郝風平

(金肯職業(yè)技術學院，江蘇 南京 211156)

0 引言

影響網(wǎng)絡適用性最大的因素就是網(wǎng)絡系統(tǒng)缺乏安全性，網(wǎng)絡系統(tǒng)在建設時要結合網(wǎng)絡安全技術，以降低網(wǎng)絡風險。本文對計算機網(wǎng)絡安全防護系統(tǒng)進行深入探討，制定相應的防護措施，為計算機網(wǎng)絡的安全運行提供保障。

1 影響計算機網(wǎng)絡安全的主要因素

1.1 操作系統(tǒng)不夠完善

操作系統(tǒng)是整個計算機網(wǎng)絡系統(tǒng)的核心，同時也是非常重要的基礎系統(tǒng)，是計算機設備的重要組成部分。計算機在使用的過程中，發(fā)出任何指令都需要借助操作系統(tǒng)完成，如果操作系統(tǒng)出現(xiàn)安全問題，將會對整個網(wǎng)絡系統(tǒng)的安全造成影響，甚至還會影響網(wǎng)絡用戶的資金安全[1]。

1.2 受到網(wǎng)絡病毒的侵襲

計算機的功能越來越多，網(wǎng)絡病毒的種類也越來越復雜。常見的網(wǎng)絡病毒都是以代碼的形式破壞網(wǎng)絡系統(tǒng)，嚴重影響了計算機網(wǎng)絡系統(tǒng)的安全，甚至會造成網(wǎng)絡癱瘓。

1.3 缺乏完善的網(wǎng)絡結構

傳統(tǒng)的網(wǎng)絡結構主要是對功能進行分層設計，將網(wǎng)絡系統(tǒng)和計算機的處理器以及操作系統(tǒng)結合在一起，然后再利用交換器或者集線器等設備將信息交換軟件進行集中整理，信息交換軟件在使用的過程中，很容易將并病毒導入系統(tǒng)，可能會造成信息數(shù)據(jù)的泄露，嚴重影響了計算機網(wǎng)絡系統(tǒng)的安全運行，對計算機的網(wǎng)絡結構造成巨大的威脅。

1.4 IP地址被盜用和攻擊

有些用戶經(jīng)過授權就亂用IP地址，隱藏自己的身份信息之后盜取各種網(wǎng)絡資源或者對網(wǎng)絡系統(tǒng)造成破壞。計算機網(wǎng)絡系統(tǒng)的IP地址遭到攻擊后，會影響系統(tǒng)運行的穩(wěn)定性。除此之外，如果IP地址被盜用還會給用戶造成經(jīng)濟損失，侵犯用戶的合法權益[2]。

1.5 遭受黑客的攻擊

黑客主要通過計算機網(wǎng)絡系統(tǒng)的漏洞盜取他人的信息，篡改網(wǎng)絡信息。黑客持續(xù)對網(wǎng)絡系統(tǒng)進行攻擊，還會造成計算機網(wǎng)絡系統(tǒng)癱瘓，計算機服務器也不能接收到正確的信息。

2 常用的計算機網(wǎng)絡安全防護技術

2.1 加密技術

加密技術主要是通過數(shù)學計算的方法對數(shù)據(jù)的傳輸過程進行全面保護，同時也能為數(shù)據(jù)提供安全的儲存環(huán)境，防止被外界盜用。與防火墻相比，加密技術相對靈活，更加適合開放性的網(wǎng)絡環(huán)境，也能對動態(tài)的數(shù)據(jù)信息進行全面保護。

2.2 入侵檢測技術

計算機網(wǎng)絡系統(tǒng)在對信息數(shù)據(jù)進行傳遞的過程中，必須對信息質(zhì)量進行檢測，避免不良信息對計算機網(wǎng)絡系統(tǒng)的安全性造成影響。檢測信息所采用的技術就是入侵檢測技術。入侵檢測技術的異常檢測模式主要是對計算機系統(tǒng)的內(nèi)部運行進行檢測，檢測結果良好的數(shù)據(jù)設置為接收，如果檢測結果為不良，就要重新對數(shù)據(jù)進行分析，從而為網(wǎng)絡系統(tǒng)的安全性提供保障[3]。

2.3 防火墻技術

防火墻技術能夠約束用戶訪問其他網(wǎng)絡的權限，對于計算機網(wǎng)絡系統(tǒng)而言，防火墻是最基礎的保障條件。防火墻不僅能對攻擊網(wǎng)絡系統(tǒng)的各項因素進行攔截，降低網(wǎng)絡風險，還能監(jiān)督訪問網(wǎng)絡的用戶，任何訪問記錄都能被隨時記錄，方便用戶隨時查看。防火墻在運行的過程中，如果發(fā)現(xiàn)網(wǎng)絡風險還會及時發(fā)出預警，提醒用戶及時制定網(wǎng)絡安全防護措施[4]。

3 計算機網(wǎng)絡安全防護系統(tǒng)的設計與實現(xiàn)

3.1 計算機網(wǎng)絡安全防護系統(tǒng)的結構設計

在設計計算機網(wǎng)絡安全防護系統(tǒng)的過程中，程序員必須全面掌握網(wǎng)絡結構的特征和各項相關信息，總結計算機網(wǎng)絡在運行過程中可能遇到的風險，掌握網(wǎng)絡安全防護系統(tǒng)的基本要求，結合網(wǎng)絡安全防護設計規(guī)范，這樣才能設計出更加符合網(wǎng)絡安全防護要求的防范體系。因此，本文在系統(tǒng)設計和實現(xiàn)之前，對網(wǎng)絡安全防護系統(tǒng)進行了深層分析，總結出了網(wǎng)絡安全防護系統(tǒng)的結構，如圖1所示。

圖1 網(wǎng)絡安全防護系統(tǒng)結構

從物理層的角度進行分析，設計人員在物理層面做好網(wǎng)絡系統(tǒng)安全防護工作，防止計算機網(wǎng)絡受到雷電等自然災害、人為因素和黑客的破壞，確保計算機系統(tǒng)能夠在安全的環(huán)境中運行。

從網(wǎng)絡層的角度進行分析，在設計計算機網(wǎng)絡安全防護系統(tǒng)的過程中，設計人員要加強對內(nèi)網(wǎng)外網(wǎng)隔離工作的重視，內(nèi)網(wǎng)和外網(wǎng)之間要避免通信交流，提高內(nèi)網(wǎng)的安全性，防止黑客對計算機內(nèi)網(wǎng)造成破壞。

從系統(tǒng)層的角度進行分析，設計網(wǎng)絡安全防護系統(tǒng)時，設計人員可以模擬黑客進行攻擊，從而發(fā)現(xiàn)網(wǎng)絡系統(tǒng)安全性能方面的不足，制定針對性措施，提高網(wǎng)絡安全防護系統(tǒng)的工作效率。另外，技術人員還要定期調(diào)整網(wǎng)絡安全防護系統(tǒng)的防護措施，對用戶的訪問記錄進行復制，提高系統(tǒng)的防范效率。

從應用層的角度進行分析，為了確保應用層的安全運行，提高系統(tǒng)對網(wǎng)絡病毒的抵抗能力，設計人員就要對網(wǎng)絡系統(tǒng)曾經(jīng)遭受過攻擊的病毒制定防范措施，同時還要用多個殺毒軟件對網(wǎng)絡系統(tǒng)的薄弱環(huán)節(jié)進行全面監(jiān)測，從而保障網(wǎng)絡系統(tǒng)的安全性。除此之外，技術人員還要定時對應用層的數(shù)據(jù)進行審查，構建完善的保障機制，確保計算機網(wǎng)絡系統(tǒng)能夠安全運行。

從管理層角度進行分析，在設計計算機網(wǎng)絡安全防護系統(tǒng)的過程中，設計人員要構建完善的安全管理機制，并且還要對網(wǎng)絡系統(tǒng)的操作方法、故障處理以及管理人員的管理工作制定相應的規(guī)范，充分發(fā)揮積極的管理作用。

3.2 計算機安全網(wǎng)絡防護系統(tǒng)的設計與實現(xiàn)

文章主要闡述了影響網(wǎng)絡安全防護系統(tǒng)設計的各項因素，分析了計算機網(wǎng)絡系統(tǒng)常用的防護技術。筆者以企業(yè)網(wǎng)絡安全防護系統(tǒng)設計為例，從身份認證系統(tǒng)和安全防護系統(tǒng)設計兩個方面進行總結，希望能為相關設計人員提供一些參考。

3.2.1 身份認證系統(tǒng)的設計與實現(xiàn)

身份認證系統(tǒng)是網(wǎng)絡安全防護系統(tǒng)的重要組成部分，企業(yè)網(wǎng)絡安全系統(tǒng)在設計的過程中使用的是RSA認證系統(tǒng)，認證流程為三方身份認證，如圖2所示。

圖2 認證系統(tǒng)設計

首先，CA模塊一般會在網(wǎng)絡系統(tǒng)的主服務器上進行設置，系統(tǒng)中主要涉及了申請和身份認證，同時還包括通信模塊。申請認證需要完成所有流程的操作。設計人員點擊申請證書之后，系統(tǒng)立馬就會彈出認證界面，然后在認證界面輸入相關信息，再將信息上傳至CA進行認證。CA方接收到認證申請之后，將認證結果傳輸?shù)缴暾埛剑炞C結果為通過之后才會將公鑰傳送至CA。CA收到申請方發(fā)來的公鑰，再將其轉(zhuǎn)化成證書傳送至申請方，申請方將證書保存到.ini內(nèi)，就能對公鑰進行查看。

其次，申請認證的雙方要根據(jù)菜單的提示進行操作，在身份認證對話框中發(fā)送驗證請求，為雙方建立連接通道，按照相關流程進行驗證，如果在驗證過程中出現(xiàn)問題，要重新根據(jù)系統(tǒng)要求進行認證[5]。

各個主體要想實現(xiàn)身份認證，必須得到其他功能的配合，上述內(nèi)容中涉及的身份認證必須在網(wǎng)絡通信的輔助下才能實現(xiàn)，通信模塊為各個主體之間建立了聯(lián)系的橋梁，通信子模塊就可以向各個主體傳輸數(shù)據(jù)。設計人員在此次設計過程中，所采用的接口為MFC中的CasyncCocket，這樣就能使同一個局域網(wǎng)內(nèi)的主體相互鏈接。服務器方的監(jiān)聽用戶發(fā)出請求信息之后，雙方就能實現(xiàn)實時通信，申請代碼如下：

voidCAsynlstn::onAeeePt(intnErrorCode )

{

//TODO:Add your specialized code here and/or

eallthe base class

if(((CMsocsDlg*)m_pDlg)_>m_pSrvrsock )

{

利用PBL教學模式，可以強化學生的英語學習自信。這主要是由于為了解決既定問題，學生在所處小組內(nèi)部需要全體發(fā)言表達想法，而且在討論過程中，學生只需要在小組內(nèi)部表達意見，不會受到教師和所有同學的關注，這時自卑、害怕等各種復雜情緒便會大大緩解，學生也就會開始嘗試著去開口說英語。所以，引用PBL教學模式在英語口語教學中是非常有必要的，只有為學生提供更多開口的機會，才能夠有效增強學生的自信心。

AxfMessageBox ( 0Onlyallowonemessagesoeketata

timeO);

Casynsvsktemp Svsk(NULL);

tempSvsk.Close( );

{

Else.

3.2.2 安全防護系統(tǒng)的設計與實現(xiàn)

首先，企業(yè)計算機網(wǎng)絡安全防護系統(tǒng)的設計方案要將Windows系統(tǒng)內(nèi)所有截取的IP包作為主要參考依據(jù)，NDIS在Windows中起到了非常重要的作用，在網(wǎng)絡協(xié)議和NIC之間建立了有效的連接橋梁，NDIS一般會安裝在miniport驅(qū)動上，而miniport實際上就是數(shù)據(jù)鏈路層的介質(zhì)對子層進行訪問。

圖3 Windows網(wǎng)絡接口

其次，將Intranet安全策略劃分為網(wǎng)絡和應用層兩個部分，在網(wǎng)絡層加設防火墻，對傳輸過去的數(shù)據(jù)進行全面檢測和分析，防止出現(xiàn)過度供給。這種形式的檢測方法較為主動，在網(wǎng)絡運行之前或者運行的過程中就能進行自主檢測，一旦在檢測過程中發(fā)現(xiàn)問題，就能制定相應的完善措施。應用層的主要功能就是對授權范圍內(nèi)的用戶和資源進行統(tǒng)一管理，構建完善的管理體系，從而為信息數(shù)據(jù)的安全性和隱私性提供保障。

再次，信息數(shù)據(jù)傳輸?shù)竭m配器之后，系統(tǒng)軟件控制方就可以對信息數(shù)據(jù)進行過濾，數(shù)據(jù)包可以在適配器的輔助下將信息傳遞至Miniport Driver，然后再將數(shù)據(jù)傳送至NDIS，這樣就能將過濾后的數(shù)據(jù)進行合成。系統(tǒng)在傳輸數(shù)據(jù)時，數(shù)據(jù)一般是由應用層傳輸?shù)骄W(wǎng)絡層，然后網(wǎng)絡層再將數(shù)據(jù)傳送至NDIS，NDIS再將所有的數(shù)據(jù)全部傳送至Miniport Driver，最后Miniport Driver將數(shù)據(jù)傳送至物理網(wǎng)絡和適配器中。

最后，對數(shù)據(jù)包進行過濾的系統(tǒng)主要有IP數(shù)據(jù)包和UDP數(shù)據(jù)包。如果系統(tǒng)使用包過濾技術，必須確保數(shù)據(jù)能夠安全通過防火墻，數(shù)據(jù)包中的地址和狀態(tài)符合要求才能通過包過濾裝置。

4 結語

總而言之，計算機網(wǎng)絡安全防護系統(tǒng)是一項非常重要的系統(tǒng)性工程，無論是企業(yè)還是個人，網(wǎng)絡信息在傳輸時的安全性和私密性一定要得到保障。因此，計算機網(wǎng)絡安全防護系統(tǒng)在設計過程中，除了要結合安全技術以外，還要充分考慮風險和規(guī)范等各方面的要求，這樣才能建立完善的防御系統(tǒng)。本文首先對影響網(wǎng)絡安全的因素進行了闡述，分析了常用的安全防護技術，以企業(yè)網(wǎng)絡安全防護系統(tǒng)為例，從身份認證系統(tǒng)和安全防護系統(tǒng)的設計總結了實現(xiàn)步驟，希望能為網(wǎng)絡安全防護系統(tǒng)的設計提供更多的參考。