馬磊

（國能黃驊港務(wù)有限責(zé)任公司，河北 滄州 061113）

0 引言

隨著計算機網(wǎng)絡(luò)的發(fā)展和廣泛普及，信息已經(jīng)成為人們工作生活的核心要素。政府機構(gòu)及企事業(yè)單位大多建立局域網(wǎng)系統(tǒng)，而且通過各種方式與互聯(lián)網(wǎng)相連，其信息系統(tǒng)更加開放，接入網(wǎng)絡(luò)更加復(fù)雜，面向更多的公眾提供服務(wù)，終端分布范圍更廣且多樣化。與此同時，網(wǎng)絡(luò)黑客的攻擊技術(shù)和手段不斷提高，新型攻擊方法不斷涌現(xiàn)，因此要不斷加強防火墻技術(shù)的研究，切實保障計算機網(wǎng)絡(luò)安全。

1 計算機網(wǎng)絡(luò)安全分析

1.1 計算機網(wǎng)絡(luò)安全現(xiàn)狀

伴隨我國信息化發(fā)展進入新階段，云計算、大數(shù)據(jù)、移動辦公等新技術(shù)新應(yīng)用已經(jīng)逐步成熟，并大規(guī)模應(yīng)用，但計算機網(wǎng)絡(luò)安全也面臨著各種新的挑戰(zhàn)，網(wǎng)絡(luò)攻擊層出不窮，且攻擊來源、攻擊目的、攻擊方法以及攻擊規(guī)模都在發(fā)生著巨大的變化。計算機網(wǎng)絡(luò)系統(tǒng)是一把雙刃劍，在促進信息化發(fā)展的同時也帶來新的安全風(fēng)險，原有安全防護體系的適應(yīng)性和防護能力出現(xiàn)不足。因此有關(guān)各方應(yīng)進一步強化風(fēng)險應(yīng)對（監(jiān)測、預(yù)警、處置和溯源等）能力，建設(shè)一套完整的“事前有防范、事中有應(yīng)對、事后有追溯”的安全防御體系，并進行配套建設(shè)人才培養(yǎng)體系，合理的安全運營管理，實現(xiàn)新形勢下安全管理上臺階、安全技術(shù)見實效、綜合實力有提升的建設(shè)成效，形成具有主動防御和協(xié)同運營能力的新一代計算機網(wǎng)絡(luò)安全保障體系，實現(xiàn)信息系統(tǒng)長期安全穩(wěn)定的運行。

1.2 計算機網(wǎng)絡(luò)安全隱患

首先，使用計算機的過程中會存在著諸多方面因素對于網(wǎng)絡(luò)安全造成重大影響，例如網(wǎng)絡(luò)黑客會利用系統(tǒng)漏洞對他人計算機進行攻擊。雖然我國計算機網(wǎng)絡(luò)安全技術(shù)有了一定的突破和發(fā)展，但是并不能夠完全杜絕來自于黑客的各種攻擊。

其次，互聯(lián)網(wǎng)具有開放性和虛擬性的特點，不管是用戶自身發(fā)布信息還是網(wǎng)絡(luò)媒體都能發(fā)布信息，用戶并不能夠甄別其中信息的真假，很容易受到虛假信息欺騙，進而導(dǎo)致經(jīng)濟受到嚴重損失。由于網(wǎng)絡(luò)自身的虛擬性和開放性，想要監(jiān)管也存在很大難度。

最后，一些計算機自身就存在很大缺陷，容易出現(xiàn)網(wǎng)絡(luò)安全問題。部分計算機自身性能相對較差，最新殺毒軟件或者安全防護軟件都無法在計算機上運行，這也直接影響到了計算機的安全性和可靠性。

1.3 計算機網(wǎng)絡(luò)安全策略

為了能夠促使計算機網(wǎng)絡(luò)安全問題得到有效解決，這就需要相關(guān)人士能夠采取必要的安全策略，這樣才能夠為廣大網(wǎng)絡(luò)用戶提供更高水平的安全保障，同時也可以促使網(wǎng)絡(luò)環(huán)境得到進一步的優(yōu)化[1]。為更加有效的保障計算機網(wǎng)絡(luò)的安全性，單一的安全防御策略已無法滿足計算機網(wǎng)絡(luò)安全的要求，需要從多層次，多維度進行多重保護，各個層次的保護相互補充，形成統(tǒng)一協(xié)調(diào)的安全策略，避免防護短板，層層防護，即使某一層保護被攻破時，其它層保護仍可保護信息系統(tǒng)的安全。

要促使數(shù)據(jù)加密技術(shù)得到進一步的優(yōu)化和完善，這就要對當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)傳輸使用加密技術(shù)，能夠切實保障數(shù)據(jù)信息的安全性和可靠性，避免受到來自于黑客的破壞、竊取或篡改。通常情況之下，在網(wǎng)絡(luò)數(shù)據(jù)加密的過程當(dāng)中基本上會采取鏈路加密、端口加密、以及混合加密等諸多的方式[2]。但依然存在著眾多風(fēng)險，某些網(wǎng)絡(luò)黑客充分了解數(shù)據(jù)加密相關(guān)原理和邏輯，也會采取針對性的措施對加密技術(shù)進行破壞。因此，還需要在加密技術(shù)方面不斷的加以優(yōu)化和完善，進一步的提高加密技術(shù)水平，只有這樣，才能夠給廣大用戶提供更加安全可靠的網(wǎng)絡(luò)環(huán)境[3]。

為了切實保障計算機網(wǎng)絡(luò)安全性，需要采取科學(xué)的存取控制策略。網(wǎng)絡(luò)上具備了多種類型存取控制策略，常見的包括下列幾種類型。

身份識別技術(shù)。身份識別技術(shù)是切實保障網(wǎng)絡(luò)安全性最為基礎(chǔ)性的一項技術(shù)，同時也是當(dāng)前相對較為有效的一種技術(shù)手段，需要對于相關(guān)人士的身份進行必要的驗證，只有通過身份驗證之后，才能夠瀏覽有關(guān)信息和資料，這在很大程度上保障了網(wǎng)絡(luò)的安全性和可靠性。身份識別的過程當(dāng)中主要是要求輸入用戶密碼、進行人臉識別或雙因子認證[4]。

數(shù)字簽名技術(shù)。數(shù)字簽名技術(shù)，主要就是通過使用電子形式簽名來促使計算機網(wǎng)絡(luò)安全性能得到進一步的提高，數(shù)字簽名技術(shù)主要包括兩大類型，分別是雙向密鑰以及單向密鑰等類型。如果采用的是單向密鑰，要保障解密鑰匙是不能夠?qū)ν夤嫉模挥邢嚓P(guān)的內(nèi)部人員才能知道了解密鑰匙。但是如果采取的是雙向密鑰，則需要保障解密鑰匙是由兩個用戶所了解和獲知的，雙方的密鑰是不相同的，這樣就可以實現(xiàn)共同的簽名驗證。通過利用數(shù)字簽名技術(shù)可以保障計算機網(wǎng)絡(luò)安全性和可靠性。

存取權(quán)限控制技術(shù)，一方面，能夠避免非法黑客對于企業(yè)的系統(tǒng)進行入侵。另一方面，避免相關(guān)的用戶非法的占用來自于系統(tǒng)的信息資源和數(shù)據(jù)。對于當(dāng)前的計算機系統(tǒng)來講，基本上都是屬于開放性的系統(tǒng)，所以，更加需要相關(guān)人士能夠做好對于這些系統(tǒng)的存取權(quán)限控制，切實保障網(wǎng)絡(luò)的安全性和可靠性。

數(shù)據(jù)恢復(fù)技術(shù)。為了能夠?qū)Υ罅啃畔?shù)據(jù)進行獲取，需要利用數(shù)據(jù)恢復(fù)技術(shù)，避免數(shù)據(jù)流丟失之后造成重大的經(jīng)濟損失。工作人員要對于數(shù)據(jù)資料進行備份，這樣才能夠避免發(fā)生意外情況時數(shù)據(jù)丟失、損毀的問題，防止出現(xiàn)較大經(jīng)濟損失。比較常見的備份方式是網(wǎng)絡(luò)備份以及本機備份。相關(guān)人士也需要不定期對于信息資料進行備份，尤其是將備份資料單獨存到某個獨立的空間，這樣才能夠有效避免資料的丟失或者損壞[5]。

2 防火墻技術(shù)分析

2.1 防火墻技術(shù)特點研究

防火墻技術(shù)是一種相對較為合理及科學(xué)的網(wǎng)絡(luò)安全防護技術(shù)，能夠?qū)Σ煌W(wǎng)絡(luò)區(qū)域?qū)崿F(xiàn)有效的隔離，只有通過安全檢測之后才能夠跨區(qū)域訪問，利用防火墻技術(shù)可以有效控制或限制具有安全威脅的用戶進行網(wǎng)絡(luò)訪問。通過防火墻能夠有效強化兩個或多個網(wǎng)絡(luò)之間的邊界防護能力，在公共網(wǎng)絡(luò)和專用網(wǎng)絡(luò)之間可以構(gòu)建隔離墻，允許范圍之內(nèi)的用戶進行數(shù)據(jù)傳輸，阻止不合規(guī)、不合法的信息資源非法侵入，屬于被動型的防護技術(shù)。

構(gòu)建防火墻的過程中要求網(wǎng)絡(luò)具備明確服務(wù)類型和網(wǎng)絡(luò)邊界，這樣才能夠?qū)崿F(xiàn)內(nèi)外網(wǎng)絡(luò)的隔離，達到理想的防護效果。防火墻是切實保障網(wǎng)絡(luò)安全的重要的手段，通過構(gòu)建網(wǎng)絡(luò)安全協(xié)議、安全策略和安全檢測等措施筑牢安全防護屏障，這樣才能夠避免內(nèi)部網(wǎng)絡(luò)不會受到外部網(wǎng)絡(luò)病毒、木馬影響。

2.2 防火墻功能研究

防火墻具備了相對較為豐富的功能，其中，主要功能集中體現(xiàn)在以下幾方面：第一，通過利用網(wǎng)絡(luò)防火墻技術(shù)可以限制他人進入到內(nèi)部網(wǎng)絡(luò)當(dāng)中，同時也可以對于具有安全隱患用戶實施必要的過濾，這樣才能夠切實保障內(nèi)部網(wǎng)絡(luò)安全性和可靠性。第二，可以有效的避免入侵用戶接近網(wǎng)絡(luò)防御系統(tǒng)，這樣才能夠促使內(nèi)部網(wǎng)絡(luò)安全性和可靠性得到進一步的提升。第三，可以對于部分站點的訪問實施合理及科學(xué)的限制，只有相關(guān)的管理人員允許或者經(jīng)過安全檢測之后才可以突破相應(yīng)限制。第四，方便相關(guān)管理人士對網(wǎng)絡(luò)安全實施必要的監(jiān)視，同時可以據(jù)此制定出合理及科學(xué)的運行體系，促使管理人士對于網(wǎng)絡(luò)安全狀況充分掌握和了解。

2.3 防火墻工作原則

防火墻的類型也是相對較多，根據(jù)其形式的差異性，可以將網(wǎng)絡(luò)防火墻技術(shù)劃分為硬件防火墻和軟件防火墻兩大類型。不管相關(guān)人士是采取哪一種防火墻技術(shù)，都需要采取必要的措施切實保障網(wǎng)絡(luò)的安全性和可靠性。此外，在對于防火墻技術(shù)進行應(yīng)用的過程當(dāng)中，要始終堅持相應(yīng)的原則和相關(guān)的步驟，應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進行通信；應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認情況下除允許通信外受控接口拒絕所有通信；應(yīng)刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小化；應(yīng)對源地址、目的地址、源端口、目的端口和協(xié)議等進行檢查，以允許或拒絕數(shù)據(jù)包進出；應(yīng)能根據(jù)會話狀態(tài)信息為進出數(shù)據(jù)流提供明確的允許或拒絕訪問的能力；應(yīng)對進出網(wǎng)絡(luò)的數(shù)據(jù)流實現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制，通過以上原則充分保障防火墻系統(tǒng)功能得到不斷完善和優(yōu)秀，這樣才能夠?qū)τ诰W(wǎng)絡(luò)起到最佳防護的效果。

2.4 防火墻入侵防御系統(tǒng)

當(dāng)前計算機網(wǎng)絡(luò)安全形勢要求相關(guān)人士能夠更加合理及科學(xué)的使用入侵防御系統(tǒng)。入侵防御系統(tǒng)是最近幾年才逐步發(fā)展起來的一種新型防御技術(shù)，其對維護內(nèi)部網(wǎng)絡(luò)本身具有重大作用，不僅僅可以有效的收集網(wǎng)絡(luò)信息，同時也可以對其進行必要分析和研究，有利于更好的對不安全系統(tǒng)進行檢測、識別和阻斷，逐步地構(gòu)建起相對完善的安全體系，主要包括了響應(yīng)、檢測和防護三大部分，通過合理及科學(xué)利用防火墻技術(shù)，能夠促使響應(yīng)、檢測、防護三大部分發(fā)揮各自的作用，有利于各司其職，這樣才能夠避免非法用戶對于信息資源的竊取。

3 結(jié)語

綜上所述，當(dāng)前計算機網(wǎng)絡(luò)系統(tǒng)是社會發(fā)展不可缺失的要素，但其安全問題也日益嚴峻，這也給廣大的人民群眾帶來了巨大挑戰(zhàn)。為了能夠切實保障計算機網(wǎng)絡(luò)安全，需要加強防火墻技術(shù)合理及科學(xué)的應(yīng)用，結(jié)合其業(yè)務(wù)的實際特性，建立符合系統(tǒng)實際安全需求的網(wǎng)絡(luò)安全保障體系框架，設(shè)計安全保障體系方案，綜合提升計算機網(wǎng)絡(luò)系統(tǒng)的安全保障能力和防護水平。相信經(jīng)過各方的不斷努力，一定能夠使計算機網(wǎng)絡(luò)系統(tǒng)環(huán)境得到進一步的優(yōu)化和完善。