文/陈宇钧

1 网络环境下计算机系统面临的威胁

1.1 内控脆弱

计算机虽然拥有复杂的组成体系，但分工与合作控制严格，其大脑（CPU）作为内控核心运行程序极为复杂，其中一部分（安全防护体系）负责对外防护，但却并未表现出绝对安全，而是其机制越精密则越容易出现漏洞，一旦出现运行错误，则会致使内网失去稳定，轻则泄露信息，重则导致防护体统完全崩溃。一般情况下，终端机违章连接、网络信息内外沟通与介质交叉使用成为内网泄密的主要渠道。

1.2 “黑客”攻击

Windows系统自诞生之日开始，就和漏洞密不可分，随着时间的推移，会有越来越多的漏洞被发现和被利用，一些不法分子通过对该漏洞的利用，便会进行一些违法活动，将“黑客”程序植入被害者计算机后，如此便可窃取其中的密保与口令等电子邮件，最终导致计算机系统全面瘫痪，无法进行正常运行与操作。网络“黑客”因其极高的隐蔽性而对计算机网络安全威胁最大，其可在自身计算机上采用特定程序控制他人计算机，从中查看信息。

1.3 病毒入侵

计算机病毒为一种可损伤计算机并破坏其系统且能自我复制的程序或代码，计算机一旦遭受病毒的入侵，就会潜伏于计算机中时刻影响系统的正常运行，以此内在的监控与破坏计算系统。一般情况下，病毒在侵害计算机过程中，黑客可在自身计算机上采用特定程序对其实施控制，进而控制他人计算机，从中查看信息。计算机病毒通常以软件或邮件为载体，贸然使用或下载则会导致自身计算机感染。

2 构建计算机网络安全防护体系的关键技术

2.1 系统漏洞扫描技术及漏洞补丁

从本质上讲，计算机系统自身就为一个复杂且巨大的代码程序，当其与网络关联后，该程序中存在的缺陷被恶意利用后便会成为网络漏洞，进而演化为计算机风险，此时便会存在遭受木马、病毒入侵与黑客攻击的机率。漏洞因大小的不同给计算机带来的危害程度也不同，一般而言，大型漏洞可被及时发现并修复，小漏洞数目较多且隐蔽性极强，对其发现可能需消耗巨大的时间与精力。作为自动扫描、发现以及修复的技术，漏洞扫描技术以预防计算机出现系统漏洞为目的，以定期扫描系统漏洞为手段，从而最大程度保护系统稳定与安全，避免计算机遭受入侵与危害。发现漏洞就应该进行修补并保证该漏洞不再被轻易利用，通常操作系统及数据库这类关键软件在发现漏洞后，开发商都在第一时间推出漏洞补丁，及时安装漏洞补丁很重要，为了能及时安装漏洞补丁，应在网络中部署漏洞升级服务器并向网络内的计算机进行漏洞补丁的推送。

2.2 防火墙技术

该技术目前常用的几种方式包括地址转换防火墙、代理防火墙与过滤防火墙等，其主要是通过切断危险传播途径，隔离用户计算机的方式来达到保护计算机系统安全的目的，是为内、外网通信过程中最为关键的控制访问技术。防火墙技术的运用，其可根据用户自身定义针对不同的外网环境制定不同的安全防护等级与策略，通过对实施信息数据传输的检测与监控，以此判断网络运行状态是否正常，使用者对有关数据通信的操作是否被允许，如若有敏感内容发现，则会对程序运行实施自动组织，将数据传输中断，进而达到保护计算机网络安全的目的。

2.3 入侵检测技术

入侵检测技术为一种主动性防御技术，该技术可以应用在多种相关技术制定的或者与当下网络环境可以相匹配的安全的规则，并且可以利用这一规则对与用户在网络中所获取的数据信息进行相关的分析，进而达到监控网络运行状态的目的，并最终判断正在运行的网络中是否存在安全威胁。与此同时，该功能存在的目的是为了在系统中被保护的数据处在被解密状态时，系统可以自动断开当前的网络连接，以此来确保加密系统内部的加密保护区的数据不会被恶意攻击或者被非法窃取，且当系统内部被加密保护的数据文件处在加密状态时，系统就会自动的进行网络连接，使网络恢复正常的运行状态。

2.4 计算机网络管理技术

计算机网络管理技术并非针对用户电脑进行的安全防护工作，而是在计算机网络中实行的一种管理技术。网络管理技术能够有效的增强信息交流和数据传递的规范性和安全性，提升危险出现后的追溯和分析能力。用户最常见的就是身份认证技术，保证用户每个网络行为都会受到网络服务器的记录和监控，能够提前发现并及时阻止黑客的不法行为与发现并中断病毒木马的感染和传播。通常有效的方法是使用“计算机域”管理技术，使域来严格控制网络内计算机的系统最高权限不被轻易利用。

2.5 数据加密与签名技术

数据加密和数字签名技术在计算机网络中起到的效果是类似的，都是对文件信息进行加密而后再在网络中进行交流和传播。这种技术能够有效的控制信息在网络传输中被截取抓包或是恶意篡改的危害，即使数据被不法分子获取，但是数据一旦进行了加密，就不能被别人看到或是破坏，在很大程度上保证了信息的安全性。

3 个案实例

3.1 公司原基础状态

（1）内网约有150台电脑PC，分布在四层办公楼；

（2）边界设备为深信服上网行为管理设备；

（3）仅有1台关键业务服务器，主要用于应用系统、文件保存及共享；

（4）网络设备交换机只运用基本交换机功能，用于二层数据交换，运行在单一的“工作组”模式下。

3.2 问题及现状分析

3.2.1 互联网威胁防御不足

仅通过深信服上网行为管理设备进行网络边界的人员身份识别、认证及简单的安全威胁防护，存在如下安全风险：

（1）不具备专业的安全防护设备（如防火墙、IPS、安全网关等），对互联网外部的恶意攻击、恶意入侵进行有效的抵御及控制；

（2）外面利用病毒或者嗅探工具等可以比较容易获取到用户的相关信息，从而对业务系统进行非法或越权的访问，破坏系统的正常运行，或非法获得企业的商业秘密，造成信息泄露。

3.2.2 终端病毒恶意代码攻击

终端电脑均为未安装企业版防病毒软件，员工电脑均是各自使用从互联网下载的单机版防病毒软件进行简单防护，或者无防护的裸机运行，存在如下安全风险：

（1）裸机运行的电脑易于被病毒、木马等恶意程序入侵，导致办公电脑程序及系统被破坏，严重者窃取公司敏感文件，导致信息泄露造成利益损失；

（2）使用单机版防病毒软件行为，员工又不具备专业的意识，无法判断防病毒软件是否为正版或者是否具有后门程序，亦可能带来恶意程序入侵结果；

3.3 网络安全架构改造方案

3.3.1 实现互联网边界安全防护

通过在互联网边界和总部与分支机构之间，部署防火墙，实现如下效果：

（1）对Internet互联网与企业内网之间进行安全隔离，对公司与总部安全域之间进行安全隔离；

（2）通过防火墙建立合理有效的安全过滤原则，对网络数据包的协议、端口、源目的地址、流向进行审核，严格控制外网用户非法访问；

（3）只打开服务必须的HTTP、FTP、SMTP、POP3以及所需的其他服务，防范外部来的拒绝服务攻击、病毒传播、嗅探入侵等恶意威胁行为。

3.3.2 实现全面的上网行为管控

使用性能更高的上网行为管理设备。

（1）提高应用控制和流量管理功能，管控与工作无关的网络应用，同时具备多项流量管控技术，杜绝带宽资源滥用，保障核心业务带宽；

（2）具备精细信息管控功能，可以管控各类信息外发途径，记录上网轨迹，规避泄密和法规风险；

3.3.3 实现VLAN配置管理

根据楼层用户划分到不同的VLAN中，此后从某个端口接收的报文将只能在相应的VLAN内进行传输，从而实现广播域的隔离和虚拟工作组的划分。当病毒、恶意攻击、网络中断等事件爆发时，便于快捷追踪源头机器所在楼层或者部门，提高处理事件的响应速度。

3.3.4 实现AD域管理

部署DC1.XX.COM和DC2.XX.COM两台域控制器：（1）为每个员工创建域用户以登录域；（2）定义组策略管理用户和计算机配置；（3）增强安全性，有效控制用户使用与工作无关的应用；

（4）减轻IT管理员负担，提高工作效率。

3.3.5 部署终端病毒防护

部署一套趋势科技企业版终端防病毒系统：在服务器上搭建一套趋势防病毒系统，PC终端上安装防病毒客户端，实现病毒防护的统一管理，及时有效的发现网络中存在的病毒问题，有效的对病毒进行防御和查杀，提高用户终端的安全性。

3.3.6 对新构建网络实施漏洞扫描测试

采用XX漏洞扫描和管理系统，对服务器从系统层和配置层进行扫描，以及各终端扫描。漏洞扫描的结果主要是：服务器中发现中危漏洞4个，主要集中在微软补丁漏洞，这些漏洞通过及时联网更新进行修复，普通用户终端中在本次扫描中没有危险漏洞。

4 结语

本文通过笔者实践经验的总结，就计算机网络信息在保护策略方面建议性提出以下几点措施：

（1）以网络涉密分级为依据具有针对性制定保护策略，其主要内容有管理规范、技术要求、方案设计与安全评价等；

（2）在安全密保方面进行动态防护，以网络检测加强的方式规避网络威胁，以此提升边界防护与监控等行为力度。同时建立应急方案，构建“容灾与恢复”机制；

（3）大力推进“强审计”策略，提升人员网络保护意识，建立并完善网络安全法令法规。

参考文献

[1]方一.计算机网络净化安全防护体系的构建[J].考试周刊,2014(09).

[2]许卫明.构建计算机网络安全防护体系的研究[J].科技展望,2016,36(03):26.