蔡彬彬,孙忠辉
(1.长春理工大学 信息化中心,长春 130022;2.白城兵器试验中心,白城 137000)
计算机网络信息安全,是指防止计算机网络及其系统硬件设备、软件程序以及数据信息受到无意破坏和恶意攻击,避免对数据信息进行泄漏、篡改,防止对计算机网络的非法访问以及对相关资源的非法使用[1]。计算机网络信息安全涵盖较为广泛的范围,主要包括数据信息安全、实体安全、运行安全以及管理安全等方面。随着时代的发展,计算机网络信息安全要求计算机网络实现稳定、可靠地有序运行,避免各类故障导致的系统运行中断,并确保网络信息资源具有较强的完整性,避免数据信息出现泄漏缺失,扩展到信息资源处于合法可控范围内,不被非法窃取、删改、利用等[2]。
计算机网络信息涉及诸多领域的内容,计算机网络信息安全对于保障国家和人民利益具有重要意义。加强计算机网络信息安全,有效避免各类恶意网络攻击,诸如病毒传播感染、数据信息窃取篡改等,能有效保障信息安全,并实现对计算机和互联网犯罪的有效遏制。同时,计算机网络信息安全对于维护国家安全和社会稳定发挥着重要作用。加强计算机网络信息安全,能有效避免计算机网络系统中的硬件设备和软件系统遭受破坏,保护计算机网络系统中的数据信息,维护计算机网络系统的正常安全运行。当前,计算机用户日益增多,计算机用户普遍采用计算机网络系统对个人信息进行存储传输,不法分子借助各类病毒链接以及钓鱼软件,非法窃取用户信息后,将对用户隐私以及合法权益造成巨大的威胁[3]。因此,加强计算机网络信息安全能有效保护计算机用户的隐私和合法权益。
影响计算机网络信息安全的因素有很多,如图1所示,主要包括病毒传播、黑客攻击、系统漏洞、网络诈骗、硬件问题、用户安全意识等方面。
图1 影响计算机网络信息安全的常见要素
计算机病毒具有较强的传染性和破坏性,能在可执行程序以及相关数据文件中潜伏隐藏,且可存储、执行,难以被及时发现。计算机病毒具有多种传播途径,诸如对文件进行复制和传送、对程序进行运行等。另外,硬盘设备及软件系统等均可被用来进行计算机病毒的传播。计算机网络及系统感染病毒后,系统工作效率会大幅度降低,文件会被恶意损坏和删除,导致信息数据出现泄漏丢失,甚至会对系统硬件设备造成破坏。近年来,恶性病毒主要借助网络实现传播,严重威胁网络信息安全,并造成巨大的经济损失和社会危害。
黑客攻击主要包括两种:一种是主动攻击,一种是被动攻击。前者是指采用多种方式对信息的完整性以及有效性实施进行选择性地攻击破坏;后者是指不影响计算机网络的正常运行,对机密信息进行非法截获、窃取或者非法破译[4]。当前,计算机网络以及软件系统普遍存在漏洞,黑客借助各类技术手段非法入侵计算机网络系统,对系统信息数据进行非法窃取或者修改。黑客攻击严重威胁计算机网络信息安全,并导致机密数据信息出现泄漏丢失,甚至会导致计算机系统发生瘫痪。
系统漏洞是指存在于计算机软件及操作系统中的逻辑缺陷或程序编写错误,本身不会影响计算机网络信息安全,但系统漏洞的存在为黑客和不法分子提供了便利。他们借助系统漏洞,植入木马病毒,对计算机网络信息系统进行攻击和非法控制,对用户相关数据信息进行非法窃取,会严重影响计算机网络信息安全。常见的系统漏洞如下:(1)操作系统漏洞。操作系统为各类应用功能的良好实现提供了平台。当前,各类应用软件日益增多,加剧了操作系统漏洞存在的安全隐患。操作系统常见漏洞包括非法访问以及缺乏有序的访问控制等。(2)网络协议漏洞。TCP/IP主要负责完整地对数据信息进行传输,但此类网络协议无法有效识别源地址,且相应的控制机制存在缺陷,难以准确地对IP地址进行定位,为黑客非法窃取数据信息以及攻击网络系统提供了便利。(3)数据库漏洞。通常,数据库漏洞的存在,导致难以有效验证用户输入参数具备的合法性,无法有效保障web应用的安全性,病毒入侵以及非授权访问增加了服务器运行的安全隐患。(4)网络软件漏洞。网络软件漏洞具有诸多种类,涵盖邮件漏洞、web编写漏洞、域名漏洞以及黑客入侵等,严重威胁计算机网络信息安全。
当前,计算机网络日趋普及,计算机网络用户数量日益增多。网络诈骗现象层出不穷,对计算机网络信息安全造成严重威胁,且严重损害计算机网络用户的利益。计算机网络具有较强的虚拟性特征,且具有较强的开放性,各类社交软件,诸如微信、QQ等用户数量日益增多。不法分子利用各类社交软件,向计算机网络用户大量发布虚假信息,开展网络诈骗活动。部分用户缺乏对网络信息真实性的辨识能力,轻易相信各类虚假的诈骗信息,极易掉入诈骗陷阱中,导致自身经济损失。
计算机网络数据信息存储以及系统运行均有赖于硬件设备的正常良好运行。若硬件设备存在质量问题,将难以保障数据信息的安全。同时,在各类硬件设备,特别是硬盘以及移动存储设备的使用过程中,若硬件设备发生故障,将破坏所存储的数据信息,影响数据信息的正常读取和有效使用。在计算机网络系统运行过程中,部分用户缺乏对硬件设备的日常维护以及对硬件设备故障的有效修复,可能导致硬件设备所存储的数据信息发生泄漏和丢失,甚至影响计算机网络系统的正常运行。
用户缺乏较强的信息安全意识,或者设置的用户口令过于简单,未能对自身账户进行有效的保密等,将严重影响计算机网络信息安全。用户在对计算机网络系统进行使用的过程中,缺乏较强的网络安全意识,未能有效控制自身的操作行为,难以及时发现和有效消除操作过程中存在的安全隐患[5]。同时,用户缺乏对网站安全性的辨识能力,有时会浏览各类不健康的网站以及存在安全隐患的网站,极易感染计算机病毒,或者引发黑客攻击。另外,部分用户缺乏对网络信息真实性的辨识能力,极易轻信各类网络虚假信息,会无意识地泄露自身的数据信息并造成损失。
计算机网络信息安全防范可以采用诸多手段,常见的手段如图2所示,主要包括应用计算机杀毒软件、构建网络信息安全防火墙、及时更新系统及应用程序补丁、应用数字签名和文件加密技术、隐藏IP地址、加强网络监控和入侵检测、设置有效的访问权限、强化计算机网络信息安全意识等。
图2 计算机网络信息安全防范
要充分应用计算机杀毒软件加强计算机网络信息安全防护。杀毒软件能严格检测和有效查验各类计算机病毒,并对之进行有效处理。应用杀毒软件,能有效修复存在于计算机系统中的各类漏洞,进而有效避免黑客对漏洞的攻击。应用杀毒软件,能及时将病毒扫描查验出来,并采取具有较强针对性和有效性的措施实施网络防护,能有效增强计算机网络信息安全。另外,杀毒软件能实现与网络防火墙的有效配合。
例如,某单位发现访问互联网速度缓慢,接近瘫痪状态,网络管理员怀疑内网可能遭到病毒感染,但检查日志后,未发现明显异常。这是典型的病毒现象,内网中部分终端中了病毒下载器,从互联网中不断下载病毒,且对大量宽带资源进行占用。同时,程序本身不属于病毒,因此,杀毒软件相应的系统中心未能检测到该程序,无法对之进行准确定位和有效处理,导致内网爆发了病毒疫情。对此,相关工作人员采取了如下解决方案:将防毒墙架设于网关,对病毒下载进行阻断,对防毒墙日志进行检查,对病毒传播源进行准确定位。检查受害主机,并对病毒下载器进行清除,对杀毒软件升级。对防毒墙具备的联动功能和反挂马功能进行启动,对上网安全进行有效保障。对内网终端进行检查,确保杀毒软件的有效安装,并对高危漏洞打补丁。
网络防火墙,能有效加强网络间存在的访问控制,并有效防止各类外部用户借助技术手段非法入侵内部网络并对网络资源进行访问,能实现对内部网络信息安全和操作环境的有效保护。为加强计算机网络信息安全防范,要构建网络防火墙,遵循相关安全策略对两个以上网络间存在的传输数据包实施严格检查,并对网络通信的允许状态进行确定,对网络实际运行状态实施监视。通常,可对如下种类的网络防火墙进行构建:(1)包过滤型防火墙。此类防火墙对分包传输技术进行采用,对数据包所含的地址信息进行读取,在此基础上,对数据包来源站点的安全性进行判断,若数据包来自于危险站点,防火墙将拒绝数据包进入内部网络。(2)地址转换型防火墙。此类防火墙对内侧IP地址进行转换,使之成为临时的外部注册IP地址。内部网络对Internet进行访问,则对真实IP地址实施对外隐藏。外部网络借助网卡对内部网络进行访问,无法获知内部网络的实际连接情况,仅能借助一个开放IP地址以及端口对访问进行请求。(3)代理型防火墙。此类防火墙,具体位于客户端以及服务器二者之间,完全实现了对二者数据交流的有效阻挡。若客户端需对服务器相关数据进行使用,需先对代理服务器发出相应的数据请求,代理服务器基于数据请求向服务器进行数据索取,索取成功后将数据对客户端进行传输。外部系统以及内部服务器二者间并不存在直接数据通道,因此,外部侵害难以实现对内部网络系统的伤害。(4)监测型防火墙。此类防火墙能主动实施对各层数据的实时监测,并对各层数据进行深入分析,进而对存在于各层的非法侵入进行有效判断。同时,此类防火墙配置了分布式探测器,并将之在各类应用服务器以及网络节点中进行安置,一方面能实现对外部网络攻击的有效检测,另一方面能有效防范内部存在的恶意破坏[6]。
漏洞是指计算机网络或系统弱点,诸如硬件设备缺陷、软件程序缺点、功能设计不完善以及相关配置失当等。各类软件系统难免存在漏洞。黑客以及病毒通常借助漏洞对计算机网络及用户实施攻击。若计算机网络以及系统程序存在漏洞,将引发各类安全隐患。为实现对漏洞的有效弥补,软件厂商会基于漏洞特点发布相应的补丁程序。为加强计算机网络信息安全防护,可有针对性地对漏洞补丁程序进行安装,避免漏洞带来的安全隐患。可借助漏洞扫描器对漏洞进行扫描,还可借助各类防护软件,对漏洞进行扫描并对相应的漏洞补丁进行下载。
应用数字签名和文件加密技术,能增强数据信息的安全性和保密性,并有效防止黑客对秘密数据信息进行非法窃取和破坏。数字签名和文件加密技术主要包括以下三种:(1)数据传输加密。该技术主要对处于传输过程中的数据流进行加密,通常包括两种,一种是线路加密,一种是端对端加密。前者将路线作为侧重点,未对信源及信宿进行考虑。对于通过不同线路的保密信息,采用各类加密密钥对之进行安全保护。后者是由发送者借助加密软件、加密技术等对所发送的信息以及文件进行加密处理,对明文进行加密处理,使之成为密文。当信息及文件传输到其目的地后,收件人借助相应密钥对信息或文件实施解密,将之恢复为明文,对数据信息进行读取。(2)数据存储加密。该技术能防止数据信息在存储环节出现失密。通常包括两种,一种是密文存储,一种是存取控制。前者通常借助各类方法,诸如加密模块、加密法转换以及附加密码等对存储的本地文件实施加密,并进行数字签名处理。后者是通过严格审查和有效显著用户资格及其权限,有效防止非法用户对数据进行存取,并防止合法用户对数据信息进行越权存取[7]。(3)数据完整性鉴别。该技术主要通过验证介入信息的实际传送和存取、处理人的真实身份以及相关数据的具体内容,增强保密效果,通常要鉴别口令、数据、密钥等各项内容。系统对对象输入具备的特征值进行验证,判断其是否与预先设定的相关参数符合,对数据进行有效的安全保护。
数字签名,能实现对网络通信安全问题的有效解决,能准确辨认和有效验证电子文档,有效保障数据具有良好的完整性。在数字签名各类算法中,Hash签名、RSA签名以及DSS签名具有最为广泛的应用。数字签名通常包括以下几种实现形式:(1)一般数字签名。发送方A要将信息M发送给接受方B,先借助单向散列函数,对信息M进行处理,使之成为信息摘要MD,再实施签名。据此对信息来源进行确认,并确保信息具有良好的完整性。(2)借助非对称加密算法或者采用单向散列函数实施有效的数字签名。该法借助公开密钥以及私有密钥对数据分别实施加密处理以及解密处理。若借助公开密钥对相关数据实施加密处理,必须采取与之对应的私有密钥,方能实现有效解密。同理,若借助私有密钥对相关数据实施加密处理,必须采取与之对应的公有密钥,方能实现有效解密。在该方法下,只有用户拥有信息发送方相应的公开密钥,即可对数字签名是否具有正确性进行验证。信息发送方相应的私有密钥具有保密性,接收方可将验证结果作为根据对该报文进行拒收,也可阻碍对报文签名进行伪造或者修改报文。(3)借助对称加密算法,实施数字签名。该法通常采用相同的加密及解密密钥。在对称加密算法中,加密方及解密方对密钥进行采用均需保守秘密。该法具有较快的计算速度,常用来对大量数据库文件实施加密处理。(4)接收方不可抵赖数字签名。该法能有效防止发送方及接收方的抵赖行为,对高要求的通信场合具有较强的适用性。但该法存在过多的加密及解密次数,对数据传输的实际效率造成了不良影响。(5)基于时间戳的数字签名。该法对时间戳这一概念进行了引入,实现了对加密及解密次数以及确认时间的有效减少,能确保数据实现安全可靠的传输,并杜绝发送方及接收方的抵赖行为,还能促进数据加密、解密以及数据传输实际效率的大幅度提高,对高要求的数据传输场合具有较强的适用性。
黑客主要借助网络探测技术对目标计算机所含的机密信息进行探测,其主要目的,是对目标主机相应的IP地址进行非法获取。在计算机网络信息安全中,IP地址占据着关键性地位,若黑客实现了对目标计算机相应IP地址的非法获取,即掌握了网络攻击的具体目标。黑客即可借助各类技术手段和工具,诸如dos攻击以及flood溢出攻击等攻击IP地址。因此,加强计算机网络信息安全防护,可采取有效方法隐藏IP地址。通常,可借助代理服务器或路由器NAT地址转换实现对IP地址的有效隐藏。黑客在对IP地址进行探测时,仅能探测获知代理服务器或路由器相应的IP地址,无法实现对目标计算机相应的IP地址的有效获取,难以对之进行攻击,这就有效保障了计算机安全。
入侵检测综合了多种技术,诸如统计、网络通信、密码学、人工智能等,能实现对计算机网络和系统的有效监控,能及时发现各类非法入侵征兆。常用的入侵检测技术主要有以下两种:(1)签名分析法。该法是针对攻击系统弱点的行为进行监测。借助该法,从攻击模式中对其签名进行归纳,并将之编写入Ds系统相应代码,实现模块匹配操作。(2)统计分析法。基于统计学相关理论,在系统正常运行状态下,对相应动作模式进行观察,并据此对具体动作进行辨别,避免相关动作对正常轨道出现偏离。
设置访问权限,能实现对计算机网络信息安全的有效防护。通常,用户可对动态口令、静态密码以及指纹识别等进行设置,强化访问权限设置。动态口令,实质是对计算机网络系统实施随机加密,每间隔一定时间,即对密码进行更换,能有效防止黑客破译密码,避免黑客对计算机网络系统相应的终端数据库进行攻击。静态密码以及指纹识别,是指计算机网络系统相应的管理人员在数据库中输入自身的指纹信息以及静态密码。开始使用计算机时,需在登录页面对密码进行输入,或者开启指纹识别打开计算机网络系统,能有效增强计算机网络系统的安全性,能防止黑客和不法分子对计算机网络系统存储的数据信息和相关资料进行非法窃取。
用户在使用计算机网络过程中,要强化计算机网络信息安全意识,并采取各类安全防护措施。用户对相关账户及密码进行设置,要有意识地增强账号及密码的难度,并对隐私密码进行及时更新。同时,用户借助网络查询信息,要注意对浏览网站是否具备安全性进行辨别,避免点击存在安全隐患的网页以及陌生文件,避免对各类不健康网站进行浏览,接收电子邮件时不打开陌生的邮件,更不要下载和打开未知的附件。用户要从可靠的资源网站下载应用程序和文档,不下载和安装来历不明的应用程序和软件。用户要有意识地排除计算机网络中存在的各类安全隐患,定期对计算机网络实施安全检查和维护。用户要定期异地备份重要的应用程序和文档,必要时可以加密存储备份的资料,以便系统软件或硬件出现故障时快速回复重要的数据。
综上所述,计算机网络信息安全对于维护计算机网络系统的正常安全运行、保护计算机用户的隐私和合法权益、遏制计算机和互联网犯罪,保障国家和人民利益,维护国家安全和社会稳定具有至关重要的意义。计算机网络信息安全存在的主要问题包括病毒传播、黑客攻击、系统漏洞、网络诈骗以及硬件问题和用户问题等。对此,要通过应用计算机杀毒软件、构建网络信息安全防火墙、安装漏洞补丁程序、应用数字签名和文件加密技术、隐藏IP地址、加强网络监控和入侵检测、设置有效的访问权限、强化计算机网络信息安全意识等策略加强计算机网络信息安全防护。