计算机网络信息安全影响因素及防范浅析

【 摘 要 】 在计算机网络信息技术成为社会进步助力的同时，网络信息安全也面临着严重的威胁。本文简要分析了影响计算机网络信息安全的主要因素，并就这些问题对网络信息的安全防范进行了探讨。

【 关键词 】 计算机网络；信息安全；影响因素；防范

1 前言

随着全球信息化时代的到来，作为其重要基础的计算机网络信息技术得到了高速发展和极大进步，广泛应用于社会的各个领域，深入到人们的日常生活、工作和学习之中，成为当代社会文明的一个重要方面。但与此同时，由于网络的开放性特点，计算机网络信息面临的安全威胁也日益突出，影响到整个社会的发展前进，因此如何提高计算机网络信息的安全系数，防范可能发生的安全问题，成为当前网络技术研究的一个课题。

计算机网络是指由具有独立功能而又通过通信媒介连接起来的计算机或信息系统组成，以实现相互间的信息交换、资源共享或分工协作等，按网络覆盖范围一般分为局域网（LAN）、城域网（MAN）和广域网（WAN）。本文所讨论的计算机网络信息安全主要是指网络上存储或传输中的人为的信息数据安全。一般来说，信息安全有四个基本目标：（1）保密性，即确保信息不泄漏或由非授权的人所知；（2）完整性，即确保数据的一致性，防止非授权地操作数据；（3）可用性，即确保合法用户在授权范围内可访问信息或资源；（4）合法使用，即确保信息不被非授权的人或以非授权的方式使用。

2 计算机网络信息安全影响因素

网络信息安全一直是全球性的重要问题，既面临计算机病毒、木马、黑客攻击等等外部因素造成的数据破坏、假冒、窃取，又面临网络漏洞、软件缺陷等内部因素造成的信息泄露和丢失。

2.1 网络攻击

网络攻击是指利用计算机网络系统存在的漏洞或者安全缺陷对信息、数据进行窃听、获取、修改、破环等，从而影响网络的正常使用。目前网络攻击的对象不仅有个人计算机、企业网络、金融机构、政府网站等，有的还涉及军事网络系统。口令窃取、欺骗技术、后门攻击、指数攻击、端口扫描、DDOS（分布式拒绝服务）攻击是网络攻击的常见形式。近两年随着网络安全防范技术的提高，网络攻击的技术手段也有了新的变化，如APT（高级持续性威胁）攻击，是对特定目标进行长期持续性的网络攻击形式。2010年的Google 极光攻击中，攻击者持续数月监听并成功渗入Google内部邮件服务器，获得了特定Gmail账户的邮件内容信息及系统数据。

2.2 病毒入侵

计算机病毒是指对系统软硬件具有破环性的程序代码。由于网络开放性特点使其成为目前最常见的网络安全威胁因素，具有寄生性、潜在性、可激发性、破环性和自我复制等特点。病毒常利用电子邮件、附件和非法网站等方式实现入侵。近几年，随着防病毒软件和云查杀技术的推广使用，像冲击波、熊猫烧香、机器狗等动辄感染量过百万的超级病毒已几乎绝迹。据国家计算机病毒应急处理中心统计，木马病毒成为目前流行度最高的恶意程序，其利用游戏外挂、恶意网站、盗版软件和视频等诱惑性网络资源伪装欺骗用户来实现入侵，造成严重威胁。如BMW 木马，全球首例可刷写主板BIOS芯片，能感染硬盘主引导区，控制系统文件加载恶意代码，使重装系统、格式化硬盘，甚至更换硬盘都无法将其彻底清除。如替身盗号木马，它能替换常用软件中的正常文件，在这些软件运行的同时激活木马，从而对一些网络游戏实施盗号。

2.3 系统安全漏洞

系统安全漏洞是指计算机网络自身存在可威胁网络安全的软、硬件设计缺陷或错误。包括网络协议不完善、安全防护设计缺陷、编程人员故意留有的“后门”等。这些漏洞的存在如不及时进行更新或补丁处理，将成为不安全的潜在隐患，会被非法利用。如2011 年11 月大量MSN 用户反映遭遇盗号，12 月CSDN（中国软件开发联盟） 的600 多万个账号密码在网上公开，都是网络系统漏洞被黑客利用，入侵数据服务器后“拖库”造成的。

2.4 信息传输安全问题

信息传输安全问题是指传送网络数据的有线或无线通信信道所存在的安全隐患。如传输信道上设备老化导致抗干扰能力下降，电磁屏蔽措施不完善导致信息传输过程中向外产生电磁辐射等。常见的安全威胁有窃听、通信阻断、数据注入或篡改、客户端伪装等。2012年曾发生侵入银行的通信传输网络，假冒银行终端的金融犯罪事件。

2.5 钓鱼网站欺骗

钓鱼网站是指仿冒真实网站链接地址及页面内容，或者在真实网站程序中插入危险代码，以此非法获取用户信息数据。由于钓鱼网站只是仿冒、套用正常网站模板，一般不携带恶意代码，难以被传统杀毒引擎识别、清除。钓鱼网站的传播主要通过聊天工具、广告投放、微博、论坛、仿冒邮件、恶意网站下载等，目前虚假购物、虚假中奖、仿冒银行网站、仿冒电子商务网站是其常见表现形式，危害用户的银行账号、密码、个人身份等私密信息。据有关部门统计，近两年钓鱼网站成为仅次于木马的第二大网络安全威胁。

3 计算机网络信息的安全防范

计算机网络信息安全是一个综合性多元化问题，安全防范策略要以“积极防御”和“预防为主”为原则，技术上要针对网络特点从物理层、数据链路层、网络层、传输层和应用层等多方面加强安全保护。

3.1 防火墙技术

防火墙技术是结合计算机硬件和软件对两个网络之间的数据流加以控制的系统防护技术。防火墙配置示意如图1所示，它具有几项基本特性：（1）所有进出被保护网络的数据流必须都经过防火墙；（2）只有授权的数据流才允许通过防火墙；（3）防火墙自身对攻击、渗透是免疫的。

所有防火墙技术均依赖于对OSI模型中各层协议所产生的数据流进行检查。检查的数据包越靠近OSI模型上层，该防火墙所提供的安全防护等级越高。按照进行过滤的层次不同，可分为网络层的包过滤、会话层的电路级网关、应用层的应用层网关等三类防火墙。虽然防火墙能提供网络的安全性，但其自身存在一定的技术缺陷，如对于防御内部的攻击、防范绕过防火墙的连接带来的威胁、阻止被病毒感染文件的传输、抵御数据驱动式攻击等方面还存在不足。目前针对这些问题的研究有了相应的进展，如能大幅提高处理性能的自适应防火墙，可控制内部网络攻击的分布式防火墙等。

3.2 防病毒软件

防病毒技术是通过在系统中驻留程序实时监控内存、磁盘等关键点，通过病毒预防技术、检测技术和清除技术来实施系统安全保护。常用的病毒检测方法有特征代码法、校验和法、行为检测法、软件模拟法等。从功能上可以分为单机版和网络版两类防病毒软件。目前随着防病毒软件的广泛应用，大部分病毒都可以被隔离或清除，但是病毒防范还面临着严峻的形势，如对新型病毒的防范始终滞后于病毒出现、木马病毒的传播多样化等。今后随着一些新技术融入到防病毒软件中将大大提高病毒防范水平。如采用云技术的云查杀，可以利用功能强大的分散服务器组成的云系统迅速更新病毒样本库，查杀病毒快而准；利用动态仿真系统的主动防御技术可以自动监视、自动分析、自动判定病毒，并在其危害行为发生之前就对其进行拦截，达到主动防御的目的。

3.3 VPN技术

VPN即虚拟专用网，是利用公网网络构建成的虚拟专用子网，使得数据在安全的“管道”内通过公网传输。从目前应用来看VPN主要有远程访问/移动用户的VPN连接和网关—网关的VPN连接两种类型。VPN的安全关键技术包括隧道协议、访问控制、加解密技术、用户与设备身份认证及密钥管理技术等。VPN典型网络拓扑如图2所示。VPN技术实现了在隧道中传输加密的数据信息，因此安全性得到保证。

3.4 数字签名技术

数字签名是通过一个单向函数对要传输的信息进行处理得到的用以认证信息来源且核，信息是否发生变化的一个字母数字串。其有两种方式：对整体消息的签名和对压缩消息的签名。目前常用的签名体制有RSA、DSS、Hash、 GOST、离散对数以及不可否认、盲签名和群签名等。一个签名体制一般包含有签名算法和验证算法两个部分，当信息发出时数字签名也会同时发出，这样只要发生信息变化，就可在验证用户的数字签名时检测出来，从而确保了网络的安全性。数字签名技术是当前电子商务发展的重要保障。

3.5 数据加密技术

数据加密是指采用数学算法变换数据的方法（密钥）对需要传输的信息进行加密，在接收端采用相应的解密算法（解密密钥）还原原来信息的技术。加密策略有在网络链路层和物理层实现的链路加密、在传输层进行的结点加密、在应用层实施的端到端加密等。密钥是数据加密的关键，常用的算法有DES、AES、RSA、IDEA、SAFERK64等，一般归为对称数据加密和非对称数据加密两种。对称数据加密技术是指通信双方的加密密钥和解密密钥采用相同的密码体制，其算法简单且传输效率高，常应用在金融领域。非对称数据加密技术是采取不同的密钥（公钥和私钥）对信息进行加密和解密，公钥用于加密，而私钥用于解密，这种算法较为复杂且传输效率低，一般应用于数字签名、身份认证和信息交换等领域。

3.6 入侵检测技术

入侵检测技术是通过对网络系统的关键点进行信息收集、分析，从中发现是否有违反安全策略的行为或攻击，以及时作出安全响应。按照功能可以分为基于主机的入侵检测、基于网络的入侵检测和分布式入侵检测。入侵检测是一种主动的安全防范，目前采用的关键技术有IP碎片重组、TCP状态检测、协议分析、HTTP解码、蜜罐和蜜网、文件和注册表保护、IIS保护、文件完整性分析等等。如蜜罐技术，是故意设置诱人攻击的目标或故意留下一些安全后门吸引攻击者，以对其各种攻击行为进行收集、分析来找到有效的安全防护方法。

3.7 安全漏洞扫描

漏洞扫描是对网络或系统的安全脆弱性进行检测，以发现可利用漏洞的安全检测技术。其通过漏洞扫描能提前获得可被攻击的薄弱环节，以便能有针对性的对漏洞进行补丁修复，实现计算机网络信息的安全。按照扫描执行方式主要分为基于网络的扫描和基于主机的扫描。其测试方法一般是扫描和模拟攻击。扫描是通过与目标主机端口建立连接并请求如TELNET、 FTP等服务，记录主机应答而收集安全漏洞信息。模拟攻击是通过使用欺骗、DDOS等模拟方法对目标系统可能存在的已知安全漏洞进行检测以发现问题所在。

4 结束语

计算机网络信息安全防范是一个综合性的系统工程，不仅仅是几项防护技术的综合运用，还涉及使用、安全管理等很多方面，因此需要根据实际网络情况建设相应的网络信息安全防范策略，提高网络的安全防护能力，打造一个安全的网络环境。

参考文献

[1] 梁燕.计算机信息技术安全影响因素及优化[J].电子制作， 2013， （02）.

[2] 杜常青. 计算机网络信息技术安全及防范对策研究[J].信息安全与技术， 2011， （11）.

[3] 谭昕. 计算机病毒与网络安全[J]. 计算机光盘软件与应用， 2013， （01）.

[4] 刘建伟，王育民.网络安全技术与实践[M].北京：清华大学出版社， 2005.

[3] 吴小毛.基于点对点即时信息交换安全通信协议模型研究[J].信息网络安全，2012，（04）：72-74.

[4] 刘德祥.数码代密模块的软件设计与实现[J].信息网络安全，2012，（05）：15-16.

作者简介：

尹蕾（1979-），女，汉族，山东临沂人，中国联合网络通信有限公司临沂市分公司，工程师；研究方向：通信工程、信息化。