福建信安网络科技有限公司 方翔

随着互联网的普及应用，计算机网络安全已经成为各行各业网络信息化建设高度重视的问题，关乎到网络信息系统的安全运行。在网络安全建设中，要运用先进的网络安全防范技术构建起完善的计算机网络安全体系，消除计算机系统漏洞，防范非法入侵风险，全面维护网络运行安全。本文从分析计算机网络安全现状入手，提出网络安全技术策略，包括防火墙技术、入侵检测技术、身份认证技术、虚拟专用网技术和防病毒技术，期望对提高网络安全防范技术水平有所帮助。

1 计算机网络安全现状

1.1 软件安全现状

随着计算机网络功能的强大，各类型软件不断增多，部分软件在设计阶段存在安全漏洞，对计算机网络安全构成严重威胁。通过对近年来的计算机网络安全事件调查结果可知，软件漏洞是引发网络安全事件的主要原因。

1.2 硬件安全现状

硬件设备是保障计算机网络安全运行的物质基础，当硬件设备存在安全问题时，极易引起计算网络安全事件，造成网络信息数据破坏[1]。如，网络电缆是重要的硬件设备，主要由专线、光缆或电话线组成，每种电缆都会传递信息数据信号，当不法分子对网络电缆进行破坏后，能够直接窃取线缆传输的信号，获取机密信息。

1.3 计算机系统安全现状

系统安全是计算机网络安全中的常见问题，当前主流操作系统都存在着一些安全漏洞，不法分子经常利用系统自身漏洞对系统发起攻击，造成计算机瘫痪，大量数据信息出现永久性破坏。大部分计算机操作系统虽然配置了防火墙、入侵检测系统等，但是这些软件系统更新缓慢，很难主动处理网络安全漏洞，使得计算机系统易受到病毒入侵破坏。

1.4 互联网新技术安全现状

随着大数据、云计算、物联网时代的到来，越来越多的先进技术需要借助计算机网络运行，对计算机网络安全提出了更高的要求[2]。但是，由于计算机网络属于开放性的网络，安全管理难度大，所以导致互联网新技术应用面临一系列安全问题。如，在大数据技术应用中，该技术需要从计算机网络中搜集大量数据信息，提取有价值的数据，并利用特定算法得出数据分析结果，将分析结果传输到数据库中。如果在这一过程中出现网络安全漏洞，则会造成数据信息被恶意篡改或破坏，影响大数据挖掘分析的准确性。

1.5 用户网络安全现状

在计算机网络安全管理中，用户安全意识是影响网络安全运行的重要因素。但是，由于计算机网络用户素质参差不齐，对网络安全重要性认识程度不同，使得部分用户出现了大量的不安全操作行为。如，部分用户登录非法网站连接或在高风险网站上下载资源，为病毒入侵计算机网络提供了路径；部分用户的计算机系统操作技能不足，经常出现系统操作失误，引发数据信息损坏风险。

2 计算机网络安全技术策略

2.1 防火墙技术

防火墙技术是计算机网络安全防范系统建设中广泛采用的技术，由于传统防火墙技术存在工作方式被动、工作效率低、信息传递闭塞、审计功能较弱以及内部风险防范能力不足等问题，所以必须优化设计混合型防火墙系统，弥补传统防火墙技术弊端。

2.1.1 混合型防火墙结构

主要包括内部防火墙、外部防火墙、堡垒主机、基站主机服务器4 个部分，其中内外防火墙在内外网之间形成安全子网，将公用服务器都屏蔽在安全子网中[3]。混合型防火墙各组成部分的功能如下：（1）内部防火墙。在内部网与安全子网之间设置内部防火墙，借助防火墙过滤安全子网与内部网之间的IP包，避免内部网受到外部网络的入侵。内部防火墙可以传输内部网络主机系统提出的请求，将请求发送到堡垒主机，杜绝未经认证的外部主机对内部网数据进行非法访问。（2）外部防火墙。在Internet 网络与安全子网之间设置外部防火墙，用于防范外部攻击。当外部网络系统访问内部网络系统时，需要经过外部防火墙的检测，待检测后允许外部系统访问指定堡垒主机端口。（3）堡垒主机。在内部网络与外部网络的接点设置堡垒主机，配置安全性高的操作系统，清除系统中的部分工具程序代码，保留FTP、SMTP、HTTP 网络服务程序，并设计独立的过滤管理模块，用于统一管理分离出的网络应用服务。（4）基站主机服务器。在服务器上设置网络安全数据库、过滤策略数据库、网络资源数据库、网络安全知识数据库等，这些数据库均与安全决策相关，由专门的网络管理员负责管理。网络安全数据库要配置安全策略，保存各种网络攻击信息，包括网络专家判断信息、病毒攻击信息、网络供给处理信息等[4]。服务器还针对各种新攻击生成日志文件，存储到智能响应模块中，用于执行新的过滤指令。

2.1.2 混合型防火墙功能实现

在防火墙运行状态下，堡垒主机服务器逐层分析通信协议，过滤管理模式对到达主机的数据包进行过滤，提取出安全信息，将安全信息送到接收基站主服务器，再由服务器回传过滤信息。过滤管理器模块依靠服务过滤功能配置相应程序，完成对数据包的过滤。如果内部网络中出现非法操作行为，防火墙能够快速隔离访问行为，组织数据包传输，并提取数据包中的信息，发送到基站主机服务器，由服务器中的安全数据库对比分析非法操作行为，采取相应的过滤策略，避免非法操作造成网络安全问题。

2.2 入侵检测技术

入侵检测技术是计算机网络安全防范的有效技术策略，当前最为常用的入侵检测技术为误用入侵检测技术和异常入侵检测技术。

2.2.1 误用入侵检测技术

该技术需要预先定义入侵模式，根据入侵发生情况对入侵检测模式进行匹配。误用入侵检测系统采用以下技术：（1）专家系统。在计算机网络中配置专家系统，用于检测外网入侵行为。专家系统采用入侵行为编码，利用“IF 条件THEN 动作”规则。IF 条件是对某些域中的审计记录编写限制条件，THEN 动作是当系统检测到符合限制条件的行为时采取处理动作，可以提高专家系统对用户行为检测的敏感度[5]。专家系统可以识别一个入侵行为产生的一系列审计事件，判断这些审计事件是否符合入侵行为描述。（2）入侵签名分析技术。该技术需要将入侵攻击行为描述转换为系统审计迹中发现的信息，用于匹配数据模式，无需将其描述为语义级攻击。在商用入侵检测系统一般都采用入侵签名技术识别入侵行为，但是该技术通常要在同一时间段识别每一种入侵攻击的多个入侵签名，增大了入侵签名库更新的难度。（3）状态迁移分析技术。该技术能够将某些行为的初始状态迁移到危及系统安全的状态，用系统属性描述这一状态，对初始状态的安全性进行识别，分析两个状态迁移中的关键活动，判断入侵行为对系统安全的影响。状态迁移分析技术能够检测出协同攻击者，快速识别出利用用户会话攻击网络系统的行为。

2.2.2 异常入侵检测技术

该技术是基于行为采取的入侵检测技术，需要以收集入侵性动作为信息基础，生成异常活动子集，通过判断入侵攻击活动与系统正常活动之间的差异识别出入侵行为[6]。异常入侵检测系统需要建立起用户正常行为特征轮廓，当审计迹数据与特征轮廓出现较大差异时，即判定为系统遭受入侵攻击。异常入侵检测系统主要采用以下技术：（1）统计分析技术。在系统中，需要运用统计分析技术统计出主体特征变量的均值、频度、方差、行为属性等特征值，如用户登录时间、资源占用时间、内存使用情况等。系统提取出统计性特征模块，将其应用到监控程序中，用于检测非授权操作行为。（2）神经网络技术。系统采用神经网络从正常用户活动数据中提取出特征数据，无需采用统计分析方式建立起用户特征行为数据集，能够提高审计数据分析效率，解决数据快速更新问题。（3）计算机免疫技术。在入侵检测系统使用计算机免疫关键程序后，能够自动分析用户行为的易变性，在正常执行轨迹中调用短序列集，建立起行为活动特征轮廓[7]。当系统检测到执行轨迹不符合调用序列集中的条件后，即判定为系统受到攻击。

2.3 身份认证技术

身份认证技术是对某实体身份进行鉴别和确认的技术，该技术的认证方式包括口令、钥匙、指纹、视网膜等。下面对常用的身份认证技术进行分析。

2.3.1 口令认证

对每个用户均提供唯一性的口令或标识，当用户登录系统操作界面后，要输入正确的口令或标识，待系统通过验证后允许用户进入系统。如果用户输入口令错误，则系统拒绝用户登录。与其他身份认证技术相比，口令认证虽然易于操作，但是安全性却相对偏低。

2.3.2 数字签名

数字签名技术运用加密技术对报文进行数字签名，用于核实收方身份、认定报文发送行为、杜绝非法者篡改报文[8]。一般情况下，数字签名采用RSA 算法和DES算法进行报文加密、解密。对于用户较多的计算机网络，建议采用基于RSA 算法的数字签名技术，解决密钥分配问题。

2.3.3 认证技术

数字凭证是计算机网络时代下电子商务系统中的重要技术，需要第三方认证机构发放数据凭证，依靠数字凭证保护用户机密信息的安全性。在非对称私密密钥认证系统中，签名密钥与加密密钥处于分开状态，认证机构只能获取用户签名公钥，而无法获取加密密钥，所以能够保证用户信息的安全性。

2.3.4 数据证书

数字证书是对通信各方身份信息进行标志的数据，该证书由权威机构发行，用于通信各方识别对方的身份。在数据证书使用中，计算机网络还要建立身份认证系统，保证从信息发送到信息接收期间不会出现信息窃取、信息篡改风险，并且避免发送方对发送信息出现抵赖行为。

2.4 虚拟专用网技术

虚拟专用网技术（VPN）是通过公用网络安全地远程访问内部专用网络的一种安全技术，能够实现公共网络与专用网络之间信息的安全传输。VPN 技术利用认证技术、加密技术在公共网络上建立专用隧道网络，提高公共网络上传输私有数据的安全等级。在计算机网络安全防护中，可以采用VPN 技术验证用户身份，借助点对点协议、点对点加密算法加密处理数据，并由远程VPN服务器强制执行身份认证。在网络数据传输中，VPN 针对敏感数据实施物理隔离机制，仅允许有权限的用户在建立起VPN 连接后访问敏感数据。VPN 技术在专用网络范围建立起点对点的网络共享平台，能够保证所有数据流传输的安全性。在采用VPN 技术进行网络安全防范时，还要结合采用安全扫描技术、防火墙技术、入侵检测技术等，创建安全的网络环境。

2.5 防病毒技术

计算机网络安全易受到病毒入侵威胁，为保证网络安全，应采用防病毒技术消除病害，防止病毒入侵网络。计算机网络系统应建立起多层次的病毒防护体系，采用有效的病毒防护策略，具体技术策略如下：（1）在计算机操作系统、服务器以及Internet 网关上安装防病毒软件，24h 在线监测网络安全运行状态，第一时间隔离病毒[9]。防病毒软件要具备系统兼容性、易用性、可管理性等特点，能够强力查杀各类病毒，防范病毒扩散；（2）计算机网络用户可以建立病毒防杀中心，通过中心管理多台联网计算机，统一查杀联网计算机病毒。查杀后及时公告病毒查杀信息，定期升级病毒库，确保病毒防杀中心能够有效查杀最新病毒。在域外联网计算机病毒查杀中，病毒防杀中心要提供电子邮件病毒网关功能、在线杀毒功能、病毒引擎功能等，有效防范域外联网状态下的病毒传播。

3 结语

计算机网络安全管理是保障网络信息安全、净化网络运行环境以及促进信息化建设全面开展的一项重要工作。在计算机网络安全管理中，要以识别网络安全现状为前提，找到网络安全薄弱环节，再采用防火墙技术、入侵检测系统、身份认证技术、VPN 技术和防病毒技术等有效的安全防范技术措施，提高计算机网络安全等级，避免计算机网络受到非法入侵，从而保障网络信息安全。

引用

[1] 范清永.试论当下计算机网络安全现状及对策[J].信息记录材料,2021(5):58-59.

[2] 刘超南.计算机网络安全现状及防御技术[J].通讯世界,2019 (1):123-124.

[3] 陈瑞.计算机网络安全现状分析与防御技术探讨[J].科技资讯,2018(13):9-10.

[4] 施卫民.计算机网络安全防护技术和策略研究[J].无线互联科技,2022(4):17-19.

[5] 陈嘉楠.网络维护中应用计算机网络安全技术的策略探究[J].软件,2022,43(2):93-95.

[6] 赵广磊,牛俊朋.基于计算机网络技术的计算机网络信息安全及其防护策略分析[J].科学与信息化,2022(3):49-50.

[7] 李长挺.信息化背景下计算机网络信息安全防护策略[J].电子世界,2022(1):146-147.

[8] 张年英.计算机网络安全技术及其完善策略探讨[J].信息记录材料,2021(4):65-67.

[9] 郭均栋,齐文彬.计算机网络安全技术的影响因素与防范策略[J].科技视界,2021(27):175-176.