計(jì)算機(jī)通信網(wǎng)絡(luò)安全與防護(hù)策略分析

榮華良，張芝雨

（許昌職業(yè)技術(shù)學(xué)院機(jī)電與汽車(chē)工程學(xué)院，河南 許昌 461000）

1 計(jì)算機(jī)通信網(wǎng)絡(luò)安全防護(hù)概述

計(jì)算機(jī)通信網(wǎng)絡(luò)具有極強(qiáng)的開(kāi)放性特點(diǎn)，內(nèi)部網(wǎng)絡(luò)布線相對(duì)復(fù)雜，極易導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)信息傳輸泄密等安全問(wèn)題。由于相關(guān)軟件設(shè)計(jì)缺乏對(duì)使用環(huán)境的充分協(xié)調(diào)和考慮，在計(jì)算機(jī)通信協(xié)議、軟件應(yīng)用系統(tǒng)方面存在一定的缺陷和漏洞，導(dǎo)致一些不法分子對(duì)計(jì)算機(jī)通信網(wǎng)絡(luò)信息進(jìn)行竊取和盜用，威脅計(jì)算機(jī)通信網(wǎng)絡(luò)用戶的安全。同時(shí)，計(jì)算機(jī)病毒對(duì)計(jì)算機(jī)網(wǎng)絡(luò)是一種常見(jiàn)的安全威脅，可以通過(guò)自我復(fù)制的方式對(duì)計(jì)算機(jī)程序進(jìn)行破壞甚至強(qiáng)行摧毀，極大地影響了計(jì)算機(jī)通信網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行。為此，要重點(diǎn)關(guān)注計(jì)算機(jī)通信網(wǎng)絡(luò)的安全防護(hù)問(wèn)題，分析其中存在的各種影響因素，保證計(jì)算機(jī)通信網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的安全[1]。

2 影響計(jì)算機(jī)通信網(wǎng)絡(luò)安全的因素

2.1 計(jì)算機(jī)通信網(wǎng)絡(luò)自身缺陷

計(jì)算機(jī)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸面臨一定的安全威脅，在一定程度上受到計(jì)算機(jī)通信網(wǎng)絡(luò)自身布線、軟件開(kāi)發(fā)與設(shè)計(jì)等方面的局限。由于計(jì)算機(jī)通信網(wǎng)絡(luò)自身存在的缺陷，引發(fā)數(shù)據(jù)安全與漏洞等問(wèn)題，導(dǎo)致計(jì)算機(jī)通信網(wǎng)絡(luò)數(shù)據(jù)丟失或被篡改等，極大地威脅計(jì)算機(jī)通信網(wǎng)絡(luò)的安全。

2.2 人為因素

計(jì)算機(jī)通信網(wǎng)絡(luò)運(yùn)行離不開(kāi)人的操作，在此過(guò)程中若因用戶自身操作不當(dāng)或缺乏對(duì)計(jì)算機(jī)通信網(wǎng)絡(luò)的了解，則會(huì)導(dǎo)致數(shù)據(jù)信息面臨被篡改、盜取、丟失等安全風(fēng)險(xiǎn)。另外部分計(jì)算機(jī)網(wǎng)絡(luò)用戶缺乏對(duì)軟件安全性能的全面考慮，缺乏安全意識(shí)和觀念，在身份認(rèn)證、設(shè)定密碼等方面存在欠缺，導(dǎo)致自身的數(shù)據(jù)信息被泄露[2]。

2.3 環(huán)境因素

計(jì)算機(jī)網(wǎng)絡(luò)軟、硬件系統(tǒng)是安全運(yùn)行不可缺少的環(huán)境。隨著軟、硬件更新速度的不斷加快，計(jì)算機(jī)通信網(wǎng)絡(luò)協(xié)議制定工作明顯滯后，難以及時(shí)有效地支持當(dāng)前運(yùn)行環(huán)境的需求，導(dǎo)致計(jì)算機(jī)通信網(wǎng)絡(luò)面臨被攻擊的威脅。同時(shí)，軟、硬件系統(tǒng)的更新也存在運(yùn)行參數(shù)不相匹配的問(wèn)題，導(dǎo)致各種參數(shù)指令出現(xiàn)錯(cuò)誤代碼，從而增大了計(jì)算機(jī)通信網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)[3]。

3 計(jì)算機(jī)通信網(wǎng)絡(luò)安全防護(hù)策略分析

3.1 增強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)意識(shí)

從計(jì)算機(jī)通信網(wǎng)絡(luò)管理層面來(lái)看，計(jì)算機(jī)通信網(wǎng)站軟件后臺(tái)管理者要增強(qiáng)自身的網(wǎng)絡(luò)通信安全意識(shí)，充分認(rèn)識(shí)到計(jì)算機(jī)通信網(wǎng)絡(luò)安全的重要性，做好安全教育和培訓(xùn)，提升計(jì)算機(jī)通信網(wǎng)絡(luò)管理系統(tǒng)相關(guān)人員的安全意識(shí)和觀念，掌握最新的計(jì)算機(jī)通信網(wǎng)絡(luò)安全防護(hù)技術(shù)和能力，研發(fā)應(yīng)用安全系數(shù)更高的網(wǎng)站或軟件登錄系統(tǒng)，密切監(jiān)控計(jì)算機(jī)通信網(wǎng)絡(luò)中的不安全動(dòng)向，確保計(jì)算機(jī)通信網(wǎng)絡(luò)的安全與穩(wěn)定。同時(shí)，考慮到計(jì)算機(jī)通信網(wǎng)絡(luò)環(huán)境中人員因素極其復(fù)雜，計(jì)算機(jī)通信設(shè)備維護(hù)及更新通常由網(wǎng)絡(luò)工作人員完成，要加強(qiáng)計(jì)算機(jī)通信網(wǎng)絡(luò)工作人員的內(nèi)部管理，避免工作人員獲取用戶的數(shù)據(jù)及隱私信息進(jìn)行非法牟利。

從計(jì)算機(jī)通信網(wǎng)絡(luò)用戶的層面來(lái)看，還需增強(qiáng)計(jì)算機(jī)通信網(wǎng)絡(luò)用戶的安全意識(shí)，要求計(jì)算機(jī)通信網(wǎng)絡(luò)用戶掌握常見(jiàn)的互聯(lián)網(wǎng)通信防御措施和步驟，了解簡(jiǎn)單的密碼登錄、訪問(wèn)控制手段等內(nèi)容，通過(guò)密碼登錄設(shè)定私密的明文密碼，有效保護(hù)計(jì)算機(jī)通信網(wǎng)絡(luò)信息的安全；通過(guò)訪問(wèn)控制手段防御非法黑客入侵，使特定用戶登錄計(jì)算機(jī)的相關(guān)權(quán)限。

3.2 加強(qiáng)對(duì)計(jì)算機(jī)通信網(wǎng)絡(luò)的安全隔離

（1）VPN。在公網(wǎng)中建立用戶到云服務(wù)器間的經(jīng)過(guò)加密的私有專用網(wǎng)絡(luò)VPN，無(wú)須傳統(tǒng)專網(wǎng)中端到端的物理鏈路，而是通過(guò)私有的隧道技術(shù)在數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線，網(wǎng)絡(luò)用戶可以安裝VPN軟件實(shí)現(xiàn)計(jì)算機(jī)通信網(wǎng)絡(luò)的加密傳輸通信[4]。

（2）HTTPS。還可以采用HTTPS這種網(wǎng)絡(luò)隔離加密技術(shù)，基于HTTP傳輸協(xié)議對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行加密交互和傳輸，并利用HTTPS中對(duì)訪問(wèn)Web端的認(rèn)證功能，對(duì)訪問(wèn)服務(wù)端進(jìn)行認(rèn)證，在采用恰當(dāng)?shù)募用馨曳?wù)器證書(shū)可被驗(yàn)證或被信任之后，再進(jìn)行加密通信。

（3）VPC。專有網(wǎng)絡(luò)VPC能夠營(yíng)造出隔離的網(wǎng)絡(luò)環(huán)境，使用戶能夠自主掌控IP地址范圍、網(wǎng)關(guān)、配置路由表、劃分網(wǎng)段等，并通過(guò)靈活的訪問(wèn)控制規(guī)則實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的權(quán)限管理。

3.3 優(yōu)化應(yīng)用網(wǎng)絡(luò)加密技術(shù)

（1）對(duì)稱加密。通過(guò)同樣的密鑰對(duì)數(shù)據(jù)進(jìn)行加密和解密，再將明文（原始數(shù)據(jù)）與加密密鑰一同經(jīng)過(guò)特殊加密算法處理，使之成為復(fù)雜的加密密文，接收方通過(guò)逆算法對(duì)其進(jìn)行解密。這種方法只有簡(jiǎn)單快速的特點(diǎn)，然而在密鑰傳輸過(guò)程易于成為惡意用戶攻擊的對(duì)象，出現(xiàn)密鑰被破解導(dǎo)致數(shù)據(jù)泄露的情況[5]。

（2）非對(duì)稱加密。該技術(shù)之中的加密密鑰不可作為解密密鑰，算法中會(huì)生成兩個(gè)不同的密鑰，即公鑰和私鑰，公鑰是公開(kāi)的，而私鑰是自己保存的，因其無(wú)須交換密鑰而有較高的安全性。然而其不足之處在于解密時(shí)間較長(zhǎng)，算法相對(duì)復(fù)雜，且僅適用于少量的數(shù)據(jù)傳輸。

（3）混合加密。將對(duì)稱加密和非對(duì)稱加密技術(shù)相結(jié)合，則形成混合加密機(jī)制。先對(duì)系統(tǒng)進(jìn)行初始化操作，在運(yùn)行前生成必要的非對(duì)稱算法密鑰，對(duì)其預(yù)先進(jìn)行加密保護(hù)。通常是由服務(wù)器端調(diào)用相關(guān)算法生成ECC的密鑰對(duì)，再用預(yù)先生成的密鑰來(lái)加密此密鑰對(duì)。在密鑰生成之后利用服務(wù)器端進(jìn)行密鑰傳遞和交換，服務(wù)器端生成所有子節(jié)點(diǎn)的密鑰對(duì)，并進(jìn)行密鑰分發(fā)，各子節(jié)點(diǎn)則要保存并及時(shí)更新密鑰文件。在系統(tǒng)運(yùn)行過(guò)程中，服務(wù)器和客戶端要開(kāi)啟各自的密鑰管理進(jìn)程，客戶端向服務(wù)器端傳輸文件加密密鑰和生成摘要信息的簽名密鑰；服務(wù)器端在接收到客戶端的密鑰信息后，查找出本地對(duì)應(yīng)的加密公鑰并對(duì)其加密，再用私鑰進(jìn)行數(shù)字簽名，將簽名文件和二次加密密鑰文件一同傳送給客戶端。客戶端則要保存密鑰并驗(yàn)證簽名文件的正確性，用密鑰加密傳輸文件，再運(yùn)用摘要算法生成摘要信息，以簽名密鑰簽名文件并進(jìn)行傳送。服務(wù)器端通過(guò)將摘要文件與簽名文件的比對(duì)，驗(yàn)證客戶端數(shù)據(jù)的合法正確性。

另外，考慮到有些密鑰是通過(guò)公網(wǎng)進(jìn)行傳輸?shù)?，為了更好地防止密鑰泄露，可以采用專用的硬件和密鑰中心同步防護(hù)的方式，保證計(jì)算機(jī)通信網(wǎng)絡(luò)數(shù)據(jù)的安全傳輸。在后續(xù)研究中要加大對(duì)簽名認(rèn)證的研究，保證數(shù)據(jù)的安全與完整性[6]。

3.4 加強(qiáng)計(jì)算機(jī)通信網(wǎng)絡(luò)入侵檢測(cè)與安全防護(hù)

（1）運(yùn)用網(wǎng)絡(luò)入侵檢測(cè)技術(shù)。隨著網(wǎng)絡(luò)攻擊手段的破壞性和隱蔽性日趨增強(qiáng)，要加強(qiáng)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的研發(fā)和應(yīng)用，采用分布采集信息和協(xié)同處理的方式，將基于主機(jī)的IDS和基于網(wǎng)絡(luò)的IDS結(jié)合使用，增強(qiáng)計(jì)算機(jī)通信網(wǎng)絡(luò)抵御入侵的能力。具體包括以下入侵檢測(cè)技術(shù)：其一，高速實(shí)時(shí)入侵檢測(cè)技術(shù)。為了實(shí)現(xiàn)高速網(wǎng)絡(luò)中的實(shí)時(shí)入侵檢測(cè)，要重新設(shè)計(jì)入侵檢測(cè)系統(tǒng)的軟件結(jié)構(gòu)和算法，開(kāi)發(fā)和設(shè)計(jì)與其相適應(yīng)的專用硬件結(jié)構(gòu)和專用軟件，滿足高速網(wǎng)絡(luò)環(huán)境中的入侵檢測(cè)需求。其二，分布式協(xié)同檢測(cè)技術(shù)?？紤]到異質(zhì)網(wǎng)絡(luò)平臺(tái)的差異性，可以采用分布式智能Agent的結(jié)構(gòu)方式，運(yùn)用協(xié)同機(jī)制進(jìn)行事件檢測(cè)、分析和響應(yīng)，較好地應(yīng)對(duì)分布式、協(xié)同式、復(fù)雜模式的網(wǎng)絡(luò)攻擊。其三，智能檢測(cè)技術(shù)。要研發(fā)和應(yīng)用智能入侵檢測(cè)系統(tǒng)，引入智能體系、神經(jīng)網(wǎng)絡(luò)和遺傳算法，較好地解決入侵檢測(cè)的誤報(bào)率和漏報(bào)率過(guò)高的問(wèn)題。其四，應(yīng)用層入侵檢測(cè)技術(shù)。該技術(shù)主要面向計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用層的入侵檢測(cè)和安全防護(hù)，如Lotus Notes數(shù)據(jù)庫(kù)系統(tǒng)等應(yīng)用系統(tǒng)、基于客戶/服務(wù)器結(jié)構(gòu)和中間件技術(shù)的大型應(yīng)用等。其五，整合技術(shù)。為了更好地提高計(jì)算機(jī)通信網(wǎng)絡(luò)數(shù)據(jù)的安全性，可以將入侵檢測(cè)技術(shù)與其他網(wǎng)絡(luò)安全技術(shù)相結(jié)合，如防火墻、PKIX、安全電子交易（SET）等，形成完整的計(jì)算機(jī)通信網(wǎng)絡(luò)安全防護(hù)、檢測(cè)和響應(yīng)體系架構(gòu)，并構(gòu)建狀態(tài)模型，對(duì)計(jì)算機(jī)通信網(wǎng)絡(luò)當(dāng)前的安全狀態(tài)進(jìn)行監(jiān)測(cè)，對(duì)網(wǎng)絡(luò)異常情形進(jìn)行及時(shí)預(yù)警和應(yīng)急處置。

（2）App協(xié)議。App協(xié)議是地址解析協(xié)議，是將IP地址與網(wǎng)絡(luò)物理地址一一對(duì)應(yīng)的協(xié)議，實(shí)現(xiàn)IP地址和網(wǎng)卡實(shí)體地址之間的轉(zhuǎn)換。在App協(xié)議欺騙技術(shù)中，通常在計(jì)算機(jī)通信網(wǎng)絡(luò)中建立靜態(tài)ARP表，禁止相應(yīng)網(wǎng)絡(luò)接口進(jìn)行ARP解析，從而可有效抵御ARP欺騙攻擊。

3.5 面向內(nèi)部威脅的數(shù)據(jù)泄漏防護(hù)

3.5.1 面向內(nèi)部威脅的數(shù)據(jù)泄漏主動(dòng)防護(hù)

對(duì)于計(jì)算機(jī)通信網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)泄漏的安全防護(hù)主要從網(wǎng)絡(luò)層面劃分安全保護(hù)域，從計(jì)算機(jī)通信網(wǎng)絡(luò)終端和存儲(chǔ)端口進(jìn)行訪問(wèn)控制，保證計(jì)算機(jī)通信網(wǎng)絡(luò)的內(nèi)網(wǎng)安全。然而，這種技術(shù)有一定的局限性，僅考慮了對(duì)進(jìn)程與文件之間的信息流進(jìn)行約束，對(duì)于進(jìn)程之間及進(jìn)程與其他非文件資源之間的信息流缺乏限制。為此，需要對(duì)進(jìn)程進(jìn)行更加強(qiáng)有力的約束和限制，然而這種方式在一定程度上降低了系統(tǒng)的可用性和靈活性。

可以基于虛擬化技術(shù)和可信基礎(chǔ)設(shè)施構(gòu)建虛擬隔離環(huán)境及不同隔離環(huán)境之間的可信通道，形成可信的虛擬保護(hù)域，通過(guò)公共隔離環(huán)境、私有隔離環(huán)境和底層的基礎(chǔ)通信設(shè)施進(jìn)行安全增強(qiáng)，可較好地實(shí)現(xiàn)計(jì)算機(jī)通信網(wǎng)絡(luò)數(shù)據(jù)使用過(guò)程的隔離保護(hù)。然而這一技術(shù)的應(yīng)用要以虛擬機(jī)為基本隔離單元，需要預(yù)先進(jìn)行構(gòu)建和配置，缺乏較強(qiáng)的靈活性，類(lèi)似于一種靜態(tài)保護(hù)域的功能。

可信存儲(chǔ)主要是從數(shù)據(jù)存儲(chǔ)的層面劃分安全保護(hù)域，在存儲(chǔ)設(shè)備內(nèi)部和終端系統(tǒng)中構(gòu)建加解密及安全控制機(jī)制，形成數(shù)據(jù)存儲(chǔ)、處理和使用的信任鏈，主要通過(guò)多組件可信平臺(tái)進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)的可信訪問(wèn)和使用，并利用雙向認(rèn)證技術(shù)實(shí)現(xiàn)主機(jī)與硬盤(pán)的可信綁定，確保計(jì)算機(jī)通信網(wǎng)絡(luò)數(shù)據(jù)在遠(yuǎn)程終端和非可信環(huán)境中使用的安全。

3.5.2 面向可信主體約束的動(dòng)態(tài)隔離機(jī)制

考慮到計(jì)算機(jī)通信網(wǎng)絡(luò)對(duì)可信主體的防護(hù)需求，要構(gòu)建面向可信主體約束的動(dòng)態(tài)隔離機(jī)制，突破傳統(tǒng)虛擬隔離機(jī)制的局限性，實(shí)現(xiàn)對(duì)可信主體的有效約束和防護(hù)，避免安全域中的數(shù)據(jù)被泄漏到網(wǎng)絡(luò)、移動(dòng)存儲(chǔ)設(shè)備及其他非安全域中。

在面向可信主體約束的動(dòng)態(tài)隔離機(jī)制中，在基于CoDI和MoDI操作的前提下，實(shí)施讀隔離、寫(xiě)隔離、通信隔離等例程，具體實(shí)施策略主要包括以下內(nèi)容：其一，文件管理策略。對(duì)副本文件進(jìn)行統(tǒng)一管理，將動(dòng)態(tài)隔離過(guò)程中生成的重定向文件副本存儲(chǔ)于獨(dú)立安全區(qū)域，確保文件與程序執(zhí)行的一致性。其二，進(jìn)程管理策略。在虛擬方式的動(dòng)態(tài)隔離中可以采用復(fù)制式遷移，對(duì)于重定向方式的動(dòng)態(tài)隔離則采用重定向式遷移，通過(guò)將非可信進(jìn)程遷移至TUE中執(zhí)行的方式，實(shí)現(xiàn)對(duì)非可信進(jìn)程及其正在訪問(wèn)相關(guān)資源的隔離。

4 結(jié)束語(yǔ)

綜上所述，計(jì)算機(jī)通信網(wǎng)絡(luò)具有明顯的開(kāi)放性和復(fù)雜性，數(shù)據(jù)安全問(wèn)題尤其突顯，成為當(dāng)前不容忽視的重要研究課題。針對(duì)計(jì)算機(jī)通信網(wǎng)絡(luò)安全問(wèn)題，要全面深入地分析影響計(jì)算機(jī)通信網(wǎng)絡(luò)安全的相關(guān)因素，構(gòu)建計(jì)算機(jī)通信網(wǎng)絡(luò)安全防護(hù)體系，從不同角度提出合理可行的計(jì)算機(jī)通信網(wǎng)絡(luò)安全防護(hù)策略，有效保證計(jì)算機(jī)通信網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的安全與完整?！?/p>