計算機網絡系統的信息安全防范

高娜++孫慧

摘 要

隨著計算機科學與技術的發展以及人們對信息傳輸與處理的需求不斷增加，計算機網絡應運而生。如今它已成為一切信息系統的基礎，是人們日常工作、學習和生活的重要組成部分。本文主要介紹了威脅計算機網絡系統安全的來源及相應的安全防范措施。

【關鍵詞】互聯網技術 網絡安全 防火墻屏蔽技術 技術要點

隨著信息技術的發展，信息化社會悄然而至。信息技術的應用引起生產方式，生活方式乃至思想觀念的巨大變化，推動了人類社會的發展和文明的進步。信息已成為社會發展的重要戰略資源和決策資源，信息化水平已成為衡量一個國家現代化程度和綜合國力的重要標志。因此，普及計算機系統安全知識，提高信息安全與防范意識，加速信息安全的研究和發展，已成為建設安全信息化系統的當務之急。本論文將從加強網絡信息化安全意識入手，著重探討計算機網絡系統的信息安全防范措施及對策。

1 信息安全的概述

信息安全，是指計算機系統本身建立和采取的技術和管理的安全保護措施，以保護計算機系統中的硬件、軟件及數據，防止其因偶然或惡意的原因而使系統或信息遭到破壞、更改或泄漏。

2 網絡安全常見威脅

2.1 計算機病毒

計算機病毒指在計算機程序中插入的破壞計算機功能和數據、影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。1987年，在美國發現世界上第一例計算機病毒---Brian病毒。從產生伊始計算機病毒便給網絡信息安全帶來了巨大影響。計算機病毒具有感染性、潛伏性、可觸發性和破壞性等基本特征。常見的破壞性比較強的病毒癥狀通常表現為：藍屏、機卡、CPU、自動重啟使用率高、打不開殺毒軟件等，并且在短時間內傳播從而導致大量的計算機系統癱瘓，對企業或者個人造成重大的經濟損失。

2.2 非授權訪問

指利用編寫和調試計算機程序侵入到他方內部網或專用網，獲得非法或未授權的網絡或文件訪問的行為。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網絡系統進行違法操作、合法用戶以未授權方式進行操作等。

2.3 木馬程序和后門

木馬程序是目前比較流行的病毒文件，與一般的病毒不同，它不會自我繁殖，也并不“刻意”地區感染其他文件，它通過將自身偽裝吸引用戶下載執行，并向施種木馬者提供打開被種者計算機的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠程操控被種者的計算機。木馬的服務一旦運行并被控制端連接，其控制端將享有服務端的大部分操作權限。隨著病毒編寫技術的發展，木馬程序對用戶的威脅越來越大，尤其是一些木馬程序采用了極其狡猾的手段來隱蔽自己，使普通用戶很難在中毒后發覺。

3 網絡安全的防范措施

3.1 針對病毒及木馬的防范措施

3.1.1 病毒的防范措施

若機器有硬盤應該只用硬盤來啟動機器；對每個購置的軟件應做備份；定期復制重要的軟件和數據作為備份；防止無關人員以管理員身份接觸計算機；定期查毒或安裝動態查毒軟件，及時升級殺毒軟件的病毒庫。

3.1.2 木馬的防范措施

安裝木馬查殺軟件，及時升級殺毒軟件病毒庫；安裝防火墻；不隨便訪問來歷不明的網站，不使用來歷不明的軟件。

3.2 關閉不必要的向內TCP/IP端口

每一項服務都對應相應的端口，比如眾所周知的WWW的服務器的端口是80，SMTP是25，FTP是21。關掉端口也就是關閉無用的服務，有助于減少系統受病毒及木馬威脅的風險。可通過 “控制面板”的“管理工具”中的“服務”來配置。

3.3 配置防火墻

防火墻是一種保護計算機網絡安全的訪問控制技術。具體來說，防火墻是指設置在不同網絡或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業的安全政策控制出入網絡的信息流，且本身具有較強的抗攻擊能力。制定防火墻的安全策略主要有： 所有從內到外和從外到內的數據包都必須經過防火墻； 只有被安全策略允許的數據包才能通過防火墻； 服務器本身不能直接訪問互聯網； 防火墻本身要有預防入侵的功能； 默認禁止所有服務，除非是必須的服務才允許。而其他一些應用系統需要開放特殊的端口由系統管理員來執行。

3.4 身份認證

身份認證是提高網絡安全的主要措施之一。其主要目的是證實被認證對象是否屬實，常被用于通信雙方相互確認身份，以保證通信的安全。常用的網絡身份認證技術有： 靜態密碼、USB Key 和動態口令、智能卡牌等。其中，最常見的使用是用戶名加靜態密碼的方式。

3.5 劃分VLAN

VLAN（Virtual Local Area Network）的中文名為"虛擬局域網"。VLAN是一種將局域網設備從邏輯上劃分成一個個網段，從而實現虛擬工作組的新興數據交換技術。它在以太網的基礎上增加了VLAN 頭，用VLAN ID 把用戶劃分為更小的工作組，限制不同VLAN 之間的用戶不能直接互訪，每個VLAN 就是一個虛擬局域網。虛擬局域網的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態管理網絡。VLAN 之間的訪問需要通過應用系統的授權來進行數據交互。為保護敏感資源和控制廣播風暴，在3 層路由交換機的集中式網絡環境下，將網絡中的所有客戶主機和服務器系統分別集中到不同的VLAN 里，在每個VLAN 里不允許任何用戶設置IP、用戶主機和服務器之間相互PING，不允許用戶主機對服務器的數據進行編輯，只允許數據訪問，較好地保護了敏感的主機資源和服務器系統的數據。

3.6 制定網絡系統的應急規劃

為了將網絡威脅所帶來的影響降至最低，各企業或網絡相關部門應該制定行之有效的網絡安全應急規劃。規劃中應明確各種網絡威脅的發生狀況及其應急措施，并通過在實踐中積累的經驗，不斷補充和完善該應急規劃，使其跟上網絡發展的步伐。

計算機產業自從INTERNET誕生以來發生了很大的變化，信息共享比過去增加了，信息的獲取更加公平了，但同時也帶來了信息安全問題，此時計算機網絡的信息安全問題也日益成為全社會廣泛關注的熱點和焦點問題。網絡信息安全問題應該引起我們的足夠重視。

參考文獻

[1]滕萍.信息網絡安全及防范技術探究[J].網絡安全技術與應用，2012（12）.

[2]白璐.信息系統安全等級保護物理安全測評方法研究[J].信息網絡安全，2011（12）.

作者簡介

高娜（1981-），吉林省長春市人。學士學位，現為長春財經學院電子工程師。

孫慧（1979-），吉林省長春市人。學士學位，現為長春財經學院研究員。

作者單位

1.長春財經學院（原吉林財經大學信息經濟學院）教育技術中心 吉林省長春市 130000

2.長春財經學院（原吉林財經大學信息經濟學院）教務處 吉林省長春市 130000endprint