網絡信息安全保障的應用探索

宋月紅

（聊城大學 建筑工學院，聊城 252059）

0 引言

互聯網的廣泛應用和普及，帶來了經濟的繁榮和發展，豐富和活躍了人們的精神文化生活，大大推進了社會文明建設的進程。但同時隨著人們信息化期望程度的加深，網絡與信息安全問題也已赫然擺在世人面前。

1 網絡安全問題的表現形式

1.1 病毒、木馬威脅加劇

據國內信息安全廠商瑞星公司2008年11月份報告統計顯示，2008年的前10個月，互聯網上共出現新病毒9306985個，是2007年同期的12.16倍，木馬病毒和后門程序之和超過776萬，占總體病毒的83.4%，病毒數量呈現出了井噴式爆發。事實證明，現在借助病毒木馬牟利的黑色產業鏈已經形成。

1.2 安全漏洞

2008年安全漏洞被曝光的頻率及數量比以往都要多。存在的主要十大安全漏洞分別是：瀏覽器漏洞、Adobe Flash漏洞、ActiveX漏洞、SQL注入式攻擊、Adobe Acrobat閱讀器漏洞、CMS漏洞、Apple QuickTime漏洞、Web2.0元素(如Facebook應用、網絡廣告等)、Realplayer漏洞和DNS緩存漏洞等。

1.3 黑客行為，數據泄露

根據國家計算機病毒應急處理中心的分析報告，2007年全國計算機病毒感染率已經高達91.5%，其中相當部分已經被黑客控制。黑客行為：其核心特點是利用網絡用戶的失誤或系統的脆弱性因素，針對特定目標進行拒絕服務攻擊或侵占。Websense安全實驗室最新報告也顯示，29%的惡意攻擊中包含數據竊取程序，這表明攻擊者已經將竊取核心機密數據和信息作為其主要目標。

1.4 垃圾郵件的泛濫

其核心特點是以廣播的方式鯨吞網絡資源，影響網絡用戶的正常活動。附帶調查性垃圾郵件，以獲取終端用戶的個人信息為目的。許多垃圾郵件均使用同一個社交網站群組。一旦用戶鏈接到目的網址，會被要求填寫一張個人信息表。這些信息可能被出售給營銷公司，也可能用于將來發送垃圾郵件。

1.5 有害信息的惡意傳播

其核心特點是以廣泛傳播有害言論的方式，來控制、影響社會的輿論。

2 網絡信息安全的保障措施

信息網絡的通信是由通信協議堆棧完成的，通信協議大致可分為應用層、傳輸層、網絡層、鏈路層和物理層。采用通信協議分層的方式對網絡通信進行安全控制可滿足信息網絡安全通信的需要，保障信息傳輸的機密性、完整性和可用性。針對網絡通信的安全控制需求，設計出通信的安全的控制結構，具體如表1所示。

2.1 以人為本，確保安全制度的建立和落實

根據實際情況和所采用的技術條件，制定出切實可行又比較全面的各類安全管理制度。主要有：計算機網絡安全管理制度、計算機病毒防治管理制度、操作系統和數據庫安全管理制度、軟件安全管理制度、密鑰安全管理制度等。制度的建立切不能流于形式，重要的是落實和監督。另外，要強化工作人員的安全教育和法制教育，真正認識到計算機網絡系統安全的重要性和解決這一問題的長期性、艱巨性及復雜性。

表1 通信安全控制結構

2.2 利用訪問與控制策略，確保網絡信息安全

訪問控制策略是網絡安全防范和保護的主要策略，其任務是保證網絡資源不被非法使用和非法訪問。各種網絡安全策略必須相互配合才能真正起到保護作用，而訪問控制是保證網絡安全最重要的核心策略之一。訪問控制策略包括入網訪問控制策略、操作權限控制策略、目錄安全控制策略、屬性安全控制策略、網絡服務器安全控制策略、網絡監測、鎖定控制策略和防火墻控制策略等7個方面的內容。

2.3 利用防火墻控制網絡信息安全

防火墻（作為阻塞點、控制點）能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻，所以網絡環境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協議進出受保護網絡，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

1）數據包過濾(Packet Filtering)技術是在網絡層對數據包進行選擇，選擇的依據是系統內設置的過濾邏輯， 被稱為訪問控制表(Access Control Table)。通過檢查數據流中每個數據包的源地址、目的地址、所用的端口號、 協議狀態等因素，或它們的組合來確定是否允許該數據包通過。 數據包過濾防火墻邏輯簡單，價格便宜，易于安裝和使用， 網絡性能和透明性好，它通常安裝在路由器上。路由器是內部網絡與Internet連接必不可少的設備， 因此在原有網絡上增加這樣的防火墻幾乎不需要任何額外的費用。

數據包過濾防火墻的缺點有二：一是非法訪問一旦突破防火墻，即可對主機上的軟件和配置漏洞進行攻擊； 二是數據包的源地址、目的地址以及IP的端口號都在數據包的頭部，很有可能被竊聽或假冒。

2）應用級網關(Application Level Gateways)是在網絡應用層上建立協議過濾和轉發功能。它針對特定的網絡應用服務協議使用指定的數據過濾邏輯，并在過濾的同時，對數據包進行必要的分析、 登記和統計，形成報告。實際中的應用網關通常安裝在專用工作站系統上。

數據包過濾和應用網關防火墻有一個共同的特點，就是它們僅僅依靠特定的邏輯判定是否允許數據包通過。 一旦滿足邏輯，則防火墻內外的計算機系統建立直接聯系， 防火墻外部的用戶便有可能直接了解防火墻內部的網絡結構和運行狀態，這有利于實施非法訪問和攻擊。

3）代理服務(Proxy Service)也稱鏈路級網關或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人將它歸于應用級網關一類。它是針對數據包過濾和應用網關技術存在的缺點而引入的防火墻技術， 其特點是將所有跨越防火墻的網絡通信鏈路分為兩段。防火墻內外計算機系統間應用層的＂ 鏈接＂， 由兩個終止代理服務器上的＂ 鏈接＂來實現，外部計算機的網絡鏈路只能到達代理服務器， 從而起到了隔離防火墻內外計算機系統的作用。此外，代理服務也對過往的數據包進行分析、注冊登記， 形成報告，同時當發現被攻擊跡象時會向網絡管理員發出警報，并保留攻擊痕跡。

防火墻能有效地防止外來的入侵，它在網絡系統中的作用是：控制進出網絡的信息流向和信息包；提供使用和流量的日志和審計；隱藏內部IP地址及網絡結構的細節；另外防火墻引起或IE瀏覽器出現故障，也可導致可以正常連接，但不能打開網頁。

2.4 利用數據加密技術控制網絡信息安全。

數據傳輸加密技術目的是對傳輸中的數據流加密，常用的方針有線路加密和端到端加密兩種。前者側重在線路上而不考慮信源與信宿，是對保密信息通過各線路采用不同的加密密鑰提供安全保護的。后者則指信息由發送者端自動加密，并進入TCP/IP數據包回封，然后作為不可閱讀和不可識別的數據穿過互聯網，當這些信息一旦到達目的地，將被自動重組、解密，成為可讀數據。數據存儲加密技術目的是防止在存儲環節的數據失密。

數據傳輸加密技術是為增強普通關系數據庫管理系統的安全性，提供一個安全適用的數據庫加密平臺，對數據庫存儲的內容實施有效保護。它通過數據庫存儲加密等安全方法實現了數據庫數據存儲保密和完整性要求，使得數據庫以密文方式存儲并在密態方式下工作，確保了數據安全。

3 結束語

隨著計算機技術和通信技術的發展，計算機網絡將日益成為重要信息交換手段，滲透到社會生活的各個領域，只有采取強有力的安全策略，才能保障網絡信息的安全性。

[1] 汪海慧.淺議網絡安全問題及防范對策[J].信息技術,2007.

[2] 劉修峰,范志剛.網絡攻擊與網絡安全分析[J].網絡安全,2006.

[3] 趙丹麗,管建和.網絡通信與安全探討[J].軟件導刊,2008.