计算机网络安全防御系统的实现及关键技术研究

乔 娟

（郑州信息工程职业学院，河南 郑州 450121）

0 引 言

科技不断进步和发展下，人们的生活、工作以及学习也变得愈加便捷，但由于网络开放性特点，导致任何人都可以通过网络获取资源信息，这就导致很多用户的重要隐私数据被窃取，或是计算机系统受到木马病毒攻击而瘫痪。网络犯罪行为愈演愈烈，为了有效杜绝此类问题出现，应寻求合理有效的技术来构建计算机网络安全防御系统，通过此种方式来最大程度上保障用户数据信息安全，在规避网络问题出现的同时净化网络环境。综合研究分析计算机网络安全和关键技术相关内容，有助于推动安全防御技术水平提升，对于规避各种网络问题出现具有一定参考价值。

1 计算机网络安全现存问题分析

我国网民数量不断增加，在享受计算机网络带来的便利同时，也要承担一定的安全风险。计算机网络技术不断推陈出新，网络攻击手段也层出不穷，严重威胁到用户的信息安全。就当前计算机网络安全中的典型问题来看，主要有以下几点。

1.1 病毒类型多样化

计算机网络安全的一个主要隐患就是木马病毒入侵。计算机的病毒库不断更新的同时，也在不断涌出新的计算机病毒。计算机技术飞快进步和发展，很多计算机黑客为了巩固技术和迎接挑战，或是受到利益诱惑，催生了更多的病毒。病毒类型多样化，为计算机网络安全带来了严峻挑战[1]。

1.2 网络攻击形式多样化

计算机网络大范围普及，网络金融开始受到了人们的喜爱和支持，尤其是很多企业开始选用数字货币，或是通过支付宝和微信等电子支付手段进行经济往来，一定程度上刺激了网络病毒的肆虐。受到这一环境影响，挖矿病毒大幅度增长，很多企业服务器受到挖矿病毒攻击，不仅计算机系统瘫痪，而且也为企业带来了严重的经济损失。例如，2019年勒索病毒软件的爆发呈现隐蔽性强和攻击目标明确的特点，造成很多用户计算机被入侵，重要数据信息丢失[2]。

1.3 人们网络安全意识薄弱

尽管当前网民数量不断增加，但是我国关于网络安全的教育宣传较少，很多网民只看到了计算机网络带来的便利服务，却忽视了其潜藏的安全隐患。尤其是当前移动智能终端频繁更新换代，开始成为人们连接互联网的主要载体，由此引发的网络安全问题进一步加剧。而目前很多网民对网络安全知之甚少，网络安全意识薄弱，这也为不法分子网络攻击提供了可趁之机[3]。

2 计算机网络安全防御流程

计算机的病毒种类多样，传播方式多样，隐蔽性较强，只要计算机连接网络就存在着被病毒感染的可能性。因此，迫切需要推动计算机安全防御系统创新优化，不断增强病毒入侵和恶意攻击等行为的防御能力。基于数据挖掘计算机的计算机安全安全防御系统可以通过收集病毒入侵短时内破坏计算机数据的特点，快速分析病毒并加以控制，以此来维护计算机网络安全[3]。

数据挖掘过程较为烦琐、抽象，且难度较大，需要在计算机网络安全防御系统设计中综合考量，输入完整数据挖掘信息，遵循预设程序和流程进行，实现病毒快速解析和控制，维护用户计算机网络安全。

3 计算机网络安全防御系统设计实现

3.1 安全防御功能设计

目前，网络攻击多是针对移动智能终端和PC端，很多病毒并非是感染初期就爆发，多有一定潜伏期，加之不法分子网络攻击范围广，所以为保证计算机网络安全防御系统功能完善，应结合时代发展要求，赋予系统自动化和智能化特性，主动解析和控制病毒[4]。关于安全防御系统的功能来看，具体包含用户管理功能、系统配置管理功能、网络状态监控功能、安全策略管理功能、网络运营报表功能以及网络运行日志功能等，在明确各个功能模块要求下优化系统设计。

3.2 防火墙设计

防火墙是维护计算机网络安全的有效技术之一，应用较为常见，导致很多人对安全防御系统的漏洞存在误解，偏颇的认为只要有防火墙就可以避免一切攻击[5]。也正是这种错误的观念，导致了一系列网络安全问题出现，因此需要针对性改造防火墙，构建一道限制外部用户访问以及基于子系统安装方法来限制内部用户访问的防护墙（如图1所示），通过双重防护来提升系统整体安全防护能力。ALG技术作为一种有效的防火墙技术，可以实现应用层报文高效处理。一般情况下，NAT对报头IP和PORT信息转换处理不需要分析应用层数据载荷字段，而选用ALG，识别对应报文后对IP报头外在和信息解析处理，地址转换后重新计算和校验。具体功能有网络地址转换、数据通道检测以及应用层状态检测等。ALG可以处理的协议包括DNS、FTP、H323、SIP、HTTP、ILS、MSN/QQ、NBT、RTSP、PPTP以及TFTP等。其中，FTP应用基于控制连接和数据连接方式实现，而且数据连接的建立动态地由控制连接的载荷信息决定，因此选用ALG技术可以高效处理载荷字段信息，构建对应的数据包。

图1 防火墙

3.3 加密技术

数据传输过程中，如果安全防护不到位很容易被窃取重要信息，因此需要对数据信息传输系统加密处理。二进制属于一种密文，解密后即可变成可以看懂的文字，即明文。明文转化为无法理解的数据文本，即密文，而这个转化过程就是数据加密，主要是通过网络七层协议实现，有链路和端对端两种形式，均是借助数据加密技术分析逻辑位置来达成保护数据信息安全的目的[6]。计算机网络中，RSA公司中的MD5算法应用较为广泛，联合应用SKIP协议可以实现数据加密处理，如Kerberos服务的telnet、rlogion与NFS等以及电子邮件加密的PEM和PCP技术，加密技术较为简单，不需要电子信息过高的网络安全性能要求。

3.4 数字签名与认证技术

数字推行User Name/Password认证，作为一种常见的认证方式，多是用于系统登录rlogin和telnet等，过程不需要加密，Password容易被解密和监听。摘要算法的认证Radius、SNMP Security Protocol以及OSPF（路由协议）等，可以实现Security Key共享。摘要算法本身属于不可逆过程，认证期间无法计算共享Security Key，不在网络上传输信息。一般情况下，摘要算法MD5和SHA-1是市场上应用较为广泛的技术[7]。

数字签名，验证发送者身份信息完整性，RSA基于私有和公共密钥对，作为验证发送者身份和消息完整性的根据。CA可以选择私有密钥来计算数字签名，提供公共密钥，每个人都可以验证签名真实性。通信双方借助Diffie-Hellman密钥系统，实现保密密钥安全共享，并对密钥信息加密处理。此种密钥匙借助CA验证，密钥数量和通信者数量呈现线性关系。数字签名验证过程如图2所示。

图2 数字签名验证过程

3.5 人工智能

人工智能是相较于常规人工操作的安全系统，可以更加智能、高效，减少人为主观意识带来的不良影响，提升网络安全防御能力。由于网络接入形式多样，攻击手段也不尽相同，通过应用人工智能技术可以深层次挖掘和分析潜在问题，形成主动防御模型，及时发现和清除计算机网络中的木马病毒，并进一步追踪网络病毒来源所在，从源头上解决问题，保护计算机网络不受攻击[8]。

4 计算机网络安全防御系统关键技术

4.1 求精模型

设计求精模型本质上是限制访问计算机网络用户的权限，核实与查验用户身份信息，进而实现用户身份信息管理。实时监测计算机网络系统运行情况，针对系统中的漏洞重点检测，及早发现潜在安全隐患，避免计算机网络系统遭受突然袭击，始终可以保持正常状态使用。快速响应，具有控制计算机网络系统启动、关闭以及限制性访问功能，计算机网络快速响应可以有效提升整体安全性。恢复策略用于操作层策略重建，支持在计算机网络系统内部安装漏洞补丁，提升系统安全防御性能[9]。

计算机网络安全防御系统的关键性技术主要有以下两种。一种是结构语义一致性分析技术，可以满足底层或高层策略需要，彼此之间形成相互对应关系，需要在此基础上维持实例语义一致。二是概念语义一致性分析技术，在计算机网络领域，通过特定语言形式来表达语义关系，从中提取修饰词与核心词，创建不同语义模型。

4.2 关键技术完善措施

为了推动计算机网络安全防御系统技术水平，应契合实际情况积极构建完善的计算机网络安全技术体系，持续推动技术创新，并组织相关人员参与技术培训，在完善的管理机制支持下稳步推进和落实计算机网络安全防御工作。增加资金投入，完善配套的防护墙和数据加密设施，设置访问限制，禁止访问不明站点，避免为不法分子带来可趁之机，维护计算机网络安全防御系统运行。

与此同时，完善和创新现有的计算机网络反病毒技术。对于计算机网络中的重要数据文件需要定期备份，即便计算机系统崩溃，仍然可以保证重要数据不丢失，维护用户信息安全[10]。设置网络访问权限，依据对应权限访问互联网，有效避免不法分子入侵计算机网络系统，此外使用扫描技术，联合反病毒技术，创设安全可靠的计算机网络环境，对于维护计算机网络安全具有积极作用。

5 结 论

计算机网络安全是当前社会备受关注的热点话题之一，为了充分发挥计算机网络的优势作用，应积极推动配套安全防御系统升级优化，构建完善的安全管理体系，便于深层次挖掘和解决安全问题，最大程度上保障用户数据信息安全。