尚聞博，李 興，栗志鵬

（1.國家電網(wǎng)甘肅省電力公司信息通信公司，甘肅 蘭州 730050；2.甘肅同興智能科技發(fā)展有限責(zé)任公司，甘肅 蘭州 730050）

0 引言

計算機網(wǎng)絡(luò)的訪問接口每天跳轉(zhuǎn)記錄工作量巨大，一些非法人員利用網(wǎng)絡(luò)安全漏洞對訪問鏈接展開攻擊，引發(fā)了較大的網(wǎng)絡(luò)技術(shù)安全問題。國家也頒布了許多關(guān)于信息安全防護的法規(guī)政策，不斷推進我國網(wǎng)絡(luò)信息行業(yè)的安全發(fā)展和保護網(wǎng)絡(luò)用戶合法權(quán)益。作為技術(shù)人員，要加強對網(wǎng)絡(luò)安全訪問工作保障的重視程度，利用入侵防范機制對抗惡意攻擊。在防范訪問控制系統(tǒng)的設(shè)計和構(gòu)建中，要掌握不同安全防護層面的技術(shù)，實現(xiàn)多層防護和及時查殺，提升訪問系統(tǒng)穩(wěn)定性。

1 入侵防范網(wǎng)絡(luò)安全概述

在網(wǎng)絡(luò)技術(shù)全球化的發(fā)展態(tài)勢影響之下，入侵訪問的安全防范是一項全球化的難題，需要通過技術(shù)共享等方式來共同克服。美國SNVD中記錄的軟硬件高危漏洞數(shù)量已經(jīng)達到了其綜述的38.3%，年增加量為29.8%，其危害的覆蓋范圍包括了谷歌、微軟、IBM等大型網(wǎng)絡(luò)企業(yè)。而我國也存在著大量的網(wǎng)絡(luò)安全訪問漏洞，如2019年主流網(wǎng)絡(luò)安全媒體就公布了360、深信服和D盾產(chǎn)品中有可以繞過檢測防御軟件獲取權(quán)限的重要漏洞，給用戶的網(wǎng)絡(luò)安全造成了較大的隱患。網(wǎng)絡(luò)入侵防范是一項長期斗爭事業(yè)，計算機漏洞和攻擊隨時存在，需要不斷對防護系統(tǒng)進行升級來提升其安全性，加強入侵檢測技術(shù)的準確性和防護效果。

2 網(wǎng)絡(luò)安全訪問中的主要問題分析

在網(wǎng)絡(luò)訪問的過程中存在許多安全隱患可能會造成計算機癱瘓、服務(wù)器權(quán)限篡改和數(shù)據(jù)丟失等多種問題。技術(shù)人員在不斷地研究和構(gòu)建更加安全的訪問控制系統(tǒng)，消除一些非法入侵和安全隱患。技術(shù)研究人員針對一些計算機訪問過程中常見的風(fēng)險進行了區(qū)分和判斷，在構(gòu)建控制系統(tǒng)時可以更有針對性地進行防范。首先，一些合法用戶因為操作失誤或濫用授權(quán)等非主觀因素而對頁面訪問造成的風(fēng)險等級較低，需要系統(tǒng)提升識別和風(fēng)險語境機制，必要時可以向用戶警示可能存在的風(fēng)險，再次手動授權(quán)確認后執(zhí)行操作[1]。其次，從登錄的地址分析可以發(fā)現(xiàn)有一些非法用戶利用了設(shè)計的漏洞或惡意代碼入侵了訪問頁面，并通過非法獲取權(quán)限等方式盜用了重要的數(shù)據(jù)信息。針對這種風(fēng)險值較高的問題需要系統(tǒng)使用防火墻進行防盜，并使用檢測警報等方式抵抗惡意攻擊，從后臺及時追蹤攻擊軌跡，保護用戶的訪問安全。

3 網(wǎng)絡(luò)安全訪問控制系統(tǒng)的構(gòu)建內(nèi)容

3.1 搭建多層防護

網(wǎng)絡(luò)服務(wù)是多層次的，在對訪問頁面進行安全控制時也可以搭建多層防護來提升其安全性與穩(wěn)定性。首先，在應(yīng)用層的防控主要是通過對訪問用戶身份信息的識別和認證。如常見的用戶注冊賬號登錄和訪問頁面等，這種方式對用戶的控制性更強，能夠消除一些非法接入訪問的情況。但隨著技術(shù)的不斷發(fā)展，已經(jīng)有許多黑客可以利用模擬器等設(shè)備突破應(yīng)用層的防護。其次，傳輸層是指通過使用密鑰或安裝防火墻等軟件對一些非法訪問進行查殺和控制，從數(shù)據(jù)信道的角度來保護信息傳輸?shù)陌踩耘c保密性，對于竊取數(shù)據(jù)信息的問題有較好的防護作用[2]。最后，終端控制層是賦予了管理權(quán)限的一種操作方式，從后臺可以直接對非法訪問用戶的地址信息和指令操作等進行提取，并發(fā)送相應(yīng)的終端操作來破壞惡意訪問，其防護效果最好。

3.2 惡意代碼保護

惡意代碼對計算機的攻擊性較強，且種類多變，需要技術(shù)人員進行有效防護和處理。一方面，惡意代碼大多嵌套在其他程序中，具有一定的隱匿性，在初期檢測的過程中有時難以發(fā)現(xiàn)，但在運行的過程中可以遠程入侵系統(tǒng)或服務(wù)器，實現(xiàn)半開放性的狀態(tài)，對于安全訪問有較大影響。針對不同的惡意代碼要展開相應(yīng)的防護機制，如木馬病毒的傳染性極強，在攻擊時使用eval、assert等頁面原有函數(shù)進行復(fù)制，從這一角度進行防范需要核查訪問頁面本身的腳本文件是否安全，可以對程序中的get post head提交方式進行過濾以防再次被黑客入侵[3]。蠕蟲病毒也是一種常見的惡意代碼，可以通過網(wǎng)絡(luò)不斷傳播復(fù)制。在防護蠕蟲病毒時需要對危險端口和訪問接入進行識別，避免一些危險端口的接入。

3.3 建立風(fēng)險模型

通過建立風(fēng)險防控模型來分析為用戶提供接入服務(wù)的過程中可能存在的惡意攻擊和非法訪問的風(fēng)險，并有針對性地進行防護和規(guī)避，保障用戶的合法權(quán)益，安全訪問認證體系如圖1所示。

圖1 安全訪問認證體系

在風(fēng)險模型中，安全訪問控制系統(tǒng)的主要工作形成了完整的架構(gòu)，每一步訪問和接入的工作流程都更加清晰。在用戶需要登錄和訪問頁面時，系統(tǒng)會為用戶的地址和賬戶生成一對一的密鑰，用于實現(xiàn)信息加密和訪問過程的追蹤。CA將網(wǎng)頁的數(shù)字證書簽發(fā)給用戶，并通過驗證來實現(xiàn)管理，在這個過程中較好地將用戶和訪問接入的過程聯(lián)系在一起?；诖斯ぷ髂Ｐ?，一些非法訪問的渠道無法組建有效的密鑰和數(shù)字證書，能夠提醒系統(tǒng)對此IP地址進行追蹤和監(jiān)控，其安全風(fēng)險性能夠得到更好的保障。

3.4 安全檢測系統(tǒng)

入侵安全檢測主要對網(wǎng)絡(luò)或計算機系統(tǒng)的活動進行實時監(jiān)測，為網(wǎng)絡(luò)安全管理提供有價值的信息，主要包括審計追蹤、網(wǎng)包分析、實時活動監(jiān)控等方面。

首先，在入侵系統(tǒng)中能夠準確識別用戶訪問的鏈接是否合法，針對一些以非法鏈接進入訪問頁面的IP地址要能夠及時進行記錄追蹤，判斷其是否存在訪問的安全風(fēng)險，及時連入警報系統(tǒng)避免出現(xiàn)攻擊或損失。其次，在網(wǎng)絡(luò)數(shù)據(jù)的分析過程中，需要對涉及的數(shù)據(jù)進行抓取和打包分析，抓取工作的方式對于檢測的準確性有較大影響。常見的聚類算法主要是指通過數(shù)據(jù)挖掘和密碼研究的方式展開入侵檢測，聚類中心能夠優(yōu)化數(shù)據(jù)包的處理結(jié)果。最后，對于一些非法訪問的用戶IP實際操作也要進行監(jiān)控和記錄，如惡意攻擊和不正當(dāng)訪問等都應(yīng)該結(jié)合防控系統(tǒng)進行查殺，保障網(wǎng)絡(luò)訪問的穩(wěn)定與安全。

3.5 傳輸加密技術(shù)

隨著網(wǎng)絡(luò)速度的不斷提升，高速網(wǎng)絡(luò)下的實時入侵檢測工作承擔(dān)的技術(shù)和設(shè)備壓力巨大，還需要通過探索不同的安全防護手段來加強訪問系統(tǒng)管控。如對于一些私人信息可以采用協(xié)定密鑰的方式來加密，只有約定雙方可以對信息進行提取，私密性更強。而一些選擇了公共渠道的數(shù)據(jù)信息不需要完成解密工作，如上傳類型等，則可以使用MD5進行網(wǎng)絡(luò)加密，安全性較高。在構(gòu)建安全系統(tǒng)時可以搭建不同的防護架構(gòu)供用戶自主選擇。

4 結(jié)語

總之，入侵防范網(wǎng)絡(luò)訪問控制可以認為是網(wǎng)絡(luò)安全的第一道閘門，技術(shù)人員要加強對網(wǎng)絡(luò)非法入侵病毒的防控管理，通過構(gòu)建多層防護手段的方式來提升訪問接口的穩(wěn)定性和抗攻擊能力。在網(wǎng)絡(luò)訪問的接口，要設(shè)計一些惡意代碼防護和安全檢測軟件，能夠在為用戶提供技術(shù)服務(wù)的同時做好安全防護工作。檢測網(wǎng)絡(luò)訪問攻擊軟件的頻次要合理設(shè)計，實現(xiàn)實時監(jiān)控的功能。對于一些網(wǎng)絡(luò)信息數(shù)據(jù)，盡量采取加密的方式進行傳輸，能夠有效防止惡意盜取和信息泄露的問題。