電腦數(shù)據(jù)信息安全隱患的解決方法

王一竹

（四平市衛(wèi)生健康委員會(huì) 吉林省四平市 136000）

隨著信息技術(shù)的高速發(fā)展，電腦在處理文字信息、數(shù)據(jù)信息、圖片信息以及視頻信息等方面的能力也在不斷增強(qiáng)，可及時(shí)、全面、充分地滿足廣大工作人員的辦公室需求。但是，由于網(wǎng)絡(luò)具有開放性和交互性等特征，辦公軟件和數(shù)據(jù)信息等容易受到病毒感染、黑客攻擊以及惡意軟件入侵。我們?nèi)嬗行У貙⒎阑饓夹g(shù)應(yīng)用于辦公電腦中，才能對(duì)影響數(shù)據(jù)信息安全的不確定因素進(jìn)行全面的控制。此外，對(duì)于醫(yī)療衛(wèi)生系統(tǒng)而言，其在日常工作中會(huì)涉及到大量的用戶信息和機(jī)密文件，一旦信息泄露或丟失，就會(huì)給國家、社會(huì)乃至每一位用戶造成難以估計(jì)的財(cái)產(chǎn)損失，因此，提升辦公電腦數(shù)據(jù)信息安全，已成為制約辦公室工作質(zhì)量和工作效率的關(guān)鍵所在。綜上所述，對(duì)本課題進(jìn)行深入的分析與研究，具有十分重要的意義。

1 辦公電腦數(shù)據(jù)信息安全問題

1.1 辦公電腦聯(lián)網(wǎng)后引起的信息安全問題

工作人員在開展辦公業(yè)務(wù)時(shí)，為了能夠充分滿足信息交互和資源共享等辦公需求，通常會(huì)將電腦與局域網(wǎng)和互聯(lián)網(wǎng)進(jìn)行連接。但與此同時(shí)，此特性也在一定程度上威脅著數(shù)據(jù)信息的安全性和穩(wěn)定性[1]。這就需要我們建立安全性能高的數(shù)據(jù)存儲(chǔ)、處理、傳輸?shù)裙芾硐到y(tǒng)，防止辦公電腦受到病毒入侵、黑客非法盜取數(shù)據(jù)信息等不安全情況的出現(xiàn)。就目前而言，影響辦公電腦數(shù)據(jù)信息安全性和穩(wěn)定性的因素主要是互聯(lián)網(wǎng)及局域網(wǎng)。例如，網(wǎng)絡(luò)攻擊、病毒侵害、垃圾郵件等均是計(jì)算機(jī)來接網(wǎng)絡(luò)后產(chǎn)生的數(shù)據(jù)信息安全風(fēng)險(xiǎn)。隨著辦公軟件的不斷增多和瀏覽網(wǎng)站數(shù)量的持續(xù)增加，影響網(wǎng)絡(luò)信息安全的風(fēng)險(xiǎn)因素也在持續(xù)增多。例如，在未連接互聯(lián)網(wǎng)或使用局域網(wǎng)的情況下，計(jì)算機(jī)信息安全事故只會(huì)影響某一部門或某一臺(tái)電腦，引起的損害相對(duì)較小，但是，當(dāng)我們?cè)诰W(wǎng)絡(luò)環(huán)境下使用辦公電腦時(shí)，就會(huì)為安全事故的蔓延提供。防火墻指的是放置在計(jì)算機(jī)與外界網(wǎng)絡(luò)之間的防御系統(tǒng)，他通過判斷網(wǎng)絡(luò)發(fā)往計(jì)算機(jī)數(shù)據(jù)的種類、格式以及標(biāo)準(zhǔn)，決定是否將數(shù)據(jù)交給計(jì)算機(jī)，最終實(shí)現(xiàn)防止有害數(shù)據(jù)侵入計(jì)算機(jī)系統(tǒng)的目的，是目前使提升辦公電腦信息安全最有效、最廣泛的技術(shù)。

2 防火墻技術(shù)的分類

2.1 網(wǎng)絡(luò)防火墻

網(wǎng)絡(luò)防火墻安裝于負(fù)責(zé)內(nèi)外網(wǎng)絡(luò)轉(zhuǎn)換的網(wǎng)關(guān)服務(wù)器和個(gè)人計(jì)算機(jī)上，通常以邏輯形式存在于計(jì)算機(jī)系統(tǒng)中，并根據(jù)計(jì)算機(jī)系統(tǒng)啟動(dòng)防火墻程序。其通過Ring 0級(jí)別的驅(qū)動(dòng)把防御機(jī)制植入系統(tǒng)網(wǎng)絡(luò)接口設(shè)備與網(wǎng)絡(luò)處理模塊之間，形成具有邏輯聯(lián)系的防御體系[2]。在網(wǎng)絡(luò)防火墻技術(shù)沒有出現(xiàn)之前，網(wǎng)絡(luò)接口設(shè)備直接與計(jì)算機(jī)系統(tǒng)進(jìn)行連接，使得通過網(wǎng)絡(luò)上傳的各種資料、文件都被原封不動(dòng)的上傳至計(jì)算機(jī)系統(tǒng)中，在很大程度上增加了計(jì)算機(jī)感染病毒的風(fēng)險(xiǎn)。而網(wǎng)絡(luò)防火墻技術(shù)的運(yùn)用，會(huì)在報(bào)文傳輸至計(jì)算機(jī)系統(tǒng)之前根據(jù)事先設(shè)定的規(guī)則和標(biāo)準(zhǔn)判斷數(shù)據(jù)包是否安全可靠，同時(shí)選擇上傳安全數(shù)據(jù)包，丟棄其他未通過的數(shù)據(jù)包。另一方面，網(wǎng)絡(luò)防火墻安裝于系統(tǒng)與網(wǎng)絡(luò)驅(qū)動(dòng)器接口（NDIS）之間，它可以自動(dòng)核查NDIS傳輸?shù)臄?shù)據(jù)，在無需更改硬件設(shè)備的基礎(chǔ)上完成數(shù)據(jù)資料的審核工作，使用成本相對(duì)低廉。但是由于該技術(shù)的運(yùn)行在需要依賴計(jì)算機(jī)系統(tǒng)，所以會(huì)占用一定量的CPU資源，因此，網(wǎng)絡(luò)防火墻存在著降低系統(tǒng)工作效率和數(shù)據(jù)吞吐速度的缺陷。圖1為網(wǎng)絡(luò)防火墻示意圖。

圖1：網(wǎng)絡(luò)防火墻

2.2 計(jì)算機(jī)防火墻

計(jì)算機(jī)防火墻被安裝于兩個(gè)網(wǎng)絡(luò)的駁接處，利用網(wǎng)線連接外部網(wǎng)絡(luò)接口和內(nèi)部服務(wù)器，直接在網(wǎng)絡(luò)設(shè)備上識(shí)別和過濾有害的數(shù)據(jù)報(bào)文，以確保計(jì)算機(jī)防火墻后端的網(wǎng)絡(luò)和服務(wù)器所接收數(shù)據(jù)報(bào)文的安全性。當(dāng)前使用較為廣泛的計(jì)算機(jī)防火墻主要包含了普通計(jì)算機(jī)防火墻和芯片計(jì)算機(jī)防火墻兩種。其中普通計(jì)算機(jī)防火墻指的是由標(biāo)準(zhǔn)計(jì)算機(jī)硬件平臺(tái)、UNIX系列操作系統(tǒng)以及防火墻軟件等組成的防病毒體系，需要單獨(dú)使用一臺(tái)計(jì)算機(jī)安裝防火墻軟件，因此，會(huì)存在一定程度上的系統(tǒng)漏洞和不確定因素，安全性能相對(duì)較低；而芯片計(jì)算機(jī)防火墻則是為了提升計(jì)算機(jī)抵御病毒入侵能力而設(shè)計(jì)的應(yīng)用平臺(tái)和防毒軟件，具有較高的安全性和穩(wěn)定性，但價(jià)格相對(duì)昂貴[3]。圖2為計(jì)算機(jī)防火墻示意圖。

圖2：計(jì)算機(jī)防火墻

3 防火墻技術(shù)及其運(yùn)用策略

3.1 包過濾技術(shù)

由于計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)中的數(shù)據(jù)信息長期處于一種開放和共享的環(huán)境下，主機(jī)與用戶之間、用戶與用戶之間都是通過網(wǎng)絡(luò)進(jìn)行聯(lián)系，使得數(shù)據(jù)信息的泄密風(fēng)險(xiǎn)始終處于一個(gè)相對(duì)較高的水平。此外，由于計(jì)算機(jī)系統(tǒng)主要是通過登錄賬戶和密碼來識(shí)別用戶，為一些非法用戶或竊密分子就通過冒名頂替、長期試探等方式獲取用戶口令提供了機(jī)會(huì)，從而導(dǎo)致大量的數(shù)據(jù)信息被篡改或且取得情況出現(xiàn)。同時(shí)也為黑客、怪客等可以通過互聯(lián)網(wǎng)向電腦植入木馬程序、惡意軟件等方式竊取辦公電腦內(nèi)部資料提供了便捷的渠道。包過濾技術(shù)作為防病毒領(lǐng)域最早普及的一種防火墻技術(shù)，可有效識(shí)別存在風(fēng)險(xiǎn)的數(shù)據(jù)信息并阻止其進(jìn)入計(jì)算機(jī)系統(tǒng)，主要包含了靜態(tài)包過濾防火墻技術(shù)和動(dòng)態(tài)包過濾軟件技術(shù)，靜態(tài)包過濾防火墻技術(shù)主要監(jiān)控TCP和IP協(xié)議等通道的數(shù)據(jù)報(bào)文，對(duì)數(shù)據(jù)包的頭部、地址、端口、協(xié)議以及類型等信息進(jìn)行分析和判斷，確定其是否符合預(yù)先設(shè)定的防火墻過濾規(guī)則，當(dāng)出現(xiàn)數(shù)據(jù)包與過濾規(guī)則的匹配結(jié)果為阻止時(shí)，系統(tǒng)救過自動(dòng)丟棄這個(gè)數(shù)據(jù)包[4]。因此，要想增強(qiáng)防火墻的性能，我們?cè)谥贫ㄟ^濾規(guī)則時(shí)，就必須要全面、精準(zhǔn)地制定過濾規(guī)則，如果出現(xiàn)設(shè)計(jì)人員未全面預(yù)測有害數(shù)據(jù)包的情況，防火墻的保護(hù)功能將無法實(shí)現(xiàn)。而動(dòng)態(tài)包過濾技術(shù)的出現(xiàn)，則有效地解決了雙數(shù)問題，它能在不改變?cè)徐o態(tài)包過濾技術(shù)和過濾規(guī)則的前提下，跟蹤監(jiān)控已成功連接計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)報(bào)文，并判斷數(shù)據(jù)包是否會(huì)對(duì)計(jì)算機(jī)系統(tǒng)構(gòu)成威脅，一旦出現(xiàn)數(shù)據(jù)包威脅計(jì)算機(jī)數(shù)據(jù)信息安全的情況，防火墻就會(huì)自動(dòng)生成新的過濾規(guī)則或改變?cè)幸?guī)律規(guī)則，最終實(shí)現(xiàn)阻止有害數(shù)據(jù)繼續(xù)傳輸?shù)哪康摹５?，在?shí)際使用動(dòng)態(tài)包過濾技術(shù)的過程中，需要使用到大量的時(shí)間和CPU資源，其運(yùn)行效率要遠(yuǎn)遠(yuǎn)低于靜態(tài)包過濾技術(shù)。因此，我們?cè)趯?shí)際使用包過濾技術(shù)提升辦公電腦信息安全的過程中，要根據(jù)自己的實(shí)際需要，合理地選擇動(dòng)態(tài)包過濾技術(shù)和靜態(tài)包過濾技術(shù)。

3.2 應(yīng)用代理技術(shù)

客服端和服務(wù)端是代理設(shè)備中不可或缺的兩個(gè)部分，只有兩者同時(shí)存在，才能實(shí)現(xiàn)人機(jī)之間的信息交互，其工作流程大致可分為以下三個(gè)步驟：首先，服務(wù)端接收用戶發(fā)出的請(qǐng)求；其次，客戶端根據(jù)用戶請(qǐng)求將數(shù)據(jù)信息傳輸至目標(biāo)服務(wù)器；再次，目標(biāo)服務(wù)器將處理數(shù)據(jù)并將結(jié)果反饋給用戶[5]。如此一來，我們就可以通過在代理設(shè)備服務(wù)端與客戶端之間連接過濾措施的方式增強(qiáng)辦公電腦數(shù)據(jù)信息的安全性，在此背景下，應(yīng)用代理防火墻應(yīng)運(yùn)而生，此類防火墻實(shí)際上就是一種具有數(shù)據(jù)檢測過濾功能的代理服務(wù)器，其功能的實(shí)現(xiàn)主要依賴于應(yīng)用協(xié)議分析技術(shù)。該技術(shù)通過0SI模型應(yīng)用層實(shí)現(xiàn)防病毒功能的原因是：0SI模型應(yīng)用層接觸到的所有數(shù)據(jù)都以最終形式存在，可對(duì)該層次的數(shù)據(jù)進(jìn)行更高級(jí)別的檢測。當(dāng)外界數(shù)據(jù)經(jīng)過代理防火墻客戶端時(shí)，應(yīng)用分析模塊就能根據(jù)應(yīng)用層設(shè)定的協(xié)議對(duì)數(shù)據(jù)進(jìn)行處理，并根據(jù)處理規(guī)則判斷數(shù)據(jù)是否存在風(fēng)險(xiǎn)。在這一層面上，防火墻處理的對(duì)象不再局限于組合有限的報(bào)文協(xié)議，還可對(duì)數(shù)據(jù)的內(nèi)容進(jìn)行有效的識(shí)別，使得應(yīng)用代理防火墻不但可以根據(jù)數(shù)據(jù)自身處理數(shù)據(jù)，還能通過查看服務(wù)日志的方式識(shí)別有危害的內(nèi)容。此外，應(yīng)用代理防火墻還具備了雙向限制有害數(shù)據(jù)的方式，即可過濾網(wǎng)絡(luò)外部存在的有害數(shù)據(jù)，也可實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)內(nèi)部存在的風(fēng)險(xiǎn)信息，管理員只需要通過身份驗(yàn)證，就能設(shè)置內(nèi)部網(wǎng)絡(luò)的連接權(quán)限，減少內(nèi)部信息泄露的風(fēng)險(xiǎn)。再有就是，應(yīng)用代理防火墻通過代理機(jī)制實(shí)現(xiàn)其功能的，所以，內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行信息交互式需要現(xiàn)經(jīng)過代理服務(wù)器的審核，在外網(wǎng)計(jì)算機(jī)與內(nèi)網(wǎng)計(jì)算機(jī)之間建立起了有效地保護(hù)屏障，成功避免了入侵者運(yùn)用數(shù)據(jù)驅(qū)動(dòng)供給內(nèi)部網(wǎng)絡(luò)的風(fēng)險(xiǎn)，其在提升辦公電腦數(shù)據(jù)信息安全性與穩(wěn)定性方面的能力要遠(yuǎn)遠(yuǎn)由于包過濾技術(shù)。

3.3 狀態(tài)監(jiān)視技術(shù)

辦公電腦在與互聯(lián)網(wǎng)進(jìn)行連接之后，出現(xiàn)漏洞攻擊、木馬植入、破解口令等方式的攻擊也會(huì)隨之增多，為黑客和違法人員利用技術(shù)手段入侵電腦系統(tǒng)后臺(tái)提供了便捷的渠道，市數(shù)據(jù)信息存在被秘密訪問、篡改以及竊取等風(fēng)險(xiǎn)。以至于包過濾技術(shù)和應(yīng)用代理技術(shù)等已無法徹底實(shí)現(xiàn)保護(hù)辦公電腦數(shù)據(jù)信息的目的，因此，在對(duì)安全要求較高的辦公電腦數(shù)據(jù)信息進(jìn)行保護(hù)時(shí)，我們需要使用到更為先進(jìn)的狀態(tài)監(jiān)視技術(shù)，該技術(shù)是由Check Point技術(shù)公司在改良包過濾技術(shù)后得出的，主要通過狀態(tài)監(jiān)控模塊實(shí)現(xiàn)其防病毒能力，它能在不影響網(wǎng)絡(luò)正常運(yùn)行的情況下抽取所有數(shù)據(jù)的信息，并以此為依據(jù)監(jiān)控網(wǎng)絡(luò)通信的每一個(gè)環(huán)節(jié)，根據(jù)規(guī)律規(guī)則判斷數(shù)據(jù)包的安全性。狀態(tài)監(jiān)視技術(shù)在分析數(shù)據(jù)包頭部、協(xié)議、地址、端口以及類型等信息的基礎(chǔ)上實(shí)現(xiàn)會(huì)話過濾，這主要是因?yàn)樵诮⑦B接的過程中，防火墻會(huì)為連接構(gòu)造一個(gè)獨(dú)立的會(huì)話狀態(tài)并形成相應(yīng)的狀態(tài)信息。此類防火墻技術(shù)的優(yōu)勢在于可對(duì)任何一個(gè)數(shù)據(jù)包的內(nèi)容進(jìn)行監(jiān)視，且其會(huì)話狀態(tài)是唯一的、有依據(jù)可循的。例如，當(dāng)連接的數(shù)據(jù)包源端口為8000時(shí)，那么在下一次進(jìn)行數(shù)據(jù)傳輸時(shí)，防火墻就會(huì)自動(dòng)審核數(shù)據(jù)包是否都屬于源端口8000，如果屬于則允許數(shù)據(jù)包繼續(xù)傳輸，如果不屬于則會(huì)阻止數(shù)據(jù)包繼續(xù)傳輸。另一方面，狀態(tài)監(jiān)視技術(shù)還能對(duì)數(shù)據(jù)包的內(nèi)容進(jìn)行分析，有效彌補(bǔ)傳統(tǒng)防火墻技術(shù)中存在的數(shù)據(jù)包信息檢測不全面、不具體、不充分的情況，是目前最為先進(jìn)的防火墻技術(shù)。但是，在實(shí)際使用該防火墻技術(shù)的過程中，卻因技術(shù)尚未成熟的原因?qū)е聼o法安全有效地檢測數(shù)據(jù)包信息，且對(duì)計(jì)算機(jī)硬件系統(tǒng)要求較高，普通計(jì)算機(jī)很難充分地實(shí)現(xiàn)其防御措施[6]。

4 結(jié)束語

隨著辦公軟件的不斷增多和瀏覽網(wǎng)站數(shù)量的持續(xù)增加，影響網(wǎng)絡(luò)信息安全的風(fēng)險(xiǎn)因素也在持續(xù)增多，嚴(yán)重制約著數(shù)據(jù)信息的傳輸質(zhì)量和傳輸效率，而防火墻技術(shù)的應(yīng)用，可有效增強(qiáng)辦公電腦數(shù)據(jù)信息的安全性、穩(wěn)定性，可及時(shí)、全面、準(zhǔn)確的防范辦公電腦的安全隱患，值得在今后的工作中不斷推廣和使用。