信息網絡的安全與防范策略

【摘要】隨著當前社會信息化程度的不斷提高，信息網絡在人們的工作、生活中得到廣泛應用，對信息網絡的依賴性也愈來愈高。而計算機病毒、網絡攻擊等借助信息網絡的便攜性、互聯性、大眾性，日益給信息安全帶來嚴重威脅，信息網絡安全問題引起社會的高度重視。本文分析了信息網絡安全的現狀與特點，從硬件安全、軟件安全、網絡安全、數據安全、用戶安全、安全制度等方面，提出了信息網絡安全的一些防范策略。

【關鍵詞】信息網絡安全防護網絡安全數據安全

信息網絡安全是指防止信息網絡本身及其采集、加工、存儲、傳輸的信息數據被故意或偶然的非授權泄露、更改、破壞或使信息被非法辨認、控制，即保障信息的可用性、機密性、完整性、可控性、不可抵賴性。伴隨各個領域中計算機的廣泛應用，通過計算機信息系統管理著政府部門和企事業單位的經濟、政治、辦公、商務等有關信息，通過計算機網絡為承載的信息系統實現了前所未有的快速發展。所以，計算機信息系統變成了一些黑客、不法分子經常攻擊目標，妄圖竊取數據信息或者破壞信息系統。加強計算機信息系統的安全，也就變成了人們越來越高度關注的安全問題。

1信息網絡安全面臨的威脅

信息網絡面臨的威脅主要來自：電磁泄露、雷擊等環境安全構成的威脅，軟硬件故障和工作人員誤操作等人為或偶然事故構成的威脅，利用計算機實施盜竊、詐騙等違法犯罪活動的威脅，網絡攻擊和計算機病毒構成的威脅等。信息網絡自身的脆弱性主要包括：在信息輸入、處理、傳輸、存儲、輸出過程中存在的信息容易被篡改、偽造、破壞、竊取、泄漏等不安全因素；信息網絡自身在操作系統、數據庫以及通信協議等存在安全漏洞和隱蔽信道等不安全因素；在其他方面如磁盤高密度存儲受到損壞造成大量信息的丟失，存儲介質中的殘留信息泄密，計算機設備工作時產生的輻射電磁波造成的信息泄密。

2信息網絡安全防護措施

防護信息網絡系統的安全，需要針對信息系統所依賴的硬件環境、軟件環境、網絡環境、數據環境等采取專門的防范策略。

2.1硬件環境安全

信息網絡正常運轉的基礎是可靠的網絡硬件和相關運行環境，它們的安全對信息系統的安全有著直接的影響。一要確保信息網絡機房的安全，要遵循國家頒布的《電子信息系統機房設計規范》、《建筑物電子信息系統防雷技術規范》、《計算站場地技術要求》、《計算站場地安全技術》等技術要求，為信息網絡提供良好的硬件運行基礎環境；二要確保信息網絡硬件的安全，可以采取多種保護的技術，如硬件訪問控制技術，防電磁泄露技術，防復制技術，還原技術等，這些技術均可對計算機硬件實施有效的保護。

2.2軟件環境安全

2.2.1操作系統安全

屬于系統級安全范圍，其主要功能是控制系統的運行，管理計算機各種資源，是其它軟件運行的支撐環境。而操作系統應用越多，相應的軟件漏洞也會隨之增多，惡意攻擊者經常會通過這些漏洞，實施對操作系統進行各種攻擊。而安裝軟件補丁則可以有效地提高系統受到攻擊的風險，提高系統防御能力。為了保證操作系統的安全性，需要制定必要的安全機制保護操作系統的安全，如部署、采用防病毒系統、漏洞掃描、補丁升級等技術。

2.2.2應用軟件安全

應用軟件安全是所有軟件研發過程中的關鍵部分，它包含了軟件研發周期內為了防止程序缺陷所采取的所有步驟。那些存在于應用軟件需求，設計，研發，配置，升級或者維護環節中的瑕疵都可能成為招致網絡攻擊的漏洞。用戶除了要對應用軟件的功能性進行檢測外，還需根據軟件運行的特定環境對其安全性進行檢測和審查，在使用過程當中進行安全性跟蹤，并經常性地進行定期維護，確保應用軟件安全。

2.2.3防病毒系統

病毒威脅是網絡系統最常受到侵襲的方式，因此為了防止系統受到病毒的滋擾與破壞，我們可采用多渠道、多層次的構建病毒防控體系的方式達到提高網絡安全性能的目的。首先我們可在每臺計算機、服務器及網關中安裝正版的防毒、殺毒軟件，針對不同的防毒類型、網絡系統服務目的安裝相應的企業級防毒系統，從而做到集中控制、防護為首、防殺結合的有效保護。

2.2.4漏洞掃描

是指基于漏洞數據庫，通過掃描等手段，對指定的遠程或者本地計算機系統的安全脆弱性進行檢測，發現可利用的漏洞的一種安全檢測（滲透攻擊）行為。利用漏洞掃描系統，可以發現系統提供服務漏洞的情況、Web服務器全部TCP分配的端口使用情況、一些專用協議的安全評估等。根據掃描結果，可以有針對性的對系統漏洞及時填補。

2.3網絡安全

伴隨信息網絡延伸，特別是3G和WiFi的大量普及，使信息共享和通信更加容易實現，而網絡通信協議普遍使用的標準主要基于TCP/IP架構。TCP/IP并不是一個而是多個協議， TCP和IP是其中最基本也是最主要的兩個協議，由于最初TCP/IP是在可信任環境中開發出來的成果，在協議設計的總體構想和設計的時候基本上未考慮安全問題，不能提供人們所需要的安全性和保密性，從而也能夠使非法用戶從遠程實施對信息系統的數據的非授權訪問，破壞或者攔截數據。基于確保網絡安全的考慮，可以實施VPN、防火墻、入侵檢測技術、身份認證等技術，保障信息系統的安全。

2.3.1虛擬專用網絡

虛擬專用網絡（Virtual Private Network，VPN）依靠二層或三層的網絡加密協議，在本地網絡或異地網絡之間，在通信網絡上，架設一條專有的通訊線路，實施安全、保密通信，而無需布設實際物理線路。

2.3.2防火墻技術

防火墻可以防止外部用戶對內部網絡資源的非授權訪問，保護內部的設備及各種信息資源，也可以阻止內部用戶對外部網絡的攻擊行為。通過防火墻的安全策略，對網絡之間及網絡內部傳輸的數據包檢查，判斷數據包是否可以放行，同時對網絡運行狀態進行監控，從而保護網絡的安全。

2.3.3入侵檢測和入侵防御系統

入侵檢測系統（Intrusion Detection System，IDS）實時監視網絡的數據傳輸情況，當存在異常的數據傳輸或訪問行為時，IDS發出警報或者實施主動的保護反應手段。

入侵防御系統（Intrusion Prevent System，IPS）是一種主動、智能的入侵檢測、防范、阻止系統，它不需要人為干預就可以預先對入侵活動和攻擊性網絡流量進行攔截，避免其造成任何損失。

2.3.4高強度身份認證

和使用用戶名及口令簡單的認證不同，采用PKI體制的數字證書技術的身份認證和系統登錄可以提供強度更高的安全包含。在用戶登錄信息系統時，以后對資源進行訪問時，均要使用證書及會話的信息進行用戶真實身份的驗證，阻止用戶的非法假冒行為。PKI技術體制還可以用在其它許多方面來加強信息的安全性，如系統的單點登錄，日志審計與管理，權限控制與管理，安全電子郵件，安全的WWW網站，電子印章，域用戶智能卡登錄等。

2.3.5合理的權限控制

合理的為網絡用戶授予相應的權限是保護信息網絡一種重要安全保護措施。用戶和用戶組被賦予一定的權限，有權訪問某些目錄、子目錄、文件和其他資源，可以對這些文件、目錄、設備執行指定操作。根據訪問權限可將用戶分為以下幾類：特殊用戶（即系統管理員）；一般用戶，系統管理員根據他們的實際需要為他們分配操作權限；審計用戶，負責網絡的安全控制與資源使用情況的審計。

2.3.6審查系統日志

經過詳細地審查你的系統日志文件，可以獲得系統是如何被侵入的，入侵過程中，攻擊者執行了哪些操作，以及哪些遠程主機訪問了自己主機等相關信息。通過定期對系統日志進行審計，及時發現日志當中異常活動的記錄，并采取相應的安全措施。

2.4數據安全

數據安全有兩方面的含義，一是數據本身的安全，主要是指采用現代密碼算法對數據進行主動保護，如數據保密、數據完整性、雙向強身份認證等，二是數據防護的安全，主要是采用現代信息存儲手段對數據進行主動防護，如通過磁盤陣列、數據備份、異地容災等手段保證數據的安全。

2.5用戶安全

雖然信息網絡提供了較完善的安全防范策略，但因用戶的應用水平不高或疏忽所致的安全隱患，仍對整個系統安全造成了重大影響。用戶一是要掌握基本的網絡安全防護知識，如系統漏洞補丁、防病毒軟件的安裝的及時更新等；二是要保管好系統登錄帳號及密碼并定期更新，防止因帳號密碼的泄露造成對系統的安全隱患；三是要按規定慎重使用移動存儲介質，防止病毒的交叉感染。

2.6信息網絡安全制度

信息網絡的安全管理，不僅要看所采用的安全技術和防范措施，還要看它所采取的管理措施和執行力度。只有將兩者緊密結合，才能使信息網絡安全確實有效。因此，需要根據信息網絡的每一個環節，制定相應的切實可行安全制度并認真組織實施，是保障信息網絡安全的重要手段。全面而且安全的管理制度主要有以下幾點：設備的安全管理制度、操作的安全管理制度、計算機網絡安全的管理制度、密鑰安全管理制度等等。

3結束語

信息網絡安全是個系統工程，是在攻擊和防御，發現與修補，技術力量此消彼長變化的一個動態過程。而隨著攻擊者知識的日趨成熟，攻擊工具與手法的日趨復雜多樣，必須綜合利用安全防護技術，確保信息的安全性、可靠性，增加信息網絡在遭受各種入侵情況下的抗攻擊能力。