加強計算機網絡信息安全的若干措施

21世紀被稱為網絡世紀，計算機網絡空間被譽為繼陸、海、空之后的“第四領土”。計算機網絡信息安全，是指確保計算機網絡中信息的保密性、真實性、完整性、可用性和占有性。加強計算機網絡信息安全，可采取以下措施：

一、采用安全評估標準與安全測試

當前已有一些為人們所熟悉的關于計算機網絡信息安全的評估標準和指南。這些標準包括：可信計算機系統評價指南、ISO9000標準系列、信息安全管理準則和自評估等。可信計算機系統評價指南，主要有三個評估準則：一是可信任的安全評估準則。由美國國防部于1985年提出，至今仍作為發展安全產品的一種標準。二是由歐共體于1990年頒布的信息技術安全性評估準則。三是由加拿大在1993年提出的可信任計算機新產品評估準則。在所有的評估準則中，都涉及了三個方面：功能性(系統安全特征)，有效性(確保所用機制合乎安全需要)和確認(進行徹底的評估)。目前，各團體正在協調這些標準，提出共同準則以供評述。

二、健全計算機網絡的安全機制

計算機網絡的安全是相對的，沒有絕對安全的網絡實體，但一個安全系統應具備以下功能：

1、身份識別。是驗證通信雙方身份的有效手段，用戶向其系統請求服務時，要出示自己的身份證明，最簡單的方法是輸入用戶碼和口令，而系統具有查驗用戶身份證明的能力。

2、存取權限控制。防止非法用戶進入系統及防止合法用戶對系統資源的非法使用是存取控制的基本任務。在開放系統中，網上資源的使用應制訂一些規定：一是定義哪些用戶可以訪問哪些資源-二是定義可以訪問的用戶各自具備的權限，這是存取控制的主要任務。

3、數字簽名。如用RSA等公開密鑰算法，生成一對公鑰和私鑰。信息發送者需要私人密鑰加密信息，即簽名，信息的接收者利用信息發送者的公鑰對簽名信息解密，以驗證發送者身份。

4、保護數據完整性。因特網通信協議在數據傳輸過程中，通常使用數據排序、控制包、檢驗碼等差錯控制機制，防止傳輸過程中的突發錯誤，但對網上黑客的主動攻擊(如對信息的惡意增刪、修改)則顯得無能為力。通過加入一些驗證碼等冗余信息，用驗證函數進行處理，以發現信息是否被非法修改，避免用戶或主機被偽信息欺騙。

三、采用綜合的計算機網絡安全技術

通常保障網絡安全的方法有兩大類：以“防火墻”技術為代表的被動防衛型和建立在數據加密、用戶授權確認機制上的開放型網絡安全保障技術。

1、“防火墻”技術。是指假設被保護網絡具有明確定義的邊界和服務而采取的一種安全保障技術，它通過監測、限制和更改通過“防火墻”的數據流，一方面盡可能地對外部網絡屏蔽被保護網絡的信息、結構，實現對內部網絡的保護，以防“人放火”；另一方面對內屏蔽外部某些危險站點，防止“引火燒身”。因而，比較適合于相對獨立、與外部網絡互聯單一、明確并且網絡服務種類相對集中的統一互聯網絡系統。

2、數據加密技術。以數據加密和用戶確認為基礎的開放型安全保障技術使用比較普遍，且對網絡服務影響較小，可望成為網絡安全問題的最終一體化解決途徑。這一類技術的特征是利用現代數據加密技術來保護網絡系統中包括用戶數據在內的所有數據流。只有指定的用戶或網絡設備才能夠破譯加密數據。從而在不對網絡環境作特殊要求的前提下，根本上解決了網絡安全的兩大難題(網絡服務的可用性和信息的完整性)。

3、安全通信協議。為了使網絡中的安全通信協議標準化，便于不同系統和不同網絡之間的互通和互操作，已經制定了安全通信協議的工業標準，如安全套接層協議SSL安全電子交易協議SET以及安全電子郵件協議S/MIME。這些工業標準的安全通信協議都是基于前述的密碼技術，能提供廣泛的安全服務，如信息加密、信息完整性、數字簽名、相互身份認證等。

四、加強計算機本身的安全防護

計算機是信息系統的核心，實現了計算機安全，在一定程度上也就實現了信息安全。而計算機安全不僅是一個技術問題，它還應當在技術、管理、法律三方面綜合治理。具體應注意以下幾方面：

(一)計算機實體安全

所謂計算機實體安全，就是為了保證計算機系統安全可靠運行，保護計算機硬件和附屬設備及記錄信息載體不受人為或自然因素等的危害。這里重點討論計算機設備電磁輻泄露防治問題。

采用以下方法可以對計算機電磁輻射泄漏加以保護：一是利用設備的電磁波輻射會隨距離的增加而衰弱的特性，進行距離防護；二是利用噪聲干擾防護。三是對計算機設備進行屏蔽；四是計算機設備良好接地；五是使用低輻射計算機設備，這是防治計算機信息發射泄漏技術的綜合體現。

(二)計算機軟件和數據安全

計算機軟件安全首先是要設計可信的軟件，它包括設計和使用安全的操作系統，開發安全的應用程序，建立安全的數據庫管理系統，盡量使用現有安全可靠的軟件，其次是加強軟件的安全管理，它包括進行軟件功能測試、軟件維護、正確運行軟件和管理好軟件

計算機數據安全，涉及到計算機硬件、軟件、環境的安全，以及計算機犯罪和計算機管理等一系列問題。因此，應從多方面做好工作：一是加強存取控制，防止非法訪問。二是進行數據加密；三是數據庫安全，主要是防止非法訪問，防止非法修改和破壞，保證數據完整性，保證合法用戶的存取等；四是數字簽名，五是數據安全管理，主要包括防止信息泄露、計算機病毒、冗余備份和數據介質的安全管理等。

(三)計算機安全行政管理

計算機安全行政管理是以規章制度為手段，以人為主要管理對象的有關計算機安全活動。行政安全管理一般分兩個層次：一是領導層次。領導重視了，安全組織機構和人員才能夠得到落實；其次是管理層。管工作作有以下幾個方面：一是制定安全目標，二是制定安全管理制度；三是制定應急計劃，四是安全規劃和協調；五是制定安全保護策略，六是風險和威脅分析；七是日常業務。

計算機網絡信息安全領域的斗爭，是“矛”與“盾”的較量。隨著網絡化的普及，毫無疑問，軍用計算機網絡系統將成為高技術局部戰爭中對方攻擊的主要目標。這就要求我們在和平時期不僅要加強對運用高技術武器通過“軟”、“硬”手段破壞敵計算機網絡的研究，更要重視研究提高我方計算機網絡信息安全各種措施。只有這樣，才可能降低風險，提高我方的作戰效能，才可能實現“打得贏”這一戰略目標。