淺談郵政系統信息及網絡安全

【摘要】介紹了郵政系統信息的重要性，對郵政信息系統的安全進行了分析，需其中的網絡系統安全由為重要，對網絡技術的構成，網絡安全的防范，特別是基層郵政計算機用戶對網絡安全的防范及具體的實施步驟。

【關鍵詞】信息系統安全；網絡技術與安全；計算機病毒防范

郵政是社會基礎性、服務性、公用性的產業，在促進社會政治、經濟、文化交流等事業的發展中發揮著不可替代的作用。隨著信息技術的進步、互聯網絡的普及以及相關行業的競爭，中國郵政的傳統業務模式日益萎縮。中國郵政正在逐步拓展業務范圍，尋找新的業務增長點。依托于“三網合一”獨特行業優勢的郵政信息化建設為中國郵政開辟了新的發展道路，電子郵政使傳統的郵政業務開始全面步入信息化、網絡化時代。 在郵政信息化建設逐步完善的同時，各級郵政系統對數據安全和網絡安全的關注程度與日俱增。隨著郵政各項業務的不斷拓展、延伸和市場竟爭越發的激勵，迫使郵政人不斷的提高服務質量，降低故障率的發生，成為很棘手的話題，而網絡安全則是技術安全方面的重中之重，不得不成為郵政技術人員重視的課題。

1.郵政信息系統安全分析及建議

郵政信息網省中心系統分別集中了郵政業務綜合網和郵政儲蓄綠卡網的關鍵數據和服務器主機，是省內郵政系統的信息技術中樞，它們的安全不僅關系到省郵政的各項業務運作，更與國家的利益和人民群眾的財產息息相關。網絡互聯技術的采用為郵政系統內部實現信息共享和業務互動提供了便利，但同時也使信息系統安全風險變得更加嚴重和復雜。原來由單個計算機安全事故引起的損害可能傳播到其他系統和主機，引起大范圍的癱瘓和損失；另外加上缺乏安全控制機制和對信息安全政策及防護意識的認識不足，安全風險正日益加重。

瞄準計算機網絡系統可能存在的安全漏洞，黑客們所制造的各類新型的風險將會不斷產生，這些風險由多種因素引起，與網絡系統結構、網絡應用服務和基層用戶防范意識等因素密切相關。

在郵政信息網省中心系統中，根據業務的不同可以劃分為三個不同的網絡安全區域：郵政綜合網省中心系統、郵政綠卡網省中心系統和183電子郵政網網絡中心。從各網絡自身安全的角度來看，所聯的其他所有網絡都可視為不安全的外網。在開放的網絡環境下，不論是各系統內部網絡，還是外部網絡都存在較多的安全威脅。

在郵政信息網省中心系統的安全建設中應根據安全目標、網絡狀況、目前用戶最關注的安全重點和現有投資規模選擇當前最迫切需要的安全防護機制，用以確保郵政信息網省中心系統的安全可靠運行。

2.郵政網絡系統安全分析及建議

現形的郵政網絡是利用在公用網絡上建立專用網絡的技術。其之所以稱為虛擬網，主要是因為整個VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是架構在公用網絡服務商所提供的網絡平臺，如Internet、ATM（異步傳輸模式）、Frame Relay（幀中繼）等之上的邏輯網絡，用戶數據在邏輯鏈路中傳輸。它涵蓋了跨共享網絡或公共網絡的封裝、加密和身份驗證鏈接的專用網絡的擴展。VPN主要采用了彩隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。

2.1隧道技術

實現VPN的最關鍵部分是在公網上建立虛信道，而建立虛信道是利用隧道技術實現的，IP隧道的建立可以是在鏈路層和網絡層。第二層隧道主要是PPP連接，如PPTP，L2TP，其特點是協議簡單，易于加密，適合遠程撥號用戶；第三層隧道是IPinIP，如IPSec，其可靠性及擴展性優于第二層隧道，但沒有前者簡單直接。

2.2數據加密技術

與防火墻相比，數據加密技術相對比較靈活，更符合網絡的開放性特點。數據加密的方法主要用在對動態信息的管理及保護上，從對動態數據的攻擊角度進行分析，將其分為主動攻擊和被動攻擊兩種。對于主動攻擊，雖無法避免，但卻可以有效地進行檢測；而對于被動攻擊，雖無法檢測，但是可以有效地避免，能夠實現這一目的的基礎那就是數據加密技術。

3.要保證網絡的安全，則必須加強防火墻與入侵檢測以及基層計算機用戶病毒防范意識，以避免引起大范圍的癱瘓和損失

3.1防火墻與入侵檢測

網絡防火墻技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監視網絡運行狀態。

3.2計算機病毒防范

病毒歷來是信息系統安全的主要問題之一。由于網絡的廣泛互聯，病毒的傳播途徑和速度大大加快。

我們將病毒的途徑分為：

（1）通過FTP，電子郵件傳播。

（2）通過光盤、U盤傳播。

（3）通過Web游覽傳播，主要是惡意的Java控件網站。

（4）通過群件系統傳播。

病毒防護的主要技術如下：

（1）阻止病毒的傳播。

在防火墻、代理服務器、SMTP服務器、網絡服務器、群件服務器上安裝病毒過濾軟件。在桌面PC安裝病毒監控軟件。

（2）檢查和清除病毒。

使用防病毒軟件檢查和清除病毒。

（3）病毒數據庫的升級。

病毒數據庫應不斷更新，并下發到桌面系統。

（4）在防火墻、代理服務器及PC上安裝Java及ActiveX控制掃描軟件，禁止未經許可的控件下載和安裝。

防范病毒入侵的步驟：

步驟一：確保給管理員一個高強度的口令

有關數據表明，不少人在安裝Windows 2000或Windows XP時，只圖使用方便，沒有考慮安全問題，Administrator組成員只用了12345、abcde之類的簡單口令，甚至沒有口令。這就為病毒入侵大開了方便之門，利用這個漏洞入侵的病毒有口令蠕蟲、“惡郵差（Supnot）”病毒以及最近的安哥（Angot）病毒。在接入寬帶前，一定要給管理員組成一個高強度的口令，所謂高強度口令，通常由字母、數字、特殊字符組成，長度不低于8位。

步驟二：安裝網絡防火墻

網絡防火墻通常是病毒入侵桌面系統的第一道防線，一個未修補漏洞的操作系統，在接入寬帶時，會受到許多已知病毒的攻擊，并且在遭受攻擊時，不太可能有穩定的網絡連接去下載安裝補丁程序。對于沖擊波病毒，如果安裝了金山網鏢，接入寬帶時，您會發現金山網鏢不斷成功攔截來自某IP地址的沖擊波病毒攻擊。給下一步的安全屏障的建立留下充足時間。

步驟三：更新反病毒軟件

有了網絡防火墻，由于系統其它漏洞尚未修補，還是有病毒入侵的可能，所以第二道防線應該是實時更新的反病毒軟件。

步驟四：使用Windows Update下載安裝所有重要更新

從Windows 98 SE開始，Microsoft就為操作系統提供了自動更新的功能，在接入局域網，更新殺毒軟件的同時，最好使用Windows Update下載所有重要更新。 [科]

【參考文獻】

[1]徐愛國，張淼，彭俊好.網絡安全.北京郵電大學出版社，2007，9.

[2]馮登國.網絡安全原理與技術.科學出版社，2007，9.

[3]段新海.計算機病毒防范藝術.機械工業出版社，2004.

[4]徐家臻，陳莘萌.基于IPSec與基于SSL的VPN的比較與分析.計算機工程與設計，2004.