信息網(wǎng)絡(luò)的安全與防范策略

【摘要】隨著當(dāng)前社會(huì)信息化程度的不斷提高，信息網(wǎng)絡(luò)在人們的工作、生活中得到廣泛應(yīng)用，對(duì)信息網(wǎng)絡(luò)的依賴性也愈來愈高。而計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊等借助信息網(wǎng)絡(luò)的便攜性、互聯(lián)性、大眾性，日益給信息安全帶來嚴(yán)重威脅，信息網(wǎng)絡(luò)安全問題引起社會(huì)的高度重視。本文分析了信息網(wǎng)絡(luò)安全的現(xiàn)狀與特點(diǎn)，從硬件安全、軟件安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、用戶安全、安全制度等方面，提出了信息網(wǎng)絡(luò)安全的一些防范策略。

【關(guān)鍵詞】信息網(wǎng)絡(luò)安全防護(hù)網(wǎng)絡(luò)安全數(shù)據(jù)安全

信息網(wǎng)絡(luò)安全是指防止信息網(wǎng)絡(luò)本身及其采集、加工、存儲(chǔ)、傳輸?shù)男畔?shù)據(jù)被故意或偶然的非授權(quán)泄露、更改、破壞或使信息被非法辨認(rèn)、控制，即保障信息的可用性、機(jī)密性、完整性、可控性、不可抵賴性。伴隨各個(gè)領(lǐng)域中計(jì)算機(jī)的廣泛應(yīng)用，通過計(jì)算機(jī)信息系統(tǒng)管理著政府部門和企事業(yè)單位的經(jīng)濟(jì)、政治、辦公、商務(wù)等有關(guān)信息，通過計(jì)算機(jī)網(wǎng)絡(luò)為承載的信息系統(tǒng)實(shí)現(xiàn)了前所未有的快速發(fā)展。所以，計(jì)算機(jī)信息系統(tǒng)變成了一些黑客、不法分子經(jīng)常攻擊目標(biāo)，妄圖竊取數(shù)據(jù)信息或者破壞信息系統(tǒng)。加強(qiáng)計(jì)算機(jī)信息系統(tǒng)的安全，也就變成了人們?cè)絹碓礁叨汝P(guān)注的安全問題。

1信息網(wǎng)絡(luò)安全面臨的威脅

信息網(wǎng)絡(luò)面臨的威脅主要來自：電磁泄露、雷擊等環(huán)境安全構(gòu)成的威脅，軟硬件故障和工作人員誤操作等人為或偶然事故構(gòu)成的威脅，利用計(jì)算機(jī)實(shí)施盜竊、詐騙等違法犯罪活動(dòng)的威脅，網(wǎng)絡(luò)攻擊和計(jì)算機(jī)病毒構(gòu)成的威脅等。信息網(wǎng)絡(luò)自身的脆弱性主要包括：在信息輸入、處理、傳輸、存儲(chǔ)、輸出過程中存在的信息容易被篡改、偽造、破壞、竊取、泄漏等不安全因素；信息網(wǎng)絡(luò)自身在操作系統(tǒng)、數(shù)據(jù)庫(kù)以及通信協(xié)議等存在安全漏洞和隱蔽信道等不安全因素；在其他方面如磁盤高密度存儲(chǔ)受到損壞造成大量信息的丟失，存儲(chǔ)介質(zhì)中的殘留信息泄密，計(jì)算機(jī)設(shè)備工作時(shí)產(chǎn)生的輻射電磁波造成的信息泄密。

2信息網(wǎng)絡(luò)安全防護(hù)措施

防護(hù)信息網(wǎng)絡(luò)系統(tǒng)的安全，需要針對(duì)信息系統(tǒng)所依賴的硬件環(huán)境、軟件環(huán)境、網(wǎng)絡(luò)環(huán)境、數(shù)據(jù)環(huán)境等采取專門的防范策略。

2.1硬件環(huán)境安全

信息網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)的基礎(chǔ)是可靠的網(wǎng)絡(luò)硬件和相關(guān)運(yùn)行環(huán)境，它們的安全對(duì)信息系統(tǒng)的安全有著直接的影響。一要確保信息網(wǎng)絡(luò)機(jī)房的安全，要遵循國(guó)家頒布的《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》、《建筑物電子信息系統(tǒng)防雷技術(shù)規(guī)范》、《計(jì)算站場(chǎng)地技術(shù)要求》、《計(jì)算站場(chǎng)地安全技術(shù)》等技術(shù)要求，為信息網(wǎng)絡(luò)提供良好的硬件運(yùn)行基礎(chǔ)環(huán)境；二要確保信息網(wǎng)絡(luò)硬件的安全，可以采取多種保護(hù)的技術(shù)，如硬件訪問控制技術(shù)，防電磁泄露技術(shù)，防復(fù)制技術(shù)，還原技術(shù)等，這些技術(shù)均可對(duì)計(jì)算機(jī)硬件實(shí)施有效的保護(hù)。

2.2軟件環(huán)境安全

2.2.1操作系統(tǒng)安全

屬于系統(tǒng)級(jí)安全范圍，其主要功能是控制系統(tǒng)的運(yùn)行，管理計(jì)算機(jī)各種資源，是其它軟件運(yùn)行的支撐環(huán)境。而操作系統(tǒng)應(yīng)用越多，相應(yīng)的軟件漏洞也會(huì)隨之增多，惡意攻擊者經(jīng)常會(huì)通過這些漏洞，實(shí)施對(duì)操作系統(tǒng)進(jìn)行各種攻擊。而安裝軟件補(bǔ)丁則可以有效地提高系統(tǒng)受到攻擊的風(fēng)險(xiǎn)，提高系統(tǒng)防御能力。為了保證操作系統(tǒng)的安全性，需要制定必要的安全機(jī)制保護(hù)操作系統(tǒng)的安全，如部署、采用防病毒系統(tǒng)、漏洞掃描、補(bǔ)丁升級(jí)等技術(shù)。

2.2.2應(yīng)用軟件安全

應(yīng)用軟件安全是所有軟件研發(fā)過程中的關(guān)鍵部分，它包含了軟件研發(fā)周期內(nèi)為了防止程序缺陷所采取的所有步驟。那些存在于應(yīng)用軟件需求，設(shè)計(jì)，研發(fā)，配置，升級(jí)或者維護(hù)環(huán)節(jié)中的瑕疵都可能成為招致網(wǎng)絡(luò)攻擊的漏洞。用戶除了要對(duì)應(yīng)用軟件的功能性進(jìn)行檢測(cè)外，還需根據(jù)軟件運(yùn)行的特定環(huán)境對(duì)其安全性進(jìn)行檢測(cè)和審查，在使用過程當(dāng)中進(jìn)行安全性跟蹤，并經(jīng)常性地進(jìn)行定期維護(hù)，確保應(yīng)用軟件安全。

2.2.3防病毒系統(tǒng)

病毒威脅是網(wǎng)絡(luò)系統(tǒng)最常受到侵襲的方式，因此為了防止系統(tǒng)受到病毒的滋擾與破壞，我們可采用多渠道、多層次的構(gòu)建病毒防控體系的方式達(dá)到提高網(wǎng)絡(luò)安全性能的目的。首先我們可在每臺(tái)計(jì)算機(jī)、服務(wù)器及網(wǎng)關(guān)中安裝正版的防毒、殺毒軟件，針對(duì)不同的防毒類型、網(wǎng)絡(luò)系統(tǒng)服務(wù)目的安裝相應(yīng)的企業(yè)級(jí)防毒系統(tǒng)，從而做到集中控制、防護(hù)為首、防殺結(jié)合的有效保護(hù)。

2.2.4漏洞掃描

是指基于漏洞數(shù)據(jù)庫(kù)，通過掃描等手段，對(duì)指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測(cè)，發(fā)現(xiàn)可利用的漏洞的一種安全檢測(cè)（滲透攻擊）行為。利用漏洞掃描系統(tǒng)，可以發(fā)現(xiàn)系統(tǒng)提供服務(wù)漏洞的情況、Web服務(wù)器全部TCP分配的端口使用情況、一些專用協(xié)議的安全評(píng)估等。根據(jù)掃描結(jié)果，可以有針對(duì)性的對(duì)系統(tǒng)漏洞及時(shí)填補(bǔ)。

2.3網(wǎng)絡(luò)安全

伴隨信息網(wǎng)絡(luò)延伸，特別是3G和WiFi的大量普及，使信息共享和通信更加容易實(shí)現(xiàn)，而網(wǎng)絡(luò)通信協(xié)議普遍使用的標(biāo)準(zhǔn)主要基于TCP/IP架構(gòu)。TCP/IP并不是一個(gè)而是多個(gè)協(xié)議， TCP和IP是其中最基本也是最主要的兩個(gè)協(xié)議，由于最初TCP/IP是在可信任環(huán)境中開發(fā)出來的成果，在協(xié)議設(shè)計(jì)的總體構(gòu)想和設(shè)計(jì)的時(shí)候基本上未考慮安全問題，不能提供人們所需要的安全性和保密性，從而也能夠使非法用戶從遠(yuǎn)程實(shí)施對(duì)信息系統(tǒng)的數(shù)據(jù)的非授權(quán)訪問，破壞或者攔截?cái)?shù)據(jù)?；诖_保網(wǎng)絡(luò)安全的考慮，可以實(shí)施VPN、防火墻、入侵檢測(cè)技術(shù)、身份認(rèn)證等技術(shù)，保障信息系統(tǒng)的安全。

2.3.1虛擬專用網(wǎng)絡(luò)

虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN）依靠二層或三層的網(wǎng)絡(luò)加密協(xié)議，在本地網(wǎng)絡(luò)或異地網(wǎng)絡(luò)之間，在通信網(wǎng)絡(luò)上，架設(shè)一條專有的通訊線路，實(shí)施安全、保密通信，而無需布設(shè)實(shí)際物理線路。

2.3.2防火墻技術(shù)

防火墻可以防止外部用戶對(duì)內(nèi)部網(wǎng)絡(luò)資源的非授權(quán)訪問，保護(hù)內(nèi)部的設(shè)備及各種信息資源，也可以阻止內(nèi)部用戶對(duì)外部網(wǎng)絡(luò)的攻擊行為。通過防火墻的安全策略，對(duì)網(wǎng)絡(luò)之間及網(wǎng)絡(luò)內(nèi)部傳輸?shù)臄?shù)據(jù)包檢查，判斷數(shù)據(jù)包是否可以放行，同時(shí)對(duì)網(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行監(jiān)控，從而保護(hù)網(wǎng)絡(luò)的安全。

2.3.3入侵檢測(cè)和入侵防御系統(tǒng)

入侵檢測(cè)系統(tǒng)（Intrusion Detection System，IDS）實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)的數(shù)據(jù)傳輸情況，當(dāng)存在異常的數(shù)據(jù)傳輸或訪問行為時(shí)，IDS發(fā)出警報(bào)或者實(shí)施主動(dòng)的保護(hù)反應(yīng)手段。

入侵防御系統(tǒng)（Intrusion Prevent System，IPS）是一種主動(dòng)、智能的入侵檢測(cè)、防范、阻止系統(tǒng)，它不需要人為干預(yù)就可以預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成任何損失。

2.3.4高強(qiáng)度身份認(rèn)證

和使用用戶名及口令簡(jiǎn)單的認(rèn)證不同，采用PKI體制的數(shù)字證書技術(shù)的身份認(rèn)證和系統(tǒng)登錄可以提供強(qiáng)度更高的安全包含。在用戶登錄信息系統(tǒng)時(shí)，以后對(duì)資源進(jìn)行訪問時(shí)，均要使用證書及會(huì)話的信息進(jìn)行用戶真實(shí)身份的驗(yàn)證，阻止用戶的非法假冒行為。PKI技術(shù)體制還可以用在其它許多方面來加強(qiáng)信息的安全性，如系統(tǒng)的單點(diǎn)登錄，日志審計(jì)與管理，權(quán)限控制與管理，安全電子郵件，安全的WWW網(wǎng)站，電子印章，域用戶智能卡登錄等。

2.3.5合理的權(quán)限控制

合理的為網(wǎng)絡(luò)用戶授予相應(yīng)的權(quán)限是保護(hù)信息網(wǎng)絡(luò)一種重要安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限，有權(quán)訪問某些目錄、子目錄、文件和其他資源，可以對(duì)這些文件、目錄、設(shè)備執(zhí)行指定操作。根據(jù)訪問權(quán)限可將用戶分為以下幾類：特殊用戶（即系統(tǒng)管理員）；一般用戶，系統(tǒng)管理員根據(jù)他們的實(shí)際需要為他們分配操作權(quán)限；審計(jì)用戶，負(fù)責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計(jì)。

2.3.6審查系統(tǒng)日志

經(jīng)過詳細(xì)地審查你的系統(tǒng)日志文件，可以獲得系統(tǒng)是如何被侵入的，入侵過程中，攻擊者執(zhí)行了哪些操作，以及哪些遠(yuǎn)程主機(jī)訪問了自己主機(jī)等相關(guān)信息。通過定期對(duì)系統(tǒng)日志進(jìn)行審計(jì)，及時(shí)發(fā)現(xiàn)日志當(dāng)中異?；顒?dòng)的記錄，并采取相應(yīng)的安全措施。

2.4數(shù)據(jù)安全

數(shù)據(jù)安全有兩方面的含義，一是數(shù)據(jù)本身的安全，主要是指采用現(xiàn)代密碼算法對(duì)數(shù)據(jù)進(jìn)行主動(dòng)保護(hù)，如數(shù)據(jù)保密、數(shù)據(jù)完整性、雙向強(qiáng)身份認(rèn)證等，二是數(shù)據(jù)防護(hù)的安全，主要是采用現(xiàn)代信息存儲(chǔ)手段對(duì)數(shù)據(jù)進(jìn)行主動(dòng)防護(hù)，如通過磁盤陣列、數(shù)據(jù)備份、異地容災(zāi)等手段保證數(shù)據(jù)的安全。

2.5用戶安全

雖然信息網(wǎng)絡(luò)提供了較完善的安全防范策略，但因用戶的應(yīng)用水平不高或疏忽所致的安全隱患，仍對(duì)整個(gè)系統(tǒng)安全造成了重大影響。用戶一是要掌握基本的網(wǎng)絡(luò)安全防護(hù)知識(shí)，如系統(tǒng)漏洞補(bǔ)丁、防病毒軟件的安裝的及時(shí)更新等；二是要保管好系統(tǒng)登錄帳號(hào)及密碼并定期更新，防止因帳號(hào)密碼的泄露造成對(duì)系統(tǒng)的安全隱患；三是要按規(guī)定慎重使用移動(dòng)存儲(chǔ)介質(zhì)，防止病毒的交叉感染。

2.6信息網(wǎng)絡(luò)安全制度

信息網(wǎng)絡(luò)的安全管理，不僅要看所采用的安全技術(shù)和防范措施，還要看它所采取的管理措施和執(zhí)行力度。只有將兩者緊密結(jié)合，才能使信息網(wǎng)絡(luò)安全確實(shí)有效。因此，需要根據(jù)信息網(wǎng)絡(luò)的每一個(gè)環(huán)節(jié)，制定相應(yīng)的切實(shí)可行安全制度并認(rèn)真組織實(shí)施，是保障信息網(wǎng)絡(luò)安全的重要手段。全面而且安全的管理制度主要有以下幾點(diǎn)：設(shè)備的安全管理制度、操作的安全管理制度、計(jì)算機(jī)網(wǎng)絡(luò)安全的管理制度、密鑰安全管理制度等等。

3結(jié)束語

信息網(wǎng)絡(luò)安全是個(gè)系統(tǒng)工程，是在攻擊和防御，發(fā)現(xiàn)與修補(bǔ)，技術(shù)力量此消彼長(zhǎng)變化的一個(gè)動(dòng)態(tài)過程。而隨著攻擊者知識(shí)的日趨成熟，攻擊工具與手法的日趨復(fù)雜多樣，必須綜合利用安全防護(hù)技術(shù)，確保信息的安全性、可靠性，增加信息網(wǎng)絡(luò)在遭受各種入侵情況下的抗攻擊能力。