賴劍巖

摘要：計算機網絡信息安全是互聯(lián)網健康發(fā)展的關鍵因素，也是保護企業(yè)網絡計算機信息資源的重要前提。當今信息技術發(fā)展迅猛，信息被泄漏，用戶上網使用的計算機被電腦駭客侵入的事件時有發(fā)生，計算機網絡信息安全成為一個不容忽視的重要問題。為更好的維護企業(yè)計算機網絡信息系統(tǒng)，該文主要闡述了企業(yè)計算機網絡信息安全隱患、及其防護工作，結合企業(yè)自身實際情況開展計算機網絡信息安全體系建設工作。

關鍵詞：網絡；信息；隱患；防護

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）27-6284-03

Abstract： The computer network information security is a key factor for the healthy development of the Internet， but also an important prerequisite for the protection of enterprise computer network information resources. The rapid development of information technology， information was leaked， Internet users use the computer by computer hacking incidents have occurred from time to time， the computer network information security becomes an important problem not to be ignored. For the maintenance of computer network information system of enterprises better， this paper mainly expounds the hidden trouble， the computer network information security and protection work of enterprises， combining the actual situation of the enterprises to carry out computer network information security system building work.

Key words： network； information； hidden danger； protection

1 計算機網絡信息安全隱患

1.1 網絡環(huán)境下計算機安全隱患

1.1.1 網絡環(huán)境下計算機操作系統(tǒng)本身存在安全隱患

計算機操作系統(tǒng)的漏洞與后門是計算機網絡條件下的主要安全隱患之一。在計算機連接網絡的時候電腦操作系統(tǒng)本身存在的漏洞有可能會導致系統(tǒng)無法運行，甚至死機。然而，計算機操作系統(tǒng)存在的漏洞就成為了計算機被入侵的重要路徑。很多安全隱患都是隱藏在文件傳輸?shù)倪^程中、軟件程序的下載與安裝及郵件收寄中，在這些文件里，通過文件感染計算機從而竊取機密信息。另外，操作系統(tǒng)的遠程調用功能也是安全隱患之一。

1.1.2 網絡環(huán)境下計算機的特點存在安全隱患

在網絡環(huán)境下計算機有以下特點：共享性，客戶端可以隨意瀏覽下載在網絡上的信息資源，而這些資源通常都是共享的，網絡資源可以互相利用，用戶都可以隨意使用，用戶也可以發(fā)布信息，用戶下載和發(fā)布的信息在Internet網絡中具有共享性。開放性，網絡是開放的技術，因此，計算機就會受到四面八方的攻擊，這些攻擊無處不在。全球性，網絡不屬于一個人，一個組織，一個國家，網絡屬于全世界所有人，計算機都是和全球的互聯(lián)網聯(lián)系在一起的，網絡計算機可能會受到局域網內部攻擊，也有可能受到全球范圍內連接互聯(lián)網的任何一臺計算機的入侵，因此，需要防御來自各個地方的網絡黑客與病毒的攻擊，計算機的風險也由此增加了。

1.2 計算機機房安全隱患

計算機機房必須有專門人員進行值守，機房的值守情況和人員進入機房情況應當進行嚴格記錄。機房整體結構是否達到承重要求；機房隔離門防火性能是否良好，一旦發(fā)生火災能否及時對火情進行隔離控制。采取防水措施是否得當，機房是否安裝對水敏感的檢測儀表或元件，一旦發(fā)生機房窗戶、屋頂和墻壁滲透水的情況下如何判斷機房是否存在漏水、積水或返潮等現(xiàn)象。關鍵設備和磁介質是否位于電磁屏蔽的環(huán)境內。

1.3 安全管理方面的隱患

1.3.1 管理制度缺乏

企業(yè)信息安全管理制度缺乏，信息安全管理制度的制定與發(fā)布缺少嚴格的評審流程，并缺乏制度評審和修訂記錄。每次對系統(tǒng)進行變更，涉及重要的操作、物理訪問、還有系統(tǒng)接入等重要事項的時候審批流程不明確，沒有對審批過程保留應有的記錄。實施安全檢查工作不到位，不能按時匯總安全檢查數(shù)據(jù)同時形成安全檢查報告。沒有配備專門崗位的網絡信息安全管理員，關鍵事務崗位是否配備多人共同管理。是否定期進行信息安全教育和培訓，包括培訓周期、方式、內容和考核方式等相關內容。

1.3.2 網絡信息系統(tǒng)安全管理

是否經常對服務器系統(tǒng)漏洞掃描，當發(fā)現(xiàn)系統(tǒng)安全存在漏洞的時候，需要及時進行計算機修補，同時做好系統(tǒng)漏洞掃描報告匯總。是否定期對系統(tǒng)運行日志和審計數(shù)據(jù)進行分析，以便及時發(fā)現(xiàn)異常行為。是否對截獲的計算機病毒、木馬或惡意代碼程序及時進行分析處理，并匯總報表和寫書面報告，是否制定數(shù)據(jù)備份和恢復策略。

1.3.3 存儲介質和設備管理

是否定期對存儲介質使用現(xiàn)狀進行檢查，定期對存儲介質的完整性（數(shù)據(jù)是否損壞或丟失）和可用性（介質是否受到物理破壞）進行檢查，是否有對存儲介質的歸檔、查詢和借用等情況的管理記錄。對各種軟硬件設備帶離辦公區(qū)域是否有進行申報和審批，各種軟硬件設備的帶入和帶離辦公區(qū)域，計算機容易受到病毒侵入，尤其是從外部帶入的U盤，移動硬盤等存儲設備在沒有經過病毒掃描處理的情況下極有可能已經受到病毒感染。

1.3.4 缺少應急預案管理

在統(tǒng)一的應急預案框架下缺少不同事件的應急預案。是否對與系統(tǒng)有關的工作人員定期進行應急預案教育培訓。是否每年對原有的應急預案進行重新評估，并根據(jù)安全評估結果進行定期修訂、演練。

2 計算機網絡信息安全防護

計算機網絡信息安全一般是指在互聯(lián)網中使用網絡管理技術及其控制手段，保證接入網絡中（通常指Internet）的計算機的邏輯安全，數(shù)據(jù)信息資源的保密性、完整性及可用性。有兩個方面需要得到保障：首先，要確保計算機系統(tǒng)設備和信息數(shù)據(jù)相關設施的物理安全，這些相關設備設施是不允許被破壞或丟失的。另外，就是要確保信息數(shù)據(jù)的可用性、完整性、保密性。

2.1在物理層面上網絡信息安全防護

創(chuàng)造一個安全的網絡物理環(huán)境是網絡計算機信息安全的重要保障。

2.1.1 機房以及相關硬件設備元件要確?？煽?/p>

確保機房和機房里配備的元件和設備硬件能夠防水、防火、防地震、防電磁干擾等突發(fā)事件，并且要做到每月一次定期檢查機房與設備元件是否出現(xiàn)不正?，F(xiàn)象，比如網線、光纖、電纜等是否有損壞、供電系統(tǒng)有沒有出現(xiàn)異常、噪音污染是不是太過嚴重等，一旦發(fā)現(xiàn)問題要及時采用措施補救。另外，沒有授權的人禁止進入機房重地，避免人為因素造成損失。

2.1.2 接入多條互聯(lián)網出口鏈路，加強上網終端設備管理

分別接入聯(lián)通出口，鐵通出口與電信出口等多條出口鏈路，結合鏈路負載均衡設備，形成從內到外，從外到內的流量負載，保證每條鏈路的充分利用。登記終端設備的使用者、使用者部門、使用者房間號和MAC地址的對應關系，收集該信息點的網絡接入端口信息。利用DHCP服務器，通過DHCP提供保留功能的方式，將員工的終端MAC形成固定的IP對應關系，在核心交換機上，通過開啟DHCP SNOOPING等，實現(xiàn)IP和MAC對應；保證只有指定的DHCP服務器能提供DHCP服務，禁止其他無線路由器等自帶的DHCP功能。完善客戶端使用制度和網絡管理制度，要求員工嚴格按照制度執(zhí)行。

2.2 在技術層面上網絡信息安全防護

2.2.1 計算機病毒防范技術

網絡病毒、木馬與后門等惡意代碼隨著網絡計算機技術的不斷發(fā)展越來越猖獗，其對網絡計算機系統(tǒng)造成的危害日益突出，用戶通常使用安裝防病毒軟件的辦法來防止網絡病毒的攻擊，一旦有網絡病毒威脅計算機，網絡防病毒軟件能夠立即發(fā)現(xiàn)并清除病毒。市面上得到較廣泛使用的網絡病毒查殺工具有奇虎360安全衛(wèi)士、卡巴斯基、NORTON、瑞星殺毒軟件等，這些常用殺毒軟件可以滿足網絡計算機用戶的一般需求。

2.2.2 正確配置防火墻抵御網絡病毒攻擊

防火墻是網絡通訊防范安全隱患的常用技術，可以實現(xiàn)物理隔離，將重要的和不重要的服務器放在不同的區(qū)域，物理上分段隔開。當用戶訪問服務器的時候，正確設置防火墻的控制訪問的權限，允許授權用戶進入網絡，沒有經過授權的用戶禁止訪問，這樣就可以防止服務器遭受惡意攻擊，保證網絡計算機系統(tǒng)的數(shù)據(jù)信息安全。比如將公司比較重要的財務數(shù)據(jù)，客戶信息放在內網核心區(qū)，方便高層與財務人員訪問數(shù)據(jù)，將BBS服務器，WEB服務器放在內墻與外墻之間的DMZ區(qū)，方便外部訪問。

2.2.3 網絡加密與認證技術

網絡協(xié)議從設計之初即沒有考慮過加密，也沒有考慮過認證，加密與認證技術是數(shù)據(jù)安全的核心技術，加密與認證是指數(shù)據(jù)在通訊的過程中采用運算法則使數(shù)據(jù)信息重新編碼，沒有得到密鑰的用戶是不能得到數(shù)據(jù)信息內容，這樣就保證了數(shù)據(jù)信息在通訊過程中的安全。

2.2.4 網絡系統(tǒng)入侵檢測技術

入侵檢測技術可以比喻成巡邏保安隊的作用，對進入到網絡系統(tǒng)內的可疑代碼進行偵別，采取有效的處理措施，保證網絡系統(tǒng)安全。是完善防火墻功能、保證網絡安全的新型技術。入侵檢測技術可以在第一時間檢測發(fā)現(xiàn)網絡威脅并對其進行分析，做出快速的響應機制，保證網絡系統(tǒng)不受破壞，是全面保護網絡計算機系統(tǒng)安全的重要技術。

2.2.5 數(shù)據(jù)的備份和存儲技術

為了保證數(shù)據(jù)安全和出現(xiàn)故障能有效恢復，數(shù)據(jù)存儲和備份至關重要，利用備份好的數(shù)據(jù)來恢復整個系統(tǒng)，包含用戶數(shù)據(jù)，系統(tǒng)參數(shù)和環(huán)境參數(shù)等。數(shù)據(jù)備份前要認真仔細考慮備份周期、時間、方式、異地存儲方式、存儲介質、信息資源數(shù)據(jù)保證等，采用全備份與增量備份方式。全備份的優(yōu)點是可靠性較高、恢復時間短；全備份缺點是占用資源多、備份時間長，同時也占用較多的備份存儲介質。增量備份優(yōu)點是備份時間短、占用資源少，同時對備份介質的占用量也較小。在選擇好備份方式后需要進一步制定好備份周期及時間，定期進行備份工作。備份本身就是為了保障數(shù)據(jù)的安全，以保證在發(fā)生災難后能夠及時恢復業(yè)務。全備份數(shù)據(jù)存儲在移動硬盤上，增量備份數(shù)據(jù)存儲在公共磁盤和光盤上，采用全備份和增量備份相結合，移動硬盤存儲和光盤刻錄相結合，保證數(shù)據(jù)的完整性和災難恢復準確性。

2.3 管理制度層面防護

2.3.1 完善信息安全管理制度

建立完善在網絡信息安全相關管理制度并要求企業(yè)員工嚴格執(zhí)行。建立安全管理制度保證網絡計算機的安全，如網絡計算機運行維護管理制度、網絡管理員管理制度、文檔資料管理制度、機房安全管理制度等一系列的管理制度和規(guī)定，按照制度辦事，為了網絡計算機的安全需要通過這些安全管理制度、規(guī)定來保證。工作人員必須自覺遵守規(guī)章制度，只有這樣才能充分體現(xiàn)安全管理制度的作用。針對安全管理制度，應當定期的組織人員進行管理制度的評審與修訂，不斷完善制度，使管理制度更好的發(fā)揮管理作用；對于管理制度的落實，應當建立起監(jiān)督管控機制，對管理制度的落實進行審計與檢查，督促管理制度的落實。

2.3.2 完善信息安全管理機構設置與人員配置

在機構人員配置方面，應建立信息安全領導小組和工作小組，并配置一名專職的信息安全管理員、具體負責信息安全管理工作，關鍵事務崗位配置多人共同管理，形成權限的相互制約，權限最小化。加強對重要操作、系統(tǒng)變更、系統(tǒng)接入和物理訪問等重大事項的審批管理，并形成審批記錄匯總，定期查看審核。

2.3.3 加強管理養(yǎng)成良好的信息安全行為習慣

在公司層面加強管理，各種規(guī)章制度嚴格執(zhí)行，開展網絡安全培訓，提高用戶的安全意識，避免企業(yè)內部安全隱患的發(fā)生對企業(yè)網絡安全尤為重要。進行信息安全意識和信息安全行為習慣的培訓和教育，明確信息安全的重要性和緊迫性，掌握正確的信息安全知識，養(yǎng)成良好的信息安全行為習慣，加強對內網終端用戶的安全管理，使員工在日常工作和生活中自覺保護企業(yè)信息資源安全。

3 結束語

計算機網絡信息安全隱患防護要素和環(huán)節(jié)很多，專業(yè)性強，在掌握和了解信息安全的基礎上選擇優(yōu)秀的信息安全服務商是解決人手不足、資源不足、知識更新?lián)Q代快的有效辦法，需要建立信息安全方案、信息安全產品和信息安全服務商的評選準則和評選標準。在日常工作中需要做好防御措施，定時進行病毒掃描，及時更新病毒庫、及時給系統(tǒng)及軟件打補丁、安裝更新，不隨意點不熟悉的網址，不接收陌生人傳輸?shù)奈募浑S意下載軟件或加載控件，避免計算機受到病毒、木馬、駭客的入侵，設置一個安全密碼，確定在每個網站和在線服務中使用不同的密碼，使用這些最基本的簡單有效方法，因為，百分之九十九的惡意代碼能夠生效的原因在于用戶沒能做到這些最基本的事情來防止危險的發(fā)生。

參考文獻：

[1] 宋超臣.計算機安全漏洞檢測技術綜述.2012（01）.

[2] 譚丹丹，譚晶晶.計算機安全問題剖析[J].科技信息，2012（01）.

[3] 李培強，鄭鐵成.企業(yè)計算機安全運行的研究和解決[J].計算機光盤軟件與應用，2011（12）.

[4] 黃梯云.管理信息系統(tǒng)[M].高等教育出版社，2005.