摘 要：從專用計算機信息網(wǎng)的安全三要素：信息安全、網(wǎng)絡安全和計算機安全入手，首先確保信息的安全，然后保護計算機的安全，最后確保網(wǎng)絡的安全，并且將以上三個方面結合在一起，組成核心的專用計算機信息網(wǎng)。文中涉及的大多數(shù)方面都相對容易實現(xiàn)，對專用計算機信息網(wǎng)安全體系的建設具有一定的實用價值。

關鍵詞：信息安全；網(wǎng)絡安全；計算機安全

中圖分類號：TP393.08

1 網(wǎng)絡安全問題

鏈路層和網(wǎng)絡層是欺騙和攻擊行為主要針對的對象，攻擊和欺騙主要的來源分為人為實施和病毒攻擊，現(xiàn)在這種欺騙和攻擊的工具已經(jīng)非常地常見，并且操作簡單。一般情況下，欺騙或者攻擊行為發(fā)生的十分隱蔽，不容易被用戶輕易察覺，但是對于計算機用戶來說，危害是很大的。例如，利用一些黑客軟件獲取用戶的信息和重要資料。還有一種攻擊發(fā)生時可能現(xiàn)象比較直接，比如蠕蟲病毒或者木馬多數(shù)是使用戶的網(wǎng)絡流量瞬間增大，或者是占用硬件資源使CPU使用率增加或者是二層生成樹環(huán)路直至網(wǎng)絡癱瘓[1]。

1.1 網(wǎng)絡監(jiān)聽。網(wǎng)絡監(jiān)聽技術是一項提供給網(wǎng)絡安全管理人員的用來檢測網(wǎng)絡使用及安全情況的技術。目前，網(wǎng)絡監(jiān)聽工具的應用非常頻繁，而且操作起來十分簡單，只需將網(wǎng)絡的接口調(diào)制成為監(jiān)聽模式，就能夠截獲部分以明文形式傳輸?shù)臄?shù)據(jù)。想要獲得敏感或是有用的信息，只要對截獲的數(shù)據(jù)幀進行分析即可。

1.2 MAC/CAM攻擊。CAM表是指交換機主動地學習在客戶端的MAC地址，并建立、維護端口和MAC地址的對應表以此建立交換路徑。而MAC/CAM攻擊就是指利用相關的工具產(chǎn)生欺騙MAC，交換機的CAM表被迅速填滿之后，交換機會將通過的報文以廣播的形式進行處理，在這個過程中網(wǎng)絡信息即被攻擊者利用各種嗅探攻擊所截取。CAM表滿了后，流量以洪泛方式發(fā)送到所有接口，也就代表TRUNK接口上的流量也會發(fā)給所有接口和鄰接交換機，會造成交換機負載過大，網(wǎng)絡緩慢和丟包甚至癱瘓。

1.3 DHCP攻擊。DHCPserver可以簡化用戶網(wǎng)絡設置，自動為用戶設置網(wǎng)絡正地址、網(wǎng)關、DNS、WINS等網(wǎng)絡參數(shù)，但是如果網(wǎng)絡上存在多臺DHCP服務器將會給網(wǎng)絡造成混亂。在管理上也會出現(xiàn)一些問題，比如：（1）DHCPserver的冒充。（2）DHCPserver的Dos攻擊。（3）有些用戶隨便指定地址，造成網(wǎng)絡地址沖突。

1.4 IP欺騙。IP地址欺騙攻擊者可以利用簡單的命令放置一個系統(tǒng)后門，從而進行一些非授權的操作[3]。簡單的說就是首先選定目標主機，然后信任模式已經(jīng)被發(fā)現(xiàn)，而且找到一個被目標主機信任的主機，然后利用工具使得被信任主機徹底失去工作能力，獲取并分析目標主機發(fā)出的TCP序列號，最后偽裝被信任主機，同時建立起與目標主機基于地址驗證的應用連接。

2 計算機安全問題

2.1 計算機病毒。最早的單機病毒就已經(jīng)非常讓人頭疼了，而隨著網(wǎng)絡的普及，現(xiàn)在的計算機病毒基本上都是通過網(wǎng)絡這一媒介來進行傳播的，無論從感染的速度還是破壞的范圍上都是以前的單機病毒所不能比擬的。而病毒一旦被安置，將會對用戶的主機造成多種多樣的麻煩。

2.2 非法訪問和破壞。目前，全球現(xiàn)在有將近30萬個黑客網(wǎng)站存在，這些網(wǎng)站一般都會講授一些黑客軟件的使用方法，這樣一來很多的站點被攻擊的可能性就大大增加。雖然全世界現(xiàn)在都在針對黑客行為而進行很多的研究，但效果一般，而黑客的攻擊一般都較為隱蔽，可以說目前黑客攻擊是威脅計算機安全的罪魁禍首。而且目前黑客攻擊幾乎涵蓋了大部分的操作系統(tǒng)，和病毒破壞相比黑客攻擊更具有目的性，危害性也強。

3 信息安全問題

3.1 病毒危害。計算機病毒在破壞計算機系統(tǒng)正常運行的同時，也極大地威脅著計算機內(nèi)存儲、傳輸?shù)男畔踩?，這主要體現(xiàn)在一下三個方面：（1）刪除用戶信息。（2）預留后門，竊取用戶信息。（3）隱藏用戶信息，進行敲詐。

3.2 人為泄密。筆者在調(diào)查中發(fā)現(xiàn)，中國的很多大型企業(yè)，甚至很多500強的公司，對于計算機電子文檔的保護措施做的十分薄弱。在對100家企業(yè)的調(diào)查中，有較為合理的保護措施的不到5%。通過很簡單的手段，比如發(fā)送電子郵件，或者是U盤等移動設備很輕易的就可以將很多涉及到公司機密的重要文件拷貝到外部。因此，單純的通過一些殺毒軟件、物理隔離等方式是不能夠有效的確保信息的安全的。

4 安全體系的實現(xiàn)方法

專用計算機信息網(wǎng)的安全體系在構建的過程中應該嚴格遵循分數(shù)控制、集中管理、優(yōu)勢互補、多重保護的原則，以信息安全、計算機安全和網(wǎng)絡安全為三要素。

4.1 信息安全。（1）數(shù)據(jù)備份。首先，將重要數(shù)據(jù)定期備份到光盤或者移動設備上；其次，建立雙機熱備份或者進行雙分區(qū)，真正的實現(xiàn)一個實時、多元的備份措施，確保意外發(fā)生時，能夠有效地恢復重要的信息。（2）信息加密。目前，最為直接和有效的辦法就是使用某些需要網(wǎng)絡認證的加密軟件。這類的軟件的工作原理是用戶在操作計算機的時候，加密軟件會自動采集計算機的一些例如硬盤序列號、CPU序列號等物理特性，然后設置密碼并儲存到固定的網(wǎng)絡服務器上；用戶在運行某些軟件的時候，通過網(wǎng)絡核對計算機的物理特性或用戶的認證信息，從而為用戶授權。而計算機一旦脫離專用網(wǎng)絡，將無法得到授權，那么加密的文件就無法被打開。

4.2 計算機安全。（1）網(wǎng)絡版殺毒和防火墻軟件。在專用網(wǎng)內(nèi)安裝專門針對企業(yè)需要使用的防病毒軟件，從構架上來說，首先要以網(wǎng)絡使用安全為主導，既要能夠集中控制管理，還要能夠及時向終端用戶下方病毒庫，便于終端用戶及時查殺病毒。（2）使用安全應用軟件。（3）系統(tǒng)安全。安裝系統(tǒng)時至少要對系統(tǒng)進行2-3各分區(qū)，保證操作系統(tǒng)或應用程序存在于獨立的分區(qū)，另一分區(qū)用來儲存用戶的重要數(shù)據(jù)，而且一定要對系統(tǒng)進行Ghost備份，當系統(tǒng)出現(xiàn)問題的時候，可以第一時間對操作系統(tǒng)和應用程序進行及時的恢復。

4.3 網(wǎng)絡安全。（1）網(wǎng)絡隔離安全。根據(jù)對網(wǎng)絡隔離的方式及其特點，可以采用二層邏輯隔離或者是物理隔離的方法，對專用網(wǎng)與外部網(wǎng)之間進行隔離。一般在城域網(wǎng)的范圍內(nèi)，物理隔離的方法是被專用網(wǎng)絡所主要采納的；而在廣域網(wǎng)的范圍內(nèi)，由于費用很高，所以都是采用租用運營商電路的方式；而使用公用傳輸線路和設備的話，網(wǎng)絡隔離級別只能達到二層邏輯隔離。而在使用過程中，運營商只對被用戶所租用的長途電路做透明傳輸處理，因此安全性很高；而對于有更高安全要求的專用網(wǎng)來說，最好是在設備上再添加加密設備，從而為專用網(wǎng)絡提供更高的安全保障。（2）網(wǎng)絡管理安全。在實際應用中，一般采用三層邏輯隔離來保護管理網(wǎng)。在所有計算機終端直接相連的三層交換機和路由器除管理計算機所在端口外的所有端口上設置訪問控制策略，禁止目的地址是網(wǎng)絡設備的所有數(shù)據(jù)包進入網(wǎng)絡，關閉三層交換機和路由器上不用的所有功能，靜止IP源地址路由，配置Console口及Telnet登錄密碼，打開密碼保護設置，設置超級用戶密碼。這些措施為管理網(wǎng)安全提供了非常高的安全保護[2] [3]。

5 總結

計算機安全、信息安全和網(wǎng)絡安全是決定專用計算機信息網(wǎng)安全的三個最主要因素。只有保證這三個方面都是安全的，才能保證專用計算機信息網(wǎng)的正常運行。

參考文獻：

[1]張曉斌，嚴望佳.網(wǎng)絡安全與黑客防范[M].清華大學出版社，2000.

[2]張京嵋.網(wǎng)絡安全中信任模型的研究[D].山東大學碩士論文，2008，5.

[3]李樂，侯整風.Peer to peer網(wǎng)絡安全分析[J].福建電腦，2010，1.

作者簡介：賀慶文，男，湖北武漢人，工學學士，主任科員，研究方向：計算機及應用技術。

作者單位：河北省煙草專賣局信息中心，石家莊 050000