淺談構(gòu)建信息安全防護體系

應(yīng)志斌

浙江省仙居縣人民防空辦公室，浙江 臺州 317300

近年來，信息技術(shù)廣泛應(yīng)用于軍事、科技、文化和商業(yè)等各個領(lǐng)域，信息已成為一種不可忽視的戰(zhàn)略資源。傳播、共享是信息的固有屬性，同時信息的傳播又必須是可控的、共享是授權(quán)的。因此，信息的安全性和可靠性越來越引起人們的高度重視。

1 確保信息傳輸安全

信息安全主要包括兩個方面，即信息的存儲安全和信息的傳輸安全。信息存儲安全就是指信息在靜態(tài)存儲狀態(tài)下的安全，如是否會被非授權(quán)調(diào)用等，一般可通過設(shè)置訪問權(quán)限、身份識別、局部隔離等措施來得以保證。針對“外部”訪問、調(diào)用而言的訪問控制技術(shù)是解決信息存儲安全的主要途徑。在網(wǎng)絡(luò)中，無論是調(diào)用指令，還是信息反饋均是通過網(wǎng)絡(luò)傳輸實現(xiàn)的，所以網(wǎng)絡(luò)信息傳輸上的安全就顯得尤為重要。信息的傳輸安全主要是指信息在動態(tài)傳輸過程中的安全。為確保網(wǎng)絡(luò)信息傳輸?shù)陌踩?，必須做到?/p>

一是防止網(wǎng)絡(luò)信息的竊聽。對網(wǎng)上傳輸?shù)男畔?，攻擊者在網(wǎng)絡(luò)的傳輸鏈路上通過物理或邏輯的手段就能對數(shù)據(jù)進行非法的截獲與監(jiān)聽，進而得用戶或服務(wù)方的敏感信息。

二是防止用戶身份的仿冒。對用戶身份仿冒這一常見的網(wǎng)絡(luò)攻擊方式，傳統(tǒng)的對策一般采用身份認證方式防護，但是，用于用戶身份認證的密碼在登錄時常常以明文的方式在網(wǎng)絡(luò)上進行傳輸，很容易被攻擊者在網(wǎng)絡(luò)上截獲，進而可以對用戶的身份進行仿冒，使身份認證機制被攻破。

三是防止網(wǎng)絡(luò)信息的篡改。攻擊者一旦進入網(wǎng)絡(luò)，就能篡改網(wǎng)絡(luò)上信息內(nèi)容(增加、截去或改寫)，使用用戶無法獲得準確、有用的信息，從而落入攻擊者的陷阱。

四是防止網(wǎng)絡(luò)信息的重發(fā)。“信息重發(fā)”的攻擊方式是在截獲網(wǎng)絡(luò)上的密文信息后，并不對其破譯，而是把這些數(shù)據(jù)包再次向有關(guān)服務(wù)器發(fā)送，以實現(xiàn)惡意攻擊的目的。

2 采取行之有效的安全防范措施

隨著網(wǎng)絡(luò)攻擊手段的不斷發(fā)展，所有的網(wǎng)絡(luò)安全措施都不能保證萬無一失，良好的安全措施只不過使被攻破的時間長一點而已。因此，在網(wǎng)絡(luò)安全防護過程中，安全防護措施的制定具有一定的動態(tài)性，應(yīng)根據(jù)具體的環(huán)境與攻擊手段的發(fā)展不斷予以修正?；诰W(wǎng)絡(luò)安全的種種原因，我們應(yīng)從以下幾個方面對網(wǎng)絡(luò)進行防護：

一是采用備份來避免總體損失。備份是避免損失的有效途徑。一旦出現(xiàn)服務(wù)器或終端用戶被竊或重大的硬件故障，只有通過應(yīng)急備份，才能恢復(fù)文件，減少不必要的損失。我們可以為服務(wù)器配備一個存儲內(nèi)存大于該服務(wù)器磁盤容量的備份磁帶，利用服務(wù)器的及時備份功能，對文件和數(shù)據(jù)進行備份。

二是預(yù)防病毒感染。預(yù)防病毒最好的辦法就是禁止所有操作終端使用外來未加檢測的各種軟件。現(xiàn)在市面上的各種軟件紛繁復(fù)雜，盜版現(xiàn)象日趨嚴重，盜版商為了自己的利益，到處集成各種軟件，致使大部分盜版軟件含有各種病毒，各軟件生產(chǎn)商為了保護自己的知識產(chǎn)權(quán)不受侵害，在編制軟件時，都留有后門，當某些條件得不到滿足時，駐留在程序中的病毒就會自動發(fā)作，給用戶造成不必要的損失。因此，我們在使用各種軟件時，一定要使用正版軟件廠商生產(chǎn)的，且經(jīng)過多種病毒監(jiān)測程序測試通過的軟件，以防止病毒的危害。同時，我們還應(yīng)該在網(wǎng)絡(luò)服務(wù)器和終端機上安裝正版的防毒、殺毒軟件并及時進行升級和更新，利用殺毒軟件的自動掃描功能，對機器上的數(shù)據(jù)進行實時監(jiān)測，發(fā)現(xiàn)病毒立即清除。

三是防止無意的信息泄漏。在每臺網(wǎng)絡(luò)終端上安裝防輻射設(shè)備，并設(shè)置屏幕消隱保護程序，使得只有通過口令才能看到正在進行的工作，這樣用戶通過控制時間間隔，對屏幕消隱進行控制，對最常見的窺探威脅具有預(yù)防作用。另外，網(wǎng)絡(luò)打印機也是信息泄漏的重要途徑。當使用網(wǎng)絡(luò)打印機時，應(yīng)將打印機放置在一個控制嚴密的房間里，但是，不管對打印機的防護創(chuàng)建了什么樣的體制，它都有可能失效，因此，在使用網(wǎng)絡(luò)打印機時，操作人員一定要具有強烈的安全意識。重視信息垃圾的處理，防止信息垃圾的泄密。敏感信息在處理前都應(yīng)使用碎紙機進行粉碎。密級較高的信息不應(yīng)存放在硬盤上，應(yīng)該將該信息存儲光盤上并將存儲盤保存在安全保險的地方。

四是使用網(wǎng)絡(luò)操作系統(tǒng)的安全功能。各種網(wǎng)絡(luò)系統(tǒng)都有許多安全功能，在使用一種網(wǎng)絡(luò)系統(tǒng)時，也要關(guān)注其他網(wǎng)絡(luò)的安全功能，使用過程中，確保所有可供使用的網(wǎng)絡(luò)操作系統(tǒng)的安全功能均打開。所使用的口令一定要采用不易忘記、不受猜測和不易受到蠻力攻擊而且字長超過8個字符的口令，并為多次訪問提供最多不超過3次的不正確嘗試次數(shù)。利用網(wǎng)絡(luò)安全監(jiān)視工具監(jiān)測網(wǎng)絡(luò)安全脆弱性，對檢測到的各種信息每天進行審計跟蹤，并不斷完善各種安全規(guī)則。

3 增強操作人員的安全保密意識

黑客之所以能在網(wǎng)上頻頻得逞，與人們防范意識淡薄有很大關(guān)系。各單位應(yīng)定期對網(wǎng)絡(luò)管理員進行培訓(xùn)，提高其網(wǎng)絡(luò)管理水平。網(wǎng)絡(luò)安全并不僅僅是那些有重要數(shù)據(jù)的用戶和管理員的事，對每個普通用戶都要嚴格要求，否則普通用戶將會成為危害網(wǎng)絡(luò)安全的一個跳板，黑客、病毒可以通過普通用戶終端進入到網(wǎng)絡(luò)中，從而對整個網(wǎng)絡(luò)和系統(tǒng)的安全帶來威脅。因此，讓每一個用戶都增強安全意識，進行安全操作，是實現(xiàn)網(wǎng)絡(luò)安全的根本途徑。同時，要做好網(wǎng)絡(luò)系統(tǒng)的安全保密工作，加強網(wǎng)絡(luò)操作人員的安全保密教育，提高其安全保密意識。尤其是要增強所有終端操作人員的計算機安全防范意識。網(wǎng)絡(luò)終端是網(wǎng)絡(luò)中最基本的單元，終端操作人員又是這單元的重要組成部分，如果不及時對操作人員進行安全防范教育，那么我們所構(gòu)建的安全防護體系就會功虧一簣。

4 建立行之有效的安全管理機制

安全問題不僅僅是技術(shù)性的問題，還與道德、行業(yè)管理以及用戶的行為緊密地聯(lián)系在一起。管理工作是安全系統(tǒng)的關(guān)鍵，設(shè)備可以很快被淘汰，一些技術(shù)也很快會落后，但是，良好的管理肯定會擁有長期存在的價值。作為一個系統(tǒng)，安全是動態(tài)的、發(fā)展的，這就更需要有完善的管理來適應(yīng)這種變化。實踐表明，純技術(shù)難以防范原始的攻擊方式，根本的解決方法是嚴格的管理和各種制度的落實。

嚴格控制用戶隨意入網(wǎng)。對入網(wǎng)用戶進行嚴格審批，定期組織網(wǎng)絡(luò)安全巡查并進行不定期抽查。建立逐級負責制度。信息安全管理不是哪一個人哪一個部門的事，只有靠信息管理人員和所有信息使用人員共同來監(jiān)督才能達到事半功倍的效果，才能保證信息安全管理的及時有效性。