曲濱鵬 繆佳 朱麗娜 曲超毅

（1.山東醫(yī)學(xué)高等專科學(xué)校 山東省濟(jì)南市 250100 2.山東大學(xué)齊魯醫(yī)院 山東省濟(jì)南市 250012）（3.中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司濟(jì)南市分公司 山東省濟(jì)南市 250012）

云計(jì)算、大數(shù)據(jù)技術(shù)的出現(xiàn)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)有重大的影響，顯著的提高了計(jì)算機(jī)系統(tǒng)運(yùn)行的效率，但是當(dāng)下必須意識(shí)到計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全問題，防止數(shù)據(jù)在系統(tǒng)傳輸期間出現(xiàn)遺失、篡改等問題，需要提高計(jì)算機(jī)信息處理與安全防護(hù)的水平，了解信息技術(shù)使用需求，采用科學(xué)的方式進(jìn)行維護(hù)。在信息技術(shù)高速發(fā)展下，根據(jù)計(jì)算機(jī)信息安全防護(hù)要求，積極的開發(fā)新型安全防護(hù)技術(shù)，提高計(jì)算機(jī)系統(tǒng)在運(yùn)行過程中的可靠性、安全性，借此提高信息技術(shù)的利用率。本文以高新區(qū)開發(fā)區(qū)智慧園區(qū)信息安全體系構(gòu)建項(xiàng)目為例，分析計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)工作的開展方法。

1 安全技術(shù)體系

1.1 網(wǎng)絡(luò)安全方案

1.1.1 訪問控制

網(wǎng)絡(luò)安全方案通過防火墻設(shè)備，完成網(wǎng)絡(luò)訪問控制的安全防護(hù)工作。對(duì)訪問模塊進(jìn)行常規(guī)設(shè)計(jì)，根據(jù)訪問控制規(guī)則，確定是否允許IP 包通過，通過防火墻防止非授權(quán)用戶傳輸IP 包。

1.1.1.1 實(shí)施策略

采用專門的防火墻或是在路由器設(shè)置訪問控制列表，前者可以通過防火墻完成數(shù)據(jù)隔離與子網(wǎng)訪問控制的目；后者利用訪問控制列表，隔離子網(wǎng)數(shù)據(jù)與訪問控制。訪問控制安全性是防火墻防控設(shè)置必須考慮的內(nèi)容，保證骨干網(wǎng)構(gòu)建安全且配置方式簡(jiǎn)單的訪問控制，在路由器的連接下實(shí)現(xiàn)訪問控制，對(duì)訪問安全性要求高的子網(wǎng)，利用路由器完成訪問控制列表設(shè)計(jì)，該列表的設(shè)計(jì)方式較為復(fù)雜，會(huì)在一定程度上影響到路由器傳輸表現(xiàn)，所以盡可能使用防火墻安全設(shè)置的方式，選擇包過濾型。此種方法可以提高數(shù)據(jù)傳輸?shù)目煽啃浴踩?，同時(shí)數(shù)據(jù)傳輸?shù)乃俣纫膊粫?huì)受到太大的影響。防火墻考慮到用戶網(wǎng)絡(luò)安全，所以在設(shè)計(jì)時(shí)選擇代理型防火墻，從而可以節(jié)省公共IP。

基本要求：安全技術(shù)體系網(wǎng)絡(luò)安全方案設(shè)計(jì)，在沒有特殊原因的前提下關(guān)閉IP 定向傳播，關(guān)閉不需要的服務(wù)，如echo、finger 等，關(guān)閉IP 源路由功能；對(duì)于非特殊需要的情況，一般不會(huì)使用路由器中的HTTP 服務(wù)。如果需要SNMP 應(yīng)該盡可能使用版本2 以上的管理協(xié)議，如果情況特殊只能使用SNMP 版本1 的管理協(xié)議，必須對(duì)訪問地址完成條件設(shè)置；防火墻配置需要構(gòu)建內(nèi)容完整的文檔，保存防火墻的日志內(nèi)容，防火墻檢測(cè)過程中在日志服務(wù)器中完成備份操；對(duì)重要的日志每天進(jìn)行檢測(cè)，通過internet 訪問的用戶使用認(rèn)證機(jī)制，采取挑戰(zhàn)應(yīng)答、一次性密碼等方式，提高網(wǎng)絡(luò)防護(hù)水平。

1.1.1.2 網(wǎng)絡(luò)接入點(diǎn)

基本要求：按照國(guó)家端口號(hào)、IP 地址過濾信息，過濾主干網(wǎng)絡(luò)設(shè)備擁有管理功能，系統(tǒng)擁有實(shí)時(shí)監(jiān)控與流量控制的能力，可以完成較低或較高性能的延遲處理，滿足高帶寬的要求，系統(tǒng)可以對(duì)指定地址完成流量監(jiān)控，記錄流量的傳輸信息。發(fā)現(xiàn)網(wǎng)絡(luò)入侵安全問題，保護(hù)用戶的信息，對(duì)有害站點(diǎn)進(jìn)行訪問控制，按照設(shè)定的流程過濾有害信息。

1.1.2 認(rèn)證系統(tǒng)

提高信息傳輸與通信的完整性，使用AAA 機(jī)制，限制非法訪問，確認(rèn)用戶身份，保證用戶身份信息的合法性、真實(shí)性。在用戶使用網(wǎng)絡(luò)資源時(shí)，完成對(duì)用戶網(wǎng)絡(luò)資源的訪問，信息訪問行為的記錄，以便后期進(jìn)行事件追溯與審計(jì)工作。

管理員根據(jù)主干網(wǎng)絡(luò)運(yùn)行，對(duì)連接網(wǎng)絡(luò)的每個(gè)路由器進(jìn)行設(shè)置，對(duì)不同的管理員設(shè)置不同的用戶名。路由器使用動(dòng)態(tài)路由協(xié)議，在支持認(rèn)證的條件下激活認(rèn)證機(jī)制。采用一次性口令與集中認(rèn)證方式。

1.1.3 日志

分析日志信息，定期進(jìn)行信息分析工作，及時(shí)發(fā)現(xiàn)系統(tǒng)存在的安全漏洞，如果因?yàn)榘踩呗月┒磳?dǎo)致系統(tǒng)發(fā)生安全故障，可以利用日志完成試卷追溯與分析，快速發(fā)現(xiàn)安全漏洞的位置并找到責(zé)任人。網(wǎng)絡(luò)設(shè)備使用過程中會(huì)產(chǎn)生流量，為完成網(wǎng)絡(luò)安全保護(hù)工作，將網(wǎng)絡(luò)設(shè)備的日志傳輸?shù)饺罩痉?wù)器內(nèi)，處理日志內(nèi)容，序列化網(wǎng)絡(luò)事件，對(duì)日志服務(wù)器進(jìn)行定期審計(jì)，查看網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況。除此之外，還可以通過日志信息的整理、分析，判斷網(wǎng)絡(luò)設(shè)備是否遭受攻擊，查詢管理人員操作記錄，分析用戶行為，完成攻擊防護(hù)任務(wù)[1]。

1.1.4 入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)完成對(duì)流經(jīng)數(shù)據(jù)包的分析，在數(shù)據(jù)分析期間過濾操作數(shù)據(jù)包與含有攻擊指令的數(shù)據(jù)包。作為安全系統(tǒng)的重要內(nèi)容，提高網(wǎng)絡(luò)防攻擊的能力，提高網(wǎng)絡(luò)運(yùn)行安全程度，提供對(duì)外部攻擊、內(nèi)部攻擊、誤操作的檢測(cè)服務(wù)。使用智能檢測(cè)算法對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行高效分析，配置過濾規(guī)則知識(shí)庫，檢測(cè)通過系統(tǒng)的信息包，保障網(wǎng)絡(luò)通訊不受外界因素干擾。防止用戶非法操作影響系統(tǒng)運(yùn)行的安全性，還可以阻擋黑客攻擊行為。入侵檢測(cè)系統(tǒng)可以使管理人員快速掌握網(wǎng)絡(luò)系統(tǒng)現(xiàn)在設(shè)備、文件、程序等信息的變更情，還可以根據(jù)安全需求、系統(tǒng)構(gòu)造、網(wǎng)絡(luò)威脅的改變而變化，結(jié)合網(wǎng)絡(luò)安全策略編制使用說明，在發(fā)現(xiàn)網(wǎng)絡(luò)遭到攻擊后，入侵檢測(cè)系統(tǒng)快速作出反應(yīng)，比如完成報(bào)警、切斷網(wǎng)絡(luò)連接、在網(wǎng)絡(luò)運(yùn)行期間記錄事件等。

入侵檢測(cè)系統(tǒng)分為基于知識(shí)與基于規(guī)則兩大類別，基于規(guī)則入侵檢測(cè)試分析已知攻擊特征，收集網(wǎng)絡(luò)數(shù)據(jù)，快速分析攻擊類別，提高攻擊類別分析效率。但是入侵檢測(cè)系統(tǒng)只能對(duì)已知攻擊進(jìn)行高效識(shí)別，入侵檢測(cè)系統(tǒng)在主機(jī)運(yùn)行中完成截取網(wǎng)絡(luò)流量、監(jiān)聽網(wǎng)絡(luò)流量等工作[2]。

基本要求：對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢索判斷，快速發(fā)現(xiàn)已知網(wǎng)絡(luò)攻擊行為；攻擊行為尚未到達(dá)目標(biāo)主機(jī)便可以通過快速識(shí)別、精準(zhǔn)判斷，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為，追尋發(fā)起網(wǎng)絡(luò)攻擊的IP 地址，確定攻擊類型、攻擊發(fā)起時(shí)間等信息；使用蜂鳴器指示燈等設(shè)備發(fā)送預(yù)警信號(hào)，使網(wǎng)絡(luò)管理人員可以快速發(fā)現(xiàn)攻擊行為[3]。

1.1.5 安全加密

1.1.5.1 虛擬專用網(wǎng)

公用網(wǎng)絡(luò)平臺(tái)使用加密IP 隧道，完成私有IP 包的傳輸工作，利用互聯(lián)網(wǎng)絡(luò)的邏輯網(wǎng)絡(luò)傳輸IP 包。虛擬專用網(wǎng)任意節(jié)點(diǎn)的連接方式，沒有采用傳統(tǒng)專網(wǎng)端對(duì)端的聯(lián)絡(luò)方法，使用加密IP 隧道，利用邏輯網(wǎng)絡(luò)提高IP 包傳輸?shù)陌踩裕脩魯?shù)據(jù)在邏輯鏈路中完成不同局域網(wǎng)數(shù)據(jù)的傳輸工作，使專用網(wǎng)絡(luò)的功能與安全得到保障[4]。

1.1.5.2 遠(yuǎn)程登錄SSH

SSH 通信系統(tǒng)在保密數(shù)據(jù)與防止竊聽者泄露密碼的前提下，保證IP、TCP 的FTP 與Telnet 安全連接，使遠(yuǎn)程辦公人員或遠(yuǎn)距離系統(tǒng)管理人員可以訪問公司網(wǎng)絡(luò)資源。

被管理設(shè)備與客戶管理主機(jī)在SSH 通信信道上完成密碼加密、遠(yuǎn)程用戶名登錄，保證遠(yuǎn)程登錄的可靠性、安全性，防止信息在管理過程中出現(xiàn)篡改、盜取等情況，提高管理信息的可用性、完整性[5]。

1.2 云計(jì)算安全方案

1.2.1 設(shè)計(jì)原則

云計(jì)算安全方案按照項(xiàng)目所在區(qū)域（高新區(qū)智慧園區(qū)）對(duì)網(wǎng)絡(luò)安全攻擊的安全目標(biāo)、安全需求進(jìn)行分析，確定安全機(jī)制所需的安全服務(wù)要素，掌握ISO17799、SSE-CMM 等國(guó)際標(biāo)準(zhǔn)，從可管理性、可實(shí)施性、可擴(kuò)展性、系統(tǒng)均衡性、綜合完備性等方面進(jìn)行考量，在此基礎(chǔ)上模擬系統(tǒng)安全，關(guān)注網(wǎng)絡(luò)隔離技術(shù)、物理安全、應(yīng)用層面安全、加密與認(rèn)證、網(wǎng)絡(luò)反病毒等內(nèi)容，這是云計(jì)算安全方案設(shè)計(jì)必須考慮的內(nèi)容，也是信息安全方案技術(shù)實(shí)現(xiàn)的關(guān)鍵[6]。

1.2.2 云安全總體架構(gòu)

云安全總體架構(gòu)從應(yīng)用、技術(shù)、監(jiān)管、服務(wù)等多個(gè)層面出發(fā)，考慮到計(jì)算環(huán)境與數(shù)據(jù)分離引發(fā)的安全問題，綜合各方面因素重新確定云計(jì)算安全需求，在此基礎(chǔ)上建立政務(wù)云計(jì)算安全架構(gòu)，信息基礎(chǔ)設(shè)施以云為基礎(chǔ)，可以提高系統(tǒng)運(yùn)行的安全程度。云計(jì)算環(huán)境體系構(gòu)架參考國(guó)內(nèi)外標(biāo)準(zhǔn)，建立縱深防御、動(dòng)態(tài)自適應(yīng)的云計(jì)算安全體系（如圖1所示）。

1.2.3 云安全技術(shù)體系

1.2.3.1 虛擬化管理器安全控制

虛擬化安全涵蓋虛擬機(jī)、虛擬機(jī)監(jiān)控器、虛擬機(jī)通信、虛擬機(jī)鏡像管理、虛擬機(jī)動(dòng)態(tài)遷移、虛擬機(jī)安全隔離、虛擬機(jī)鏡像完整性等內(nèi)容。虛擬安全在設(shè)計(jì)過程中從系統(tǒng)層面出發(fā)，考慮解決虛擬化安全問題的方法，安設(shè)強(qiáng)身份認(rèn)證、安全加固控制、擬化可信啟動(dòng)等模塊，虛擬化管理其安全控制的實(shí)現(xiàn)依賴虛擬機(jī)自省機(jī)制與各虛擬化接口庫[7]。

1.2.3.2 虛擬化強(qiáng)身份認(rèn)證

用戶在虛擬環(huán)境下的安全是虛擬化防護(hù)系統(tǒng)設(shè)計(jì)的重點(diǎn)考量要素，在此基礎(chǔ)上設(shè)計(jì)虛擬化防護(hù)系統(tǒng)設(shè)計(jì)，完成用戶管理與特權(quán)用戶權(quán)限分散管理。按照不同云服務(wù)所屬的用戶組、用戶層次、權(quán)限進(jìn)行類別劃分，為不同類別客戶推送其需要的服務(wù)，考慮不同客戶對(duì)網(wǎng)絡(luò)安全級(jí)別的需求，提供用戶管理模塊，為不同用戶推送不同的安全服務(wù)，服務(wù)含有統(tǒng)一的訪問控制、身份認(rèn)證、用戶行為審計(jì)等[8]。

2 計(jì)算機(jī)信息安全保護(hù)使用的方法

計(jì)算機(jī)信息處理系統(tǒng)在應(yīng)用過程中必須合理的使用安全保護(hù)措施，以提高技術(shù)應(yīng)用過程中的安全性、可靠性。目前，我國(guó)在計(jì)算機(jī)信息安全方面發(fā)展迅猛，出現(xiàn)了多種安全保護(hù)方案，下面進(jìn)行詳細(xì)的介紹。

2.1 訪問控制與安全認(rèn)證技術(shù)

訪問控制與安全認(rèn)證技術(shù)在計(jì)算機(jī)安全防護(hù)方面應(yīng)用廣泛，訪問控制技術(shù)通過訪問文件權(quán)限與目錄，完成身份鑒別，在登錄身份認(rèn)證信息方式下，加強(qiáng)系統(tǒng)平臺(tái)操作人員信息的安全性，強(qiáng)制訪問控制、自主訪問控制、角色訪問控制在用戶信息保護(hù)方面應(yīng)用頻繁。安全認(rèn)證技術(shù)需要數(shù)字簽名與數(shù)字口令兩種技術(shù)相互配合，在信息安全認(rèn)證時(shí)采用消息認(rèn)證與身份認(rèn)證兩種形式，依次完成計(jì)算機(jī)信息技術(shù)安全保護(hù)工作。智能卡認(rèn)證、口令認(rèn)證、生物技術(shù)認(rèn)證、面部識(shí)別均是身份認(rèn)證技術(shù)的內(nèi)容，可以提高計(jì)算機(jī)信息系統(tǒng)在運(yùn)行過程中的安全程度[9]。

2.2 入侵安全檢測(cè)技術(shù)與防火墻技術(shù)

這兩項(xiàng)技術(shù)是計(jì)算機(jī)信息處理系統(tǒng)常用的保護(hù)方式，其中入侵安全檢測(cè)技術(shù)對(duì)網(wǎng)絡(luò)信息與病毒庫中的信息進(jìn)行識(shí)別防御，和防火墻被動(dòng)防御方式不同，屬于主動(dòng)防御的技術(shù)，入侵安全檢測(cè)技術(shù)完成數(shù)據(jù)的比對(duì)、分析，發(fā)現(xiàn)異常信息后自動(dòng)觸發(fā)機(jī)制，完成病毒抵御、攔截、殺毒等工作，保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)。入侵檢測(cè)、安全檢測(cè)、高級(jí)檢測(cè)均是入侵檢測(cè)技術(shù)的主要方式。防火墻技術(shù)利用代理技術(shù)、數(shù)據(jù)管理、技術(shù)數(shù)據(jù)、檢測(cè)技術(shù)來提高系統(tǒng)網(wǎng)絡(luò)的安全系數(shù)，防止非法用戶采用技術(shù)手段強(qiáng)行登錄網(wǎng)絡(luò)，阻止外部病毒對(duì)系統(tǒng)網(wǎng)絡(luò)的侵害，提高網(wǎng)絡(luò)抵抗病毒攻擊的能力，保證計(jì)算機(jī)網(wǎng)絡(luò)的安全性，讓計(jì)算機(jī)信息處理系統(tǒng)可以高效、安全的處理信息，滿足系統(tǒng)使用需求。數(shù)據(jù)加密技術(shù)是用戶提高計(jì)算機(jī)信息處理安全性的常用技術(shù)，在信息傳輸、整理的過程中，利用數(shù)據(jù)加密處理能夠提高信息傳輸?shù)陌踩訹10]。

2.3 非對(duì)稱加密數(shù)據(jù)與對(duì)稱加密的技術(shù)

非對(duì)稱加密數(shù)據(jù)與對(duì)稱加密的技術(shù)是網(wǎng)絡(luò)數(shù)據(jù)安全管理的常用方式，根據(jù)實(shí)際需要形成面向網(wǎng)絡(luò)與面向應(yīng)用服務(wù)的數(shù)據(jù)加密形式。其中，面向網(wǎng)絡(luò)加密技術(shù)應(yīng)用在傳輸層、網(wǎng)絡(luò)層、數(shù)據(jù)加密等領(lǐng)域。比如，在遠(yuǎn)程登錄系統(tǒng)中應(yīng)用數(shù)據(jù)加密處理，提高系統(tǒng)運(yùn)行的安全性。網(wǎng)絡(luò)安全巡檢系統(tǒng)，其應(yīng)用在論壇、博客等個(gè)人信息服務(wù)網(wǎng)站中，可以提高系統(tǒng)安全程度，防止用戶在頁面瀏覽的同時(shí)，泄漏個(gè)人信息。機(jī)器排查與人工排查是中型網(wǎng)站開展信息查詢工作的主要手段，在云計(jì)算、大數(shù)據(jù)與物聯(lián)網(wǎng)等技術(shù)輔助下形成安全巡檢保障機(jī)制，可以提高傳統(tǒng)網(wǎng)絡(luò)安全巡檢系統(tǒng)的保全保障能力，應(yīng)用在多種信息服務(wù)網(wǎng)站中，快速發(fā)現(xiàn)個(gè)人數(shù)據(jù)安全巡檢存在的問題，識(shí)別病毒與垃圾信息，在多種技術(shù)支撐下?lián)碛兄悄芑謴?fù)信息的功能，提高網(wǎng)絡(luò)安全巡檢工作的效率與效果。

3 結(jié)語

在信息技術(shù)高速發(fā)展的背景下，計(jì)算機(jī)信息技術(shù)與信息安全成為我們必須高度重視的內(nèi)容，為提高計(jì)算機(jī)信息技術(shù)與信息安全方面的工作效果，需要建立系統(tǒng)、完整的安全防護(hù)體系，結(jié)合具體數(shù)據(jù)完成計(jì)算機(jī)數(shù)據(jù)保護(hù)工作，積極的開發(fā)計(jì)算機(jī)安全防護(hù)技術(shù)，優(yōu)化計(jì)算機(jī)管理系統(tǒng)，保證計(jì)算機(jī)信息處理技術(shù)擁有良好的工作效果，推動(dòng)計(jì)算機(jī)行業(yè)的發(fā)展。