計算機網(wǎng)絡(luò)安全的防御

崔?。ㄖ袊图质居袡C合成廠，吉林吉林 132022）

?

計算機網(wǎng)絡(luò)安全的防御

崔巍
（中國石油吉林石化公司有機合成廠，吉林吉林 132022）

【摘要】計算機網(wǎng)絡(luò)是人們通過現(xiàn)代信息技術(shù)手段了解社會、獲取信息的重要手段和途徑。計算機網(wǎng)絡(luò)安全防御不僅是為了信息和數(shù)據(jù)的安全性，而且還是阻止虛假信息和有害信息在互聯(lián)網(wǎng)上的傳播，對社會安全管理秩序造成危害。計算機網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或惡意的原因而遭受到破壞、更改、泄露，網(wǎng)絡(luò)系統(tǒng)連續(xù)可靠正常的運行，網(wǎng)絡(luò)服務(wù)不中斷。

【關(guān)鍵詞】計算機 網(wǎng)絡(luò) 安全

1 計算機網(wǎng)絡(luò)安全的概述

計算機網(wǎng)絡(luò)安全涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、信息技術(shù)、密碼技術(shù)、信息安全技術(shù)等綜合性科學(xué)?？傮w上看，計算機網(wǎng)絡(luò)安全可以分為兩大方面：計算機網(wǎng)絡(luò)攻擊技術(shù)和計算機網(wǎng)絡(luò)防御技術(shù)。

2 計算機網(wǎng)絡(luò)安全風(fēng)險分析

我化工廠，所有車間均有計算機，在日常辦公中，需要進行一些操作，這就存在一定的網(wǎng)絡(luò)安全隱患。導(dǎo)致網(wǎng)絡(luò)不安全的因素主要來自于兩個方面：第一是人為因素和自然災(zāi)害因素。第二是網(wǎng)絡(luò)體系結(jié)構(gòu)本身存在的安全缺陷。

（1）人為因素是指人為入侵和攻擊，破壞網(wǎng)絡(luò)的正常運行。利用計算機病毒，在網(wǎng)絡(luò)中傳播，破壞單位和個人的計算機系統(tǒng)，盜取秘密資料和個人信息，從事違法犯罪活動。如果單位的資料被盜取或是毀壞，那就會造成嚴(yán)重的生產(chǎn)隱患，影響產(chǎn)品市場的競爭。

自然災(zāi)害因素是指水災(zāi)、雷電、地震、火災(zāi)等，以及環(huán)境溫度、濕度、污染的影響。

（2）網(wǎng)絡(luò)體系結(jié)構(gòu)本身存在的安全缺陷是指網(wǎng)絡(luò)操作系統(tǒng)的不完善、IP協(xié)議的不安全性、網(wǎng)絡(luò)信息資源共享、信息數(shù)據(jù)文件傳輸和通訊、計算機病毒等。

針對我單位實際情況，無論是辦公用計算機，還是生產(chǎn)所用DCS計算機，都存在以下幾種隱患：

（1）文件傳輸攜帶計算機病毒：計算機病毒就是指自我復(fù)制能力的計算機程序，它可以直接影響軟、硬件的正常運行，破壞系統(tǒng)數(shù)據(jù)的正確性和完整性。計算機病毒有很多種，它們各自有各自的特點，可以引起格式化磁盤、改寫文件分配表、刪除或復(fù)制重要資料、干擾系統(tǒng)的運行速度等。

（2）網(wǎng)絡(luò)資源共享：這種網(wǎng)絡(luò)資源共享為非法用戶竊取信息、破壞信息創(chuàng)造了條件，非法用戶可以通過終端或結(jié)點進行非法手段。

（3）登陸外網(wǎng)。

（4）計算機的使用權(quán)限開放。

3 網(wǎng)絡(luò)安全解決方案

3.1 主機安全加固技術(shù)

將主機與不需要連接的部分?jǐn)嚅_，常見方法，關(guān)閉端口。

3.2 防火墻隔離控制技術(shù)：

防火墻指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間一道防御系統(tǒng)。它是非常有效的安全防御系統(tǒng)，可以隔離風(fēng)險區(qū)域與安全區(qū)域的連接，同時不會妨礙安全區(qū)域?qū)︼L(fēng)險區(qū)域的訪問。

常用的防火墻技術(shù)有過濾技術(shù)、狀態(tài)監(jiān)測技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)。

（1）過濾技術(shù)是在網(wǎng)絡(luò)層中對數(shù)據(jù)包實時有選擇的通過。

（2）狀態(tài)監(jiān)測技術(shù)采用的是一種基于連接的狀態(tài)監(jiān)測機制，將屬于同一種連接的所有包作為一個整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別。

（3）應(yīng)用網(wǎng)關(guān)技術(shù)是使用一個特殊的通信數(shù)據(jù)安全監(jiān)察軟件的工作站來連接被保護網(wǎng)絡(luò)和其他網(wǎng)路。

3.3 計算機防病毒技術(shù)

通過一定技術(shù)防止計算機病毒對系統(tǒng)的傳染和破壞。預(yù)防病毒的技術(shù)有：磁盤引導(dǎo)區(qū)保護、加密可執(zhí)行程序、讀寫控制技術(shù)、系統(tǒng)監(jiān)控技術(shù)。

3.4 訪問控制技術(shù)

按用戶身份及其歸屬的某項定義組來限制用戶對某些信息的訪問，或者限制對某些功能控制技術(shù)，訪問控制通常用作管理員控制用戶對服務(wù)器等網(wǎng)絡(luò)資源的訪問。

3.5 數(shù)據(jù)傳輸加密技術(shù)

對傳輸中的數(shù)據(jù)流加密，常用的方法有線路加密和端對端加密。線路加密不考慮信源和信宿，是對保密信息通過各線路采用不同的加密密鑰提供安全保護。端對端加密指信息由發(fā)送者端通過專用的加密軟件，采用某種加密技術(shù)隊所發(fā)送文件進行加密，把明文件加密成密文件，這些文件內(nèi)容是一些看不懂的代碼。

3.6 身份認(rèn)證

計算機及計算機網(wǎng)絡(luò)系統(tǒng)中確認(rèn)操作者身份的過程，從而確定該用戶是否具有對某種資源的訪問和使用權(quán)限。常見的認(rèn)證形式：認(rèn)證工具、靜態(tài)密碼、智能卡、短信密碼、動態(tài)口令、USB KEY等。

3.7 數(shù)據(jù)庫的備份與恢復(fù)

數(shù)據(jù)庫的備份包括：（1）完全備份，這種備份形式需要花費更多的時間和空間，一般一周做一次完全備份。（2）事務(wù)日志備份，它是一個單獨的文件，記錄數(shù)據(jù)庫的變更，備份的時候只需要復(fù)制自上次備份以來對數(shù)據(jù)庫所做的改變，花費的時間較少，推薦每小時備份事務(wù)日志。（3）增量備份，它只備份數(shù)據(jù)庫的一部分，優(yōu)點是存儲和恢復(fù)速度快，一般每天做一次增量備份。（4）文件備份，文件備份分為三種：冷備份，數(shù)據(jù)庫處于關(guān)閉狀態(tài)，保證數(shù)據(jù)庫備份的完整性。熱備份，數(shù)據(jù)庫處于運行狀態(tài)，依賴于數(shù)據(jù)庫的日志文件進行備份。邏輯備份，使用軟件從數(shù)據(jù)庫中提取數(shù)據(jù)并將結(jié)果寫到一個文件上。

當(dāng)數(shù)據(jù)被病毒或侵入者破壞后，可以利用數(shù)據(jù)恢復(fù)軟件找回部分被刪除的數(shù)據(jù)，常用的軟件有Easy Recovery。

3.8 入侵檢測技術(shù)

根據(jù)入侵檢測的信息來源不同，可以將入侵檢測系統(tǒng)分兩類：基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)?；谥鳈C的入侵檢測系統(tǒng)主要用于保護運行關(guān)鍵的服務(wù)器?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)主要用于實施監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息，監(jiān)聽網(wǎng)絡(luò)上所有分組來采集數(shù)據(jù)，分析可疑現(xiàn)象。

參考文獻：

［1］石志國，薛為民，江俐.計算機網(wǎng)絡(luò)安全教程［M］.北京：清華大學(xué)出版社+北京交通大學(xué)出版社.

［2］魯立，龔濤.計算機網(wǎng)絡(luò)安全［M］.北京：機械工業(yè)出版社.

［3］宋西軍.計算機網(wǎng)絡(luò)安全技術(shù)［M］.北京：北京大學(xué)出版社.