程晓薇
关键词:计算机通信网络;安全防护;防护体系
计算机通信网络中保存着大量的信息,为避免发生信息安全问题,就必须结合多种先进防护技术的应用,以展开计算机通信网络安全防护工作。
1计算机通信网络安全防护的必要性分析
计算机通信网络的关键为其中所存储的大量信息,能够为用户提供多种信息服务,而在开放的网络环境中,计算机通信网络所面对的安全威胁相对较大,若不落实安全防护工作,则有可能造成信息泄漏、被篡改、丢失等问题,威胁用户的信息安全,甚至会引发网络崩溃。因此,需要从多方面人手,并加大计算机通信网络安全防护力度[1]。
总体而言,对计算机通信网络进行安全防护在当前有着极高的实施价值与意义,是确保计算机通信网络能够长时间安全、稳定、高效运行的重要举措与必然选择,从而实现对计算机通信网络内各类数据信息以及各项操作活动的安全性维护。
2计算机通信网络安全防护的常用技术分析
2.1防火墙技术
防火墙主要对网络之间的通信进行合理筛选,以避免未经授权的访问进入网络,并落实对网络的访问控制,以提升网络的安全防御能力。对于恶意攻击,其不一定全部来自外部,网络内部也可能存在一定的安全威胁。基于此,就需要在网络系统的各个层次上强化落实保护。依托防火墙能够实现对内部以及外部威胁的有效应对,也可以对诸如网络入侵的蠕虫等一系列恶意软件进行防控,同时允许系统将非法数据转发到另一个系统内。例如,在私有网络与公共网络之间普遍存在网络墙,以实现对数据包进出的过滤。
2.2身份认证技术
在当前的计算机通信网络安全保护工作实践中,身份认证技术具有较为广泛的应用范围。例如,用户可以根据自己存储在网络系统内的信息获取随机登录密码,并完成系统登录。基于这种身份认证方式,可以实现更好地保护用户个人信息的效果。在具体的身份认证技术应用过程中,包含的认证方式主要有结合用户的个人信息证明用户身份,结合用户所掌握的信息认证身份。
2.3数据加密技术
数据加密技术即对存储、传输的数据实施加密处理,避免使用明文传输,以防止发生数据信息泄露、被盗用的问题。结合不同的加密引擎,常用的数据加密技术也较为多样,具体有主机加密,此时需要落实外置密钥管理,多在云加密场景、敏感数据加密、销毁场景中应用;存储引擎硬加密,此时需要落实外置密钥管理以及内置密钥管理,多在云加密场景、敏感数据加密、销毁场景中应用;存储引擎软加密,此时需要落实外置密钥管理,多在云加密场景、敏感数据加密、销毁场景中应用[2]:后端SAS IO加密,此时需要落实外置密钥管理,多在敏感数据集中加密、销毁场景中应用。
3计算机通信网络安全防护的优化策略探究
3.1计算机通信网络安全防护体系的构建
投放网管冗余设备、防火墙、网管局域网交换机、入侵检测设备、网络管理服务器(主用与备用)、流量管理终端、网络管理终端、用户准人系统服务器、复试终端、堡垒机等结构设备,组建计算机通信网络安全防护系统,以提升计算机通信网络安全防护的现实成效。
其中,对于投放的网管冗余设备而言,其主要依托冗余方式实现对计算机通信网络以及业务的抗灾以及灾难恢复能力的强化,以提升数据信息存储安全性。对于投放的防火墙而言,其主要在网管局域网与网络设备之间形成逻辑隔离,其具备良好的技术隔离功能、过滤功能以及逻辑隔离功能。对于投放的堡垒机而言,其主要在网管局域网内完成布设,审计网管操作人员的集中登录与行为,其具备良好的访问控制功能、权限控制功能。对于投放的入侵检测设备而言,其主要承担分析进入网络的恶意代码、恶意入侵行为的任务,具备良好的追踪功能、告警监测功能、入侵检测及报警功能、完整性检测功能、恶意代码防御功能。对于投放的终端管控设备而言,其主要承担对所有数据网网管服务器、终端安装用户准人客户端软件进行集中性管控的任务,具备良好的接人阻断功能、接出阻断功能。另外,为了进一步提升计算机通信网络安全防护系统的功能性,还要在系统内投放其他配置,主要包含入侵防御设备、日志审计设备、漏洞扫描机配置核查设备等。
3.2加强计算机通信网络入侵检测与安全防护
从当前情况来看,网络攻击手段的破坏性以及隐蔽性呈现出显著增强的发展趋势,基于此,为了落实对计算机通信网络安全性的有效维护,必须强化对网络入侵检测技术的研发以及应用。基于分布采集信息及协同处理的方式,结合使用基于主机的IDS以及基于网络的IDS,以推动计算机通信网络对外部入侵的地域能力呈现出明显增强的发展状态[3]。实践中,可以应用的网络入侵技术主要包括以下几种。(1)高速实时入侵检测技术,对入侵检测系统的软件结构以及算法进行重新设定,并对专用的硬件结构以及软件系统进行开发,促使在高速网络环境中实时性入侵检测成为现实。(2)分布式协同检测技术,出于对异质网络平台之间差异性的有效保证,可以引入分布式智能Agent的结构方式,结合协同机制的应用,促使事件检测、分析和响应成为现实,以此更好地应对复杂模式、协同式、分布式网络攻击。(3)智能检测技术,结合神经网络、智能体系、遗传算法,构建智能人侵检测系统,促使入侵检测误报率大幅下降,以避免产生过高的漏报率。(4)应用层侵入检测技术,主要面向计算机网络的应用层进行安全防护,并提供入侵检测服务。(5)整合技术,结合多种网络安全技术以及入侵检测技术,以构建更为完善的计算机通信网络安全防护检测与响应架构,并在此基础上,强化对计算机通信网絡安全状态的实时性检测,一旦发现网络异常情况,能够第一时间发出预警,并迅速作出应急处置。
3.3强化落实面向内部威胁的数据泄露防护
(1)面向内部威胁的数据泄漏主动防护。在网络层面落实对安全保护域的划分,从计算机通信网络终端以及存储端口组织展开访问控制,以确保内网的安全性达到理想水平。需要注意的是,这种面向内部威胁的数据泄漏主动防护技术有着一定的局限性,单纯对文件与进程之间的信息流进行约束与管理,而并没有对进程之间、进程与其他非文件资源之间的信息流落实有效限制。基于此,必须进一步优化约束限制,但这种方式也会降低系统的灵活性与可用性。实践中,可以依托虚拟化技术、可信基础设施,完成虚拟隔离环境的构建,形成不同隔离环境之间的可信通道,以构建可信性相对较强的虚拟保护域,结合私有隔离环境、公共隔离环境、底层的基础通信设施,以增强安全性,强化对计算机通信网络数据应用过程的隔离保护力度。在此基础上,还要进一步从数据存储层面落实安全保护域的划分,将加解密以及安全控制机制构建于存储设备内部以及终端系统中,以促使数据存储、处理以及使用的信任链形成。依托多组建可信平台的应用访问、使用网络数据,结合双向认证技术的应用,促使主机与硬盘之间的可信绑定成为现实,以确保计算机通信网络数据可以在非可信环境中以及远程终端内实现安全使用[4]。
(2)面向内部威胁的数据泄漏主动防护。为确保计算机通信网络对可信主体的防护需求得到及时满足,需要落实面向可信主体约束的动态隔离机制的构建,以实现对虚拟隔离机制局限性的有效突破,以提升对可信主体约束与防护的有效性,降低存在于安全域中的数据信息泄漏问题的发生概率。在构建面向可行主体约束的动态隔离机制期间,需要在引入CoDI和MoDI操作的基础上,组织展开读隔离、写隔离、通信隔离。在此过程中,可以应用的方法手段主要包括文件管理,即统一管理副本文件,在独立安全区域内,对动态隔离过程中所形成的重定向文件副本进行有效存储,促使文件与程序具有较高的一致性:进程管理,即应用复制式迁移组织展开基于虚拟方式的动态隔离.应用重定向式迁移组织展开基于重定向方式的动态隔离,在TUE中迁移进非可信进程,并以此隔离非可信进程以及其正在访问的对应资源。
3.4提升网络安全防护意识并加强网络安全管理
近年来,互联网环境错综复杂,疑似境外黑客组织的网络攻击日益增加,各单位组织要充分认识到网络安全和数据安全的重要性,不断完善网络安全管理制度、健全工作机制、抓牢抓实网络安全保障工作[5]。实践中,为保障计算机通信网络专线的安全使用,采用计算机通信网络安全专线产品,配合防火墙及三层管控交换机进行安全策略设置、IP地址实名管控、区域VLAN划分管理,能够较好地对计算机通信网络进行防护,保障网络安全。
另外,要强化组织领导,完善网信队伍建设。落实网络安全工作责任制,充分调整网络安全和信息化委员会成员,组织信息化管理人员开展信息系统业务知识培训,进一步提升业务人员基础统建信息系统管理安全运维能力,使其按要求完成日常网络安保工作。在此基础上,强化宣传学习,提高网络安全意识。在国家网络安全宣传周期间,积极开展关于增强员工网络安全意识、筑牢网络与信息安全防线的相关学习宣传活动,宣传网络安全法规、典型案例和日常用网知识,全面提升全員网络安全意识。另外,强化基础建设,提升通信质量与安全。为保证计算机通信网络高效安全运行,通过与网络运营商沟通引进基站建设,解决信号覆盖不良等问题。信息化管理人员定期对网络安全问题隐患进行自查,及时梳理信息资产,封堵隐患IP地址及恶意域名,切实提高计算机通信网络运行安全性;制定信息化应急预案并按要求开展信息化应急演练,使员工能够较好地应对突发情况,以提供更为理想的通信安全保障。
通过提升网络安全防护意识、做好网络安全管理、展开网络安全防护教育培训,提升了计算机通信网络安全防护工作质量以及现实成效。在后续的发展中,要持续加强网络和重要信息系统的安全防护,强化相关工作人员的网络安全意识,加大计算机通信网络安全防护力度,实现计算机通信网络、软硬件、信息数据等网络安全防护客观上不存在威胁,主观上不存在恐惧。
4结束语
对计算机通信网络进行安全防护在当前有着极高的实施价值与意义,是确保计算机通信网络能够长时间安全、稳定、高效运行的重要举措与必然选择。实践中,依托防火墙技术、数据加密技术等多种信息安全防护技术的整合应用,结合计算机通信网络安全防护策略的更新与优化,推动了计算机通信网络安全防护工作的升级。