網(wǎng)絡(luò)信息安全與防護(hù)措施淺析

遲海蛟

摘 要：本文將對目前網(wǎng)絡(luò)信息安全存在的主要問題進(jìn)行剖析，并提出相應(yīng)的安全防范措施。

關(guān)鍵詞：網(wǎng)絡(luò)信息安全；防范措施

隨著互聯(lián)網(wǎng)建設(shè)的不斷發(fā)展，計算機網(wǎng)絡(luò)的不斷推廣使用，計算機網(wǎng)絡(luò)越來越發(fā)揮著重要作用，為日常工作學(xué)習(xí)提供可靠、快捷的信息保證，與此同時，網(wǎng)絡(luò)的信息安全問題也成為我們不得不高度重視的問題。許多計算機網(wǎng)絡(luò)的失泄密事件，為我們敲響了警鐘。因此保證網(wǎng)絡(luò)信息安全成為當(dāng)前不可忽視的重要問題。本文將對網(wǎng)絡(luò)信息安全存在的問題進(jìn)行深入剖析，并提出相應(yīng)的安全防范措施。

1 網(wǎng)絡(luò)信息安全面臨的不安全因素

對計算機網(wǎng)絡(luò)構(gòu)成不安全的因素很多，其中包括人為因素、自然因素和各種偶發(fā)因素。其中人為因素是利用計算機網(wǎng)絡(luò)存在的漏洞非法入侵計算機系統(tǒng)，盜用計算機系統(tǒng)資源，非法獲取重要數(shù)據(jù)、篡改系統(tǒng)數(shù)據(jù)、破壞硬件設(shè)備、編制計算機病毒。人為因素是對網(wǎng)絡(luò)信息安全威脅最大的因素。自然因素是指計算機網(wǎng)絡(luò)硬件和各種通訊設(shè)施極易遭受各種自然環(huán)境因素影響，如地震、火災(zāi)、泥石流災(zāi)害等。偶發(fā)因素是指電源故障，設(shè)備狀態(tài)失常，軟件開發(fā)過程中留下的某些漏洞等對網(wǎng)絡(luò)正常運行構(gòu)成的嚴(yán)重威脅。

網(wǎng)絡(luò)安全面臨的威脅是多方面的，既包括對網(wǎng)絡(luò)中信息的威脅，也包括對網(wǎng)絡(luò)硬件設(shè)備的威脅。總起來說可歸結(jié)如下幾點：一是人為疏忽，如操作員配置不當(dāng)造成安全漏洞，例如防火墻配置不當(dāng)，導(dǎo)致防火墻失效，給外來攻擊提供機會，用戶安全意識不強，口令選擇不慎，或者不及時更新安防系統(tǒng)都會構(gòu)成對網(wǎng)絡(luò)安全的威脅。二是人為惡意攻擊，這是對網(wǎng)絡(luò)構(gòu)成的最大威脅，此類攻擊可分為兩種，一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一種是被動攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得重要機密信息。主動攻擊比較容易被發(fā)現(xiàn)，而被動攻擊則很難被發(fā)現(xiàn)。三是操作系統(tǒng)及軟件漏洞，網(wǎng)絡(luò)中使用的服務(wù)器及終端電腦一般采用windows操作系統(tǒng)居多，而眾所周知，windows操作系統(tǒng)是存在漏洞的，這就使其很容易成為黑客攻擊的對象，絕大多數(shù)網(wǎng)絡(luò)入侵事件都是由于安全措施不完善，沒有及時補上系統(tǒng)漏洞造成的。此外軟件開發(fā)人員為了便于維護(hù)而設(shè)置的軟件后門，也可能成為網(wǎng)絡(luò)安全的很大隱患。四是計算機病毒，計算機病毒程序有著巨大的破壞性，其危害性早已被人們所認(rèn)識。單機病毒就已經(jīng)讓人們“談毒色變”了，而通過網(wǎng)絡(luò)傳播的病毒，無論是在傳播速度、破壞性，還是在傳播范圍等方面都是單機病毒所不能比擬的。計算機病毒是數(shù)據(jù)安全的頭號敵人，具有寄生性、隱蔽性、觸發(fā)性、傳染性、破壞性等特點，提高對病毒防范是一個刻不容緩的問題。五是管理不當(dāng)，規(guī)章制度不健全、安全管理水平低，操作失誤等因素對網(wǎng)絡(luò)信息安全造成威脅。

2 針對網(wǎng)絡(luò)信息安全隱患的對策措施

2.1 從思想上提高防范意識

計算機網(wǎng)絡(luò)系統(tǒng)是一個人機系統(tǒng)，安全保護(hù)的對象是計算機，而安全保護(hù)的主體則是人，應(yīng)注重樹立人的計算機安全意識，才可能防微杜漸。把可能出現(xiàn)的損失降低到最低點。因此首先要加強對維護(hù)和使用人員的計算機安全防范意識教育，通過對維護(hù)和使用人員網(wǎng)絡(luò)安全教育，提高網(wǎng)絡(luò)管理人員素質(zhì)，使其充分認(rèn)識網(wǎng)絡(luò)安全重要性，提高他們的思想覺悟和安全意識，從而在人員素質(zhì)上避免出現(xiàn)安全問題，了解并掌握一定的網(wǎng)絡(luò)安全防范措施。

2.2 從制度上加強對計算機網(wǎng)絡(luò)使用的安全管控

為保障網(wǎng)絡(luò)信息安全，必須確定專職領(lǐng)導(dǎo)人員，協(xié)調(diào)全網(wǎng)的安全事宜，負(fù)責(zé)監(jiān)督各項安全制度和措施的落實，負(fù)責(zé)并領(lǐng)導(dǎo)經(jīng)常性的網(wǎng)絡(luò)安全管理工作。根據(jù)網(wǎng)絡(luò)安防實際情況，建立和健全各種安全管理制度，例如：機房安全管理制度、病毒防范制度、安全操作規(guī)程和工作守則、保密設(shè)備安全管理制度、維護(hù)和維修管理制度、安全考核制度等。嚴(yán)格遵守操作規(guī)程。禁止使用來源不可靠的存儲介質(zhì)，以防止計算機病毒的侵入。值班員每日記錄好安防工作日志，以進(jìn)行有效的追蹤、監(jiān)督和審計。網(wǎng)絡(luò)管理員和終端操作員根據(jù)自己的職責(zé)權(quán)限，選擇不同的口令，對應(yīng)用程序數(shù)據(jù)進(jìn)行合法操作，防止用戶越權(quán)訪問數(shù)據(jù)和使用網(wǎng)絡(luò)資源。

2.3 從技術(shù)手段上提高網(wǎng)絡(luò)信息安全防護(hù)水平

⑴有效使用防火墻技術(shù)。防火墻技術(shù)是一種用來加強網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。防火墻技術(shù)實質(zhì)上是一種隔離技術(shù)，是安全網(wǎng)絡(luò)（被保護(hù)的內(nèi)網(wǎng)）與非安全網(wǎng)絡(luò)（外部網(wǎng)絡(luò)）之間的一道屏障，以預(yù)防發(fā)生不可預(yù)測的、潛在的網(wǎng)絡(luò)入侵。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包，如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。防火墻一般分為包過濾型防火墻、應(yīng)用代理型防火墻、基于狀態(tài)檢測的包過濾防火墻。防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足，如無法防范來自網(wǎng)絡(luò)內(nèi)部的網(wǎng)絡(luò)攻擊，它只提供了網(wǎng)絡(luò)邊緣的防護(hù)；其次，防火墻也不能阻止未知的惡意代碼的攻擊，如病毒、特洛伊木馬等。

⑵使用網(wǎng)絡(luò)版殺毒軟件。在網(wǎng)絡(luò)環(huán)境下，病毒傳播擴散速度極快，僅用單機版防病毒軟件已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒，因此必須選擇適合于局域網(wǎng)的全方位安全防護(hù)軟件。網(wǎng)絡(luò)版殺毒軟件可以有效阻止病毒的傳播，保護(hù)用戶進(jìn)行網(wǎng)絡(luò)訪問。具有最新功能和數(shù)據(jù)庫的殺毒軟件還能夠?qū)σ阎《具M(jìn)行查殺，對未知病毒進(jìn)行隔離和檢測，保護(hù)用戶使用網(wǎng)絡(luò)中的數(shù)據(jù)信息安全。使用網(wǎng)絡(luò)殺毒軟件，還可以有效對網(wǎng)絡(luò)中的計算機終端進(jìn)行監(jiān)控，定時查殺，對終端計算機病毒庫及時更新，可以通過服務(wù)器端管理控制臺軟件對整個網(wǎng)絡(luò)服務(wù)器及終端進(jìn)行防殺病毒操作，可以使病毒庫的升級，全網(wǎng)同步進(jìn)行，使每臺終端防病毒能力處于相同水平，只要控制中心升級了，全網(wǎng)病毒軟件也會同步升級。使用網(wǎng)絡(luò)殺毒軟件還可以對安全態(tài)勢進(jìn)行監(jiān)視，對病毒的種類，發(fā)作次數(shù)通過管理日志文件進(jìn)行分析，并有針對性的采取相應(yīng)解決方案。對于病毒高發(fā)的計算機終端，實施可實施斷網(wǎng)、隔離，使用專殺工具進(jìn)行徹底查殺。

⑶入侵檢測技術(shù)。除了安裝防護(hù)軟件外，為系統(tǒng)配備以入侵檢測為主的安全技術(shù)也是提高網(wǎng)絡(luò)安全防護(hù)水平的有效手段。該技術(shù)包括入侵檢測、入侵防御、漏洞掃描等。入侵檢測和入侵防御技術(shù)是防火墻技術(shù)的有效補充，它可以主動對惡意行為進(jìn)行識別和處理。而漏洞掃描技術(shù)則是對現(xiàn)有主機系統(tǒng)進(jìn)行漏洞檢測，以確定系統(tǒng)是否可靠，對于存在漏洞的系統(tǒng)按照預(yù)定規(guī)則進(jìn)行修復(fù)。

⑷信息加密與用戶授權(quán)訪問控制技術(shù)。與防火墻相比，信息加密與用戶授權(quán)訪問控制技術(shù)更加適用于提高網(wǎng)絡(luò)節(jié)點間的數(shù)據(jù)傳輸?shù)陌踩?。信息加密的目的是保護(hù)網(wǎng)內(nèi)數(shù)據(jù)、文件口令等信息保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點加密和節(jié)點加密三種。鏈路加密的目的是保護(hù)網(wǎng)絡(luò)節(jié)點之間的鏈路信息安全；端點加密目的是對源端用戶到目的端用戶數(shù)據(jù)提供保護(hù)；節(jié)點加密是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護(hù)。信息加密過程是由各種加密算法來具體實現(xiàn)的。用戶授權(quán)訪問控制主要用于對靜態(tài)信息的保護(hù)，利用訪問控制策略，用戶可以對入網(wǎng)訪問權(quán)限進(jìn)行控制。通過設(shè)定不同的訪問規(guī)則可以有效預(yù)防網(wǎng)絡(luò)非法用戶對網(wǎng)絡(luò)和信息的訪問。當(dāng)用戶對網(wǎng)絡(luò)信息進(jìn)行訪問時需要進(jìn)行身份和訪問權(quán)限認(rèn)證，只有通過認(rèn)證的用戶才能對網(wǎng)絡(luò)進(jìn)行操作。這種訪問控制策略可以有效保障網(wǎng)絡(luò)信息的機密性、完整性和可控性。

⑸確保與最新的軟件補丁和升級同步。網(wǎng)絡(luò)和操作系統(tǒng)本身所具有的各種安全漏洞和錯誤（bug），都為非法入侵者提供了便利，所以需要網(wǎng)絡(luò)維護(hù)人員不斷的修復(fù)網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用軟件的錯誤和漏洞，消除其bug，這就是我們俗稱的打補丁，通過下載安裝最新的操作系統(tǒng)補丁，可以有效消除常見漏洞，提高網(wǎng)絡(luò)安全性和穩(wěn)定性。

此外，還需從物理手段上提高網(wǎng)絡(luò)防護(hù)水平，如在機房建設(shè)上，采用抗靜電地板，機柜接地，電源防雷方面要考慮信號和電源防雷標(biāo)準(zhǔn)，在配電、空調(diào)、門禁和防火設(shè)施和機房電磁屏蔽等方面都要給予充分考慮。

總之，網(wǎng)絡(luò)安全的問題，不僅僅是技術(shù)層面的問題，更是安全管理方面的問題。我們必須綜合考慮各方面因素，制定相應(yīng)的目標(biāo)和技術(shù)規(guī)范，同時加強對人員的安全教育和管控，只要這樣才能構(gòu)建一個安全的網(wǎng)絡(luò)環(huán)境，降低網(wǎng)絡(luò)安全事故風(fēng)險，保證網(wǎng)絡(luò)信息安全。endprint