淺析計算機網(wǎng)絡信息安全及其防護

王　嬋（鄂爾多斯市東勝區(qū)監(jiān)督評價中心,內蒙古鄂爾多斯017000）

淺析計算機網(wǎng)絡信息安全及其防護

王嬋
（鄂爾多斯市東勝區(qū)監(jiān)督評價中心,內蒙古鄂爾多斯017000）

無論何時計算機網(wǎng)絡安全總是一個熱點話題，因為其事關人身信息、財產(chǎn)的安全；本文在全面總結、分析當前存在的計算機網(wǎng)絡信息安全問題基礎上，重點針對存在的問題探索性提出有效的防范措施與建議；以期對提高當前各部門的計算機網(wǎng)絡信息安全工作水平有所幫助。

計算機；網(wǎng)絡；信息安全；防護

以計算機、互聯(lián)網(wǎng)應用為代表的信息技術發(fā)展可謂是一日千里，信息化己經(jīng)成為社會各個行業(yè)、領域發(fā)展的大勢所趨，人們的生活、工作、學習的開展已經(jīng)不可能不受到計算機、網(wǎng)絡的影響；但計算機、網(wǎng)絡在給我們帶來極大便利的同時，其所帶來的信息安全問題也不得不讓我們擔憂；因此，有必要就計算機網(wǎng)絡信息安全及其防護問題作進一步的深入探析，旨在給我們自己創(chuàng)造一個更加安全、更加高效的學習、工作與生活環(huán)境。

1　當前主要存在的計算機網(wǎng)絡信息安全問題

（1）系統(tǒng)固有安全漏洞的存在。新版本的操作系統(tǒng)、應用軟件在不斷更新、上市的同時，發(fā)現(xiàn)的漏洞也是越來越多；沒有一個系統(tǒng)、軟件敢說不存在漏洞，這些漏洞的發(fā)現(xiàn)與修補是很困難的，但是卻很容易被“惡意分子”利用，從而嚴重威脅我們網(wǎng)絡系統(tǒng)、信息的安全。（2）TCP/IP協(xié)議本身的脆弱性。TCP/IP協(xié)議可以說是計算機互聯(lián)網(wǎng)絡的基石，對計算機、網(wǎng)絡信息安全的影響較大；但是在設計該協(xié)議之初對其網(wǎng)絡安全性的考慮卻很少，加之TCP/IP協(xié)議應用、開發(fā)的“公開”特點，會有越來越多的人熟悉、掌握TCP/IP協(xié)議，進而利用它開展網(wǎng)絡攻擊。

（3）緩沖區(qū)溢出設計存在缺陷。緩沖區(qū)溢出是當前存在的重要的計算機、網(wǎng)絡信息安全漏洞之一；這主要源于部分軟件系統(tǒng)在進行緩沖區(qū)設計時不注意考慮檢查程序和緩沖區(qū)間的變化情況，而簡單的采用接收任何長度數(shù)據(jù)輸入的便利設計，籠統(tǒng)的將溢出部分全部放入堆棧由系統(tǒng)執(zhí)行，給攻擊者造成系統(tǒng)不穩(wěn)定帶來可乘之機。

（4）“拒絕服務”的普遍存在。拒絕服務攻擊仍然是當前攻擊比較有效且較難于防御的一種普遍存在的網(wǎng)絡攻擊方式，其可以是人為的實時攻擊，也可以是由人為編制的病毒導致；DOS拒絕服務攻擊的基本原理在于攪亂TCP/IP連接次序，其通過耗盡、損壞部分系統(tǒng)資源導致系統(tǒng)無法處理本應是合法范圍的程序、請求，造成系統(tǒng)資源不足、拒絕服務的外在表現(xiàn)。

（5）線路、系統(tǒng)較容易被竊聽。為了保證傳輸速度，互聯(lián)網(wǎng)上大量的數(shù)據(jù)流、信息是不被加密的；這就給了網(wǎng)絡攻擊人員可乘之機，他們利用外部線路接入和互聯(lián)網(wǎng)上各種各樣的免費工具等就能很容易達到竊聽、截獲他人電子郵件、口令和傳輸文件的目的。

（6）合法工具被攻擊者濫用。目前多數(shù)的計算機、網(wǎng)絡軟硬件系統(tǒng)都專門配備了用以改進系統(tǒng)管理和服務質量等的軟件，這些工具同樣也可以被破壞者濫用用來收集各種信息或者利用其來加強攻擊的力度，從而達到攻擊計算機、網(wǎng)絡的目的。

2　計算機網(wǎng)絡信息安全防范措施與建議

（1）科學應用防火墻功能。防火墻分為硬件防火墻和軟件防火墻，較為有效的是硬件防火墻，其通常放置在內網(wǎng)與外網(wǎng)之間，是一個安全網(wǎng)關；無論是流入還是流出的通信、數(shù)據(jù)都要經(jīng)過防火墻的檢測，只有那些符合安全策略的通信請求、數(shù)據(jù)包才能順利通過防火墻；科學應用防火墻能防范90%以上的攻擊，特別是基于病毒的外部實時網(wǎng)絡攻擊。

（2）堅持安裝安全防護軟件。防火墻對外網(wǎng)攻擊的攔截較為有效，但是對內網(wǎng)攻擊的防護卻十分有限；一旦內網(wǎng)中存在的攻擊或者病毒，必須借助于專業(yè)的安全防護軟件才能消除；安裝了安全防護軟件后就可以定時、實時的對內網(wǎng)中的攻擊行為、病毒、漏洞等進行檢測和主動截殺。

（3）適時隱藏服務器IP地址。攻擊者要想發(fā)動攻擊必須要知道服務器的IP地址，這樣才能發(fā)動各種進攻，比如前邊提到的拒絕服務攻擊、緩沖溢出攻擊。可以嘗試使用代理服務器的方法來達到隱藏服務器IP地址的目的，進而成功避免部分網(wǎng)絡攻擊。

（4）積極對數(shù)據(jù)進行加密。數(shù)據(jù)加密技術無疑是最有效的網(wǎng)絡信息安全防護技術，其基本原理在于借助于各種復雜加密算法，實現(xiàn)明文與密文的轉換，阻止非法用戶竊取明文原始數(shù)據(jù)，從而保證數(shù)據(jù)的保密性、完整性；一般來說，加密技術有對稱和非對稱加密兩種，相比較而言非對稱加密技術更為有效。

（5）關閉不必要的網(wǎng)絡端口。計算機、網(wǎng)絡系統(tǒng)服務的實現(xiàn)都需要借助于對應端口，而系統(tǒng)中的部分無用端口可能被攻擊者所利用；因此，需要我們手動或者借助于安全防護軟件來關閉系統(tǒng)中默認開啟而又不常用的端口，比如使用軟件防火墻、殺毒軟件等來關閉。

（6）身份認證與訪問授權。身份認證是進入系統(tǒng)、網(wǎng)絡的必經(jīng)過程，當前身份認證的方法很多，如基于共享密鑰的、基于生物學特征的和基于公開密鑰加密算法的；為防止非法人員侵入，單一的方法效果可能有限，需要綜合應用多種方法來把好系統(tǒng)“入口關”。該問授權與身份認證不同，身份認證控制的是網(wǎng)絡的“進入”，而訪問授權控制的是用戶進入后的“行為”，用戶可以以何種方式訪問、使用資源等，訪問授權是繼身份認證后的第二道網(wǎng)絡關口，對保證系統(tǒng)安全至關重要。

（7）加強通信請求、數(shù)據(jù)包過濾。所謂過濾是指借助于硬件或者軟件對上傳、下載的網(wǎng)絡數(shù)據(jù)包進行檢測、控制的過程，一般由防火墻完成；過濾與身份認證、訪問授權相比，安全防護程度、效果更進一步。通信請求、數(shù)據(jù)包的過濾能夠有效防止非授權用戶訪問、使用和破壞服務器資源，以及及時發(fā)現(xiàn)并阻止拒絕服務攻擊。

（8）關閉系統(tǒng)中不必要的服務。服務器、客戶端的操作系統(tǒng)都會默認會開啟諸多服務，對于用戶來說這些服務的開啟可能是不必要的，其有可能給攻擊者破壞系統(tǒng)留下可乘之機。對于這些用戶用不到的而系統(tǒng)又默認開啟的服務應該予以專門關閉，這樣不僅可以達到提高系統(tǒng)安全性的目的，其同樣可以釋放更多的、被不必要服務占用的系統(tǒng)資源，從而加快計算機、服務器的運行速度，有效提高計算機、服務器系統(tǒng)利用效率。

[1]于功成.計算機網(wǎng)絡與信息安全系統(tǒng)的建立與技術分析[J].電子技術與軟件工程，201(07).

[2]焦玉錄，李學普，張巧立.校園計算機網(wǎng)絡安全技術分析[J].價值工程，2014(17).

[3]克依蘭·吐爾遜別克.計算機網(wǎng)絡安全分析研究[J].網(wǎng)絡安全技術與應用，2014(01).

王嬋（1980-），女，內蒙古鄂爾多斯人，本科，研究方向：計算機網(wǎng)絡信息安全及其防護。