計算機網絡信息安全分析與管理探究

張 原

（國家食品藥品監督管理總局信息中心， 北京，100053）

0 引言

近年來，計算機網絡已經成為人們生活中不可或缺的應用工具。然而，隨著網絡信息資源的日益發展和推廣，網絡資源開放與共享的需求也日益增加，隨之而來的信息安全問題也成為困擾人們的一大難題。病毒、黑客、網絡犯罪等等關于網絡安全的事故層出不窮，它往往導致系統癱瘓、經濟損失、機密被竊、隱私暴露等后果，給人們的社會生活以及私人生活造成不可估量的損失與困擾。由此可見，在計算機網絡發展日新月異的今天，計算機網絡安全問題需要我們進行長期地探索與研究。

1 威脅計算機網絡信息安全的因素

1.1 環境因素

很多環境因素可以對計算機網絡產生不利影響。主要分為兩個方面，自然環境因素與社會環境因素。計算機網絡傳輸途徑主要是通過有線鏈路和無線電波將不同地域的計算機或終端連接起來，而依靠這兩種信息傳送方式，就必然受到自然環境因素與社會環境因素的直接影響。自然環境因素包括：不適宜的溫濕度、塵埃、地震、臺風、火災、事故等等。比如，強電以及磁場會將正在傳輸中的數據信息破壞，強雷電會通過電纜傳導，損壞正在工作中的計算機網絡，導致主板破壞、網絡癱瘓等后果；社會環境因素是指：人為惡意窺伺、截取、干擾、破壞計算機網絡信息，并給網絡造成人為破壞并帶來重大損失的不良行為。這往往來源于不良的社會風氣、網絡管理法不健全等人為因素導致。

1.2 資源共享因素

軟件共享、硬件共享、數據共享、終端與服務器之間共享、終端與終端之間共享等，這些共享總體構成了計算機網絡的資源共享。這種資源共享在為廣大用戶提供極大便利的同時，也為非法用戶惡意竊取、破壞網絡信息創造了便利條件。資源共享造成的泄密和破壞主要原因有三：一種原因是非法用戶通過數據終端進行的非法瀏覽以及非法修改；其次，當硬件或者軟件發生故障進行維修時造成的泄密；最后，因為絕大多數的共享資源具有間隔距離長的特點，在時間與空間上，就為惡意竊取信息的行為提供了便利條件和機會。

1.3 病毒因素

因為，計算機網絡具有能夠在多個終端與結點接收信息數據的特點，這就為網絡病毒的入侵感染造成了可乘之機。計算機一旦感染病毒，就會在網絡內呈指數復制、增長并蔓延到各個終端與結點，從而造成網絡癱瘓、數據破壞或丟失。

1.4 數據通信因素

因為需要基于數據通信來交換信息，而這些信息的傳輸載體通常是是物理線路、無線電波、電子設備等，使得計算機網絡的通信傳輸信息很容易遭到竊取和破壞，如搭線竊聽、輻射等等。

1.5 操作系統因素

因為計算機系統的安全級別不同導致它的防護級別各有不同。比如TCSEC(Trusted Computer System Evaluation Criteria)標準所描述的D級，基本沒有安全防護措施，所以這種計算機系統只能作為一般的桌面系統來使用，而不能用于安全性能要求比較高的操作系統。另外，網絡系統也可能因為硬件或者軟件故障停止運行、操作失誤等原因被非法入侵。通常，操作系統中的安全問題主要由：端口設置、系統賬戶管理、系統配置、系統安全策略設置、系統訪問控制策略、系統服務開設、系統安全日志設置等方面構成。

1.6 網絡管理因素

計算機網絡的日常管理與維護的好與壞，對計算機網絡系統能否健康運行有著最直接的影響。很多設備損壞、信息泄露等狀況的發生，都來源于對網絡系統的不當管理與疏漏管理。

1.7 應用軟件因素

由于設計缺陷，部分網絡應用程序會發生網絡安全隱患。例如緩沖區溢出攻擊。當應用程序在接收參數緩沖區設置時，限制與檢查不夠周密，通過破壞程序的堆棧，使程序轉入預先植入的攻擊代碼，令其以一定權限運行在緩沖區內因寫超出其長度的內容而溢出緩沖區的程序，得到攻擊主機控制權的目的，進而攻擊系統。這種攻擊占所有系統攻擊總數的 80%以上。由于部分網絡用戶缺乏安全防范措施，使用不被信任的軟件，導致大量存在于網絡中的惡意代碼通過E-mail、瀏覽器或FTP 等方式進行傳播，不僅消耗網絡資源，還在目標機中設置后門等。

1.8 協議因素

TCP/IP協議族是目前被廣泛使用于全球的協議族，也是Intemet 中的關鍵協議。因為在設計的初始階段，沒有將安全方面的因素充分考慮進去，導致現在IP網絡安全問題的先天缺陷。表現比較突出的有：Dos(Denial of Service)攻擊、DDOS(Distribute Denial of Service)攻 擊、SYN--FLOOD攻 擊、ICMP 攻擊、截取連接攻擊、源路由攻擊、IP地址盜用等。

2 解決計算機網絡信息安全問題的措施

2.1 檢測、修補安全漏洞

檢測工作主要包含網絡漏洞掃描、系統安全掃描、數據庫系統安全掃描三個方面。這種掃描檢測有助于網絡系統管理員對各種安全漏洞及時發現、修補并將修補結果進行驗證。

（1）對網絡漏洞的掃描。通常，從網絡安全邊界點上，網絡漏洞掃描器會對網絡內部系統實行“黑箱”評估，并且可以從入侵者的角度，利用軟件本身的攻擊手段對網絡系統可能存在的缺陷進行分析并提出修補意見。

（2）對系統安全的掃描。以agent方式配置在關鍵服務主機上的系統安全掃描器，會對常見于系統內部的配置錯誤與漏洞進行檢查。比如：用戶設置、路徑設置、關鍵文件權限設置、密碼設置、網絡服務配置、 應用程序的可信性等。甚至能夠找出非法入侵系統的跡象并提出修補建議。

（3）對數據庫系統安全的掃描。通過網絡或從系統內部對目標主機上的數據庫逐項檢查，利用軟件自身知識庫中的安全弱點，對全部安全漏洞和認證、授權、完整性等方面問題進行評估，比如：賬號權限、用戶設置、口令密碼期限與強度、配置情況、資源限制、登錄時長、防御能力、補丁與修正程序等，并且不僅能夠就目標機的反應確定存在問題與否，還可以自動生成數據庫服務器的安全策略。

2.2 防火墻的應用

為了保護內部網絡免受攻擊，設置防火墻是切實可行的辦法。其工作原理是在網絡內外或網絡之間建立安全控制點 通過對數據流采取允許、拒絕或重新定向的指令，審計、控制進出于網絡的服務與訪問。

2.3 病毒防范

主要分為對整個網絡以及單個計算機系統的防范。對大的網絡可采取集中防范統一管理的方式。正確識別并對網絡進行全面的防殺毒處理，從而將病毒完全徹底清除，是網絡防病毒軟件必須具備的功能。防病毒軟件可以在預定時間自動下載更新最新升級文件，并分發到局域網中所有安裝該軟件的終端上，無需人工操作。

2.4 入侵檢測

入侵檢測旨在對惡意與可疑活動進行發現，并及時作出反應。一旦檢測出非法入侵，要及時采取修改防火墻、主機、路由器或者應用系統等配置阻斷攻擊、追蹤定位攻擊源等有效措施。

2.5 控制訪問

認證系統、訪問控制網關以及防火墻三方面共同完成網絡資源的訪問控制任務。將防火墻與訪問控制網關設置在網絡資源邊界；將認證服務系統設置在網絡資源內部，可以有效控制內部網絡流量，根據需要進行過濾或放行；可以對網絡資源使用者進行真實身份認證，以保證網絡活動的可追查性；可以利用ACL連接時段的功能對不同用戶允許使用資源的時間區間進行定義。

2.6 明文加密

加密算法是加密技術的要點。由對稱加密、不對稱加密和不可逆加密三類算法構成。是對數據保密的最常用方法。

（1）對稱加密算法是應用較早、技術較成熟的加密算法。由數據發信人在對稱加密算法中運用特殊加密算法把明文和加密密鑰進行處理，變成加密文件發送出去。加密文件到達收信方后，收信方使用相同密鑰及該算法的逆算法解密文件，便可使其恢復為可讀明文。

（2）不對稱加密算法的使用工具是公鑰和私鑰，這是兩把完全不同但又完全匹配的鑰匙。在對文件進行加密解密的過程中，必須共同使用相匹配的公鑰和私鑰。使用公鑰加密明文，使用私鑰解密密文，發信方只知道收信方的公鑰，收信方掌握自己的私鑰。

（3）不用密鑰參與加密過程，由系統對明文直接經過加密算法并處理成加密文件，是不可逆加密算法的特征。加密后的數據無法通過別的方式解密，如想解密，只有將明文重新輸入，再次采用同樣不可逆的加密算法，處理成相同的加密密文，并由系統進行重新識別，才能完成解密過程。

2.7 存儲備份

對數據進行存儲備份，是防止數據丟失最簡單易行的辦法。因為，雖然基于以上各種措施可以基本保證網絡的安全，但是，如果是系統遭遇硬件故障、人為破壞 自然災害等，這些都是技術所不能預防的威脅。所以養成儲存備份數據的習慣，可以未雨綢繆，將損失降低到最小程度。數據存儲備份要從存儲備份硬件、存儲備份軟件、存儲備份策略三個方面著手，從存儲備份的自動化程度 盡量減少人工操作方面進行充分考慮來實現產品的選擇。

3 結束語

綜上所述，網絡安全問題已成為計算機網絡應用中的核心問題，如果進行科學的管理維護、行之有效的安全應對策略、嚴格的保密措施、并且提高網絡管理素質，多方面齊頭并進，對計算機網絡提供足夠的安全服務是不難做到的，這也是計算機網絡得以全球普及化的重要的技術保障。

[1]陳健瑜.計算機網絡安全的分析與防范[J].佳木斯教育學院學報.2010(05)

[2]張堯.計算機網絡安全技術與分析[J].信息與電腦(理論版).2010(05)

[3]李瑤,劉德強.網絡安全現狀與防范策略研究[J].現代商貿工業.2010(09)

[4]賀新.計算機網絡安全技術的初探[J].科技創新導報.2010(06)

[5]周喆.計算機網絡安全的防范策略分析[J].電腦知識與技術.2009(05)

[6]宋舉.計算機網絡安全防范措施的分析[J].今日科苑.2008(24)

[7]陳力.網絡信息安全與防護[J].電腦知識與技術.2008(30)

[8]王輝.計算機網絡信息安全面臨的問題和對策[J].網絡與信息.2008(06)

[9]吳勝光.計算機網絡信息安全及防范技術[J].電腦編程技巧與維護.2009(08)

[10]馬丹.淺談計算機網絡信息安全及其防護策略[J].科技創新導報.2012(05)