網絡信息安全保障策略

［摘 要］ 隨著互聯網技術以及信息技術的飛速發展，網絡安全技術已經影響到社會的政治、經濟、文化和軍事等各個領域，信息安全的隱蔽性、跨域性、快速變化性和爆發性給信息安全帶來了嚴峻的挑戰。 網絡的信息安全是構建任何一個網絡系統時必須重點關注的事情。本文簡要地分析了網絡中存在的幾種信息安全隱患，并針對信息安全隱患提出安全保障策略。

［關鍵詞］ 計算機網絡； 信息安全； 保障策略； 防火墻； 預防措施

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2011 . 10 . 034

［中圖分類號］TP393.08 ［文獻標識碼］A ［文章編號］1673 - 0194（2011）10- 0060 - 02

１網絡信息安全定義及研究意義

１．１網絡信息安全定義

網絡安全從本質上來講就是指網絡系統中流動和保存的數據，不受到偶然的或者惡意的破壞、泄露、更改，系統能連續正常工作，網絡服務不中斷。而從廣義上來說，凡是涉及網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論，都是網絡安全所要研究的領域。

１．２網絡信息安全研究意義

網絡信息安全保障手段的研究和應用，對于保證信息處理和傳輸系統的安全，避免因為系統的崩潰和損壞而對系統存儲、處理和傳輸的信息造成破壞和損失；保護信息的保密性、真實性和完整性，避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損于合法用戶的行為；保護國家的安全、利益和發展，避免非法、有害的信息傳播所造成的后果，能進行防止和控制，避免公用網絡上大量自由傳輸的信息失控等方面都有非常重大的意義。

２網絡信息安全現狀

２．１物理傳輸對網絡信息安全的威脅

網絡通信都要通過通信線路、調制解調器、網絡接口、終端、轉換器和處理機等物理部件，這些往往都是黑客、攻擊者的切入對象。主要有以下幾方面的入侵行為：

（１） 電磁泄露：無線網絡傳輸信號被捕獲，對于一些通用的加密算法，黑客和攻擊者已有一整套完備的破解方案，能夠較輕易地獲取傳輸內容。

（２） 非法終端：在現有終端上并接一個終端，或合法用戶從網上斷開時，非法用戶乘機接入并操縱該計算機通信接口，或由于某種原因使信息傳到非法終端。

（３） 非法監聽：不法分子通過通信設備的監聽功能對傳輸內容進行非法監聽或捕獲，由于是基于通信設備提供的正常功能，一般使用者很難察覺。

（４） 網絡攻擊：如ＡＲＰ風暴等小包攻擊交換機等通信設備，引起網絡擁塞或導致通信主機無法處理超量的請求，輕則網絡服務不可用，重則整個系統死機癱瘓。

２．２軟件對網絡信息安全的威脅

現代通信系統如ＡＴＭ、軟交換、ＩＭＳ、ＥＰＯＮ、ＰＯＳ終端、手機等都使用大量的軟件進行通信控制，因此軟件方面的入侵也相當普遍。

（１） 網絡軟件的漏洞或缺陷被利用。軟件漏洞分為兩種：一種是蓄意制造的漏洞，是系統設計者為日后控制系統或竊取信息而故意設計的漏洞；另一種是無意制造的漏洞，是系統設計者由于疏忽或其他技術原因而留下的漏洞。

（２） 軟件病毒入侵后打開后門，并不斷繁殖，然后擴散到網上的計算機來破壞系統。輕者使系統出錯，重者可使整個系統癱瘓或崩潰。

（３） 通信系統或軟件端口被暴露或未進行安全限制，導致黑客入侵，進而可以使用各種方式有選擇地破壞對方信息的有效性和完整性，或者在不影響網絡正常工作的情況下，進行截獲、竊取、破譯，以獲得對方重要的機密信息。

２．３工作人員的不安全因素

內部工作人員有意或無意的操作或多或少存在信息安全隱患。

（１） 保密觀念不強，關鍵信息或資產未設立密碼保護或密碼保護強度低；文檔的共享沒有經過必要的權限控制。

（２） 業務不熟練或缺少責任心，有意或無意中破壞網絡系統和設備的保密措施。

（３） 熟悉系統的工作人員故意改動軟件，或用非法手段訪問系統，或通過竊取他人的口令字和用戶標識碼來非法獲取信息。

（４） 利用系統的端口或傳輸介質竊取保密信息。

３網絡信息安全保障策略

針對以上信息安全隱患，可以采用一些技術手段，對攻擊者或不法分子的竊密、破壞行為進行被動或主動防御，避免不必要的損失。

３．１物理傳輸信息安全保障

（１） 減少電磁輻射。傳輸線路應有露天保護措施或埋于地下，并要求遠離各種輻射源，以減少由于電磁干擾引起的數據錯誤。對無線傳輸設備應使用高可靠性的加密手段，并隱藏鏈接名。

（２） 采用數據加密技術，對傳輸內容使用加密算法將明文轉換成無意義的密文，防止非法用戶理解原始數據。數據加密技術是一種主動的信息安全防范措施，可大大加強數據的保密性。

（３） 使用可信路由、專用網或采用路由隱藏技術，將通信系統隱匿在網絡中，避免傳輸路徑暴露，成為網絡風暴、ＤＤＯＳ等攻擊對象。

３．２軟件類信息安全保障

安裝必要的軟件，可以快速有效地定位網絡中病毒、蠕蟲等網絡安全威脅的切入點， 及時、準確地切斷安全事件發生點和網絡。

（１） 安裝可信軟件和操作系統補丁，定時對通信系統進行軟件升級，及時堵住系統漏洞避免被不法分子利用。

（２） 使用防火墻技術，控制不同網絡或網絡安全域之間信息的出入口，根據企業的安全政策控制（允許、拒絕、監測）出入網絡的信息流。且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施，是目前保護網絡免遭黑客襲擊的有效手段。

（３） 使用殺毒軟件，及時升級殺毒軟件病毒庫。小心使用移動存儲設備。在使用移動存儲設備之前進行病毒的掃描和查殺，可以有效地清除病毒，扼殺木馬。

（４） 使用入侵檢測系統防止黑客入侵。一般分為基于網絡和基于主機兩種方式。基于網絡的入侵檢測系統，將檢測模塊駐留在被保護系統上，通過提取被保護系統的運行數據并進行入侵分析來實現入侵檢測的功能。基于主機的入侵檢測系統對通信系統進行實時監控，通過監視不正當的系統設置或系統設置的不正當更改實現入侵檢測功能。基于主機的入侵檢測系統具有檢測效率高，分析代價小，分析速度快的特點，能夠迅速并準確地定位入侵者，并可以結合操作系統和應用程序的行為特征對入侵進行進一步分析。但在數據提取的實時性、充分性、可靠性方面，基于主機日志的入侵檢測系統不如基于網絡的入侵檢測系統。 另外還有分布式入侵檢測、應用層入侵檢測、智能的入侵檢測等信息安全保障手段可以使用。

３．２內部工作人員信息安全保障

（１） 加強安全意識和安全知識培訓，讓每個工作人員明白數據信息安全的重要性， 理解保證數據信息安全是所有系統使用者共同的責任。

（２） 加強局域網安全控制策略，使網絡按用戶權限進行隔離或授權訪問。它能控制以下幾個方面的權限： 防止用戶對目錄和文件的誤刪除，執行修改、查看目錄和文件，顯示向某個文件寫數據，拷貝、刪除目錄或文件，執行文件，隱含文件，共享，系統屬性等。控制哪些用戶能夠登錄到服務器并獲取網絡資源， 控制用戶入網的時間和在哪臺工作站入網。用戶和用戶組被賦予一定的權限， 網絡控制用戶和用戶組可以訪問的目錄、文件和其他資源， 可以指定用戶對這些文件、目錄、設備能夠執行的操作，權限按照最小化原則進行分配。

（３） 利用桌面管理系統控制操作終端的系統配置、軟件合法性、病毒庫、防火墻等。若用戶使用的終端或系統沒有按照要求按照合法軟件，則限制用戶接入網絡。若用戶的系統、防火墻、防毒軟件未及時更新，則強制用戶進行更新操作。使用桌面管理系統可以最大化凈化網絡環境，避免操作人員的終端引入信息安全隱患。

（４） 啟用密碼策略， 強制計算機用戶設置符合安全要求的密碼， 包括設置口令鎖定服務器控制臺， 以防止非法用戶修改。設定服務器登錄時間限制、檢測非法訪問。刪除重要信息或破壞數據， 提高系統安全性， 對密碼不符合要求的計算機在多次警告后阻斷其連網。

４結束語

計算機軟件技術的發展使得計算機應用日益廣泛與深入，同時也使計算機系統的安全問題日益復雜和突出，各種各樣的威脅模式也不斷涌現。網絡信息安全是一個綜合性的課題，涉及技術、管理、使用等許多方面，只有將各種方面的保障策略都結合起來，才能形成一個高效、通用、安全的網絡系統。

主要參考文獻

［１］ 李淑芳，雙娜，等． 網絡安全淺析［Ｊ］． 科技，２００６（２）．

［２］ 林志臣． 計算機網絡安全及防范技術［Ｊ］． 科技咨詢導報，２００７（１１）．

［３］ 殷偉． 計算機安全與病毒防治［Ｍ］． 合肥：安徽科學技術出版社，２００４．

［４］ 劉曉輝． 網絡安全管理實踐（網管天下）［Ｍ］． 北京：電子工業出版社，２００７．

［５］ 韓東海，王超，李群． 入侵檢測系統及實例剖析［Ｍ］． 北京：清華大學出版社，２００８．

［６］ ［美］Ｄａｖｉｄ Ｃｈａｌｌｅｎｅｒ，Ｒｙａｎ Ｃａｔｈｅｒｍａｎ［Ｍ］． 可信計算（Ａ Ｐｒａｃｔｉｃａｌ Ｇｕｉｄｅ ｔｏ Ｔｒｕｓｔｅｄ Ｃｏｍｐｕｔｉｎｇ）［Ｍ］． 北京：機械工業出版社，２００９．