網(wǎng)絡(luò)信息安全防范措施研究

張佳申

【摘 要】隨著當(dāng)今社會(huì)計(jì)算機(jī)網(wǎng)絡(luò)在生活中的普及，網(wǎng)絡(luò)信息安全及防護(hù)策略研究對于現(xiàn)實(shí)生活具有重要的意義。本文分析了目前計(jì)算機(jī)網(wǎng)絡(luò)信息安全存在的問題，并提出了加強(qiáng)安全管理的相關(guān)措施。

【關(guān)鍵詞】網(wǎng)絡(luò)；信息安全；措施

【中圖分類號(hào)】G250.72【文獻(xiàn)標(biāo)識(shí)碼】A【文章編號(hào)】1672-5158（2013）07-0132-02

一、網(wǎng)絡(luò)中心P信息安全的性能衡量

（1）完整性一一指網(wǎng)絡(luò)中心的信息安全、精，確與有效，不因種種不安全因素而改變信息原有的內(nèi)容、形式與流向，使系統(tǒng)內(nèi)程序與數(shù)據(jù)不被非法刪改和破壞。

（2）保密性一一指網(wǎng)絡(luò)中心有保密要求的信息只能供經(jīng)過允許的人員，以經(jīng)過允許的方式使用，防止系統(tǒng)內(nèi)信息非法泄漏。

（3）可靠性一一指網(wǎng)絡(luò)中心信息在需要時(shí)即可使用，不因系統(tǒng)故障或操作失誤等使信息丟失，或妨礙對信息的使用。

二、網(wǎng)絡(luò)中心信息安全應(yīng)注意的問題

2.1 網(wǎng)絡(luò)中心機(jī)房建設(shè)物理全安

為了保護(hù)網(wǎng)絡(luò)中心實(shí)體的設(shè)備安全，應(yīng)采取良好的屏蔽 及避雷措施，防止雷電和工業(yè)射電干擾，采用穩(wěn)壓電源，防止電壓波動(dòng)，采用不間斷電源（UPS）防止突然斷電引起設(shè)備損壞或數(shù)據(jù)丟失。尤其應(yīng)當(dāng)注意在高溫天氣，斷電后空調(diào)空調(diào)停止運(yùn)轉(zhuǎn)，網(wǎng)絡(luò)設(shè)備繼續(xù)運(yùn)行，時(shí)間較長時(shí)對設(shè)備可能造成的損壞，應(yīng)安裝報(bào)警器、各種監(jiān)視系統(tǒng)及安全門鎖等。按計(jì)算機(jī)安全場地要求采取防火、防水、防塵、防震、防靜電等技術(shù)措施，采取電磁屏蔽及良好接地等手段，使系統(tǒng)中的設(shè)備既不因外界或其他設(shè)備的電磁干擾而影響其正常工作，也不因其自身的電磁輻射泄漏數(shù)據(jù)信息、同時(shí)不影響周圍其他設(shè)備的正常工作。

2.2 網(wǎng)絡(luò)安全技術(shù)在信息安全中的作用

①防火墻技術(shù)。防火墻是近年發(fā)展起來的一項(xiàng)網(wǎng)絡(luò)安全技術(shù)，其特征是通過在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)，達(dá)到保障網(wǎng)絡(luò)安全的目的。所謂“防火墻”就是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列軟硬件設(shè)施的組合。它可通過監(jiān)測，限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。

從原理上分，防火墻的技術(shù)包括4大類網(wǎng)絡(luò)級(jí)防火墻（也叫包過濾防火墻）、應(yīng)用級(jí)網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)和規(guī)則檢查防火墻。它們各有所長，使用哪一種或是否混合使用，要看具體需要。防火墻的作用是保護(hù)脆弱的系統(tǒng)應(yīng)用服務(wù)、控制對系統(tǒng)的訪問、集中的安全管理和策略制定、增強(qiáng)保密性、記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)，對非法人侵的監(jiān)測和報(bào)警等。防火墻的局限性在于無法防范通過防火墻以外的其他途徑的攻擊，不能防止傳送已感染病毒的軟件或文件，不能防止來自內(nèi)部用戶的威脅，無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。

三、入侵檢測 （IDS）

侵檢測是防火墻技術(shù)的重要補(bǔ)充，在不影響網(wǎng)絡(luò)的情況下能對網(wǎng)絡(luò)進(jìn)行檢測分析，從而對內(nèi)部攻擊、外部攻擊和誤操作進(jìn)行實(shí)時(shí)識(shí)別和響應(yīng)，有效地監(jiān)視、審計(jì)、評估網(wǎng)絡(luò)系統(tǒng)。入侵檢測和漏洞掃描技術(shù)結(jié)合起來是預(yù)防黑客攻擊的主要手段，是一項(xiàng)新的安全技術(shù)。目前 入侵檢測技術(shù)主要可以分為基于主機(jī)入侵檢測和基于網(wǎng)絡(luò)入侵檢測兩種。基于主機(jī)的系統(tǒng)通過軟件來分析來自各個(gè)地方的數(shù)據(jù)，這些數(shù)據(jù)可以是事件日志 （1og文件 ）、配置文件password文件等；基于網(wǎng)絡(luò)的系統(tǒng)通過網(wǎng)絡(luò)監(jiān)聽的方式從網(wǎng)絡(luò)中獲取數(shù)據(jù)，并根據(jù)事先定義 好的規(guī)則檢查它，從而判定通信是否合法。

四、網(wǎng)絡(luò)中心信息安全應(yīng)采取的措施

身份認(rèn)證，數(shù)據(jù)加密，系統(tǒng)備份與恢復(fù)，防治病毒，反間諜軟件系統(tǒng)。

①身份認(rèn)證與數(shù)字簽名。身份認(rèn)證是證明某人或某物身份的過程，當(dāng)用戶之間建立連 接時(shí)，為了防止非法連接或被欺騙，就可實(shí)施身份確認(rèn)，以確保只有合法身份的用戶才能與之建立連接。其具體實(shí)現(xiàn)過程如下；用戶B選擇一個(gè)公開密碼交給用戶A自己留私用密鑰，A選擇一個(gè)隨機(jī)數(shù)，用B的公開密鑰將該數(shù)加密，并要求B將其解密并送回。這樣只有知道解密鑰的B才能完成這一解密，冒充者在這樣的測試中則會(huì)暴露。隨著電子商務(wù)的應(yīng)用與發(fā)展，計(jì)算機(jī)化的報(bào)文代替紙墨文件的傳送勢在必行。數(shù)字簽名被設(shè)計(jì)用來代替親筆簽名或印章來證明報(bào)文的真實(shí)性，它可以達(dá)到下列功能。（1）接收者能夠核實(shí)和確認(rèn)發(fā)送者對報(bào)文的簽名，但不能偽造對報(bào)文的簽名（收方條件）。（2）發(fā)送者事后不能否認(rèn)和抵賴對報(bào)文的簽名（發(fā)方條件）。（3）公證方能確認(rèn)收發(fā)雙方的信息，作出仲裁，但不能偽造這一過程（公證條件）。目前數(shù)字簽名技術(shù)大致分為：采用秘密密鑰的數(shù)字簽名和采用公開密鑰的數(shù)字簽名兩種。

②數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密過程由各種加密算法實(shí)現(xiàn)，它以很小的代價(jià)提供較大的安全保護(hù)。如果按照收發(fā)雙方密鑰早否相同來分類，可以將這些加密算件分為常規(guī)密碼算法和公鑰密碼算法，DES及RSA是它們的典型代表。常規(guī)密碼的優(yōu)點(diǎn)是有很高的保密強(qiáng)度，但其密鑰必須通過安全的途徑傳送，密鑰管理困難。公鑰密碼的優(yōu)點(diǎn)是可以適應(yīng)網(wǎng)絡(luò)的開放性要求，密鑰管理問題也較為簡單，可方便地實(shí)現(xiàn)數(shù)字簽名和驗(yàn)證，但其算法復(fù)雜，加密數(shù)據(jù)的速率較低。隨著現(xiàn)代電子技術(shù)和密碼技術(shù)的發(fā)展，公鑰密碼算法將逐漸成為網(wǎng)絡(luò)安全加密體制的主流。在現(xiàn)在的網(wǎng)絡(luò)安全應(yīng)用中人們通常將常規(guī)密碼和公鑰密碼結(jié)合使用。一般的網(wǎng)絡(luò)數(shù)據(jù)加密有鏈路加密、節(jié)點(diǎn)加密和端對端加密3種方式。鏈路加密是目前最常用的加密方法，通常用硬件在網(wǎng)絡(luò)的萄軟各層和物理層實(shí)現(xiàn)。它用于保護(hù)通信節(jié)點(diǎn)間傳輸?shù)臄?shù)據(jù)，對用戶是透明的。節(jié)點(diǎn)加密是對鏈路加密的改進(jìn)，克服了鏈路加密在節(jié)點(diǎn)處易遭非法存取的缺點(diǎn)，在協(xié)議傳輸層上進(jìn)行加密，是對源節(jié)點(diǎn)和目標(biāo)節(jié)點(diǎn)之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密保護(hù)。端對端加密是網(wǎng)絡(luò)層以上的加密，是面向網(wǎng)絡(luò)中高層主體進(jìn)行加密，在協(xié)議表示層上對傳輸?shù)臄?shù)據(jù)進(jìn)行加密，而不對下層協(xié)議信息加密。端對端加密一般由軟件來完成，具有比鏈路加密技術(shù)成本低、安全性高的特點(diǎn)。

③系統(tǒng)備份和恢復(fù)。網(wǎng)絡(luò)信息安全防范手段不可能設(shè)計(jì)得面面俱到，突發(fā)性事件的產(chǎn)生、不可抗拒的自然現(xiàn)象或是惡意的外來攻擊都會(huì)給計(jì)算機(jī)系統(tǒng)帶來不可預(yù)知的災(zāi)難。因此，必須建立系統(tǒng)的備份與恢復(fù)，以便在災(zāi)難發(fā)生后保障計(jì)算機(jī)系統(tǒng)正常運(yùn)行備份方案有多種類型，其最終目標(biāo)是保證系統(tǒng)連續(xù)運(yùn)行，其中網(wǎng)絡(luò)通信、主機(jī)系統(tǒng)、業(yè)務(wù)數(shù)據(jù)是保證系統(tǒng)連續(xù)運(yùn)行不可缺少的環(huán)節(jié)，在選擇備份方案時(shí)應(yīng)把對數(shù)據(jù)的備份作為重點(diǎn)。日常備份制度是系統(tǒng)備份方案的具體實(shí)施細(xì)則，在制定完畢后，應(yīng)嚴(yán)本各陵照制度進(jìn)行日常備份，否則將無法達(dá)到備份方案的目標(biāo)。此外，還要認(rèn)真完成一些管理工作，如：定期檢查，確保備份的正確性；將備份磁帶保存在異地一個(gè)安全的地方（如專門的磁帶庫）；按照數(shù)據(jù)增加和更新速度選擇恰當(dāng)?shù)膫浞輸?shù)據(jù)。系統(tǒng)備份不僅備份系統(tǒng)中的數(shù)據(jù)，還要備份系統(tǒng)中安裝的應(yīng)用程序、數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息。與系統(tǒng)備份對應(yīng)的概念是災(zāi)難恢復(fù)，災(zāi)難恢復(fù)是指在整個(gè)系統(tǒng)都失效時(shí)，系統(tǒng)的迅速恢復(fù)。它在整個(gè)備份制度中占有相當(dāng)重要的地位。災(zāi)難恢復(fù)措施包括災(zāi)難預(yù)防制度、災(zāi)難演習(xí)制度及災(zāi)難恢復(fù)。

④病毒防治。首先要增強(qiáng)防網(wǎng)絡(luò)病毒的觀念。計(jì)算機(jī)病毒給計(jì)算機(jī)安全運(yùn)行帶來的危害輕則影響工作，重則將磁盤中存儲(chǔ)的數(shù)據(jù)和程序全破壞掉，使用于實(shí)時(shí)控制的計(jì)算機(jī)癱瘓，造成無法估計(jì)的損失。其次要提高網(wǎng)絡(luò)安全意識(shí)。對一些來歷不明的電子郵件，尤其是標(biāo)題中含有欺騙性或誘惑性語句的不要輕易相信，它可能是病毒制造者投下的“誘餌”；同時(shí)要及時(shí)觀察和發(fā)現(xiàn)異常情況，不使病毒傳染到整個(gè)磁盤，傳染到相鄰的計(jì)算機(jī)；最后要選用互聯(lián)網(wǎng)病毒防火墻系統(tǒng)，防毒軟件Inter Sean Vi-rus Wall（國際互聯(lián)網(wǎng)病毒防火墻），是網(wǎng)絡(luò)防病毒體系結(jié)構(gòu)中的最上層，安裝在Internet服務(wù)器或網(wǎng)關(guān)上。它在病毒通過Internet人侵內(nèi)部網(wǎng)絡(luò)的第一點(diǎn)處設(shè)置一道防毒屏障，使得病毒在進(jìn)人網(wǎng)絡(luò)之前即被阻截。

⑤間諜軟件。目前還沒有一個(gè)統(tǒng)一的定義，但就某些方面已達(dá)到共識(shí)；1.在用戶不知情的清況下進(jìn)入電腦；2.能截取用戶的個(gè)人資料并能返回其開發(fā)商；3一旦進(jìn)入電腦就難以清除。據(jù)此，筆者認(rèn)為所謂間諜軟件，就是指任何沒有被用戶知曉或明確授權(quán)的情況下，進(jìn)入電腦截取用戶網(wǎng)絡(luò)連接信息又很難從計(jì)算機(jī)上清除的程序。根據(jù)這一定義，間諜軟件可以分為兩類，一類是“監(jiān)視型間諜軟件”，它具有記錄鍵盤操作的鍵盤記錄器功能和屏幕捕獲功能，另一類是“廣告型間諜軟件”，通過軟件捆綁或ActiveX控件安裝，能記錄用戶的信息，但用戶并不知道它的存在。可以說間諜軟件對信息安個(gè)構(gòu)成嚴(yán)重的威脅：

泄漏商業(yè)秘密一一通過間諜軟件，外部人員可以在網(wǎng)絡(luò)鏈入因特網(wǎng)的時(shí)候截取網(wǎng)內(nèi)的機(jī)密數(shù)據(jù)、重要信息以及內(nèi)聯(lián)網(wǎng)的U RL等信息并發(fā)送到因特網(wǎng)上，一旦這些信息沒有加密的話就會(huì)引起機(jī)密信息的泄漏，帶來無法估量的損失。

侵犯個(gè)人隱私—對普通用戶來說，間諜軟件最大的危害就是侵犯個(gè)人隱私，它能夠在用戶上網(wǎng)的時(shí)候記錄用戶IP地址、訪問的網(wǎng)站、個(gè)人習(xí)性、秘密信息甚至是敏感信息，如信用卡號(hào)、提款密碼等，并將這些調(diào)查信息返回到間諜軟件開發(fā)商的服務(wù)器上，在侵犯用戶個(gè)人隱私權(quán)的同時(shí)，還給垃圾郵件的發(fā)送創(chuàng)造了條件。

破壞電腦的完整性—大部分間諜軟件可讀性差并且能導(dǎo)致電腦系統(tǒng)的崩潰，而另一部分則有可能影響電腦的正常操作，它會(huì)導(dǎo)致操作異常或者非法操作、瀏覽器異常、用戶密碼更改甚至是死機(jī)。一般來說，將間諜軟件清除電腦即可恢復(fù)正常，但也有的一旦用戶試圖清除就會(huì)導(dǎo)致電腦異常。

除上述的危害之外，間諜軟件還可以改動(dòng)你的瀏覽器設(shè)置，將其他的網(wǎng)站作為默認(rèn)的主頁，擾亂你的系統(tǒng)部件之間的兼容性，斷開你的電腦同你的默認(rèn)ISP之間的連接。

五、做好網(wǎng)絡(luò)安全運(yùn)行監(jiān)控與管理。

①網(wǎng)絡(luò)安全運(yùn)行監(jiān)控。能夠?qū)崟r(shí)監(jiān)控網(wǎng)絡(luò)運(yùn)行：監(jiān)控網(wǎng)絡(luò)流量；監(jiān)控網(wǎng)絡(luò)合法應(yīng)用；數(shù)據(jù)傳輸跟蹤；服務(wù)器進(jìn)程監(jiān)控；服務(wù)器日志監(jiān)控分析；監(jiān)控外部入侵與內(nèi)部破壞；定期提交網(wǎng)絡(luò)監(jiān)控分析報(bào)告（流量分析、日志分析、運(yùn)行總結(jié)、改進(jìn)升級(jí)建議）。做好網(wǎng)絡(luò)安全運(yùn)行監(jiān)控有利于保證網(wǎng)絡(luò)中心的動(dòng)態(tài)信息安全，因此，必須隨時(shí)檢測、監(jiān)控網(wǎng)絡(luò)運(yùn)行狀況，保證網(wǎng)絡(luò)中心各個(gè)系統(tǒng)安全穩(wěn)定的運(yùn)行。

②安全管理制度的完善。總的來說，網(wǎng)絡(luò)安全不僅僅是技術(shù)問題，同時(shí)也是一個(gè)安全管理問題。必須綜合考慮安全因素，制定合理的目標(biāo)、技術(shù)方案、相關(guān)的配套法規(guī)等。在很多系統(tǒng)中，由于管理上的原因造成了大量的安全問題。為了建設(shè)一個(gè)完善的安全體系，制定一個(gè)完善的安全管理制度是必須的。網(wǎng)絡(luò)中心信息安全問題中最核心的問題是管理問題。“人”是實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)安全的關(guān)鍵因素。如果沒有相應(yīng)的管理制度，再好的網(wǎng)絡(luò)安全實(shí)施方案也形同虛設(shè)，因此需要加強(qiáng)人員安全培訓(xùn)，制定安全管理規(guī)范，同時(shí)，要充分利用各種技術(shù)手段進(jìn)行自動(dòng)化管理。網(wǎng)絡(luò)的安全管理規(guī)范包括：確定安全管理等級(jí)和安全管理范圍；制定有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出人機(jī)房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等。

六、結(jié)束語

總之，人民生活水平的提高，網(wǎng)絡(luò)信息的應(yīng)用，不僅推動(dòng)了社會(huì)的進(jìn)步，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的日趨成熟使得各種網(wǎng)絡(luò)連接更加容易，人們在享受網(wǎng)絡(luò)帶來便利的同時(shí)，網(wǎng)絡(luò)的信息安全也日益受到威脅。計(jì)算機(jī)網(wǎng)絡(luò)信息安全問題也隨之日益突出，安全現(xiàn)狀應(yīng)當(dāng)引起人們的關(guān)注。