淺談報社計算機網絡信息安全

周琳

計算機網絡信息安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。它主要是指網絡系統的硬件、軟件及其系 統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。

隨著計算機技術的飛速發展，信息網絡已經成為社會發展的重要保證。信息網絡涉及諸多領域，包括存儲、傳輸和處理的許多信息，這些網絡信息系統都依靠計算機網絡接收和處理信息，實現相互間的聯系和對目標的管理、控制，以網絡方式獲得信息和交流信息已成為現代信息社會的一個重要特征。包括報社在內的很多單位都已經采取了全數字化內部網絡辦公、排版、打印、輸出、印刷等一條龍的信息化渠道，但是在其中有很多是重要的信息，所以難免會吸引來各種攻擊（例如信息泄漏、數據篡改、數據刪添、計算機病毒等）。為了防止各種各樣的網路攻擊，提前做好報社內部網路的信息安全就顯得尤為重要，下面從幾個方面談一談如何保證報社內部計算機網絡安全

報社互聯網安全問題的產生和解決，綜合技術和管理等多方面因素，我們可以從以下為四個方面著手解決：1、報社網絡對外的開放性，2、內部網絡自身的脆弱性，3、訪問的即時性，4、管理的困難性。

報社網絡對外的開放性

由于報社的工作性質決定了稿件要在不同部門間流通、審閱、定稿，所以文件服務器的絕大多數文件是共享性質的，也就是說，內部網絡上的每一個節點都是有訪問和修改權限，同時，報社的編輯需要使用同一臺內網節點訪問互聯網，如果管理員或者用戶的技術水平限制、維護 管理工作量大等因素，設計時沒有充分考慮服務器所面對的外網安全威脅，工作階段也就留下了大量的安全漏洞。比如，系統的缺省安裝和弱口令，這樣就很容易使服務器暴露在互聯網的攻擊下，現在互聯網攻擊的手段越來越簡單、越來越普遍，攻擊工具的功能卻越來越強，因此攻擊者也更為普遍。這時候需要管理員使用防火墻等工具來防范風險，“防火墻”是一種形象的說法，其實它是一種由計算機硬件和軟件的組合，使互聯網與內網之間建立起一個安全網關，從而保護內部網免受非法用戶的侵入，它其實就是一個把互聯網與內網隔開的屏障。

防火墻的技術實現通常是基于所謂“包過濾”技術，而進行包過濾的標準通常就是根據安全策略制定的。在防火墻產品中，包過濾的標準一般是靠網絡管理員在防火墻設備的訪問控制清單中設定。訪問控制一般基于的標準有：包的源地址、包的目的地址、連接請求的方向、數據包協議（如TCP/IP等）以 及服務請求的類型等。

防火墻可以利用代理服務器軟件實現。早期的防火墻主要起屏蔽主機和加強訪問控制的作用，現在的防火墻一般都具有加密、解密和壓縮、解壓等功能，這些技術增加了信息在互聯網上的安全性。網絡的安全性通常是以網絡服務的開放性為代價的，對防火墻的設置也不例外。防火墻的隔斷作用一方面加強了內部網絡的安全，一方面卻使內部網絡與外部網絡的信息系統交流受到阻礙，因此必須在防火墻上附加各種信息服務的代理軟件來代理內部網絡與外部的信息交流，另外，防火墻只能阻截來自外部網絡的攻擊，而對于內部網絡的安全還需要通過對內部網絡的有效控制和管理來實現。這就引發了下一個方面的問題。

內部網絡自身的脆弱性

內網是使用者主要是報社內部編輯人員，本身內網是比較安全的，但由于編輯需要使用互聯網找稿和圖片還有新聞線索，還有每個人的對電腦使用的習慣不同，再加上各種附加電子設備的使用，使看似安全的內網暴露在各種危險之下，比如使用優盤，優盤實際上是能夠從防火墻內部感染內部網路的常規途徑。優盤價格便宜、體積小、存儲數據多，并且能夠在多種設備上使用。優盤的普遍應用促使網絡黑客開發出一種有針對性的惡意軟件，如臭名昭著的蠕蟲病毒，這種蠕蟲能夠在連接到USB端口的時候自動執行，更嚴重的是，默認的操作系統設置一般都允許大多數程序（包括惡意程序）自動運行。對此，解決辦法就是修改計算機默認的自動運行政策。優盤并不是需要擔心的唯一的USB接口設備。許多設備都能夠把數據存儲到普通的文件系統中，并且通過一個USB接口或類似的連接進行讀寫。包括數碼相機、打印機、掃描儀、傳真機，同時，同上面提到的優盤一樣，光盤也是網絡感染的一個原因，表面上合法的可記錄介質能夠用來拷貝數據進出網絡。另外，智能手機能夠引起上面所說的優盤和筆記本電腦引起的同樣的威脅。而且，智能手機有可能避開傳統的數據泄漏保護解決方案。所以，需要在報社實施和執行一定的設備控制和政策，規定什么設備可以進入這個網路環境，以及什么時候可以進入這個網路環境。然后，定期檢測這些政策的執行情況。

訪問的即時性

報社內網經常設置2-3個共享文件夾，用于存放保存已經編寫好的文稿和圖片等，并且共享打印機等設備，在平時訪問量不大情況下，網絡比較流暢，當十幾個編輯同時訪問的時候，有時候就會產生擁堵的情況，甚至會產生網絡癱瘓。這時候訪問的即時性問題就顯現出來，如何解決呢，需要采取身份驗證，訪問控制和權限設置等措施安排好對文件和設備的訪問優先次序。

內網身份驗證是一致性驗證的一種，驗證是建立一致性證明的一種手段。身份驗證主要包括驗證依據、驗證系統和安全要求。身份驗證技術是在計算機中最早應用的安全技術，現在也仍在廣泛應用，目前最新的有兩種，一是基于USB Key的Windows系統登錄認證方案：通過定制登錄GINA模塊，配合安全登錄策略，來提高Windows登錄認證的安全性；二是基于802.1x協議的網絡接入認證方案：通過定制認證客戶端，配合交換機設備，有效阻止了未授權用戶或設備非法接入網絡。同時，這兩個方案將對用戶身份認證轉變為對USB.Key設備的認證，省去了用戶頻繁輸入身份驗證賬號和密碼的繁瑣性，體現了簡潔高效。內網訪問控制是存取控制規定何種主體對何種客體具有何種操作權力。存取控制是網絡安全理論的重要方面，主要包括人員限制、數據標識、權限控制、類型控制和風險分析，它一般與身份驗證技術一起使用，賦予不同身份的用戶以不同的操作權限，以實現不同安全級別的信息分級管理。

4、管理的困難性

現在隨著網絡知識的普及，越來越多的人都喜歡在網上瀏覽和下載視頻文件，其中可能對局域網造成嚴重影響的還是通過一些點對點傳輸軟件，也就是平時說的P2P軟件，如迅雷、電驢等等。這些P2P工具大多采用多線程、多節點、多服務器下載，可以占用大量的內部外部網絡流量，耗盡網絡帶寬，從而使得堵塞網絡，導致各種正常的網絡辦公軟件使用受到限制，使得正常的網頁瀏覽、收發電子郵件都極為困難。所以，對這些上網行為必須進行嚴格的管理。

傳統的網絡管理方法，一般是借助于防火墻禁止軟件、或者通過路由器限制軟件；并且通過防火墻限制下載軟件、限制在線視頻等等，或者通過路由器限制P2P軟件，通過交換機限制P2P軟件的使用等。但是，隨著這些軟件變得更為智能，這些軟件的端口都是可以自動切換的，并且這些軟件的傳輸協議也大量采用P2P協議、UDP協議等點對點協議，而不僅僅是傳統的HTTP協議、TCP協議。總之，這些網絡工具的傳輸特征變得更為復雜、更為智能，從而使得封堵這些網絡工具變得更困難。對網絡管理員的工作提出了更多的挑戰。

總之，一個單位的計算機網絡維護管理工作是一項非常有挑戰性的工作，作為報社的一名計算機網絡維護工作者，要不斷的學習、思考，善于發現問題，解決問題，才能更好的保障報社工作的順利進行和報紙的正常印刷制作。