侯明浩（武警指揮學(xué)院，天津，300250）

計(jì)算機(jī)信息網(wǎng)中安全體系研究

侯明浩
（武警指揮學(xué)院，天津，300250）

從信息安全、計(jì)算機(jī)安全、網(wǎng)絡(luò)安全三方面分析計(jì)算機(jī)信息網(wǎng)中存在的問題，從信息安全、計(jì)算機(jī)安全、網(wǎng)絡(luò)安全三方面闡述了計(jì)算機(jī)信息網(wǎng)的安全體系。

計(jì)算機(jī)信息網(wǎng)；信息安全；計(jì)算機(jī)安全；網(wǎng)絡(luò)安全；安全體系

1 計(jì)算機(jī)信息網(wǎng)存在的問題

1.1 信息安全問題

1.1.1 病毒危害

在運(yùn)行計(jì)算機(jī)時(shí)，計(jì)算機(jī)病毒不僅會(huì)破壞計(jì)算機(jī)的運(yùn)行，還會(huì)威脅到計(jì)算機(jī)內(nèi)部的存儲(chǔ)以及信息的安全。具體表現(xiàn)在：①刪除用戶的相關(guān)信息；②預(yù)留后門，方便攻擊者獲取用戶的信息；隱藏用戶的信息，以便攻擊者可以敲詐用戶。

1.1.2 人為泄密

通過調(diào)查發(fā)現(xiàn)，我國(guó)大部分的企業(yè)沒有設(shè)置保護(hù)電子文檔的措施。對(duì)于沒有保護(hù)措施的企業(yè)，其員工在發(fā)送電子郵件或使用移動(dòng)U盤時(shí)會(huì)將公司機(jī)密性的信息泄露出去。

1.2 計(jì)算機(jī)安全問題

1.2.1 計(jì)算機(jī)病毒

隨著信息的發(fā)展，計(jì)算機(jī)病毒是通過網(wǎng)絡(luò)傳播，而且其傳播的速度和范圍以及破壞力都不是以往的單機(jī)病毒可以比擬的。如果病毒程序安置在計(jì)算機(jī)上，會(huì)造成多種多樣的破壞：①搶占系統(tǒng)的資源，降低系統(tǒng)運(yùn)行速率；②破壞文件；③將用戶的相關(guān)信息傳播到網(wǎng)絡(luò)上；④打開攻擊者進(jìn)入計(jì)算機(jī)的后門；⑤收集攻擊者想要的信息。

1.2.2 非法訪問和破壞

非法訪問和破壞又稱為黑客攻擊，黑客攻擊由來已久。在目前的社會(huì)中，已經(jīng)有近30萬的黑客網(wǎng)站，這些網(wǎng)站會(huì)介紹一些黑客軟件的使用方法，這樣就會(huì)增加計(jì)算機(jī)網(wǎng)絡(luò)的攻擊。雖然全世界都對(duì)黑客的行為進(jìn)行了各種各樣的研究，但沒有具體的效果，而且黑客的攻擊是隱蔽性較好、殺傷力強(qiáng)，是威脅計(jì)算機(jī)安全的罪魁禍?zhǔn)住?/p>

1.3 網(wǎng)絡(luò)安全問題

在實(shí)際的網(wǎng)絡(luò)環(huán)境中，攻擊和欺騙的來源主要有人為實(shí)施和病毒攻擊兩個(gè)途徑，其主要針對(duì)的對(duì)象是鏈路層和網(wǎng)絡(luò)層，目前網(wǎng)絡(luò)中的欺騙和攻擊的工具已經(jīng)是常見的，且成熟易操作的。人為實(shí)施是指人們?yōu)榱双@取管理賬戶及其密碼，利用黑客的工具嗅探、掃描計(jì)算機(jī)網(wǎng)絡(luò)的行為，同時(shí)人們還可以在計(jì)算機(jī)網(wǎng)絡(luò)中安插病毒木馬，以便獲取更機(jī)密的信息。通常情況下，人們難以察覺到欺騙、攻擊的行為，但對(duì)于有高要求的信息安全來說，其危害還是很大的。比如，人們?cè)讷@取信息和資料的同時(shí)，木馬或蠕蟲等病毒會(huì)增大用戶的網(wǎng)絡(luò)流量或增加CPU使用率，甚至是使整個(gè)網(wǎng)絡(luò)癱瘓。

1.3.1 網(wǎng)絡(luò)監(jiān)聽

網(wǎng)絡(luò)安全管理人員是通過網(wǎng)絡(luò)監(jiān)聽技術(shù)來監(jiān)視網(wǎng)絡(luò)的狀態(tài)、網(wǎng)絡(luò)數(shù)據(jù)流動(dòng)的情況以及網(wǎng)絡(luò)上傳輸?shù)男畔ⅰＨ绻W(wǎng)絡(luò)信息在傳輸時(shí)是以明文的形式出現(xiàn)的，那么只要將網(wǎng)上的任何一個(gè)未知調(diào)整成監(jiān)聽的模式，就能夠源源不斷的截獲信息。在截獲信息后，分析截獲的數(shù)據(jù)幀，就可以獲取敏感信息和重要信息。

1.3.2 MAC/CAM攻擊

CAM表是指交換機(jī)上運(yùn)行的Cisco IOS在內(nèi)存中維護(hù)的一張表，CAM表是交換機(jī)要查找的表，表中有MAC地址，對(duì)應(yīng)的端口號(hào)，端口所屬的VLAN。交換機(jī)的每一個(gè)端口都有MAC地址自動(dòng)學(xué)習(xí)的功能，當(dāng)交換機(jī)收到一個(gè)幀時(shí)，就會(huì)查看幀中的源MAC地址，并查找CAM表，如果有就什么也不做，開始轉(zhuǎn)發(fā)數(shù)據(jù)。如果沒有就存入CAM表，以便當(dāng)其他人向這個(gè)MAC地址上發(fā)送數(shù)據(jù)時(shí)，可以決定向哪個(gè)端口轉(zhuǎn)發(fā)數(shù)據(jù)。MAC/CAM攻擊是指人們使用一定的工具欺騙MAC，使得交換機(jī)在CAM表被填滿后會(huì)以廣播的方式處理信息，在這個(gè)時(shí)候攻擊者就通過利用黑客的工具嗅探、掃描獲取計(jì)算機(jī)網(wǎng)絡(luò)信息。

1.3.3 DHCP攻擊

用戶網(wǎng)絡(luò)的設(shè)置是通過DHCP來簡(jiǎn)化的，它能夠自動(dòng)的為用戶設(shè)置網(wǎng)絡(luò)的IP地質(zhì)、掩碼、網(wǎng)關(guān)、DNS、WINS等網(wǎng)絡(luò)參數(shù)，但是，如果有多臺(tái)DHCO服務(wù)器，那么就會(huì)造成網(wǎng)絡(luò)混亂，而且在管理方面也會(huì)有問題，常見的問題有：①DHCP的冒充；②DHCP的攻擊；③用戶隨意的指定地址，使得網(wǎng)絡(luò)地址混亂、沖突。

1.3.4 IP欺騙

IP地址欺騙攻擊者的主要目的是偽裝成人們信任的主機(jī)或隱藏攻擊發(fā)出地，具體的方式是人工修改合法的地址或通過相關(guān)程序執(zhí)行地址欺騙 。IP地址欺騙的具體步驟是：第一，選定目標(biāo)主機(jī)；第二，尋找被目標(biāo)主機(jī)信任的主機(jī)，第三，利用黑客的工具使主機(jī)喪失工作能力，以獲取并分析主機(jī)發(fā)出的數(shù)據(jù)；第四，偽裝成人類信任的主機(jī)，并與目標(biāo)主機(jī)建立基于地址驗(yàn)證的應(yīng)用連接。也就是說，IP地址欺騙攻擊者是通過簡(jiǎn)單的命令放置系統(tǒng)后門，以便攻擊者進(jìn)行沒有授權(quán)的操作。

2 計(jì)算機(jī)信息網(wǎng)安全體系

2.1 信息安全

2.1.1 數(shù)據(jù)備份

根據(jù)數(shù)據(jù)的重要程度定期將之備份到光盤或移動(dòng)設(shè)備上，同時(shí)進(jìn)行雙分區(qū)、雙硬盤或雙機(jī)熱備份，以便在發(fā)生意外時(shí)能夠技及時(shí)有效的恢復(fù)重要數(shù)據(jù)。

2.1.2 信息加密

確保信息安全最直接、最有效的方法是使用帶有網(wǎng)絡(luò)認(rèn)證功能的加密軟件。用戶在使用計(jì)算機(jī)時(shí)，這些軟件會(huì)自動(dòng)采集計(jì)算機(jī)硬盤序列號(hào)、CPU序列號(hào)等物理特性，在采集完成后進(jìn)行加密處理，然后將之存儲(chǔ)到固定的網(wǎng)絡(luò)服務(wù)器上；用戶在使用這些軟件時(shí)，網(wǎng)絡(luò)會(huì)核對(duì)用戶認(rèn)證的信息和計(jì)算機(jī)的物理特性，對(duì)于核對(duì)正確的用戶給予授權(quán)，對(duì)于信息不對(duì)的用戶是無法使用加密文件的。

2.2 計(jì)算機(jī)安全

2.2.1 網(wǎng)絡(luò)版殺毒和防火墻軟件

如果計(jì)算機(jī)系統(tǒng)內(nèi)的某臺(tái)計(jì)算機(jī)發(fā)生病毒感染，那么很有可能影響到全部的計(jì)算機(jī)，因此，需要防范每一臺(tái)計(jì)算機(jī)的病毒感染。從構(gòu)架設(shè)計(jì)來說，以網(wǎng)絡(luò)的使用為核心，即能滿足集中控制管理的需求，又能及時(shí)的向計(jì)算機(jī)終端用戶下發(fā)病毒庫文件，以便用戶及時(shí)的進(jìn)行病毒查殺任務(wù)。

2.2.2 使用安全應(yīng)用軟件

安全應(yīng)用軟件是指在設(shè)計(jì)此類軟件時(shí)就設(shè)置了安全防范措施。首先，軟件具有自我保護(hù)能力，能夠防止用戶將信息拷貝到其他計(jì)算機(jī)上；其次，軟件具有網(wǎng)絡(luò)認(rèn)證的功能，以便信息能夠安全的應(yīng)用；然后，進(jìn)行網(wǎng)絡(luò)通信時(shí)，應(yīng)用軟件使用相對(duì)固定的網(wǎng)絡(luò)端口，同時(shí)加密處理這些網(wǎng)絡(luò)端口，并保證端口連接的合理性、合法性；最后，加密所有通過網(wǎng)絡(luò)傳輸?shù)拿詈蛿?shù)據(jù)，以保證傳輸安全。

2.2.3 系統(tǒng)安全

在安裝系統(tǒng)時(shí)，對(duì)系統(tǒng)設(shè)立3個(gè)分區(qū)，以便使操作系統(tǒng)、應(yīng)用程序獨(dú)立開來，同時(shí)相關(guān)重要的數(shù)據(jù)需獨(dú)立的儲(chǔ)存，而且需要對(duì)系統(tǒng)進(jìn)行Ghost備份，這樣一旦系統(tǒng)出現(xiàn)問題，就可以及時(shí)的恢復(fù)操作系統(tǒng)和應(yīng)用程序。

2.3 網(wǎng)絡(luò)安全

2.3.1 網(wǎng)絡(luò)隔離安全

根據(jù)網(wǎng)絡(luò)隔離的方法可知，隔離網(wǎng)絡(luò)內(nèi)部與網(wǎng)絡(luò)外部可以采取二層邏輯隔離或物理隔離法。對(duì)于城域網(wǎng)，其網(wǎng)絡(luò)主要采取物理隔離的方法進(jìn)行隔離；對(duì)于廣域網(wǎng)，由于租用或自建長(zhǎng)途光纜所需的費(fèi)用較高，因此其網(wǎng)絡(luò)主要采取二層邏輯隔離的方法進(jìn)行隔離，不過在使用時(shí)，營(yíng)運(yùn)商只對(duì)提供給用戶的長(zhǎng)途電路做透明傳輸處理，所以其安全性較高，對(duì)于安全性要求較高的網(wǎng)絡(luò)來說，可以在設(shè)備兩段添加加密設(shè)備，以便獲得更高的安全保障。

2.3.2 網(wǎng)絡(luò)管理安全

一般情況下，為保護(hù)管理網(wǎng)需采用三層邏輯邏輯隔離。除管理計(jì)算機(jī)所在端口外的所有計(jì)算機(jī)終端直接相連的三層交換機(jī)和路由器端口上設(shè)置訪問控制策略，以禁止除目的地址外的所有網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)，關(guān)閉三層交換機(jī)和路由器上不使用的所有功能，靜止IP源地址路由，配置Console口及Telnet登錄密碼，打開密碼保護(hù)設(shè)置，設(shè)置超級(jí)用戶密碼。

3 結(jié)語

影響計(jì)算機(jī)信息網(wǎng)安全的主要因素是信息安全、計(jì)算機(jī)安全、網(wǎng)絡(luò)安全。只有解決這三方面的安全問題，才能使計(jì)算機(jī)信息網(wǎng)安全正常的運(yùn)行。

［1］王丹丹.信息化戰(zhàn)場(chǎng)指揮信息系統(tǒng)信息安全保障體系研究［D］.解放軍信息工程大學(xué)，2012.

［2］黃晟辰，李勤，李劍鋒，魏軍.供應(yīng)鏈信息安全體系框架研究［J］.科技管理研究，2014，05：171-174.

Research on the Security System of Computer Information Network

Hou Minghao
（Command College of People Armed Police， Tianjin，300250）

tAnalyzes the problems existing in the computer information network from information security，computer security and network security，and elaborates the security system of computer information network concerning the information security，computer security and network security.

computer information network；information security；computer security；security system