構建積極防御的計算機綜合防護體系

孫彪++張賽男

摘要：在信息系統當中，所有的運用者的操作都應該嚴格符合相關的要求，有效保證信息系統的安全性。在本文中，簡單分析了對于信息安全系統的反思，描述了可信賴的計算環境，并提出了安全技術的防護框架。

關鍵詞：積極防御；綜合防范；防護體系；反思；計算環境

1.對信息安全系統的反思進行一定的分析

現在，大多數的信息安全系統的構成主要包括病毒的防范、入侵的監測以及防火墻等。相對比較常規的安全方法應該在網絡層當中進行設防，封堵外圍的越權訪問以及非法的用戶等，進而實現有效避免外部的攻擊【1】。但是，沒有有效的控制資源共享的客戶機，同時，沒有非常完善的操作系統，存在著非常嚴重的安全隱患。進行封堵的具體手段是對入侵病毒以及攻擊的特征性信息進行捕捉，其屬于是已經發生的存在滯后性的特征，對于未來的入侵以及攻擊不能實現有效的預測【1】。現階段，惡性用戶有著逐漸增多的攻擊方法，因此，防護者有了逐漸增大的安全投入，增加了管理以及維護的復雜性以及實施難度，同時，在很大程度上降低了信息系統使用的實際效率【1】。進行的具體反思是：老三樣-防外攻、作高墻以及堵漏洞。

這些安全方面的事故產生的技術方面的原因為：目前計算機的硬件以及軟件結構實現了很大的簡化，造成能夠任意的運用資源，特別是可以修改編碼，這就會植入惡性軟件，最終實現病毒的快速傳播【1】。更加嚴重的是未嚴格訪問控制合法的用戶，能夠越權進行訪問，這就會導致安全方面的事故。

通常來講，積極防御指的主要是對未授權的訪問操作進行主動的防止，在客戶端的操作平臺當中進行高級防范的具體實施，對不安全的因素進行徹底的控制【2】。

2.對可信賴的計算環境進行一定的分析

現在，在全世界范圍內已經廣泛推行了可信賴的計算環境，有效解決計算機機構的不安全，進而提升可信程度【2】。

根據可信賴平臺模塊，可信的計算終端會依靠安全操作系統以及密碼技術，最終實現的功能如下：

首先，能夠保證用戶身份的唯一性、工作空間以及權限的完整性；其次，可以有效保證處理、保存以及傳輸的完整性以及機密性；然后，能夠保證操作系統的內核、應用系統、環境配置以及服務的完整性；最后，保證存儲、保密密鑰的安全性以及較強的系統免疫力，進而有效防止黑客以及病毒的惡性攻擊【2】。

通常來講，安全操作系統屬于可信計算終端平臺的基礎以及核心，能夠有效保證可信賴平臺模塊作用的充分發揮【3】。

3.對安全技術的防護框架進行一定的分析

一般來講，信息系統有著三個構成部分，具體表現為網絡通信、共享服務以及操作應用等。若在信息系統當中所有的用戶都是經過合法的授權以及認證的，具體的操作嚴格符合相關的規定，那么就不會出現竊聽以及攻擊性的事故發生，進而有效保證信息系統的安全性，在此基礎上，建立積極防御綜合防范的防護體系【3】。

運用可信的操作平臺來有效保證用戶資源的一致性以及合法性，嚴格要求用戶按照相關的規定來實施具體的操作，保證訪問權限與身份的一致性，科學合理的制定控制的相關規則，實現整個訪問過程的安全運行【4】。

通常情況下，安全共享的服務邊界會運用安全邊界設備當中所具有的安全審計以及身份認證的相關功能，有效隔離非法的訪問者以及共享服務器，有效避免非授權用戶進行訪問【4】。這能夠在一定程度上保證共享服務端沒有必要進行比較復雜的訪問方面的控制，可以有效減少服務器的壓力。

在全程的網絡通信當中，一般會運用IPSec來保證網絡通信的保密性以及安全性。在實際的操作系統當中，該工作會實現有效的安全保護，進而保證數據的機密性以及傳輸的真實性【4】。

上面所提到的可信操作平臺、共享服務資源邊界以及全程網絡通信三者共同構成了信息安全的防護框架。

在該框架當中，若想有效的保障邊界、終端以及通信的安全性，應該向管理中心進行密碼支撐的授權【5】。在技術角度來講，能夠分成五個具體的環節，表現為：

第一，應用環境的安全。主要會包含B/S模式以及單機模式的安全，嚴格運用安全審計、密碼加密以及控制訪問等相關機制，對可信應用環境進行有效的建立。第二，應用區域邊界的安全。利用相關的保護措施來實現訪問內部局域網，保證廣域網以及局域網間的安全性。運用防火墻等相關的隔離過濾機制來實現資源的傳輸的可信性【5】。第三，通信與網絡傳輸的安全。保證通信的可用性、一致性以及機密性，運用實體鑒別、完整校驗等相關的機制，最終實現安全通信以及可信連接。第四，安全管理中心。該中心會對實時訪問、授權以及認證等的安全運行提供有效的服務【5】。第五，密碼管理中心。該中心主要對比較傳統的對稱密鑰的管理、密碼的配置等提供有效的管理。

對于比較重要以及復雜的信息系統，能夠有效的構成信息防護的框架。三種有著不同性質的運用區域在運用安全保障方面的相關措施后，三者間應該存在一定的溝通，需要運用信息交換以及安全隔離的相關設備來實現連接【5】。在相對比較重要的應用區域間，應該采用信息交換以及安全隔離的相關設備實現邊界的有效保護。

4.總結

綜上所述，我國現階段依然處于建設信息安全的一個關鍵性的時期，需要對研究方向進行正確以及熟練的把握，并有效的制定出發展戰略，需要對我國的基本國情進行充分的符合，引進國際上相對比較先進的技術，致力于積極開發簡潔廉價以及安全高效，同時具有自主性的知識產權的信息安全性比較高的產品，進而對我國的實際需求進行有效的滿足，推動信息安全事業的快速穩定發展。

參考文獻

[1]沈昌祥.構建積極防御綜合防范的防護體系[J].信息安全與通信保密，2004，9（5）：48-50.

[2]時予.安全高效，簡潔廉價，自主可控--“2004年中國網絡安全系統防火墻技術與應用大會”側記[J].計算機安全， 2004，12（5）：121-123.

[3]沈昌祥.構建積極防御綜合防范的信息安全保障體系[J].金融電子化， 2010，24（21）：45-46.

[4]沈昌祥.構建積極防御綜合防范的防護體系[J].電力信息與通信技術，2004，9（5）：48-50.

[5]李杰.構建積極防御、綜合防御的信息安全保障體系[J].民營科技， 2012，27（12）：23-24.endprint