计算机网络安全防范技术初探

王新峰河南中烟工业有限责任公司许昌卷烟厂 河南 461000

0 引言

随着计算机网络应用的飞速发展，人们对计算机网络的依赖性越来越强，网络技术应用也越来越广泛。在未来的科技发展中，这种技术的影响将会更强更广。但网络安全威胁也如洪水般泛滥，各种网络安全隐患不断产生，严重影响了人类的生产、生活及其它安全。网络安全涉及到计算机科学、网络技术、通信技术、信息论等多种学科，是一个复杂的且涉及多方面的系统工程，计算机网络安全威胁主要有：软件漏洞、配置不当、安全意识不强、黑客、病毒、木马等方面。这就要求我们在实际工作中采取多种安全防范技术，加强管理，提高全民网络道德水准和网络安全意识。

计算机网络安全防范技术多种多样，归纳起来有：入侵预防技术、病毒防范技术、防火墙技术、数据加密技术、系统容灾技术、漏洞扫描技术、物理安全、审计管理、蜜罐技术等。

1 入侵预防技术

（1）入侵预防技术与入侵检测技术的比较

入侵检测的弱点：我单位原来所用的入侵检测产品，往往都是网络陷入瘫痪，才去研究是否有攻击存在。但这时为了人们早点正常工作，网管员把自己的精力全部放在了修复网络上，没有时间去研究是什么样的攻击影响了网络。同时，由于配置了入侵产品与防火墙的联动，一些入侵检测的误动作，造成防火墙误动作，从而影响整个网络。可见，入侵检测技术不能起到主动防范作用，需要引入入侵预防技术。

入侵预防软件与传统入侵检测产品的不同之处在于：入侵检测重在检测，既使跟防火墙进行联动，也不能代替入侵预防系统；入侵预防重在预防，预防能够对应用层渗透，缓冲区溢出、木马、后门、SQL注入、XSS进行识别拦截。入侵预防安全架构则充当下一代网络安全软件，它能积极主动地加强桌面系统和服务器的安全，防止受到基于特征扫描的技术所无法发现的网络攻击的破坏。

（2）入侵预防技术原理

入侵预防定义哪些行为是正当的、哪些行为是可疑的，这样一旦企图作出超乎预期行为范围的举动，入侵预防技术会先发制人地消除不当的系统行为。一些高度结构化的入侵预防系统还能提供预先设定的规则，以保护Web服务器、邮件服务器及提供一般的最终用户桌面保护。

从防御理念和防护重心来看，建议入侵防御置于防火墙之后，服务器之前。

2 病毒防范技术

计算机病毒的特点归纳起来有：攻击隐藏性强、繁殖能力强、传染途径广、潜伏时间长、破坏能力大以及具有针对性等。其注入技术主要有：无线电方式、“固化”式方式、后门攻击方式以及数据控制链攻击方式等。

病毒防范技术主要有：

（1）对病毒客户端进行管理；曾经一个时期，网络上的ARP病毒经常泛滥，导致网络瘫痪。笔者专门写了个小程序进行防范，放在局域网上，让网内用户点击自运行程序，从而植入用户操作系统中，这样，保护了网内用户免受该病毒的危害。

（2）对邮件的传播进行控制。

（3）对来自磁介质的有害信息进行过滤。

（4）建立多层次多级别的企业级的防病毒系统，对病毒实现全面的防护。

建议在电脑和服务器上经常升级病毒库，定期查杀。

3 防火墙技术

采用防火墙技术是解决网络安全问题的主要手段之一。防火墙常被安装内网与外网的节点上，用于逻辑隔离内网和外网。它是一种加强网络之间访问控制的网络设备，它能够保护内部网络信息不被外部非法授权用户访问。防火墙具可以扫描流经它的网络通信数据，过滤一些攻击，通过关闭不使用的端口来禁止特定端口的流出通信，封锁木马，禁止来自特殊站点的访问，防止来自非法闯入者的入侵，并能够记录和统计有关网络使用滥用的情况。不过，防火墙技术也有局限性，它一般防外不防内，难以防范来自网络内部的木马攻击和病毒的侵犯。

在实际工作中，需要网络管理员将防火墙技术与其他安全技术配合使用，更好地提高网络的安全性。由于防火墙位于内外网之间，属咽喉地带，一旦出现问题，则严重影响通讯。建议防火墙设置冗余，防止单点故障影响整个网络。

4 数据加密技术

数据加密技术是将被传送的信息进行加密，使信息以密文的形式在网络上传输。该技术的应用可以保护网络上传输的信息不被恶意者篡改截取，使一些敏感的数据只能被相应权限的人访问，从而防止被非法使用者看到或者破坏。数据加密算法可分为对称算法和公开密钥算法。在对称算法中，加密密钥和解密密钥相同或者加密密钥能够从解密密钥中推算出来，反之也成立。对称算法优点是速度快，但其密钥管理非常重要，密钥必须通过安全的途径传送。在公开密钥算法中，加密密钥和解密密钥互不相同，并且几乎不可能从加密密钥推导出解密密钥。公开密钥算法密钥管理简单，但其加密算法复杂，速度慢。

在维护网络安全和工作中，建议适当地采取数据加密这种主动防御的技术，来提高信息通讯的安全性。

5 系统容灾技术

系统容灾技术分为本地容灾技术和异地容灾技术。

本地容灾从技术上主要可分为：磁盘保护技术、快照数据保护技术、磁带/磁盘数据备份技术。本地服务容灾从实现技术上主要可分为：双机热备和本地集群技术。

异地容灾技术分为：远程数据容灾技术、网络容灾技术、服务容灾技术。

远程数据容灾是指通过将本地数据在线备份到远离本地的异地数据系统保存，当灾难发生后，可以通过数据重构，来达到抵御区域性、毁灭性灾难，保护业务数据的目的。但关键业务服务的暂时停顿不可避免。网络容灾技术是指网络在遭受各种故障，如通信人为故障和客观因素导致的通信事故等时，仍能维持可接受的业务质量的能力。服务容灾技术是当发生灾难时，需要将生产中心的业务转移到容灾中心去运行。可以保证服务的自动无缝迁移，让用户感觉不出提供服务的主体发生了变化。

在实际工作中，建议在生产中心和灾备中心的服务器上安装专用的数据复制软件，以实现远程复制功能。两中心间必须有网络连接作为数据通道。可以在服务器层增加应用远程切换功能软件，从而构成完整的应用级容灾方案。

6 漏洞扫描技术

漏洞扫描技术是检查系统中重要的数据、文件等，通过以下两种方法来检测发现可被黑客所利用的漏洞：(1)端口扫描法。通过端口扫描得知目标主机开启的端口以及端口上的网络服务，并与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有漏洞存在；(2)模拟黑客的攻击法。通过模拟攻击，测试安全漏洞。漏洞扫描实现的方法大概可分为：漏洞库的特征匹配方法，功能模块(插件)技术。

建议在专家指导下对系统配置特征规则库不断扩充和修正，在按照某一标准设计漏洞库的同时，还应该让漏洞库信息具备完整性、有效性、简易性等特点，这样即使是用户自己也易于对漏洞库进行添加配置，从而实现对漏洞库的即时更新。

7 物理安全

物理安全主要包含了计算机机房物理场地、物理环境及各种因素对计算机设备的影响：机房的安全、防火与防水、静电防护、防盗、防破坏、屏蔽、过滤、接地、电磁防护等，另外还包含网络的物理隔离、协议隔离、物理隔离网闸等物理隔离技术。

电源系统采用双电源及UPS集中供电方式。其它根据建筑物具体情况采取UPS集中或集散式供电方式。UPS采用双控制模块化系统，实行N+1冗余方式，UPS输出/输入端应有电源平衡分配处理，使输出与输入完全隔离，保证供电系统的可靠性和可用性。

另外，设立监控系统，对机房的动力系统、环境系统、消防系统、保安系统、网络系统等进行安全监控。

建议重视计算机网络的物理安全，严格按照国家及行业信息化机房建设标准备进行建设。建设时对机房精密空调的室外机位置要有充分的考虑。

8 审计管理

网络安全审计就是运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件，以便集中报警、分析、处理的一种技术手段。安全审计的对象有：网络设备、服务器、用户电脑、数据库、应用系统、网络安全设备。

安全审计解决方案有：

日志审计、主机审计、监控上网行为、网络审计等。

建议多种方案混合使用。

9 蜜罐技术

蜜罐是通过真实或模拟的网络和服务来吸引攻击，分析黑客攻击蜜罐期间对其行为和过程，搜集信息，发出预警。

根据蜜罐的交互程度可将蜜罐分三类：低交互蜜罐、中交互蜜罐和高交互蜜罐。其中低交互蜜罐只是运行于现有系统上的一个仿真服务，在特定端口监听记录数据包；中交互蜜罐是应用脚本或小程序来模拟服务行为，提供的功能主要取决于脚本，在不同端口进行监听，收集更多数据；高交互蜜罐则是由真实的操作系统作为诱饵，引诱黑客攻击，获得大量信息，但其风险最大。

蜜罐本身并不增加网络的安全性，建议将蜜罐和现有的安全防卫手段结合使用，可以有效提高系统安全性。

总之，计算机网络发展迅速，网络安全也威胁层出不穷，人们在不断摸索建造安全防范体系，在众多技术中有被动防御和主动防御的，有防止外网进攻的，也有防止内网破坏的，这些技术只有相互结合起来使用，取长补短，才能对网络安全全面防范。