網(wǎng)絡(luò)信息安全保障策略

［摘 要］ 隨著互聯(lián)網(wǎng)技術(shù)以及信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全技術(shù)已經(jīng)影響到社會的政治、經(jīng)濟(jì)、文化和軍事等各個領(lǐng)域，信息安全的隱蔽性、跨域性、快速變化性和爆發(fā)性給信息安全帶來了嚴(yán)峻的挑戰(zhàn)。 網(wǎng)絡(luò)的信息安全是構(gòu)建任何一個網(wǎng)絡(luò)系統(tǒng)時必須重點(diǎn)關(guān)注的事情。本文簡要地分析了網(wǎng)絡(luò)中存在的幾種信息安全隱患，并針對信息安全隱患提出安全保障策略。

［關(guān)鍵詞］ 計(jì)算機(jī)網(wǎng)絡(luò)； 信息安全； 保障策略； 防火墻； 預(yù)防措施

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2011 . 10 . 034

［中圖分類號］TP393.08 ［文獻(xiàn)標(biāo)識碼］A ［文章編號］1673 - 0194（2011）10- 0060 - 02

１網(wǎng)絡(luò)信息安全定義及研究意義

１．１網(wǎng)絡(luò)信息安全定義

網(wǎng)絡(luò)安全從本質(zhì)上來講就是指網(wǎng)絡(luò)系統(tǒng)中流動和保存的數(shù)據(jù)，不受到偶然的或者惡意的破壞、泄露、更改，系統(tǒng)能連續(xù)正常工作，網(wǎng)絡(luò)服務(wù)不中斷。而從廣義上來說，凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論，都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。

１．２網(wǎng)絡(luò)信息安全研究意義

網(wǎng)絡(luò)信息安全保障手段的研究和應(yīng)用，對于保證信息處理和傳輸系統(tǒng)的安全，避免因?yàn)橄到y(tǒng)的崩潰和損壞而對系統(tǒng)存儲、處理和傳輸?shù)男畔⒃斐善茐暮蛽p失；保護(hù)信息的保密性、真實(shí)性和完整性，避免攻擊者利用系統(tǒng)的安全漏洞進(jìn)行竊聽、冒充、詐騙等有損于合法用戶的行為；保護(hù)國家的安全、利益和發(fā)展，避免非法、有害的信息傳播所造成的后果，能進(jìn)行防止和控制，避免公用網(wǎng)絡(luò)上大量自由傳輸?shù)男畔⑹Э氐确矫娑加蟹浅Ｖ卮蟮囊饬x。

２網(wǎng)絡(luò)信息安全現(xiàn)狀

２．１物理傳輸對網(wǎng)絡(luò)信息安全的威脅

網(wǎng)絡(luò)通信都要通過通信線路、調(diào)制解調(diào)器、網(wǎng)絡(luò)接口、終端、轉(zhuǎn)換器和處理機(jī)等物理部件，這些往往都是黑客、攻擊者的切入對象。主要有以下幾方面的入侵行為：

（１） 電磁泄露：無線網(wǎng)絡(luò)傳輸信號被捕獲，對于一些通用的加密算法，黑客和攻擊者已有一整套完備的破解方案，能夠較輕易地獲取傳輸內(nèi)容。

（２） 非法終端：在現(xiàn)有終端上并接一個終端，或合法用戶從網(wǎng)上斷開時，非法用戶乘機(jī)接入并操縱該計(jì)算機(jī)通信接口，或由于某種原因使信息傳到非法終端。

（３） 非法監(jiān)聽：不法分子通過通信設(shè)備的監(jiān)聽功能對傳輸內(nèi)容進(jìn)行非法監(jiān)聽或捕獲，由于是基于通信設(shè)備提供的正常功能，一般使用者很難察覺。

（４） 網(wǎng)絡(luò)攻擊：如ＡＲＰ風(fēng)暴等小包攻擊交換機(jī)等通信設(shè)備，引起網(wǎng)絡(luò)擁塞或?qū)е峦ㄐ胖鳈C(jī)無法處理超量的請求，輕則網(wǎng)絡(luò)服務(wù)不可用，重則整個系統(tǒng)死機(jī)癱瘓。

２．２軟件對網(wǎng)絡(luò)信息安全的威脅

現(xiàn)代通信系統(tǒng)如ＡＴＭ、軟交換、ＩＭＳ、ＥＰＯＮ、ＰＯＳ終端、手機(jī)等都使用大量的軟件進(jìn)行通信控制，因此軟件方面的入侵也相當(dāng)普遍。

（１） 網(wǎng)絡(luò)軟件的漏洞或缺陷被利用。軟件漏洞分為兩種：一種是蓄意制造的漏洞，是系統(tǒng)設(shè)計(jì)者為日后控制系統(tǒng)或竊取信息而故意設(shè)計(jì)的漏洞；另一種是無意制造的漏洞，是系統(tǒng)設(shè)計(jì)者由于疏忽或其他技術(shù)原因而留下的漏洞。

（２） 軟件病毒入侵后打開后門，并不斷繁殖，然后擴(kuò)散到網(wǎng)上的計(jì)算機(jī)來破壞系統(tǒng)。輕者使系統(tǒng)出錯，重者可使整個系統(tǒng)癱瘓或崩潰。

（３） 通信系統(tǒng)或軟件端口被暴露或未進(jìn)行安全限制，導(dǎo)致黑客入侵，進(jìn)而可以使用各種方式有選擇地破壞對方信息的有效性和完整性，或者在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯，以獲得對方重要的機(jī)密信息。

２．３工作人員的不安全因素

內(nèi)部工作人員有意或無意的操作或多或少存在信息安全隱患。

（１） 保密觀念不強(qiáng)，關(guān)鍵信息或資產(chǎn)未設(shè)立密碼保護(hù)或密碼保護(hù)強(qiáng)度低；文檔的共享沒有經(jīng)過必要的權(quán)限控制。

（２） 業(yè)務(wù)不熟練或缺少責(zé)任心，有意或無意中破壞網(wǎng)絡(luò)系統(tǒng)和設(shè)備的保密措施。

（３） 熟悉系統(tǒng)的工作人員故意改動軟件，或用非法手段訪問系統(tǒng)，或通過竊取他人的口令字和用戶標(biāo)識碼來非法獲取信息。

（４） 利用系統(tǒng)的端口或傳輸介質(zhì)竊取保密信息。

３網(wǎng)絡(luò)信息安全保障策略

針對以上信息安全隱患，可以采用一些技術(shù)手段，對攻擊者或不法分子的竊密、破壞行為進(jìn)行被動或主動防御，避免不必要的損失。

３．１物理傳輸信息安全保障

（１） 減少電磁輻射。傳輸線路應(yīng)有露天保護(hù)措施或埋于地下，并要求遠(yuǎn)離各種輻射源，以減少由于電磁干擾引起的數(shù)據(jù)錯誤。對無線傳輸設(shè)備應(yīng)使用高可靠性的加密手段，并隱藏鏈接名。

（２） 采用數(shù)據(jù)加密技術(shù)，對傳輸內(nèi)容使用加密算法將明文轉(zhuǎn)換成無意義的密文，防止非法用戶理解原始數(shù)據(jù)。數(shù)據(jù)加密技術(shù)是一種主動的信息安全防范措施，可大大加強(qiáng)數(shù)據(jù)的保密性。

（３） 使用可信路由、專用網(wǎng)或采用路由隱藏技術(shù)，將通信系統(tǒng)隱匿在網(wǎng)絡(luò)中，避免傳輸路徑暴露，成為網(wǎng)絡(luò)風(fēng)暴、ＤＤＯＳ等攻擊對象。

３．２軟件類信息安全保障

安裝必要的軟件，可以快速有效地定位網(wǎng)絡(luò)中病毒、蠕蟲等網(wǎng)絡(luò)安全威脅的切入點(diǎn)， 及時、準(zhǔn)確地切斷安全事件發(fā)生點(diǎn)和網(wǎng)絡(luò)。

（１） 安裝可信軟件和操作系統(tǒng)補(bǔ)丁，定時對通信系統(tǒng)進(jìn)行軟件升級，及時堵住系統(tǒng)漏洞避免被不法分子利用。

（２） 使用防火墻技術(shù)，控制不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流。且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施，是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段。

（３） 使用殺毒軟件，及時升級殺毒軟件病毒庫。小心使用移動存儲設(shè)備。在使用移動存儲設(shè)備之前進(jìn)行病毒的掃描和查殺，可以有效地清除病毒，扼殺木馬。

（４） 使用入侵檢測系統(tǒng)防止黑客入侵。一般分為基于網(wǎng)絡(luò)和基于主機(jī)兩種方式。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，將檢測模塊駐留在被保護(hù)系統(tǒng)上，通過提取被保護(hù)系統(tǒng)的運(yùn)行數(shù)據(jù)并進(jìn)行入侵分析來實(shí)現(xiàn)入侵檢測的功能。基于主機(jī)的入侵檢測系統(tǒng)對通信系統(tǒng)進(jìn)行實(shí)時監(jiān)控，通過監(jiān)視不正當(dāng)?shù)南到y(tǒng)設(shè)置或系統(tǒng)設(shè)置的不正當(dāng)更改實(shí)現(xiàn)入侵檢測功能。基于主機(jī)的入侵檢測系統(tǒng)具有檢測效率高，分析代價小，分析速度快的特點(diǎn)，能夠迅速并準(zhǔn)確地定位入侵者，并可以結(jié)合操作系統(tǒng)和應(yīng)用程序的行為特征對入侵進(jìn)行進(jìn)一步分析。但在數(shù)據(jù)提取的實(shí)時性、充分性、可靠性方面，基于主機(jī)日志的入侵檢測系統(tǒng)不如基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。 另外還有分布式入侵檢測、應(yīng)用層入侵檢測、智能的入侵檢測等信息安全保障手段可以使用。

３．２內(nèi)部工作人員信息安全保障

（１） 加強(qiáng)安全意識和安全知識培訓(xùn)，讓每個工作人員明白數(shù)據(jù)信息安全的重要性， 理解保證數(shù)據(jù)信息安全是所有系統(tǒng)使用者共同的責(zé)任。

（２） 加強(qiáng)局域網(wǎng)安全控制策略，使網(wǎng)絡(luò)按用戶權(quán)限進(jìn)行隔離或授權(quán)訪問。它能控制以下幾個方面的權(quán)限： 防止用戶對目錄和文件的誤刪除，執(zhí)行修改、查看目錄和文件，顯示向某個文件寫數(shù)據(jù)，拷貝、刪除目錄或文件，執(zhí)行文件，隱含文件，共享，系統(tǒng)屬性等。控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源， 控制用戶入網(wǎng)的時間和在哪臺工作站入網(wǎng)。用戶和用戶組被賦予一定的權(quán)限， 網(wǎng)絡(luò)控制用戶和用戶組可以訪問的目錄、文件和其他資源， 可以指定用戶對這些文件、目錄、設(shè)備能夠執(zhí)行的操作，權(quán)限按照最小化原則進(jìn)行分配。

（３） 利用桌面管理系統(tǒng)控制操作終端的系統(tǒng)配置、軟件合法性、病毒庫、防火墻等。若用戶使用的終端或系統(tǒng)沒有按照要求按照合法軟件，則限制用戶接入網(wǎng)絡(luò)。若用戶的系統(tǒng)、防火墻、防毒軟件未及時更新，則強(qiáng)制用戶進(jìn)行更新操作。使用桌面管理系統(tǒng)可以最大化凈化網(wǎng)絡(luò)環(huán)境，避免操作人員的終端引入信息安全隱患。

（４） 啟用密碼策略， 強(qiáng)制計(jì)算機(jī)用戶設(shè)置符合安全要求的密碼， 包括設(shè)置口令鎖定服務(wù)器控制臺， 以防止非法用戶修改。設(shè)定服務(wù)器登錄時間限制、檢測非法訪問。刪除重要信息或破壞數(shù)據(jù)， 提高系統(tǒng)安全性， 對密碼不符合要求的計(jì)算機(jī)在多次警告后阻斷其連網(wǎng)。

４結(jié)束語

計(jì)算機(jī)軟件技術(shù)的發(fā)展使得計(jì)算機(jī)應(yīng)用日益廣泛與深入，同時也使計(jì)算機(jī)系統(tǒng)的安全問題日益復(fù)雜和突出，各種各樣的威脅模式也不斷涌現(xiàn)。網(wǎng)絡(luò)信息安全是一個綜合性的課題，涉及技術(shù)、管理、使用等許多方面，只有將各種方面的保障策略都結(jié)合起來，才能形成一個高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。

主要參考文獻(xiàn)

［１］ 李淑芳，雙娜，等． 網(wǎng)絡(luò)安全淺析［Ｊ］． 科技，２００６（２）．

［２］ 林志臣． 計(jì)算機(jī)網(wǎng)絡(luò)安全及防范技術(shù)［Ｊ］． 科技咨詢導(dǎo)報(bào)，２００７（１１）．

［３］ 殷偉． 計(jì)算機(jī)安全與病毒防治［Ｍ］． 合肥：安徽科學(xué)技術(shù)出版社，２００４．

［４］ 劉曉輝． 網(wǎng)絡(luò)安全管理實(shí)踐（網(wǎng)管天下）［Ｍ］． 北京：電子工業(yè)出版社，２００７．

［５］ 韓東海，王超，李群． 入侵檢測系統(tǒng)及實(shí)例剖析［Ｍ］． 北京：清華大學(xué)出版社，２００８．

［６］ ［美］Ｄａｖｉｄ Ｃｈａｌｌｅｎｅｒ，Ｒｙａｎ Ｃａｔｈｅｒｍａｎ［Ｍ］． 可信計(jì)算（Ａ Ｐｒａｃｔｉｃａｌ Ｇｕｉｄｅ ｔｏ Ｔｒｕｓｔｅｄ Ｃｏｍｐｕｔｉｎｇ）［Ｍ］． 北京：機(jī)械工業(yè)出版社，２００９．