張佳申

【摘 要】隨著當今社會計算機網(wǎng)絡在生活中的普及，網(wǎng)絡信息安全及防護策略研究對于現(xiàn)實生活具有重要的意義。本文分析了目前計算機網(wǎng)絡信息安全存在的問題，并提出了加強安全管理的相關措施。

【關鍵詞】網(wǎng)絡；信息安全；措施

【中圖分類號】G250.72【文獻標識碼】A【文章編號】1672-5158（2013）07-0132-02

一、網(wǎng)絡中心P信息安全的性能衡量

（1）完整性一一指網(wǎng)絡中心的信息安全、精，確與有效，不因種種不安全因素而改變信息原有的內容、形式與流向，使系統(tǒng)內程序與數(shù)據(jù)不被非法刪改和破壞。

（2）保密性一一指網(wǎng)絡中心有保密要求的信息只能供經(jīng)過允許的人員，以經(jīng)過允許的方式使用，防止系統(tǒng)內信息非法泄漏。

（3）可靠性一一指網(wǎng)絡中心信息在需要時即可使用，不因系統(tǒng)故障或操作失誤等使信息丟失，或妨礙對信息的使用。

二、網(wǎng)絡中心信息安全應注意的問題

2.1 網(wǎng)絡中心機房建設物理全安

為了保護網(wǎng)絡中心實體的設備安全，應采取良好的屏蔽 及避雷措施，防止雷電和工業(yè)射電干擾，采用穩(wěn)壓電源，防止電壓波動，采用不間斷電源（UPS）防止突然斷電引起設備損壞或數(shù)據(jù)丟失。尤其應當注意在高溫天氣，斷電后空調空調停止運轉，網(wǎng)絡設備繼續(xù)運行，時間較長時對設備可能造成的損壞，應安裝報警器、各種監(jiān)視系統(tǒng)及安全門鎖等。按計算機安全場地要求采取防火、防水、防塵、防震、防靜電等技術措施，采取電磁屏蔽及良好接地等手段，使系統(tǒng)中的設備既不因外界或其他設備的電磁干擾而影響其正常工作，也不因其自身的電磁輻射泄漏數(shù)據(jù)信息、同時不影響周圍其他設備的正常工作。

2.2 網(wǎng)絡安全技術在信息安全中的作用

①防火墻技術。防火墻是近年發(fā)展起來的一項網(wǎng)絡安全技術，其特征是通過在網(wǎng)絡邊界上建立相應的網(wǎng)絡通信監(jiān)控系統(tǒng)，達到保障網(wǎng)絡安全的目的。所謂“防火墻”就是指設置在不同網(wǎng)絡或網(wǎng)絡安全域之間的一系列軟硬件設施的組合。它可通過監(jiān)測，限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外屏蔽網(wǎng)絡內部的信息、結構和運行狀況，以此來實現(xiàn)網(wǎng)絡的安全保護。

從原理上分，防火墻的技術包括4大類網(wǎng)絡級防火墻（也叫包過濾防火墻）、應用級網(wǎng)關、電路級網(wǎng)關和規(guī)則檢查防火墻。它們各有所長，使用哪一種或是否混合使用，要看具體需要。防火墻的作用是保護脆弱的系統(tǒng)應用服務、控制對系統(tǒng)的訪問、集中的安全管理和策略制定、增強保密性、記錄和統(tǒng)計網(wǎng)絡利用數(shù)據(jù)以及非法使用數(shù)據(jù)，對非法人侵的監(jiān)測和報警等。防火墻的局限性在于無法防范通過防火墻以外的其他途徑的攻擊，不能防止傳送已感染病毒的軟件或文件，不能防止來自內部用戶的威脅，無法防范數(shù)據(jù)驅動型的攻擊。

三、入侵檢測 （IDS）

侵檢測是防火墻技術的重要補充，在不影響網(wǎng)絡的情況下能對網(wǎng)絡進行檢測分析，從而對內部攻擊、外部攻擊和誤操作進行實時識別和響應，有效地監(jiān)視、審計、評估網(wǎng)絡系統(tǒng)。入侵檢測和漏洞掃描技術結合起來是預防黑客攻擊的主要手段，是一項新的安全技術。目前 入侵檢測技術主要可以分為基于主機入侵檢測和基于網(wǎng)絡入侵檢測兩種?；谥鳈C的系統(tǒng)通過軟件來分析來自各個地方的數(shù)據(jù)，這些數(shù)據(jù)可以是事件日志 （1og文件 ）、配置文件password文件等；基于網(wǎng)絡的系統(tǒng)通過網(wǎng)絡監(jiān)聽的方式從網(wǎng)絡中獲取數(shù)據(jù)，并根據(jù)事先定義 好的規(guī)則檢查它，從而判定通信是否合法。

四、網(wǎng)絡中心信息安全應采取的措施

身份認證，數(shù)據(jù)加密，系統(tǒng)備份與恢復，防治病毒，反間諜軟件系統(tǒng)。

①身份認證與數(shù)字簽名。身份認證是證明某人或某物身份的過程，當用戶之間建立連 接時，為了防止非法連接或被欺騙，就可實施身份確認，以確保只有合法身份的用戶才能與之建立連接。其具體實現(xiàn)過程如下；用戶B選擇一個公開密碼交給用戶A自己留私用密鑰，A選擇一個隨機數(shù)，用B的公開密鑰將該數(shù)加密，并要求B將其解密并送回。這樣只有知道解密鑰的B才能完成這一解密，冒充者在這樣的測試中則會暴露。隨著電子商務的應用與發(fā)展，計算機化的報文代替紙墨文件的傳送勢在必行。數(shù)字簽名被設計用來代替親筆簽名或印章來證明報文的真實性，它可以達到下列功能。（1）接收者能夠核實和確認發(fā)送者對報文的簽名，但不能偽造對報文的簽名（收方條件）。（2）發(fā)送者事后不能否認和抵賴對報文的簽名（發(fā)方條件）。（3）公證方能確認收發(fā)雙方的信息，作出仲裁，但不能偽造這一過程（公證條件）。目前數(shù)字簽名技術大致分為：采用秘密密鑰的數(shù)字簽名和采用公開密鑰的數(shù)字簽名兩種。

②數(shù)據(jù)加密技術。數(shù)據(jù)加密過程由各種加密算法實現(xiàn)，它以很小的代價提供較大的安全保護。如果按照收發(fā)雙方密鑰早否相同來分類，可以將這些加密算件分為常規(guī)密碼算法和公鑰密碼算法，DES及RSA是它們的典型代表。常規(guī)密碼的優(yōu)點是有很高的保密強度，但其密鑰必須通過安全的途徑傳送，密鑰管理困難。公鑰密碼的優(yōu)點是可以適應網(wǎng)絡的開放性要求，密鑰管理問題也較為簡單，可方便地實現(xiàn)數(shù)字簽名和驗證，但其算法復雜，加密數(shù)據(jù)的速率較低。隨著現(xiàn)代電子技術和密碼技術的發(fā)展，公鑰密碼算法將逐漸成為網(wǎng)絡安全加密體制的主流。在現(xiàn)在的網(wǎng)絡安全應用中人們通常將常規(guī)密碼和公鑰密碼結合使用。一般的網(wǎng)絡數(shù)據(jù)加密有鏈路加密、節(jié)點加密和端對端加密3種方式。鏈路加密是目前最常用的加密方法，通常用硬件在網(wǎng)絡的萄軟各層和物理層實現(xiàn)。它用于保護通信節(jié)點間傳輸?shù)臄?shù)據(jù)，對用戶是透明的。節(jié)點加密是對鏈路加密的改進，克服了鏈路加密在節(jié)點處易遭非法存取的缺點，在協(xié)議傳輸層上進行加密，是對源節(jié)點和目標節(jié)點之間傳輸?shù)臄?shù)據(jù)進行加密保護。端對端加密是網(wǎng)絡層以上的加密，是面向網(wǎng)絡中高層主體進行加密，在協(xié)議表示層上對傳輸?shù)臄?shù)據(jù)進行加密，而不對下層協(xié)議信息加密。端對端加密一般由軟件來完成，具有比鏈路加密技術成本低、安全性高的特點。

③系統(tǒng)備份和恢復。網(wǎng)絡信息安全防范手段不可能設計得面面俱到，突發(fā)性事件的產(chǎn)生、不可抗拒的自然現(xiàn)象或是惡意的外來攻擊都會給計算機系統(tǒng)帶來不可預知的災難。因此，必須建立系統(tǒng)的備份與恢復，以便在災難發(fā)生后保障計算機系統(tǒng)正常運行備份方案有多種類型，其最終目標是保證系統(tǒng)連續(xù)運行，其中網(wǎng)絡通信、主機系統(tǒng)、業(yè)務數(shù)據(jù)是保證系統(tǒng)連續(xù)運行不可缺少的環(huán)節(jié)，在選擇備份方案時應把對數(shù)據(jù)的備份作為重點。日常備份制度是系統(tǒng)備份方案的具體實施細則，在制定完畢后，應嚴本各陵照制度進行日常備份，否則將無法達到備份方案的目標。此外，還要認真完成一些管理工作，如：定期檢查，確保備份的正確性；將備份磁帶保存在異地一個安全的地方（如專門的磁帶庫）；按照數(shù)據(jù)增加和更新速度選擇恰當?shù)膫浞輸?shù)據(jù)。系統(tǒng)備份不僅備份系統(tǒng)中的數(shù)據(jù)，還要備份系統(tǒng)中安裝的應用程序、數(shù)據(jù)庫系統(tǒng)、用戶設置、系統(tǒng)參數(shù)等信息。與系統(tǒng)備份對應的概念是災難恢復，災難恢復是指在整個系統(tǒng)都失效時，系統(tǒng)的迅速恢復。它在整個備份制度中占有相當重要的地位。災難恢復措施包括災難預防制度、災難演習制度及災難恢復。

④病毒防治。首先要增強防網(wǎng)絡病毒的觀念。計算機病毒給計算機安全運行帶來的危害輕則影響工作，重則將磁盤中存儲的數(shù)據(jù)和程序全破壞掉，使用于實時控制的計算機癱瘓，造成無法估計的損失。其次要提高網(wǎng)絡安全意識。對一些來歷不明的電子郵件，尤其是標題中含有欺騙性或誘惑性語句的不要輕易相信，它可能是病毒制造者投下的“誘餌”；同時要及時觀察和發(fā)現(xiàn)異常情況，不使病毒傳染到整個磁盤，傳染到相鄰的計算機；最后要選用互聯(lián)網(wǎng)病毒防火墻系統(tǒng)，防毒軟件Inter Sean Vi-rus Wall（國際互聯(lián)網(wǎng)病毒防火墻），是網(wǎng)絡防病毒體系結構中的最上層，安裝在Internet服務器或網(wǎng)關上。它在病毒通過Internet人侵內部網(wǎng)絡的第一點處設置一道防毒屏障，使得病毒在進人網(wǎng)絡之前即被阻截。

⑤間諜軟件。目前還沒有一個統(tǒng)一的定義，但就某些方面已達到共識；1.在用戶不知情的清況下進入電腦；2.能截取用戶的個人資料并能返回其開發(fā)商；3一旦進入電腦就難以清除。據(jù)此，筆者認為所謂間諜軟件，就是指任何沒有被用戶知曉或明確授權的情況下，進入電腦截取用戶網(wǎng)絡連接信息又很難從計算機上清除的程序。根據(jù)這一定義，間諜軟件可以分為兩類，一類是“監(jiān)視型間諜軟件”，它具有記錄鍵盤操作的鍵盤記錄器功能和屏幕捕獲功能，另一類是“廣告型間諜軟件”，通過軟件捆綁或ActiveX控件安裝，能記錄用戶的信息，但用戶并不知道它的存在?？梢哉f間諜軟件對信息安個構成嚴重的威脅：

泄漏商業(yè)秘密一一通過間諜軟件，外部人員可以在網(wǎng)絡鏈入因特網(wǎng)的時候截取網(wǎng)內的機密數(shù)據(jù)、重要信息以及內聯(lián)網(wǎng)的U RL等信息并發(fā)送到因特網(wǎng)上，一旦這些信息沒有加密的話就會引起機密信息的泄漏，帶來無法估量的損失。

侵犯個人隱私—對普通用戶來說，間諜軟件最大的危害就是侵犯個人隱私，它能夠在用戶上網(wǎng)的時候記錄用戶IP地址、訪問的網(wǎng)站、個人習性、秘密信息甚至是敏感信息，如信用卡號、提款密碼等，并將這些調查信息返回到間諜軟件開發(fā)商的服務器上，在侵犯用戶個人隱私權的同時，還給垃圾郵件的發(fā)送創(chuàng)造了條件。

破壞電腦的完整性—大部分間諜軟件可讀性差并且能導致電腦系統(tǒng)的崩潰，而另一部分則有可能影響電腦的正常操作，它會導致操作異?；蛘叻欠ú僮?、瀏覽器異常、用戶密碼更改甚至是死機。一般來說，將間諜軟件清除電腦即可恢復正常，但也有的一旦用戶試圖清除就會導致電腦異常。

除上述的危害之外，間諜軟件還可以改動你的瀏覽器設置，將其他的網(wǎng)站作為默認的主頁，擾亂你的系統(tǒng)部件之間的兼容性，斷開你的電腦同你的默認ISP之間的連接。

五、做好網(wǎng)絡安全運行監(jiān)控與管理。

①網(wǎng)絡安全運行監(jiān)控。能夠實時監(jiān)控網(wǎng)絡運行：監(jiān)控網(wǎng)絡流量；監(jiān)控網(wǎng)絡合法應用；數(shù)據(jù)傳輸跟蹤；服務器進程監(jiān)控；服務器日志監(jiān)控分析；監(jiān)控外部入侵與內部破壞；定期提交網(wǎng)絡監(jiān)控分析報告（流量分析、日志分析、運行總結、改進升級建議）。做好網(wǎng)絡安全運行監(jiān)控有利于保證網(wǎng)絡中心的動態(tài)信息安全，因此，必須隨時檢測、監(jiān)控網(wǎng)絡運行狀況，保證網(wǎng)絡中心各個系統(tǒng)安全穩(wěn)定的運行。

②安全管理制度的完善。總的來說，網(wǎng)絡安全不僅僅是技術問題，同時也是一個安全管理問題。必須綜合考慮安全因素，制定合理的目標、技術方案、相關的配套法規(guī)等。在很多系統(tǒng)中，由于管理上的原因造成了大量的安全問題。為了建設一個完善的安全體系，制定一個完善的安全管理制度是必須的。網(wǎng)絡中心信息安全問題中最核心的問題是管理問題。“人”是實現(xiàn)網(wǎng)絡系統(tǒng)安全的關鍵因素。如果沒有相應的管理制度，再好的網(wǎng)絡安全實施方案也形同虛設，因此需要加強人員安全培訓，制定安全管理規(guī)范，同時，要充分利用各種技術手段進行自動化管理。網(wǎng)絡的安全管理規(guī)范包括：確定安全管理等級和安全管理范圍；制定有關網(wǎng)絡操作使用規(guī)程和人員出人機房管理制度；制定網(wǎng)絡系統(tǒng)的維護制度和應急措施等。

六、結束語

總之，人民生活水平的提高，網(wǎng)絡信息的應用，不僅推動了社會的進步，計算機網(wǎng)絡技術的日趨成熟使得各種網(wǎng)絡連接更加容易，人們在享受網(wǎng)絡帶來便利的同時，網(wǎng)絡的信息安全也日益受到威脅。計算機網(wǎng)絡信息安全問題也隨之日益突出，安全現(xiàn)狀應當引起人們的關注。