工程技術(shù)研究中心計算機網(wǎng)絡安全防護系統(tǒng)研究

郭超

（新疆維吾爾自治區(qū)科技項目服務中心，新疆 烏魯木齊 830011）

0 引言

工程技術(shù)研究中心是國家科研基地的重要組成部分，是國家向科技強國轉(zhuǎn)型的核心力量。工程技術(shù)研究中心計算機網(wǎng)絡安全防護系統(tǒng)是促進行業(yè)共性關(guān)鍵技術(shù)的研發(fā)以及科技成果轉(zhuǎn)化的關(guān)鍵。計算機網(wǎng)絡安全攻擊渠道在大數(shù)據(jù)技術(shù)快速發(fā)展的背景下呈現(xiàn)出了多樣化、智能化的趨勢，延長了網(wǎng)絡攻擊威脅潛藏周期的同時，安全威脅感染速度更快，為工程技術(shù)研究中心的正常運行帶來了較大的影響。因此通過先進安全防御策略及方案的不斷引進構(gòu)建起多層次的有效的深度安全防御體系是目前領(lǐng)域內(nèi)的一項研究重點[1]。

1 需求分析

工程技術(shù)研究中心計算機網(wǎng)絡中的大數(shù)據(jù)在為日常生活、工作帶來極大便利的同時，隱藏在網(wǎng)絡大數(shù)據(jù)使用過程中的隱患日益突出，因此對保護計算機網(wǎng)路安全方面的需求不斷提高。工程技術(shù)研究中心計算機網(wǎng)絡信息安全保護在大數(shù)據(jù)環(huán)境中涉及到較多的領(lǐng)域和技術(shù)，需基于大量技術(shù)的相互結(jié)合實現(xiàn)相應的安全保障功能，處于運行狀態(tài)的計算機網(wǎng)絡系統(tǒng)所面臨的安全威脅對設計并實現(xiàn)專門的計算機網(wǎng)絡安全防護體系提出了更高的要求，通過計算機網(wǎng)絡防護體系實現(xiàn)針對各種安全威脅防護功能的動態(tài)完善。當前工程技術(shù)研究中心計算機網(wǎng)絡面臨的主要威脅包括：（1）攻擊技術(shù)的種類不斷增加，不斷增加和快速發(fā)展的分布式移動計算、云計算、大數(shù)據(jù)等技術(shù)為人們有效使用相應的大數(shù)據(jù)資源帶來了較大的便利，同時在不同程度上提高了病毒、木馬、黑客的攻擊機率，計算機網(wǎng)絡安全所面臨威脅的智能化水平不斷提高，使網(wǎng)絡威脅更加隱蔽且潛伏周期不斷增加，為使用大數(shù)據(jù)帶來了較大的安全威脅，導致重要數(shù)據(jù)資源受到損害、泄露或丟失[2]。（2）網(wǎng)絡威脅入侵呈現(xiàn)多樣化態(tài)勢，目前登錄相互連接的分布式管理系統(tǒng)時可通過使用手機、計算機、平板等完成，顯著增加了網(wǎng)絡入侵傳播的途徑。

2 工程技術(shù)研究中心計算機網(wǎng)絡安全防護系統(tǒng)設計

2.1 設計要求

大數(shù)據(jù)背景下工程技術(shù)研究中心計算機網(wǎng)絡安全防護系統(tǒng)的設計要求主要包括：（1）確保計算機網(wǎng)絡客戶端的安全，通過區(qū)分用戶信息身份實現(xiàn)對偽造信息的有效篩除，通過保護用戶數(shù)據(jù)信息實現(xiàn)數(shù)據(jù)非法讀取操作的有效避免，通過確保用戶數(shù)據(jù)的完整以有效避免重要數(shù)據(jù)被隨意篡改，在數(shù)據(jù)接收和發(fā)送過程中根據(jù)具有不可否認特性的客戶信息有效避免責任推卸現(xiàn)象的出現(xiàn)；（2）確保計算機網(wǎng)絡服務器安全，為有效防止敏感數(shù)據(jù)被盜取、數(shù)據(jù)受到服務攻擊，采取有效的數(shù)字加密技術(shù)確保數(shù)據(jù)機密，未經(jīng)授權(quán)時無法對數(shù)據(jù)進行篡改；（3）確保計算機網(wǎng)絡傳輸安全，網(wǎng)絡用戶未經(jīng)授權(quán)不能修改數(shù)據(jù)，保證數(shù)據(jù)的完整傳輸，確保數(shù)據(jù)能夠安全傳輸不被被非法竊聽；（4）確保內(nèi)部工作網(wǎng)絡系統(tǒng)平臺安全，未經(jīng)授權(quán)的用戶不具備訪問內(nèi)部系統(tǒng)的權(quán)限，保持內(nèi)網(wǎng)的可控性，從而有效避免內(nèi)部網(wǎng)絡遭受黑客攻擊；通過內(nèi)部網(wǎng)絡避免內(nèi)部敏感網(wǎng)絡信息被泄漏，避免內(nèi)部網(wǎng)絡及用戶資源的濫用[3]。

2.2 網(wǎng)絡安全防護系統(tǒng)體系結(jié)構(gòu)

網(wǎng)絡系統(tǒng)安全體系層次模型如圖1所示，物理層信息安全主要負責避免損壞、竊聽及攻擊物理通路等行為，鏈路層網(wǎng)絡安全主要通過加密通訊及劃分局域網(wǎng)以確保其所傳送數(shù)據(jù)的安全，網(wǎng)絡層安全主要通過網(wǎng)絡授權(quán)客戶服務（確保網(wǎng)絡路由的正確分配）實現(xiàn)監(jiān)聽和攔截行為的有效避免，操作系統(tǒng)安全主要負責確?？蛻糍Y料及操作系統(tǒng)的安全，基于網(wǎng)絡系統(tǒng)創(chuàng)建的應用平臺（一種應用服務軟件，如web 服務器、電子郵件、數(shù)據(jù)庫）較為復雜需通過多種技術(shù)的綜合運用實現(xiàn)平臺安全性的有效提高。

圖1 安全體系的層次模型

2.3 網(wǎng)絡安全防護系統(tǒng)主要功能模塊的設計

（1）安全預警模塊，安全預警模塊運行如圖2所示。主要負責準確識別行為、漏洞及攻擊等并進行預警提示，工程技術(shù)研究中心計算機網(wǎng)絡會包含了豐富的使用不同結(jié)構(gòu)、開發(fā)語言及環(huán)境的異構(gòu)應用軟件，在集成這些應用軟件的過程中因接口相互通信的實現(xiàn)而極易導致多種漏洞的出現(xiàn)，增加了網(wǎng)絡安全攻擊的幾率。通過漏洞預警可快速實現(xiàn)補丁機率、抵御外來威脅，針對不正常的網(wǎng)絡中的流量通過多種算法的綜合運用實現(xiàn)對網(wǎng)絡攻擊行為的有效預測和預警能力，從而提高計算機網(wǎng)絡的安全性。

圖2 安全預警模塊

（2）安全保護與安全監(jiān)測，通過數(shù)字簽名防御技術(shù)這一安全防御措施的運用可以使網(wǎng)絡數(shù)據(jù)通信中的不恰當行為得以有效避免。在構(gòu)建計算機網(wǎng)絡安全防護系統(tǒng)時主要通過多種防御技術(shù)的綜合運用實現(xiàn)感染和攻擊大數(shù)據(jù)背景下網(wǎng)絡數(shù)據(jù)的行為得到有效避免，對于網(wǎng)絡流量可通過入侵檢測、網(wǎng)絡流量抓包等技術(shù)的使用實現(xiàn)及時準確的獲取，再使用軟硬件等關(guān)聯(lián)規(guī)則技術(shù)進行深入的挖掘，并獲取相應挖掘結(jié)果的報告，再結(jié)合相關(guān)安全響應機制清除危險行為[4]。

（3）系統(tǒng)恢復，具體如圖3所示，考慮到部分用戶在操作計算機網(wǎng)絡操過程中因缺少專業(yè)知識而導致計算機網(wǎng)絡安全易受到威脅，為有效降低系統(tǒng)損失，可通過使用系統(tǒng)恢復技術(shù)將受到威脅影響或破壞的計算機服務器恢復到正常狀態(tài)中。

圖3 系統(tǒng)恢復模塊

3 安全系統(tǒng)關(guān)鍵技術(shù)

本文基于工程技術(shù)研究中心應用功能，采用縱深化、層次化和主動式的安全防御原則，構(gòu)建了計算機網(wǎng)絡安全防御系統(tǒng)，通過預警、保護、監(jiān)測、響應、恢復、反擊等技術(shù)的運用實現(xiàn)具體的防護功能，可主動發(fā)現(xiàn)網(wǎng)絡面臨的木馬、病毒等威脅，并據(jù)此進行有效的阻止攻擊行為以確保網(wǎng)絡正常運行和使用。針對網(wǎng)絡不正常流量行為結(jié)合使用預警或攻擊趨勢預測技術(shù)及相關(guān)算法（包括支持向量機、遺傳算法、K-means、關(guān)聯(lián)規(guī)則）完成對網(wǎng)絡中所存在攻擊行為科學準確的預測，確保系統(tǒng)具備初步的安全性。為有效確保工程技術(shù)研究中心數(shù)據(jù)的完整性，面向大數(shù)據(jù)綜合應用中心的安全措施可采用安全訪問控制列表、殺毒工具、防火墻、虛擬專用網(wǎng)絡等多項采用單一或集成部署模式的防御工具或軟件。此外，通過漏洞掃描聯(lián)動設備的部署保證計算機網(wǎng)絡及內(nèi)網(wǎng)安全，及早發(fā)現(xiàn)漏洞和安全隱患并進行修補，進一步提高工程技術(shù)研究中心網(wǎng)絡運行質(zhì)量和效率[5-6]。

4 結(jié)語

大數(shù)據(jù)時代的到來對計算機網(wǎng)絡安全提出了更大的挑戰(zhàn)，新型網(wǎng)絡安全攻擊行為隨之而來，網(wǎng)絡攻擊渠道不斷發(fā)生變化，伴隨著網(wǎng)絡攻擊潛伏周期的增加以及安全威脅感染速度的加快，對工程技術(shù)研究中心對大數(shù)據(jù)使用的正常運行帶來較大的威脅，為了有效滿足計算機網(wǎng)絡的安全防御需求，需通過先進安全防范技術(shù)及綜合方案的使用實現(xiàn)工程技術(shù)研究中心安全防御能力的有效提高，以實現(xiàn)網(wǎng)絡威脅的深入防御。本文在對工程技術(shù)研究中心系統(tǒng)功能架構(gòu)及計算機網(wǎng)絡安全防護系統(tǒng)功能需求進行詳細分析的基礎(chǔ)上，通過多層次的主動安全防御技術(shù)的引入，完成了一種功能完善的安全防御系統(tǒng)的構(gòu)建，有利于實現(xiàn)安全防御能力的動態(tài)提升，以提高大數(shù)據(jù)安全性能，具有較高的實際應用價值。