李超塵

引言

計算機(jī)網(wǎng)絡(luò)安全技術(shù)的發(fā)展與應(yīng)用對于保護(hù)互聯(lián)網(wǎng)應(yīng)用和用戶信息具有重要意義。然而，隨著網(wǎng)絡(luò)威脅的不斷演變和攻擊手段的不斷提升，網(wǎng)絡(luò)安全面臨著日益嚴(yán)峻的挑戰(zhàn)。因此，深入了解計算機(jī)網(wǎng)絡(luò)安全技術(shù)的影響因素，并采取有效的防范措施勢在必行。

一、計算機(jī)網(wǎng)絡(luò)安全技術(shù)存在的基本問題

（一）操作系統(tǒng)的脆弱性

網(wǎng)絡(luò)安全的脆弱性主要體現(xiàn)在實(shí)際部署中操作系統(tǒng)未能達(dá)到與數(shù)據(jù)庫管理系統(tǒng)（DBMS）安全級別一致的水平。盡管DBMS可能具有較高的安全級別（如B2級），但操作系統(tǒng)往往沒有跟上同樣的安全標(biāo)準(zhǔn)。這可能導(dǎo)致安全風(fēng)險的增加。

（二）協(xié)議安全的脆弱性

協(xié)議安全的脆弱性主要是因?yàn)榛赥CP/IP的服務(wù)存在一些安全缺陷。TCP/IP是Internet上數(shù)據(jù)傳輸?shù)幕A(chǔ)協(xié)議，而人們比較熟悉的服務(wù)如WWW、FTP、電子郵件等都是基于TCP/IP的。這些服務(wù)在設(shè)計和實(shí)現(xiàn)時往往沒有充分考慮安全性，導(dǎo)致存在各種程度的安全漏洞。

（三）應(yīng)用系統(tǒng)和軟件安全漏洞

沒有任何軟件是完全無缺陷和漏洞的。黑客通常將軟件安全漏洞作為攻擊的首選目標(biāo)，黑客利用這些漏洞來獲取非法訪問權(quán)限或者執(zhí)行惡意操作。黑客利用公開協(xié)議和工具，對網(wǎng)絡(luò)和子網(wǎng)進(jìn)行掃描，以發(fā)現(xiàn)存在系統(tǒng)安全缺陷的主機(jī)。一旦找到一個脆弱的目標(biāo)，可能會通過木馬程式（Trojan）等手段實(shí)施入侵。

二、針對計算機(jī)網(wǎng)絡(luò)安全技術(shù)問題的防范措施

（一）提升系統(tǒng)安全配置與網(wǎng)絡(luò)協(xié)議防護(hù)

首先，加強(qiáng)操作系統(tǒng)的安全配置和管理。對操作系統(tǒng)進(jìn)行嚴(yán)格的安全配置，關(guān)閉或禁用不必要的服務(wù)和功能，限制遠(yuǎn)程訪問權(quán)限，確保只有授權(quán)的用戶才能進(jìn)行操作。及時安裝操作系統(tǒng)提供的安全更新和補(bǔ)丁，修復(fù)已知的漏洞。

這些操作系統(tǒng)中的安全策略和認(rèn)證機(jī)制可以幫助管理員實(shí)施嚴(yán)格的安全策略，并限制對系統(tǒng)資源的訪問。這些功能可以防止未經(jīng)授權(quán)的訪問和活動，保護(hù)系統(tǒng)免受黑客攻擊和數(shù)據(jù)泄露的風(fēng)險。

其次，加強(qiáng)對網(wǎng)絡(luò)協(xié)議的安全性管理。使用安全的通信協(xié)議，如HTTPS替代HTTP，F(xiàn)TPS替代FTP，以加密通信內(nèi)容[1]。配置防火墻和入侵檢測系統(tǒng)（IDS）來監(jiān)控和過濾網(wǎng)絡(luò)流量，入侵檢測系統(tǒng)（IDS）是一種關(guān)鍵的網(wǎng)絡(luò)安全設(shè)備，用于監(jiān)視和識別可能的入侵行為。

通常，IDS可以分為主機(jī)型入侵檢測系統(tǒng)（HIDS）和網(wǎng)絡(luò)型入侵檢測系統(tǒng)（NIDS）。

主機(jī)型入侵檢測系統(tǒng)如圖1所示，主機(jī)型入侵檢測系統(tǒng)是一種部署在主機(jī)上的安全軟件，用于保護(hù)所在的系統(tǒng)免受入侵的威脅[2]。它主要以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，并可以通過其他手段，如監(jiān)督系統(tǒng)調(diào)用，從所在主機(jī)收集信息進(jìn)行分析。主機(jī)型入侵檢測系統(tǒng)可以識別未經(jīng)授權(quán)的訪問、異常的文件操作、惡意進(jìn)程等潛在的入侵行為。通過分析主機(jī)上的活動和行為，主機(jī)型IDS可以提供更詳細(xì)和準(zhǔn)確的入侵檢測，并提供對主機(jī)系統(tǒng)的保護(hù)。

圖1 主機(jī)型入侵檢測系統(tǒng)

網(wǎng)絡(luò)型入侵檢測系統(tǒng)則是部署在網(wǎng)絡(luò)中的設(shè)備，其數(shù)據(jù)源是網(wǎng)絡(luò)上的數(shù)據(jù)分組。網(wǎng)絡(luò)型入侵檢測系統(tǒng)如圖2所示[3]。通常，網(wǎng)絡(luò)型IDS會將一臺機(jī)器的網(wǎng)卡設(shè)為混雜模式（PromiscMode），以監(jiān)聽整個網(wǎng)段內(nèi)的數(shù)據(jù)分組，并對其進(jìn)行分析和判斷。網(wǎng)絡(luò)型IDS的工作重點(diǎn)在于監(jiān)視和保護(hù)整個網(wǎng)段，識別可能的入侵行為。它可以識別來自未經(jīng)授權(quán)的IP地址的連接、異常的網(wǎng)絡(luò)流量模式、惡意的網(wǎng)絡(luò)請求等潛在的入侵行為。網(wǎng)絡(luò)型IDS可以提供對整個網(wǎng)絡(luò)的安全保護(hù)，幫助防止未經(jīng)授權(quán)的訪問和攻擊。

圖2 網(wǎng)絡(luò)型入侵檢測系統(tǒng)

響應(yīng)單元是對事件分析結(jié)果作出響應(yīng)的組件。入侵檢測系統(tǒng)響應(yīng)單元基本原理如上圖3所示，根據(jù)事件分析器的結(jié)論和指令，響應(yīng)單元會采取相應(yīng)的措施，如發(fā)出警告通知、阻斷可疑的網(wǎng)絡(luò)連接或隔離受感染的主機(jī)，以保障計算環(huán)境的安全。

圖3 入侵檢測系統(tǒng)響應(yīng)單元基本原理

事件數(shù)據(jù)庫是存儲各種中間和最終數(shù)據(jù)的重要組件。該數(shù)據(jù)庫能夠存儲事件數(shù)據(jù)、結(jié)論、指令、日志、規(guī)則以及報告等。事件數(shù)據(jù)庫提供了數(shù)據(jù)查詢和分析的功能，支持對歷史數(shù)據(jù)進(jìn)行審計、統(tǒng)計和故障排查等，基于數(shù)據(jù)庫協(xié)議標(biāo)準(zhǔn)分析和SQL解析技術(shù)，詳細(xì)記錄用戶對數(shù)據(jù)庫進(jìn)行增刪改查、查詢、登錄等操作行為及返回結(jié)果，通過配置安全規(guī)則實(shí)現(xiàn)對危險操作的實(shí)時告警和事后追溯，從而達(dá)到保護(hù)數(shù)據(jù)庫安全的防護(hù)效果。

（二）加強(qiáng)傳輸層協(xié)議安全性

首先，配置和管理網(wǎng)絡(luò)中的防火墻和入侵檢測系統(tǒng)（IDS）。防火墻可以過濾和監(jiān)控網(wǎng)絡(luò)流量，減少可能的攻擊，設(shè)置有效規(guī)則，只允許特定IP或端口進(jìn)行訪問，并對惡意流量進(jìn)行阻止[4]。入侵檢測系統(tǒng)能夠?qū)崟r監(jiān)控網(wǎng)絡(luò)流量，發(fā)現(xiàn)和響應(yīng)潛在的攻擊行為，及時采取措施阻止攻擊行為的發(fā)生。

如上表1所示，區(qū)分了入站規(guī)則（針對流入網(wǎng)絡(luò)的數(shù)據(jù)）和出站規(guī)則（針對流出網(wǎng)絡(luò)的數(shù)據(jù)），還有攻擊檢測規(guī)則。入侵檢測系統(tǒng)會按照設(shè)置的規(guī)則進(jìn)行網(wǎng)絡(luò)流量監(jiān)控，并根據(jù)規(guī)則來判斷是允許還是阻止特定IP地址和端口號的訪問。例如，對于192.168.0.1和80端口的訪問，將被允許；但對于192.168.0.2和443端口的訪問，則會被阻止。出站規(guī)則也是類似的原理。在攻擊檢測規(guī)則中，使用通配符＊表示對所有IP地址和端口號的流量進(jìn)行阻止，以防止?jié)撛诘墓粜袨?。通過設(shè)置這樣的有效規(guī)則，并實(shí)時監(jiān)控網(wǎng)絡(luò)流量，入侵檢測系統(tǒng)可以發(fā)現(xiàn)潛在的攻擊行為并采取相應(yīng)的阻止措施，從而保護(hù)網(wǎng)絡(luò)安全。根據(jù)實(shí)際需求和環(huán)境，可以進(jìn)一步擴(kuò)展和配置規(guī)則表，以滿足特定的安全要求和網(wǎng)絡(luò)策略。

表1 入侵檢測系統(tǒng)的有效規(guī)則和對惡意流量的阻止措施

其次，加強(qiáng)應(yīng)用層協(xié)議的安全性。應(yīng)用層協(xié)議是基于TCP/IP的服務(wù)所依賴的協(xié)議，例如Web服務(wù)的HTTP協(xié)議、電子郵件服務(wù)的SMTP/POP3/IMAP協(xié)議等。在應(yīng)用層協(xié)議的設(shè)計和實(shí)現(xiàn)中，應(yīng)注重安全性的考慮。例如，在郵件服務(wù)中，可以啟用SSL/TLS來實(shí)現(xiàn)郵件內(nèi)容的加密傳輸。通過SSL/TLS協(xié)議，可以對發(fā)送的郵件進(jìn)行加密，確保只有合法的收件人能夠解密并查看郵件內(nèi)容。啟用SSL/TLS后，郵件的傳輸過程將被加密，從而防止敏感信息被惡意竊取。如下公式可用于表示啟用SSL/TLS后郵件傳輸過程的加密：

在公式中，郵件傳輸加密使用了SSL/TLS協(xié)議和公鑰基礎(chǔ)設(shè)施（PKI）來加密郵件傳輸過程。郵件客戶端與郵件服務(wù)器建立連接時，利用SSL/TLS協(xié)議，首先進(jìn)行握手過程，雙方互相驗(yàn)證身份并協(xié)商加密算法[5]。隨后，在傳輸數(shù)據(jù)過程中，郵件內(nèi)容將通過加密算法加密，并使用服務(wù)器的公鑰進(jìn)行加密。只有具備私鑰的服務(wù)器能夠解密并讀取郵件內(nèi)容。這樣即使敏感信息被惡意竊取，也無法被解密和獲取到明文。

例如，“HelloWorld!”這一郵件內(nèi)容，選擇了AES加密算法，并使用機(jī)器學(xué)習(xí)模型A生成了一個名為Key123的加密密鑰。通過傳入郵件內(nèi)容和Key123，加密算法將郵件內(nèi)容轉(zhuǎn)換為密文形式，并生成了相應(yīng)的密文。對于“ConfidentialDocument”這個郵件內(nèi)容，選擇了RSA加密算法，并使用機(jī)器學(xué)習(xí)模型B。在非對稱密鑰加密中，以公鑰和私鑰作為加密參數(shù)。通過使用機(jī)器學(xué)習(xí)模型來生成或選擇合適的加密密鑰或加密參數(shù)，我們能夠增強(qiáng)加密過程的安全性和隨機(jī)性。如此，即使在敏感信息被竊取的情況下，未經(jīng)授權(quán)的人或系統(tǒng)便無法解密和獲取明文內(nèi)容。

第三，對系統(tǒng)進(jìn)行安全配置和管理。操作系統(tǒng)作為基礎(chǔ)設(shè)施，也需要進(jìn)行安全配置。關(guān)閉或禁用不必要的服務(wù)和功能，限制遠(yuǎn)程訪問權(quán)限，確保只有授權(quán)的用戶才能進(jìn)行操作。及時安裝操作系統(tǒng)提供的安全更新和補(bǔ)丁，修復(fù)已知的漏洞。使用支持安全策略和認(rèn)證機(jī)制的操作系統(tǒng)，如Windows中的GroupPolicy和Linux中的SELinux，以增強(qiáng)系統(tǒng)的安全性。

最后，進(jìn)行定期的安全審計和漏洞掃描。對系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用程序進(jìn)行定期的安全審計和漏洞掃描，發(fā)現(xiàn)潛在的漏洞和弱點(diǎn)，并及時修補(bǔ)，以減少黑客攻擊的風(fēng)險。定期進(jìn)行安全審計和漏洞掃描有助于確保系統(tǒng)和網(wǎng)絡(luò)的安全性。通過對潛在問題的及時發(fā)現(xiàn)和修復(fù)，可以減少黑客入侵和數(shù)據(jù)泄露的風(fēng)險。

（三）增強(qiáng)軟件系統(tǒng)安全性，保護(hù)用戶數(shù)據(jù)

針對黑客利用軟件系統(tǒng)漏洞進(jìn)行入侵和攻擊的問題，我們需要采取一系列的防范措施來加強(qiáng)軟件系統(tǒng)的安全性，保護(hù)用戶的數(shù)據(jù)。

首先，定期更新軟件是非常重要的，及時安裝供應(yīng)商發(fā)布的安全補(bǔ)丁，以修復(fù)已知的漏洞。由于沒有任何軟件是完全無缺陷和漏洞的，軟件供應(yīng)商通常會及時發(fā)布針對已發(fā)現(xiàn)漏洞的安全更新，系統(tǒng)管理員應(yīng)該跟蹤這些更新并盡快安裝，以減少被黑客攻擊的風(fēng)險。除了及時更新軟件，開發(fā)人員也應(yīng)遵循安全編碼的最佳實(shí)踐，這包括輸入驗(yàn)證、輸出編碼、訪問控制、錯誤處理等。在軟件開發(fā)過程中，應(yīng)實(shí)施安全開發(fā)周期和代碼審查過程，以減少潛在漏洞的存在，并確保在代碼中沒有明顯的安全風(fēng)險[6]。

其次，在網(wǎng)絡(luò)層面上，配置強(qiáng)大的網(wǎng)絡(luò)防火墻是必不可少的。通過設(shè)置規(guī)則來限制對系統(tǒng)的訪問，只允許合法流量通過，能夠及時阻止惡意流量。網(wǎng)絡(luò)防火墻可以通過實(shí)時監(jiān)測網(wǎng)絡(luò)流量，識別和攔截可疑的連接和攻擊，從而增加系統(tǒng)對黑客攻擊的抵御能力。對于敏感數(shù)據(jù)的傳輸，采用安全協(xié)議（如HTTPS）進(jìn)行加密通信是一種有效的防范措施。通過使用加密算法，可以防止竊聽者在數(shù)據(jù)傳輸過程中獲取用戶敏感信息，同時確保數(shù)據(jù)的完整性，防止數(shù)據(jù)被篡改。

再次，在文件傳輸過程中，使用加密的FTP協(xié)議（如FTPS或SFTP）也是保證文件傳輸安全的一種方式。這樣可以確保文件在傳輸過程中不會被黑客獲取、篡改或破壞。在用戶權(quán)限管理方面，遵循最小權(quán)限原則是很重要的。為用戶和管理員分配適當(dāng)?shù)臋?quán)限，禁用不必要的服務(wù)和功能，可以大大降低系統(tǒng)被黑客入侵的風(fēng)險。同時，定期審查用戶權(quán)限，及時刪除或修改不再需要的權(quán)限，可以有效避免權(quán)限濫用和非法訪問。

綜上所述，通過提升系統(tǒng)安全配置與網(wǎng)絡(luò)協(xié)議防護(hù)、加強(qiáng)傳輸層協(xié)議安全性和增強(qiáng)軟件系統(tǒng)安全性，可以有效保護(hù)用戶數(shù)據(jù)和提高整體系統(tǒng)的安全性。

結(jié)語

總之，在信息化浪潮的推動下，計算機(jī)網(wǎng)絡(luò)安全技術(shù)的實(shí)施對企業(yè)和組織的長期發(fā)展至關(guān)重要。通過不斷創(chuàng)新和升級網(wǎng)絡(luò)安全技術(shù)，共同構(gòu)建更安全、穩(wěn)定的網(wǎng)絡(luò)環(huán)境，保護(hù)用戶信息和維護(hù)數(shù)字社會的健康發(fā)展。未來，網(wǎng)絡(luò)安全技術(shù)將更加注重數(shù)據(jù)隱私的保護(hù)，引入更強(qiáng)大的加密算法和隱私保護(hù)技術(shù)，確保用戶信息在傳輸、存儲和處理過程中的安全性和隱私性。