網絡信息安全設計及管理策略的研究

浙江大學 孫烷榕

網絡信息安全設計及管理策略的研究

浙江大學 孫烷榕

隨著計算機的普及應用，互聯網技術廣泛應用于政治、經濟、文化等社會生活的各個區域，網絡有著開放性、便捷性，為人們帶來方便、快捷、優質服務的同時，網絡信息安全日益受到人們的廣泛關注。因為，一旦網絡信息安全受到威脅，會使大量資料丟失，機密泄露，給企事業單位所帶來的損失會難以估量。因此，我們有必要了解威脅網絡信息安全的主要因素，并就其管理策略進行深入探討。本文分析了威脅網絡信息安全的因素，并從四個方面，就如何建設網絡信息安全系統，提出了若干建議。

網絡信息安全；設計；管理策略

企業在發展的過程中，必然存在各種信息，有些信息可以對外公開公布，社會公眾可以透過這些信息了解到企業的經營狀況；有些信息則屬于企業的機密，只有授權范圍之內的少數人才能夠了解，因為它關系著企業的生死存亡。隨著計算機技術、網絡技術、通訊技術的飛速發展，使信息的處理與傳遞以前所未有的速度進行。企業想要在利用計算機網絡化提高自身管理水平的同時，保證信息安全，就必須對企業的網絡信息安全系統進行設計與規劃，科學構建安全訪問系統，以此來提高網絡信息安全。

一、威脅網絡信息安全的因素

隨著計算機網絡技術的不斷提高，非法訪問、密碼竊取以及惡意攻擊等安全威脅的手段也在不斷升級。這也在客觀上需要企業提高網絡信息安全設計水平，VPN、殺毒軟件、數據加密、身份認證以及防火墻技術在企業中得到推廣使用，在網絡信息安全系統構建上起到了一定的效果，但是這些產品的功能相對分散，相互的關聯性并不高，整體效益并不是十分理想。

（一）計算機病毒

計算機病毒是指編程人員在計算程序中插入一些能夠破壞計算機功能的數據，它能夠使計算機無法進行正常使用，并且能夠進行自我復制的計算程序代碼或者計算機指令。計算機病毒不能夠獨立存在，它只能夠寄生于其他程序里面，具有傳染性、隱蔽性、破壞性的特點。隨著計算機網絡技術的飛速發展，病毒種類在不斷升級。當今世界上的計算機活體病毒的各類，已經達到了14萬之多，傳播途徑主要有硬盤、電子郵件以及依附于各種下載軟件之中。攜帶病毒的計算機只要運行時，滿足了病毒制造者預設的條件，那么計算病毒就會爆發，輕者文件丟失、運行速度減慢，重者則導致系統癱瘓、硬件損壞。比如圖一，為CIH病毒發作時的情況。

（二）黑客攻擊

提起黑客，我們都不陌生，他們是一些熱衷于研究、編寫程序的專才。其中有些人利用掌握的知識推動計算機網絡技術的發展，但是也有一些人則利用這些技術罪犯，獲取不正當利益，比如進入2002年，網絡犯罪分子開始采用DDOS的手法對服務系統進行攻擊，干擾在線商務。在寬帶網絡環境下，常見的攻擊方式主要有以下兩種：一是黑客發動的，針對網絡設備與網絡服務的DDOS攻擊；二是利用蠕蟲病毒進行攻擊，從而造成網絡流量迅速增加，最終導致計算機網絡設備徹底崩潰。DDOS的攻擊對象主要有域名服務器、網頁服務器以及郵件服務器，一旦受到DDOS的攻擊，服務器則會被來自四面八方的海量信息所淹沒。網絡黑客的目的就是用大量的垃圾信息來阻礙服務器的正常對信息的處理，然后借機切斷攻擊目標的對外連線。黑客經常把網絡與“僵尸電腦”相連，然后將大量的查詢要求傳送到開放的DNS服務器中，這些查詢信息則會偽裝成被海量信息攻擊的目標傳出，所以DNS服務器會把回應信息傳到相應的網址上去。傳統的身份認證，外來攻擊者只是憑借獲取有關用戶身份憑證，就能夠以任何一臺設備而進入網絡。就算是最嚴密的認證系統也很難對網絡信息安全進行保護。除此以外，企事業單位的員工能夠通過任意一臺沒有經過確認設備，以有效身份憑證進入網絡系統，導致木馬程序、間諜軟件等惡意程序入侵系統，對網絡信息安全系統產生了嚴重威脅。

（三）協議設計上存在著缺陷

互聯網是建立在TCP/IP協議上的，這一協議在設計之初更偏重于效率，而忽略了安全因素，因此TCP/IP在設計之初，就存在一定的缺陷。

圖一 CIH病毒

圖二 網絡系統安全配置圖

圖三 應用分配

1.安全策略不嚴謹。很多站點在防火墻的配置上增加了訪問的權限，沒有考慮到這些權限可能被人利用，比如內部員工濫用權限，無意中為黑客留下了線索，一旦黑客入侵，網絡維護人員往往毫無察覺。

2.信息容易被人竊取。多數企業互聯網上的流量都是沒有經過加密的，這就使文件在傳送的過程中很容易被人竊取。而且基于TCP/IP協議的很多應用服務都不同程度的存在一些安全問題，很容易被人利用。

3.配置過于復雜。訪問控制的配置通常是十分復雜的，這就非常容易造成配置上的錯誤，而形成了安全隱患。目前，銀行之間在數據傳輸的過程中，所采用的協議均是保密的，這就提高了安全性，防止網絡黑客的入侵。當然，現階段我們還不能將TCP/IP與其實現代碼進行保密處理，因為這將不利于TCP/IP網絡的發展，但是銀行的這種處理方式可以為我們網絡信息安全系統的設計拓寬一些思路。

二、網絡信息安全設計及管理策略

（一）網絡與系統安全的設計

網絡與系統安全的設計可以采用NetScreen-208防火墻設備，這種設備是當前國內市場上功能較為齊全的防火墻產品，它包括了8個自適應10/100M以太網端口，這些端口能夠把網絡劃分成為多個區域，從而把需要保護的區域與潛在的相分離，在與網絡設備進行連接時，這個設備的端口1與內部網的主交換機相連接，而端口2則與DMZ區相連接，端口3與因特網的路由器相連接。

殺毒軟件可以采用瑞星網絡版軟件，這一軟件具有網絡管理功能，它主要是通過一個控制中心在整個網絡的內部實現遠程報警、智能升級以及遠程管理等功能，有效的監管病毒入口如圖二。

（二）涉密服務系統的設計

企業的內部網站與數據庫服務系統，依據信息的秘密等級，主要分成涉密應用與非涉密應用兩種，同樣它們所依賴的服務器也可發分成涉密與非涉密兩類。正如筆者描述的，涉密服務器主要處理的是涉密信息，而非涉密服務器主要處理的是非涉密信息。從安全等級考慮，涉密服務系統應該是企業的重點保護對象。因此，我們可以在涉密服務器前配置相應的安全網關，其設計如圖三。

用戶在訪問頻密信息時，主要是基于HTTP協議，用戶在通過安全網關認證之后，依據使用權限的不同，訪問的內容也有所區別。用戶在訪問非涉密信息時，同樣是基于HTTP協議，但是能夠直接進入非涉密服務器而獲取信息。

安全網關是涉密服務器的關口，同時也是用戶網絡身份認證的中心，用戶和涉密服務器之間并沒有直接的相連，這就有效避免了黑客對涉密服務器的進攻，保證了信息的安全。

（三）訪問權限管理

在網絡信息安全系統中設置用戶角色、用戶等級、用戶權限等字段，加強訪問權限的管理與控制，并將數據信息根據企業的實際需要，劃分為不同的等級階段；根據實際用戶的崗位設置劃分為不同的角色，網絡信息管理人員授予不同操作權限，劃分到不同的虛擬局域網之內，形成不同的安全區域。

用戶則通過網絡查詢涉密系統的有關信息，使用HTTP協議與安全網關相連接，經過身份認證之后，再與涉密服務器相連接，最后進行應用系統。用戶在獲取信息時，由應用系統依據用戶的角色、權限進行相應的限制。

（四）對傳遞的數據進行加密

企業使用安全網關以后，與SSL建立通道，在這一安全通道上對用戶與服務器之間傳輸的數據信息進行加密，保證機密信息不會被泄露。加密的算法可以由用戶自己進行選擇，這就增加了系統的靈活性，可以滿足不同權限等級用戶的需要。

三、總結

綜上所述，隨著我國市場經濟的快速發展以及計算機網絡技術的普及，信息充斥著社會的每一個角落，不但真假難辨，其中還隱藏著某種威脅。現階段，影響我國網絡信息安全的因素有很多，比如計算機病毒；黑客攻擊；協議設計上存在著缺陷等等，而實現信息安全的設計也有很多，企業需要根據自身的發展的現狀，選擇相應的信息安全設計方案，相信通過我們的共同努力，網絡信息安全的管理與設計必將會翻開嶄新的一頁。

[1]蘇玉召,趙妍.計算機網絡信息安全及其防護策略的研究[J].計算機與信息技術,2006(05).

[2]戴啟艷.影響信息系統安全的主要因素及主要防范技術[J].中國科技信息,2010(06).

[3]林柏鋼.網絡與信息安全現狀分析與策略控制[J].信息安全與通信保密,2005(07).

[4]南溯.淺議計算機網絡維修和管理[J].電腦編程技巧與維護,2010(04).

[5]張東生.計算機網絡安全技術與防范策略探析[J].電腦編程技巧與維護,2011(02).

[6]朱燕.虛擬機技術在計算機網絡安全教學中的應用[J].電腦知識與技術(學術交流),2007(23).

[7]張愛民.淺談網絡信息安全面臨的問題及其對策[J].電腦知識與技術,2009(12).