探析網(wǎng)絡(luò)安全防護(hù)措施

天津市武清區(qū)93534部隊 曹治龍

探析網(wǎng)絡(luò)安全防護(hù)措施

天津市武清區(qū)93534部隊 曹治龍

對網(wǎng)絡(luò)安全現(xiàn)狀、內(nèi)涵、表現(xiàn)形式、安全措施進(jìn)行了深入分析和探討，為正確理解網(wǎng)絡(luò)安全防護(hù)具有一定參考價值。

網(wǎng)絡(luò)安全；表現(xiàn)形式；防護(hù)措施

一、引言

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)能夠連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全的本質(zhì)就是網(wǎng)絡(luò)上的信息安全。因此，凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)理論和技術(shù)都是網(wǎng)絡(luò)安全的探討領(lǐng)域。網(wǎng)絡(luò)安全是一門涉及計算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、信息論等多種學(xué)科的綜合性學(xué)科。

二、網(wǎng)絡(luò)安全現(xiàn)狀

隨著計算機(jī)技術(shù)的飛速發(fā)展，信息網(wǎng)絡(luò)已經(jīng)成為社會發(fā)展的重要保證。很多敏感信息，甚至是國家機(jī)密都難免會吸引來自世界各地的各種人為攻擊。諸如：信息泄漏、信息竊取、數(shù)據(jù)篡改、數(shù)據(jù)刪添、計算機(jī)病毒等。同時，網(wǎng)絡(luò)實體還要經(jīng)受諸如水災(zāi)、火災(zāi)、地震、電磁輻射等方方面的考驗。2011年12月21日，國內(nèi)知名程序員網(wǎng)站CSDN遭到黑客攻擊，大量用戶數(shù)據(jù)庫被公布在互聯(lián)網(wǎng)上，600多萬個明文的注冊郵箱被迫裸奔。2011年12月29日，支付寶用戶大量泄露，被用于網(wǎng)絡(luò)營銷。泄露總量達(dá)1500萬～2500萬之多，泄露時間不明。2012年2月4日，黑客集團(tuán)Anonymous公布了一份來自1月17日美國FBI和英國倫敦警察廳的工作通話 錄音，時長17分鐘。因此，網(wǎng)絡(luò)安全令人擔(dān)憂。

三、網(wǎng)絡(luò)安全內(nèi)涵

網(wǎng)絡(luò)安全是指通過采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。其含義隨著“角度”的變化而變化。第一，從個人或企業(yè)的角度來講，都希望涉及個人隱私或商業(yè)利益的信息在網(wǎng)絡(luò)上傳輸時受到機(jī)密性、完整性和真實性的保護(hù)，并且被授權(quán)時，可隨時存取自己所需要的信息。而網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運行等都屬于對可用性的攻擊。可控性即對信息的傳播及內(nèi)容具有控制能力。可審查性即出現(xiàn)安全問題時，系統(tǒng)能夠提供依據(jù)與手段。第二，從網(wǎng)絡(luò)運行和管理者角度來說，希望對本地網(wǎng)絡(luò)信息的訪問、讀寫等操作受到保護(hù)和控制，避免出現(xiàn)“陷門”、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用以及非法控制等威脅，并能制止和防御網(wǎng)絡(luò)黑客的攻擊。第三，對安全保密部門來說，都希望對非法的、有害的或涉及國家機(jī)密的信息進(jìn)行過濾和防堵，避免機(jī)要信息泄露，對社會產(chǎn)生危害，給國家造成損失。第四，從社會教育和意識形態(tài)角度來講，網(wǎng)絡(luò)上不健康的內(nèi)容，會對社會的穩(wěn)定和人類的發(fā)展造成阻礙，必須對其進(jìn)行控制。另外，隨著計算機(jī)技術(shù)的迅速發(fā)展，在計算機(jī)上處理的業(yè)務(wù)由基于單機(jī)的數(shù)學(xué)運算、程序設(shè)計、文件處理、辦公自動化等發(fā)展到復(fù)雜的內(nèi)部網(wǎng)、外部網(wǎng)、全球互聯(lián)網(wǎng)的企業(yè)級計算機(jī)處理系統(tǒng)和世界范圍內(nèi)的信息共享和業(yè)務(wù)處理。在系統(tǒng)處理能力提高的同時，系統(tǒng)的連接能力也在不斷的提升。但在連接能力、信息流通能力提高的同時，網(wǎng)絡(luò)連接的安全問題也日益突出。

四、網(wǎng)絡(luò)安全的表現(xiàn)形式

（一）物理安全

網(wǎng)絡(luò)的物理安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提。在網(wǎng)絡(luò)工程建設(shè)中，由于網(wǎng)絡(luò)系統(tǒng)屬于弱電工程，耐壓值很低。因此，在網(wǎng)絡(luò)工程的設(shè)計和施工中，必須優(yōu)先考慮保護(hù)人和網(wǎng)絡(luò)設(shè)備不受電、火災(zāi)和雷擊的侵害；考慮布線系統(tǒng)與照明電線、動力電線、通信線路、暖氣管道之間的距離；考慮布線系統(tǒng)和絕緣線、裸體線以及接地與焊接的安全；必須建設(shè)防雷系統(tǒng)，不僅要考慮建筑物防雷，還必須考慮計算機(jī)及其它弱電耐壓設(shè)備的防雷。總體來說，物理安全的風(fēng)險主要有，地震、水災(zāi)、火災(zāi)等環(huán)境事故；電源故障；人為操作失誤或錯誤；設(shè)備被盜、被毀；電磁干擾；線路截獲；高可用性的硬件；雙機(jī)多冗余的設(shè)計；機(jī)房環(huán)境及報警系統(tǒng)、人的安全意識等，因此要盡最大可能避免網(wǎng)絡(luò)的物理安全風(fēng)險。

（二）網(wǎng)絡(luò)結(jié)構(gòu)安全

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計也直接影響到網(wǎng)絡(luò)系統(tǒng)的安全。例如：在外部和內(nèi)部網(wǎng)進(jìn)行通信時，內(nèi)部網(wǎng)絡(luò)設(shè)備的安全就會受到威脅，同時也影響到同一網(wǎng)絡(luò)上的許多其它系統(tǒng)。透過網(wǎng)絡(luò)傳播，還會影響到連上Internet/Intranet的其它網(wǎng)絡(luò)。影響所及，還可能涉及法律、金融等安全敏感領(lǐng)域。因此，我們在設(shè)計時一定要將服務(wù)器和外網(wǎng)及內(nèi)部其它業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行必要的隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄，同時還要對外網(wǎng)的服務(wù)請求加以過濾，只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)主機(jī)，其它的請求服務(wù)在到達(dá)主機(jī)之前遭到拒絕。

（三）系統(tǒng)的安全

系統(tǒng)的安全是指整個網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺是否可靠且值得信賴。目前大都認(rèn)為沒有絕對安全的操作系統(tǒng)可供選擇，無論是Windows還是UNIX操作系統(tǒng)，其開發(fā)廠商必然有其Back-Door。因此，沒有絕對安全的操作系統(tǒng)。不同的用戶應(yīng)從不同的方面對其網(wǎng)絡(luò)作詳盡的分析，盡可能選擇安全性高的操作系統(tǒng)。另外，還要對操作系統(tǒng)進(jìn)行安全配置，加強(qiáng)登錄過程的認(rèn)證，確保用戶的合法性。其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其操作限制在能夠完 成任務(wù)的最小范圍內(nèi)。

（四）應(yīng)用系統(tǒng)的安全

應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用有關(guān)，不僅涉及面廣，而且是動態(tài)的、變化的。例如：以目前Internet上應(yīng)用最為廣泛的E-mail系統(tǒng)來說，其解決方案不下二十種。其安全手段涉及各種方式。因此，在應(yīng)用系統(tǒng)的安全性上，主要應(yīng)考慮盡可能建立安全的系統(tǒng)平臺，通過專業(yè)的安全工具及時發(fā)現(xiàn)漏洞，修補(bǔ)漏洞，提高系統(tǒng)的安全性。同時，應(yīng)用的安全性涉及到信息、數(shù)據(jù)的安全性。信息的安全性涉及到機(jī)密信息泄露、未經(jīng)授權(quán)的訪問、破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。在某些網(wǎng)絡(luò)系統(tǒng)中，涉及到很多機(jī)密信息，如果這些信息遭到竊取或破壞，將對經(jīng)濟(jì)、社會、政治產(chǎn)生嚴(yán)重的影響。因此，對用戶使用計算機(jī)必須進(jìn)行身份認(rèn)證，對重要信息的通訊必須授權(quán)，傳輸必須加密。采用多層次的訪問控制與權(quán)限控制手段，實現(xiàn)對數(shù)據(jù)的安全保護(hù)。采用加密技術(shù)，保證網(wǎng)上 傳輸信息的機(jī)密性與完整性。

（五）管理的安全風(fēng)險

管理是網(wǎng)絡(luò)安全中最重要的部分。責(zé)權(quán)不明，安全管理制度不健全及缺乏可操作性等都可能引起安全管理的風(fēng)險。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時（如內(nèi)部人員的違規(guī)操作等），無法進(jìn)行實時的檢測、監(jiān)控、報告與預(yù)警。同時，當(dāng)事故發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)。這就要求我們必須對站點的訪問活動進(jìn)行多層次的記錄，及時發(fā)現(xiàn)非法入侵行為。另外，制定健全的管理制度和嚴(yán)格的管理措施，保障網(wǎng)絡(luò)的安全運行，使其成為一個具有良好的安全性、可擴(kuò)充性和易管理性的信 息網(wǎng)絡(luò)。

五、網(wǎng)絡(luò)安全措施

（一）安全技術(shù)手段

1.物理措施：保護(hù)網(wǎng)絡(luò)關(guān)鍵設(shè)備(如交換機(jī)、路油器等)，制定嚴(yán)格的網(wǎng)絡(luò)安全規(guī)章制度，采取防輻射、防火以及安裝UPS電源等措施。

2.訪問控制：對用戶訪問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制。例如，進(jìn)行用戶身份認(rèn)證，口令加密、更新和鑒別，設(shè)置用戶訪問目錄和文件的權(quán)限等。

3.數(shù)據(jù)加密：加密是保護(hù)數(shù)據(jù)安全的重要手段。加密的作用是保障信息被人截獲后不能讀懂其含義。防止計算機(jī)網(wǎng)絡(luò)病毒，安裝網(wǎng)絡(luò)防病毒系統(tǒng)。

4.網(wǎng)絡(luò)隔離：網(wǎng)絡(luò)隔離有兩種方式，一種采用隔離卡來實現(xiàn)，另一種采用網(wǎng)絡(luò)安全隔離網(wǎng)閘來實現(xiàn)。隔離卡主要用于對單臺機(jī)器的隔離，網(wǎng)閘主要用于對整個網(wǎng)絡(luò)的隔離。

5.其他措施：包括信息過濾、容錯、數(shù)據(jù)鏡像、數(shù)據(jù)備份和審計等。對此，解決辦法有數(shù)據(jù)加密技術(shù)和防火墻技術(shù)等。數(shù)據(jù)加密是對網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行加密，到達(dá)目的地后再解密還原為原始數(shù)據(jù)，目的是防止非法用戶截獲后盜用信息。防火墻技術(shù)是通過對網(wǎng)絡(luò)的隔離和 限制訪問等方法來控制網(wǎng)絡(luò)的訪問權(quán)限。

（二）安全防范意識

擁有網(wǎng)絡(luò)安全意識是保證網(wǎng)絡(luò)安全的重要前提。許多網(wǎng)絡(luò)安全事件的發(fā) 生都和缺乏安全防范意識有著密切關(guān)系。

（三）主機(jī)安全檢查

要保證網(wǎng)絡(luò)安全，就要進(jìn)行網(wǎng)絡(luò)安全檢查。第一，要全面了解系統(tǒng)，評估系統(tǒng)安全性，認(rèn)識到風(fēng)險所在，迅速、準(zhǔn)確解決網(wǎng)絡(luò)安全問題。第二，使用創(chuàng)新型自動主機(jī)安全檢查工具，顛覆傳統(tǒng)系統(tǒng)保密檢查和系統(tǒng)風(fēng)險評測工具操作的繁冗性，利用一鍵操作對內(nèi)部網(wǎng)絡(luò)計算機(jī)進(jìn)行全面的安全保密檢查及精準(zhǔn)的安全等級判定，并對 評測系統(tǒng)進(jìn)行強(qiáng)有力的分析處置和修復(fù)。

（四）主機(jī)物理安全

服務(wù)器運行的物理安全環(huán)境十分重要，主要指機(jī)房的設(shè)施狀況、通風(fēng)系統(tǒng)、電源系統(tǒng)、防雷、防火系統(tǒng)以及機(jī)房的溫度、濕度條件等。這些因素都會影響到服務(wù)器的壽命和數(shù)據(jù)的安全。盡可能把服務(wù)器存放在專門的機(jī)柜內(nèi)。若只能放在開放式機(jī)架上，則請將電源用膠帶綁定在插槽上，避免別人無意中碰動電源。其次，安裝完系統(tǒng)后，重啟服務(wù)器，在重啟的過程中把鍵盤和鼠標(biāo)拔掉，這樣在系統(tǒng)啟動后，普通的鍵盤和鼠標(biāo)接上去不會起作用。另外，要跟機(jī)房值班人員搞好關(guān)系，同時不得罪其他維護(hù)人員，以排除人為因素的可能性。

六、結(jié)束語

本文探討的網(wǎng)絡(luò)安全防護(hù)措施，解析清楚，可實施可操作性強(qiáng)，必將會在未來網(wǎng)絡(luò)安全防護(hù)中發(fā)揮其應(yīng)有的作用。

[1]黃中偉.計算機(jī)網(wǎng)絡(luò)管理與安全技術(shù)[M].北京:人民郵電出版社,2007.

[2]寧麗莎.淺談計算機(jī)機(jī)房的確管理與維護(hù)[J].信息科技,2008.

[3]霍揚(yáng),龔儉.計算機(jī)網(wǎng)絡(luò)故障分析及維護(hù)研究[J].硅谷,2008.