计算机应用中网络安全防护体系构建研究

2022-02-13安康职业技术学院陕西安康市725000魏恩志

石河子科技 2022年6期

（安康职业技术学院，陕西安康市，725000）魏恩志

对网络项目的安全管理进行深入探讨，为网络企业或学校的安全管理、提高企业或学校的经济效益、推动企业或学校的发展提供了理论依据，如何使我国的网络管理能够顺利、稳定地进行下去，就显得尤为重要。有效实施计算机网络安全管理，是促进经济快速发展的重要保证。由于计算机网络中的各种问题时有发生，造成我国每年都出现巨大的财产损失。由于我国的计算机产业发展相对滞后，与世界上其它国家相比存在着一定的差距。通过采取切实、有效的措施，可以在一定程度上改善我国的计算机产业管理，从而提升国内计算机产业的国际竞争力。通过网络管理，保证网络的安全，最大限度地防止计算机的漏洞，达到保护的目的，从而提高企业或学校的竞争资本，实现高效的安全管理已经成为当今计算机产业和安全保护公司的当务之急。

1 个案分析

1.1 企业或学校原有的基本状况

四楼办公楼内网，大约有150 台计算机PC，边框装置是深信服的网络行为管理装置，只有1 个核心服务服务器，用于应用系统、文件保存和共享，网络设备交换器仅使用基础交换机的功能，并在一个“工作组”模式下进行二层数据交换。

1.2 存在的问题和现状

1.2.1 缺乏防范互联网的威胁

只使用深信服的上网行为管理装置进行人员身份识别、认证和简单的安全威胁保护，就会产生以下的安全隐患，没有专门的防火墙、IPS、安全网关等安全保护设施，对来自互联网的恶意攻击、恶意入侵进行有效的防御及控制。在外部通过病毒、嗅觉等手段，可以更方便地获取使用者的相关信息，从而非法、越权地进入公司的业务系统，扰乱系统的正常运转，窃取公司的商业机密，并导致信息泄漏。

1.2.2 恶意程序终端机病毒的攻击

所有的终端计算机都没有安装公司版本的防病毒软件，所有的工作人员都是通过网络上下载的单机防病毒软件来进行简单的保护，或者在没有任何保护的情况下进行裸机操作。在裸机上运行的计算机容易受到病毒、木马等恶意软件的攻击，从而使计算机软件和系统受到损害，甚至可以盗用公司的机密文件，造成信息泄漏，造成利益受损。

1.3 网络安全体系结构改进计划

1.3.1 网络边界的安全保护

在互联网的边界和分公司之间设置防火墙，网络与企业或学校内部网的安全、公司和总部的网络的安全，建立一个合理的、高效的防火墙安全筛选规则，用于协议、端口和源目的地址、外网的流量审查工作，对非法进入的用户进行严格的监控，仅开启HTTP、FTP、SMTP、POP3 和其它需要的服务，可以防止拒绝服务攻击，病毒传播，嗅探入侵。

1.3.2 实现对上网行为的综合控制

使用更好的网络行为管理设备。加强应用程序的控制和流量管理，对非工作相关的网络应用进行管控，并采用多种流量控制技术，防止带宽资源的浪费，保证核心业务的带宽。

1.3.3 VLAN的配置管理

由于各层的使用者被分成了不同的VLAN，因此从各个端口收到的消息都会被限制在各自的VLAN 中，这样就可以将广播领域与虚拟工作组分开。当发生病毒、恶意攻击、网络中断等突发事件时，可快速地跟踪源头计算机所在的楼层或部门，以加快事件处理的速度。

1.3.4 AD领域管理的实现

配置DC1.XX.COM 和DC2.XX.COM.COM 两台域控制器，为每位员工建立一个域名的注册域名，界定使用者与计算机组态的群组政策，加强安全，对非工作应用程序的使用者进行有效的控制，降低IT 管理人员的工作压力，使他们的生产力得到提升。

1.3.5 终端病毒防护的部署

部署一套趋势技术公司版本的终端防病毒系统：建立一套趋势防病毒系统，PC 端安装防病毒客户端，对病毒进行统一的保护，并能及时发现网络中的病毒，可以有效的防范和清除病毒，增强用户终端的安全。

1.3.6 在新构建的网络中执行一个缺陷扫描测试

利用XX 漏洞的扫描与管理系统，从系统级到组态，再到各个终端的扫描。对该系统的漏洞进行扫描，发现4 个中危漏洞，其中以微软的补丁为重点，通过网络及时的升级来解决，一般的用户终端不存在安全漏洞。

2 网络环境下计算机系统所面临的威胁

2.1 内部控制薄弱

计算机的结构虽然复杂，但其内部结构非常复杂，计算机中央处理器（CPU）是一个非常复杂的系统，其负责外部的保护，但并不代表中央处理器就是绝对的安全，CPU 结构越是复杂就越是容易出错。如果出现运行错误，内部网络就会不稳，轻则消息外泄，重则甚至整个防御系统都会彻底崩溃。通常终端违规连接、网络信息内外交流和媒体交叉利用是内网信息泄漏的重要途径。

2.2 “黑客”攻击

Windows 从诞生之初就与各种漏洞紧密相连，并且随着时间的流逝，将会有更多的漏洞被发现并被利用，有些罪犯会利用这个漏洞，进行非法的行为，如在受害者的计算机上安装“黑客”软件，然后盗取密码、密码之类的东西，从而让计算机瘫痪。由于其高度隐蔽性，网络“黑客”是最大的威胁，可以利用自己的计算机上的特定程序，来控制别人的计算机，从而获取自己的信息。

2.3 病毒入侵

计算机病毒作为一种可以损伤计算机并且破坏其系统、具有自我复制能力的代码或者程序，计算机一旦遭受到病毒的入侵，其就会潜伏在计算机中，时时刻刻影响着计算机系统的正常运行。一般条件下，病毒在侵害计算机期间，何可可以在自身计算机上采取特定的程序对其进行控制，进而对他人计算机进行远程控制，查看关键信息。一般的计算机病毒会以邮件或者是软件为载体，贸然使用或者下载很容易使计算机感染上病毒。

3 构建计算机网络安全防护体系的关键技术

3.1 漏洞补丁与系统漏洞扫描技术

从根本上说，计算机系统本身就是一个庞大而复杂的程序，一旦程序与网路有了联系，程序本身的缺点一旦被恶意使用，就会演变为计算机风险，此时就有有可能被木马、病毒等入侵或者是遭受黑客攻击。根据漏洞的大小对计算机造成的伤害程度也不尽相同，一般情况下，大的漏洞可以被及时发现并修补，但小漏洞数量很多，而且很难被发现，要想找到需要花费大量的时间和精力。

漏洞扫描技术是一种自动扫描、发现和修复技术，主要是为了防止计算机系统出现漏洞，通过对系统的定期扫描来保证系统的稳定性和安全性，防止计算机受到攻击和伤害。一旦发现漏洞就必须修复，确保不会再被人利用。

3.2 防火墙技术

目前这种防火墙技术有地址转换、代理防火墙、过滤防火墙等几种方式，其作用就是切断网络的危险传播，将使用者的计算机隔离，从而保证计算机的安全，是内外网通信中最重要的一种控制存取技术。利用防火墙技术可以根据使用者的要求，为不同的外部网络提供不同的安全保护级别和策略。用户是否可以进行数据通讯，如果发现了敏感的信息，就会自动组织程序的执行，从而干扰数据的传送，实现对计算机网络的安全保护。

3.3 入侵检测技术

入侵检测技术是一种主动防御技术，其可以用于各种技术开发的或与当前网络环境相适应的安全规范，并能根据这些规律对用户从网络中获得的数据进行相关分析，从而实现对网络工作状况的监测，最后确定网络中有没有安全隐患。同时这一功能的作用在于，当系统所保护的资料处于解密状态时，可以自动切断现有的网络连接，从而保证加密系统中的加密保护区的资料不会遭到恶意的攻击和盗用。

3.4 计算机网络管理技术

计算机网络管理技术并非针对的是用户电脑所进行的安全防护技术工作，其是一种应用于计算机网络的管理技术。网络管理技术可以提高信息交换、数据传输的标准化、安全，提高对突发事件的跟踪和分析能力。最常用的就是身份验证技术，可以确保用户的每一次网络行为都会被服务器所记录和监视，从而及时的发现和制止黑客的非法行为，从而防止和阻断病毒的蔓延。一般有效的办法是采用“计算机域”的管理技术，使得该领域能够对网络中的电脑进行严密的控制，从而避免了对系统的最高权限的滥用。

3.5 数据加密与签名技术

数据加密和数字签名技术在目前的计算机网络安全防护中起到的效果相似，都是一种加密文件信息后在网络中传播与交流的一种防护技术。这中技术可以有效避免和控制信息在传输期间被截取或者恶意篡改所带来的危害，如果数据进行加密，很难被破坏，在一定程度上保障了信息的安全性。

4 构建计算机网络安全防护体系的主要策略

4.1 加强防护技术与管理人员的教育与培训

提升技术人员与管理人员的综合素质是保障计算机网络被安全防护的重要基础，因此需要加强对计算机防护技术人员和计算机网络系统的相关管理人员的安全教育和培训，提升个人的防护意识，减少计算机网络遭受病毒入侵的概率。

对于管理人员而言，需要对其进行定期培训，包含管理人员的综合素质和安全意识，进而实现安全管理体系的建立。且对于安全教育培训的内容和方法来讲，还可借鉴国外一些先进安全管理的经验来提升管理水平，也可通过视频来借鉴国内外有效安全防护管理的经典案例，使工作人员汲取教训，并明确相关危险因素出现的原因，提出关键防范措施，以此来警醒所有工作人员。

4.2 采取先进的技术手段

基于上文分析，目前计算机网络安全防护所保护的技术手段数量较多，因此如何去选择先进的技术手段来保障计算机网络安全是目前所需关注的重点。目前我国在计算机网络安全方面的管理方法和手段相比于西方发达国家还存在一定的差距，所以国家需要积极引进西方先进的防护手段和技术设备，将西方先进的科技成果和理论成果应用到我们的计算机安全技术中去，实现计算机应用网络安全防护体系的快速构建。