常用網絡系統安全技術分析

彭城

前言：隨著信息網絡技術應用的深入，用戶對于網絡和信息系統的依賴日益提高。如何有效的保障信息網絡的安全，已經成為一個十分重要的課題。對目前信息網絡的安全應該從用戶需求和網絡實際情況出發，在系統安全、硬件安全、通訊安全、管理安全等多個方面加強管理。

關鍵詞：網絡系統安全防護硬件設備軟件系統

在網絡信息的安全防護中，需要采用各種安全設備、軟件、網絡設備、操作系統、專用設備、應用系統和網管系統等來共同實現網絡中的運行安全、技術安全和管理安全的安全防護。要想對網絡信息安全進行集中有效的管理，首先必然對這些設備和系統進行歸納、認識和了解，這些子系統共同存在、相互協作，構成計算機網絡的“安全防護網”。

一、安全防護的手段

提到網絡系統安全，首先被大家認可的應該就是防火墻了。防火墻主要用于劃分內外網絡邊界并建立過濾機制和訪問控制。一般情況下內部網絡被認為是安全和可信賴的，外部網絡通常被認為是不安全和不可信賴的。防火墻的作用就是防止不希望的、未經授權的通信進出被保護的內部網絡，通過邊界控制強化內部網絡的安全級別。防火墻可以實現通過策略控制外部網絡特定用戶對內部特定資源的訪問，根據策略對特定的數據內容進行過濾和控制；完整地記錄網絡的訪問操作。

可見防火墻為計算機網絡安全構建了第一道安全屏障，除此以外我們還應該考慮到病毒的威脅。計算機病毒是一種惡意的計算機程序，具有可自我復制性、傳染性、潛伏性、破壞等。在網絡環境上，它又具有傳統環境下不可估量的威脅和破壞力。目前，病毒傳播的主要途徑已經從原來的磁盤，變化為現在的90%以上通過互聯網傳播。防病毒技術包括預防、檢測和清殺病毒三種技術。為了保證防病毒系統的一致性、完整性和自升級能力，必須有一個完善的病毒防護管理體系，負責防病毒軟件的自動分發、升級、集中配置和管理，統一事件和告警處理，保證整體企業和單位范圍內病毒防護體系的一致性和完整性。

去年大規模爆發的勒索病毒又提醒我們，黑客對于敏感網絡系統的入侵時刻都在進行著，網絡用戶在提升殺毒技術的同時，防范黑客的入侵也是不能忽視的。入侵檢測系統一般包括控制臺和探測器，控制臺用作制定及管理所有探測器，探測器用作監聽進出網絡的訪問行為，根據控制臺的指令執行相應行為?？梢哉f在整個網絡系統的安全防護中，防火墻、殺毒技術和防入侵是一套和“敵人”短兵相接的組合拳。除此以外，我們還需要在通信保密、虛擬專用網等方面提升安全防護的檔次，為這套組合拳提供攻守兼備的能力。

我們先來看看通信保密。對于核心數據信息在計算機網絡上的使用和傳輸，具有較高的保密性要求。數據在網絡上傳輸的安全性主要體現在信息在傳送過程中可能被竊取、被截獲、被篡改和被防冒時網絡的應對能力。這些情況的發生是在沒有采取安全措施的情況下，數據都是以明文的形式在網上傳輸的。為了防范數據在網絡傳輸過程中被非法竊取而造成泄露，需要采用加密技術對數據進行加密后傳輸，被截獲的數據以亂碼形式表現，不具備解密的實際意義。通信密碼技術主要有鏈路層加密和網絡層加密兩種方式。鏈路層加密主要是對于連接各涉密網節點的廣域網線路，根據線路種類不同可以采用相應的鏈路加密設備，以保證各節點涉密網之間交換的數據都是加密傳送。鏈路層加密機制是采用點對點的加密和解密。網絡層加密是針對網絡分布較廣、網點較多采用網絡加密機來實現一點對一點或者一點對多點之間的加密，同時支持網絡內的某些主機通過加密隧道，而另一些主機仍以明文方式傳輸，以達到安全、傳輸效率的最佳平衡。

為了將物理分布在不同地點的網絡通過公用骨干網，特別是通過Internet連接，形成了一種邏輯上的虛擬專用網——VPN。為了保障信息的安全，VPN技術采用了鑒別、訪問控制、保密性、完整性等措施，以防止信息被泄露、篡改和復制。VPN雖然不是物理上的真正的專用網絡，卻能夠實現物理專用網絡的功能，它是被特別范圍下私有化的，未經授權的用戶是不能夠使用已建立的VPN通道的，這就使得通信內容能夠抗擊非法修改和非法破解，對傳輸內容提供了完整性和機密性保護。

二、網絡中的硬件設備防護

網絡設備中，路由器和交換機絕對是知名度最高的明星設備。路由器的作用是連通不同的網絡，另一個作用是選擇信息傳送的線路。選擇通暢快捷的近路，能大大提高通信速度，減輕網絡系統通信負荷，節約網絡系統資源，提高網絡系統暢通率，從而讓網絡系統發揮出更大的效益。路由器通常用于節點眾多的大型網絡環境，它處于ISO/OSI模型的網絡層。與交換機相比，在實現骨干網的互聯方面，路由器特別是高端路由器有著明顯的優勢。路由器高度的智能化，對各種路由協議、網絡協議和網絡接口的廣泛支持，還有其獨具的安全性和訪問控制等功能和特點是網橋和交換機等其他互聯設備所不具備的。路由器的中低端產品可以用于連接骨干網設備和小規模端點的接入，高端產品可以用于骨干網之間的互聯以及骨干網與互聯網的連接。特別是對于骨干網的互聯和骨干網與互聯網的互聯互通，不但技術復雜，涉及通信協議、路由協議和眾多接口，信息傳輸速度要求高，而且對網絡安全性的要求也比其他場合高得多。

交換機是一種基于網卡硬件地址（MAC）識別的網絡設備，能完成封裝轉發數據包功能。交換機可以檢測網絡中設備的MAC地址，并把其存放在內部地址表中，通過在數據幀的始發者和目標接收者之間建立臨時的交換路徑，使數據幀直接由源地址到達目的地址。交換機又分二層交換機和三層交換機。三層交換是相對于傳統交換概念而提出的。眾所周知，傳統的交換技術是在OSI網絡標準模型中的第二層一一數據鏈路層進行操作的，而三層交換技術是在網絡模型中的第三層實現了數據包的高速轉發。簡單地說，三層交換技術就是：二層交換技術+三層轉發技術。三層交換技術的出現，解決了局域網中網段劃分之后，網段中子網必須依賴路由器進行管理的局面，解決了傳統路出器低速、復雜所造成的網絡瓶頸問題。

三、網絡中的軟件系統防護

操作系統是計算機系統中負責支撐應用程序運行環境以及用戶操作環境的系統軟件。同時也是計算機系統的核心與基石。操作系統位于底層硬件與用戶之間，是兩者溝通的橋梁。用戶可以通過操作系統的用戶界面輸入命令。操作系統則對命令進行解釋，驅動硬件設備，實現用戶要求。操作系統的職責通常包括對硬件的直接監管、對各種計算資源的管理、以及提供諸如作業管理之類的面向應用程序的服務等等。操作系統中的日志系統對于系統安全來說非常重要，它記錄了系統每天發生的各種各樣的事情，包括那些曾經或者正在使用系統的用戶信息，更重要的是在系統受到黑客攻擊后，日志可以記錄下攻擊者留下的痕跡，通過查看這些痕跡，系統管理員可以發現黑客攻擊的某些手段以及特點，從而為抵御下一次攻擊做好準備。

從整個計算機系統來看，用戶的決定性超過了一切軟、硬件，因此安全防范手段的根本其實在于建立網絡風險預警機制，依靠多項安全技術構建的網絡安全體系來實現。用戶需要不斷的在原有的安全設施上進行升級和完善，依照不同情況選擇有針對性的軟、硬件，統一管理，才能提升網絡系統的安全性。

參考文獻：

[1]郭啟全.網絡安全法與網絡安全等級保護制度培訓教程.電子工業出版社，2018第一版.

[2]吳培飛、陳云志.網絡安全管理與技術防護.電子工業出版社，2017第一版.

[3]馬利、姚永雷.計算機網絡安全.清華大學出版社，2016第一版.

[4]蘭巨龍程東年.信息網絡安全與防護技術.人民郵電出版社，2014第一版.