探析網絡安全防護措施

天津市武清區93534部隊 曹治龍

探析網絡安全防護措施

天津市武清區93534部隊 曹治龍

對網絡安全現狀、內涵、表現形式、安全措施進行了深入分析和探討，為正確理解網絡安全防護具有一定參考價值。

網絡安全；表現形式；防護措施

一、引言

網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統能夠連續可靠正常地運行，網絡服務不中斷。網絡安全的本質就是網絡上的信息安全。因此，凡是涉及網絡上信息的保密性、完整性、可用性、真實性和可控性的相關理論和技術都是網絡安全的探討領域。網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、信息論等多種學科的綜合性學科。

二、網絡安全現狀

隨著計算機技術的飛速發展，信息網絡已經成為社會發展的重要保證。很多敏感信息，甚至是國家機密都難免會吸引來自世界各地的各種人為攻擊。諸如：信息泄漏、信息竊取、數據篡改、數據刪添、計算機病毒等。同時，網絡實體還要經受諸如水災、火災、地震、電磁輻射等方方面的考驗。2011年12月21日，國內知名程序員網站CSDN遭到黑客攻擊，大量用戶數據庫被公布在互聯網上，600多萬個明文的注冊郵箱被迫裸奔。2011年12月29日，支付寶用戶大量泄露，被用于網絡營銷。泄露總量達1500萬～2500萬之多，泄露時間不明。2012年2月4日，黑客集團Anonymous公布了一份來自1月17日美國FBI和英國倫敦警察廳的工作通話 錄音，時長17分鐘。因此，網絡安全令人擔憂。

三、網絡安全內涵

網絡安全是指通過采用各種技術和管理措施，使網絡系統正常運行，從而確保網絡數據的可用性、完整性和保密性。其含義隨著“角度”的變化而變化。第一，從個人或企業的角度來講，都希望涉及個人隱私或商業利益的信息在網絡上傳輸時受到機密性、完整性和真實性的保護，并且被授權時，可隨時存取自己所需要的信息。而網絡環境下拒絕服務、破壞網絡和有關系統的正常運行等都屬于對可用性的攻擊。可控性即對信息的傳播及內容具有控制能力。可審查性即出現安全問題時，系統能夠提供依據與手段。第二，從網絡運行和管理者角度來說，希望對本地網絡信息的訪問、讀寫等操作受到保護和控制，避免出現“陷門”、病毒、非法存取、拒絕服務和網絡資源非法占用以及非法控制等威脅，并能制止和防御網絡黑客的攻擊。第三，對安全保密部門來說，都希望對非法的、有害的或涉及國家機密的信息進行過濾和防堵，避免機要信息泄露，對社會產生危害，給國家造成損失。第四，從社會教育和意識形態角度來講，網絡上不健康的內容，會對社會的穩定和人類的發展造成阻礙，必須對其進行控制。另外，隨著計算機技術的迅速發展，在計算機上處理的業務由基于單機的數學運算、程序設計、文件處理、辦公自動化等發展到復雜的內部網、外部網、全球互聯網的企業級計算機處理系統和世界范圍內的信息共享和業務處理。在系統處理能力提高的同時，系統的連接能力也在不斷的提升。但在連接能力、信息流通能力提高的同時，網絡連接的安全問題也日益突出。

四、網絡安全的表現形式

（一）物理安全

網絡的物理安全是整個網絡系統安全的前提。在網絡工程建設中，由于網絡系統屬于弱電工程，耐壓值很低。因此，在網絡工程的設計和施工中，必須優先考慮保護人和網絡設備不受電、火災和雷擊的侵害；考慮布線系統與照明電線、動力電線、通信線路、暖氣管道之間的距離；考慮布線系統和絕緣線、裸體線以及接地與焊接的安全；必須建設防雷系統，不僅要考慮建筑物防雷，還必須考慮計算機及其它弱電耐壓設備的防雷。總體來說，物理安全的風險主要有，地震、水災、火災等環境事故；電源故障；人為操作失誤或錯誤；設備被盜、被毀；電磁干擾；線路截獲；高可用性的硬件；雙機多冗余的設計；機房環境及報警系統、人的安全意識等，因此要盡最大可能避免網絡的物理安全風險。

（二）網絡結構安全

網絡拓撲結構的設計也直接影響到網絡系統的安全。例如：在外部和內部網進行通信時，內部網絡設備的安全就會受到威脅，同時也影響到同一網絡上的許多其它系統。透過網絡傳播，還會影響到連上Internet/Intranet的其它網絡。影響所及，還可能涉及法律、金融等安全敏感領域。因此，我們在設計時一定要將服務器和外網及內部其它業務網絡進行必要的隔離，避免網絡結構信息外泄，同時還要對外網的服務請求加以過濾，只允許正常通信的數據包到達相應主機，其它的請求服務在到達主機之前遭到拒絕。

（三）系統的安全

系統的安全是指整個網絡操作系統和網絡硬件平臺是否可靠且值得信賴。目前大都認為沒有絕對安全的操作系統可供選擇，無論是Windows還是UNIX操作系統，其開發廠商必然有其Back-Door。因此，沒有絕對安全的操作系統。不同的用戶應從不同的方面對其網絡作詳盡的分析，盡可能選擇安全性高的操作系統。另外，還要對操作系統進行安全配置，加強登錄過程的認證，確保用戶的合法性。其次應該嚴格限制登錄者的操作權限，將其操作限制在能夠完 成任務的最小范圍內。

（四）應用系統的安全

應用系統的安全跟具體的應用有關，不僅涉及面廣，而且是動態的、變化的。例如：以目前Internet上應用最為廣泛的E-mail系統來說，其解決方案不下二十種。其安全手段涉及各種方式。因此，在應用系統的安全性上，主要應考慮盡可能建立安全的系統平臺，通過專業的安全工具及時發現漏洞，修補漏洞，提高系統的安全性。同時，應用的安全性涉及到信息、數據的安全性。信息的安全性涉及到機密信息泄露、未經授權的訪問、破壞信息完整性、假冒、破壞系統的可用性等。在某些網絡系統中，涉及到很多機密信息，如果這些信息遭到竊取或破壞，將對經濟、社會、政治產生嚴重的影響。因此，對用戶使用計算機必須進行身份認證，對重要信息的通訊必須授權，傳輸必須加密。采用多層次的訪問控制與權限控制手段，實現對數據的安全保護。采用加密技術，保證網上 傳輸信息的機密性與完整性。

（五）管理的安全風險

管理是網絡安全中最重要的部分。責權不明，安全管理制度不健全及缺乏可操作性等都可能引起安全管理的風險。當網絡出現攻擊行為或網絡受到其它一些安全威脅時（如內部人員的違規操作等），無法進行實時的檢測、監控、報告與預警。同時，當事故發生后，也無法提供黑客攻擊行為的追蹤線索及破案依據。這就要求我們必須對站點的訪問活動進行多層次的記錄，及時發現非法入侵行為。另外，制定健全的管理制度和嚴格的管理措施，保障網絡的安全運行，使其成為一個具有良好的安全性、可擴充性和易管理性的信 息網絡。

五、網絡安全措施

（一）安全技術手段

1.物理措施：保護網絡關鍵設備(如交換機、路油器等)，制定嚴格的網絡安全規章制度，采取防輻射、防火以及安裝UPS電源等措施。

2.訪問控制：對用戶訪問網絡資源的權限進行嚴格的認證和控制。例如，進行用戶身份認證，口令加密、更新和鑒別，設置用戶訪問目錄和文件的權限等。

3.數據加密：加密是保護數據安全的重要手段。加密的作用是保障信息被人截獲后不能讀懂其含義。防止計算機網絡病毒，安裝網絡防病毒系統。

4.網絡隔離：網絡隔離有兩種方式，一種采用隔離卡來實現，另一種采用網絡安全隔離網閘來實現。隔離卡主要用于對單臺機器的隔離，網閘主要用于對整個網絡的隔離。

5.其他措施：包括信息過濾、容錯、數據鏡像、數據備份和審計等。對此，解決辦法有數據加密技術和防火墻技術等。數據加密是對網絡中傳輸的數據進行加密，到達目的地后再解密還原為原始數據，目的是防止非法用戶截獲后盜用信息。防火墻技術是通過對網絡的隔離和 限制訪問等方法來控制網絡的訪問權限。

（二）安全防范意識

擁有網絡安全意識是保證網絡安全的重要前提。許多網絡安全事件的發 生都和缺乏安全防范意識有著密切關系。

（三）主機安全檢查

要保證網絡安全，就要進行網絡安全檢查。第一，要全面了解系統，評估系統安全性，認識到風險所在，迅速、準確解決網絡安全問題。第二，使用創新型自動主機安全檢查工具，顛覆傳統系統保密檢查和系統風險評測工具操作的繁冗性，利用一鍵操作對內部網絡計算機進行全面的安全保密檢查及精準的安全等級判定，并對 評測系統進行強有力的分析處置和修復。

（四）主機物理安全

服務器運行的物理安全環境十分重要，主要指機房的設施狀況、通風系統、電源系統、防雷、防火系統以及機房的溫度、濕度條件等。這些因素都會影響到服務器的壽命和數據的安全。盡可能把服務器存放在專門的機柜內。若只能放在開放式機架上，則請將電源用膠帶綁定在插槽上，避免別人無意中碰動電源。其次，安裝完系統后，重啟服務器，在重啟的過程中把鍵盤和鼠標拔掉，這樣在系統啟動后，普通的鍵盤和鼠標接上去不會起作用。另外，要跟機房值班人員搞好關系，同時不得罪其他維護人員，以排除人為因素的可能性。

六、結束語

本文探討的網絡安全防護措施，解析清楚，可實施可操作性強，必將會在未來網絡安全防護中發揮其應有的作用。

[1]黃中偉.計算機網絡管理與安全技術[M].北京:人民郵電出版社,2007.

[2]寧麗莎.淺談計算機機房的確管理與維護[J].信息科技,2008.

[3]霍揚,龔儉.計算機網絡故障分析及維護研究[J].硅谷,2008.