計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀及防范策略研究

摘要：文章簡(jiǎn)要分析了現(xiàn)階段計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中存在的計(jì)算機(jī)病毒、黑客攻擊、軟件漏洞、用戶安全意識(shí)不強(qiáng)、安全策略配置不當(dāng)?shù)劝踩珕栴}，結(jié)合實(shí)際情況給出了一些具體的防范對(duì)策，健全網(wǎng)絡(luò)安全機(jī)制，保證計(jì)算機(jī)網(wǎng)絡(luò)安全、穩(wěn)定、高效運(yùn)行。

關(guān)鍵詞：計(jì)算機(jī)系統(tǒng)網(wǎng)絡(luò)安全防范策略

1 概述

網(wǎng)絡(luò)辦公、視頻會(huì)議等已逐漸應(yīng)用到企業(yè)辦公中，多數(shù)企業(yè)用戶已建立了完善的網(wǎng)絡(luò)辦公協(xié)同環(huán)境。計(jì)算機(jī)網(wǎng)絡(luò)給我們的生活帶來便捷的同時(shí)，也帶來了來自網(wǎng)絡(luò)安全的威脅，計(jì)算機(jī)網(wǎng)絡(luò)安全問題已關(guān)系到我們的工作質(zhì)量、工作效率和個(gè)人信息的安全。網(wǎng)絡(luò)安全維護(hù)已成為信息化建設(shè)的重點(diǎn)研究問題。

2 計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀分析

計(jì)算機(jī)病毒具有破壞性、傳染性、潛伏性和隱蔽性的特點(diǎn)，傳播方式多樣、傳播速度快，可以隱藏在文件或是程序代碼中伺機(jī)進(jìn)行復(fù)制和發(fā)作。由于計(jì)算機(jī)網(wǎng)絡(luò)組織形式多樣、終端分布廣以及網(wǎng)絡(luò)的開放性，其很容易遭到外部攻擊。黑客會(huì)通過系統(tǒng)漏洞侵入到網(wǎng)絡(luò)中對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行攻擊，竊取或破壞數(shù)據(jù)，甚至使整個(gè)網(wǎng)絡(luò)系統(tǒng)癱瘓。

2.1 黑客攻擊

計(jì)算機(jī)安全隱患中另一個(gè)主要威脅是黑客攻擊。黑客利用系統(tǒng)或軟件中存在的漏洞進(jìn)入到用戶計(jì)算機(jī)系統(tǒng)中，對(duì)用戶計(jì)算機(jī)進(jìn)行操作，損壞、更改或泄露用戶的數(shù)據(jù)，或利用用戶的計(jì)算機(jī)進(jìn)行非法操作，危害性極大。黑客攻擊分為網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)偵查，網(wǎng)絡(luò)攻擊通常是以入侵用戶計(jì)算機(jī)系統(tǒng)、竊取用戶機(jī)密數(shù)據(jù)或是破壞系統(tǒng)數(shù)據(jù)為目的。

2.2 用戶安全意識(shí)不強(qiáng)

在計(jì)算機(jī)的使用過程中，用戶安全意識(shí)薄弱是造成網(wǎng)絡(luò)安全問題的一個(gè)重要因素。用戶未對(duì)機(jī)密文件加密，對(duì)他人泄露操作口令或不設(shè)置操作口令，或是隨意泄露網(wǎng)絡(luò)賬號(hào)等信息，共享文件，啟用遠(yuǎn)程桌面等，這些行為都埋下了網(wǎng)絡(luò)安全隱患，為攻擊者提供了便利條件。隨意打開未知文件或是網(wǎng)站、未經(jīng)殺毒就直接打開移動(dòng)存儲(chǔ)設(shè)備等操作行為都有可能陷入攻擊者的陷阱之中。

2.3 安全策略配置不當(dāng)

為了提升計(jì)算機(jī)網(wǎng)絡(luò)的安全性，大多數(shù)企業(yè)都配備了防火墻等安全產(chǎn)品。只有結(jié)合各個(gè)企業(yè)的具體情況進(jìn)行有效的安全策略設(shè)置，才能充分發(fā)揮安全設(shè)備的防護(hù)作用。而在實(shí)際工作中，不乏有些計(jì)算機(jī)安全管理人員未能對(duì)此有足夠的重視，忽視了一些安全策略的設(shè)置，造成了網(wǎng)絡(luò)安全隱患的存在。

3 計(jì)算機(jī)網(wǎng)絡(luò)安全改進(jìn)措施

3.1 網(wǎng)絡(luò)物理安全

在整個(gè)網(wǎng)絡(luò)物理安全控制過程中，機(jī)房建設(shè)是重點(diǎn)。機(jī)房的建設(shè)要符合安全可靠、應(yīng)用靈活、管理科學(xué)等要求，要重視供配電、安全防范、空氣凈化、防靜電、防磁、防水防潮、防雷、防火等多方面的安全設(shè)施。在改善設(shè)備運(yùn)行環(huán)境的同時(shí)也要加強(qiáng)計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備的維護(hù)，對(duì)網(wǎng)絡(luò)設(shè)備和計(jì)算機(jī)進(jìn)行定期檢修和維護(hù)，并做好相關(guān)記錄。

3.2 防火墻技術(shù)

防火墻技術(shù)作為企業(yè)內(nèi)部與外部網(wǎng)絡(luò)的第一道安全屏障，最先受到人們的重視。防火墻技術(shù)能有效提升內(nèi)部網(wǎng)絡(luò)的安全性，通過隔離、過濾、封鎖等技術(shù)阻止非法用戶對(duì)內(nèi)部數(shù)據(jù)的訪問，保護(hù)企業(yè)信息資源，降低服務(wù)風(fēng)險(xiǎn)。通過配置防火墻的安全方案能將所有安全軟件配置在防火墻上，通過內(nèi)外部的網(wǎng)絡(luò)規(guī)劃可實(shí)現(xiàn)對(duì)內(nèi)部重點(diǎn)網(wǎng)絡(luò)區(qū)域的隔離，避免網(wǎng)絡(luò)敏感區(qū)域?qū)θ志W(wǎng)絡(luò)安全問題的影響。根據(jù)防火墻提供的服務(wù)和安全等級(jí)要求分為多種結(jié)構(gòu)，常見的有：包過濾型防火墻、雙宿主主機(jī)防火墻、屏蔽主機(jī)防火墻、屏蔽子網(wǎng)防火墻。

3.3 加密技術(shù)

在當(dāng)下計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀中，加密技術(shù)是保障信息安全傳遞和交流的基礎(chǔ)技術(shù)，對(duì)網(wǎng)絡(luò)安全起到了決定性的作用。加密技術(shù)的應(yīng)用主要包含以下幾個(gè)方面：

3.3.1 存儲(chǔ)加密技術(shù)和傳輸加密技術(shù)

存儲(chǔ)加密技術(shù)分為密文存儲(chǔ)和存取控制，目的是為了防止數(shù)據(jù)在存儲(chǔ)過程中泄漏。主要通過加密算法轉(zhuǎn)換、附加密碼加密、加密模塊等方式實(shí)現(xiàn)，存取控制主要通過審核用戶資格和限制用戶權(quán)限，識(shí)別用戶操作是否合法，防止合法用戶越權(quán)存取數(shù)據(jù)，阻止非法用戶存取信息。傳輸加密技術(shù)通過線路和兩端加密兩種方式，對(duì)傳輸過程中的數(shù)據(jù)進(jìn)行加密，保證傳輸過程中數(shù)據(jù)的完整和安全性。

3.3.2 密鑰管理加密技術(shù)和確認(rèn)加密技術(shù)

密鑰管理加密技術(shù)的應(yīng)用是為了方便用戶使用數(shù)據(jù)，數(shù)據(jù)加密多表現(xiàn)為密鑰的應(yīng)用，密鑰的管理就顯得尤為重要，合理的密鑰管理技術(shù)方案要求能保證合法用戶的權(quán)限。密鑰的媒介主要有磁卡、磁帶、磁盤、半導(dǎo)體存儲(chǔ)器。密鑰的管理技術(shù)包含密鑰的生成、密鑰的分配、密鑰的保存、密鑰的更換以及密鑰的銷毀等環(huán)節(jié)上的保密措施。網(wǎng)絡(luò)信息的加密技術(shù)通過嚴(yán)格限定信息的共享范圍來防止信息被非法偽造、纂改和假冒。

3.3.3 消息摘要和完整性鑒別技術(shù)

消息摘要是由一個(gè)單向Hash加密函數(shù)對(duì)消息作用而產(chǎn)生的。消息發(fā)送者使用個(gè)人的私有密鑰摘要，消息摘要的接收者可以通過密鑰解密確認(rèn)消息的發(fā)送者，如果消息在發(fā)送途中被改變，接收者通過分析新摘要和原摘要的區(qū)別來確認(rèn)消息是否已被改變，消息摘要保證了消息的完整性。完整性鑒別技術(shù)包含口令、密鑰、身份等幾項(xiàng)的鑒別，通常為了保密系統(tǒng)通過對(duì)比驗(yàn)證對(duì)象的輸入的特征值預(yù)先設(shè)定的參數(shù)，實(shí)現(xiàn)信息的加密作用和保證數(shù)據(jù)的安全性。

3.4 提高網(wǎng)絡(luò)管理員及用戶的安全意識(shí)

網(wǎng)絡(luò)管理員和用戶的安全意識(shí)直接影響到對(duì)網(wǎng)絡(luò)系統(tǒng)安全問題的控制。要求提高網(wǎng)絡(luò)管理人員和用戶的安全意識(shí)，加強(qiáng)管理人員的職業(yè)道德，樹立良好的責(zé)任感，促進(jìn)網(wǎng)路安全體制的建立和執(zhí)行。

4 計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)計(jì)策略

4.1 建立信任體系

4.1.1 證書管理系統(tǒng)采用基于國際標(biāo)準(zhǔn)PKI技術(shù)開發(fā)的證書和密鑰管理系統(tǒng)，具有符合標(biāo)準(zhǔn)、開放、安全性高、功能全面、工組流程清晰、配置靈活等特點(diǎn)，且提供了與其它PKI/CA體系的接口，易于擴(kuò)展。

4.1.2 目錄服務(wù)器集中存儲(chǔ)用戶的身份信息、服務(wù)數(shù)據(jù)、訪問策略和證書等，是整個(gè)方案設(shè)計(jì)的基石，是應(yīng)用層訪問控制的基礎(chǔ)，是用戶管理的核心。系統(tǒng)中設(shè)置四個(gè)目錄服務(wù)器，內(nèi)部?jī)蓚€(gè)作為主目錄服務(wù)器，包含所有信息記錄，另外兩個(gè)相互復(fù)制來保持其含有最新數(shù)據(jù)，保證任何一個(gè)服務(wù)器發(fā)生故障都不會(huì)造成信息的損失。

4.1.3 認(rèn)證服務(wù)器的主要功能是認(rèn)證服務(wù)和授權(quán)策略管理，保證商業(yè)信息的安全傳輸。用戶認(rèn)證/授權(quán)管理平臺(tái)實(shí)現(xiàn)了統(tǒng)一的用戶身份管理的功能。采用集中的策略管理、單點(diǎn)訪問控制、數(shù)字證書、令牌卡等方式增強(qiáng)應(yīng)用程序和數(shù)據(jù)的安全性，提高用戶效率，減少系統(tǒng)維護(hù)工作量，提高運(yùn)行效率。

4.2 網(wǎng)絡(luò)邊界保護(hù)策略

為了滿足網(wǎng)絡(luò)敏感信息系統(tǒng)的安全需求，采用密碼技術(shù)將企業(yè)核心業(yè)務(wù)網(wǎng)絡(luò)區(qū)域與外部網(wǎng)絡(luò)進(jìn)行隔離，確保內(nèi)部信息系統(tǒng)的安全性。

4.2.1 以密碼技術(shù)為基礎(chǔ)的網(wǎng)絡(luò)隔離系統(tǒng)是由外部訪問控制服務(wù)器、安全隔離與信息交換設(shè)備和內(nèi)部訪問控制服務(wù)器組成的具有層次結(jié)構(gòu)的系統(tǒng)，如圖1所示。該系統(tǒng)控制機(jī)制包含內(nèi)外網(wǎng)代理、可信的數(shù)據(jù)交換、基于PKI/CA的身份認(rèn)證與授權(quán)訪問等，并采用反向代理功能作為應(yīng)用網(wǎng)關(guān)。系統(tǒng)配備病毒網(wǎng)關(guān)和內(nèi)容過濾機(jī)制，起到凈化數(shù)據(jù)、控制消息類攻擊的作用。

4.2.2 以代理機(jī)制為基礎(chǔ)的訪問控制。針對(duì)企業(yè)安全層次的需求，對(duì)不同安全級(jí)別的資源進(jìn)行多層次、多點(diǎn)訪問控制。系統(tǒng)中的代理服務(wù)器包括位于外網(wǎng)安全平臺(tái)的反向代理、位于內(nèi)網(wǎng)安全平臺(tái)的正向代理、位于內(nèi)網(wǎng)的應(yīng)用代理和位于內(nèi)外網(wǎng)中的安全代理。優(yōu)化后安全網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)圖如圖2所示。

4.3 局域網(wǎng)計(jì)算機(jī)網(wǎng)絡(luò)安全策略

4.3.1 病毒防護(hù)。計(jì)算機(jī)病毒對(duì)網(wǎng)絡(luò)安全的威脅越來越嚴(yán)重，現(xiàn)在有效的防御措施就是在自己的pc上安裝殺毒軟件，并及時(shí)對(duì)操作系統(tǒng)安裝補(bǔ)丁。但是這種防御措施并不能在企業(yè)網(wǎng)絡(luò)管理中達(dá)到令人滿意的效果。而在企業(yè)網(wǎng)絡(luò)邊緣配置網(wǎng)關(guān)過濾產(chǎn)品，能在確保原有系統(tǒng)的穩(wěn)定性的同時(shí)，效率上也遠(yuǎn)遠(yuǎn)高于在內(nèi)部各個(gè)機(jī)器進(jìn)行病毒防護(hù)和查殺。

4.3.2 網(wǎng)絡(luò)系統(tǒng)安全

①內(nèi)外網(wǎng)的隔離與訪問控制。訪問控制主要通過制定嚴(yán)格的管理制度、配備相應(yīng)的安全設(shè)備來實(shí)現(xiàn)。通過設(shè)置防火墻來實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離與訪問控制是最主要、最有效的措施之一。

②內(nèi)部子網(wǎng)不同安全域的隔離和訪問控制。主要通過VLAN技術(shù)實(shí)現(xiàn)內(nèi)部子網(wǎng)的物理隔離。在交換機(jī)上劃分VLAN可以將整個(gè)網(wǎng)絡(luò)劃分為幾個(gè)不同的廣播域，實(shí)現(xiàn)內(nèi)部網(wǎng)段的物理隔離。

③網(wǎng)絡(luò)安全檢測(cè)。網(wǎng)絡(luò)系統(tǒng)的安全性取決于網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)。如何及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的薄弱環(huán)節(jié)，最大限度的保證網(wǎng)絡(luò)系統(tǒng)的安全，最有效的方式是定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全檢測(cè)和分析，及時(shí)發(fā)現(xiàn)并修正系統(tǒng)漏洞。

5小結(jié)

計(jì)算機(jī)網(wǎng)絡(luò)安全管理是一個(gè)涉及范圍比較廣、影響比較大的復(fù)雜的管理系統(tǒng)，需要多方面的配合。管理制度應(yīng)注意以下幾項(xiàng)內(nèi)容，確定安全管理等級(jí)，明確安全管理范圍，制定網(wǎng)絡(luò)操作規(guī)程，規(guī)定人員進(jìn)入機(jī)房權(quán)限，對(duì)網(wǎng)絡(luò)系統(tǒng)設(shè)備的維護(hù)和檢修進(jìn)行記錄，制定嚴(yán)格的防病毒管理制度，實(shí)行網(wǎng)絡(luò)安全責(zé)任制，配備網(wǎng)絡(luò)安全應(yīng)急措施等，做到預(yù)防、監(jiān)控、修復(fù)相結(jié)合，確保相關(guān)制度和規(guī)定的落實(shí)，確保計(jì)算機(jī)網(wǎng)絡(luò)安全運(yùn)行。

參考文獻(xiàn)：

[1]宋杰，陳真靈.計(jì)算機(jī)網(wǎng)絡(luò)安全管理的研究[J].科技視界.2011(06).

[2]陸亞華.計(jì)算機(jī)網(wǎng)絡(luò)安全防范技術(shù)帶來的探討[J].數(shù)字技術(shù)與應(yīng)用.2012(01).

[3]李玉勤.淺淡計(jì)算機(jī)網(wǎng)絡(luò)中防火墻技術(shù)的應(yīng)用[J].甘肅科技.2006(11).