信息安全策略與防范技術探討

摘要：隨著網絡技術的飛速發展和廣泛應用，信息安全問題正日益突出顯現出來，受到越來越多的關注，在信息網絡化如此普及的年代，信息安全與信息產業息息相關。該文就信息安全的現狀進行了分析，對現今信息安全采用的策略進行了概述，從數據加密、入侵檢測、防火墻技術等方面論述，探討了如何將信息安全提升到一個較高的水平。

關鍵詞：信息安全；策略；加密；防火墻

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)36-2911-02

The Discussion of Information Security Strategy and Prevention Technology

JIANG Hao

(Department of Information Science and Technology， Jiujiang University， Jiujiang 332005， China)

Abstract: With the rapid development of network technology and deep application， the information security is increasingly emerged，which more and more are concerned.In the age which information network is universal general，the information security and information industry are closely related. This paper analyzes the current state of information security， summarizes the current strategy of information security，comments these factor such as data encrypt，invasive check， firewall technology etc， and discusses how to make a higher level of information security.

Key words: information security; strategy; encrypt; firewall

1 引言

迅速發展的Internet給人們的生活、工作帶來了巨大的改變，網絡應用的推廣與深入使信息安全技術得到了空前的發展。在網絡給人們帶來巨大的便利的同時，也帶來了許多不容忽視的問題，它為網絡信息系統中的不法分子提供了更加廣闊的平臺，使得犯罪活動更加隱蔽、空間更加寬廣、手段更加高明，給社會的安定與穩定帶來了不良影響。它的安全問題及其對經濟發展，國家安全和穩定的影響，正日益突出顯現出來，受到了越來越多人的關注。

全球信息化進程的不斷加速，國內外信息產業領域對信息安全的關注與日俱增，尤其在信息網絡化如此普及的年代，信息安全與信息產業息息相關。如果一個國家不能保證網絡信息在采集、存儲、傳輸和認證等方面的安全，就不可能獲得信息化的效率和效益，其社會經濟生活也難以健康有序地進行，國家安全更無法保障。因此，網絡與信息安全保護已成為迫切需要解決的問題。

2 信息安全現狀及分析

報告顯示，截至今年第一季度，我國互聯網上網人數達到1.44億，而黑客網站高達20多萬個，即便每臺計算機的使用率不到10%，每天有關安全的攻擊次數也大得驚人[1]。國家計算機網絡信息安全管理中心有關人士指出，網絡與信息安全已成為我國互聯網健康發展必須面對的嚴重問題。計算機犯罪對全球造成了前所未有的新威脅，我國自1986年深圳發生第一起計算機犯罪案件以來，計算機犯罪呈直線上升趨勢，犯罪手段也日趨技術化、多樣化，犯罪領域也不斷擴展，許多傳統犯罪形式在互聯網上都能找到影子，而且其危害性已遠遠超過傳統犯罪。

在網絡日益普及的情況下，信息安全問題已經成為了必須解決的系統性問題，需要成系統、成體系地加以解決。在國家層面上，國信辦2005年2號文，即《國家信息安全戰略報告》提到了信息化建設怎么樣去建立長效機制的問題。2006年5月，經過政治局常委討論通過的《2006-2020年國家信息化發展戰略》，將建設國家信息安全保障體系再次作為非常重要的戰略提出來，文件中再次強調了安全保障體系建設的相關內容。

在此大環境下，在企業方面，很多企業的領導對安全問題重視，管理層也比較嚴格，防病毒、防火墻、入侵檢測等常規的系統安全和防范機制也都采用了，但是深層隱患還是比較多、內控機制還是比較脆弱、高危漏洞還是在大量存在。在許多單位的計算機網絡中，對信息安全域的劃分和有效的控制還需要進一步探索，有的企業安全域劃分很不合理，從而造成控制的機制不夠科學；有的企業對自身系統的風險自評估能力很弱，災難恢復的機制也并不到位。當前企業信息化發展很快，我們必須設法防范其中的一些隱患，因為它們不爆發則已，一旦爆發的話，就會影響到企業的生存和發展。

眾多的不安全因素，都有可能給網絡信息系統帶來巨大的威脅，造成數據和信息的泄密和丟失，甚至是網絡系統的癱瘓。信息安全威脅涉及到許多方面，目前信息安全所面臨的主要潛在威脅有以下幾個方面：信息泄密、信息篡改、傳輸非法信息流、網絡資源的錯誤使用和非法使用網絡資源[2]。

3 信息安全策略及防范技術

3.1 安全策略

網絡所帶來的諸多不安全因素，使得網絡使用者不得不采取相應的對策來對重要的信息內容進行安全保護。為了堵塞安全漏洞和提供安全的通信服務，必須運用一定的策略來對網絡進行安全建設，這已為廣大網絡開發商和網絡用戶所共識[3]?，F今信息安全策略主要有以下幾種：

1）身份驗證和訪問控制

身份驗證和訪問控制策略，包括決定什么權限的用戶能夠訪問什么安全級別的信息，以及作出這一判斷的一組規則和應用于該規則的驗證機制[4]。通常的驗證機制有：口令、令牌/智能卡(通常具有微處理器)，或者生物特征（如：指紋，虹膜等）。另外，公共密鑰基礎設施(PKI)也能夠充當身份驗證的角色。PKI以數字證書和數字簽名技術為基礎。因而能夠確定信息發送者的身份，至少能夠確認信息在傳輸的過程中是否被篡改。

2）安全傳輸

網絡安全協議和標準（如：SSL，SET，IPSEC等）是保證信息安全傳輸的一個重要手段。這些協議和標準使得通過網絡傳輸的數據更加難以非法解析，從而使攻擊者難以對截獲的消息作有效的分析[5]。另外，作為傳統的安全技術，數據加密在安全傳輸中也有著舉足輕重地位，利用上述協議實現的數據傳輸通常是以加密的形式進行的。數據加密技術最有效的方式就是使通過網絡傳輸的數據對于攻擊者來說是不可讀的。加密算法通常分為兩類：對稱密鑰算法和非對稱密鑰算法。所謂對稱密鑰算法就是加密解密都使用相同的密鑰，非對稱密鑰算法就是加密解密使用不同的密鑰。非常著名的PGP公鑰加密以及RSA加密方法都是非對稱加密算法。

3）網絡入侵檢測和保護

虛擬專用網(VPN)，防火墻(Firewall)和入侵檢測系統（TDS)也是最常用的網絡安全措施。VPN允許在不同地方的用戶通過公共網絡設施共享安全的網絡連接：防火墻是內網和外網的隔離帶，它能夠檢測私有網絡的出入數據。防火墻能夠阻止入侵者進入內網，同時也能修改從內網發送的數據；TDS通常包括兩個部分:監視和報告工具，它能夠發現潛在的入侵者及其使用的入侵手段。這些信息又可以用作修補系統漏洞，增強網絡安全的參考。

4）內容過濾和隱私保護

殺毒軟件是普遍使用和廣為人知的內容過濾類型軟件。這種類型的軟件能夠掃描每一封電子郵件及所帶的附件。因為這些郵件或附件中可能帶有惡意的腳本或程序，并用以接管計算機中正常運行的軟件從而達到竊取數據或破壞計算機的目的。一些軟件還能夠檢查郵件中的字符信息，并刪除其中可疑的字符串和圖片信息，甚至整個郵件。還有其它一些類型的內容過濾軟件，例如垃圾郵件過濾器。這類軟件能夠過濾某些可疑郵件，并把他們轉發或退還給郵件發送者。許多公司、教育機構或者家庭都安裝了URL過濾器，用以禁止網頁瀏覽器訪問一些被認為不安全或者不適合的網站。

3.2 身份認證技術

身份認證在網絡安全中占據十分重要的位置。身份認證是安全系統中的第一道防線，如圖1所示，用戶在訪問安全系統之前，首先經過身份認證系統識別身份，然后訪問監控器根據用戶的身份和授權數據庫決定用戶是否能夠訪問某個資源。授權數據庫由安全管理員按照需要進行配置。審計系統根據審計設置記錄用戶的請求和行為，同時入侵檢測系統實時或非實時地是否有入侵行為。訪問控制和審計系統都要依賴于身份認證系統提供的“信息”，即用戶的身份。可見身份認證技術是安全系統中的基礎設施，是最基本的安全服務，其它的安全服務都依賴于它。一旦身份認證系統被攻破，那么系統的所有安全措施將形同虛設。

3.3 數據加密技術

加密是實現信息存儲和傳輸保密性的一種重要手段。信息加密的方法有對稱密鑰加密和非對稱密鑰加密，兩種方法各有所長，可以結合使用，互補長短。對稱密鑰加密，加密解密速度快、算法易實現、安全性好，缺點是密鑰長度短、密碼空間小、“窮舉”方式進攻的代價小。非對稱密鑰加密，容易實現密鑰管理，便于數字簽名，缺點是算法較復雜，加密解密花費時間長。加密技術中的另一重要的問題是密鑰管理，主要考慮密鑰設置協議、密鑰分配、密鑰保護、密鑰產生及進入等方面的問題。

3.4 防火墻技術

眾所周知，防火墻是一種將內部網和公眾網如Internet分開的方法。它能限制被保護的網絡與互聯網絡之間，或者與其它網絡之間進行的信息存取、傳遞操作。防火墻可以作為不同網絡或網絡安全域之間信息的出入口，能根據企業的安全策略控制出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監控了內部網和Internet之間的任何活動，保證了內部網絡的安全。防火墻的安全技術包括包過濾技術、網絡地址轉換——NAT(Network Address Translator)技術等。

圖1安全系統邏輯結構

3.5 入侵檢測技術

入侵檢測系統（Intrusion Detection System 簡稱IDS）是從多種計算機系統及網絡系統中收集信息，再通過這此信息分析入侵特征的網絡安全系統。IDS被認為是防火墻之后的第二道安全閘門，它能使在入侵攻擊對系統發生危害前，檢測到入侵攻擊，并利用報警與防護系統驅逐入侵攻擊;在入侵攻擊過程中，能減少入侵攻擊所造成的損失；在被入侵攻擊后，收集入侵攻擊的相關信息，作為防范系統的知識，添加入策略集中，增強系統的防范能力，避免系統再次受到同類型的入侵。入侵檢測的作用包括威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。

4 結束語

信息安全是一項長期性的復雜的系統工程，不是單一的產品和技術可以完全解決的。這是因為信息安全包含多個層面，既有層次上的劃分，也有防范目標上的差別。信息系統的安全單靠某一個設備、某一項技術是不能徹底解決的，因此需要系統性地解決問題，需要通過貫穿整個信息安全系統生命周期的安全服務來解決信息系統的安全問題。要提升信息安全的水平，制定適當完備的信息安全策略是前提，高水平的信息安全技術是保證。

參考文獻：

[1] 劉曉華.網絡信息安全及其防范技術探討[J].科技廣場，2007(5):98-100.

[2] 周國強，陸煒，曾慶凱.信息安全評估模型的研究與實現[J].計算機應用與軟件，2007，24(11):5-8.

[3] 李雪梅，王健敏.工業系統信息安全管理體系的構建[J].微計算機信息，2007(3):63-64.

[4] 周功業，易佳，陳進才.基于角色訪問控制的對象存儲安全認證機制[J].計算機工程與設計，2007，28(24):5847-5849.

[5] 蔡昌曙，蔡昌許，劉昆，等.基于PKI的一種信息安全傳輸協議設計[J].信息技術，2007，31(11):96-98.