陶睿天

【摘 要】隨著科技的發(fā)展，網(wǎng)絡(luò)已經(jīng)滲入到社會生活的各個領(lǐng)域，與人們的日常生活息息相關(guān)，在訪問互聯(lián)網(wǎng)的過程中，網(wǎng)絡(luò)安全是常常被提及的重要話題。分析了計算機網(wǎng)絡(luò)安全分層防護體系，描述了防護體系廣泛存在的問題，并提出了相關(guān)的解決方法與建議，以供參考。

【關(guān)鍵詞】計算機網(wǎng)絡(luò)安全;防護體系;安全分層

中圖分類號： TP393.08文獻標識碼： A文章編號： 2095-2457（2019）19-0047-002

DOI：10.19694/j.cnki.issn2095-2457.2019.19.021

1 計算機網(wǎng)絡(luò)安全分層評價防護體系概述

自從新世紀以來，計算機在我國的普及程度越來越高，直到現(xiàn)在的移動互聯(lián)網(wǎng)的比重全面超過電腦端互聯(lián)網(wǎng)，載體不同，但適用的對象沒有改變，網(wǎng)絡(luò)已經(jīng)植入人們的生活，與居民息息相關(guān)，網(wǎng)絡(luò)安全也是當下值得重視的問題，一般認為計算機網(wǎng)絡(luò)安全以針對計算機的硬軟件為主，以使用者個人資料，數(shù)據(jù)傳輸，網(wǎng)絡(luò)管理，使用者個人賬戶為基礎(chǔ)，網(wǎng)絡(luò)安全可以通過規(guī)范網(wǎng)絡(luò)環(huán)境，強化網(wǎng)絡(luò)管理兩大方面來實現(xiàn)。

隨著計算機網(wǎng)絡(luò)的發(fā)展，攻擊的手段也日趨多樣復(fù)雜，傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)難以應(yīng)對多樣的網(wǎng)絡(luò)攻擊，計算機網(wǎng)絡(luò)安全分層評價防護體系是解決這一問題的利器，網(wǎng)絡(luò)安全就是對于數(shù)據(jù)的爭奪。安全人員從漏洞、軟件加固、系統(tǒng)內(nèi)核、網(wǎng)絡(luò)防火墻、內(nèi)網(wǎng)安全等等上下功夫，排除修復(fù)從軟硬件帶來的邏輯缺陷，保護數(shù)據(jù)按照既定設(shè)計的路去走，簡單來講，計算機網(wǎng)絡(luò)安全分層評價防護體系由三大部分組成，即安全服務(wù)，安全評估和安全防護，囊括系統(tǒng)漏洞掃描，網(wǎng)絡(luò)管理評估，網(wǎng)絡(luò)監(jiān)控，病毒防御，數(shù)據(jù)備份與恢復(fù)，應(yīng)急服務(wù)，訪問控制等多個模塊。擁有如下的特性，首先是可用性，用戶的操作與其他輔助軟件分離，不必考慮數(shù)據(jù)傳輸中的其他問題，在精力集中在自己的操作上，實現(xiàn)用戶以自己為操作的核心;其次是完整性，互聯(lián)網(wǎng)的數(shù)據(jù)傳輸實際參與的有工作站，服務(wù)器和主機系統(tǒng)，網(wǎng)絡(luò)安全產(chǎn)生的原因應(yīng)該從人為操作，硬件故障，網(wǎng)絡(luò)故障三大方面去思考，確保不會遺漏網(wǎng)絡(luò)攻擊的重要，不讓不法分子有可乘之機。最后是機密性，要實現(xiàn)互聯(lián)網(wǎng)安全，可以廣泛使用SSL技術(shù)，即為WEB瀏覽在HTTP層和TCP層之間添加一層安全套接字，其原理是采用對稱算法和非對稱算法結(jié)合SLL證書，讓服務(wù)器在相應(yīng)客戶端請求時，發(fā)送一個SSL證書，包含有效期，持有者，證書發(fā)布機構(gòu)等信息，連同公鑰一起發(fā)送，客戶端在接收到接收到服務(wù)端發(fā)來的SSL證書時，會對證書的真?zhèn)芜M行校驗，通過讀取證書中的證書所有者、有效期等信息進行一一校驗，查找操作系統(tǒng)中已內(nèi)置的受信任的證書發(fā)布機構(gòu)CA，與服務(wù)器發(fā)來的證書中的頒發(fā)者CA比對，用于校驗證書是否為合法機構(gòu)頒發(fā)，然后對服務(wù)器發(fā)來的證書里面的簽名進行解密，使用相同的hash算法計算出服務(wù)器發(fā)來的證書的hash值，將這個計算的hash值與證書中簽名做對比，對比結(jié)果一致，則證明服務(wù)器發(fā)來的證書合法，這樣就算被黑客掌握到這次會話里的公鑰，也會由于無法模擬真實的SSL證書而失敗，讓網(wǎng)站完成HTTP到HTTPS的改造升級，在服務(wù)器和客戶端之間SSL安全通道，保證數(shù)據(jù)在傳輸?shù)倪^程中不會有泄露，減少竊聽風險和篡改風險，也防止惡意程序通過釣魚網(wǎng)站竊取用戶信息的可能。

2 計算機網(wǎng)絡(luò)安全分層評價防護體系的主要技術(shù)

技術(shù)只是實現(xiàn)目標的手段，在實際操作中可以根據(jù)操作系統(tǒng)，使用環(huán)境，平臺等來綜合考量，此處列出幾個常用的技術(shù)。

首先是JSP技術(shù)，jsp必須要在支持java的web服務(wù)器里運行，主要應(yīng)用在開發(fā)動態(tài)網(wǎng)頁中，可以實現(xiàn)高效的頁面生成，JSP本質(zhì)上是servlet的封裝，jsp多用來展現(xiàn)一些動態(tài)的代碼，利用JSP技術(shù)在進行處理時可以減少時間的損耗，提升項目的研發(fā)時間，在服務(wù)器端口還可以生成超文本標記語言，保護了開發(fā)者的代碼源文件，也保障了HTML頁面的正常運行。其次是JavaScript技術(shù)，JavaScript是動態(tài)類型語言，非常靈活。作為一門新型語言，JavaScript可以快速融入HTML，根據(jù)使用者的需要來進行數(shù)據(jù)交互，擺脫服務(wù)器端的處理，使用客戶端應(yīng)用程序直接操作，保障了信息在傳輸過程中的完整性。最后是iava數(shù)據(jù)庫連接計數(shù)，在java數(shù)據(jù)庫連接中JDBC是標準的連接方法，JDBC是用于執(zhí)行SQL語句的Java API。

3 現(xiàn)狀

3.1 防護范圍不夠全面

現(xiàn)有的計算機網(wǎng)絡(luò)安全分層評價防護體系防護的范圍不夠全面，遺漏了部分內(nèi)容，存在安全隱患，以資料傳輸舉例，發(fā)現(xiàn)問題往往在造成破壞之后，這就暴露了計算機網(wǎng)絡(luò)安全分層評價防護體系的不足，這是一個值得重點研究的方向。

3.2 防護功能滯后

計算機網(wǎng)絡(luò)安全分層評價防護體系的滯后體現(xiàn)在時間性和防御性兩個方面，防護體系更新不足，無以應(yīng)對最新的木馬，形成有效的防御，此外，在木馬病毒造成破壞后才能夠喚起防護系統(tǒng)，這也體現(xiàn)了其缺少主動防御性，例如，用戶在網(wǎng)絡(luò)上下載文件，可能潛藏了木馬程序，但不能通過防護系統(tǒng)及時發(fā)現(xiàn)而中止下載，而在下載完成后，木馬潛入電腦，大肆破壞后人們才發(fā)現(xiàn)計算機的一場，這個時候損失已經(jīng)造成了，如果是遠程木馬可能威脅更大，這都是計算機網(wǎng)絡(luò)安全分層評價防護體系滯后性的體現(xiàn)。

3.3 層次建設(shè)不完善

現(xiàn)有的計算機網(wǎng)絡(luò)安全分層評價防護體系建設(shè)不夠完善，僅僅是以簡單隔離可疑程序，報告風險，不確定的因素大，層級建設(shè)不全，完整的防護體系結(jié)構(gòu)會傾向多種多樣，存在指令接收處理中心，傳輸端，接收端，以這些結(jié)構(gòu)為核心，囊括甄別，處理，反饋，記錄多樣的模塊，實現(xiàn)完整的安全分層架構(gòu)。

4 完善計算機網(wǎng)絡(luò)安全分層評價防護體系的幾點建議

4.1 擴大安全防護范圍

擴大安全防護的作用范圍，確保每個環(huán)節(jié)都萬無一失，以資料傳輸為例，首先用防火墻隔離掉風險程序，防火墻技術(shù)是網(wǎng)絡(luò)安全中的重要元素，是外網(wǎng)與內(nèi)網(wǎng)進行通信時的一道屏障，一個哨崗，隔離之后提示使用者存在可疑程序的風險，防火墻不能對所有應(yīng)用層的數(shù)據(jù)包進行分析，會成為網(wǎng)絡(luò)數(shù)據(jù)通訊的瓶頸。即便是代理型防火墻也不能檢查所有應(yīng)用層的數(shù)據(jù)包。入侵檢測是防火墻的合理補充，如果防火墻的校驗通過后，這時再用檢測系統(tǒng)甄別其是否對計算機安全性具有威脅，它的原理是通過收集、分析計算機系統(tǒng)、計算機網(wǎng)絡(luò)介質(zhì)上的各種有用信息幫助系統(tǒng)管理員發(fā)現(xiàn)攻擊并進行響應(yīng)，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，如果判斷程序存在風險，則直接隔離，或者強制刪除，若不存在風險就指示處理中心，讓程序進入計算機，保障用戶的計算機安全。

4.2 啟用實時監(jiān)測

實時監(jiān)測是讓防護體系隨時待命，當有木馬嘗試攻擊計算機時，發(fā)出警報，其優(yōu)點是當木馬偽裝繞過防火墻后，依然會觸發(fā)警報，提高網(wǎng)絡(luò)安全性，缺點是無論任何嘗試進入計算機的程序都會發(fā)出警報，這就需要人員及時甄別，對疑似高風險的程序采用隔離或刪除的手段，減少計算機的風險。

4.3 完善防護體系分層建設(shè)

網(wǎng)絡(luò)不斷地發(fā)展，網(wǎng)絡(luò)攻擊手段也隨之不斷改進，形式多樣，傳統(tǒng)的網(wǎng)絡(luò)防護主要是被動防御，在更新上往往比不上迭代快速的新技術(shù)，所以完善防護體系尤為關(guān)鍵，計算機網(wǎng)絡(luò)安全分層評價防護體系主要是包括安全評估和安全防護以及安全服務(wù)，安全評估包括了系統(tǒng)病毒查殺，漏洞掃描，網(wǎng)絡(luò)管理評估，是對使用環(huán)境的完全性的完整評估;安全防護包括網(wǎng)絡(luò)監(jiān)控和數(shù)據(jù)保密，訪問控制，從源頭杜絕非法訪問，保證互聯(lián)網(wǎng)安全;安全服務(wù)包括數(shù)據(jù)備份與恢復(fù)，應(yīng)急服務(wù)等，安全具有相對性，絕對的安全是不存在的，隨著時間的推移，再先進的技術(shù)手段也會過時，淪為被攻擊的漏洞，在更新技術(shù)完善防護體系的同時，更應(yīng)該及時做好數(shù)據(jù)備份，制定在異常狀況下的處理方案，做好數(shù)據(jù)的恢復(fù)工作，盡量減少損失。

4.4 關(guān)于計算機網(wǎng)絡(luò)安全分層評價防護體系其他建議

第一，加強訪問控制，在實際應(yīng)用中，計算機網(wǎng)絡(luò)安全分層評價防護體系應(yīng)該抓住防護的重點，從源頭入手，主抓用戶的訪問控制，用戶向服務(wù)器發(fā)送訪問請求時，應(yīng)該嚴格按照規(guī)定的步驟進行訪問，首先是正確填寫用戶身份，輸入密碼，檢驗驗證信息，賬號風險監(jiān)測，常用登陸地檢測等等，這些環(huán)節(jié)層層遞進，環(huán)環(huán)相扣，無論哪一個小節(jié)上出現(xiàn)問題，用戶的訪問都應(yīng)該都被中止，網(wǎng)絡(luò)訪問權(quán)限的作用在此時得以體現(xiàn)，實現(xiàn)服務(wù)器的安全控制，就是通過服務(wù)器來實現(xiàn)軟件的下載與應(yīng)用，網(wǎng)絡(luò)權(quán)限的控制，是對非法行為進行及時的截斷和有效的應(yīng)對，明確可被訪問的信息;除此之外，用戶還可以進行屬性安全的設(shè)置，在確保屬性安全的前提下，可以允許用戶訪問上傳的文件與資料。

第二，完善計算機基礎(chǔ)硬件配置。用戶應(yīng)該提高安全意識，在網(wǎng)內(nèi)外接口處的設(shè)備進行定期的安全維護和實時的系統(tǒng)監(jiān)控，可以根據(jù)自身的情況來完善優(yōu)化硬件設(shè)施，做好網(wǎng)絡(luò)安全防護工作，，對已經(jīng)存在問題的設(shè)備，要具體分析問題，進行全面的檢修，只有做到這幾點，才能為計算機安全提供保障，從根源上攔截不健康的信息，減少被惡意攻擊的可能，算機網(wǎng)絡(luò)安全分層體系內(nèi)各部門要精誠合作，形成統(tǒng)一的監(jiān)管模式，為維護計算機網(wǎng)絡(luò)安全貢獻自己的力量。

第三，強化用戶安全意識，計算機的價格日益普及，計算機網(wǎng)絡(luò)的用戶也是與日俱增，由于群體技術(shù)龐大，導(dǎo)致多樣性的存在，用戶掌握的網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)安全意識參差不齊，讓計算機安全成為一個值得深入研究的課題，互聯(lián)網(wǎng)高水平的使用者占少數(shù)，大部分用戶網(wǎng)絡(luò)安全意識差，網(wǎng)絡(luò)技術(shù)水平偏低，給不法分子以可乘之機，也造成了互聯(lián)網(wǎng)病毒木馬的泛濫，為互聯(lián)網(wǎng)安全埋下了隱患，計算機網(wǎng)絡(luò)安全分層評價防護體系能夠優(yōu)化網(wǎng)絡(luò)管理，減少用戶被攻擊的次數(shù)，也能夠提升用戶的網(wǎng)絡(luò)安全意識，用戶可以通過安裝殺毒軟件，拒絕盜版系統(tǒng)，使用正版系統(tǒng)軟件，及時更新系統(tǒng)補丁，為計算機加設(shè)安全口令等等。培養(yǎng)強化用戶的安全意識也可以反過來作用于計算機網(wǎng)絡(luò)安全分層評價防護體系，使其進一步完善，網(wǎng)絡(luò)安全沒有絕對可言，任何的數(shù)據(jù)防護和安全都是有局限性和針對性的，用戶需要對此有一定了解，及時對關(guān)鍵數(shù)據(jù)進行備份，定期對計算機設(shè)備進行病毒查殺等，除開用戶的安全意識，另外一方面，還應(yīng)建設(shè)可靠的安全管理制度，比如設(shè)備的訪問控制權(quán)限，設(shè)備的管理制度，應(yīng)急處理和網(wǎng)絡(luò)管理制度，只有多方面的協(xié)調(diào)才能進最大地可能實現(xiàn)互聯(lián)網(wǎng)安全。

【參考文獻】

[1]計算機網(wǎng)絡(luò)安全分層評價防護體系研究[D].吉林大學， 2016.

[2]胡宇航，陳圣健，孫銘陽.計算機網(wǎng)絡(luò)安全分層評價防護體系研究[J].通訊世界，2017，（11）：123-123.