計算機網(wǎng)絡安全的防御

崔巍（中國石油吉林石化公司有機合成廠，吉林吉林 132022）

?

計算機網(wǎng)絡安全的防御

崔巍
（中國石油吉林石化公司有機合成廠，吉林吉林 132022）

【摘要】計算機網(wǎng)絡是人們通過現(xiàn)代信息技術手段了解社會、獲取信息的重要手段和途徑。計算機網(wǎng)絡安全防御不僅是為了信息和數(shù)據(jù)的安全性，而且還是阻止虛假信息和有害信息在互聯(lián)網(wǎng)上的傳播，對社會安全管理秩序造成危害。計算機網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或惡意的原因而遭受到破壞、更改、泄露，網(wǎng)絡系統(tǒng)連續(xù)可靠正常的運行，網(wǎng)絡服務不中斷。

【關鍵詞】計算機 網(wǎng)絡 安全

1 計算機網(wǎng)絡安全的概述

計算機網(wǎng)絡安全涉及計算機科學、網(wǎng)絡技術、信息技術、密碼技術、信息安全技術等綜合性科學。總體上看，計算機網(wǎng)絡安全可以分為兩大方面：計算機網(wǎng)絡攻擊技術和計算機網(wǎng)絡防御技術。

2 計算機網(wǎng)絡安全風險分析

我化工廠，所有車間均有計算機，在日常辦公中，需要進行一些操作，這就存在一定的網(wǎng)絡安全隱患。導致網(wǎng)絡不安全的因素主要來自于兩個方面：第一是人為因素和自然災害因素。第二是網(wǎng)絡體系結(jié)構本身存在的安全缺陷。

（1）人為因素是指人為入侵和攻擊，破壞網(wǎng)絡的正常運行。利用計算機病毒，在網(wǎng)絡中傳播，破壞單位和個人的計算機系統(tǒng)，盜取秘密資料和個人信息，從事違法犯罪活動。如果單位的資料被盜取或是毀壞，那就會造成嚴重的生產(chǎn)隱患，影響產(chǎn)品市場的競爭。

自然災害因素是指水災、雷電、地震、火災等，以及環(huán)境溫度、濕度、污染的影響。

（2）網(wǎng)絡體系結(jié)構本身存在的安全缺陷是指網(wǎng)絡操作系統(tǒng)的不完善、IP協(xié)議的不安全性、網(wǎng)絡信息資源共享、信息數(shù)據(jù)文件傳輸和通訊、計算機病毒等。

針對我單位實際情況，無論是辦公用計算機，還是生產(chǎn)所用DCS計算機，都存在以下幾種隱患：

（1）文件傳輸攜帶計算機病毒：計算機病毒就是指自我復制能力的計算機程序，它可以直接影響軟、硬件的正常運行，破壞系統(tǒng)數(shù)據(jù)的正確性和完整性。計算機病毒有很多種，它們各自有各自的特點，可以引起格式化磁盤、改寫文件分配表、刪除或復制重要資料、干擾系統(tǒng)的運行速度等。

（2）網(wǎng)絡資源共享：這種網(wǎng)絡資源共享為非法用戶竊取信息、破壞信息創(chuàng)造了條件，非法用戶可以通過終端或結(jié)點進行非法手段。

（3）登陸外網(wǎng)。

（4）計算機的使用權限開放。

3 網(wǎng)絡安全解決方案

3.1 主機安全加固技術

將主機與不需要連接的部分斷開，常見方法，關閉端口。

3.2 防火墻隔離控制技術：

防火墻指隔離在本地網(wǎng)絡與外界網(wǎng)絡之間一道防御系統(tǒng)。它是非常有效的安全防御系統(tǒng)，可以隔離風險區(qū)域與安全區(qū)域的連接，同時不會妨礙安全區(qū)域?qū)︼L險區(qū)域的訪問。

常用的防火墻技術有過濾技術、狀態(tài)監(jiān)測技術、應用網(wǎng)關技術。

（1）過濾技術是在網(wǎng)絡層中對數(shù)據(jù)包實時有選擇的通過。

（2）狀態(tài)監(jiān)測技術采用的是一種基于連接的狀態(tài)監(jiān)測機制，將屬于同一種連接的所有包作為一個整體的數(shù)據(jù)流看待，構成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別。

（3）應用網(wǎng)關技術是使用一個特殊的通信數(shù)據(jù)安全監(jiān)察軟件的工作站來連接被保護網(wǎng)絡和其他網(wǎng)路。

3.3 計算機防病毒技術

通過一定技術防止計算機病毒對系統(tǒng)的傳染和破壞。預防病毒的技術有：磁盤引導區(qū)保護、加密可執(zhí)行程序、讀寫控制技術、系統(tǒng)監(jiān)控技術。

3.4 訪問控制技術

按用戶身份及其歸屬的某項定義組來限制用戶對某些信息的訪問，或者限制對某些功能控制技術，訪問控制通常用作管理員控制用戶對服務器等網(wǎng)絡資源的訪問。

3.5 數(shù)據(jù)傳輸加密技術

對傳輸中的數(shù)據(jù)流加密，常用的方法有線路加密和端對端加密。線路加密不考慮信源和信宿，是對保密信息通過各線路采用不同的加密密鑰提供安全保護。端對端加密指信息由發(fā)送者端通過專用的加密軟件，采用某種加密技術隊所發(fā)送文件進行加密，把明文件加密成密文件，這些文件內(nèi)容是一些看不懂的代碼。

3.6 身份認證

計算機及計算機網(wǎng)絡系統(tǒng)中確認操作者身份的過程，從而確定該用戶是否具有對某種資源的訪問和使用權限。常見的認證形式：認證工具、靜態(tài)密碼、智能卡、短信密碼、動態(tài)口令、USB KEY等。

3.7 數(shù)據(jù)庫的備份與恢復

數(shù)據(jù)庫的備份包括：（1）完全備份，這種備份形式需要花費更多的時間和空間，一般一周做一次完全備份。（2）事務日志備份，它是一個單獨的文件，記錄數(shù)據(jù)庫的變更，備份的時候只需要復制自上次備份以來對數(shù)據(jù)庫所做的改變，花費的時間較少，推薦每小時備份事務日志。（3）增量備份，它只備份數(shù)據(jù)庫的一部分，優(yōu)點是存儲和恢復速度快，一般每天做一次增量備份。（4）文件備份，文件備份分為三種：冷備份，數(shù)據(jù)庫處于關閉狀態(tài)，保證數(shù)據(jù)庫備份的完整性。熱備份，數(shù)據(jù)庫處于運行狀態(tài)，依賴于數(shù)據(jù)庫的日志文件進行備份。邏輯備份，使用軟件從數(shù)據(jù)庫中提取數(shù)據(jù)并將結(jié)果寫到一個文件上。

當數(shù)據(jù)被病毒或侵入者破壞后，可以利用數(shù)據(jù)恢復軟件找回部分被刪除的數(shù)據(jù)，常用的軟件有Easy Recovery。

3.8 入侵檢測技術

根據(jù)入侵檢測的信息來源不同，可以將入侵檢測系統(tǒng)分兩類：基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡的入侵檢測系統(tǒng)。基于主機的入侵檢測系統(tǒng)主要用于保護運行關鍵的服務器。基于網(wǎng)絡的入侵檢測系統(tǒng)主要用于實施監(jiān)控網(wǎng)絡關鍵路徑的信息，監(jiān)聽網(wǎng)絡上所有分組來采集數(shù)據(jù)，分析可疑現(xiàn)象。

參考文獻：

［1］石志國，薛為民，江俐.計算機網(wǎng)絡安全教程［M］.北京：清華大學出版社+北京交通大學出版社.

［2］魯立，龔濤.計算機網(wǎng)絡安全［M］.北京：機械工業(yè)出版社.

［3］宋西軍.計算機網(wǎng)絡安全技術［M］.北京：北京大學出版社.