計算機網(wǎng)絡(luò)信息安全問題及對策

摘要：隨著社會信息化的高速發(fā)展和網(wǎng)絡(luò)社會的普遍建立，計算機網(wǎng)絡(luò)技術(shù)的應(yīng)用日趨廣泛，網(wǎng)絡(luò)中接入信息基礎(chǔ)設(shè)施的數(shù)量不斷增加，信息系統(tǒng)軟件建設(shè)水平日益提高和完善，計算機網(wǎng)絡(luò)信息安全問題變得日益突出和重要。加強計算機網(wǎng)絡(luò)信息安全與防護，已成為決定未來信息化發(fā)展和網(wǎng)絡(luò)技術(shù)應(yīng)用的關(guān)鍵。

關(guān)鍵詞：計算機；網(wǎng)絡(luò)信息；安全對策

中圖分類號：TP393文獻標(biāo)識碼：A文章編號：1009-3044(2008)28-0103-02

Computer Network and Information Security Measures

ZHOU qi

(Armed Police Headquarters Network Management Centre，Beijing 100089，China)

Abstract: With the high-speed information society development and the establishment of the universal social network， computer network technology in the increasingly extensive application， network access the information infrastructure of the increasing volume of information systems software increasing the level of the building and perfection of Computer Network Information Security issues become increasingly prominent and important. Enhance computer network security and information protection， has become a decision on the development of information technology applications and network the key.

Key words: computer; network information; security Measures

1 計算機網(wǎng)絡(luò)信息安全存在的問題

1.1 系統(tǒng)本身設(shè)計有漏洞

網(wǎng)絡(luò)的基石是TCP/IP協(xié)議簇，該協(xié)議簇在實現(xiàn)上力求效率，沒有考慮安全因素，因為那樣無疑增大代碼量，從而降低TCP/IP的運行效率，所以說TCP/IP本身在設(shè)計上就是不安全的。一是很容易被竊聽和欺騙：大多數(shù)專網(wǎng)上的流量是沒有加密的，電子郵件口令文件傳輸很容易被監(jiān)聽和劫持。很多基于TCP/IP的應(yīng)用服務(wù)都在不同程度上存在著安全問題，容易被一些對TCP/IP十分了解的人所利用，一些新的處于測試階級的服務(wù)有更多的安全缺陷。二是缺乏安全策略：許多站點在防火墻配置上無意識地擴大了訪問權(quán)限，忽視了這些權(quán)限可能會被內(nèi)部人員濫用，黑客從一些服務(wù)中可以獲得有用的信息，而網(wǎng)絡(luò)維護人員卻不知道應(yīng)該禁止這種服務(wù)。三是配置的復(fù)雜性：訪問控制的配置一般十分復(fù)雜，很容易被錯誤配置，從而給黑客以可乘之機。TCP/IP是被公布于世的，了解它的人越多，被破壞的可能性越大。現(xiàn)在，銀行之間在專用網(wǎng)上傳輸數(shù)據(jù)所用的協(xié)議都是保密的，這樣就可以有效地防止入侵。

1.2 病毒的傳播、感染，沒有有效的防護措施

計算機病毒是專門用來破壞計算機正常工作，具有高級技巧的程序。它并不獨立存在，而是寄生在其他程序之中，具有隱蔽性、潛伏性、傳染性和極大的破壞性。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)空間的廣泛運用，病毒的種類急劇增加。目前全世界的計算機活體病毒達14萬多種，其傳播途徑不僅通過軟盤、硬盤傳播，還可以通過網(wǎng)絡(luò)的電子郵件和下載軟件傳播。從國家計算機病毒應(yīng)急處理中日常監(jiān)測結(jié)果來看，計算機病毒呈現(xiàn)出異常活躍的態(tài)勢。

1.3 黑客攻擊手段多樣

進入2008年以來，網(wǎng)絡(luò)罪犯采用翻新分散式阻斷服務(wù)（DDOS ）攻擊的手法，用形同互聯(lián)網(wǎng)黃頁的域名系統(tǒng)服務(wù)器來發(fā)動攻擊，擾亂在線商務(wù)。寬帶網(wǎng)絡(luò)條件下，常見的拒絕服務(wù)攻擊方式主要有兩種，一是網(wǎng)絡(luò)黑客蓄意發(fā)動的針對服務(wù)和網(wǎng)絡(luò)設(shè)備的DDOS攻擊；二是用蠕蟲病毒等新的攻擊方式，造成網(wǎng)絡(luò)流量急速提高，導(dǎo)致網(wǎng)絡(luò)設(shè)備崩潰或造成網(wǎng)絡(luò)鏈路的不堪負(fù)重。

1.4 信息安全管理問題

在網(wǎng)絡(luò)建設(shè)中，高投入地進行網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)，而相應(yīng)的管理措施卻沒有跟上，在網(wǎng)絡(luò)安全上的投資也是微乎其微。有些管理者錯誤地認(rèn)為，網(wǎng)絡(luò)安全投資只有投入?yún)s不見直觀效益，對網(wǎng)絡(luò)使用和工作影響不大。因此，對安全領(lǐng)域的投入和管理遠(yuǎn)遠(yuǎn)不能滿足安全防范的要求。一旦安全出了問題，又沒有行之有效的措施補救，有的甚至采取關(guān)閉網(wǎng)絡(luò)、禁止使用的消極手段，問題依然得不到實質(zhì)性的解決。

2 計算機網(wǎng)絡(luò)信息安全存在問題的解決對策

2.1 建立全面的計算機網(wǎng)絡(luò)信息安全監(jiān)測系統(tǒng)

一個完整的計算機網(wǎng)絡(luò)安全檢測系統(tǒng)應(yīng)當(dāng)包括病毒檢測、入侵檢測、網(wǎng)絡(luò)漏洞檢測、網(wǎng)絡(luò)監(jiān)控等功能。現(xiàn)代病毒無論是傳播性、隱藏性還是破壞性，都是傳統(tǒng)病毒無法比擬的。它們可以借助文件、郵件、網(wǎng)頁、局域網(wǎng)中的任何一種方式進行傳播，具有自啟動功能，潛入系統(tǒng)核心和內(nèi)存為所欲為，利用控制的計算機為平臺，對整個網(wǎng)絡(luò)進行大肆攻擊。病毒檢測的目的在于由被動清毒變?yōu)橹鲃咏貧ⅲ哂袑ξ粗《镜牟闅⒐δ埽ξ募⑧]件、內(nèi)存、網(wǎng)頁進行全面實時監(jiān)控，發(fā)現(xiàn)異常情況及時處理。

入侵檢測能力是衡量一個防御體系是否完整有效的重要因素。強大的、完整的入侵檢測體系可以彌補防火墻相對靜態(tài)防御的不足。目前，國內(nèi)許多信息安全廠家都已推出入侵檢測系統(tǒng)，完備的入侵檢測系統(tǒng)可以對內(nèi)部攻擊、外部攻擊和誤操作進行實時防護，當(dāng)計算機網(wǎng)絡(luò)和系統(tǒng)受到危害之前進行報警、攔截和響應(yīng)，為系統(tǒng)及時消除威脅。

網(wǎng)絡(luò)漏洞檢測。技術(shù)方面包括：通信線路遭到竊聽；通信協(xié)議、操作系統(tǒng)平臺本身存在的漏洞；軟件“后門”，它原本是編程人員為了自己方便而設(shè)計的，結(jié)果為黑客也提供了方便。非技術(shù)方面主要是指人為因素，如系統(tǒng)安全配置不當(dāng)、用戶操作失誤、安全管理不到位等。從根本上說，網(wǎng)絡(luò)安全漏洞是“不可避免”的，但通過安裝入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)，可以堵住大部分的安全漏洞。同時，通過制定網(wǎng)絡(luò)管理規(guī)范，嚴(yán)格安全制度，能有效地防止許多人為因素產(chǎn)生的漏洞，把安全的鑰匙掌握在自己手中。

網(wǎng)絡(luò)監(jiān)控。俗話說，“明槍易躲，暗箭難防”。病毒、黑客的破壞性雖大，但因為人們的警惕性較高，一定程度上減輕了危害。而對于不是那么明顯的內(nèi)部攻擊和人員誤操作行為，在毫無防范的情況下，各信息單位受到的損失往往無法估量。實施網(wǎng)絡(luò)監(jiān)控可以有效降低網(wǎng)絡(luò)操作失誤帶來的損失，并且可以及時地檢測到來自內(nèi)部的攻擊，維護計算機網(wǎng)絡(luò)的信息安全。

2.2 做好網(wǎng)絡(luò)安全隔離工作，防止網(wǎng)上失密竊密

防火墻可以幫助系統(tǒng)進行有效的網(wǎng)絡(luò)安全隔離，通過安全過濾規(guī)則、DMZ訪問規(guī)則的設(shè)立，能夠嚴(yán)格控制外網(wǎng)用戶非法訪問，并只打開必須的服務(wù)，防范外部來的拒絕服務(wù)攻擊。同時，它可以進行時間安全規(guī)則變化策略，控制內(nèi)網(wǎng)用戶訪問外網(wǎng)時間；并通過設(shè)置IP地址與MAC地址綁定，防止目的IP地址欺騙。更重要的是，防火墻不但將大量的惡意攻擊直接阻擋在外面，同時也屏蔽來自網(wǎng)絡(luò)內(nèi)部的不良行為，讓其不能把某些保密的信息散播到外部的公共網(wǎng)絡(luò)上去。

2.3 對重點部位進行電磁屏蔽，防止電磁輻射

在計算機網(wǎng)絡(luò)系統(tǒng)工作時，通常有信息通過電磁波的方式被泄露出去。信息被泄露主要有兩種情況：一是通過地線、電源線、信號線傳播出去的（傳導(dǎo)發(fā)射）；二是通過空間傳播出去的（輻射發(fā)射）。泄漏信息中的有用信息很容易接收并重顯出來，從而造成泄密，因此做好信息防電磁泄漏工作極為重要。防止信息泄漏的重點是瞄準(zhǔn)系統(tǒng)的輸入、輸出信號，采取屏蔽、隔離、接地和濾波等方法，把信號限制在安全區(qū)域內(nèi)，達到安全隔離的目的。

2.4 加強計算機網(wǎng)絡(luò)專業(yè)人員的培訓(xùn)

加強對計算機網(wǎng)絡(luò)專業(yè)人員的培訓(xùn)，是解決當(dāng)前網(wǎng)絡(luò)信息安全問題的關(guān)鍵所在。計算機網(wǎng)絡(luò)專業(yè)人員培訓(xùn)，主要是讓每個網(wǎng)絡(luò)管理員懂得如何對計算機網(wǎng)絡(luò)進行有效的信息安全管理，讓每個網(wǎng)絡(luò)操作員跟蹤最新的網(wǎng)絡(luò)系統(tǒng)和對系統(tǒng)進行及時升級，有效地提高網(wǎng)絡(luò)防護能力。

3 結(jié)束語

隨著計算機技術(shù)和通信技術(shù)的發(fā)展，信息系統(tǒng)將日益成為企業(yè)的重要信息交換手段。因此，認(rèn)清信息系統(tǒng)的脆弱性和潛在威脅，采取必要的安全策略，對于保障信息系統(tǒng)的安全性將十分重要。同時，信息系統(tǒng)技術(shù)目前正處于蓬勃發(fā)展的階段，新技術(shù)層出不窮，其中也不可避免的存在一些漏洞，因此，進行信息系統(tǒng)安全防范要不斷追蹤新技術(shù)的應(yīng)用情況，及時升級、完善自身的防御措施。

參考文獻：

[1] 巨乃岐.信息安全—網(wǎng)絡(luò)世界的保護神[M].北京:軍事科學(xué)，2003.

[2] 陳慧明，李艷華.計算機安全網(wǎng)絡(luò)對策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2004(12):33-35.