計算機網絡信息安全問題及防護策略研究

蔡彬彬，孫忠輝

（1.長春理工大學 信息化中心，長春 130022；2.白城兵器試驗中心，白城 137000）

1 計算機網絡信息安全的內涵及重要性

1.1 計算機網絡信息安全的內涵

計算機網絡信息安全，是指防止計算機網絡及其系統硬件設備、軟件程序以及數據信息受到無意破壞和惡意攻擊，避免對數據信息進行泄漏、篡改，防止對計算機網絡的非法訪問以及對相關資源的非法使用［1］。計算機網絡信息安全涵蓋較為廣泛的范圍，主要包括數據信息安全、實體安全、運行安全以及管理安全等方面。隨著時代的發展，計算機網絡信息安全要求計算機網絡實現穩定、可靠地有序運行，避免各類故障導致的系統運行中斷，并確保網絡信息資源具有較強的完整性，避免數據信息出現泄漏缺失，擴展到信息資源處于合法可控范圍內，不被非法竊取、刪改、利用等［2］。

1.2 計算機網絡信息安全的重要性

計算機網絡信息涉及諸多領域的內容，計算機網絡信息安全對于保障國家和人民利益具有重要意義。加強計算機網絡信息安全，有效避免各類惡意網絡攻擊，諸如病毒傳播感染、數據信息竊取篡改等，能有效保障信息安全，并實現對計算機和互聯網犯罪的有效遏制。同時，計算機網絡信息安全對于維護國家安全和社會穩定發揮著重要作用。加強計算機網絡信息安全，能有效避免計算機網絡系統中的硬件設備和軟件系統遭受破壞，保護計算機網絡系統中的數據信息，維護計算機網絡系統的正常安全運行。當前，計算機用戶日益增多，計算機用戶普遍采用計算機網絡系統對個人信息進行存儲傳輸，不法分子借助各類病毒鏈接以及釣魚軟件，非法竊取用戶信息后，將對用戶隱私以及合法權益造成巨大的威脅［3］。因此，加強計算機網絡信息安全能有效保護計算機用戶的隱私和合法權益。

2 計算機網絡信息安全存在的主要問題

影響計算機網絡信息安全的因素有很多，如圖1所示，主要包括病毒傳播、黑客攻擊、系統漏洞、網絡詐騙、硬件問題、用戶安全意識等方面。

圖1 影響計算機網絡信息安全的常見要素

2.1 病毒傳播

計算機病毒具有較強的傳染性和破壞性，能在可執行程序以及相關數據文件中潛伏隱藏，且可存儲、執行，難以被及時發現。計算機病毒具有多種傳播途徑，諸如對文件進行復制和傳送、對程序進行運行等。另外，硬盤設備及軟件系統等均可被用來進行計算機病毒的傳播。計算機網絡及系統感染病毒后，系統工作效率會大幅度降低，文件會被惡意損壞和刪除，導致信息數據出現泄漏丟失，甚至會對系統硬件設備造成破壞。近年來，惡性病毒主要借助網絡實現傳播，嚴重威脅網絡信息安全，并造成巨大的經濟損失和社會危害。

2.2 黑客攻擊

黑客攻擊主要包括兩種：一種是主動攻擊，一種是被動攻擊。前者是指采用多種方式對信息的完整性以及有效性實施進行選擇性地攻擊破壞；后者是指不影響計算機網絡的正常運行，對機密信息進行非法截獲、竊取或者非法破譯［4］。當前，計算機網絡以及軟件系統普遍存在漏洞，黑客借助各類技術手段非法入侵計算機網絡系統，對系統信息數據進行非法竊取或者修改。黑客攻擊嚴重威脅計算機網絡信息安全，并導致機密數據信息出現泄漏丟失，甚至會導致計算機系統發生癱瘓。

2.3 系統漏洞

系統漏洞是指存在于計算機軟件及操作系統中的邏輯缺陷或程序編寫錯誤，本身不會影響計算機網絡信息安全，但系統漏洞的存在為黑客和不法分子提供了便利。他們借助系統漏洞，植入木馬病毒，對計算機網絡信息系統進行攻擊和非法控制，對用戶相關數據信息進行非法竊取，會嚴重影響計算機網絡信息安全。常見的系統漏洞如下：（1）操作系統漏洞。操作系統為各類應用功能的良好實現提供了平臺。當前，各類應用軟件日益增多，加劇了操作系統漏洞存在的安全隱患。操作系統常見漏洞包括非法訪問以及缺乏有序的訪問控制等。（2）網絡協議漏洞。TCP/IP主要負責完整地對數據信息進行傳輸，但此類網絡協議無法有效識別源地址，且相應的控制機制存在缺陷，難以準確地對IP地址進行定位，為黑客非法竊取數據信息以及攻擊網絡系統提供了便利。（3）數據庫漏洞。通常，數據庫漏洞的存在，導致難以有效驗證用戶輸入參數具備的合法性，無法有效保障web應用的安全性，病毒入侵以及非授權訪問增加了服務器運行的安全隱患。（4）網絡軟件漏洞。網絡軟件漏洞具有諸多種類，涵蓋郵件漏洞、web編寫漏洞、域名漏洞以及黑客入侵等，嚴重威脅計算機網絡信息安全。

2.4 網絡詐騙

當前，計算機網絡日趨普及，計算機網絡用戶數量日益增多。網絡詐騙現象層出不窮，對計算機網絡信息安全造成嚴重威脅，且嚴重損害計算機網絡用戶的利益。計算機網絡具有較強的虛擬性特征，且具有較強的開放性，各類社交軟件，諸如微信、QQ等用戶數量日益增多。不法分子利用各類社交軟件，向計算機網絡用戶大量發布虛假信息，開展網絡詐騙活動。部分用戶缺乏對網絡信息真實性的辨識能力，輕易相信各類虛假的詐騙信息，極易掉入詐騙陷阱中，導致自身經濟損失。

2.5 硬件問題

計算機網絡數據信息存儲以及系統運行均有賴于硬件設備的正常良好運行。若硬件設備存在質量問題，將難以保障數據信息的安全。同時，在各類硬件設備，特別是硬盤以及移動存儲設備的使用過程中，若硬件設備發生故障，將破壞所存儲的數據信息，影響數據信息的正常讀取和有效使用。在計算機網絡系統運行過程中，部分用戶缺乏對硬件設備的日常維護以及對硬件設備故障的有效修復，可能導致硬件設備所存儲的數據信息發生泄漏和丟失，甚至影響計算機網絡系統的正常運行。

2.6 用戶安全意識

用戶缺乏較強的信息安全意識，或者設置的用戶口令過于簡單，未能對自身賬戶進行有效的保密等，將嚴重影響計算機網絡信息安全。用戶在對計算機網絡系統進行使用的過程中，缺乏較強的網絡安全意識，未能有效控制自身的操作行為，難以及時發現和有效消除操作過程中存在的安全隱患［5］。同時，用戶缺乏對網站安全性的辨識能力，有時會瀏覽各類不健康的網站以及存在安全隱患的網站，極易感染計算機病毒，或者引發黑客攻擊。另外，部分用戶缺乏對網絡信息真實性的辨識能力，極易輕信各類網絡虛假信息，會無意識地泄露自身的數據信息并造成損失。

3 計算機網絡信息安全防范策略

計算機網絡信息安全防范可以采用諸多手段，常見的手段如圖2所示，主要包括應用計算機殺毒軟件、構建網絡信息安全防火墻、及時更新系統及應用程序補丁、應用數字簽名和文件加密技術、隱藏IP地址、加強網絡監控和入侵檢測、設置有效的訪問權限、強化計算機網絡信息安全意識等。

圖2 計算機網絡信息安全防范

3.1 應用計算機殺毒軟件

要充分應用計算機殺毒軟件加強計算機網絡信息安全防護。殺毒軟件能嚴格檢測和有效查驗各類計算機病毒，并對之進行有效處理。應用殺毒軟件，能有效修復存在于計算機系統中的各類漏洞，進而有效避免黑客對漏洞的攻擊。應用殺毒軟件，能及時將病毒掃描查驗出來，并采取具有較強針對性和有效性的措施實施網絡防護，能有效增強計算機網絡信息安全。另外，殺毒軟件能實現與網絡防火墻的有效配合。

例如，某單位發現訪問互聯網速度緩慢，接近癱瘓狀態，網絡管理員懷疑內網可能遭到病毒感染，但檢查日志后，未發現明顯異常。這是典型的病毒現象，內網中部分終端中了病毒下載器，從互聯網中不斷下載病毒，且對大量寬帶資源進行占用。同時，程序本身不屬于病毒，因此，殺毒軟件相應的系統中心未能檢測到該程序，無法對之進行準確定位和有效處理，導致內網爆發了病毒疫情。對此，相關工作人員采取了如下解決方案：將防毒墻架設于網關，對病毒下載進行阻斷，對防毒墻日志進行檢查，對病毒傳播源進行準確定位。檢查受害主機，并對病毒下載器進行清除，對殺毒軟件升級。對防毒墻具備的聯動功能和反掛馬功能進行啟動，對上網安全進行有效保障。對內網終端進行檢查，確保殺毒軟件的有效安裝，并對高危漏洞打補丁。

3.2 構建網絡信息安全防火墻

網絡防火墻，能有效加強網絡間存在的訪問控制，并有效防止各類外部用戶借助技術手段非法入侵內部網絡并對網絡資源進行訪問，能實現對內部網絡信息安全和操作環境的有效保護。為加強計算機網絡信息安全防范，要構建網絡防火墻，遵循相關安全策略對兩個以上網絡間存在的傳輸數據包實施嚴格檢查，并對網絡通信的允許狀態進行確定，對網絡實際運行狀態實施監視。通常，可對如下種類的網絡防火墻進行構建：（1）包過濾型防火墻。此類防火墻對分包傳輸技術進行采用，對數據包所含的地址信息進行讀取，在此基礎上，對數據包來源站點的安全性進行判斷，若數據包來自于危險站點，防火墻將拒絕數據包進入內部網絡。（2）地址轉換型防火墻。此類防火墻對內側IP地址進行轉換，使之成為臨時的外部注冊IP地址。內部網絡對Internet進行訪問，則對真實IP地址實施對外隱藏。外部網絡借助網卡對內部網絡進行訪問，無法獲知內部網絡的實際連接情況，僅能借助一個開放IP地址以及端口對訪問進行請求。（3）代理型防火墻。此類防火墻，具體位于客戶端以及服務器二者之間，完全實現了對二者數據交流的有效阻擋。若客戶端需對服務器相關數據進行使用，需先對代理服務器發出相應的數據請求，代理服務器基于數據請求向服務器進行數據索取，索取成功后將數據對客戶端進行傳輸。外部系統以及內部服務器二者間并不存在直接數據通道，因此，外部侵害難以實現對內部網絡系統的傷害。（4）監測型防火墻。此類防火墻能主動實施對各層數據的實時監測，并對各層數據進行深入分析，進而對存在于各層的非法侵入進行有效判斷。同時，此類防火墻配置了分布式探測器，并將之在各類應用服務器以及網絡節點中進行安置，一方面能實現對外部網絡攻擊的有效檢測，另一方面能有效防范內部存在的惡意破壞［6］。

3.3 安裝漏洞補丁程序

漏洞是指計算機網絡或系統弱點，諸如硬件設備缺陷、軟件程序缺點、功能設計不完善以及相關配置失當等。各類軟件系統難免存在漏洞。黑客以及病毒通常借助漏洞對計算機網絡及用戶實施攻擊。若計算機網絡以及系統程序存在漏洞，將引發各類安全隱患。為實現對漏洞的有效彌補，軟件廠商會基于漏洞特點發布相應的補丁程序。為加強計算機網絡信息安全防護，可有針對性地對漏洞補丁程序進行安裝，避免漏洞帶來的安全隱患?？山柚┒磼呙杵鲗β┒催M行掃描，還可借助各類防護軟件，對漏洞進行掃描并對相應的漏洞補丁進行下載。

3.4 應用數字簽名和文件加密技術

應用數字簽名和文件加密技術，能增強數據信息的安全性和保密性，并有效防止黑客對秘密數據信息進行非法竊取和破壞。數字簽名和文件加密技術主要包括以下三種：（1）數據傳輸加密。該技術主要對處于傳輸過程中的數據流進行加密，通常包括兩種，一種是線路加密，一種是端對端加密。前者將路線作為側重點，未對信源及信宿進行考慮。對于通過不同線路的保密信息，采用各類加密密鑰對之進行安全保護。后者是由發送者借助加密軟件、加密技術等對所發送的信息以及文件進行加密處理，對明文進行加密處理，使之成為密文。當信息及文件傳輸到其目的地后，收件人借助相應密鑰對信息或文件實施解密，將之恢復為明文，對數據信息進行讀取。（2）數據存儲加密。該技術能防止數據信息在存儲環節出現失密。通常包括兩種，一種是密文存儲，一種是存取控制。前者通常借助各類方法，諸如加密模塊、加密法轉換以及附加密碼等對存儲的本地文件實施加密，并進行數字簽名處理。后者是通過嚴格審查和有效顯著用戶資格及其權限，有效防止非法用戶對數據進行存取，并防止合法用戶對數據信息進行越權存?。?］。（3）數據完整性鑒別。該技術主要通過驗證介入信息的實際傳送和存取、處理人的真實身份以及相關數據的具體內容，增強保密效果，通常要鑒別口令、數據、密鑰等各項內容。系統對對象輸入具備的特征值進行驗證，判斷其是否與預先設定的相關參數符合，對數據進行有效的安全保護。

數字簽名，能實現對網絡通信安全問題的有效解決，能準確辨認和有效驗證電子文檔，有效保障數據具有良好的完整性。在數字簽名各類算法中，Hash簽名、RSA簽名以及DSS簽名具有最為廣泛的應用。數字簽名通常包括以下幾種實現形式：（1）一般數字簽名。發送方A要將信息M發送給接受方B，先借助單向散列函數，對信息M進行處理，使之成為信息摘要MD，再實施簽名。據此對信息來源進行確認，并確保信息具有良好的完整性。（2）借助非對稱加密算法或者采用單向散列函數實施有效的數字簽名。該法借助公開密鑰以及私有密鑰對數據分別實施加密處理以及解密處理。若借助公開密鑰對相關數據實施加密處理，必須采取與之對應的私有密鑰，方能實現有效解密。同理，若借助私有密鑰對相關數據實施加密處理，必須采取與之對應的公有密鑰，方能實現有效解密。在該方法下，只有用戶擁有信息發送方相應的公開密鑰，即可對數字簽名是否具有正確性進行驗證。信息發送方相應的私有密鑰具有保密性，接收方可將驗證結果作為根據對該報文進行拒收，也可阻礙對報文簽名進行偽造或者修改報文。（3）借助對稱加密算法，實施數字簽名。該法通常采用相同的加密及解密密鑰。在對稱加密算法中，加密方及解密方對密鑰進行采用均需保守秘密。該法具有較快的計算速度，常用來對大量數據庫文件實施加密處理。（4）接收方不可抵賴數字簽名。該法能有效防止發送方及接收方的抵賴行為，對高要求的通信場合具有較強的適用性。但該法存在過多的加密及解密次數，對數據傳輸的實際效率造成了不良影響。（5）基于時間戳的數字簽名。該法對時間戳這一概念進行了引入，實現了對加密及解密次數以及確認時間的有效減少，能確保數據實現安全可靠的傳輸，并杜絕發送方及接收方的抵賴行為，還能促進數據加密、解密以及數據傳輸實際效率的大幅度提高，對高要求的數據傳輸場合具有較強的適用性。

3.5 隱藏IP地址

黑客主要借助網絡探測技術對目標計算機所含的機密信息進行探測，其主要目的，是對目標主機相應的IP地址進行非法獲取。在計算機網絡信息安全中，IP地址占據著關鍵性地位，若黑客實現了對目標計算機相應IP地址的非法獲取，即掌握了網絡攻擊的具體目標。黑客即可借助各類技術手段和工具，諸如dos攻擊以及flood溢出攻擊等攻擊IP地址。因此，加強計算機網絡信息安全防護，可采取有效方法隱藏IP地址。通常，可借助代理服務器或路由器NAT地址轉換實現對IP地址的有效隱藏。黑客在對IP地址進行探測時，僅能探測獲知代理服務器或路由器相應的IP地址，無法實現對目標計算機相應的IP地址的有效獲取，難以對之進行攻擊，這就有效保障了計算機安全。

3.6 加強網絡監控和入侵檢測

入侵檢測綜合了多種技術，諸如統計、網絡通信、密碼學、人工智能等，能實現對計算機網絡和系統的有效監控，能及時發現各類非法入侵征兆。常用的入侵檢測技術主要有以下兩種：（1）簽名分析法。該法是針對攻擊系統弱點的行為進行監測。借助該法，從攻擊模式中對其簽名進行歸納，并將之編寫入Ds系統相應代碼，實現模塊匹配操作。（2）統計分析法?；诮y計學相關理論，在系統正常運行狀態下，對相應動作模式進行觀察，并據此對具體動作進行辨別，避免相關動作對正常軌道出現偏離。

3.7 設置有效的訪問權限

設置訪問權限，能實現對計算機網絡信息安全的有效防護。通常，用戶可對動態口令、靜態密碼以及指紋識別等進行設置，強化訪問權限設置。動態口令，實質是對計算機網絡系統實施隨機加密，每間隔一定時間，即對密碼進行更換，能有效防止黑客破譯密碼，避免黑客對計算機網絡系統相應的終端數據庫進行攻擊。靜態密碼以及指紋識別，是指計算機網絡系統相應的管理人員在數據庫中輸入自身的指紋信息以及靜態密碼。開始使用計算機時，需在登錄頁面對密碼進行輸入，或者開啟指紋識別打開計算機網絡系統，能有效增強計算機網絡系統的安全性，能防止黑客和不法分子對計算機網絡系統存儲的數據信息和相關資料進行非法竊取。

3.8 強化計算機網絡信息安全意識

用戶在使用計算機網絡過程中，要強化計算機網絡信息安全意識，并采取各類安全防護措施。用戶對相關賬戶及密碼進行設置，要有意識地增強賬號及密碼的難度，并對隱私密碼進行及時更新。同時，用戶借助網絡查詢信息，要注意對瀏覽網站是否具備安全性進行辨別，避免點擊存在安全隱患的網頁以及陌生文件，避免對各類不健康網站進行瀏覽，接收電子郵件時不打開陌生的郵件，更不要下載和打開未知的附件。用戶要從可靠的資源網站下載應用程序和文檔，不下載和安裝來歷不明的應用程序和軟件。用戶要有意識地排除計算機網絡中存在的各類安全隱患，定期對計算機網絡實施安全檢查和維護。用戶要定期異地備份重要的應用程序和文檔，必要時可以加密存儲備份的資料，以便系統軟件或硬件出現故障時快速回復重要的數據。

4 結束語

綜上所述，計算機網絡信息安全對于維護計算機網絡系統的正常安全運行、保護計算機用戶的隱私和合法權益、遏制計算機和互聯網犯罪，保障國家和人民利益，維護國家安全和社會穩定具有至關重要的意義。計算機網絡信息安全存在的主要問題包括病毒傳播、黑客攻擊、系統漏洞、網絡詐騙以及硬件問題和用戶問題等。對此，要通過應用計算機殺毒軟件、構建網絡信息安全防火墻、安裝漏洞補丁程序、應用數字簽名和文件加密技術、隱藏IP地址、加強網絡監控和入侵檢測、設置有效的訪問權限、強化計算機網絡信息安全意識等策略加強計算機網絡信息安全防護。