計(jì)算機(jī)網(wǎng)絡(luò)如何構(gòu)建安全防護(hù)體系

文/陳宇鈞

1 網(wǎng)絡(luò)環(huán)境下計(jì)算機(jī)系統(tǒng)面臨的威脅

1.1 內(nèi)控脆弱

計(jì)算機(jī)雖然擁有復(fù)雜的組成體系，但分工與合作控制嚴(yán)格，其大腦（CPU）作為內(nèi)控核心運(yùn)行程序極為復(fù)雜，其中一部分（安全防護(hù)體系）負(fù)責(zé)對(duì)外防護(hù)，但卻并未表現(xiàn)出絕對(duì)安全，而是其機(jī)制越精密則越容易出現(xiàn)漏洞，一旦出現(xiàn)運(yùn)行錯(cuò)誤，則會(huì)致使內(nèi)網(wǎng)失去穩(wěn)定，輕則泄露信息，重則導(dǎo)致防護(hù)體統(tǒng)完全崩潰。一般情況下，終端機(jī)違章連接、網(wǎng)絡(luò)信息內(nèi)外溝通與介質(zhì)交叉使用成為內(nèi)網(wǎng)泄密的主要渠道。

1.2 “黑客”攻擊

Windows系統(tǒng)自誕生之日開始，就和漏洞密不可分，隨著時(shí)間的推移，會(huì)有越來(lái)越多的漏洞被發(fā)現(xiàn)和被利用，一些不法分子通過(guò)對(duì)該漏洞的利用，便會(huì)進(jìn)行一些違法活動(dòng)，將“黑客”程序植入被害者計(jì)算機(jī)后，如此便可竊取其中的密保與口令等電子郵件，最終導(dǎo)致計(jì)算機(jī)系統(tǒng)全面癱瘓，無(wú)法進(jìn)行正常運(yùn)行與操作。網(wǎng)絡(luò)“黑客”因其極高的隱蔽性而對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全威脅最大，其可在自身計(jì)算機(jī)上采用特定程序控制他人計(jì)算機(jī)，從中查看信息。

1.3 病毒入侵

計(jì)算機(jī)病毒為一種可損傷計(jì)算機(jī)并破壞其系統(tǒng)且能自我復(fù)制的程序或代碼，計(jì)算機(jī)一旦遭受病毒的入侵，就會(huì)潛伏于計(jì)算機(jī)中時(shí)刻影響系統(tǒng)的正常運(yùn)行，以此內(nèi)在的監(jiān)控與破壞計(jì)算系統(tǒng)。一般情況下，病毒在侵害計(jì)算機(jī)過(guò)程中，黑客可在自身計(jì)算機(jī)上采用特定程序?qū)ζ鋵?shí)施控制，進(jìn)而控制他人計(jì)算機(jī)，從中查看信息。計(jì)算機(jī)病毒通常以軟件或郵件為載體，貿(mào)然使用或下載則會(huì)導(dǎo)致自身計(jì)算機(jī)感染。

2 構(gòu)建計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)體系的關(guān)鍵技術(shù)

2.1 系統(tǒng)漏洞掃描技術(shù)及漏洞補(bǔ)丁

從本質(zhì)上講，計(jì)算機(jī)系統(tǒng)自身就為一個(gè)復(fù)雜且巨大的代碼程序，當(dāng)其與網(wǎng)絡(luò)關(guān)聯(lián)后，該程序中存在的缺陷被惡意利用后便會(huì)成為網(wǎng)絡(luò)漏洞，進(jìn)而演化為計(jì)算機(jī)風(fēng)險(xiǎn)，此時(shí)便會(huì)存在遭受木馬、病毒入侵與黑客攻擊的機(jī)率。漏洞因大小的不同給計(jì)算機(jī)帶來(lái)的危害程度也不同，一般而言，大型漏洞可被及時(shí)發(fā)現(xiàn)并修復(fù)，小漏洞數(shù)目較多且隱蔽性極強(qiáng)，對(duì)其發(fā)現(xiàn)可能需消耗巨大的時(shí)間與精力。作為自動(dòng)掃描、發(fā)現(xiàn)以及修復(fù)的技術(shù)，漏洞掃描技術(shù)以預(yù)防計(jì)算機(jī)出現(xiàn)系統(tǒng)漏洞為目的，以定期掃描系統(tǒng)漏洞為手段，從而最大程度保護(hù)系統(tǒng)穩(wěn)定與安全，避免計(jì)算機(jī)遭受入侵與危害。發(fā)現(xiàn)漏洞就應(yīng)該進(jìn)行修補(bǔ)并保證該漏洞不再被輕易利用，通常操作系統(tǒng)及數(shù)據(jù)庫(kù)這類關(guān)鍵軟件在發(fā)現(xiàn)漏洞后，開發(fā)商都在第一時(shí)間推出漏洞補(bǔ)丁，及時(shí)安裝漏洞補(bǔ)丁很重要，為了能及時(shí)安裝漏洞補(bǔ)丁，應(yīng)在網(wǎng)絡(luò)中部署漏洞升級(jí)服務(wù)器并向網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)進(jìn)行漏洞補(bǔ)丁的推送。

2.2 防火墻技術(shù)

該技術(shù)目前常用的幾種方式包括地址轉(zhuǎn)換防火墻、代理防火墻與過(guò)濾防火墻等，其主要是通過(guò)切斷危險(xiǎn)傳播途徑，隔離用戶計(jì)算機(jī)的方式來(lái)達(dá)到保護(hù)計(jì)算機(jī)系統(tǒng)安全的目的，是為內(nèi)、外網(wǎng)通信過(guò)程中最為關(guān)鍵的控制訪問(wèn)技術(shù)。防火墻技術(shù)的運(yùn)用，其可根據(jù)用戶自身定義針對(duì)不同的外網(wǎng)環(huán)境制定不同的安全防護(hù)等級(jí)與策略，通過(guò)對(duì)實(shí)施信息數(shù)據(jù)傳輸?shù)臋z測(cè)與監(jiān)控，以此判斷網(wǎng)絡(luò)運(yùn)行狀態(tài)是否正常，使用者對(duì)有關(guān)數(shù)據(jù)通信的操作是否被允許，如若有敏感內(nèi)容發(fā)現(xiàn)，則會(huì)對(duì)程序運(yùn)行實(shí)施自動(dòng)組織，將數(shù)據(jù)傳輸中斷，進(jìn)而達(dá)到保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的目的。

2.3 入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)為一種主動(dòng)性防御技術(shù)，該技術(shù)可以應(yīng)用在多種相關(guān)技術(shù)制定的或者與當(dāng)下網(wǎng)絡(luò)環(huán)境可以相匹配的安全的規(guī)則，并且可以利用這一規(guī)則對(duì)與用戶在網(wǎng)絡(luò)中所獲取的數(shù)據(jù)信息進(jìn)行相關(guān)的分析，進(jìn)而達(dá)到監(jiān)控網(wǎng)絡(luò)運(yùn)行狀態(tài)的目的，并最終判斷正在運(yùn)行的網(wǎng)絡(luò)中是否存在安全威脅。與此同時(shí)，該功能存在的目的是為了在系統(tǒng)中被保護(hù)的數(shù)據(jù)處在被解密狀態(tài)時(shí)，系統(tǒng)可以自動(dòng)斷開當(dāng)前的網(wǎng)絡(luò)連接，以此來(lái)確保加密系統(tǒng)內(nèi)部的加密保護(hù)區(qū)的數(shù)據(jù)不會(huì)被惡意攻擊或者被非法竊取，且當(dāng)系統(tǒng)內(nèi)部被加密保護(hù)的數(shù)據(jù)文件處在加密狀態(tài)時(shí)，系統(tǒng)就會(huì)自動(dòng)的進(jìn)行網(wǎng)絡(luò)連接，使網(wǎng)絡(luò)恢復(fù)正常的運(yùn)行狀態(tài)。

2.4 計(jì)算機(jī)網(wǎng)絡(luò)管理技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)管理技術(shù)并非針對(duì)用戶電腦進(jìn)行的安全防護(hù)工作，而是在計(jì)算機(jī)網(wǎng)絡(luò)中實(shí)行的一種管理技術(shù)。網(wǎng)絡(luò)管理技術(shù)能夠有效的增強(qiáng)信息交流和數(shù)據(jù)傳遞的規(guī)范性和安全性，提升危險(xiǎn)出現(xiàn)后的追溯和分析能力。用戶最常見的就是身份認(rèn)證技術(shù)，保證用戶每個(gè)網(wǎng)絡(luò)行為都會(huì)受到網(wǎng)絡(luò)服務(wù)器的記錄和監(jiān)控，能夠提前發(fā)現(xiàn)并及時(shí)阻止黑客的不法行為與發(fā)現(xiàn)并中斷病毒木馬的感染和傳播。通常有效的方法是使用“計(jì)算機(jī)域”管理技術(shù)，使域來(lái)嚴(yán)格控制網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)的系統(tǒng)最高權(quán)限不被輕易利用。

2.5 數(shù)據(jù)加密與簽名技術(shù)

數(shù)據(jù)加密和數(shù)字簽名技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)中起到的效果是類似的，都是對(duì)文件信息進(jìn)行加密而后再在網(wǎng)絡(luò)中進(jìn)行交流和傳播。這種技術(shù)能夠有效的控制信息在網(wǎng)絡(luò)傳輸中被截取抓包或是惡意篡改的危害，即使數(shù)據(jù)被不法分子獲取，但是數(shù)據(jù)一旦進(jìn)行了加密，就不能被別人看到或是破壞，在很大程度上保證了信息的安全性。

3 個(gè)案實(shí)例

3.1 公司原基礎(chǔ)狀態(tài)

（1）內(nèi)網(wǎng)約有150臺(tái)電腦PC，分布在四層辦公樓；

（2）邊界設(shè)備為深信服上網(wǎng)行為管理設(shè)備；

（3）僅有1臺(tái)關(guān)鍵業(yè)務(wù)服務(wù)器，主要用于應(yīng)用系統(tǒng)、文件保存及共享；

（4）網(wǎng)絡(luò)設(shè)備交換機(jī)只運(yùn)用基本交換機(jī)功能，用于二層數(shù)據(jù)交換，運(yùn)行在單一的“工作組”模式下。

3.2 問(wèn)題及現(xiàn)狀分析

3.2.1 互聯(lián)網(wǎng)威脅防御不足

僅通過(guò)深信服上網(wǎng)行為管理設(shè)備進(jìn)行網(wǎng)絡(luò)邊界的人員身份識(shí)別、認(rèn)證及簡(jiǎn)單的安全威脅防護(hù)，存在如下安全風(fēng)險(xiǎn)：

（1）不具備專業(yè)的安全防護(hù)設(shè)備（如防火墻、IPS、安全網(wǎng)關(guān)等），對(duì)互聯(lián)網(wǎng)外部的惡意攻擊、惡意入侵進(jìn)行有效的抵御及控制；

（2）外面利用病毒或者嗅探工具等可以比較容易獲取到用戶的相關(guān)信息，從而對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行非法或越權(quán)的訪問(wèn)，破壞系統(tǒng)的正常運(yùn)行，或非法獲得企業(yè)的商業(yè)秘密，造成信息泄露。

3.2.2 終端病毒惡意代碼攻擊

終端電腦均為未安裝企業(yè)版防病毒軟件，員工電腦均是各自使用從互聯(lián)網(wǎng)下載的單機(jī)版防病毒軟件進(jìn)行簡(jiǎn)單防護(hù)，或者無(wú)防護(hù)的裸機(jī)運(yùn)行，存在如下安全風(fēng)險(xiǎn)：

（1）裸機(jī)運(yùn)行的電腦易于被病毒、木馬等惡意程序入侵，導(dǎo)致辦公電腦程序及系統(tǒng)被破壞，嚴(yán)重者竊取公司敏感文件，導(dǎo)致信息泄露造成利益損失；

（2）使用單機(jī)版防病毒軟件行為，員工又不具備專業(yè)的意識(shí)，無(wú)法判斷防病毒軟件是否為正版或者是否具有后門程序，亦可能帶來(lái)惡意程序入侵結(jié)果；

3.3 網(wǎng)絡(luò)安全架構(gòu)改造方案

3.3.1 實(shí)現(xiàn)互聯(lián)網(wǎng)邊界安全防護(hù)

通過(guò)在互聯(lián)網(wǎng)邊界和總部與分支機(jī)構(gòu)之間，部署防火墻，實(shí)現(xiàn)如下效果：

（1）對(duì)Internet互聯(lián)網(wǎng)與企業(yè)內(nèi)網(wǎng)之間進(jìn)行安全隔離，對(duì)公司與總部安全域之間進(jìn)行安全隔離；

（2）通過(guò)防火墻建立合理有效的安全過(guò)濾原則，對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議、端口、源目的地址、流向進(jìn)行審核，嚴(yán)格控制外網(wǎng)用戶非法訪問(wèn)；

（3）只打開服務(wù)必須的HTTP、FTP、SMTP、POP3以及所需的其他服務(wù)，防范外部來(lái)的拒絕服務(wù)攻擊、病毒傳播、嗅探入侵等惡意威脅行為。

3.3.2 實(shí)現(xiàn)全面的上網(wǎng)行為管控

使用性能更高的上網(wǎng)行為管理設(shè)備。

（1）提高應(yīng)用控制和流量管理功能，管控與工作無(wú)關(guān)的網(wǎng)絡(luò)應(yīng)用，同時(shí)具備多項(xiàng)流量管控技術(shù)，杜絕帶寬資源濫用，保障核心業(yè)務(wù)帶寬；

（2）具備精細(xì)信息管控功能，可以管控各類信息外發(fā)途徑，記錄上網(wǎng)軌跡，規(guī)避泄密和法規(guī)風(fēng)險(xiǎn)；

3.3.3 實(shí)現(xiàn)VLAN配置管理

根據(jù)樓層用戶劃分到不同的VLAN中，此后從某個(gè)端口接收的報(bào)文將只能在相應(yīng)的VLAN內(nèi)進(jìn)行傳輸，從而實(shí)現(xiàn)廣播域的隔離和虛擬工作組的劃分。當(dāng)病毒、惡意攻擊、網(wǎng)絡(luò)中斷等事件爆發(fā)時(shí)，便于快捷追蹤源頭機(jī)器所在樓層或者部門，提高處理事件的響應(yīng)速度。

3.3.4 實(shí)現(xiàn)AD域管理

部署DC1.XX.COM和DC2.XX.COM兩臺(tái)域控制器：（1）為每個(gè)員工創(chuàng)建域用戶以登錄域；（2）定義組策略管理用戶和計(jì)算機(jī)配置；（3）增強(qiáng)安全性，有效控制用戶使用與工作無(wú)關(guān)的應(yīng)用；

（4）減輕IT管理員負(fù)擔(dān)，提高工作效率。

3.3.5 部署終端病毒防護(hù)

部署一套趨勢(shì)科技企業(yè)版終端防病毒系統(tǒng)：在服務(wù)器上搭建一套趨勢(shì)防病毒系統(tǒng)，PC終端上安裝防病毒客戶端，實(shí)現(xiàn)病毒防護(hù)的統(tǒng)一管理，及時(shí)有效的發(fā)現(xiàn)網(wǎng)絡(luò)中存在的病毒問(wèn)題，有效的對(duì)病毒進(jìn)行防御和查殺，提高用戶終端的安全性。

3.3.6 對(duì)新構(gòu)建網(wǎng)絡(luò)實(shí)施漏洞掃描測(cè)試

采用XX漏洞掃描和管理系統(tǒng)，對(duì)服務(wù)器從系統(tǒng)層和配置層進(jìn)行掃描，以及各終端掃描。漏洞掃描的結(jié)果主要是：服務(wù)器中發(fā)現(xiàn)中危漏洞4個(gè)，主要集中在微軟補(bǔ)丁漏洞，這些漏洞通過(guò)及時(shí)聯(lián)網(wǎng)更新進(jìn)行修復(fù)，普通用戶終端中在本次掃描中沒有危險(xiǎn)漏洞。

4 結(jié)語(yǔ)

本文通過(guò)筆者實(shí)踐經(jīng)驗(yàn)的總結(jié)，就計(jì)算機(jī)網(wǎng)絡(luò)信息在保護(hù)策略方面建議性提出以下幾點(diǎn)措施：

（1）以網(wǎng)絡(luò)涉密分級(jí)為依據(jù)具有針對(duì)性制定保護(hù)策略，其主要內(nèi)容有管理規(guī)范、技術(shù)要求、方案設(shè)計(jì)與安全評(píng)價(jià)等；

（2）在安全密保方面進(jìn)行動(dòng)態(tài)防護(hù)，以網(wǎng)絡(luò)檢測(cè)加強(qiáng)的方式規(guī)避網(wǎng)絡(luò)威脅，以此提升邊界防護(hù)與監(jiān)控等行為力度。同時(shí)建立應(yīng)急方案，構(gòu)建“容災(zāi)與恢復(fù)”機(jī)制；

（3）大力推進(jìn)“強(qiáng)審計(jì)”策略，提升人員網(wǎng)絡(luò)保護(hù)意識(shí)，建立并完善網(wǎng)絡(luò)安全法令法規(guī)。

參考文獻(xiàn)

[1]方一.計(jì)算機(jī)網(wǎng)絡(luò)凈化安全防護(hù)體系的構(gòu)建[J].考試周刊,2014(09).

[2]許衛(wèi)明.構(gòu)建計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)體系的研究[J].科技展望,2016,36(03):26.