嚴旭超

摘 要 當(dāng)今時代是數(shù)字化信息時代，計算機網(wǎng)絡(luò)技術(shù)的應(yīng)用益普及，為我們的工作和生活帶來了極大便利。但與此同時，網(wǎng)絡(luò)安全問題日益突出，網(wǎng)絡(luò)攻擊屢見不鮮，這就使得企業(yè)、單位、個人的重要信息數(shù)據(jù)面臨泄露、篡改、丟失威脅，整個網(wǎng)絡(luò)體系也會受到很大影響，所以我們必須采取有效手段，利用網(wǎng)絡(luò)安全技術(shù)及策略，保護網(wǎng)絡(luò)安全。

關(guān)鍵詞 網(wǎng)絡(luò)安全技術(shù) 防火墻 入侵檢測技術(shù)

中圖分類號：TP393 文獻標(biāo)識碼：A

進入信息化時代，伴隨著計算機技術(shù)和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展及其應(yīng)用的迅速普及和逐步深入，網(wǎng)絡(luò)環(huán)境越發(fā)復(fù)雜和脆弱，網(wǎng)絡(luò)安全問題日益突出。為應(yīng)對日益嚴峻的網(wǎng)絡(luò)安全問題，各種安全技術(shù)和控制技術(shù)應(yīng)運而生，而我們最重要的任務(wù)就是利用網(wǎng)絡(luò)安全技術(shù)，構(gòu)建一個穩(wěn)定、安全且可靠的內(nèi)網(wǎng)防護體系，保證用戶信息平臺的順暢運行。

1網(wǎng)絡(luò)安全技術(shù)概述

網(wǎng)絡(luò)安全技術(shù)主要是致力于解決比如如何對計算機網(wǎng)絡(luò)系統(tǒng)有效地進行介入控制、如何確保數(shù)據(jù)傳輸安全性的技術(shù)手段。新時期，網(wǎng)絡(luò)安全產(chǎn)品特點包括：①網(wǎng)絡(luò)安全來源于安全技術(shù)及策略的多樣化，若采用統(tǒng)一安全技術(shù)和策略，網(wǎng)絡(luò)安全必然得不到保障；②網(wǎng)絡(luò)安全機制和技術(shù)是不斷變化著的；③伴隨互聯(lián)網(wǎng)在社會各方面的延伸，進入網(wǎng)絡(luò)的手段也越來越多。事實上，要保證網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全產(chǎn)品自身的安全非常關(guān)鍵，不合理的防護技術(shù)或自身不安全的設(shè)備不僅不能保護網(wǎng)絡(luò)，一旦被入侵，反而會為入侵者提供進一步攻擊的機會。所以，網(wǎng)絡(luò)安全技術(shù)及策略的應(yīng)用是一項系統(tǒng)且復(fù)雜的工程，但我們?nèi)孕鑿南到y(tǒng)的規(guī)劃上去考慮它，以為我國未來信息化、數(shù)字化發(fā)展提供保障。

2網(wǎng)絡(luò)安全技術(shù)策略分析

2.1部署防火墻

防火墻是一種安全隔離技術(shù)和數(shù)據(jù)訪問控制機制，主要是通過在企業(yè)內(nèi)外網(wǎng)之間建立起安全防范體系，將內(nèi)外網(wǎng)隔離，從而限制外部用戶進入內(nèi)網(wǎng)，只有通過外部主機授權(quán)，外部用戶才能對有限的網(wǎng)絡(luò)IP地址進行訪問，它是防止黑客攻擊，保證內(nèi)部網(wǎng)絡(luò)業(yè)務(wù)數(shù)據(jù)信息和網(wǎng)絡(luò)設(shè)備安全的關(guān)鍵策略。因此，我們可基于用戶的網(wǎng)絡(luò)結(jié)構(gòu)體系特點及安全需求部署支持外部攻擊方法、內(nèi)網(wǎng)安全、流量監(jiān)控、網(wǎng)頁和郵件過濾、TCP Proxy等功能的防火墻，保證網(wǎng)絡(luò)安全。在此過程中，需通過觀察防火墻工作狀態(tài)、受攻擊后具體防火墻狀態(tài)等，評估防火墻安全防護性能。另外，還應(yīng)科學(xué)地選擇和配置防火墻，加強動態(tài)維護，完善規(guī)則集的檢測審計工作，切實提高防火墻工作效率。比如選用配置NAT轉(zhuǎn)換的包過濾型防火墻，配置高級訪問控制列表ACL，并建立一系列規(guī)則，以實現(xiàn)防火墻的數(shù)據(jù)包過濾功能，順利完成對網(wǎng)絡(luò)中IP數(shù)據(jù)包的篩選，同時保護內(nèi)部網(wǎng)絡(luò)用戶系統(tǒng)資源。

2.2部署入侵防御系統(tǒng)

部署入侵檢測防御系統(tǒng)主要是補充防火墻功能上的不足。入侵檢測技術(shù)就是根據(jù)特定安全策略，通過信息采集、信息分析、結(jié)果處理等一系列過程檢測、響應(yīng)計算機系統(tǒng)和網(wǎng)絡(luò)中的入侵行為，從而確保網(wǎng)絡(luò)資源和用戶信息完整性、機密性的技術(shù)。入侵防御技術(shù)則是當(dāng)網(wǎng)絡(luò)上的數(shù)據(jù)包流入入侵防御系統(tǒng)，系統(tǒng)自動對數(shù)據(jù)包內(nèi)容進行逐一檢查，分類包頭信息，根據(jù)過濾規(guī)則對進入相應(yīng)過濾器中的不同類別數(shù)據(jù)包的分析，使好的數(shù)據(jù)流量通過入侵防御系統(tǒng)出口進入企業(yè)內(nèi)網(wǎng)，阻斷惡意內(nèi)容。在實際應(yīng)用中，可部署具有深入分析能力的入侵防御系統(tǒng)TP 50，以串聯(lián)方式將其置于公網(wǎng)出口，直接嵌入至企業(yè)網(wǎng)絡(luò)，層層保護企業(yè)內(nèi)網(wǎng)。

2.3采用VNP技術(shù)

VNP的安全機制包括數(shù)據(jù)加密、用戶認證、密匙管理，可為通信對等體雙方提供基于密碼學(xué)、高質(zhì)量、高安全性能、較強可操作性的隧道機制，實現(xiàn)在IP層上通信的完整性和靈活性。我們可利用入侵防御系統(tǒng)提供的Internet接入功能，通過公用網(wǎng)絡(luò)在企業(yè)內(nèi)部建立安全訪問數(shù)據(jù)中心，將服務(wù)直接延伸到下屬機構(gòu)工作人員。結(jié)合運用L2TP和IPSec，同時應(yīng)用封裝安全載荷協(xié)議對用戶數(shù)據(jù)進行加密保護。在企業(yè)VNP網(wǎng)關(guān)和安全訪問數(shù)據(jù)中心兩端配置IKE自動協(xié)商安全策略相關(guān)信息，創(chuàng)建IPSEC對等體兩端之間的安全聯(lián)盟，確保數(shù)據(jù)傳輸?shù)膶I(yè)性和完整性。

2.4建立病毒防范軟件

計算機病毒具有隱蔽性、傳染性、潛伏性、非授權(quán)執(zhí)行等特征，而所有網(wǎng)絡(luò)系統(tǒng)都是基于互聯(lián)網(wǎng)進行溝通和信息交流的，互聯(lián)網(wǎng)的開放性決定了網(wǎng)絡(luò)系統(tǒng)比較容易受病毒侵犯和黑客攻擊。這就需要安裝相應(yīng)防毒軟件，建立行之有效的計算機病毒防護體系和防范制度，以對病毒的入侵行為進行準(zhǔn)確及時的監(jiān)測，發(fā)現(xiàn)病毒，立即采取果斷措施阻斷，迅速修復(fù)被破壞的系統(tǒng)文檔。同時，設(shè)置網(wǎng)絡(luò)中心專門對全網(wǎng)的病毒定義碼、掃描引擎、殺毒軟件進行升級，結(jié)合數(shù)據(jù)流及系統(tǒng)特點，制定切實可行的數(shù)據(jù)備份方案，及時進行數(shù)據(jù)備份與恢復(fù)。

3結(jié)語

總之，網(wǎng)絡(luò)在日常工作和生活中的滲透給用戶帶來了極大便利，但同時也帶來了一些不容忽視的安全問題，此時，保證計算機網(wǎng)絡(luò)系統(tǒng)的安全運行就顯得越發(fā)重要。我們應(yīng)從多層視角探討網(wǎng)絡(luò)安全技術(shù)，特別是要注重防火墻技術(shù)、入侵檢測和防御技術(shù)、VPN技術(shù)、虛擬局域網(wǎng)技術(shù)、網(wǎng)絡(luò)安全協(xié)議等的應(yīng)用，同時，加強新技術(shù)的研發(fā)，通過安全網(wǎng)絡(luò)技術(shù)的加強，提升網(wǎng)絡(luò)安全管理水平，確保網(wǎng)絡(luò)的安全運行。

參考文獻

[1] 賈焰，王曉偉，韓偉紅，李愛平，程文聰.YHSSAS：面向大規(guī)模網(wǎng)絡(luò)的安全態(tài)勢感知系統(tǒng)[J].計算機科學(xué)，2011（02）.

[2] 向西西，黃宏光，李予東.基于Kalman算法的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法[J].計算機仿真，2010（12）.

[3] 賴積保，王慧強，鄭逢斌，馮光升.基于DSimC和EWDS的網(wǎng)絡(luò)安全態(tài)勢要素提取方法[J].計算機科學(xué)，2010（11）.