計算機信息處理能力和信息安全能力的提升路徑

曲濱鵬 繆佳 朱麗娜 曲超毅

（1.山東醫學高等?？茖W校 山東省濟南市 250100 2.山東大學齊魯醫院 山東省濟南市 250012）（3.中國聯合網絡通信有限公司濟南市分公司 山東省濟南市 250012）

云計算、大數據技術的出現對計算機網絡有重大的影響，顯著的提高了計算機系統運行的效率，但是當下必須意識到計算機網絡系統安全問題，防止數據在系統傳輸期間出現遺失、篡改等問題，需要提高計算機信息處理與安全防護的水平，了解信息技術使用需求，采用科學的方式進行維護。在信息技術高速發展下，根據計算機信息安全防護要求，積極的開發新型安全防護技術，提高計算機系統在運行過程中的可靠性、安全性，借此提高信息技術的利用率。本文以高新區開發區智慧園區信息安全體系構建項目為例，分析計算機網絡安全防護工作的開展方法。

1 安全技術體系

1.1 網絡安全方案

1.1.1 訪問控制

網絡安全方案通過防火墻設備，完成網絡訪問控制的安全防護工作。對訪問模塊進行常規設計，根據訪問控制規則，確定是否允許IP 包通過，通過防火墻防止非授權用戶傳輸IP 包。

1.1.1.1 實施策略

采用專門的防火墻或是在路由器設置訪問控制列表，前者可以通過防火墻完成數據隔離與子網訪問控制的目；后者利用訪問控制列表，隔離子網數據與訪問控制。訪問控制安全性是防火墻防控設置必須考慮的內容，保證骨干網構建安全且配置方式簡單的訪問控制，在路由器的連接下實現訪問控制，對訪問安全性要求高的子網，利用路由器完成訪問控制列表設計，該列表的設計方式較為復雜，會在一定程度上影響到路由器傳輸表現，所以盡可能使用防火墻安全設置的方式，選擇包過濾型。此種方法可以提高數據傳輸的可靠性、安全性，同時數據傳輸的速度也不會受到太大的影響。防火墻考慮到用戶網絡安全，所以在設計時選擇代理型防火墻，從而可以節省公共IP。

基本要求：安全技術體系網絡安全方案設計，在沒有特殊原因的前提下關閉IP 定向傳播，關閉不需要的服務，如echo、finger 等，關閉IP 源路由功能；對于非特殊需要的情況，一般不會使用路由器中的HTTP 服務。如果需要SNMP 應該盡可能使用版本2 以上的管理協議，如果情況特殊只能使用SNMP 版本1 的管理協議，必須對訪問地址完成條件設置；防火墻配置需要構建內容完整的文檔，保存防火墻的日志內容，防火墻檢測過程中在日志服務器中完成備份操；對重要的日志每天進行檢測，通過internet 訪問的用戶使用認證機制，采取挑戰應答、一次性密碼等方式，提高網絡防護水平。

1.1.1.2 網絡接入點

基本要求：按照國家端口號、IP 地址過濾信息，過濾主干網絡設備擁有管理功能，系統擁有實時監控與流量控制的能力，可以完成較低或較高性能的延遲處理，滿足高帶寬的要求，系統可以對指定地址完成流量監控，記錄流量的傳輸信息。發現網絡入侵安全問題，保護用戶的信息，對有害站點進行訪問控制，按照設定的流程過濾有害信息。

1.1.2 認證系統

提高信息傳輸與通信的完整性，使用AAA 機制，限制非法訪問，確認用戶身份，保證用戶身份信息的合法性、真實性。在用戶使用網絡資源時，完成對用戶網絡資源的訪問，信息訪問行為的記錄，以便后期進行事件追溯與審計工作。

管理員根據主干網絡運行，對連接網絡的每個路由器進行設置，對不同的管理員設置不同的用戶名。路由器使用動態路由協議，在支持認證的條件下激活認證機制。采用一次性口令與集中認證方式。

1.1.3 日志

分析日志信息，定期進行信息分析工作，及時發現系統存在的安全漏洞，如果因為安全策略漏洞導致系統發生安全故障，可以利用日志完成試卷追溯與分析，快速發現安全漏洞的位置并找到責任人。網絡設備使用過程中會產生流量，為完成網絡安全保護工作，將網絡設備的日志傳輸到日志服務器內，處理日志內容，序列化網絡事件，對日志服務器進行定期審計，查看網絡設備的運行狀況。除此之外，還可以通過日志信息的整理、分析，判斷網絡設備是否遭受攻擊，查詢管理人員操作記錄，分析用戶行為，完成攻擊防護任務[1]。

1.1.4 入侵檢測系統

入侵檢測系統完成對流經數據包的分析，在數據分析期間過濾操作數據包與含有攻擊指令的數據包。作為安全系統的重要內容，提高網絡防攻擊的能力，提高網絡運行安全程度，提供對外部攻擊、內部攻擊、誤操作的檢測服務。使用智能檢測算法對網絡數據包進行高效分析，配置過濾規則知識庫，檢測通過系統的信息包，保障網絡通訊不受外界因素干擾。防止用戶非法操作影響系統運行的安全性，還可以阻擋黑客攻擊行為。入侵檢測系統可以使管理人員快速掌握網絡系統現在設備、文件、程序等信息的變更情，還可以根據安全需求、系統構造、網絡威脅的改變而變化，結合網絡安全策略編制使用說明，在發現網絡遭到攻擊后，入侵檢測系統快速作出反應，比如完成報警、切斷網絡連接、在網絡運行期間記錄事件等。

入侵檢測系統分為基于知識與基于規則兩大類別，基于規則入侵檢測試分析已知攻擊特征，收集網絡數據，快速分析攻擊類別，提高攻擊類別分析效率。但是入侵檢測系統只能對已知攻擊進行高效識別，入侵檢測系統在主機運行中完成截取網絡流量、監聽網絡流量等工作[2]。

基本要求：對網絡攻擊進行檢索判斷，快速發現已知網絡攻擊行為；攻擊行為尚未到達目標主機便可以通過快速識別、精準判斷，及時發現網絡攻擊行為，追尋發起網絡攻擊的IP 地址，確定攻擊類型、攻擊發起時間等信息；使用蜂鳴器指示燈等設備發送預警信號，使網絡管理人員可以快速發現攻擊行為[3]。

1.1.5 安全加密

1.1.5.1 虛擬專用網

公用網絡平臺使用加密IP 隧道，完成私有IP 包的傳輸工作，利用互聯網絡的邏輯網絡傳輸IP 包。虛擬專用網任意節點的連接方式，沒有采用傳統專網端對端的聯絡方法，使用加密IP 隧道，利用邏輯網絡提高IP 包傳輸的安全性，用戶數據在邏輯鏈路中完成不同局域網數據的傳輸工作，使專用網絡的功能與安全得到保障[4]。

1.1.5.2 遠程登錄SSH

SSH 通信系統在保密數據與防止竊聽者泄露密碼的前提下，保證IP、TCP 的FTP 與Telnet 安全連接，使遠程辦公人員或遠距離系統管理人員可以訪問公司網絡資源。

被管理設備與客戶管理主機在SSH 通信信道上完成密碼加密、遠程用戶名登錄，保證遠程登錄的可靠性、安全性，防止信息在管理過程中出現篡改、盜取等情況，提高管理信息的可用性、完整性[5]。

1.2 云計算安全方案

1.2.1 設計原則

云計算安全方案按照項目所在區域（高新區智慧園區）對網絡安全攻擊的安全目標、安全需求進行分析，確定安全機制所需的安全服務要素，掌握ISO17799、SSE-CMM 等國際標準，從可管理性、可實施性、可擴展性、系統均衡性、綜合完備性等方面進行考量，在此基礎上模擬系統安全，關注網絡隔離技術、物理安全、應用層面安全、加密與認證、網絡反病毒等內容，這是云計算安全方案設計必須考慮的內容，也是信息安全方案技術實現的關鍵[6]。

1.2.2 云安全總體架構

云安全總體架構從應用、技術、監管、服務等多個層面出發，考慮到計算環境與數據分離引發的安全問題，綜合各方面因素重新確定云計算安全需求，在此基礎上建立政務云計算安全架構，信息基礎設施以云為基礎，可以提高系統運行的安全程度。云計算環境體系構架參考國內外標準，建立縱深防御、動態自適應的云計算安全體系（如圖1所示）。

1.2.3 云安全技術體系

1.2.3.1 虛擬化管理器安全控制

虛擬化安全涵蓋虛擬機、虛擬機監控器、虛擬機通信、虛擬機鏡像管理、虛擬機動態遷移、虛擬機安全隔離、虛擬機鏡像完整性等內容。虛擬安全在設計過程中從系統層面出發，考慮解決虛擬化安全問題的方法，安設強身份認證、安全加固控制、擬化可信啟動等模塊，虛擬化管理其安全控制的實現依賴虛擬機自省機制與各虛擬化接口庫[7]。

1.2.3.2 虛擬化強身份認證

用戶在虛擬環境下的安全是虛擬化防護系統設計的重點考量要素，在此基礎上設計虛擬化防護系統設計，完成用戶管理與特權用戶權限分散管理。按照不同云服務所屬的用戶組、用戶層次、權限進行類別劃分，為不同類別客戶推送其需要的服務，考慮不同客戶對網絡安全級別的需求，提供用戶管理模塊，為不同用戶推送不同的安全服務，服務含有統一的訪問控制、身份認證、用戶行為審計等[8]。

2 計算機信息安全保護使用的方法

計算機信息處理系統在應用過程中必須合理的使用安全保護措施，以提高技術應用過程中的安全性、可靠性。目前，我國在計算機信息安全方面發展迅猛，出現了多種安全保護方案，下面進行詳細的介紹。

2.1 訪問控制與安全認證技術

訪問控制與安全認證技術在計算機安全防護方面應用廣泛，訪問控制技術通過訪問文件權限與目錄，完成身份鑒別，在登錄身份認證信息方式下，加強系統平臺操作人員信息的安全性，強制訪問控制、自主訪問控制、角色訪問控制在用戶信息保護方面應用頻繁。安全認證技術需要數字簽名與數字口令兩種技術相互配合，在信息安全認證時采用消息認證與身份認證兩種形式，依次完成計算機信息技術安全保護工作。智能卡認證、口令認證、生物技術認證、面部識別均是身份認證技術的內容，可以提高計算機信息系統在運行過程中的安全程度[9]。

2.2 入侵安全檢測技術與防火墻技術

這兩項技術是計算機信息處理系統常用的保護方式，其中入侵安全檢測技術對網絡信息與病毒庫中的信息進行識別防御，和防火墻被動防御方式不同，屬于主動防御的技術，入侵安全檢測技術完成數據的比對、分析，發現異常信息后自動觸發機制，完成病毒抵御、攔截、殺毒等工作，保護計算機網絡。入侵檢測、安全檢測、高級檢測均是入侵檢測技術的主要方式。防火墻技術利用代理技術、數據管理、技術數據、檢測技術來提高系統網絡的安全系數，防止非法用戶采用技術手段強行登錄網絡，阻止外部病毒對系統網絡的侵害，提高網絡抵抗病毒攻擊的能力，保證計算機網絡的安全性，讓計算機信息處理系統可以高效、安全的處理信息，滿足系統使用需求。數據加密技術是用戶提高計算機信息處理安全性的常用技術，在信息傳輸、整理的過程中，利用數據加密處理能夠提高信息傳輸的安全性[10]。

2.3 非對稱加密數據與對稱加密的技術

非對稱加密數據與對稱加密的技術是網絡數據安全管理的常用方式，根據實際需要形成面向網絡與面向應用服務的數據加密形式。其中，面向網絡加密技術應用在傳輸層、網絡層、數據加密等領域。比如，在遠程登錄系統中應用數據加密處理，提高系統運行的安全性。網絡安全巡檢系統，其應用在論壇、博客等個人信息服務網站中，可以提高系統安全程度，防止用戶在頁面瀏覽的同時，泄漏個人信息。機器排查與人工排查是中型網站開展信息查詢工作的主要手段，在云計算、大數據與物聯網等技術輔助下形成安全巡檢保障機制，可以提高傳統網絡安全巡檢系統的保全保障能力，應用在多種信息服務網站中，快速發現個人數據安全巡檢存在的問題，識別病毒與垃圾信息，在多種技術支撐下擁有智能恢復信息的功能，提高網絡安全巡檢工作的效率與效果。

3 結語

在信息技術高速發展的背景下，計算機信息技術與信息安全成為我們必須高度重視的內容，為提高計算機信息技術與信息安全方面的工作效果，需要建立系統、完整的安全防護體系，結合具體數據完成計算機數據保護工作，積極的開發計算機安全防護技術，優化計算機管理系統，保證計算機信息處理技術擁有良好的工作效果，推動計算機行業的發展。