浅谈计算机网络的潜在危险和安全性对策

1、论文编号：浅谈计算机网络的潜在危险和安全性对策陈 久内容提要：随着信息化建设步伐的不断加快，计算机网络技术在生活和日常办公的应用日趋广泛。但从整体情况看，计算机网络信息安全还存在很多问题，网络安全工作明显滞后于网络建设。浅谈现阶段网络安全存在的问题，从网络安全技术及网络安全潜在威胁原理两方面提出相应的解决对策。 关键词： 计算机网络 潜在危险 信息安全对策 随着全球信息化建设的高速发展，网络中接入信息基础设施的数量不断增加。作为税务部门，加快税务机关的信息化建设，建立电子税务，来推动电子税务的发展也是当前之急所谓电子税务，通俗地讲就是把税务机关的各项职能搬到网上，实现网上办公、网上征管、网上稽

2、查、网上服务、网上专用发票认证等。它首先要求各级税务机关在公众信息网上建立自己的站点，提供税务机关信息资源和有关的应用项目。在此基础上进一步实现税务网站与办公自动化联通，与税务机关各部门的职能紧密结合，把税务机关的站点变成为民服务的窗口。但随信息系统软件建设水平日益提高和完善，计算机网络信息的安全问题变得日益突出。如果不能很好解决存在于计算机网络中的安全隐患问题，将会引起税务内部泄密事件和网络被攻击事件的发生，更会严重影响到计算机网络技术在电子信息化建设中的推广和应用。分析和了解现阶段计算机网络安全相关潜在威胁原理和存在的问题，并找出相应的对策，对当前税务的计算机网络安全的建设及未来发展形态具

3、有十分重要的意义。 一、计算机网络存在的潜在危险现代网络应用的社会化和商业化，打破了早期技术极限，共享、开放，形成一种让计算机使人们的生活得更加美好的理念，因而现代网络存在的种种潜在危险就是社会发展过程中的一种必然结果。（一）网络环境的潜在危险 1病毒感染的风险现代病毒可以借助文件、由文件、网页等诸多力式在网络中进行传播和蔓延，它们具有自启动功能，“常常”潜入系统核心与内存，为所欲为。计算机经常受感染，它们就会利用被控制的计算机为平台，破坏数据信息，毁损硬件设备，阻塞整个网络的正常信息传输，甚至造成整个计算机网络数据传输中断和系统瘫痪。早期的病毒都是附属到某个常见程序中的一小段代码。当用户执行

4、合法程序时，病毒会先运行。这种病毒首先会将自身加载到内存中，然后查找磁盘上是否还有其他程序。如果它找到另外一个程序，它就会修改这个程序，将自己的代码添加到这个不受怀疑的程序中。接着，病毒会启动这个“真正的程序”。而用户根本无法知道病毒曾运行过。遗憾的是，病毒已经复制了自己，因此现在已有两个程序被感染了。下次只要执行这两个程序中的任何一个，病毒就会再感染其他程序，而且这个过程会一直循环下去。如果受感染的程序通过软盘传播给另外一个用户，或是上传到公告板中，那么其他程序就会受到感染。这就是病毒传播的原理。传播的过程是病毒的感染阶段。如果病毒只是不断复制自身的话，它们还不会让人如此深恶痛绝。但遗憾的是

5、，绝大多数病毒都有某种破坏性的攻击阶段，它们会在这个阶段进行一些破坏活动。某种类型的触发器会激活病毒的攻击阶段，然后它们就会“采取行动”- 从屏幕上输出一封无聊的邮件到擦除你的所有数据，这些病毒无所不能。触发器可能是某个特定日期，或是病毒被复制的次数，或是其他诸如此类的事情。计算机病毒的种类很多，据资料统计，目前已发现的计算机病毒约有5000多种，而且极易生成许多新的变种病毒。2信息传输的安全可靠性问题隐私及税务涉密信息存储在网络系统内，很容易被搜集而造成泄密。这些涉密资料在传输过程中，由于要经过许多外节点，且难以查证，在任何中介节点均可能被读取或恶意修改，包括数据修改、重发和假冒。 计算机网

6、络发展的最终目的还是资源共享，在这之中信息的传输就是不可避免。随之而来的就是安全问题。以图解来讲解传输过程中的出现的可能情况： 信源 信宿 第三方（1）正常流动 （2）中断（3）截取（4）修改（5）捏造3网络外部、内部攻击的潜在威胁。网络中任何一台无防备的电脑都很容易受到局域网外部的入侵，修改硬盘数据，种下木马等。入侵者会有选择地破坏网络信息的有效性和完整性，或伪装为合法用户进入网络并占用人量资源，修改网络数据、窃取、破译机密信息、破坏软件执行。在网络内部，则会有些非法用户冒用合法用户的口令以合法身份登录网站后，查看机密信息，修改信息内容及破坏应用系统的运行。最常见得攻击有：（1）闯入。他们闯

7、进计算机里，就像普通合法用户一样使用你的电脑。闯入的手段是比较多的：一种是猜测用户的密码。有许多用户并不重视自己的密码，服务器里至少有百分之五的用户密码设置的很简单和易猜的。这就给别人有可趁之机。另一种是扫描整个系统，发现软硬件的漏洞、服务端口的不当开放或配置错误，已获得系统的进入权。（2）电子欺骗。结合DOS技术的技巧性攻击。它包括了IP spoofing、Web spoofing、DNS spoofing及fake mail等。IP spoofing是利用面向连接的TCP协议三次握手的机会，在合法通信双方进行第二次握手后，攻击者用DOS技术将其中一用户 down掉，然后以另一用户的身份进行

8、握手，从而使其变成合法的连接者。（3）拒绝服务。这是一种远程摧毁或中断对方机器功能或服务的攻击方式。攻击的手段也是多种多样的，最早出现的事叫“邮包炸弹”。攻击者用程序不断的向被攻击者的邮箱发送大量邮件，同时藏匿自己的地址信息，以至于计算机无法处理大量邮件信息，导致服务系统崩溃。 （二）内在治理风险治理风险是指由于治理体制的偏差、治理制度的不完善导致具体治理过程中出现漏洞而给计算机及网络系统带来的额外的风险。 1、体制风险。治理上缺乏统一的组织和领导所引发的风险。在信息治理方面往往只注重计算机在税务电子化业务中的应用，过分强调科技的服务职能，而忽略了计算机安全治理工作。2、制度风险。在税务电子化

9、业务中，由于制度制定有漏洞或执行不到位所造成的潜在风险。网络安全运行治理、密码专人治理、操作员治理、数据备份媒体存放治理等制度还有待于进一步完善。3、人员素质风险。因人员素质参差不齐而引发计算机及网络系统的风险。当期基层税务机关干部素质还不能与先进的治理手段、先进的治理工具的要求相适应；在具体的业务操作中更是无法有效的利用现有的资源。也正因此，人员素质的滞后对计算及网络的安全同样是一个潜在的风险。二、计算机网络安全的对策 解决计算机网络中的安全问题，关键在于建立和完善计算机网络信息安全防护体系。总体对策是在技术层而上建立完整的网络安全解决方案，在管理层而上制定和落实一套严格的网络安全管理制度。

10、（一）网络安全技术对策 1.防火墙 防火墙是建立在被保护网络与不可信网络之间的一道安全屏障，用于保护企业内部网络和资源。它在内部和外部两个网络之间建立一个安全控制点，对进、出内部网络的服务和访问进行控制和审计。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，本质上是一个独立的进程或一组紧密结合的进程，通过监控内部网和公共网络之间的任何活动，确保一个我们的内部网络和外部网络之间所有的通信均符合安全策略。外面可以将防火墙配置成过滤掉以内部网络地址进入路由器的IP包，这样可以防范源地址假冒和源路由型的攻击；过滤掉离开内部网络IP包，防止内部网络发起的对外攻击。同时建立内网计算机的IP地址和

11、MAC地址的对应表，防止IP地址被盗用。定期检查看防火墙的访问日志，及时发现攻击行为和不良使用记录，允许通过配置网卡对防火墙进行设置，提高防火墙的管理的安全性。2.虚拟局域网 选择虚拟局域网(VLAN)技术可从链路层实施网络安全。VLAN是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。该技术能有效地控制网络流量、防止广播风暴，还可利用MAC层的数据包过滤技术，对安全性要求高的VLAN端口实施MAC帧过滤。而且，即使黑客攻破某一虚

12、拟子网，也无法得到整个网络的信息。3.检测 检测分为两种：漏洞检测和入侵检测。漏洞检测就是对重要计算机系统或网络系统进行检查，发现其中存在的薄弱环节和所具有的攻击性特征。通常采用两种策略，即被动式策略和主动式策略。被动式策略基于主机检测，对系统中不合适的设置、口令以及其他同安全规则相背的对象进行检查；主动式策略基于网络检测，通过执行一些脚本文件对系统进行攻击，并记录它的反应，从而发现其中的漏洞。漏洞检测的结果实际上就是系统安全性的一个评估，它指出了哪些攻击是可能的，因此成为安全方案的一个重要组成部分。漏洞检测系统是防火墙的延伸，并能有效地结合其他网络安全产品的性能，保证计算机系统或网络系统的安

13、全性和可靠性。入侵检测系统将网络上传输的数据实时捕获下来，检查是否有黑客入侵或可疑活动的发生，一旦发现有黑客入侵或可疑活动的发生，系统将做出实时报警响应。一个好的安全网络应该是由主机系统、应用和服务、路由、网络、网络管理及管理制度等诸多因数决定的，但所有的防御措施对信息安全管理者提出了挑战，他们必须分析采用哪种产品能够适应长期的网络安全策略的要求，而且必须清楚何种策略能够保证网络具有足够的健壮性、互操作性并且能够容易地对其升级。4. 加密技术和认证技术由于因特网本身的不安全性，在传输文件的同时需要进行加密处理，使得第三方即使取得加密的资料也无法获取正确的资料内容。数据加密可以保护数据，防止监听

14、攻击。加密的方法有很多种，如替换、易位、DES（Data Encryption Standard）、RSA（Rivest、Simmir and Adlennan）等。除去加密之外，网络安全系统的另一个重要方面是防止分析人员对系统进行主动攻击，如伪造、篡改信息等。认证则是防止主动攻击的重要技术，它对于开放环境中的各种信息系统的安全有重要作用。认证的主要目的有两个：一是信源识别；二是完整性验证。目前有关的认证的使用技术主要有：消息认证、身份认证和数字签名。将三种联系在一起就是验证消息的真实性、完整性和接受和发送户的不可诋毁性。5病毒防卫体系在每台PC计算机上安装单机版反病毒软件，在服务器上安装基于

15、服务器的反病毒软件，在网关上安装基于网关的反病毒软件。同时要在路由器端有一些监测系统，保证病毒库的及时更新，查找系统漏洞并及时升级补丁，关闭一些不必要的服务等措施，确保系统稳定运行。随着信息系统工程开发量越来越大，致使系统漏洞也成正比的增加，受到攻击的次数也在增多。相对滞后的补救次数和成本也在增加，所以增强安全意识，也是势在必行。（二）网络安全管理对策 1强化思想教育、加强制度落实是网络安全管理工作的基础。搞好网络安全管理，首要认真学习有关法规文件和安全教材，增强网络安全观念，增长网络安全知识。还可以通过举办信息安全技术培训、等系列活动，使广大税务干部牢固树立信息安全领域没有“和平期”的观念，

16、在每个人的大脑中筑起网络信息安全的“防火墙”。 2制定严格的信息安全管理制度。设立专门的信息安全管理机构，人员应包括领导和专业人员。按照不同任务进行确立各自的职责。根据工作的特点制定系列的规章制度和划分相关系统计入的权限。并规定计算机不得随意安装来路不明的软件、不得打开陌生邮件，对违反规定的进行处理等等。3重视网络信息安全人才的培养。加强计算机网络管理人员的培训，使网络管理人员熟练通过计算机网络实施正确的指挥和对信息进行有效的安全管理，保证网络信息安全性和传输的畅通性.三、技术链接 1976年美国学者提出的公开密钥密码体制，克服了网络信息系统密钥管理的困难，同时解决了数字签名问题，它是当时研究

17、的热点。由于计算机运算速度的不断提高，各种密码算法面临着新的密码体制，如量子密码、DNA密码、混沌理论等密码新技术正处于探索之中。因此网络安全技术在21世纪将成为信息网络发展的关键技术。在目前网络安全技术研究中，IPv4被 IPv6的替换将是必然。随着协议的不断发展和完善，IPv6过度机制定义了一系列用于的IPv4到 IPv6过度机制且建立了实验网，验证了丰富的地址资源使将来每个接入设备都可以拥有一个唯一的、可被路由的IP地址。简化了部首格式，满足网络环境的发展。IP协议将成为安全保障的核心。了解相关当前网络科技发展的态势，有利于对信息安全性进行战略部署，从长远角度为网络安全做好准备。四小结从理论上说，一个网络系统越安全越好，但是绝对的安全可靠的系统并不存在。随网络的普及，计算机网络技术的蓬勃发展，新技术层出不穷，不可避免的出现新的漏