計算機信息網中安全體系研究

侯明浩（武警指揮學院，天津，300250）

計算機信息網中安全體系研究

侯明浩
（武警指揮學院，天津，300250）

從信息安全、計算機安全、網絡安全三方面分析計算機信息網中存在的問題，從信息安全、計算機安全、網絡安全三方面闡述了計算機信息網的安全體系。

計算機信息網；信息安全；計算機安全；網絡安全；安全體系

1 計算機信息網存在的問題

1.1 信息安全問題

1.1.1 病毒危害

在運行計算機時，計算機病毒不僅會破壞計算機的運行，還會威脅到計算機內部的存儲以及信息的安全。具體表現在：①刪除用戶的相關信息；②預留后門，方便攻擊者獲取用戶的信息；隱藏用戶的信息，以便攻擊者可以敲詐用戶。

1.1.2 人為泄密

通過調查發現，我國大部分的企業沒有設置保護電子文檔的措施。對于沒有保護措施的企業，其員工在發送電子郵件或使用移動U盤時會將公司機密性的信息泄露出去。

1.2 計算機安全問題

1.2.1 計算機病毒

隨著信息的發展，計算機病毒是通過網絡傳播，而且其傳播的速度和范圍以及破壞力都不是以往的單機病毒可以比擬的。如果病毒程序安置在計算機上，會造成多種多樣的破壞：①搶占系統的資源，降低系統運行速率；②破壞文件；③將用戶的相關信息傳播到網絡上；④打開攻擊者進入計算機的后門；⑤收集攻擊者想要的信息。

1.2.2 非法訪問和破壞

非法訪問和破壞又稱為黑客攻擊，黑客攻擊由來已久。在目前的社會中，已經有近30萬的黑客網站，這些網站會介紹一些黑客軟件的使用方法，這樣就會增加計算機網絡的攻擊。雖然全世界都對黑客的行為進行了各種各樣的研究，但沒有具體的效果，而且黑客的攻擊是隱蔽性較好、殺傷力強，是威脅計算機安全的罪魁禍首。

1.3 網絡安全問題

在實際的網絡環境中，攻擊和欺騙的來源主要有人為實施和病毒攻擊兩個途徑，其主要針對的對象是鏈路層和網絡層，目前網絡中的欺騙和攻擊的工具已經是常見的，且成熟易操作的。人為實施是指人們為了獲取管理賬戶及其密碼，利用黑客的工具嗅探、掃描計算機網絡的行為，同時人們還可以在計算機網絡中安插病毒木馬，以便獲取更機密的信息。通常情況下，人們難以察覺到欺騙、攻擊的行為，但對于有高要求的信息安全來說，其危害還是很大的。比如，人們在獲取信息和資料的同時，木馬或蠕蟲等病毒會增大用戶的網絡流量或增加CPU使用率，甚至是使整個網絡癱瘓。

1.3.1 網絡監聽

網絡安全管理人員是通過網絡監聽技術來監視網絡的狀態、網絡數據流動的情況以及網絡上傳輸的信息。如果網絡信息在傳輸時是以明文的形式出現的，那么只要將網上的任何一個未知調整成監聽的模式，就能夠源源不斷的截獲信息。在截獲信息后，分析截獲的數據幀，就可以獲取敏感信息和重要信息。

1.3.2 MAC/CAM攻擊

CAM表是指交換機上運行的Cisco IOS在內存中維護的一張表，CAM表是交換機要查找的表，表中有MAC地址，對應的端口號，端口所屬的VLAN。交換機的每一個端口都有MAC地址自動學習的功能，當交換機收到一個幀時，就會查看幀中的源MAC地址，并查找CAM表，如果有就什么也不做，開始轉發數據。如果沒有就存入CAM表，以便當其他人向這個MAC地址上發送數據時，可以決定向哪個端口轉發數據。MAC/CAM攻擊是指人們使用一定的工具欺騙MAC，使得交換機在CAM表被填滿后會以廣播的方式處理信息，在這個時候攻擊者就通過利用黑客的工具嗅探、掃描獲取計算機網絡信息。

1.3.3 DHCP攻擊

用戶網絡的設置是通過DHCP來簡化的，它能夠自動的為用戶設置網絡的IP地質、掩碼、網關、DNS、WINS等網絡參數，但是，如果有多臺DHCO服務器，那么就會造成網絡混亂，而且在管理方面也會有問題，常見的問題有：①DHCP的冒充；②DHCP的攻擊；③用戶隨意的指定地址，使得網絡地址混亂、沖突。

1.3.4 IP欺騙

IP地址欺騙攻擊者的主要目的是偽裝成人們信任的主機或隱藏攻擊發出地，具體的方式是人工修改合法的地址或通過相關程序執行地址欺騙 。IP地址欺騙的具體步驟是：第一，選定目標主機；第二，尋找被目標主機信任的主機，第三，利用黑客的工具使主機喪失工作能力，以獲取并分析主機發出的數據；第四，偽裝成人類信任的主機，并與目標主機建立基于地址驗證的應用連接。也就是說，IP地址欺騙攻擊者是通過簡單的命令放置系統后門，以便攻擊者進行沒有授權的操作。

2 計算機信息網安全體系

2.1 信息安全

2.1.1 數據備份

根據數據的重要程度定期將之備份到光盤或移動設備上，同時進行雙分區、雙硬盤或雙機熱備份，以便在發生意外時能夠技及時有效的恢復重要數據。

2.1.2 信息加密

確保信息安全最直接、最有效的方法是使用帶有網絡認證功能的加密軟件。用戶在使用計算機時，這些軟件會自動采集計算機硬盤序列號、CPU序列號等物理特性，在采集完成后進行加密處理，然后將之存儲到固定的網絡服務器上；用戶在使用這些軟件時，網絡會核對用戶認證的信息和計算機的物理特性，對于核對正確的用戶給予授權，對于信息不對的用戶是無法使用加密文件的。

2.2 計算機安全

2.2.1 網絡版殺毒和防火墻軟件

如果計算機系統內的某臺計算機發生病毒感染，那么很有可能影響到全部的計算機，因此，需要防范每一臺計算機的病毒感染。從構架設計來說，以網絡的使用為核心，即能滿足集中控制管理的需求，又能及時的向計算機終端用戶下發病毒庫文件，以便用戶及時的進行病毒查殺任務。

2.2.2 使用安全應用軟件

安全應用軟件是指在設計此類軟件時就設置了安全防范措施。首先，軟件具有自我保護能力，能夠防止用戶將信息拷貝到其他計算機上；其次，軟件具有網絡認證的功能，以便信息能夠安全的應用；然后，進行網絡通信時，應用軟件使用相對固定的網絡端口，同時加密處理這些網絡端口，并保證端口連接的合理性、合法性；最后，加密所有通過網絡傳輸的命令和數據，以保證傳輸安全。

2.2.3 系統安全

在安裝系統時，對系統設立3個分區，以便使操作系統、應用程序獨立開來，同時相關重要的數據需獨立的儲存，而且需要對系統進行Ghost備份，這樣一旦系統出現問題，就可以及時的恢復操作系統和應用程序。

2.3 網絡安全

2.3.1 網絡隔離安全

根據網絡隔離的方法可知，隔離網絡內部與網絡外部可以采取二層邏輯隔離或物理隔離法。對于城域網，其網絡主要采取物理隔離的方法進行隔離；對于廣域網，由于租用或自建長途光纜所需的費用較高，因此其網絡主要采取二層邏輯隔離的方法進行隔離，不過在使用時，營運商只對提供給用戶的長途電路做透明傳輸處理，所以其安全性較高，對于安全性要求較高的網絡來說，可以在設備兩段添加加密設備，以便獲得更高的安全保障。

2.3.2 網絡管理安全

一般情況下，為保護管理網需采用三層邏輯邏輯隔離。除管理計算機所在端口外的所有計算機終端直接相連的三層交換機和路由器端口上設置訪問控制策略，以禁止除目的地址外的所有網絡數據包進入網絡，關閉三層交換機和路由器上不使用的所有功能，靜止IP源地址路由，配置Console口及Telnet登錄密碼，打開密碼保護設置，設置超級用戶密碼。

3 結語

影響計算機信息網安全的主要因素是信息安全、計算機安全、網絡安全。只有解決這三方面的安全問題，才能使計算機信息網安全正常的運行。

［1］王丹丹.信息化戰場指揮信息系統信息安全保障體系研究［D］.解放軍信息工程大學，2012.

［2］黃晟辰，李勤，李劍鋒，魏軍.供應鏈信息安全體系框架研究［J］.科技管理研究，2014，05：171-174.

Research on the Security System of Computer Information Network

Hou Minghao
（Command College of People Armed Police， Tianjin，300250）

tAnalyzes the problems existing in the computer information network from information security，computer security and network security，and elaborates the security system of computer information network concerning the information security，computer security and network security.

computer information network；information security；computer security；security system