網絡信息安全淺析

華　冰

摘要：近年來，互聯網信息篡改、泄露等惡性事件日益增多，對個人隱私甚至國家安全造成了極大的威脅。本文針對這些問題進行了分析研究，并提出了一些相應的對策。

關鍵詞：信息安全；信息安全保障；信息安全技術；網絡；策略

隨著全球信息化進程的推進，信息安全已經成為阻礙信息化進程的一個重要因素。由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互聯性等特征，如今普及使用的操作系統又存在漏洞與缺陷，導致網絡易受黑客、惡意軟件和其他不軌行為的攻擊。無論是在局域網還是在廣域網中，都存在著諸多物理和人為因素導致的系統脆弱性和潛在威脅。因此增加了保護網絡信息安全的難度。

一、威脅網絡信息安全因素分析

1威脅網絡信息安全的技術因素

(1)操作系統存在安全漏洞。任何操作系統都不是無法摧毀的“堡壘”，操作系統設計者留下的微小“破綻”，都給網絡安全留下了許多隱患，造成網絡攻擊者利用這些“后門”作為攻擊網絡的通道。市場上流行的操作系統雖然經過大量的測試與改進，仍存在漏洞與缺陷，入侵者可以利用各種工具掃描網絡及系統中存在的安全漏洞，并通過一些攻擊程序對網絡進行惡意攻擊，這樣的危害可以造成網絡的癱瘓，系統的拒絕服務，信息的被竊取、篡改等。

(2)網絡的開放性和廣域性設計使得信息的保密難度較大，這其中還包括網絡自身的布線以及通信質量而引起的安全問題。

網絡系統的安全威脅主要表現在主機可能會受到非法入侵者的攻擊，網絡中的敏感信息有可能泄露或被修改，從內部網向公共網傳送的信息可能被他人竊聽或篡改等等。典型的網絡安全威脅主要有竊聽、重傳、偽造、篡改、非授權訪問、拒絕服務攻擊、行為否認、旁路控制、電磁／射頻截獲、人員疏忽。

互聯網的全開放性也使得網絡可能面臨來自物理傳輸線路，或者對網絡通信協議以及對軟件和硬件實施的攻擊；互聯網的國際性，使網絡攻擊者可以在世界上任何一個角落利用互聯網上的任何一個機器對網絡發起攻擊，這也使得網絡信息保護更加困難。另外，互聯網協議中的TCP/IP(傳輸控制協議／網際協議)、FTP(文件傳輸協議)、E-mail(電子郵件)、RPC(遠程程序通信規則)、NFS(網絡文件系統)等都存在著許多安全漏洞。

(3)安全配置不當造成了安全管理上的漏洞。例如，防火墻將無法防止因策略配置不當或錯誤配置引起的安全威脅。因為防火墻是一個被動的安全策略執行設備，它必須根據事先配備好的安全指令來發揮作用。

(4)無線系統中的電磁泄露。無線通信系統中的數據以電磁波的形式在空中進行傳播，存在電磁波泄露，且易被截獲。

(5)計算機病毒的存在。計算機病毒是編制或者在計算機程序中插入的破壞計算機功能或數據，影響計算機軟件、硬件的正常運行，并且能夠自我復制的一組計算機指令或程序代碼。計算機病毒具有傳染性、寄生性、隱蔽性、觸發性、破壞性幾大特點。大量涌現的病毒在網上傳播極快，給全球范圍的網絡安全帶來了巨大災難。

2威脅網絡信息安全的人為因素

(1)管理人員素質低、管理措施不完善、用戶安全意識淡薄等。

(2)人為的無意失誤。如操作員安全配置不當造成的安全漏洞，用戶口令選擇不慎，都會對網絡安全帶來威脅。

(3)人為的惡意攻擊。一是主動攻擊，以各方式有選擇地破壞信息的有效性和完整性，主動攻擊包括拒絕服務攻擊、信息篡改、資源使用、欺騙等攻擊方法；二是被動攻擊，被動攻擊主要是收集信息而不是進行訪問，數據的合法用戶對這種活動一點也不會覺察到。被動攻擊在網絡正常運行的狀態下進行截獲、竊取、破譯，以獲得重要機密信息，主要包括嗅探、信息收集等攻擊方法。

二、加強網絡信息安全保護技術的策略

網絡信息安全是通過技術和管理手段，確保消息在公用網絡信息系統中傳輸、交換和存儲流通的保密性、完整性、可用性、真實性和不可抵賴性。這其中主要包括以下幾方面的安全管理策略：

1計算機網絡系統的安全策略

主要是配合行政手段，制定有關網絡安全管理的規章制度，在技術上實現網絡系統的安全管理，確保網絡系統安全、可靠地運行，主要涉及以下四個方面。

(1)網絡物理安全策略。計算機網絡系統物理安全策略的目的是保護計算機系統、網絡服務器、網絡用戶終端機等硬件實體和通信鏈路免受自然災害、人為破壞和攻擊；驗證用戶的身份和使用權限、防止用戶越權操作；確保計算機網絡系統有一個良好的工作環境；建立完備的安全管理制度，防止非法進入計算機網絡系統控制室和網絡黑客的各種破壞活動。

(2)網絡訪問控制策略。訪問控制策略是計算機網絡系統安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和非常規訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。所以網絡訪問控制策略是保證網絡安全最重要的核心策略之一。

(3)網絡信息加密策略。信息加密策略主要是保護計算機網絡系統內的數據、文件、口令和控制信息等網絡資源的安全。信息加密策略通常采用以下三種方法：①網絡鏈路加密方法：鏈路加密方法目的是保護網絡系統節點之間的鏈路信息安全。②網絡端點加密方法：端點加密方法目的是保護網絡源端用戶到目的用戶的數據安全。③網絡節點加密方法：節點加密方法目的是對源節點到目的節點之間的傳輸鏈路提供保護。對于信息加密策略，網絡用戶可以根據網絡系統的具體情況來選擇上述的幾種加密方法實施。

(4)網絡安全管理策略。確定網絡安全管理等級和安全管理范圍；制定有關網絡操作使用規程和人員出入機房管理制度；制定網絡系統的管理維護制度和應急措施等等。

2網絡信息安全策略的設計與實現

要保障信息安全，首先必須解決網絡安全，網絡安全可以極大地保障信息安全。安全策略管理包括安全組件的全部領域。如防火墻，TDS(Tivoli Dfrectory Server)、訪問列表和路由器、認證技術等。

根據網絡的結構特點及面臨的安全隱患，可以通過防火墻、入侵檢測(IDS)、網絡防毒、網絡隔離、網絡監控、認證中心(CA)與數字證書、身份認證等防范措施來架構起一個立體的網絡安全解決方案。

①防火墻可以把網絡分開進行隔離管理。防火墻是內部網與Internet(或一般外網)間實現安全策略要求的訪問控制保護，是一種具有防范免疫功能的系統或系統組保護技術，其核心的控制思想是包過濾技術。

②入侵檢測技術能夠幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應)，提高了

信息安全基礎結構的完整性。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監測。入侵檢測系統采用先進的基于網絡數據流實時智能分析技術，判斷來自網絡內部和外部的入侵企圖，進行報警、響應和防范：并可對網絡的運行情況進行監控、記錄和重放，使用戶對網絡運行狀況一目了然；同時提供網絡嗅探器和掃描器便于分析網絡的問題，定位網絡的故障；入侵檢測系統還可對自身的數據庫進行自動維護，不需要用戶的干預。入侵檢測系統不對網絡的正常運行造成任何干擾，是完整的網絡審計、監測、分析系統。

③網絡防毒可以實現從服務器到工作站，再到客戶端的全方位病毒防護及集中管理。網絡防毒的管理模式有以下幾種：分散式管理模式，適用于服務器較少的小型局域網；直接集中控制管理模式，適合于服務器較多的中型局域網；既可分散又可集中控管的管理模式，既適合于小型網絡的分散式管理模式(不需要TVCS)，又適合于大型跨網段、跨平臺網絡的集中管理。

④網絡隔離是實現機密性的重要途徑，防止高密級信息向低密級網絡、涉密和敏感信息向公開網絡擴散。物理隔離與邏輯隔離是常見的網絡隔離方法。網絡隔離是目前最好的網絡安全技術，它消除了基于網絡和基于協議的安全威脅，常用的是基于VPN的網絡隔離。

⑤認證中心(CA)與數字證書是信息在互聯網上流傳的又一安全保障。認證中心又叫CA中心，它是負責產生、分配并管理數字證書的可信賴的第三方權威機構。認證中心是PKI安全體系的核心環節，因此又稱作PKI/CA。認證中心通常采用多層次的分級結構，上級認證中心負責簽發和管理下級認證中心的證書，最下一級的認證中心直接面向最終用戶。

⑥數字證書及身份認證。數字證書，又叫“數字身份證”、“數字ID”，是由認證中心發放并經認證中心數字簽名的，包含公開密鑰擁有者以及公開密鑰相關信息的一種電子文件，可以用來證明數字證書持有者的真實身份。身份認證是指計算機及網絡系統確認操作者身份的過程，解決了用戶的物理身份和數字身份相對應的問題，給他們提供了權限管理的依據。目前常見的身份認證方式主要有三種，第一種是使用用戶名加口令的方式；第二種是生物特征識別技術(包括指紋、聲音、手跡、虹膜等)；第三種也是現在電子政務和電子商務領域最流行的身份認證方式——基于USBKey的身份認證。

以上技術均可概括為兩類，即主動防御保護技術和被動防御保護技術。主動防御保護技術的實現方式一般采用數據加密、身份鑒別、存取控制、權限設置和虛擬專用網絡等技術來實現。被動防御保護技術的實現方式主要有防火墻技術、入侵檢測系統、安全掃描器、口令驗證、審計跟蹤、物理保護及安全管理等。

三、結語

隨著計算機技術和通信技術的發展，信息交換將日益成為企業與企業之間、政府與政府之間或政府與企業之間日常事務往來的重要手段。因此，認清網絡信息安全的重要性，采取必要的安全策略，對于保障網絡信息的安全性將十分重要。同時，計算機安全技術目前正處于蓬勃發展的階段，新技術層出不窮，其中也不可避免地存在一些漏洞，因此，進行網絡信息安全防范要不斷追蹤新技術的應用情況，及時升級、完善自身的防御措施。