淺析計算機網絡信息安全及其防護

王　嬋（鄂爾多斯市東勝區監督評價中心,內蒙古鄂爾多斯017000）

淺析計算機網絡信息安全及其防護

王嬋
（鄂爾多斯市東勝區監督評價中心,內蒙古鄂爾多斯017000）

無論何時計算機網絡安全總是一個熱點話題，因為其事關人身信息、財產的安全；本文在全面總結、分析當前存在的計算機網絡信息安全問題基礎上，重點針對存在的問題探索性提出有效的防范措施與建議；以期對提高當前各部門的計算機網絡信息安全工作水平有所幫助。

計算機；網絡；信息安全；防護

以計算機、互聯網應用為代表的信息技術發展可謂是一日千里，信息化己經成為社會各個行業、領域發展的大勢所趨，人們的生活、工作、學習的開展已經不可能不受到計算機、網絡的影響；但計算機、網絡在給我們帶來極大便利的同時，其所帶來的信息安全問題也不得不讓我們擔憂；因此，有必要就計算機網絡信息安全及其防護問題作進一步的深入探析，旨在給我們自己創造一個更加安全、更加高效的學習、工作與生活環境。

1　當前主要存在的計算機網絡信息安全問題

（1）系統固有安全漏洞的存在。新版本的操作系統、應用軟件在不斷更新、上市的同時，發現的漏洞也是越來越多；沒有一個系統、軟件敢說不存在漏洞，這些漏洞的發現與修補是很困難的，但是卻很容易被“惡意分子”利用，從而嚴重威脅我們網絡系統、信息的安全。（2）TCP/IP協議本身的脆弱性。TCP/IP協議可以說是計算機互聯網絡的基石，對計算機、網絡信息安全的影響較大；但是在設計該協議之初對其網絡安全性的考慮卻很少，加之TCP/IP協議應用、開發的“公開”特點，會有越來越多的人熟悉、掌握TCP/IP協議，進而利用它開展網絡攻擊。

（3）緩沖區溢出設計存在缺陷。緩沖區溢出是當前存在的重要的計算機、網絡信息安全漏洞之一；這主要源于部分軟件系統在進行緩沖區設計時不注意考慮檢查程序和緩沖區間的變化情況，而簡單的采用接收任何長度數據輸入的便利設計，籠統的將溢出部分全部放入堆棧由系統執行，給攻擊者造成系統不穩定帶來可乘之機。

（4）“拒絕服務”的普遍存在。拒絕服務攻擊仍然是當前攻擊比較有效且較難于防御的一種普遍存在的網絡攻擊方式，其可以是人為的實時攻擊，也可以是由人為編制的病毒導致；DOS拒絕服務攻擊的基本原理在于攪亂TCP/IP連接次序，其通過耗盡、損壞部分系統資源導致系統無法處理本應是合法范圍的程序、請求，造成系統資源不足、拒絕服務的外在表現。

（5）線路、系統較容易被竊聽。為了保證傳輸速度，互聯網上大量的數據流、信息是不被加密的；這就給了網絡攻擊人員可乘之機，他們利用外部線路接入和互聯網上各種各樣的免費工具等就能很容易達到竊聽、截獲他人電子郵件、口令和傳輸文件的目的。

（6）合法工具被攻擊者濫用。目前多數的計算機、網絡軟硬件系統都專門配備了用以改進系統管理和服務質量等的軟件，這些工具同樣也可以被破壞者濫用用來收集各種信息或者利用其來加強攻擊的力度，從而達到攻擊計算機、網絡的目的。

2　計算機網絡信息安全防范措施與建議

（1）科學應用防火墻功能。防火墻分為硬件防火墻和軟件防火墻，較為有效的是硬件防火墻，其通常放置在內網與外網之間，是一個安全網關；無論是流入還是流出的通信、數據都要經過防火墻的檢測，只有那些符合安全策略的通信請求、數據包才能順利通過防火墻；科學應用防火墻能防范90%以上的攻擊，特別是基于病毒的外部實時網絡攻擊。

（2）堅持安裝安全防護軟件。防火墻對外網攻擊的攔截較為有效，但是對內網攻擊的防護卻十分有限；一旦內網中存在的攻擊或者病毒，必須借助于專業的安全防護軟件才能消除；安裝了安全防護軟件后就可以定時、實時的對內網中的攻擊行為、病毒、漏洞等進行檢測和主動截殺。

（3）適時隱藏服務器IP地址。攻擊者要想發動攻擊必須要知道服務器的IP地址，這樣才能發動各種進攻，比如前邊提到的拒絕服務攻擊、緩沖溢出攻擊。可以嘗試使用代理服務器的方法來達到隱藏服務器IP地址的目的，進而成功避免部分網絡攻擊。

（4）積極對數據進行加密。數據加密技術無疑是最有效的網絡信息安全防護技術，其基本原理在于借助于各種復雜加密算法，實現明文與密文的轉換，阻止非法用戶竊取明文原始數據，從而保證數據的保密性、完整性；一般來說，加密技術有對稱和非對稱加密兩種，相比較而言非對稱加密技術更為有效。

（5）關閉不必要的網絡端口。計算機、網絡系統服務的實現都需要借助于對應端口，而系統中的部分無用端口可能被攻擊者所利用；因此，需要我們手動或者借助于安全防護軟件來關閉系統中默認開啟而又不常用的端口，比如使用軟件防火墻、殺毒軟件等來關閉。

（6）身份認證與訪問授權。身份認證是進入系統、網絡的必經過程，當前身份認證的方法很多，如基于共享密鑰的、基于生物學特征的和基于公開密鑰加密算法的；為防止非法人員侵入，單一的方法效果可能有限，需要綜合應用多種方法來把好系統“入口關”。該問授權與身份認證不同，身份認證控制的是網絡的“進入”，而訪問授權控制的是用戶進入后的“行為”，用戶可以以何種方式訪問、使用資源等，訪問授權是繼身份認證后的第二道網絡關口，對保證系統安全至關重要。

（7）加強通信請求、數據包過濾。所謂過濾是指借助于硬件或者軟件對上傳、下載的網絡數據包進行檢測、控制的過程，一般由防火墻完成；過濾與身份認證、訪問授權相比，安全防護程度、效果更進一步。通信請求、數據包的過濾能夠有效防止非授權用戶訪問、使用和破壞服務器資源，以及及時發現并阻止拒絕服務攻擊。

（8）關閉系統中不必要的服務。服務器、客戶端的操作系統都會默認會開啟諸多服務，對于用戶來說這些服務的開啟可能是不必要的，其有可能給攻擊者破壞系統留下可乘之機。對于這些用戶用不到的而系統又默認開啟的服務應該予以專門關閉，這樣不僅可以達到提高系統安全性的目的，其同樣可以釋放更多的、被不必要服務占用的系統資源，從而加快計算機、服務器的運行速度，有效提高計算機、服務器系統利用效率。

[1]于功成.計算機網絡與信息安全系統的建立與技術分析[J].電子技術與軟件工程，201(07).

[2]焦玉錄，李學普，張巧立.校園計算機網絡安全技術分析[J].價值工程，2014(17).

[3]克依蘭·吐爾遜別克.計算機網絡安全分析研究[J].網絡安全技術與應用，2014(01).

王嬋（1980-），女，內蒙古鄂爾多斯人，本科，研究方向：計算機網絡信息安全及其防護。