計算機信息安全淺析

吳承輝

?

計算機信息安全淺析

吳承輝

福建省經濟信息中心教育培訓處

網絡信息時代，物理設備損壞、系統崩潰、病毒、黑客攻擊等都會對網絡信息安全構成重大威脅，因此對網絡信息的保護就顯得尤為重要。針對以上各種威脅，該文從物理、內網安全管理、身份認證、病毒防治、軟件加密、防火墻使用等方面提出解決方案，從而使網絡信息安全得到充分保障。

網絡信息安全 安全隱患 安全策略

網絡信息安全問題涉及很多方面。很多人一提到網絡傳輸的信息安全，總是會立即聯想到加密、防黑客、反病毒等專業技術問題。實際上，網絡環境下的信息安全不僅涉及到技術問題，而且涉及到管理方面的問題，技術問題雖然是最直接的保證信息安全的手段，但離開了管理的基礎，縱然有最先進的技術，信息安全也得不到保障。

1 計算機信息安全隱患

1.1 病毒、木馬和惡意軟件的入侵

計算機病毒傳播方式多種多樣，其中以“木馬”、“蠕蟲”、“惡意軟件”病毒最令人頭痛。病毒可以通過移動存儲設備(如U盤)、局域網傳播，也可以在上網過程中被掛“木馬”網站感染。同時，由于計算機的殺毒軟件查殺某一病毒的能力總是滯后于病毒，絕大多數情況是在病毒已經感染擴散后，安全軟件才更新相關病毒數據庫并采取殺毒措施。因此，病毒往往防不勝防。

1.2 網絡黑客的攻擊

黑客攻擊是黑客自己開發或利用已有的工具尋找計算機系統和網絡的缺陷和漏洞，并對這些缺陷實施攻擊。在計算機網絡飛速發展的同時，黑客技術也日益高超，目前黑客能運用的攻擊軟件已有1000多種。從網絡防御的角度講，計算機黑客是一個揮之不去的夢魘。

1.3 非法訪問竊取、訪問與操作導致敏感信息外泄

計算機內存儲的軟件和數據信息是供用戶在一定條件下進行訪問的，訪問形式包括讀、寫、刪、改、拷貝、運行等。對于一些重要或秘密的軟件和數據信息，若沒有采取特別的安全保密措施，一些有意或無意的非法訪問將會充滿危險性。這些訪問可能來自本系統網絡的某個工作站，也可能來自因特網上不可知的某個終端。這種事情的發生，會給計算機及其信息數據帶來不可預見的災難。

1.4 備份數據和存儲媒體的損壞、丟失

我們經常采用磁盤陣列、磁帶、磁帶庫、光盤塔、光盤庫等專用硬件，加上適當的備份軟件組成數據備份與回復系統。然而即使有了完善的數據備份與恢復系統，仍可能存在備份數據和備份媒體損壞或丟失的危險。如存儲媒介中的數據讀不出來，存儲媒介丟失、損壞等。

1.5 管理漏洞帶來的安全隱患

網絡信息安全問題的解決，三分靠技術，七分靠管理。根據調查表明，網絡信息安全威脅60%來自網絡內部。人為的無意失誤、違規、瀆職等行為是造成網絡信息不安全的重要原因。網絡管理員考慮不周（如：設備轉手次數太多、沒有及時安裝補丁、錯誤操作等），網絡硬件（路由器、服務器等）安全配置不當，用戶安全意識不強，不按照安全規定操作，都會對網絡信息安全帶來威脅。在一個局域網內部，計算機終端隨意接入到公司網絡，網絡內主機非法外聯，內部人員通過撥號、3G網絡等方式私自建立非法外聯網絡，內部工作人員私自使用移動存儲介質拷貝、復制、刪除計算機上存儲的工作文件，這些行為都可能造成內部敏感信息的失泄密，同時也成為內部網絡病毒感染的重要源頭。內網缺少較強的安全審計系統。終端操作系統自帶的審計系統相對較弱，不便于實施統一管理。沒有審計系統，對用戶的違規行為和其他入侵行為缺乏監管手段，也無法進行責任認定。因此加強內網管理及員工的安全意識是網絡信息安全十分重要的一環。

2 計算機信息安全策略

網絡信息安全體系由物理安全、鏈路安全、網絡安全、系統安全、信息安全五部分構成。目前信息網絡布署的安全技術手段主要方式有以下幾個方面：

2.1 數據的物理安全

數據的物理安全包括設備安全和介質安全。設備安全指計算機設備的防盜、防毀、防電磁泄漏發射、抗電磁干擾及電源保護等。我們應該保護局域網絡中的計算機系統、網絡服務器、物理鏈路等基礎設施免受自然災害、人為破壞和搭線攻擊，采取的防范措施有：①采用符合規范的計算機場地和機房；②主要網絡設備要置于專門的屏蔽室中，防止線路被竊取；③采用光電接口和光纜，減少線路被竊取概率；④介質安全包括媒體本身的安全及媒體數據的安全。對媒體本身的安全保護是指防盜、防毀、防霉等，對媒體數據的安全保護是指防止記錄的信息不被非法竊取、篡改、破壞或使用。

為保證介質的存放安全和使用安全，介質的存放和管理應有相應的制度和措施：①存放重要數據和關鍵數據的各類記錄介質，應采取有效措施，如建立介質庫、異地存放等，防止被盜、被毀和發霉變質。②系統中有很高使用價值或很高機密程度的重要數據，或者對系統運行和應用來說起關鍵作用的數據，應采用加密等方法進行保護。③應該刪除和銷毀的重要數據，防止被非法拷貝，應由專人負責集中銷毀。

2.2 在網絡各個層次建立權限管理、身份驗證和訪問機制

為保障網絡資源不被非法使用和非法訪問，我們應在網絡系統的各個層次（物理設備、網絡配置、操作系統、數據庫、應用系統）建立用戶使用權限列表，檢查每個用戶使用網絡資源的合法性。身份認證是在計算機網絡中確認操作者身份的過程，分為用戶與主機間的認證以及主機與主機之間的認證。最常用的認證方式就是“用戶+密碼”，這種認證方法存在認證過程不加密，密碼容易被破解和監聽的缺陷。因此，又產生了多種的認證方法，如：智能卡（IC卡）、短信密碼、動態口令牌、USB KEY、生物識別技術（如指紋識別、語音識別等）。身份認證是整個網絡安全體系的基礎，它能確認用戶的權限和責任。

2.3 病毒防治

在病毒肆虐的時代，反病毒已經成為信息安全非常重要的一環，因此必須要配置可以服務于整個局域網的反病毒產品，構造一套完整的集中防病毒網絡系統平臺，以確保網絡免于病毒的侵襲。集中防病毒系統應有集中管理、遠程安裝、智能升級、遠程報警、分布查殺等多種功能。在發現病毒后安裝病毒查殺軟件屬于事后防治，計算機中的很多數據已被破壞，計算機的信息安全沒有等到保障。而集中防病毒系統屬于預防性防治，能最大限度減少病毒的感染，不給病毒傳播留下機會。

2.4 防火墻的使用

防火墻是目前最為流行也是使用最為廣泛的一種網絡安全技術。防火墻是一個系統，主要用來執行兩個網絡之間的訪問控制策略。它可為各類網絡提供必要的訪問控制，但又不造成網絡瓶頸，并通過安全策略控制進出系統的數據從而保護關鍵資源。

從防火墻的軟、硬件形式來分，防火墻可以分為硬件防火墻和軟件防火墻。就目前的實際情況來看，軟件類防火墻在阻擋技術水平相對較高的攻擊者前根本無法發揮其應有的作用，因此對于那些對數據安全性要求較高的企業和部門來說，一定要設置相應的硬件防火墻。

架構防火墻要達到以下功能：①網絡安全的屏障，它可以過濾不安全的服務，這樣外部攻擊者就不能利用這些脆弱的協議來攻擊內部網絡。②強化網絡安全策略，它能將所有安全軟件（如口令、加密、身份認證等）配置在防火墻上，這樣的集中安全管理更有效。③對網絡存取和訪問進行監控審計，防火墻能記錄下所有的訪問并作出日志記錄，同時也能提供網絡使用情況的統計數據。當發生可疑動作時，防火墻能進行適當的報警，并提供詳細信息。④防止內部信息外泄，利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感數據外泄。

除了安全作用，防火墻還支持具有Internet服務的內部網絡體系VPN（虛擬專用網）。

2.5 軟件加密

軟件加密技術是保障數據安全最基本、最核心的技術措施。軟件加密過程由形形色色的加密方法來具體實施，它以較小的代價獲得較大的安全保障。

目前采用的軟件加密方法可分為軟加密、硬加密和網絡加密。軟加密比較常見的有軟件子校驗方式、密碼表加密、許可證管理方式、uskey以及光盤加密。硬加密主要有加密卡和加密鎖（如智能卡加密狗）等。網絡加密不同于使用本機軟件或硬件的加密方法，而由基于網絡的其它計算機或設備來完成加解密或驗證工作，而網絡設備和客戶端之前通過安全通道進行通訊。軟加密和硬加密都是實現一樣的加密算法，理論上強度相同，而隨著多核心處理器的發展，軟件加密已經能趕上硬件加密的速度。但軟加密也存在不足，如密鑰的管理很復雜，同時由于是在用戶的計算機內部使用軟件加密，容易給攻擊者采用分析程序進行跟蹤、反編譯等手段進行攻擊。硬加密也有不足，如大量占用存儲空間，制造商容易留下后門，從而給安全留下隱患。網絡加密是目前安全性最高的加密方式，但由于其高度依賴網絡，需要網絡一直保持通暢，實際使用中會造成很大的困難。綜上所述，軟加密、硬加密以及網絡加密都各有其優缺點，可以根據實際不同級別的安全需要，選擇適合的加密方式。

2.6 對網絡系統進行備份

網絡系統備份是指對網絡中的核心設備和數據信息進行備份，以便在網絡出現意外時能快速、全面地恢復。網絡系統的運行核心設備的備份主要包括核心交換機、核心路由器、重要服務器等。數據信息包括對網絡設備的配置信息、服務器數據等的備份。網絡系統數據備份是網絡日常維護工作的重要環節之一，做好相關備份工作，才能在網絡系統出現故障時及時、迅速、有效地恢復系統，確保系統的正常運行。

2.7 內網安全管理

網絡信息安全除了應用必要的技術手段，網絡的運維和管理同等重要。防止內部信息外泄最重要的手段就是布置內網監控系統。內網監控系統必須具備以下普遍的功能：一是內部網絡信息泄漏防范，防止在內部網絡的主機上，利用網絡、存儲介質、打印機等媒介，故意或者無意地泄露本地的敏感信息；二是對系統用戶帳號的管理，能夠將用戶登錄系統時的信息記錄下來；三是對系統資源安全管理，能夠對在系統上控制和限制某些特別程序的運行，限制對文件重命名、刪除等操作；四是能夠監視和控制整個系統的實時運行情況，監視內部人員的使用情況；五是審計信息安全情況，在對內部網絡的安全審計信息進行記錄的同時，生成內部網絡主機使用情況報告以及安全問題的分析報告等。內網監控不但可以為事故處理提供重要依據，而且可以對某些潛在的侵犯安全的攻擊源起到威懾作用。

除了從管理上進行監控以外，員工的計算機安全意識對網絡信息安全也非常重要。計算機的操作、安全制度的執行都需要員工來執行，加強員工的計算機網絡安全知識培訓，提高員工的計算機操作水平和安全意識水平，可以從整體上提高計算機網絡的安全性。

3 結語

總之，隨著計算機網絡安全問題的不斷增多，計算機網絡安全越來越被人們重視。計算機網絡信息安全不僅是技術問題，也是管理問題。計算機網絡信息安全技術只是實現計算機網絡系統安全的工具，沒有任何方法能夠保證計算機網絡系統的絕對安全。我們應當綜合運用多種安全技術，將軟硬件、管理制度、人員等有效結合，開發自身潛力，以有限資金確保計算機網絡信息安全。

[1] 王達. 網管員必讀——網絡安全[M]. 北京:電子工業出版社，2007.

[2] 王宏偉.網絡安全威脅與對策[J]. 科技創業月刊，2006(5):179-180.

[3] 黃志洪.現代計算機新息安全技術[M]. 北京:冶金工業出版社，2004.