曲滨鹏 缪佳 朱丽娜 曲超毅

（1.山东医学高等专科学校 山东省济南市 250100 2.山东大学齐鲁医院 山东省济南市 250012）（3.中国联合网络通信有限公司济南市分公司 山东省济南市 250012）

云计算、大数据技术的出现对计算机网络有重大的影响，显著的提高了计算机系统运行的效率，但是当下必须意识到计算机网络系统安全问题，防止数据在系统传输期间出现遗失、篡改等问题，需要提高计算机信息处理与安全防护的水平，了解信息技术使用需求，采用科学的方式进行维护。在信息技术高速发展下，根据计算机信息安全防护要求，积极的开发新型安全防护技术，提高计算机系统在运行过程中的可靠性、安全性，借此提高信息技术的利用率。本文以高新区开发区智慧园区信息安全体系构建项目为例，分析计算机网络安全防护工作的开展方法。

1 安全技术体系

1.1 网络安全方案

1.1.1 访问控制

网络安全方案通过防火墙设备，完成网络访问控制的安全防护工作。对访问模块进行常规设计，根据访问控制规则，确定是否允许IP 包通过，通过防火墙防止非授权用户传输IP 包。

1.1.1.1 实施策略

采用专门的防火墙或是在路由器设置访问控制列表，前者可以通过防火墙完成数据隔离与子网访问控制的目；后者利用访问控制列表，隔离子网数据与访问控制。访问控制安全性是防火墙防控设置必须考虑的内容，保证骨干网构建安全且配置方式简单的访问控制，在路由器的连接下实现访问控制，对访问安全性要求高的子网，利用路由器完成访问控制列表设计，该列表的设计方式较为复杂，会在一定程度上影响到路由器传输表现，所以尽可能使用防火墙安全设置的方式，选择包过滤型。此种方法可以提高数据传输的可靠性、安全性，同时数据传输的速度也不会受到太大的影响。防火墙考虑到用户网络安全，所以在设计时选择代理型防火墙，从而可以节省公共IP。

基本要求：安全技术体系网络安全方案设计，在没有特殊原因的前提下关闭IP 定向传播，关闭不需要的服务，如echo、finger 等，关闭IP 源路由功能；对于非特殊需要的情况，一般不会使用路由器中的HTTP 服务。如果需要SNMP 应该尽可能使用版本2 以上的管理协议，如果情况特殊只能使用SNMP 版本1 的管理协议，必须对访问地址完成条件设置；防火墙配置需要构建内容完整的文档，保存防火墙的日志内容，防火墙检测过程中在日志服务器中完成备份操；对重要的日志每天进行检测，通过internet 访问的用户使用认证机制，采取挑战应答、一次性密码等方式，提高网络防护水平。

1.1.1.2 网络接入点

基本要求：按照国家端口号、IP 地址过滤信息，过滤主干网络设备拥有管理功能，系统拥有实时监控与流量控制的能力，可以完成较低或较高性能的延迟处理，满足高带宽的要求，系统可以对指定地址完成流量监控，记录流量的传输信息。发现网络入侵安全问题，保护用户的信息，对有害站点进行访问控制，按照设定的流程过滤有害信息。

1.1.2 认证系统

提高信息传输与通信的完整性，使用AAA 机制，限制非法访问，确认用户身份，保证用户身份信息的合法性、真实性。在用户使用网络资源时，完成对用户网络资源的访问，信息访问行为的记录，以便后期进行事件追溯与审计工作。

管理员根据主干网络运行，对连接网络的每个路由器进行设置，对不同的管理员设置不同的用户名。路由器使用动态路由协议，在支持认证的条件下激活认证机制。采用一次性口令与集中认证方式。

1.1.3 日志

分析日志信息，定期进行信息分析工作，及时发现系统存在的安全漏洞，如果因为安全策略漏洞导致系统发生安全故障，可以利用日志完成试卷追溯与分析，快速发现安全漏洞的位置并找到责任人。网络设备使用过程中会产生流量，为完成网络安全保护工作，将网络设备的日志传输到日志服务器内，处理日志内容，序列化网络事件，对日志服务器进行定期审计，查看网络设备的运行状况。除此之外，还可以通过日志信息的整理、分析，判断网络设备是否遭受攻击，查询管理人员操作记录，分析用户行为，完成攻击防护任务[1]。

1.1.4 入侵检测系统

入侵检测系统完成对流经数据包的分析，在数据分析期间过滤操作数据包与含有攻击指令的数据包。作为安全系统的重要内容，提高网络防攻击的能力，提高网络运行安全程度，提供对外部攻击、内部攻击、误操作的检测服务。使用智能检测算法对网络数据包进行高效分析，配置过滤规则知识库，检测通过系统的信息包，保障网络通讯不受外界因素干扰。防止用户非法操作影响系统运行的安全性，还可以阻挡黑客攻击行为。入侵检测系统可以使管理人员快速掌握网络系统现在设备、文件、程序等信息的变更情，还可以根据安全需求、系统构造、网络威胁的改变而变化，结合网络安全策略编制使用说明，在发现网络遭到攻击后，入侵检测系统快速作出反应，比如完成报警、切断网络连接、在网络运行期间记录事件等。

入侵检测系统分为基于知识与基于规则两大类别，基于规则入侵检测试分析已知攻击特征，收集网络数据，快速分析攻击类别，提高攻击类别分析效率。但是入侵检测系统只能对已知攻击进行高效识别，入侵检测系统在主机运行中完成截取网络流量、监听网络流量等工作[2]。

基本要求：对网络攻击进行检索判断，快速发现已知网络攻击行为；攻击行为尚未到达目标主机便可以通过快速识别、精准判断，及时发现网络攻击行为，追寻发起网络攻击的IP 地址，确定攻击类型、攻击发起时间等信息；使用蜂鸣器指示灯等设备发送预警信号，使网络管理人员可以快速发现攻击行为[3]。

1.1.5 安全加密

1.1.5.1 虚拟专用网

公用网络平台使用加密IP 隧道，完成私有IP 包的传输工作，利用互联网络的逻辑网络传输IP 包。虚拟专用网任意节点的连接方式，没有采用传统专网端对端的联络方法，使用加密IP 隧道，利用逻辑网络提高IP 包传输的安全性，用户数据在逻辑链路中完成不同局域网数据的传输工作，使专用网络的功能与安全得到保障[4]。

1.1.5.2 远程登录SSH

SSH 通信系统在保密数据与防止窃听者泄露密码的前提下，保证IP、TCP 的FTP 与Telnet 安全连接，使远程办公人员或远距离系统管理人员可以访问公司网络资源。

被管理设备与客户管理主机在SSH 通信信道上完成密码加密、远程用户名登录，保证远程登录的可靠性、安全性，防止信息在管理过程中出现篡改、盗取等情况，提高管理信息的可用性、完整性[5]。

1.2 云计算安全方案

1.2.1 设计原则

云计算安全方案按照项目所在区域（高新区智慧园区）对网络安全攻击的安全目标、安全需求进行分析，确定安全机制所需的安全服务要素，掌握ISO17799、SSE-CMM 等国际标准，从可管理性、可实施性、可扩展性、系统均衡性、综合完备性等方面进行考量，在此基础上模拟系统安全，关注网络隔离技术、物理安全、应用层面安全、加密与认证、网络反病毒等内容，这是云计算安全方案设计必须考虑的内容，也是信息安全方案技术实现的关键[6]。

1.2.2 云安全总体架构

云安全总体架构从应用、技术、监管、服务等多个层面出发，考虑到计算环境与数据分离引发的安全问题，综合各方面因素重新确定云计算安全需求，在此基础上建立政务云计算安全架构，信息基础设施以云为基础，可以提高系统运行的安全程度。云计算环境体系构架参考国内外标准，建立纵深防御、动态自适应的云计算安全体系（如图1所示）。

1.2.3 云安全技术体系

1.2.3.1 虚拟化管理器安全控制

虚拟化安全涵盖虚拟机、虚拟机监控器、虚拟机通信、虚拟机镜像管理、虚拟机动态迁移、虚拟机安全隔离、虚拟机镜像完整性等内容。虚拟安全在设计过程中从系统层面出发，考虑解决虚拟化安全问题的方法，安设强身份认证、安全加固控制、拟化可信启动等模块，虚拟化管理其安全控制的实现依赖虚拟机自省机制与各虚拟化接口库[7]。

1.2.3.2 虚拟化强身份认证

用户在虚拟环境下的安全是虚拟化防护系统设计的重点考量要素，在此基础上设计虚拟化防护系统设计，完成用户管理与特权用户权限分散管理。按照不同云服务所属的用户组、用户层次、权限进行类别划分，为不同类别客户推送其需要的服务，考虑不同客户对网络安全级别的需求，提供用户管理模块，为不同用户推送不同的安全服务，服务含有统一的访问控制、身份认证、用户行为审计等[8]。

2 计算机信息安全保护使用的方法

计算机信息处理系统在应用过程中必须合理的使用安全保护措施，以提高技术应用过程中的安全性、可靠性。目前，我国在计算机信息安全方面发展迅猛，出现了多种安全保护方案，下面进行详细的介绍。

2.1 访问控制与安全认证技术

访问控制与安全认证技术在计算机安全防护方面应用广泛，访问控制技术通过访问文件权限与目录，完成身份鉴别，在登录身份认证信息方式下，加强系统平台操作人员信息的安全性，强制访问控制、自主访问控制、角色访问控制在用户信息保护方面应用频繁。安全认证技术需要数字签名与数字口令两种技术相互配合，在信息安全认证时采用消息认证与身份认证两种形式，依次完成计算机信息技术安全保护工作。智能卡认证、口令认证、生物技术认证、面部识别均是身份认证技术的内容，可以提高计算机信息系统在运行过程中的安全程度[9]。

2.2 入侵安全检测技术与防火墙技术

这两项技术是计算机信息处理系统常用的保护方式，其中入侵安全检测技术对网络信息与病毒库中的信息进行识别防御，和防火墙被动防御方式不同，属于主动防御的技术，入侵安全检测技术完成数据的比对、分析，发现异常信息后自动触发机制，完成病毒抵御、拦截、杀毒等工作，保护计算机网络。入侵检测、安全检测、高级检测均是入侵检测技术的主要方式。防火墙技术利用代理技术、数据管理、技术数据、检测技术来提高系统网络的安全系数，防止非法用户采用技术手段强行登录网络，阻止外部病毒对系统网络的侵害，提高网络抵抗病毒攻击的能力，保证计算机网络的安全性，让计算机信息处理系统可以高效、安全的处理信息，满足系统使用需求。数据加密技术是用户提高计算机信息处理安全性的常用技术，在信息传输、整理的过程中，利用数据加密处理能够提高信息传输的安全性[10]。

2.3 非对称加密数据与对称加密的技术

非对称加密数据与对称加密的技术是网络数据安全管理的常用方式，根据实际需要形成面向网络与面向应用服务的数据加密形式。其中，面向网络加密技术应用在传输层、网络层、数据加密等领域。比如，在远程登录系统中应用数据加密处理，提高系统运行的安全性。网络安全巡检系统，其应用在论坛、博客等个人信息服务网站中，可以提高系统安全程度，防止用户在页面浏览的同时，泄漏个人信息。机器排查与人工排查是中型网站开展信息查询工作的主要手段，在云计算、大数据与物联网等技术辅助下形成安全巡检保障机制，可以提高传统网络安全巡检系统的保全保障能力，应用在多种信息服务网站中，快速发现个人数据安全巡检存在的问题，识别病毒与垃圾信息，在多种技术支撑下拥有智能恢复信息的功能，提高网络安全巡检工作的效率与效果。

3 结语

在信息技术高速发展的背景下，计算机信息技术与信息安全成为我们必须高度重视的内容，为提高计算机信息技术与信息安全方面的工作效果，需要建立系统、完整的安全防护体系，结合具体数据完成计算机数据保护工作，积极的开发计算机安全防护技术，优化计算机管理系统，保证计算机信息处理技术拥有良好的工作效果，推动计算机行业的发展。