杜青海

【摘 要】计算机网络安全防护不同于传统意义下的信息保密，它是一个庞大的系统工程，不仅涉及技术人员对产品的采购、使用、维护和保养，也需要各级相关部门制定严密的管理制度和措施作保障。本文首先分析了计算机网络安全存在的问题，提出了计算机网络系统保密防范措施。

【关键词】计算机；网络系统；保密；防范技术

【中图分类号】TP393.08【文献标识码】A【文章编号】1672-5158（2013）02-0086-01

网络安全随着网络技术的日益发展将面临更为严重的挑战，所以人们要不断提高计算机网络安全防范意识，定期对网络系统进行维护升级，不断学习探索、积累和掌握计算机网络安全知识和技术，尽量避免未经授权用户的访问和破坏，防范计算机网络系统不受黑客侵害，经常查杀病毒，采取有效的保护策略，确保计算机网络系统的安全稳定运行，使计算机网络发挥出更大更好的作用。

一、新形势下计算机网络信息安全存在的风险

（一）黑客入侵

目前的单位局域网络基本上都采用以广播为技术基础的以太网。在同一以太网中，任何两个节点之间的通信数据包，不仅可以为这两个节点的网卡所接收，也同时能够被处在同一以太网上的任何一个节点的网卡所截取。另外，为了工作方便，单位内部网络都备有与外网和国际互联网相互连接的出入口。因此，外网及国际互联网中的黑客只要侵入单位网络系统中的任意节点进行侦听，就可以捕获发生在这个以太网上的所有数据包，窃取关键信息。

（二）病毒感染

随着计算机和网络的进步和普及，计算机病毒的种类也不断更新。2007年仅瑞星截获病毒样本数就高达917839个，比上一年增加70%，其中木马和后门病毒占总体病毒的84.5%，总数约为77万个。近年来，随着黑客地下产业链的进化，木马和僵尸程序以及一些助长其传播的恶意代码成为了黑客最经常利用的手段，也成了用户安全防范的主要对象。根据安天公司监测结果，2010 年共捕获恶意代码样本数量为985万余个，较2009年的664万个增长48%。一旦文件服务器的硬盘被病毒感染，就可能造成系统损坏、数据丢失，使网络服务器无法起动，应用程序和数据无法正确使用，甚至导致整个网络瘫痪，造成不可估量的损失。网络病毒普遍具有较强的再生机制，可以通过网络扩散、传染。一旦某个公用程序染了毒，那么病毒将很快在整个网络上传播，感染其它的程序。一旦网络服务器被感染，其解毒所需的时间将是单机的几十倍以上。

（三）操作系统的安全问题。在计算机上，操作系统几乎是所有与其相关资源的程序的集合，另外还是现代计算机系统运行的重要基础，是管理系统与之相关的资源，监控软件程序运行，并且能够为使用者提供一些方便的系统软件。因此，计算机操作系统的重要性是十分明显的，它具有的一些漏洞与不安全性，在系统设计开发过程中的差异性，为现代计算机网络安全带来诸多问题。在现代计算机操作系统中的每个小问题都很有可能会给整个计算机的网络安全构成很大的隐患甚至是会导致网络的整个瘫痪。

二、新形势下计算机网络信息安全风险防范策略

（一）网络安全预警

网络安全预警系统分为入侵预警和病毒预警两部分。入侵预警系统中，入侵检测可以分析确定网络中传输的数据包是否经过授权。一旦检测到入侵信息，将发出警告，从而减少对网络的威胁。它把包括网络扫描、系统扫描、实时监控和第三方的防火墙产生的重要安全数据综合起来，提供在实际网络中发现风险源和直接响应。它提供单位安全风险管理报告，报告集中于重要的风险管理范围，提供详细的入侵预警报告，显示入侵预警信息，并跟踪分析入侵趋势，以确定网络的安全状态。信息可以发往相关数据库，作为有关网络安全的决策依据。病毒预警系统通过对所有进出网络的数据包实施不间断的持续扫描，保持全天24小时监控所有进出网络的文件，发现病毒时可立即产生报警信息，通知管理员，并可以通过IP地址定位、端口定位追踪病毒来源，并产生功能强大的扫描日志与报告。

（二）入侵防范

要有效地防范非法入侵，应做到内外网隔离、访问控制、内部网络隔离和分段管理。

1、内外网隔离

在内部办公网络和外网之间，设置物理隔离，以实现内外网的隔离是保护单位网络安全的最主要同时也是最有效、最经济的措施之一。第一层隔离防护措施是路由器。路由器滤掉被屏蔽的IP地址和服务。第二层隔离防护措施是防火墙。大多数防火墙都有认证机制。无论何种类型防火墙，都应具有以下五大基本功能：过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警。

2、内部网络的隔离及分段管理

内部网络分段是保证安全的一项重要措施，同时也是一项基本措施。其指导思想是将非法用户与网络资源相互隔离，最终达到限制用户非法访问的目的。单位网络系统可以根据部门或业务需要分段。网络分段可采用物理分段或逻辑分段两种方式：物理分段通常是指将网络从物理层和数据链路层上分为若干网段，各网段相互之间无法进行直接通讯；逻辑分段则是指将整个系统在网络层上进行分段。它能实现子网隔离。在实际应用过程中，通常采取物理分段与逻辑分段相结合的方法来实现隔离。

（三）漏洞扫描系统。很多时候，我们必须通过修补操作系统漏洞来彻底消除利用漏洞传播的蠕虫影响。众所周知Microsoft有专门的update站点来发布最新的漏洞补丁，我们所需要做的，是下载补丁，安装并重新启动。如何在蠕虫和黑客还没有渗透到网络之前修补这些漏洞，如何将部署这些补丁对单位的运行影响减小到最低呢？那就是选择一套高效安全的桌面管理软件，来进行完善单位或单位的IT管理。又如何解决网络层安全问题呢？首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况，仅仅依靠网管员的技术和经验寻找安全漏洞、做出风险评估，显然是不现实的。解决的方案是，寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具，利用优化系统配置和打补丁等方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下，可以利用各种黑客工具，对网络模拟攻击从而暴露出网络的漏洞。

总之，网络安全是一个系统的工程，一个单位或单位的计算机网络安全需要通过在内部网络中的每台工作站上部署防火墙，入侵检测，补丁管理与系统监控等；通过集中收集内部网络中的威胁，分析面对的风险，灵活适当地调整安全管理策略，同时兼顾使用环境，提高管理人员和工作人员素质，将人和各种安全技术结合在一起，才能生成一个高效、通用、安全的网络系统。

参考文献

[1] 蔡皖东.计算机网络技术[M].西安：西安电子科技大学出版社，2007

[2] 杜飞龙.Internet原理与应用[M].北京：人民邮电出版社，2006

[3] 闫红生，王雪莉，杨军，等.计算机网络安全与防护[M].北京：电子工业出版社，2007

[4] 张仕斌.网络安全技术[M.北京：清华大学出版社，2005.

保密问题及解决方案研究

[5] 王蓬、蒋红娜：中航工业飞行试验研究院[J]. 中国科技信息2011年第13期