網絡信息安全防范措施研究

張佳申

【摘 要】隨著當今社會計算機網絡在生活中的普及，網絡信息安全及防護策略研究對于現實生活具有重要的意義。本文分析了目前計算機網絡信息安全存在的問題，并提出了加強安全管理的相關措施。

【關鍵詞】網絡；信息安全；措施

【中圖分類號】G250.72【文獻標識碼】A【文章編號】1672-5158（2013）07-0132-02

一、網絡中心P信息安全的性能衡量

（1）完整性一一指網絡中心的信息安全、精，確與有效，不因種種不安全因素而改變信息原有的內容、形式與流向，使系統內程序與數據不被非法刪改和破壞。

（2）保密性一一指網絡中心有保密要求的信息只能供經過允許的人員，以經過允許的方式使用，防止系統內信息非法泄漏。

（3）可靠性一一指網絡中心信息在需要時即可使用，不因系統故障或操作失誤等使信息丟失，或妨礙對信息的使用。

二、網絡中心信息安全應注意的問題

2.1 網絡中心機房建設物理全安

為了保護網絡中心實體的設備安全，應采取良好的屏蔽 及避雷措施，防止雷電和工業射電干擾，采用穩壓電源，防止電壓波動，采用不間斷電源（UPS）防止突然斷電引起設備損壞或數據丟失。尤其應當注意在高溫天氣，斷電后空調空調停止運轉，網絡設備繼續運行，時間較長時對設備可能造成的損壞，應安裝報警器、各種監視系統及安全門鎖等。按計算機安全場地要求采取防火、防水、防塵、防震、防靜電等技術措施，采取電磁屏蔽及良好接地等手段，使系統中的設備既不因外界或其他設備的電磁干擾而影響其正常工作，也不因其自身的電磁輻射泄漏數據信息、同時不影響周圍其他設備的正常工作。

2.2 網絡安全技術在信息安全中的作用

①防火墻技術。防火墻是近年發展起來的一項網絡安全技術，其特征是通過在網絡邊界上建立相應的網絡通信監控系統，達到保障網絡安全的目的。所謂“防火墻”就是指設置在不同網絡或網絡安全域之間的一系列軟硬件設施的組合。它可通過監測，限制、更改跨越防火墻的數據流，盡可能地對外屏蔽網絡內部的信息、結構和運行狀況，以此來實現網絡的安全保護。

從原理上分，防火墻的技術包括4大類網絡級防火墻（也叫包過濾防火墻）、應用級網關、電路級網關和規則檢查防火墻。它們各有所長，使用哪一種或是否混合使用，要看具體需要。防火墻的作用是保護脆弱的系統應用服務、控制對系統的訪問、集中的安全管理和策略制定、增強保密性、記錄和統計網絡利用數據以及非法使用數據，對非法人侵的監測和報警等。防火墻的局限性在于無法防范通過防火墻以外的其他途徑的攻擊，不能防止傳送已感染病毒的軟件或文件，不能防止來自內部用戶的威脅，無法防范數據驅動型的攻擊。

三、入侵檢測 （IDS）

侵檢測是防火墻技術的重要補充，在不影響網絡的情況下能對網絡進行檢測分析，從而對內部攻擊、外部攻擊和誤操作進行實時識別和響應，有效地監視、審計、評估網絡系統。入侵檢測和漏洞掃描技術結合起來是預防黑客攻擊的主要手段，是一項新的安全技術。目前 入侵檢測技術主要可以分為基于主機入侵檢測和基于網絡入侵檢測兩種?；谥鳈C的系統通過軟件來分析來自各個地方的數據，這些數據可以是事件日志 （1og文件 ）、配置文件password文件等；基于網絡的系統通過網絡監聽的方式從網絡中獲取數據，并根據事先定義 好的規則檢查它，從而判定通信是否合法。

四、網絡中心信息安全應采取的措施

身份認證，數據加密，系統備份與恢復，防治病毒，反間諜軟件系統。

①身份認證與數字簽名。身份認證是證明某人或某物身份的過程，當用戶之間建立連 接時，為了防止非法連接或被欺騙，就可實施身份確認，以確保只有合法身份的用戶才能與之建立連接。其具體實現過程如下；用戶B選擇一個公開密碼交給用戶A自己留私用密鑰，A選擇一個隨機數，用B的公開密鑰將該數加密，并要求B將其解密并送回。這樣只有知道解密鑰的B才能完成這一解密，冒充者在這樣的測試中則會暴露。隨著電子商務的應用與發展，計算機化的報文代替紙墨文件的傳送勢在必行。數字簽名被設計用來代替親筆簽名或印章來證明報文的真實性，它可以達到下列功能。（1）接收者能夠核實和確認發送者對報文的簽名，但不能偽造對報文的簽名（收方條件）。（2）發送者事后不能否認和抵賴對報文的簽名（發方條件）。（3）公證方能確認收發雙方的信息，作出仲裁，但不能偽造這一過程（公證條件）。目前數字簽名技術大致分為：采用秘密密鑰的數字簽名和采用公開密鑰的數字簽名兩種。

②數據加密技術。數據加密過程由各種加密算法實現，它以很小的代價提供較大的安全保護。如果按照收發雙方密鑰早否相同來分類，可以將這些加密算件分為常規密碼算法和公鑰密碼算法，DES及RSA是它們的典型代表。常規密碼的優點是有很高的保密強度，但其密鑰必須通過安全的途徑傳送，密鑰管理困難。公鑰密碼的優點是可以適應網絡的開放性要求，密鑰管理問題也較為簡單，可方便地實現數字簽名和驗證，但其算法復雜，加密數據的速率較低。隨著現代電子技術和密碼技術的發展，公鑰密碼算法將逐漸成為網絡安全加密體制的主流。在現在的網絡安全應用中人們通常將常規密碼和公鑰密碼結合使用。一般的網絡數據加密有鏈路加密、節點加密和端對端加密3種方式。鏈路加密是目前最常用的加密方法，通常用硬件在網絡的萄軟各層和物理層實現。它用于保護通信節點間傳輸的數據，對用戶是透明的。節點加密是對鏈路加密的改進，克服了鏈路加密在節點處易遭非法存取的缺點，在協議傳輸層上進行加密，是對源節點和目標節點之間傳輸的數據進行加密保護。端對端加密是網絡層以上的加密，是面向網絡中高層主體進行加密，在協議表示層上對傳輸的數據進行加密，而不對下層協議信息加密。端對端加密一般由軟件來完成，具有比鏈路加密技術成本低、安全性高的特點。

③系統備份和恢復。網絡信息安全防范手段不可能設計得面面俱到，突發性事件的產生、不可抗拒的自然現象或是惡意的外來攻擊都會給計算機系統帶來不可預知的災難。因此，必須建立系統的備份與恢復，以便在災難發生后保障計算機系統正常運行備份方案有多種類型，其最終目標是保證系統連續運行，其中網絡通信、主機系統、業務數據是保證系統連續運行不可缺少的環節，在選擇備份方案時應把對數據的備份作為重點。日常備份制度是系統備份方案的具體實施細則，在制定完畢后，應嚴本各陵照制度進行日常備份，否則將無法達到備份方案的目標。此外，還要認真完成一些管理工作，如：定期檢查，確保備份的正確性；將備份磁帶保存在異地一個安全的地方（如專門的磁帶庫）；按照數據增加和更新速度選擇恰當的備份數據。系統備份不僅備份系統中的數據，還要備份系統中安裝的應用程序、數據庫系統、用戶設置、系統參數等信息。與系統備份對應的概念是災難恢復，災難恢復是指在整個系統都失效時，系統的迅速恢復。它在整個備份制度中占有相當重要的地位。災難恢復措施包括災難預防制度、災難演習制度及災難恢復。

④病毒防治。首先要增強防網絡病毒的觀念。計算機病毒給計算機安全運行帶來的危害輕則影響工作，重則將磁盤中存儲的數據和程序全破壞掉，使用于實時控制的計算機癱瘓，造成無法估計的損失。其次要提高網絡安全意識。對一些來歷不明的電子郵件，尤其是標題中含有欺騙性或誘惑性語句的不要輕易相信，它可能是病毒制造者投下的“誘餌”；同時要及時觀察和發現異常情況，不使病毒傳染到整個磁盤，傳染到相鄰的計算機；最后要選用互聯網病毒防火墻系統，防毒軟件Inter Sean Vi-rus Wall（國際互聯網病毒防火墻），是網絡防病毒體系結構中的最上層，安裝在Internet服務器或網關上。它在病毒通過Internet人侵內部網絡的第一點處設置一道防毒屏障，使得病毒在進人網絡之前即被阻截。

⑤間諜軟件。目前還沒有一個統一的定義，但就某些方面已達到共識；1.在用戶不知情的清況下進入電腦；2.能截取用戶的個人資料并能返回其開發商；3一旦進入電腦就難以清除。據此，筆者認為所謂間諜軟件，就是指任何沒有被用戶知曉或明確授權的情況下，進入電腦截取用戶網絡連接信息又很難從計算機上清除的程序。根據這一定義，間諜軟件可以分為兩類，一類是“監視型間諜軟件”，它具有記錄鍵盤操作的鍵盤記錄器功能和屏幕捕獲功能，另一類是“廣告型間諜軟件”，通過軟件捆綁或ActiveX控件安裝，能記錄用戶的信息，但用戶并不知道它的存在?？梢哉f間諜軟件對信息安個構成嚴重的威脅：

泄漏商業秘密一一通過間諜軟件，外部人員可以在網絡鏈入因特網的時候截取網內的機密數據、重要信息以及內聯網的U RL等信息并發送到因特網上，一旦這些信息沒有加密的話就會引起機密信息的泄漏，帶來無法估量的損失。

侵犯個人隱私—對普通用戶來說，間諜軟件最大的危害就是侵犯個人隱私，它能夠在用戶上網的時候記錄用戶IP地址、訪問的網站、個人習性、秘密信息甚至是敏感信息，如信用卡號、提款密碼等，并將這些調查信息返回到間諜軟件開發商的服務器上，在侵犯用戶個人隱私權的同時，還給垃圾郵件的發送創造了條件。

破壞電腦的完整性—大部分間諜軟件可讀性差并且能導致電腦系統的崩潰，而另一部分則有可能影響電腦的正常操作，它會導致操作異?；蛘叻欠ú僮?、瀏覽器異常、用戶密碼更改甚至是死機。一般來說，將間諜軟件清除電腦即可恢復正常，但也有的一旦用戶試圖清除就會導致電腦異常。

除上述的危害之外，間諜軟件還可以改動你的瀏覽器設置，將其他的網站作為默認的主頁，擾亂你的系統部件之間的兼容性，斷開你的電腦同你的默認ISP之間的連接。

五、做好網絡安全運行監控與管理。

①網絡安全運行監控。能夠實時監控網絡運行：監控網絡流量；監控網絡合法應用；數據傳輸跟蹤；服務器進程監控；服務器日志監控分析；監控外部入侵與內部破壞；定期提交網絡監控分析報告（流量分析、日志分析、運行總結、改進升級建議）。做好網絡安全運行監控有利于保證網絡中心的動態信息安全，因此，必須隨時檢測、監控網絡運行狀況，保證網絡中心各個系統安全穩定的運行。

②安全管理制度的完善?？偟膩碚f，網絡安全不僅僅是技術問題，同時也是一個安全管理問題。必須綜合考慮安全因素，制定合理的目標、技術方案、相關的配套法規等。在很多系統中，由于管理上的原因造成了大量的安全問題。為了建設一個完善的安全體系，制定一個完善的安全管理制度是必須的。網絡中心信息安全問題中最核心的問題是管理問題?！叭恕笔菍崿F網絡系統安全的關鍵因素。如果沒有相應的管理制度，再好的網絡安全實施方案也形同虛設，因此需要加強人員安全培訓，制定安全管理規范，同時，要充分利用各種技術手段進行自動化管理。網絡的安全管理規范包括：確定安全管理等級和安全管理范圍；制定有關網絡操作使用規程和人員出人機房管理制度；制定網絡系統的維護制度和應急措施等。

六、結束語

總之，人民生活水平的提高，網絡信息的應用，不僅推動了社會的進步，計算機網絡技術的日趨成熟使得各種網絡連接更加容易，人們在享受網絡帶來便利的同時，網絡的信息安全也日益受到威脅。計算機網絡信息安全問題也隨之日益突出，安全現狀應當引起人們的關注。