基于網(wǎng)絡(luò)信息安全技術(shù)管理的計(jì)算機(jī)應(yīng)用分析

許文勇

（四川華新現(xiàn)代職業(yè)學(xué)院，四川 成都 610107）

1 網(wǎng)絡(luò)信息安全技術(shù)管理的相關(guān)內(nèi)容

1.1 網(wǎng)絡(luò)信息安全技術(shù)管理的基本概念

網(wǎng)絡(luò)信息安全技術(shù)管理是為了保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)和信息系統(tǒng)的安全性而開展的一系列技術(shù)、管理和組織工作的有關(guān)行為，它包含了安全的規(guī)劃、實(shí)施、運(yùn)營(yíng)與監(jiān)控等方面。在安全管理中，所涉及的基本概念包括安全、風(fēng)險(xiǎn)、控制、體系結(jié)構(gòu)等[1,2]。

在安全管理中，安全指信息系統(tǒng)或網(wǎng)絡(luò)在維持其完整性、保密性、可用性以及可控性的狀態(tài)下，不受任何內(nèi)外部威脅和攻擊的能力。其中：完整性指信息和數(shù)據(jù)未被損壞或篡改；保密性指信息或數(shù)據(jù)不能被未經(jīng)授權(quán)的人所讀取；可用性指信息或數(shù)據(jù)可被及時(shí)訪問和使用，并能正確地進(jìn)行處理和傳輸；可控性指能對(duì)網(wǎng)絡(luò)和系統(tǒng)進(jìn)行有效控制和管理。保障信息安全需要強(qiáng)化安全意識(shí)，對(duì)系統(tǒng)進(jìn)行安全評(píng)估，發(fā)現(xiàn)和分析安全問題，并加強(qiáng)安全措施和防范措施。風(fēng)險(xiǎn)是指計(jì)算機(jī)應(yīng)用系統(tǒng)和網(wǎng)絡(luò)中存在的可能導(dǎo)致發(fā)生信息安全事故的因素和隱患。風(fēng)險(xiǎn)分析將評(píng)估風(fēng)險(xiǎn)的嚴(yán)重程度、影響范圍以及預(yù)防措施，并提出針對(duì)性的解決方案。控制是指網(wǎng)絡(luò)和信息系統(tǒng)的管理、監(jiān)控、防護(hù)與檢查等行為，包括物理安全和技術(shù)安全措施。通過防范與檢測(cè)故障和威脅的行為，控制能夠有效地保護(hù)網(wǎng)絡(luò)和系統(tǒng)的安全性。體系結(jié)構(gòu)是指網(wǎng)絡(luò)和系統(tǒng)內(nèi)部的功能與組織結(jié)構(gòu)關(guān)系，它是基于網(wǎng)絡(luò)的特點(diǎn)和應(yīng)用需求設(shè)計(jì)的，可以通過加強(qiáng)網(wǎng)絡(luò)管理、規(guī)劃和實(shí)施各項(xiàng)安全策略來提高網(wǎng)絡(luò)與系統(tǒng)的安全性。

1.2 網(wǎng)絡(luò)信息安全技術(shù)管理的定義

網(wǎng)絡(luò)信息安全技術(shù)管理是指在計(jì)算機(jī)網(wǎng)絡(luò)和信息系統(tǒng)中，通過一系列技術(shù)、管理和組織工作的有關(guān)行為，為保護(hù)關(guān)鍵網(wǎng)絡(luò)和系統(tǒng)的完整性、保密性、可用性以及可控性而進(jìn)行的管理活動(dòng)[3]。其目標(biāo)是為了規(guī)劃、實(shí)施、運(yùn)營(yíng)和監(jiān)控信息系統(tǒng)的安全性，以保障網(wǎng)絡(luò)中信息資源的安全和穩(wěn)定。網(wǎng)絡(luò)信息安全技術(shù)管理的實(shí)踐是一個(gè)涉及多種技術(shù)手段與管理方法的綜合體系，其中包括安全規(guī)劃、安全設(shè)計(jì)、安全運(yùn)維、安全評(píng)估等方面，廣泛應(yīng)用于不同領(lǐng)域，如政府、金融、通信、軍事等，旨在提高數(shù)據(jù)安全性、減少信息泄露風(fēng)險(xiǎn)。網(wǎng)絡(luò)信息安全技術(shù)管理主要聚焦于計(jì)算機(jī)網(wǎng)絡(luò)和信息系統(tǒng)中的安全風(fēng)險(xiǎn)控制與安全威脅防護(hù)。通過分析威脅模式和攻擊方式，預(yù)測(cè)可能的攻擊事件，從而采取有效措施加以防范和響應(yīng)。

2 計(jì)算機(jī)應(yīng)用的安全威脅、風(fēng)險(xiǎn)分析及漏洞分析

2.1 計(jì)算機(jī)應(yīng)用的安全威脅

隨著計(jì)算機(jī)應(yīng)用的不斷普及，安全威脅的類型也在不斷變化，愈加復(fù)雜和多樣化。在計(jì)算機(jī)應(yīng)用過程中，安全威脅主要包括病毒、木馬、蠕蟲、間諜軟件、拒絕服務(wù)（Denial Of Service，DoS）/分布式拒絕服務(wù)（Distributed Denial of Service，DDoS）攻擊、漏洞利用和社會(huì)工程學(xué)攻擊等幾個(gè)類型。其中：病毒使用計(jì)算機(jī)運(yùn)行程序自我復(fù)制并傳播，會(huì)破壞、刪除或加密計(jì)算機(jī)上的文件、數(shù)據(jù)；木馬隱藏在計(jì)算機(jī)系統(tǒng)中，可遠(yuǎn)程控制被感染計(jì)算機(jī)進(jìn)行惡意操作，泄露用戶隱私，進(jìn)一步傳播病毒；蠕蟲是一種網(wǎng)絡(luò)傳播的自動(dòng)化程序，能夠無需人為干預(yù)而在網(wǎng)絡(luò)中自主傳播，造成大規(guī)模破壞；間諜軟件也稱為流氓軟件，通常偽裝成正常軟件的方式進(jìn)入用戶計(jì)算機(jī)，收集用戶隱私信息，并傳遞給第三方，會(huì)嚴(yán)重危害用戶隱私；DoS/DDoS 攻擊通過在網(wǎng)絡(luò)上發(fā)動(dòng)大量請(qǐng)求，耗盡目標(biāo)主機(jī)的網(wǎng)絡(luò)帶寬、中央處理器（Central Processing Unit，CPU）資源，導(dǎo)致目標(biāo)機(jī)器無法正常服務(wù)，造成系統(tǒng)癱瘓，其攻擊過程如圖1 所示；漏洞利用是利用軟、硬件或系統(tǒng)中的缺陷來獲取系統(tǒng)權(quán)限以及敏感數(shù)據(jù)，有時(shí)僅需一個(gè)小漏洞就能攻破整個(gè)系統(tǒng)；社會(huì)工程學(xué)攻擊是攻擊者對(duì)人員進(jìn)行欺騙或詐騙，從而獲取敏感信息。

圖1 DDos 攻擊過程

2.2 計(jì)算機(jī)應(yīng)用的風(fēng)險(xiǎn)分析

計(jì)算機(jī)應(yīng)用的安全風(fēng)險(xiǎn)分析是評(píng)估和管理計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全的重要手段。常用的幾種分析方法包括漏洞掃描、威脅建模、安全風(fēng)險(xiǎn)評(píng)估、模擬攻擊以及日志分析等。漏洞掃描是通過掃描目標(biāo)主機(jī)或網(wǎng)絡(luò)設(shè)備，檢測(cè)其中存在的安全漏洞并提供修復(fù)建議，適用于發(fā)現(xiàn)基礎(chǔ)性漏洞；威脅建模通過分析系統(tǒng)架構(gòu)和流程，確定可能的攻擊并評(píng)估其可能性，對(duì)于評(píng)估系統(tǒng)整體安全性有很大幫助；安全風(fēng)險(xiǎn)評(píng)估是通過使用風(fēng)險(xiǎn)管理方法來識(shí)別、分析、評(píng)估和控制安全威脅，適用于全面評(píng)估和控制系統(tǒng)安全性；模擬攻擊是一種主動(dòng)測(cè)試方法，通過模擬攻擊者的攻擊方式和手段來測(cè)試系統(tǒng)的安全性，適用于檢測(cè)高級(jí)威脅和評(píng)估防御能力；日志分析是實(shí)時(shí)監(jiān)控和分析系統(tǒng)日志，發(fā)現(xiàn)異常流量和攻擊行為，適用于快速響應(yīng)和識(shí)別惡意攻擊。這些方法各有優(yōu)缺點(diǎn)，需要根據(jù)實(shí)際情況使用[4]。

2.3 計(jì)算機(jī)應(yīng)用的漏洞分析

計(jì)算機(jī)應(yīng)用程序中的漏洞是指程序中存在的安全弱點(diǎn)，這些弱點(diǎn)被黑客或攻擊者利用，以執(zhí)行惡意代碼或竊取重要信息。漏洞可能存在于操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議、軟件應(yīng)用程序以及網(wǎng)站等不同層面，以下是常見的計(jì)算機(jī)應(yīng)用漏洞分析。（1）緩沖區(qū)溢出漏洞是一種常見的漏洞類型，這種漏洞通常存在于Web瀏覽器、服務(wù)器以及操作系統(tǒng)內(nèi)核中。攻擊者可以通過向緩沖區(qū)內(nèi)注入大量數(shù)據(jù)來覆蓋程序原有的代碼，從而執(zhí)行惡意代碼。（2）跨站點(diǎn)腳本攻擊中，攻擊者可以向Web 應(yīng)用程序中注入惡意腳本，以獲取用戶信息或執(zhí)行其他惡意操作。（3）結(jié)構(gòu)化查詢語言（Structured Query Language，SQL）注入漏洞中，攻擊者可以通過注入惡意SQL代碼來改變數(shù)據(jù)庫(kù)的行為，從而竊取或者篡改敏感信息。（4）身份驗(yàn)證和會(huì)話管理漏洞也是常見的漏洞類型。攻擊者可以通過偽造會(huì)話ID 或者猜測(cè)密碼等方式來獲取訪問權(quán)限，執(zhí)行惡意操作。（5）確認(rèn)頁(yè)面（Clickjacking）漏洞是一種攻擊方式，攻擊者可以在頁(yè)面上創(chuàng)建一個(gè)透明的圖層，欺騙用戶單擊圖層內(nèi)的按鈕或鏈接，從而劫持用戶的操作。

3 網(wǎng)絡(luò)信息安全技術(shù)管理在計(jì)算機(jī)應(yīng)用中的應(yīng)用

3.1 網(wǎng)絡(luò)信息安全技術(shù)在計(jì)算機(jī)應(yīng)用中的作用

網(wǎng)絡(luò)信息安全技術(shù)是網(wǎng)絡(luò)安全的重要組成部分，其主要目的是保護(hù)網(wǎng)絡(luò)系統(tǒng)和信息不被未經(jīng)授權(quán)的訪問、竊取或損壞。在計(jì)算機(jī)應(yīng)用中，網(wǎng)絡(luò)信息安全技術(shù)發(fā)揮著重要作用，可以幫助保護(hù)個(gè)人和企業(yè)的隱私與敏感信息。首先，網(wǎng)絡(luò)信息安全技術(shù)可以通過加密數(shù)據(jù)來保護(hù)數(shù)據(jù)的機(jī)密性。通過使用加密算法，可以保證數(shù)據(jù)在傳輸過程中的保密性，并防止數(shù)據(jù)被竊取或竊聽。其次，網(wǎng)絡(luò)信息安全技術(shù)可以幫助防止惡意軟件的攻擊。惡意軟件可以通過網(wǎng)絡(luò)攻擊電腦以竊取數(shù)據(jù)或向系統(tǒng)注入病毒。網(wǎng)絡(luò)信息安全技術(shù)通過使用防病毒軟件和防火墻等工具來識(shí)別和過濾惡意軟件，從而提供有效的保護(hù)。再次，網(wǎng)絡(luò)信息安全技術(shù)可以幫助保護(hù)系統(tǒng)的完整性。攻擊者會(huì)利用漏洞來破壞系統(tǒng)的完整性和可用性。網(wǎng)絡(luò)信息安全技術(shù)通過使用身份驗(yàn)證、權(quán)限控制和數(shù)據(jù)備份等技術(shù)來確保系統(tǒng)與數(shù)據(jù)的完整性、可用性。最后，網(wǎng)絡(luò)信息安全技術(shù)還可以幫助企業(yè)或機(jī)構(gòu)遵守法規(guī)和規(guī)范要求。例如，通用數(shù)據(jù)保護(hù)條例（General Data Protection Regulation，GDPR）要求企業(yè)必須確保客戶的數(shù)據(jù)合法處理，而支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（Payment Card Industry Data Security Standard，PCI DSS）要求在線商家必須安全存儲(chǔ)客戶的信用卡信息。網(wǎng)絡(luò)信息安全技術(shù)可以幫助企業(yè)保持符合法規(guī)和規(guī)范要求的水平。

3.2 網(wǎng)絡(luò)信息安全技術(shù)管理對(duì)計(jì)算機(jī)應(yīng)用的保障

網(wǎng)絡(luò)信息安全技術(shù)管理在計(jì)算機(jī)應(yīng)用中的應(yīng)用，主要是為了提供更加安全的網(wǎng)絡(luò)環(huán)境，以保障計(jì)算機(jī)應(yīng)用的安全。網(wǎng)絡(luò)安全技術(shù)管理涉及到許多方面，如密碼學(xué)、訪問控制、網(wǎng)絡(luò)安全性檢查等。下面將詳細(xì)說明網(wǎng)絡(luò)信息安全技術(shù)管理對(duì)計(jì)算機(jī)應(yīng)用的保障。首先，網(wǎng)絡(luò)信息安全技術(shù)管理可提供對(duì)網(wǎng)絡(luò)完整性、保密性以及可用性的保護(hù)。在計(jì)算機(jī)應(yīng)用中，確定個(gè)人和企業(yè)的數(shù)據(jù)與信息的機(jī)密性是非常重要的。通過使用密碼學(xué)技術(shù)，可以加密個(gè)人和企業(yè)的數(shù)據(jù)信息，以免其被非法接觸和竊取。此外，網(wǎng)絡(luò)信息安全技術(shù)管理還可以提供防火墻、網(wǎng)絡(luò)入侵檢測(cè)等安全工具，以保護(hù)網(wǎng)絡(luò)的完整性和可用性。其次，網(wǎng)絡(luò)信息安全技術(shù)管理可為企業(yè)或機(jī)構(gòu)提供合規(guī)管理。同時(shí)，許多國(guó)際標(biāo)準(zhǔn)和法規(guī)規(guī)定了網(wǎng)站及應(yīng)用必須依據(jù)特定的安全法規(guī)來運(yùn)行。網(wǎng)絡(luò)信息安全技術(shù)管理還能夠?qū)@些法規(guī)進(jìn)行解讀，并確保企業(yè)或機(jī)構(gòu)符合標(biāo)準(zhǔn)。再次，網(wǎng)絡(luò)信息安全技術(shù)管理可防止未授權(quán)訪問、威脅或攻擊企業(yè)或個(gè)人的在線資源。網(wǎng)絡(luò)安全管理措施如訪問控制、加密和安全性評(píng)估等可防止人們利用計(jì)算機(jī)應(yīng)用程序中的漏洞進(jìn)行惡意攻擊，這可以保證用戶在使用應(yīng)用程序時(shí)不會(huì)遭受威脅和攻擊。最后，網(wǎng)絡(luò)信息安全技術(shù)管理可增加企業(yè)的業(yè)務(wù)連續(xù)性，確保了計(jì)算機(jī)應(yīng)用程序的安全性，從而減少企業(yè)的潛在經(jīng)濟(jì)損失以及減輕公眾對(duì)企業(yè)的信心影響。

3.3 具體的網(wǎng)絡(luò)信息安全技術(shù)管理實(shí)踐案例

網(wǎng)絡(luò)信息安全技術(shù)管理在計(jì)算機(jī)中的應(yīng)用可以通過多種實(shí)踐案例來體現(xiàn)。首先，多因素身份驗(yàn)證技術(shù)是一種常見的網(wǎng)絡(luò)信息安全技術(shù)管理實(shí)踐。這種技術(shù)使用不同的身份驗(yàn)證方法，包括密碼、生物識(shí)別和硬件認(rèn)證等，以提高身份驗(yàn)證安全性。具體而言，銀行業(yè)在進(jìn)行網(wǎng)上銀行業(yè)務(wù)時(shí)，將采用多因素身份驗(yàn)證技術(shù)，要求客戶必須輸入登錄名和密碼，同時(shí)還需要提供短信驗(yàn)證碼或者硬件令牌等驗(yàn)證方式，確保賬戶的安全性。其次，網(wǎng)絡(luò)漏洞掃描和漏洞修補(bǔ)管理是另一種常見的網(wǎng)絡(luò)信息安全技術(shù)管理實(shí)踐。網(wǎng)絡(luò)漏洞掃描技術(shù)可以檢測(cè)系統(tǒng)和應(yīng)用程序中的漏洞，并提供相應(yīng)的修復(fù)建議；而漏洞修補(bǔ)管理則確保已檢測(cè)到的漏洞得到及時(shí)修復(fù)。例如，企業(yè)內(nèi)部會(huì)定期掃描網(wǎng)絡(luò)和系統(tǒng)中的漏洞，并通過規(guī)定的流程梳理整個(gè)漏洞修復(fù)管理過程，以確保漏洞得到及時(shí)修復(fù)。再次，加密技術(shù)也是一種常見的網(wǎng)絡(luò)信息安全技術(shù)管理實(shí)踐。通過在傳輸過程中對(duì)數(shù)據(jù)加密，可以保護(hù)其機(jī)密性并防止被未經(jīng)授權(quán)的訪問者竊聽或攔截。例如，在網(wǎng)上支付中，銀行會(huì)采用安全套接字層（Secure Socket Layer，SSL）/傳輸層安全（Transport Layer Security，TLS）等加密技術(shù)來保護(hù)客戶在傳輸過程中的信用卡和賬戶信息。最后，安全性策略和規(guī)范的制定與實(shí)施也是一種重要的網(wǎng)絡(luò)信息安全技術(shù)管理實(shí)踐。企業(yè)應(yīng)該制定安全策略和規(guī)范，并建立相應(yīng)的安全管理流程，以確保業(yè)務(wù)運(yùn)營(yíng)的完整性、保密性以及可用性。

4 建立完善的網(wǎng)絡(luò)信息安全技術(shù)管理體系

4.1 明確信息安全管理的責(zé)任和制度

建立信息安全管理體系，首先要明確責(zé)任和制度。高職院校應(yīng)該成立信息安全管理辦公室，負(fù)責(zé)實(shí)訓(xùn)室信息安全的規(guī)劃與管理。此外，還應(yīng)建立健全的信息安全管理制度和操作規(guī)程，對(duì)師生的行為、網(wǎng)絡(luò)使用、設(shè)備管理等方面進(jìn)行規(guī)范，確保各方人員對(duì)信息安全的認(rèn)識(shí)一致，并對(duì)違規(guī)行為進(jìn)行懲處。

4.2 加強(qiáng)網(wǎng)絡(luò)安全的技術(shù)措施

網(wǎng)絡(luò)安全技術(shù)措施是信息安全管理的關(guān)鍵。高職院校應(yīng)該采用可靠的網(wǎng)絡(luò)安全技術(shù)，包括防火墻、入侵檢測(cè)系統(tǒng)、殺毒軟件等，具體技術(shù)及功能如表1所示。

表1 加強(qiáng)網(wǎng)絡(luò)安全的技術(shù)措施及功能

此外，還應(yīng)針對(duì)實(shí)訓(xùn)室的特點(diǎn)，采取相應(yīng)的技術(shù)措施。例如，在不影響實(shí)訓(xùn)效果的前提下，限制用戶使用外部設(shè)備和移動(dòng)存儲(chǔ)設(shè)備，防止病毒通過移動(dòng)設(shè)備侵入實(shí)訓(xùn)室網(wǎng)絡(luò)；對(duì)實(shí)訓(xùn)室的關(guān)鍵設(shè)備采取物理隔離和加密等措施，確保安全運(yùn)行。

4.3 加強(qiáng)安全意識(shí)教育與培訓(xùn)

人員的安全意識(shí)是維護(hù)信息安全的重要因素。高職院校應(yīng)該加強(qiáng)師生的安全意識(shí)教育，提高他們識(shí)別安全威脅和應(yīng)對(duì)安全事件的能力。建議學(xué)校開展安全知識(shí)宣傳、專題講座等活動(dòng)，將信息安全教育納入教學(xué)計(jì)劃，培養(yǎng)學(xué)生的安全意識(shí)和實(shí)踐操作能力。同時(shí)，還可以針對(duì)實(shí)際情況開展模擬演練，增強(qiáng)應(yīng)急處置的能力[5]。

5 結(jié) 論

總的來說，信息安全對(duì)于學(xué)校實(shí)訓(xùn)室來說至關(guān)重要，尤其是在當(dāng)今互聯(lián)網(wǎng)高速發(fā)展的時(shí)代。為了保障學(xué)校實(shí)訓(xùn)室的信息安全，建立完善的信息安全管理體系是必要的。這包括建立信息安全培訓(xùn)和評(píng)估監(jiān)控機(jī)制，從而提高員工的信息安全意識(shí)和防范能力，發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)，并及時(shí)采取相應(yīng)的措施。此外，對(duì)于不斷涌現(xiàn)的新型網(wǎng)絡(luò)攻擊手段和技術(shù)，學(xué)校實(shí)訓(xùn)室還需要不斷加強(qiáng)信息安全研究和技術(shù)的應(yīng)用，以適應(yīng)不斷變化的安全形勢(shì)。只有在建立起完善信息安全管理體系的基礎(chǔ)上，學(xué)校實(shí)訓(xùn)室才能更好地應(yīng)對(duì)信息安全領(lǐng)域面臨的挑戰(zhàn)和風(fēng)險(xiǎn)，保障自身的穩(wěn)健、可持續(xù)發(fā)展。