效地限制攻擊者對目標網絡的入侵和非法訪問。防火墻技術不僅可以檢測與過濾網絡流量，還可以監視網絡活動并提供日志記錄。從理論上講，防火墻技術通常被配置為一個網絡的前端邊界，以構建一條安全隔離的墻來保護目標網絡。從技術上講，防火墻可以使用硬件、軟件和一些專門的設備實現網絡安全防范。在實際應用中，計算機網絡搭建可以使用“包過濾型”防火墻。“包過濾型”防火墻技術是最簡單的一種防火墻技術，它將網絡連接的作用想象成“流水線”，每個數據“包”都會經過這條流水線。在“流水線”上設置過濾規則（即訪問控制列表ACL）后，如果數據包符合規則，則允許該包通過；否則，拒絕該包通過。“包過濾型”防火墻的優點是性能和效率較高，但與誤報率相關的問題不能被及時地處理。這時，在計算機網絡搭建中可以采用“應用層網關”防火墻技術進行高級保護。“應用層網關”防火墻技術不僅支持端口和協議規則設置，而且能夠解讀并監控特定的應用程序活動，從而捕捉攻擊事件。這種技術能夠檢測應用層協議如HTTP、SMTP、FTP等，在不影響正常業務流程的情況下自動完成安全處理。

3.2 物理防護

首先，物理訪問控制是物理防護的基礎。物理訪問控制采用身份驗證技術，如門禁系統、雙因素認證、生物識別等有效限制物理訪問權限，并追蹤和記錄人員進出記錄。采用這些技術可確保只有經過授權的人員才能訪問網絡設備、服務器房間和數據中心等關鍵區域。它們提供了一定程度的保護，以避免未經授權的訪問和潛在的安全威脅。其次，設備安全是重要的一環。服務器、路由器、交換機等網絡設備應放置在物理安全控制下的鎖定設施中，防止不正當的物理訪問。同時，設備的可視性應受到限制，盡量避免將其暴露在公共區域，以減少因意外撞擊或惡意破壞而造成的風險。此外，在設計和建設網絡基礎設施時，應考慮物理安全因素。選擇安全可靠的機房或數據中心，并采取適當的防火、滅火系統以及溫濕度控制措施，防止設備受到火災、水災等自然災害的損害。最后，對重要設備和數據存儲介質應進行合理的保護。通過使用安全柜、密封袋、密封設備等物理手段，確保設備和數據存儲介質在不使用的情況下得到妥善保管，防止丟失、偷竊或未經授權的訪問。

3.3 信息加密技術

信息加密技術是計算機網絡安全的重要組成部分，可以將敏感信息加密成一定格式，使未經授權的人無法讀取和破譯。在實際應用中，信息加密可以利用特定算法將原始數據轉化為特定格式，信息加密要求只有持有相應密鑰的用戶才能解密并閱讀文件內容。它通過改變信息編碼方式，使信息在不可預測和不可控制的狀態下傳輸，增強了信息的保密性。信息加密技術可以分為對稱加密和非對稱加密兩種。對稱加密采用同一個密鑰進行加密和解密，其優點是速度快，但密鑰容易被攻擊者獲取；非對稱加密采用公鑰和私鑰進行加密和解密，其優點是安全性高，但速度相對較慢。目前信息加密技術已經廣泛應用于各個領域。在政府和軍事領域，加密技術被用于秘密文件的存儲和傳輸；在金融領域，加密技術被用于網上銀行和電子商務交易的安全保障；在企業領域，加密技術被用于保護商業機密和員工數據的安全性。總之，采用信息加密技術是一種非常重要的技術手段，可以保護重要信息免于被攻擊者竊取、惡意篡改以及損壞。

3.4 完善網絡安全管理制度

完善網絡安全管理制度可以有效進行計算機網絡安全防范。首先，組織應明確網絡安全政策和規范，明確人員行為準則和責任。網絡安全政策和規范包括規定用戶的權限和訪問控制政策、密碼策略、數據備份與恢復規范以及網絡設備配置和更新等方面的規定。其次，組織應建立風險評估和管理流程，對網絡系統和數據進行風險評估和分類，根據風險等級采取相應的安全措施。同時，也要建立災難恢復計劃，并進行定期演練和評估。在風險評估的基礎上，建立安全事件管理和響應機制，及時發現、分析和應對安全事件。相關部門可以建立安全事件檢測系統、設立安全事件響應團隊，采用惡意代碼檢測和排查等措施，以快速、有效地應對安全威脅。最后，在安全管理機制下，加強員工網絡安全意識的培訓和提升。組織應定期進行網絡安全培訓，提高員工對常見安全威脅和攻擊手段的認識，并教授正確的安全操作方法，確保員工具有應對網絡安全問題的能力。

4 結束語

在科學技術日新月異的今天，計算機網絡技術飛速發展，對人們的生活和工作產生了巨大的影響。與此同時，計算機網絡安全問題層出不窮，使網絡安全受到了極大的威脅。因此，在計算機網絡搭建的過程中，一定要做好網絡安全防范工作，確保計算機網絡的安全運行。本文通過對計算機網絡搭建原則及其安全防范要點的研究，提出了一些計算機網絡安全防范的措施，以期為計算機網絡安全搭建提供參考，為人們提供一個更安全的計算機網絡環境。■