成都市消防救援支隊(duì) 付圣

現(xiàn)階段，我國(guó)網(wǎng)絡(luò)平臺(tái)使用越加規(guī)范，網(wǎng)絡(luò)數(shù)據(jù)安全問(wèn)題也受到人們的重視，數(shù)據(jù)潛在價(jià)值被發(fā)現(xiàn)，但就目前的情況分析，我國(guó)數(shù)據(jù)安全管理存在較多問(wèn)題，因此依據(jù)我國(guó)當(dāng)前的網(wǎng)絡(luò)環(huán)境，數(shù)據(jù)發(fā)展特征，如何提高網(wǎng)絡(luò)安全性成為討論重點(diǎn)。本文通過(guò)對(duì)于網(wǎng)絡(luò)安全防護(hù)的需求進(jìn)行闡述，分析網(wǎng)絡(luò)安全存在的風(fēng)險(xiǎn)問(wèn)題，研究了基于防火墻的網(wǎng)絡(luò)安全技術(shù)，以及計(jì)算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)的應(yīng)用，以供參考。

當(dāng)前我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)呈現(xiàn)高速發(fā)展趨勢(shì)，數(shù)據(jù)庫(kù)規(guī)模也在不斷地?cái)U(kuò)大，信息增長(zhǎng)顯著。在當(dāng)前時(shí)代信息的發(fā)展背景下，網(wǎng)絡(luò)安全成為人們的關(guān)注重點(diǎn)。通過(guò)使用網(wǎng)絡(luò)平臺(tái)，能夠突破時(shí)空限制，用戶可隨時(shí)隨地獲取其所需的相關(guān)資源。但在傳統(tǒng)的IT架構(gòu)之中，企業(yè)可能會(huì)為保障硬件以及操作系統(tǒng)能夠順利運(yùn)行，投入大量資金與人力，因此目前企業(yè)會(huì)利用網(wǎng)絡(luò)平臺(tái)云計(jì)算系統(tǒng)進(jìn)行基礎(chǔ)性運(yùn)維。所以在網(wǎng)絡(luò)平臺(tái)中會(huì)存儲(chǔ)帶大量敏感性信息，一旦網(wǎng)絡(luò)安全出現(xiàn)問(wèn)題，信息泄漏，對(duì)企業(yè)會(huì)造成沉重打擊。

1 網(wǎng)絡(luò)安全防護(hù)的需求

1.1 國(guó)家管理的要求

就我國(guó)現(xiàn)階段的發(fā)展而言，加強(qiáng)通信網(wǎng)絡(luò)信息安全保護(hù)，對(duì)于保障我國(guó)國(guó)家安全，提升信息保護(hù)能力，保護(hù)國(guó)家公共利益具有重要意義。網(wǎng)絡(luò)安全平臺(tái)作為一種新興服務(wù)模式，應(yīng)嚴(yán)格遵循我國(guó)的相關(guān)信息安全保護(hù)要求[1]。

(1)用戶在進(jìn)入數(shù)據(jù)庫(kù)登錄時(shí)，應(yīng)重視用戶身份鑒別問(wèn)他，做好身份鑒別，避免非工作人員登錄；(2)對(duì)訪問(wèn)控制功能加強(qiáng)重視，依據(jù)國(guó)家相關(guān)安全策略，對(duì)用戶可訪問(wèn)的資源進(jìn)行嚴(yán)格把控；(3)部分國(guó)家重要信息數(shù)據(jù)，應(yīng)做好標(biāo)記處理，并加強(qiáng)對(duì)用戶訪問(wèn)能力的控制。當(dāng)用戶在訪問(wèn)相關(guān)重要信息時(shí)，應(yīng)做好監(jiān)督管理措施，避免出現(xiàn)信息泄漏問(wèn)題；(4)若部分用戶在進(jìn)行訪問(wèn)系統(tǒng)時(shí)，或相關(guān)重要數(shù)據(jù)出現(xiàn)異常情況，應(yīng)提高對(duì)其的審核，做好安全防控；(5)在傳輸會(huì)存儲(chǔ)相關(guān)重要數(shù)據(jù)信息時(shí)，應(yīng)加強(qiáng)重視，做好監(jiān)督管理工作。一旦傳輸或存儲(chǔ)過(guò)程出現(xiàn)破壞情況，應(yīng)及時(shí)選擇恢復(fù)，保障重要信息的完整度；(6)對(duì)于部分管理數(shù)據(jù)和相關(guān)重要數(shù)據(jù)，應(yīng)做好加密預(yù)防措施，保障其處于保密情況，不可隨意泄漏。

1.2 安全防護(hù)的需求

就目前的情況分析，傳統(tǒng)情況下數(shù)據(jù)庫(kù)所采取的安全防護(hù)措施已無(wú)法滿足相關(guān)網(wǎng)絡(luò)的實(shí)際需求，加之網(wǎng)絡(luò)平臺(tái)自身存在彈性及抽象性等特點(diǎn)，因此需對(duì)安全措施進(jìn)行更新，加大保護(hù)力度。

(1)對(duì)于網(wǎng)絡(luò)平臺(tái)的相關(guān)漏洞開(kāi)展防護(hù)性措施?，F(xiàn)階段，網(wǎng)絡(luò)平臺(tái)絕大多數(shù)為多租戶，常規(guī)轉(zhuǎn)臺(tái)下，通過(guò)數(shù)據(jù)來(lái)訪組建，便可對(duì)租戶的訪問(wèn)與信息存儲(chǔ)進(jìn)行隔離。但網(wǎng)絡(luò)平臺(tái)在實(shí)際開(kāi)展過(guò)程中，其自身存在一定的漏洞問(wèn)題，這便導(dǎo)致其較易出現(xiàn)外部攻擊等情況，導(dǎo)致租戶隔離措施出現(xiàn)問(wèn)題[2]。另外，對(duì)于網(wǎng)絡(luò)安全漏洞分析，部分已經(jīng)在CNNVD或CVE上公布的數(shù)據(jù)，或?qū)W(wǎng)絡(luò)平臺(tái)存在較大影響的數(shù)據(jù)，應(yīng)加強(qiáng)數(shù)據(jù)漏洞保護(hù)，避免出現(xiàn)數(shù)據(jù)泄露情況。例如，部分用戶可繞過(guò)身份驗(yàn)證，存儲(chǔ)或傳輸部分敏感性文件，且攻擊難度較低等[3]。(2)對(duì)外部SQL注入防護(hù)需求。網(wǎng)絡(luò)平臺(tái)其面向廣大用戶，因此會(huì)提供一定的數(shù)據(jù)讀寫、傳輸?shù)确?wù)。而在該情況下則會(huì)受到SQL的攻擊。外部攻擊的人會(huì)將Web作為跳板，通過(guò)使用Web的漏洞，完成SQL注入，從而對(duì)于普通用戶進(jìn)行提權(quán)，完成數(shù)據(jù)竊取或者非法登入的目的。(3)網(wǎng)絡(luò)平臺(tái)之中敏感信息管控的需求。對(duì)于一些涉及到敏感信息的數(shù)據(jù)庫(kù)運(yùn)行維護(hù)來(lái)說(shuō)，系統(tǒng)的維護(hù)工作人員、外包人員以及開(kāi)發(fā)人員都有直接訪問(wèn)數(shù)據(jù)庫(kù)的權(quán)利，一旦這些人員有意或者無(wú)意進(jìn)行高危操作，都有可能會(huì)導(dǎo)致數(shù)據(jù)出現(xiàn)破壞[4]。例如：大規(guī)模的刪除以及修改行為，具有高權(quán)限的工作人員違反規(guī)定對(duì)于敏感的數(shù)據(jù)進(jìn)行大量的導(dǎo)出等行為。

2 網(wǎng)絡(luò)安全存在的風(fēng)險(xiǎn)問(wèn)題

2.1 缺少有力的法律保護(hù)

在目前我國(guó)網(wǎng)絡(luò)技術(shù)發(fā)展速度較快的背景下，人們的日常生活以及工作都受到了大數(shù)據(jù)的影響。但是就當(dāng)前我國(guó)已有的法律分析，其存在一定的延后性，從而導(dǎo)致現(xiàn)階段并沒(méi)有具體的法律法規(guī)，對(duì)于大數(shù)據(jù)的使用安全進(jìn)行保護(hù)，特別是對(duì)于用戶個(gè)人數(shù)據(jù)信息方面，缺少一定的法律保護(hù)，也缺少對(duì)于數(shù)據(jù)搜索管理的法律。所以用戶的個(gè)人隱私無(wú)法得到充分的保障，使個(gè)人隱私出現(xiàn)問(wèn)題的概率不斷提高。

2.2 用戶的隱私保護(hù)存在問(wèn)題

在目前大數(shù)據(jù)的背景下，對(duì)于數(shù)據(jù)無(wú)法進(jìn)行正確的處理，便會(huì)導(dǎo)致用戶的隱私安全受到較大的影響。一般情況下，會(huì)選擇對(duì)于用戶的位置、標(biāo)識(shí)符號(hào)以及連接管三方面，對(duì)于用戶的隱私進(jìn)行保護(hù)。但是站在大數(shù)據(jù)的角度，個(gè)人隱私安全處理存在隱私外泄額情況外，還有對(duì)于用戶日常行為的隱私分析以及預(yù)測(cè)[5]。如果目前使用匿名形式，將用戶的隱私情況進(jìn)行表示，可以起到一定的隱私保護(hù)作用，但是由于目前在對(duì)于用戶隱私數(shù)據(jù)收集、管理以及存儲(chǔ)等方面，都存在監(jiān)督不足的情況，因此對(duì)于用戶的隱私目前保護(hù)效果無(wú)法達(dá)到預(yù)期的效果。

3 基于防火墻的網(wǎng)絡(luò)安全技術(shù)

在當(dāng)前較為權(quán)威的公司的程序防御中心，對(duì)于數(shù)據(jù)庫(kù)規(guī)定了十大安全威脅，所以數(shù)據(jù)庫(kù)應(yīng)該制定綜合性的解決方案[6]。根科學(xué)研究，不難看出，通過(guò)使用網(wǎng)絡(luò)層數(shù)據(jù)庫(kù)訪問(wèn)協(xié)議解析以及控制的技術(shù)，便可以將大約70%左右的安全問(wèn)題進(jìn)行解決，而在這之中便有數(shù)據(jù)庫(kù)防火墻技術(shù)。數(shù)據(jù)庫(kù)防火墻技術(shù)是以主動(dòng)防御機(jī)制為前提，通過(guò)對(duì)于數(shù)據(jù)庫(kù)訪問(wèn)的行為進(jìn)行控制，在出現(xiàn)危險(xiǎn)操作行為的時(shí)候進(jìn)行阻斷，在數(shù)據(jù)庫(kù)出現(xiàn)安全威脅的時(shí)候，主要是利用第三方來(lái)進(jìn)行相應(yīng)的解決[7]。(1)需要防止進(jìn)行數(shù)據(jù)庫(kù)漏洞的攻擊，通過(guò)使用虛擬補(bǔ)丁技術(shù)，在數(shù)據(jù)庫(kù)沒(méi)有進(jìn)行補(bǔ)丁的狀態(tài)下，避免出現(xiàn)漏洞攻擊。(2)為了防止數(shù)據(jù)庫(kù)出現(xiàn)SQL注入，可以通過(guò)學(xué)習(xí)期以及學(xué)習(xí)完善期等適應(yīng)過(guò)程，構(gòu)建符合程序規(guī)定的行為模型，從而對(duì)于SQL注入數(shù)據(jù)庫(kù)進(jìn)行防護(hù)。(3)對(duì)于數(shù)據(jù)庫(kù)進(jìn)行相應(yīng)的運(yùn)維管理，通過(guò)使用黑名單機(jī)制，防止出現(xiàn)對(duì)于數(shù)據(jù)庫(kù)進(jìn)行惡意的操作。

3.1 包過(guò)濾性防火墻

該種防火墻其主要特點(diǎn)與名稱具備一致性，即具有較佳的過(guò)濾性。在OSI參考模型之中的網(wǎng)絡(luò)和傳輸層之中，利用包裹履性防火墻，可以將各類不良信息進(jìn)行有效過(guò)濾，從而保障網(wǎng)絡(luò)的安全性。目前過(guò)濾路由器在運(yùn)行時(shí)，會(huì)進(jìn)行部分過(guò)濾條件設(shè)置，例如協(xié)議類型、端口號(hào)等條件。相關(guān)信息只有滿足過(guò)濾條件之后，才可進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)；在未通過(guò)時(shí)，相關(guān)數(shù)據(jù)包便會(huì)丟失。在開(kāi)展過(guò)程中，該類防火墻的主要優(yōu)勢(shì)便是工作更加透明化，且實(shí)施速度快，工作效率更高。但也存在一定缺點(diǎn)，即在采取該類防火墻后，其并不支持應(yīng)用層協(xié)議，因此對(duì)于黑客攻擊等安全威脅，缺少相應(yīng)的抵御能力。

3.2 應(yīng)用型防火墻

應(yīng)用型防火墻主要是在進(jìn)行OSI參考模型之中的應(yīng)用層運(yùn)行。所以該類防火墻在組織網(wǎng)絡(luò)通信流的同時(shí)，具有實(shí)施監(jiān)控的能力，效果較佳。在使用該類防火墻時(shí)，優(yōu)勢(shì)較為顯著，安全性較高，網(wǎng)絡(luò)安全有較好的保障。但也存在一定缺點(diǎn)，即該類防火墻可能會(huì)對(duì)系統(tǒng)性能造成一定的影響，導(dǎo)致管理工作較為復(fù)雜。

3.3 NAT型防火墻

NAT防火墻在使用過(guò)程中，其可以轉(zhuǎn)化IP地址，生成隨機(jī)臨時(shí)IP地址。因此當(dāng)內(nèi)部網(wǎng)絡(luò)需要進(jìn)行外部網(wǎng)絡(luò)訪問(wèn)時(shí)，在經(jīng)過(guò)安全網(wǎng)卡時(shí)，NAT防火墻便會(huì)偽裝源地址以及端口，將其轉(zhuǎn)變?yōu)榱夹酝獠烤W(wǎng)絡(luò)。但是若經(jīng)過(guò)的為非安全性網(wǎng)卡，網(wǎng)絡(luò)訪問(wèn)便會(huì)轉(zhuǎn)變?yōu)橐粋€(gè)開(kāi)放性IP，與端口實(shí)施連接。因此不難發(fā)現(xiàn)，防火墻可以利用所預(yù)設(shè)好的映射規(guī)則，對(duì)訪問(wèn)安全性進(jìn)行相應(yīng)判斷。

3.4 狀態(tài)監(jiān)測(cè)型防火墻

狀態(tài)監(jiān)測(cè)型防火墻，其不僅具有較高的安全性，并且使用范圍更為廣泛，在實(shí)際使用中具有較高的使用效率。另外，該類防火墻具備較佳的可擴(kuò)展性與伸縮性。當(dāng)前在運(yùn)行該類防火墻時(shí)，其會(huì)將相連接的數(shù)據(jù)包作為整體性的數(shù)據(jù)流，因此可以有效辨別連接狀態(tài)表之中的狀態(tài)因素[8]。但需注意的是，在運(yùn)行該類防火墻時(shí)，隨具備較佳的安全性能，可同時(shí)會(huì)突出網(wǎng)絡(luò)連接的遲滯問(wèn)題。因此，當(dāng)前為保障網(wǎng)絡(luò)安全性問(wèn)題，在構(gòu)建計(jì)算機(jī)網(wǎng)絡(luò)安全體系的過(guò)程中，最關(guān)鍵環(huán)節(jié)就是進(jìn)行防火墻的設(shè)置，這同時(shí)也是保護(hù)計(jì)算機(jī)系統(tǒng)不受外來(lái)游客入侵的最常見(jiàn)、也是最為有效的防護(hù)手段。防火墻技術(shù)最突出的優(yōu)點(diǎn)在于：防御性高、實(shí)用性強(qiáng)，能夠阻止一切外來(lái)病毒的入侵。并且在計(jì)算機(jī)整體系統(tǒng)以及相關(guān)程序運(yùn)行的過(guò)程中，計(jì)算機(jī)現(xiàn)有狀態(tài)并不會(huì)因?yàn)榉阑饓Φ拇嬖诙艿礁淖?。?dāng)有外來(lái)游客非法訪問(wèn)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)時(shí)，防火墻在檢測(cè)到該行為后，就會(huì)自動(dòng)展開(kāi)防御。為使系統(tǒng)整體和訪問(wèn)程序的安全性得以保障，防火墻會(huì)有效識(shí)別訪客的IP地址[9]。若IP地址不屬于訪問(wèn)許可的范圍之內(nèi)，其會(huì)對(duì)不良信息的入侵進(jìn)行阻擋。同時(shí)，對(duì)于用戶所瀏覽或登錄的網(wǎng)頁(yè)網(wǎng)址，防火墻也會(huì)進(jìn)行仔細(xì)的過(guò)濾和篩選。若存在有較高危險(xiǎn)性的訪問(wèn)行為，防火墻將會(huì)一律屏蔽，不會(huì)給病毒提供可乘之機(jī)。在運(yùn)行計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的過(guò)程中，通常自身都具有安全防護(hù)系統(tǒng)，但如果受到木馬及病毒的供給，則計(jì)算機(jī)系統(tǒng)的安全性將無(wú)法得到保證。因此，在計(jì)算機(jī)網(wǎng)絡(luò)安全體系構(gòu)建中，相關(guān)殺毒軟件也是必須要安裝的。只有安裝了殺毒軟件，才能有效的查殺系統(tǒng)中所存在的各類病毒，進(jìn)而提供良好的環(huán)境，來(lái)確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行。

4 計(jì)算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)的應(yīng)用

4.1 計(jì)算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)的應(yīng)用優(yōu)勢(shì)

在計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用中，防火墻具有顯著優(yōu)勢(shì)，其主要表現(xiàn)在防護(hù)性方面。防火墻技術(shù)可以準(zhǔn)確識(shí)別網(wǎng)絡(luò)攻擊行為。計(jì)算機(jī)網(wǎng)絡(luò)在運(yùn)行時(shí)，其所面臨的安全威脅來(lái)源較為復(fù)雜，威脅種類也較為繁瑣。而采取防火墻技術(shù)后，其會(huì)不但根據(jù)網(wǎng)絡(luò)的運(yùn)行發(fā)展，進(jìn)行技術(shù)更新升級(jí)，可以主動(dòng)對(duì)攻擊方式進(jìn)行識(shí)別，并且分析判斷攻擊行為的屬性，因此能夠?qū)τ?jì)算機(jī)網(wǎng)絡(luò)安全進(jìn)行有效性防護(hù)。

4.2 防火墻技術(shù)可以對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行保護(hù)

目前在保障計(jì)算機(jī)網(wǎng)絡(luò)安全時(shí)，利用防火墻技術(shù)具有較為突出的保護(hù)效果，可以有效保護(hù)網(wǎng)絡(luò)系統(tǒng)安全問(wèn)題。黑客在對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行入侵時(shí)，其行為具備不確定性。因此同防火墻技術(shù)的實(shí)施運(yùn)行，可以及時(shí)發(fā)現(xiàn)外部攻擊性行為，從而在短時(shí)間內(nèi)進(jìn)行網(wǎng)絡(luò)系統(tǒng)保護(hù)。所以防火墻技術(shù)在運(yùn)行時(shí)，其在維持計(jì)算機(jī)網(wǎng)絡(luò)安全運(yùn)行的同時(shí)，還可以保障計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)整體運(yùn)行效率不會(huì)受到影響。

5 結(jié)語(yǔ)

隨著科技水平的發(fā)展，互聯(lián)網(wǎng)與我們的聯(lián)系日趨緊密，現(xiàn)在人們的日常生活都到處包含著互聯(lián)網(wǎng)技術(shù)?？萍甲哌M(jìn)生活，我們更要讓科技服務(wù)生活，在日趨多元的世界給經(jīng)濟(jì)安全帶來(lái)保障，給信息安全帶來(lái)保障。通過(guò)對(duì)于當(dāng)前我國(guó)網(wǎng)絡(luò)平臺(tái)發(fā)展的現(xiàn)狀以及網(wǎng)絡(luò)平臺(tái)的安全防護(hù)要求進(jìn)行分析，對(duì)于當(dāng)前在數(shù)據(jù)庫(kù)安全方面等級(jí)保護(hù)所規(guī)定的要求進(jìn)行研究，提出相應(yīng)網(wǎng)絡(luò)平臺(tái)的安全防護(hù)實(shí)施措施，重視防火墻建設(shè)，對(duì)于提高網(wǎng)絡(luò)平臺(tái)安全，以及加強(qiáng)網(wǎng)絡(luò)平臺(tái)安全建設(shè)起著十分重要的作用。