彭珂

摘要：隨著信息技術的發(fā)展，計算機網絡系統(tǒng)已經成為信息資源共享，用戶交流的主要平臺，但是由于在早期網絡協議設計本身對安全問題的重視程度不夠，后期計算機網絡安全的管理和使用也力度不足，造成當下機算機網絡安全體系的不完善，系統(tǒng)本身受到嚴重威脅，該文試從計算機網絡本身存在的安全缺陷入手，介紹網絡信息安全的關鍵技術、攻守對策，試圖構建具有完整性、可用性、保密性、可控性、可靠性的計算機網絡信息安全體系。

關鍵詞：計算機網絡；安全漏洞；防控技術；信息安全

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2012)23-5577-02

Discussion on the Computer Network Information Security System Construction

PENG Ke

(Guangxi Hezhou Peoples Hospital, Hezhou 542800,China)

Abstract: With the development of information technology, computer network has become the information resources sharing, the main platform of user s exchange, but due to the early network protocol design itself on safety issues seriously enough, later computer network security management and use are inadequate, resulting in the current computer network security system is not perfect, system itself is threat? ened seriously, this article start from the computer network existence safety defect, introduced the key technology of network information security, the offensive and defensive countermeasure, try to construct has the integrity, availability, security, controllability, reliability of computer network information security system.

Key word: computer network; security vulnerabilities; security control; technology of information security

1計算機網絡信息安全現狀

計算機和網絡技術的復雜性和多樣性，定期升級和技術發(fā)展要求計算機和網絡安全持續(xù)更新和提高才能滿足用戶需求和保障運營商安全。雖然針對計算機網絡安全的技術已經不斷更新，但是由于網絡協議本身存在漏洞，攻擊網絡的方法和手段具有易得性，軟件升級周期縮短漏洞增多以及現行法規(guī)政策和管理方面存在不足等多方面原因，使得多種攻擊手段利用網絡信息安全的漏洞進行惡意的攻擊，從而造成計算機網絡系統(tǒng)的運行不良和安全隱患，比較常見的有蠕蟲、后門(Back-doors)、Rootkits、DOS(Denialof Services)和網路監(jiān)聽等等，就現階段而言，計算機攻擊的手段可以說五花八門，具有很強的隱蔽性并且逐步智能化，通過對軟件的截取和攻擊進而破壞整個計算機系統(tǒng)，而且，計算機網絡攻擊者常常出于各種目的將政府部門和軍事部門的計算機為攻擊目標，導致相關的國家機密泄漏或者系統(tǒng)癱瘓，對于社會和國家安全所造成威脅和破壞是相當巨大的。

2影響計算機網絡信息安全系統(tǒng)的因素

2.1現有網絡安全技術的缺陷

當下網絡安全技術的研究，一般而言針對網絡安全問題的某一個或幾個領域來設計的，雖然能夠較好的防御某項攻擊，但是無法防范和解決其他的問題，對于整個計算機系統(tǒng)的安全而言不能提供較為全面有效的保護，當前計算機網絡信息安全方面的難題主要包括身份認證、電子簽名、數據流通過程中的保密性完整性以及應用系統(tǒng)整合性，在對計算機網絡信息安全的保護上，身份認證和訪問控制技術可以很好的解決網絡用戶身份確認的問題，防止第三方的惡意闖入，但是數據流通過程中的安全的信息無法保障；在計算機病毒防御過程中，防毒軟件能有效防毒和殺毒，但是對身份認證和應用系統(tǒng)整合方面就無法起到安全保障的作用?？偠灾?，現今網絡安全技術不乏專業(yè)性，但是缺乏系統(tǒng)性。

2.2計算機病毒攻擊

計算機病毒可謂是所有危害網絡信息安全因素中最常見的一種，計算機病毒的制造者攻擊對象不確定，通過軟件植入、郵件發(fā)送等方式將計算機病毒安放在用戶的計算機內，附著在其它應用程序上，具有很強的擴散和潛伏能力，當這些程序被激活運行時，會在整個計算機系統(tǒng)內部擴散，將會給用戶造成難以估計的損失。輕則可能會大量占用網絡帶寬，阻塞正常流量，使系統(tǒng)上作效率下降，重則造成系統(tǒng)死機或毀壞，使部分文件或全部數據丟失，甚至造成計算機主板等部件的損壞。

2.3漏洞問題以及后門問題

由于計算機軟件的性質需要不斷更新升級，軟件會不可避免的存有漏洞，這是不可否認的事實，漏洞恰恰是非法用戶竊取用戶信息和破壞信息的主要途徑，最常見的攻擊形式有利用協議漏洞獲得系統(tǒng)管理員的特權，竊取或者破壞用戶的信息；另外，攻擊者可以利用該漏洞發(fā)送超長的指令，造成系統(tǒng)運行的不穩(wěn)定，使得用戶無法正常操作自己的計算機，影響正常工作進度，還有IP地址轟擊等方法等等。最后，在軟件公司設計軟件編程過程中，為了自便會留有程序“后門”，方便控制和管理，雖然一般不為外人所知，但一旦“后門”出現洞開，將會使整個安全系統(tǒng)被長驅直入，造成啊難以估量的損失。

2.4現行法規(guī)政策和管理存在不足

計算機網絡信息安全保護方面的法律條款不完善，可操作性查，具體執(zhí)行方面力度不足。計算機管理人員責任心差，對待工作不認真，技術操作不規(guī)范，缺乏行之有效的安全防范機制和安全檢查保護措施，系統(tǒng)口令的設置具有隨意性或者主觀化，由于防范意識不足，單位內部管理制度不嚴格，對單位的賬號的維護力度不夠，不經意的轉借和泄露都會造成信息的丟失或篡改。更有甚者，一些網絡管理員利用職務之便從事網上違法行為。這些現象的發(fā)生都是由于相關法律和規(guī)章制度的不健全，造成管理缺位。

2.5人為破壞因素愈演愈烈

計算機信息網絡上的黑客攻擊事件、各種信息戰(zhàn)以及計算機犯罪的數量等等都有愈演愈烈之勢，網絡黑客利用信息網絡本身的不完善性和缺陷，通過植入病毒，間諜軟件等等，竊聽、獲取、攻擊具有相關敏感性的重要信息，轉賣給相關利益人群，非法從中獲利；隨著商業(yè)戰(zhàn)爭的升級，有專業(yè)的計算機人員利用技術手段侵入對方系統(tǒng)，在關鍵時刻對其信息網絡進行破壞，造成對方數據丟失或系統(tǒng)癱瘓，從而在競爭中獲得優(yōu)勢；另外，由于計算機犯罪不受時間、地點、條件限制，利用網絡行騙可以以較低低成本獲得較高收益，犯罪分子行跡容易隱藏，使得犯罪分子更愿意采用網絡技術來獲得非法利益，刺激了網絡犯罪的增長，這些人為因素的增加，對于計算計網絡信息安全系統(tǒng)能夠的維護產生不利的印象。

3計算機網絡信息安全系統(tǒng)的構建

3.1加強訪問控制策略

訪問控制是網絡安全防范和保護的主要策略，針對越權使用資源的一種防御措施，從源頭上保證網絡資源不被非法使用和非常訪問。實現網絡系統(tǒng)的安全和網絡資源的保護，首先從保證入網訪問控制，主要通過驗證用戶賬號、口令等來控制用戶的非法訪問對于用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查嚴格的規(guī)定。其次，要對進行網絡的權限控制，通過受托者指派和繼承權限屏蔽（IRM）的方式實現文件、目錄、設備能被那些用戶所操作。最后，通過技術手段，實現目錄級安全控制、屬性安全控制、網絡服務器安全控制、網絡監(jiān)測和鎖定控制、網絡端口和節(jié)點的安全控制。從而整體實現對訪問控制的有效加強。

3.2信息加密技術

數據信息流通過程中為保護網內的數據、文件、口令和控制信息不被非法泄露，防止被競爭對手獲取利用，可對所要傳輸的數據進行加密，常用的方法有鏈路加密、端點加密和節(jié)點加密三種，從技術角度而言，信息加密是保證信息機密性的最為有效的方法，微軟公司的Windows XP就有這樣的數據加密功能，這樣一來，即使信息在流通過程中被非法截獲，沒有相應的解密規(guī)則就無法獲得其中的有效信息，從而達到信息的有效保護。

3.3加強病毒防范

病毒之所以能夠入侵，其根本原因在于系統(tǒng)本身存在漏洞，給了不法分子以可乘之機，因此病毒的預防和清理與漏洞的檢測是不可分離的，有效的病毒防范體系主要包括漏洞檢測、病毒預防、病毒查殺、病毒隔離等措施，首先要采用專業(yè)工具對系統(tǒng)定期進行漏洞檢測，發(fā)現漏洞的同時及時安裝補丁程序，不給病毒可乘之機。其次，病毒的實時檢測，對于病毒庫要及時更新，及時處理已經存在的病毒，不給病毒潛伏的機會。再次，建立病毒預警機制，病毒出現及時反映，有效加強殺毒控毒的處理能力。最后，主要是對不能殺掉的病毒進行隔離，以防病毒再次傳播。

3.4防火墻技術

防火墻技術是隔離在本地網絡與外界網絡之間的一道防御，一套完整的防火墻系統(tǒng)通常是由屏蔽路由器和代理服務器組成。防火墻主要有包過濾防火墻、代理防火墻和雙穴主機防火墻三種類型，根據企業(yè)的安全政策控制出入網絡的信息流,應用過濾防火墻技術無法對攜帶內容檢查，應用代理防火墻技術則無法對數據包頭檢查，因此最為全面的防火墻技術應綜合采用包過濾防火墻技術和代理防火墻技術，既能實現對數據包頭的檢查，又能實現對其攜帶內容的檢查。

3.5建立安全實時防御和恢復系統(tǒng)

由于計算機本身系統(tǒng)更新功能，系統(tǒng)本身的漏洞和控制，沒有百分百安全和保密的網絡信息,因此要求網絡要在被攻擊和破壞時能夠及時發(fā)現,及時反映,盡可能快的恢復網絡信息中心的服務,這樣才能真正做到減少損失,因此應當將安全實時防御和恢復系統(tǒng)歸納到網絡安全系統(tǒng)之中，具體而言包括安全檢測預警機制、入侵檢測機制、安全反映機制和安全恢復機制。其中，安全檢測預警機制實時監(jiān)視網絡上的數據流，尋找具有網絡攻擊特征和違反網絡安全策略的數據流，包括實時報警、記錄有關信息、實時阻斷非法的網絡連接、對事件涉及的主機實施進一步的跟蹤等；入侵檢測系統(tǒng)則是在網絡系統(tǒng)能夠快速發(fā)現攻擊，隨即擴展了系統(tǒng)管理員的安全管理能力，從而可以提高了信息安全基礎結構的完整性。

參考文獻：

[1]謝浩浩.計算機網絡安全綜述[J].科技廣場,2009(11).

[2］姚華,肖琳.網絡安全基礎教程[M].北京:北京理工大學出版社,2007.

[3]劉宗田.WEB站點安全與防火墻技術[M].北京:機械工業(yè)出版社,2006.