网络信息安全保障策略

　［摘 要］ 随着互联网技术以及信息技术的飞速发展，网络安全技术已经影响到社会的政治、经济、文化和军事等各个领域，信息安全的隐蔽性、跨域性、快速变化性和爆发性给信息安全带来了严峻的挑战。 网络的信息安全是构建任何一个网络系统时必须重点关注的事情。本文简要地分析了网络中存在的几种信息安全隐患，并针对信息安全隐患提出安全保障策略。
　　［关键词］ 计算机网络； 信息安全； 保障策略； 防火墙； 预防措施

　　１网络信息安全定义及研究意义
　　
　　１．１网络信息安全定义
　　网络安全从本质上来讲就是指网络系统中流动和保存的数据，不受到偶然的或者恶意的破坏、泄露、更改，系统能连续正常工作，网络服务不中断。而从广义上来说，凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论，都是网络安全所要研究的领域。
　　１．２网络信息安全研究意义
　　网络信息安全保障手段的研究和应用，对于保证信息处理和传输系统的安全，避免因为系统的崩溃和损坏而对系统存储、处理和传输的信息造成破坏和损失；保护信息的保密性、真实性和完整性，避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为；保护国家的安全、利益和发展，避免非法、有害的信息传播所造成的后果，能进行防止和控制，避免公用网络上大量自由传输的信息失控等方面都有非常重大的意义。
　　
　　２网络信息安全现状
　　
　　２．１物理传输对网络信息安全的威胁
　　网络通信都要通过通信线路、调制解调器、网络接口、终端、转换器和处理机等物理部件，这些往往都是黑客、攻击者的切入对象。wwW.lw881.com主要有以下几方面的入侵行为：
　　（１） 电磁泄露：无线网络传输信号被捕获，对于一些通用的加密算法，黑客和攻击者已有一整套完备的破解方案，能够较轻易地获取传输内容。
　　（２） 非法终端：在现有终端上并接一个终端，或合法用户从网上断开时，非法用户乘机接入并操纵该计算机通信接口，或由于某种原因使信息传到非法终端。
　　（３） 非法监听：不法分子通过通信设备的监听功能对传输内容进行非法监听或捕获，由于是基于通信设备提供的正常功能，一般使用者很难察觉。
　　（４） 网络攻击：如ａｒｐ风暴等小包攻击交换机等通信设备，引起网络拥塞或导致通信主机无法处理超量的请求，轻则网络服务不可用，重则整个系统死机瘫痪。
　　２．２软件对网络信息安全的威胁
　　现代通信系统如ａｔｍ、软交换、ｉｍｓ、ｅｐｏｎ、ｐｏｓ终端、手机等都使用大量的软件进行通信控制，因此软件方面的入侵也相当普遍。
　　（１） 网络软件的漏洞或缺陷被利用。软件漏洞分为两种：一种是蓄意制造的漏洞，是系统设计者为日后控制系统或窃取信息而故意设计的漏洞；另一种是无意制造的漏洞，是系统设计者由于疏忽或其他技术原因而留下的漏洞。
　　（２） 软件病毒入侵后打开后门，并不断繁殖，然后扩散到网上的计算机来破坏系统。轻者使系统出错，重者可使整个系统瘫痪或崩溃。
　　（３） 通信系统或软件端口被暴露或未进行安全限制，导致黑客入侵，进而可以使用各种方式有选择地破坏对方信息的有效性和完整性，或者在不影响网络正常工作的情况下，进行截获、窃取、破译，以获得对方重要的机密信息。
　　２．３工作人员的不安全因素
　　内部工作人员有意或无意的操作或多或少存在信息安全隐患。
　　（１） 保密观念不强，关键信息或资产未设立密码保护或密码保护强度低；文档的共享没有经过必要的权限控制。
　　（２） 业务不熟练或缺少责任心，有意或无意中破坏网络系统和设备的保密措施。
　　（３） 熟悉系统的工作人员故意改动软件，或用非法手段访问系统，或通过窃取他人的口令字和用户标识码来非法获取信息。
　　（４） 利用系统的端口或传输介质窃取保密信息。
　　
　　３网络信息安全保障策略
　　针对以上信息安全隐患，可以采用一些技术手段，对攻击者或不法分子的窃密、破坏行为进行被动或主动防御，避免不必要的损失。
　　３．１物理传输信息安全保障
　　（１） 减少电磁辐射。传输线路应有露天保护措施或埋于地下，并要求远离各种辐射源，以减少由于电磁干扰引起的数据错误。对无线传输设备应使用高可靠性的加密手段，并隐藏链接名。
　　（２） 采用数据加密技术，对传输内容使用加密算法将明文转换成无意义的密文，防止非法用户理解原始数据。数据加密技术是一种主动的信息安全防范措施，可大大加强数据的保密性。
　　（３） 使用可信路由、专用网或采用路由隐藏技术，将通信系统隐匿在网络中，避免传输路径暴露，成为网络风暴、ｄｄｏｓ等攻击对象。

　　３．２软件类信息安全保障
　　安装必要的软件，可以快速有效地定位网络中病毒、蠕虫等网络安全威胁的切入点， 及时、准确地切断安全事件发生点和网络。
　　（１） 安装可信软件和操作系统补丁，定时对通信系统进行软件升级，及时堵住系统漏洞避免被不法分子利用。
　　（２） 使用防火墙技术，控制不同网络或网络安全域之间信息的出入口，根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流。且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施，是目前保护网络免遭黑客袭击的有效手段。
　　（３） 使用杀毒软件，及时升级杀毒软件病毒库。小心使用移动存储设备。在使用移动存储设备之前进行病毒的扫描和查杀，可以有效地清除病毒，扼杀木马。
　　（４） 使用入侵检测系统防止黑客入侵。一般分为基于网络和基于主机两种方式。基于网络的入侵检测系统，将检测模块驻留在被保护系统上，通过提取被保护系统的运行数据并进行入侵分析来实现入侵检测的功能。基于主机的入侵检测系统对通信系统进行实时监控，通过监视不正当的系统设置或系统设置的不正当更改实现入侵检测功能。基于主机的入侵检测系统具有检测效率高，分析代价小，分析速度快的特点，能够迅速并准确地定位入侵者，并可以结合操作系统和应用程序的行为特征对入侵进行进一步分析。但在数据提取的实时性、充分性、可靠性方面，基于主机日志的入侵检测系统不如基于网络的入侵检测系统。 另外还有分布式入侵检测、应用层入侵检测、智能的入侵检测等信息安全保障手段可以使用。
　　３．２内部工作人员信息安全保障
　　（１） 加强安全意识和安全知识培训，让每个工作人员明白数据信息安全的重要性， 理解保证数据信息安全是所有系统使用者共同的责任。
　　（２） 加强局域网安全控制策略，使网络按用户权限进行隔离或授权访问。它能控制以下几个方面的权限： 防止用户对目录和文件的误删除，执行修改、查看目录和文件，显示向某个文件写数据，拷贝、删除目录或文件，执行文件，隐含文件，共享，系统属性等。控制哪些用户能够登录到服务器并获取网络资源， 控制用户入网的时间和在哪台工作站入网。用户和用户组被赋予一定的权限， 网络控制用户和用户组可以访问的目录、文件和其他资源， 可以指定用户对这些文件、目录、设备能够执行的操作，权限按照最小化原则进行分配。
　　（３） 利用桌面管理系统控制操作终端的系统配置、软件合法性、病毒库、防火墙等。若用户使用的终端或系统没有按照要求按照合法软件，则限制用户接入网络。若用户的系统、防火墙、防毒软件未及时更新，则强制用户进行更新操作。使用桌面管理系统可以最大化净化网络环境，避免操作人员的终端引入信息安全隐患。
　　（４） 启用密码策略， 强制计算机用户设置符合安全要求的密码， 包括设置口令锁定服务器控制台， 以防止非法用户修改。设定服务器登录时间限制、检测非法访问。删除重要信息或破坏数据， 提高系统安全性， 对密码不符合要求的计算机在多次警告后阻断其连网。
　　
　　４结束语
　　计算机软件技术的发展使得计算机应用日益广泛与深入，同时也使计算机系统的安全问题日益复杂和突出，各种各样的威胁模式也不断涌现。网络信息安全是一个综合性的课题，涉及技术、管理、使用等许多方面，只有将各种方面的保障策略都结合起来，才能形成一个高效、通用、安全的网络系统。
　　
　　主要参考文献
　　［１］ 李淑芳，双娜，等． 网络安全浅析［ｊ］． 科技，２００６（２）．
　　［２］ 林志臣． 计算机网络安全及防范技术［ｊ］． 科技咨询导报，２００７（１１）．
　　［３］ 殷伟． 计算机安全与病毒防治［ｍ］． 合肥：安徽科学技术出版社，２００４．
　　［４］ 刘晓辉． 网络安全管理实践（网管天下）［ｍ］． 北京：电子工业出版社，２００７．
　　［５］ 韩东海，王超，李群． 入侵检测系统及实例剖析［ｍ］． 北京：清华大学出版社，２００８．
　　［６］ ［美］ｄａｖｉｄ ｃｈａｌｌｅｎｅｒ，ｒｙａｎ ｃａｔｈｅｒｍａｎ［ｍ］． 可信计算（ａ ｐｒａｃｔｉｃａｌ ｇｕｉｄｅ ｔｏ ｔｒｕｓｔｅｄ ｃｏｍｐｕｔｉｎｇ）［ｍ］． 北京：机械工业出版社，２００９
本文链接：http://www.qk112.com/lwfw/jsjlw/jsjwl/239488.html