程曉薇

關(guān)鍵詞：計算機通信網(wǎng)絡(luò)；安全防護；防護體系

計算機通信網(wǎng)絡(luò)中保存著大量的信息，為避免發(fā)生信息安全問題，就必須結(jié)合多種先進防護技術(shù)的應(yīng)用，以展開計算機通信網(wǎng)絡(luò)安全防護工作。

1計算機通信網(wǎng)絡(luò)安全防護的必要性分析

計算機通信網(wǎng)絡(luò)的關(guān)鍵為其中所存儲的大量信息，能夠為用戶提供多種信息服務(wù)，而在開放的網(wǎng)絡(luò)環(huán)境中，計算機通信網(wǎng)絡(luò)所面對的安全威脅相對較大，若不落實安全防護工作，則有可能造成信息泄漏、被篡改、丟失等問題，威脅用戶的信息安全，甚至?xí)l(fā)網(wǎng)絡(luò)崩潰。因此，需要從多方面人手，并加大計算機通信網(wǎng)絡(luò)安全防護力度[1]。

總體而言，對計算機通信網(wǎng)絡(luò)進行安全防護在當(dāng)前有著極高的實施價值與意義，是確保計算機通信網(wǎng)絡(luò)能夠長時間安全、穩(wěn)定、高效運行的重要舉措與必然選擇，從而實現(xiàn)對計算機通信網(wǎng)絡(luò)內(nèi)各類數(shù)據(jù)信息以及各項操作活動的安全性維護。

2計算機通信網(wǎng)絡(luò)安全防護的常用技術(shù)分析

2.1防火墻技術(shù)

防火墻主要對網(wǎng)絡(luò)之間的通信進行合理篩選，以避免未經(jīng)授權(quán)的訪問進入網(wǎng)絡(luò)，并落實對網(wǎng)絡(luò)的訪問控制，以提升網(wǎng)絡(luò)的安全防御能力。對于惡意攻擊，其不一定全部來自外部，網(wǎng)絡(luò)內(nèi)部也可能存在一定的安全威脅?；诖?，就需要在網(wǎng)絡(luò)系統(tǒng)的各個層次上強化落實保護。依托防火墻能夠?qū)崿F(xiàn)對內(nèi)部以及外部威脅的有效應(yīng)對，也可以對諸如網(wǎng)絡(luò)入侵的蠕蟲等一系列惡意軟件進行防控，同時允許系統(tǒng)將非法數(shù)據(jù)轉(zhuǎn)發(fā)到另一個系統(tǒng)內(nèi)。例如，在私有網(wǎng)絡(luò)與公共網(wǎng)絡(luò)之間普遍存在網(wǎng)絡(luò)墻，以實現(xiàn)對數(shù)據(jù)包進出的過濾。

2.2身份認證技術(shù)

在當(dāng)前的計算機通信網(wǎng)絡(luò)安全保護工作實踐中，身份認證技術(shù)具有較為廣泛的應(yīng)用范圍。例如，用戶可以根據(jù)自己存儲在網(wǎng)絡(luò)系統(tǒng)內(nèi)的信息獲取隨機登錄密碼，并完成系統(tǒng)登錄?；谶@種身份認證方式，可以實現(xiàn)更好地保護用戶個人信息的效果。在具體的身份認證技術(shù)應(yīng)用過程中，包含的認證方式主要有結(jié)合用戶的個人信息證明用戶身份，結(jié)合用戶所掌握的信息認證身份。

2.3數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)即對存儲、傳輸?shù)臄?shù)據(jù)實施加密處理，避免使用明文傳輸，以防止發(fā)生數(shù)據(jù)信息泄露、被盜用的問題。結(jié)合不同的加密引擎，常用的數(shù)據(jù)加密技術(shù)也較為多樣，具體有主機加密，此時需要落實外置密鑰管理，多在云加密場景、敏感數(shù)據(jù)加密、銷毀場景中應(yīng)用；存儲引擎硬加密，此時需要落實外置密鑰管理以及內(nèi)置密鑰管理，多在云加密場景、敏感數(shù)據(jù)加密、銷毀場景中應(yīng)用；存儲引擎軟加密，此時需要落實外置密鑰管理，多在云加密場景、敏感數(shù)據(jù)加密、銷毀場景中應(yīng)用[2]：后端SAS IO加密，此時需要落實外置密鑰管理，多在敏感數(shù)據(jù)集中加密、銷毀場景中應(yīng)用。

3計算機通信網(wǎng)絡(luò)安全防護的優(yōu)化策略探究

3.1計算機通信網(wǎng)絡(luò)安全防護體系的構(gòu)建

投放網(wǎng)管冗余設(shè)備、防火墻、網(wǎng)管局域網(wǎng)交換機、入侵檢測設(shè)備、網(wǎng)絡(luò)管理服務(wù)器（主用與備用）、流量管理終端、網(wǎng)絡(luò)管理終端、用戶準人系統(tǒng)服務(wù)器、復(fù)試終端、堡壘機等結(jié)構(gòu)設(shè)備，組建計算機通信網(wǎng)絡(luò)安全防護系統(tǒng)，以提升計算機通信網(wǎng)絡(luò)安全防護的現(xiàn)實成效。

其中，對于投放的網(wǎng)管冗余設(shè)備而言，其主要依托冗余方式實現(xiàn)對計算機通信網(wǎng)絡(luò)以及業(yè)務(wù)的抗災(zāi)以及災(zāi)難恢復(fù)能力的強化，以提升數(shù)據(jù)信息存儲安全性。對于投放的防火墻而言，其主要在網(wǎng)管局域網(wǎng)與網(wǎng)絡(luò)設(shè)備之間形成邏輯隔離，其具備良好的技術(shù)隔離功能、過濾功能以及邏輯隔離功能。對于投放的堡壘機而言，其主要在網(wǎng)管局域網(wǎng)內(nèi)完成布設(shè)，審計網(wǎng)管操作人員的集中登錄與行為，其具備良好的訪問控制功能、權(quán)限控制功能。對于投放的入侵檢測設(shè)備而言，其主要承擔(dān)分析進入網(wǎng)絡(luò)的惡意代碼、惡意入侵行為的任務(wù)，具備良好的追蹤功能、告警監(jiān)測功能、入侵檢測及報警功能、完整性檢測功能、惡意代碼防御功能。對于投放的終端管控設(shè)備而言，其主要承擔(dān)對所有數(shù)據(jù)網(wǎng)網(wǎng)管服務(wù)器、終端安裝用戶準人客戶端軟件進行集中性管控的任務(wù)，具備良好的接人阻斷功能、接出阻斷功能。另外，為了進一步提升計算機通信網(wǎng)絡(luò)安全防護系統(tǒng)的功能性，還要在系統(tǒng)內(nèi)投放其他配置，主要包含入侵防御設(shè)備、日志審計設(shè)備、漏洞掃描機配置核查設(shè)備等。

3.2加強計算機通信網(wǎng)絡(luò)入侵檢測與安全防護

從當(dāng)前情況來看，網(wǎng)絡(luò)攻擊手段的破壞性以及隱蔽性呈現(xiàn)出顯著增強的發(fā)展趨勢，基于此，為了落實對計算機通信網(wǎng)絡(luò)安全性的有效維護，必須強化對網(wǎng)絡(luò)入侵檢測技術(shù)的研發(fā)以及應(yīng)用?；诜植疾杉畔⒓皡f(xié)同處理的方式，結(jié)合使用基于主機的IDS以及基于網(wǎng)絡(luò)的IDS，以推動計算機通信網(wǎng)絡(luò)對外部入侵的地域能力呈現(xiàn)出明顯增強的發(fā)展?fàn)顟B(tài)[3]。實踐中，可以應(yīng)用的網(wǎng)絡(luò)入侵技術(shù)主要包括以下幾種。（1）高速實時入侵檢測技術(shù)，對入侵檢測系統(tǒng)的軟件結(jié)構(gòu)以及算法進行重新設(shè)定，并對專用的硬件結(jié)構(gòu)以及軟件系統(tǒng)進行開發(fā)，促使在高速網(wǎng)絡(luò)環(huán)境中實時性入侵檢測成為現(xiàn)實。（2）分布式協(xié)同檢測技術(shù)，出于對異質(zhì)網(wǎng)絡(luò)平臺之間差異性的有效保證，可以引入分布式智能Agent的結(jié)構(gòu)方式，結(jié)合協(xié)同機制的應(yīng)用，促使事件檢測、分析和響應(yīng)成為現(xiàn)實，以此更好地應(yīng)對復(fù)雜模式、協(xié)同式、分布式網(wǎng)絡(luò)攻擊。（3）智能檢測技術(shù)，結(jié)合神經(jīng)網(wǎng)絡(luò)、智能體系、遺傳算法，構(gòu)建智能人侵檢測系統(tǒng)，促使入侵檢測誤報率大幅下降，以避免產(chǎn)生過高的漏報率。（4）應(yīng)用層侵入檢測技術(shù)，主要面向計算機網(wǎng)絡(luò)的應(yīng)用層進行安全防護，并提供入侵檢測服務(wù)。（5）整合技術(shù)，結(jié)合多種網(wǎng)絡(luò)安全技術(shù)以及入侵檢測技術(shù)，以構(gòu)建更為完善的計算機通信網(wǎng)絡(luò)安全防護檢測與響應(yīng)架構(gòu)，并在此基礎(chǔ)上，強化對計算機通信網(wǎng)絡(luò)安全狀態(tài)的實時性檢測，一旦發(fā)現(xiàn)網(wǎng)絡(luò)異常情況，能夠第一時間發(fā)出預(yù)警，并迅速作出應(yīng)急處置。

3.3強化落實面向內(nèi)部威脅的數(shù)據(jù)泄露防護

（1）面向內(nèi)部威脅的數(shù)據(jù)泄漏主動防護。在網(wǎng)絡(luò)層面落實對安全保護域的劃分，從計算機通信網(wǎng)絡(luò)終端以及存儲端口組織展開訪問控制，以確保內(nèi)網(wǎng)的安全性達到理想水平。需要注意的是，這種面向內(nèi)部威脅的數(shù)據(jù)泄漏主動防護技術(shù)有著一定的局限性，單純對文件與進程之間的信息流進行約束與管理，而并沒有對進程之間、進程與其他非文件資源之間的信息流落實有效限制?；诖?，必須進一步優(yōu)化約束限制，但這種方式也會降低系統(tǒng)的靈活性與可用性。實踐中，可以依托虛擬化技術(shù)、可信基礎(chǔ)設(shè)施，完成虛擬隔離環(huán)境的構(gòu)建，形成不同隔離環(huán)境之間的可信通道，以構(gòu)建可信性相對較強的虛擬保護域，結(jié)合私有隔離環(huán)境、公共隔離環(huán)境、底層的基礎(chǔ)通信設(shè)施，以增強安全性，強化對計算機通信網(wǎng)絡(luò)數(shù)據(jù)應(yīng)用過程的隔離保護力度。在此基礎(chǔ)上，還要進一步從數(shù)據(jù)存儲層面落實安全保護域的劃分，將加解密以及安全控制機制構(gòu)建于存儲設(shè)備內(nèi)部以及終端系統(tǒng)中，以促使數(shù)據(jù)存儲、處理以及使用的信任鏈形成。依托多組建可信平臺的應(yīng)用訪問、使用網(wǎng)絡(luò)數(shù)據(jù)，結(jié)合雙向認證技術(shù)的應(yīng)用，促使主機與硬盤之間的可信綁定成為現(xiàn)實，以確保計算機通信網(wǎng)絡(luò)數(shù)據(jù)可以在非可信環(huán)境中以及遠程終端內(nèi)實現(xiàn)安全使用[4]。

（2）面向內(nèi)部威脅的數(shù)據(jù)泄漏主動防護。為確保計算機通信網(wǎng)絡(luò)對可信主體的防護需求得到及時滿足，需要落實面向可信主體約束的動態(tài)隔離機制的構(gòu)建，以實現(xiàn)對虛擬隔離機制局限性的有效突破，以提升對可信主體約束與防護的有效性，降低存在于安全域中的數(shù)據(jù)信息泄漏問題的發(fā)生概率。在構(gòu)建面向可行主體約束的動態(tài)隔離機制期間，需要在引入CoDI和MoDI操作的基礎(chǔ)上，組織展開讀隔離、寫隔離、通信隔離。在此過程中，可以應(yīng)用的方法手段主要包括文件管理，即統(tǒng)一管理副本文件，在獨立安全區(qū)域內(nèi)，對動態(tài)隔離過程中所形成的重定向文件副本進行有效存儲，促使文件與程序具有較高的一致性：進程管理，即應(yīng)用復(fù)制式遷移組織展開基于虛擬方式的動態(tài)隔離．應(yīng)用重定向式遷移組織展開基于重定向方式的動態(tài)隔離，在TUE中遷移進非可信進程，并以此隔離非可信進程以及其正在訪問的對應(yīng)資源。

3.4提升網(wǎng)絡(luò)安全防護意識并加強網(wǎng)絡(luò)安全管理

近年來，互聯(lián)網(wǎng)環(huán)境錯綜復(fù)雜，疑似境外黑客組織的網(wǎng)絡(luò)攻擊日益增加，各單位組織要充分認識到網(wǎng)絡(luò)安全和數(shù)據(jù)安全的重要性，不斷完善網(wǎng)絡(luò)安全管理制度、健全工作機制、抓牢抓實網(wǎng)絡(luò)安全保障工作[5]。實踐中，為保障計算機通信網(wǎng)絡(luò)專線的安全使用，采用計算機通信網(wǎng)絡(luò)安全專線產(chǎn)品，配合防火墻及三層管控交換機進行安全策略設(shè)置、IP地址實名管控、區(qū)域VLAN劃分管理，能夠較好地對計算機通信網(wǎng)絡(luò)進行防護，保障網(wǎng)絡(luò)安全。

另外，要強化組織領(lǐng)導(dǎo)，完善網(wǎng)信隊伍建設(shè)。落實網(wǎng)絡(luò)安全工作責(zé)任制，充分調(diào)整網(wǎng)絡(luò)安全和信息化委員會成員，組織信息化管理人員開展信息系統(tǒng)業(yè)務(wù)知識培訓(xùn)，進一步提升業(yè)務(wù)人員基礎(chǔ)統(tǒng)建信息系統(tǒng)管理安全運維能力，使其按要求完成日常網(wǎng)絡(luò)安保工作。在此基礎(chǔ)上，強化宣傳學(xué)習(xí)，提高網(wǎng)絡(luò)安全意識。在國家網(wǎng)絡(luò)安全宣傳周期間，積極開展關(guān)于增強員工網(wǎng)絡(luò)安全意識、筑牢網(wǎng)絡(luò)與信息安全防線的相關(guān)學(xué)習(xí)宣傳活動，宣傳網(wǎng)絡(luò)安全法規(guī)、典型案例和日常用網(wǎng)知識，全面提升全員網(wǎng)絡(luò)安全意識。另外，強化基礎(chǔ)建設(shè)，提升通信質(zhì)量與安全。為保證計算機通信網(wǎng)絡(luò)高效安全運行，通過與網(wǎng)絡(luò)運營商溝通引進基站建設(shè)，解決信號覆蓋不良等問題。信息化管理人員定期對網(wǎng)絡(luò)安全問題隱患進行自查，及時梳理信息資產(chǎn)，封堵隱患IP地址及惡意域名，切實提高計算機通信網(wǎng)絡(luò)運行安全性；制定信息化應(yīng)急預(yù)案并按要求開展信息化應(yīng)急演練，使員工能夠較好地應(yīng)對突發(fā)情況，以提供更為理想的通信安全保障。

通過提升網(wǎng)絡(luò)安全防護意識、做好網(wǎng)絡(luò)安全管理、展開網(wǎng)絡(luò)安全防護教育培訓(xùn)，提升了計算機通信網(wǎng)絡(luò)安全防護工作質(zhì)量以及現(xiàn)實成效。在后續(xù)的發(fā)展中，要持續(xù)加強網(wǎng)絡(luò)和重要信息系統(tǒng)的安全防護，強化相關(guān)工作人員的網(wǎng)絡(luò)安全意識，加大計算機通信網(wǎng)絡(luò)安全防護力度，實現(xiàn)計算機通信網(wǎng)絡(luò)、軟硬件、信息數(shù)據(jù)等網(wǎng)絡(luò)安全防護客觀上不存在威脅，主觀上不存在恐懼。

4結(jié)束語

對計算機通信網(wǎng)絡(luò)進行安全防護在當(dāng)前有著極高的實施價值與意義，是確保計算機通信網(wǎng)絡(luò)能夠長時間安全、穩(wěn)定、高效運行的重要舉措與必然選擇。實踐中，依托防火墻技術(shù)、數(shù)據(jù)加密技術(shù)等多種信息安全防護技術(shù)的整合應(yīng)用，結(jié)合計算機通信網(wǎng)絡(luò)安全防護策略的更新與優(yōu)化，推動了計算機通信網(wǎng)絡(luò)安全防護工作的升級。