網(wǎng)絡信息安全保障的應用探索

宋月紅

（聊城大學 建筑工學院，聊城 252059）

0 引言

互聯(lián)網(wǎng)的廣泛應用和普及，帶來了經(jīng)濟的繁榮和發(fā)展，豐富和活躍了人們的精神文化生活，大大推進了社會文明建設的進程。但同時隨著人們信息化期望程度的加深，網(wǎng)絡與信息安全問題也已赫然擺在世人面前。

1 網(wǎng)絡安全問題的表現(xiàn)形式

1.1 病毒、木馬威脅加劇

據(jù)國內信息安全廠商瑞星公司2008年11月份報告統(tǒng)計顯示，2008年的前10個月，互聯(lián)網(wǎng)上共出現(xiàn)新病毒9306985個，是2007年同期的12.16倍，木馬病毒和后門程序之和超過776萬，占總體病毒的83.4%，病毒數(shù)量呈現(xiàn)出了井噴式爆發(fā)。事實證明，現(xiàn)在借助病毒木馬牟利的黑色產(chǎn)業(yè)鏈已經(jīng)形成。

1.2 安全漏洞

2008年安全漏洞被曝光的頻率及數(shù)量比以往都要多。存在的主要十大安全漏洞分別是：瀏覽器漏洞、Adobe Flash漏洞、ActiveX漏洞、SQL注入式攻擊、Adobe Acrobat閱讀器漏洞、CMS漏洞、Apple QuickTime漏洞、Web2.0元素(如Facebook應用、網(wǎng)絡廣告等)、Realplayer漏洞和DNS緩存漏洞等。

1.3 黑客行為，數(shù)據(jù)泄露

根據(jù)國家計算機病毒應急處理中心的分析報告，2007年全國計算機病毒感染率已經(jīng)高達91.5%，其中相當部分已經(jīng)被黑客控制。黑客行為：其核心特點是利用網(wǎng)絡用戶的失誤或系統(tǒng)的脆弱性因素，針對特定目標進行拒絕服務攻擊或侵占。Websense安全實驗室最新報告也顯示，29%的惡意攻擊中包含數(shù)據(jù)竊取程序，這表明攻擊者已經(jīng)將竊取核心機密數(shù)據(jù)和信息作為其主要目標。

1.4 垃圾郵件的泛濫

其核心特點是以廣播的方式鯨吞網(wǎng)絡資源，影響網(wǎng)絡用戶的正常活動。附帶調查性垃圾郵件，以獲取終端用戶的個人信息為目的。許多垃圾郵件均使用同一個社交網(wǎng)站群組。一旦用戶鏈接到目的網(wǎng)址，會被要求填寫一張個人信息表。這些信息可能被出售給營銷公司，也可能用于將來發(fā)送垃圾郵件。

1.5 有害信息的惡意傳播

其核心特點是以廣泛傳播有害言論的方式，來控制、影響社會的輿論。

2 網(wǎng)絡信息安全的保障措施

信息網(wǎng)絡的通信是由通信協(xié)議堆棧完成的，通信協(xié)議大致可分為應用層、傳輸層、網(wǎng)絡層、鏈路層和物理層。采用通信協(xié)議分層的方式對網(wǎng)絡通信進行安全控制可滿足信息網(wǎng)絡安全通信的需要，保障信息傳輸?shù)臋C密性、完整性和可用性。針對網(wǎng)絡通信的安全控制需求，設計出通信的安全的控制結構，具體如表1所示。

2.1 以人為本，確保安全制度的建立和落實

根據(jù)實際情況和所采用的技術條件，制定出切實可行又比較全面的各類安全管理制度。主要有：計算機網(wǎng)絡安全管理制度、計算機病毒防治管理制度、操作系統(tǒng)和數(shù)據(jù)庫安全管理制度、軟件安全管理制度、密鑰安全管理制度等。制度的建立切不能流于形式，重要的是落實和監(jiān)督。另外，要強化工作人員的安全教育和法制教育，真正認識到計算機網(wǎng)絡系統(tǒng)安全的重要性和解決這一問題的長期性、艱巨性及復雜性。

表1 通信安全控制結構

2.2 利用訪問與控制策略，確保網(wǎng)絡信息安全

訪問控制策略是網(wǎng)絡安全防范和保護的主要策略，其任務是保證網(wǎng)絡資源不被非法使用和非法訪問。各種網(wǎng)絡安全策略必須相互配合才能真正起到保護作用，而訪問控制是保證網(wǎng)絡安全最重要的核心策略之一。訪問控制策略包括入網(wǎng)訪問控制策略、操作權限控制策略、目錄安全控制策略、屬性安全控制策略、網(wǎng)絡服務器安全控制策略、網(wǎng)絡監(jiān)測、鎖定控制策略和防火墻控制策略等7個方面的內容。

2.3 利用防火墻控制網(wǎng)絡信息安全

防火墻（作為阻塞點、控制點）能極大地提高一個內部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻，所以網(wǎng)絡環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進出受保護網(wǎng)絡，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內部網(wǎng)絡。防火墻同時可以保護網(wǎng)絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

1）數(shù)據(jù)包過濾(Packet Filtering)技術是在網(wǎng)絡層對數(shù)據(jù)包進行選擇，選擇的依據(jù)是系統(tǒng)內設置的過濾邏輯， 被稱為訪問控制表(Access Control Table)。通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所用的端口號、 協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。 數(shù)據(jù)包過濾防火墻邏輯簡單，價格便宜，易于安裝和使用， 網(wǎng)絡性能和透明性好，它通常安裝在路由器上。路由器是內部網(wǎng)絡與Internet連接必不可少的設備， 因此在原有網(wǎng)絡上增加這樣的防火墻幾乎不需要任何額外的費用。

數(shù)據(jù)包過濾防火墻的缺點有二：一是非法訪問一旦突破防火墻，即可對主機上的軟件和配置漏洞進行攻擊； 二是數(shù)據(jù)包的源地址、目的地址以及IP的端口號都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒。

2）應用級網(wǎng)關(Application Level Gateways)是在網(wǎng)絡應用層上建立協(xié)議過濾和轉發(fā)功能。它針對特定的網(wǎng)絡應用服務協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時，對數(shù)據(jù)包進行必要的分析、 登記和統(tǒng)計，形成報告。實際中的應用網(wǎng)關通常安裝在專用工作站系統(tǒng)上。

數(shù)據(jù)包過濾和應用網(wǎng)關防火墻有一個共同的特點，就是它們僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過。 一旦滿足邏輯，則防火墻內外的計算機系統(tǒng)建立直接聯(lián)系， 防火墻外部的用戶便有可能直接了解防火墻內部的網(wǎng)絡結構和運行狀態(tài)，這有利于實施非法訪問和攻擊。

3）代理服務(Proxy Service)也稱鏈路級網(wǎng)關或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人將它歸于應用級網(wǎng)關一類。它是針對數(shù)據(jù)包過濾和應用網(wǎng)關技術存在的缺點而引入的防火墻技術， 其特點是將所有跨越防火墻的網(wǎng)絡通信鏈路分為兩段。防火墻內外計算機系統(tǒng)間應用層的＂ 鏈接＂， 由兩個終止代理服務器上的＂ 鏈接＂來實現(xiàn)，外部計算機的網(wǎng)絡鏈路只能到達代理服務器， 從而起到了隔離防火墻內外計算機系統(tǒng)的作用。此外，代理服務也對過往的數(shù)據(jù)包進行分析、注冊登記， 形成報告，同時當發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡管理員發(fā)出警報，并保留攻擊痕跡。

防火墻能有效地防止外來的入侵，它在網(wǎng)絡系統(tǒng)中的作用是：控制進出網(wǎng)絡的信息流向和信息包；提供使用和流量的日志和審計；隱藏內部IP地址及網(wǎng)絡結構的細節(jié)；另外防火墻引起或IE瀏覽器出現(xiàn)故障，也可導致可以正常連接，但不能打開網(wǎng)頁。

2.4 利用數(shù)據(jù)加密技術控制網(wǎng)絡信息安全。

數(shù)據(jù)傳輸加密技術目的是對傳輸中的數(shù)據(jù)流加密，常用的方針有線路加密和端到端加密兩種。前者側重在線路上而不考慮信源與信宿，是對保密信息通過各線路采用不同的加密密鑰提供安全保護的。后者則指信息由發(fā)送者端自動加密，并進入TCP/IP數(shù)據(jù)包回封，然后作為不可閱讀和不可識別的數(shù)據(jù)穿過互聯(lián)網(wǎng)，當這些信息一旦到達目的地，將被自動重組、解密，成為可讀數(shù)據(jù)。數(shù)據(jù)存儲加密技術目的是防止在存儲環(huán)節(jié)的數(shù)據(jù)失密。

數(shù)據(jù)傳輸加密技術是為增強普通關系數(shù)據(jù)庫管理系統(tǒng)的安全性，提供一個安全適用的數(shù)據(jù)庫加密平臺，對數(shù)據(jù)庫存儲的內容實施有效保護。它通過數(shù)據(jù)庫存儲加密等安全方法實現(xiàn)了數(shù)據(jù)庫數(shù)據(jù)存儲保密和完整性要求，使得數(shù)據(jù)庫以密文方式存儲并在密態(tài)方式下工作，確保了數(shù)據(jù)安全。

3 結束語

隨著計算機技術和通信技術的發(fā)展，計算機網(wǎng)絡將日益成為重要信息交換手段，滲透到社會生活的各個領域，只有采取強有力的安全策略，才能保障網(wǎng)絡信息的安全性。

[1] 汪海慧.淺議網(wǎng)絡安全問題及防范對策[J].信息技術,2007.

[2] 劉修峰,范志剛.網(wǎng)絡攻擊與網(wǎng)絡安全分析[J].網(wǎng)絡安全,2006.

[3] 趙丹麗,管建和.網(wǎng)絡通信與安全探討[J].軟件導刊,2008.