王　婵（鄂尔多斯市东胜区监督评价中心,内蒙古鄂尔多斯017000）

浅析计算机网络信息安全及其防护

王婵
（鄂尔多斯市东胜区监督评价中心,内蒙古鄂尔多斯017000）

无论何时计算机网络安全总是一个热点话题，因为其事关人身信息、财产的安全；本文在全面总结、分析当前存在的计算机网络信息安全问题基础上，重点针对存在的问题探索性提出有效的防范措施与建议；以期对提高当前各部门的计算机网络信息安全工作水平有所帮助。

计算机；网络；信息安全；防护

以计算机、互联网应用为代表的信息技术发展可谓是一日千里，信息化己经成为社会各个行业、领域发展的大势所趋，人们的生活、工作、学习的开展已经不可能不受到计算机、网络的影响；但计算机、网络在给我们带来极大便利的同时，其所带来的信息安全问题也不得不让我们担忧；因此，有必要就计算机网络信息安全及其防护问题作进一步的深入探析，旨在给我们自己创造一个更加安全、更加高效的学习、工作与生活环境。

1　当前主要存在的计算机网络信息安全问题

（1）系统固有安全漏洞的存在。新版本的操作系统、应用软件在不断更新、上市的同时，发现的漏洞也是越来越多；没有一个系统、软件敢说不存在漏洞，这些漏洞的发现与修补是很困难的，但是却很容易被“恶意分子”利用，从而严重威胁我们网络系统、信息的安全。（2）TCP/IP协议本身的脆弱性。TCP/IP协议可以说是计算机互联网络的基石，对计算机、网络信息安全的影响较大；但是在设计该协议之初对其网络安全性的考虑却很少，加之TCP/IP协议应用、开发的“公开”特点，会有越来越多的人熟悉、掌握TCP/IP协议，进而利用它开展网络攻击。

（3）缓冲区溢出设计存在缺陷。缓冲区溢出是当前存在的重要的计算机、网络信息安全漏洞之一；这主要源于部分软件系统在进行缓冲区设计时不注意考虑检查程序和缓冲区间的变化情况，而简单的采用接收任何长度数据输入的便利设计，笼统的将溢出部分全部放入堆栈由系统执行，给攻击者造成系统不稳定带来可乘之机。

（4）“拒绝服务”的普遍存在。拒绝服务攻击仍然是当前攻击比较有效且较难于防御的一种普遍存在的网络攻击方式，其可以是人为的实时攻击，也可以是由人为编制的病毒导致；DOS拒绝服务攻击的基本原理在于搅乱TCP/IP连接次序，其通过耗尽、损坏部分系统资源导致系统无法处理本应是合法范围的程序、请求，造成系统资源不足、拒绝服务的外在表现。

（5）线路、系统较容易被窃听。为了保证传输速度，互联网上大量的数据流、信息是不被加密的；这就给了网络攻击人员可乘之机，他们利用外部线路接入和互联网上各种各样的免费工具等就能很容易达到窃听、截获他人电子邮件、口令和传输文件的目的。

（6）合法工具被攻击者滥用。目前多数的计算机、网络软硬件系统都专门配备了用以改进系统管理和服务质量等的软件，这些工具同样也可以被破坏者滥用用来收集各种信息或者利用其来加强攻击的力度，从而达到攻击计算机、网络的目的。

2　计算机网络信息安全防范措施与建议

（1）科学应用防火墙功能。防火墙分为硬件防火墙和软件防火墙，较为有效的是硬件防火墙，其通常放置在内网与外网之间，是一个安全网关；无论是流入还是流出的通信、数据都要经过防火墙的检测，只有那些符合安全策略的通信请求、数据包才能顺利通过防火墙；科学应用防火墙能防范90%以上的攻击，特别是基于病毒的外部实时网络攻击。

（2）坚持安装安全防护软件。防火墙对外网攻击的拦截较为有效，但是对内网攻击的防护却十分有限；一旦内网中存在的攻击或者病毒，必须借助于专业的安全防护软件才能消除；安装了安全防护软件后就可以定时、实时的对内网中的攻击行为、病毒、漏洞等进行检测和主动截杀。

（3）适时隐藏服务器IP地址。攻击者要想发动攻击必须要知道服务器的IP地址，这样才能发动各种进攻，比如前边提到的拒绝服务攻击、缓冲溢出攻击。可以尝试使用代理服务器的方法来达到隐藏服务器IP地址的目的，进而成功避免部分网络攻击。

（4）积极对数据进行加密。数据加密技术无疑是最有效的网络信息安全防护技术，其基本原理在于借助于各种复杂加密算法，实现明文与密文的转换，阻止非法用户窃取明文原始数据，从而保证数据的保密性、完整性；一般来说，加密技术有对称和非对称加密两种，相比较而言非对称加密技术更为有效。

（5）关闭不必要的网络端口。计算机、网络系统服务的实现都需要借助于对应端口，而系统中的部分无用端口可能被攻击者所利用；因此，需要我们手动或者借助于安全防护软件来关闭系统中默认开启而又不常用的端口，比如使用软件防火墙、杀毒软件等来关闭。

（6）身份认证与访问授权。身份认证是进入系统、网络的必经过程，当前身份认证的方法很多，如基于共享密钥的、基于生物学特征的和基于公开密钥加密算法的；为防止非法人员侵入，单一的方法效果可能有限，需要综合应用多种方法来把好系统“入口关”。该问授权与身份认证不同，身份认证控制的是网络的“进入”，而访问授权控制的是用户进入后的“行为”，用户可以以何种方式访问、使用资源等，访问授权是继身份认证后的第二道网络关口，对保证系统安全至关重要。

（7）加强通信请求、数据包过滤。所谓过滤是指借助于硬件或者软件对上传、下载的网络数据包进行检测、控制的过程，一般由防火墙完成；过滤与身份认证、访问授权相比，安全防护程度、效果更进一步。通信请求、数据包的过滤能够有效防止非授权用户访问、使用和破坏服务器资源，以及及时发现并阻止拒绝服务攻击。

（8）关闭系统中不必要的服务。服务器、客户端的操作系统都会默认会开启诸多服务，对于用户来说这些服务的开启可能是不必要的，其有可能给攻击者破坏系统留下可乘之机。对于这些用户用不到的而系统又默认开启的服务应该予以专门关闭，这样不仅可以达到提高系统安全性的目的，其同样可以释放更多的、被不必要服务占用的系统资源，从而加快计算机、服务器的运行速度，有效提高计算机、服务器系统利用效率。

[1]于功成.计算机网络与信息安全系统的建立与技术分析[J].电子技术与软件工程，201(07).

[2]焦玉录，李学普，张巧立.校园计算机网络安全技术分析[J].价值工程，2014(17).

[3]克依兰·吐尔逊别克.计算机网络安全分析研究[J].网络安全技术与应用，2014(01).

王婵（1980-），女，内蒙古鄂尔多斯人，本科，研究方向：计算机网络信息安全及其防护。