計算機網(wǎng)絡(luò)安全的現(xiàn)狀及防范策略研究

摘要：文章簡要分析了現(xiàn)階段計算機網(wǎng)絡(luò)系統(tǒng)中存在的計算機病毒、黑客攻擊、軟件漏洞、用戶安全意識不強、安全策略配置不當?shù)劝踩珕栴}，結(jié)合實際情況給出了一些具體的防范對策，健全網(wǎng)絡(luò)安全機制，保證計算機網(wǎng)絡(luò)安全、穩(wěn)定、高效運行。

關(guān)鍵詞：計算機系統(tǒng)網(wǎng)絡(luò)安全防范策略

1 概述

網(wǎng)絡(luò)辦公、視頻會議等已逐漸應(yīng)用到企業(yè)辦公中，多數(shù)企業(yè)用戶已建立了完善的網(wǎng)絡(luò)辦公協(xié)同環(huán)境。計算機網(wǎng)絡(luò)給我們的生活帶來便捷的同時，也帶來了來自網(wǎng)絡(luò)安全的威脅，計算機網(wǎng)絡(luò)安全問題已關(guān)系到我們的工作質(zhì)量、工作效率和個人信息的安全。網(wǎng)絡(luò)安全維護已成為信息化建設(shè)的重點研究問題。

2 計算機網(wǎng)絡(luò)安全現(xiàn)狀分析

計算機病毒具有破壞性、傳染性、潛伏性和隱蔽性的特點，傳播方式多樣、傳播速度快，可以隱藏在文件或是程序代碼中伺機進行復(fù)制和發(fā)作。由于計算機網(wǎng)絡(luò)組織形式多樣、終端分布廣以及網(wǎng)絡(luò)的開放性，其很容易遭到外部攻擊。黑客會通過系統(tǒng)漏洞侵入到網(wǎng)絡(luò)中對計算機系統(tǒng)進行攻擊，竊取或破壞數(shù)據(jù)，甚至使整個網(wǎng)絡(luò)系統(tǒng)癱瘓。

2.1 黑客攻擊

計算機安全隱患中另一個主要威脅是黑客攻擊。黑客利用系統(tǒng)或軟件中存在的漏洞進入到用戶計算機系統(tǒng)中，對用戶計算機進行操作，損壞、更改或泄露用戶的數(shù)據(jù)，或利用用戶的計算機進行非法操作，危害性極大。黑客攻擊分為網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)偵查，網(wǎng)絡(luò)攻擊通常是以入侵用戶計算機系統(tǒng)、竊取用戶機密數(shù)據(jù)或是破壞系統(tǒng)數(shù)據(jù)為目的。

2.2 用戶安全意識不強

在計算機的使用過程中，用戶安全意識薄弱是造成網(wǎng)絡(luò)安全問題的一個重要因素。用戶未對機密文件加密，對他人泄露操作口令或不設(shè)置操作口令，或是隨意泄露網(wǎng)絡(luò)賬號等信息，共享文件，啟用遠程桌面等，這些行為都埋下了網(wǎng)絡(luò)安全隱患，為攻擊者提供了便利條件。隨意打開未知文件或是網(wǎng)站、未經(jīng)殺毒就直接打開移動存儲設(shè)備等操作行為都有可能陷入攻擊者的陷阱之中。

2.3 安全策略配置不當

為了提升計算機網(wǎng)絡(luò)的安全性，大多數(shù)企業(yè)都配備了防火墻等安全產(chǎn)品。只有結(jié)合各個企業(yè)的具體情況進行有效的安全策略設(shè)置，才能充分發(fā)揮安全設(shè)備的防護作用。而在實際工作中，不乏有些計算機安全管理人員未能對此有足夠的重視，忽視了一些安全策略的設(shè)置，造成了網(wǎng)絡(luò)安全隱患的存在。

3 計算機網(wǎng)絡(luò)安全改進措施

3.1 網(wǎng)絡(luò)物理安全

在整個網(wǎng)絡(luò)物理安全控制過程中，機房建設(shè)是重點。機房的建設(shè)要符合安全可靠、應(yīng)用靈活、管理科學(xué)等要求，要重視供配電、安全防范、空氣凈化、防靜電、防磁、防水防潮、防雷、防火等多方面的安全設(shè)施。在改善設(shè)備運行環(huán)境的同時也要加強計算機及網(wǎng)絡(luò)設(shè)備的維護，對網(wǎng)絡(luò)設(shè)備和計算機進行定期檢修和維護，并做好相關(guān)記錄。

3.2 防火墻技術(shù)

防火墻技術(shù)作為企業(yè)內(nèi)部與外部網(wǎng)絡(luò)的第一道安全屏障，最先受到人們的重視。防火墻技術(shù)能有效提升內(nèi)部網(wǎng)絡(luò)的安全性，通過隔離、過濾、封鎖等技術(shù)阻止非法用戶對內(nèi)部數(shù)據(jù)的訪問，保護企業(yè)信息資源，降低服務(wù)風(fēng)險。通過配置防火墻的安全方案能將所有安全軟件配置在防火墻上，通過內(nèi)外部的網(wǎng)絡(luò)規(guī)劃可實現(xiàn)對內(nèi)部重點網(wǎng)絡(luò)區(qū)域的隔離，避免網(wǎng)絡(luò)敏感區(qū)域?qū)θ志W(wǎng)絡(luò)安全問題的影響。根據(jù)防火墻提供的服務(wù)和安全等級要求分為多種結(jié)構(gòu)，常見的有：包過濾型防火墻、雙宿主主機防火墻、屏蔽主機防火墻、屏蔽子網(wǎng)防火墻。

3.3 加密技術(shù)

在當下計算機網(wǎng)絡(luò)安全現(xiàn)狀中，加密技術(shù)是保障信息安全傳遞和交流的基礎(chǔ)技術(shù)，對網(wǎng)絡(luò)安全起到了決定性的作用。加密技術(shù)的應(yīng)用主要包含以下幾個方面：

3.3.1 存儲加密技術(shù)和傳輸加密技術(shù)

存儲加密技術(shù)分為密文存儲和存取控制，目的是為了防止數(shù)據(jù)在存儲過程中泄漏。主要通過加密算法轉(zhuǎn)換、附加密碼加密、加密模塊等方式實現(xiàn)，存取控制主要通過審核用戶資格和限制用戶權(quán)限，識別用戶操作是否合法，防止合法用戶越權(quán)存取數(shù)據(jù)，阻止非法用戶存取信息。傳輸加密技術(shù)通過線路和兩端加密兩種方式，對傳輸過程中的數(shù)據(jù)進行加密，保證傳輸過程中數(shù)據(jù)的完整和安全性。

3.3.2 密鑰管理加密技術(shù)和確認加密技術(shù)

密鑰管理加密技術(shù)的應(yīng)用是為了方便用戶使用數(shù)據(jù)，數(shù)據(jù)加密多表現(xiàn)為密鑰的應(yīng)用，密鑰的管理就顯得尤為重要，合理的密鑰管理技術(shù)方案要求能保證合法用戶的權(quán)限。密鑰的媒介主要有磁卡、磁帶、磁盤、半導(dǎo)體存儲器。密鑰的管理技術(shù)包含密鑰的生成、密鑰的分配、密鑰的保存、密鑰的更換以及密鑰的銷毀等環(huán)節(jié)上的保密措施。網(wǎng)絡(luò)信息的加密技術(shù)通過嚴格限定信息的共享范圍來防止信息被非法偽造、纂改和假冒。

3.3.3 消息摘要和完整性鑒別技術(shù)

消息摘要是由一個單向Hash加密函數(shù)對消息作用而產(chǎn)生的。消息發(fā)送者使用個人的私有密鑰摘要，消息摘要的接收者可以通過密鑰解密確認消息的發(fā)送者，如果消息在發(fā)送途中被改變，接收者通過分析新摘要和原摘要的區(qū)別來確認消息是否已被改變，消息摘要保證了消息的完整性。完整性鑒別技術(shù)包含口令、密鑰、身份等幾項的鑒別，通常為了保密系統(tǒng)通過對比驗證對象的輸入的特征值預(yù)先設(shè)定的參數(shù)，實現(xiàn)信息的加密作用和保證數(shù)據(jù)的安全性。

3.4 提高網(wǎng)絡(luò)管理員及用戶的安全意識

網(wǎng)絡(luò)管理員和用戶的安全意識直接影響到對網(wǎng)絡(luò)系統(tǒng)安全問題的控制。要求提高網(wǎng)絡(luò)管理人員和用戶的安全意識，加強管理人員的職業(yè)道德，樹立良好的責(zé)任感，促進網(wǎng)路安全體制的建立和執(zhí)行。

4 計算機網(wǎng)絡(luò)安全設(shè)計策略

4.1 建立信任體系

4.1.1 證書管理系統(tǒng)采用基于國際標準PKI技術(shù)開發(fā)的證書和密鑰管理系統(tǒng)，具有符合標準、開放、安全性高、功能全面、工組流程清晰、配置靈活等特點，且提供了與其它PKI/CA體系的接口，易于擴展。

4.1.2 目錄服務(wù)器集中存儲用戶的身份信息、服務(wù)數(shù)據(jù)、訪問策略和證書等，是整個方案設(shè)計的基石，是應(yīng)用層訪問控制的基礎(chǔ)，是用戶管理的核心。系統(tǒng)中設(shè)置四個目錄服務(wù)器，內(nèi)部兩個作為主目錄服務(wù)器，包含所有信息記錄，另外兩個相互復(fù)制來保持其含有最新數(shù)據(jù)，保證任何一個服務(wù)器發(fā)生故障都不會造成信息的損失。

4.1.3 認證服務(wù)器的主要功能是認證服務(wù)和授權(quán)策略管理，保證商業(yè)信息的安全傳輸。用戶認證/授權(quán)管理平臺實現(xiàn)了統(tǒng)一的用戶身份管理的功能。采用集中的策略管理、單點訪問控制、數(shù)字證書、令牌卡等方式增強應(yīng)用程序和數(shù)據(jù)的安全性，提高用戶效率，減少系統(tǒng)維護工作量，提高運行效率。

4.2 網(wǎng)絡(luò)邊界保護策略

為了滿足網(wǎng)絡(luò)敏感信息系統(tǒng)的安全需求，采用密碼技術(shù)將企業(yè)核心業(yè)務(wù)網(wǎng)絡(luò)區(qū)域與外部網(wǎng)絡(luò)進行隔離，確保內(nèi)部信息系統(tǒng)的安全性。

4.2.1 以密碼技術(shù)為基礎(chǔ)的網(wǎng)絡(luò)隔離系統(tǒng)是由外部訪問控制服務(wù)器、安全隔離與信息交換設(shè)備和內(nèi)部訪問控制服務(wù)器組成的具有層次結(jié)構(gòu)的系統(tǒng)，如圖1所示。該系統(tǒng)控制機制包含內(nèi)外網(wǎng)代理、可信的數(shù)據(jù)交換、基于PKI/CA的身份認證與授權(quán)訪問等，并采用反向代理功能作為應(yīng)用網(wǎng)關(guān)。系統(tǒng)配備病毒網(wǎng)關(guān)和內(nèi)容過濾機制，起到凈化數(shù)據(jù)、控制消息類攻擊的作用。

4.2.2 以代理機制為基礎(chǔ)的訪問控制。針對企業(yè)安全層次的需求，對不同安全級別的資源進行多層次、多點訪問控制。系統(tǒng)中的代理服務(wù)器包括位于外網(wǎng)安全平臺的反向代理、位于內(nèi)網(wǎng)安全平臺的正向代理、位于內(nèi)網(wǎng)的應(yīng)用代理和位于內(nèi)外網(wǎng)中的安全代理。優(yōu)化后安全網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)圖如圖2所示。

4.3 局域網(wǎng)計算機網(wǎng)絡(luò)安全策略

4.3.1 病毒防護。計算機病毒對網(wǎng)絡(luò)安全的威脅越來越嚴重，現(xiàn)在有效的防御措施就是在自己的pc上安裝殺毒軟件，并及時對操作系統(tǒng)安裝補丁。但是這種防御措施并不能在企業(yè)網(wǎng)絡(luò)管理中達到令人滿意的效果。而在企業(yè)網(wǎng)絡(luò)邊緣配置網(wǎng)關(guān)過濾產(chǎn)品，能在確保原有系統(tǒng)的穩(wěn)定性的同時，效率上也遠遠高于在內(nèi)部各個機器進行病毒防護和查殺。

4.3.2 網(wǎng)絡(luò)系統(tǒng)安全

①內(nèi)外網(wǎng)的隔離與訪問控制。訪問控制主要通過制定嚴格的管理制度、配備相應(yīng)的安全設(shè)備來實現(xiàn)。通過設(shè)置防火墻來實現(xiàn)內(nèi)外網(wǎng)的隔離與訪問控制是最主要、最有效的措施之一。

②內(nèi)部子網(wǎng)不同安全域的隔離和訪問控制。主要通過VLAN技術(shù)實現(xiàn)內(nèi)部子網(wǎng)的物理隔離。在交換機上劃分VLAN可以將整個網(wǎng)絡(luò)劃分為幾個不同的廣播域，實現(xiàn)內(nèi)部網(wǎng)段的物理隔離。

③網(wǎng)絡(luò)安全檢測。網(wǎng)絡(luò)系統(tǒng)的安全性取決于網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)。如何及時發(fā)現(xiàn)網(wǎng)絡(luò)中的薄弱環(huán)節(jié)，最大限度的保證網(wǎng)絡(luò)系統(tǒng)的安全，最有效的方式是定期對網(wǎng)絡(luò)系統(tǒng)進行安全檢測和分析，及時發(fā)現(xiàn)并修正系統(tǒng)漏洞。

5小結(jié)

計算機網(wǎng)絡(luò)安全管理是一個涉及范圍比較廣、影響比較大的復(fù)雜的管理系統(tǒng)，需要多方面的配合。管理制度應(yīng)注意以下幾項內(nèi)容，確定安全管理等級，明確安全管理范圍，制定網(wǎng)絡(luò)操作規(guī)程，規(guī)定人員進入機房權(quán)限，對網(wǎng)絡(luò)系統(tǒng)設(shè)備的維護和檢修進行記錄，制定嚴格的防病毒管理制度，實行網(wǎng)絡(luò)安全責(zé)任制，配備網(wǎng)絡(luò)安全應(yīng)急措施等，做到預(yù)防、監(jiān)控、修復(fù)相結(jié)合，確保相關(guān)制度和規(guī)定的落實，確保計算機網(wǎng)絡(luò)安全運行。

參考文獻：

[1]宋杰，陳真靈.計算機網(wǎng)絡(luò)安全管理的研究[J].科技視界.2011(06).

[2]陸亞華.計算機網(wǎng)絡(luò)安全防范技術(shù)帶來的探討[J].數(shù)字技術(shù)與應(yīng)用.2012(01).

[3]李玉勤.淺淡計算機網(wǎng)絡(luò)中防火墻技術(shù)的應(yīng)用[J].甘肅科技.2006(11).