计算机信息网安全问题及解决方法

摘 要：从专用计算机信息网的安全三要素：信息安全、网络安全和计算机安全入手，首先确保信息的安全，然后保护计算机的安全，最后确保网络的安全，并且将以上三个方面结合在一起，组成核心的专用计算机信息网。文中涉及的大多数方面都相对容易实现，对专用计算机信息网安全体系的建设具有一定的实用价值。

关键词：信息安全；网络安全；计算机安全

中图分类号：TP393.08

1 网络安全问题

链路层和网络层是欺骗和攻击行为主要针对的对象，攻击和欺骗主要的来源分为人为实施和病毒攻击，现在这种欺骗和攻击的工具已经非常地常见，并且操作简单。一般情况下，欺骗或者攻击行为发生的十分隐蔽，不容易被用户轻易察觉，但是对于计算机用户来说，危害是很大的。例如，利用一些黑客软件获取用户的信息和重要资料。还有一种攻击发生时可能现象比较直接，比如蠕虫病毒或者木马多数是使用户的网络流量瞬间增大，或者是占用硬件资源使CPU使用率增加或者是二层生成树环路直至网络瘫痪[1]。

1.1 网络监听。网络监听技术是一项提供给网络安全管理人员的用来检测网络使用及安全情况的技术。目前，网络监听工具的应用非常频繁，而且操作起来十分简单，只需将网络的接口调制成为监听模式，就能够截获部分以明文形式传输的数据。想要获得敏感或是有用的信息，只要对截获的数据帧进行分析即可。

1.2 MAC/CAM攻击。CAM表是指交换机主动地学习在客户端的MAC地址，并建立、维护端口和MAC地址的对应表以此建立交换路径。而MAC/CAM攻击就是指利用相关的工具产生欺骗MAC，交换机的CAM表被迅速填满之后，交换机会将通过的报文以广播的形式进行处理，在这个过程中网络信息即被攻击者利用各种嗅探攻击所截取。CAM表满了后，流量以洪泛方式发送到所有接口，也就代表TRUNK接口上的流量也会发给所有接口和邻接交换机，会造成交换机负载过大，网络缓慢和丢包甚至瘫痪。

1.3 DHCP攻击。DHCPserver可以简化用户网络设置，自动为用户设置网络正地址、网关、DNS、WINS等网络参数，但是如果网络上存在多台DHCP服务器将会给网络造成混乱。在管理上也会出现一些问题，比如：（1）DHCPserver的冒充。（2）DHCPserver的Dos攻击。（3）有些用户随便指定地址，造成网络地址冲突。

1.4 IP欺骗。IP地址欺骗攻击者可以利用简单的命令放置一个系统后门，从而进行一些非授权的操作[3]。简单的说就是首先选定目标主机，然后信任模式已经被发现，而且找到一个被目标主机信任的主机，然后利用工具使得被信任主机彻底失去工作能力，获取并分析目标主机发出的TCP序列号，最后伪装被信任主机，同时建立起与目标主机基于地址验证的应用连接。

2 计算机安全问题

2.1 计算机病毒。最早的单机病毒就已经非常让人头疼了，而随着网络的普及，现在的计算机病毒基本上都是通过网络这一媒介来进行传播的，无论从感染的速度还是破坏的范围上都是以前的单机病毒所不能比拟的。而病毒一旦被安置，将会对用户的主机造成多种多样的麻烦。

2.2 非法访问和破坏。目前，全球现在有将近30万个黑客网站存在，这些网站一般都会讲授一些黑客软件的使用方法，这样一来很多的站点被攻击的可能性就大大增加。虽然全世界现在都在针对黑客行为而进行很多的研究，但效果一般，而黑客的攻击一般都较为隐蔽，可以说目前黑客攻击是威胁计算机安全的罪魁祸首。而且目前黑客攻击几乎涵盖了大部分的操作系统，和病毒破坏相比黑客攻击更具有目的性，危害性也强。

3 信息安全问题

3.1 病毒危害。计算机病毒在破坏计算机系统正常运行的同时，也极大地威胁着计算机内存储、传输的信息安全，这主要体现在一下三个方面：（1）删除用户信息。（2）预留后门，窃取用户信息。（3）隐藏用户信息，进行敲诈。

3.2 人为泄密。笔者在调查中发现，中国的很多大型企业，甚至很多500强的公司，对于计算机电子文档的保护措施做的十分薄弱。在对100家企业的调查中，有较为合理的保护措施的不到5%。通过很简单的手段，比如发送电子邮件，或者是U盘等移动设备很轻易的就可以将很多涉及到公司机密的重要文件拷贝到外部。因此，单纯的通过一些杀毒软件、物理隔离等方式是不能够有效的确保信息的安全的。

4 安全体系的实现方法

专用计算机信息网的安全体系在构建的过程中应该严格遵循分数控制、集中管理、优势互补、多重保护的原则，以信息安全、计算机安全和网络安全为三要素。

4.1 信息安全。（1）数据备份。首先，将重要数据定期备份到光盘或者移动设备上；其次，建立双机热备份或者进行双分区，真正的实现一个实时、多元的备份措施，确保意外发生时，能够有效地恢复重要的信息。（2）信息加密。目前，最为直接和有效的办法就是使用某些需要网络认证的加密软件。这类的软件的工作原理是用户在操作计算机的时候，加密软件会自动采集计算机的一些例如硬盘序列号、CPU序列号等物理特性，然后设置密码并储存到固定的网络服务器上；用户在运行某些软件的时候，通过网络核对计算机的物理特性或用户的认证信息，从而为用户授权。而计算机一旦脱离专用网络，将无法得到授权，那么加密的文件就无法被打开。

4.2 计算机安全。（1）网络版杀毒和防火墙软件。在专用网内安装专门针对企业需要使用的防病毒软件，从构架上来说，首先要以网络使用安全为主导，既要能够集中控制管理，还要能够及时向终端用户下方病毒库，便于终端用户及时查杀病毒。（2）使用安全应用软件。（3）系统安全。安装系统时至少要对系统进行2-3各分区，保证操作系统或应用程序存在于独立的分区，另一分区用来储存用户的重要数据，而且一定要对系统进行Ghost备份，当系统出现问题的时候，可以第一时间对操作系统和应用程序进行及时的恢复。

4.3 网络安全。（1）网络隔离安全。根据对网络隔离的方式及其特点，可以采用二层逻辑隔离或者是物理隔离的方法，对专用网与外部网之间进行隔离。一般在城域网的范围内，物理隔离的方法是被专用网络所主要采纳的；而在广域网的范围内，由于费用很高，所以都是采用租用运营商电路的方式；而使用公用传输线路和设备的话，网络隔离级别只能达到二层逻辑隔离。而在使用过程中，运营商只对被用户所租用的长途电路做透明传输处理，因此安全性很高；而对于有更高安全要求的专用网来说，最好是在设备上再添加加密设备，从而为专用网络提供更高的安全保障。（2）网络管理安全。在实际应用中，一般采用三层逻辑隔离来保护管理网。在所有计算机终端直接相连的三层交换机和路由器除管理计算机所在端口外的所有端口上设置访问控制策略，禁止目的地址是网络设备的所有数据包进入网络，关闭三层交换机和路由器上不用的所有功能，静止IP源地址路由，配置Console口及Telnet登录密码，打开密码保护设置，设置超级用户密码。这些措施为管理网安全提供了非常高的安全保护[2] [3]。

5 总结

计算机安全、信息安全和网络安全是决定专用计算机信息网安全的三个最主要因素。只有保证这三个方面都是安全的，才能保证专用计算机信息网的正常运行。

参考文献：

[1]张晓斌，严望佳.网络安全与黑客防范[M].清华大学出版社，2000.

[2]张京嵋.网络安全中信任模型的研究[D].山东大学硕士论文，2008，5.

[3]李乐，侯整风.Peer to peer网络安全分析[J].福建电脑，2010，1.

作者简介：贺庆文，男，湖北武汉人，工学学士，主任科员，研究方向：计算机及应用技术。

作者单位：河北省烟草专卖局信息中心，石家庄 050000