華　冰

摘要：近年來，互聯(lián)網(wǎng)信息篡改、泄露等惡性事件日益增多，對個人隱私甚至國家安全造成了極大的威脅。本文針對這些問題進(jìn)行了分析研究，并提出了一些相應(yīng)的對策。

關(guān)鍵詞：信息安全；信息安全保障；信息安全技術(shù)；網(wǎng)絡(luò)；策略

隨著全球信息化進(jìn)程的推進(jìn)，信息安全已經(jīng)成為阻礙信息化進(jìn)程的一個重要因素。由于計算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互聯(lián)性等特征，如今普及使用的操作系統(tǒng)又存在漏洞與缺陷，導(dǎo)致網(wǎng)絡(luò)易受黑客、惡意軟件和其他不軌行為的攻擊。無論是在局域網(wǎng)還是在廣域網(wǎng)中，都存在著諸多物理和人為因素導(dǎo)致的系統(tǒng)脆弱性和潛在威脅。因此增加了保護(hù)網(wǎng)絡(luò)信息安全的難度。

一、威脅網(wǎng)絡(luò)信息安全因素分析

1威脅網(wǎng)絡(luò)信息安全的技術(shù)因素

(1)操作系統(tǒng)存在安全漏洞。任何操作系統(tǒng)都不是無法摧毀的“堡壘”，操作系統(tǒng)設(shè)計者留下的微小“破綻”，都給網(wǎng)絡(luò)安全留下了許多隱患，造成網(wǎng)絡(luò)攻擊者利用這些“后門”作為攻擊網(wǎng)絡(luò)的通道。市場上流行的操作系統(tǒng)雖然經(jīng)過大量的測試與改進(jìn)，仍存在漏洞與缺陷，入侵者可以利用各種工具掃描網(wǎng)絡(luò)及系統(tǒng)中存在的安全漏洞，并通過一些攻擊程序?qū)W(wǎng)絡(luò)進(jìn)行惡意攻擊，這樣的危害可以造成網(wǎng)絡(luò)的癱瘓，系統(tǒng)的拒絕服務(wù)，信息的被竊取、篡改等。

(2)網(wǎng)絡(luò)的開放性和廣域性設(shè)計使得信息的保密難度較大，這其中還包括網(wǎng)絡(luò)自身的布線以及通信質(zhì)量而引起的安全問題。

網(wǎng)絡(luò)系統(tǒng)的安全威脅主要表現(xiàn)在主機(jī)可能會受到非法入侵者的攻擊，網(wǎng)絡(luò)中的敏感信息有可能泄露或被修改，從內(nèi)部網(wǎng)向公共網(wǎng)傳送的信息可能被他人竊聽或篡改等等。典型的網(wǎng)絡(luò)安全威脅主要有竊聽、重傳、偽造、篡改、非授權(quán)訪問、拒絕服務(wù)攻擊、行為否認(rèn)、旁路控制、電磁／射頻截獲、人員疏忽。

互聯(lián)網(wǎng)的全開放性也使得網(wǎng)絡(luò)可能面臨來自物理傳輸線路，或者對網(wǎng)絡(luò)通信協(xié)議以及對軟件和硬件實(shí)施的攻擊；互聯(lián)網(wǎng)的國際性，使網(wǎng)絡(luò)攻擊者可以在世界上任何一個角落利用互聯(lián)網(wǎng)上的任何一個機(jī)器對網(wǎng)絡(luò)發(fā)起攻擊，這也使得網(wǎng)絡(luò)信息保護(hù)更加困難。另外，互聯(lián)網(wǎng)協(xié)議中的TCP/IP(傳輸控制協(xié)議／網(wǎng)際協(xié)議)、FTP(文件傳輸協(xié)議)、E-mail(電子郵件)、RPC(遠(yuǎn)程程序通信規(guī)則)、NFS(網(wǎng)絡(luò)文件系統(tǒng))等都存在著許多安全漏洞。

(3)安全配置不當(dāng)造成了安全管理上的漏洞。例如，防火墻將無法防止因策略配置不當(dāng)或錯誤配置引起的安全威脅。因?yàn)榉阑饓κ且粋€被動的安全策略執(zhí)行設(shè)備，它必須根據(jù)事先配備好的安全指令來發(fā)揮作用。

(4)無線系統(tǒng)中的電磁泄露。無線通信系統(tǒng)中的數(shù)據(jù)以電磁波的形式在空中進(jìn)行傳播，存在電磁波泄露，且易被截獲。

(5)計算機(jī)病毒的存在。計算機(jī)病毒是編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或數(shù)據(jù)，影響計算機(jī)軟件、硬件的正常運(yùn)行，并且能夠自我復(fù)制的一組計算機(jī)指令或程序代碼。計算機(jī)病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性幾大特點(diǎn)。大量涌現(xiàn)的病毒在網(wǎng)上傳播極快，給全球范圍的網(wǎng)絡(luò)安全帶來了巨大災(zāi)難。

2威脅網(wǎng)絡(luò)信息安全的人為因素

(1)管理人員素質(zhì)低、管理措施不完善、用戶安全意識淡薄等。

(2)人為的無意失誤。如操作員安全配置不當(dāng)造成的安全漏洞，用戶口令選擇不慎，都會對網(wǎng)絡(luò)安全帶來威脅。

(3)人為的惡意攻擊。一是主動攻擊，以各方式有選擇地破壞信息的有效性和完整性，主動攻擊包括拒絕服務(wù)攻擊、信息篡改、資源使用、欺騙等攻擊方法；二是被動攻擊，被動攻擊主要是收集信息而不是進(jìn)行訪問，數(shù)據(jù)的合法用戶對這種活動一點(diǎn)也不會覺察到。被動攻擊在網(wǎng)絡(luò)正常運(yùn)行的狀態(tài)下進(jìn)行截獲、竊取、破譯，以獲得重要機(jī)密信息，主要包括嗅探、信息收集等攻擊方法。

二、加強(qiáng)網(wǎng)絡(luò)信息安全保護(hù)技術(shù)的策略

網(wǎng)絡(luò)信息安全是通過技術(shù)和管理手段，確保消息在公用網(wǎng)絡(luò)信息系統(tǒng)中傳輸、交換和存儲流通的保密性、完整性、可用性、真實(shí)性和不可抵賴性。這其中主要包括以下幾方面的安全管理策略：

1計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全策略

主要是配合行政手段，制定有關(guān)網(wǎng)絡(luò)安全管理的規(guī)章制度，在技術(shù)上實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全管理，確保網(wǎng)絡(luò)系統(tǒng)安全、可靠地運(yùn)行，主要涉及以下四個方面。

(1)網(wǎng)絡(luò)物理安全策略。計算機(jī)網(wǎng)絡(luò)系統(tǒng)物理安全策略的目的是保護(hù)計算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、網(wǎng)絡(luò)用戶終端機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和攻擊；驗(yàn)證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保計算機(jī)網(wǎng)絡(luò)系統(tǒng)有一個良好的工作環(huán)境；建立完備的安全管理制度，防止非法進(jìn)入計算機(jī)網(wǎng)絡(luò)系統(tǒng)控制室和網(wǎng)絡(luò)黑客的各種破壞活動。

(2)網(wǎng)絡(luò)訪問控制策略。訪問控制策略是計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常規(guī)訪問。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。所以網(wǎng)絡(luò)訪問控制策略是保證網(wǎng)絡(luò)安全最重要的核心策略之一。

(3)網(wǎng)絡(luò)信息加密策略。信息加密策略主要是保護(hù)計算機(jī)網(wǎng)絡(luò)系統(tǒng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息等網(wǎng)絡(luò)資源的安全。信息加密策略通常采用以下三種方法：①網(wǎng)絡(luò)鏈路加密方法：鏈路加密方法目的是保護(hù)網(wǎng)絡(luò)系統(tǒng)節(jié)點(diǎn)之間的鏈路信息安全。②網(wǎng)絡(luò)端點(diǎn)加密方法：端點(diǎn)加密方法目的是保護(hù)網(wǎng)絡(luò)源端用戶到目的用戶的數(shù)據(jù)安全。③網(wǎng)絡(luò)節(jié)點(diǎn)加密方法：節(jié)點(diǎn)加密方法目的是對源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供保護(hù)。對于信息加密策略，網(wǎng)絡(luò)用戶可以根據(jù)網(wǎng)絡(luò)系統(tǒng)的具體情況來選擇上述的幾種加密方法實(shí)施。

(4)網(wǎng)絡(luò)安全管理策略。確定網(wǎng)絡(luò)安全管理等級和安全管理范圍；制定有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的管理維護(hù)制度和應(yīng)急措施等等。

2網(wǎng)絡(luò)信息安全策略的設(shè)計與實(shí)現(xiàn)

要保障信息安全，首先必須解決網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全可以極大地保障信息安全。安全策略管理包括安全組件的全部領(lǐng)域。如防火墻，TDS(Tivoli Dfrectory Server)、訪問列表和路由器、認(rèn)證技術(shù)等。

根據(jù)網(wǎng)絡(luò)的結(jié)構(gòu)特點(diǎn)及面臨的安全隱患，可以通過防火墻、入侵檢測(IDS)、網(wǎng)絡(luò)防毒、網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)監(jiān)控、認(rèn)證中心(CA)與數(shù)字證書、身份認(rèn)證等防范措施來架構(gòu)起一個立體的網(wǎng)絡(luò)安全解決方案。

①防火墻可以把網(wǎng)絡(luò)分開進(jìn)行隔離管理。防火墻是內(nèi)部網(wǎng)與Internet(或一般外網(wǎng))間實(shí)現(xiàn)安全策略要求的訪問控制保護(hù)，是一種具有防范免疫功能的系統(tǒng)或系統(tǒng)組保護(hù)技術(shù)，其核心的控制思想是包過濾技術(shù)。

②入侵檢測技術(shù)能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進(jìn)攻識別和響應(yīng))，提高了

信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測。入侵檢測系統(tǒng)采用先進(jìn)的基于網(wǎng)絡(luò)數(shù)據(jù)流實(shí)時智能分析技術(shù)，判斷來自網(wǎng)絡(luò)內(nèi)部和外部的入侵企圖，進(jìn)行報警、響應(yīng)和防范：并可對網(wǎng)絡(luò)的運(yùn)行情況進(jìn)行監(jiān)控、記錄和重放，使用戶對網(wǎng)絡(luò)運(yùn)行狀況一目了然；同時提供網(wǎng)絡(luò)嗅探器和掃描器便于分析網(wǎng)絡(luò)的問題，定位網(wǎng)絡(luò)的故障；入侵檢測系統(tǒng)還可對自身的數(shù)據(jù)庫進(jìn)行自動維護(hù)，不需要用戶的干預(yù)。入侵檢測系統(tǒng)不對網(wǎng)絡(luò)的正常運(yùn)行造成任何干擾，是完整的網(wǎng)絡(luò)審計、監(jiān)測、分析系統(tǒng)。

③網(wǎng)絡(luò)防毒可以實(shí)現(xiàn)從服務(wù)器到工作站，再到客戶端的全方位病毒防護(hù)及集中管理。網(wǎng)絡(luò)防毒的管理模式有以下幾種：分散式管理模式，適用于服務(wù)器較少的小型局域網(wǎng)；直接集中控制管理模式，適合于服務(wù)器較多的中型局域網(wǎng)；既可分散又可集中控管的管理模式，既適合于小型網(wǎng)絡(luò)的分散式管理模式(不需要TVCS)，又適合于大型跨網(wǎng)段、跨平臺網(wǎng)絡(luò)的集中管理。

④網(wǎng)絡(luò)隔離是實(shí)現(xiàn)機(jī)密性的重要途徑，防止高密級信息向低密級網(wǎng)絡(luò)、涉密和敏感信息向公開網(wǎng)絡(luò)擴(kuò)散。物理隔離與邏輯隔離是常見的網(wǎng)絡(luò)隔離方法。網(wǎng)絡(luò)隔離是目前最好的網(wǎng)絡(luò)安全技術(shù)，它消除了基于網(wǎng)絡(luò)和基于協(xié)議的安全威脅，常用的是基于VPN的網(wǎng)絡(luò)隔離。

⑤認(rèn)證中心(CA)與數(shù)字證書是信息在互聯(lián)網(wǎng)上流傳的又一安全保障。認(rèn)證中心又叫CA中心，它是負(fù)責(zé)產(chǎn)生、分配并管理數(shù)字證書的可信賴的第三方權(quán)威機(jī)構(gòu)。認(rèn)證中心是PKI安全體系的核心環(huán)節(jié)，因此又稱作PKI/CA。認(rèn)證中心通常采用多層次的分級結(jié)構(gòu)，上級認(rèn)證中心負(fù)責(zé)簽發(fā)和管理下級認(rèn)證中心的證書，最下一級的認(rèn)證中心直接面向最終用戶。

⑥數(shù)字證書及身份認(rèn)證。數(shù)字證書，又叫“數(shù)字身份證”、“數(shù)字ID”，是由認(rèn)證中心發(fā)放并經(jīng)認(rèn)證中心數(shù)字簽名的，包含公開密鑰擁有者以及公開密鑰相關(guān)信息的一種電子文件，可以用來證明數(shù)字證書持有者的真實(shí)身份。身份認(rèn)證是指計算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程，解決了用戶的物理身份和數(shù)字身份相對應(yīng)的問題，給他們提供了權(quán)限管理的依據(jù)。目前常見的身份認(rèn)證方式主要有三種，第一種是使用用戶名加口令的方式；第二種是生物特征識別技術(shù)(包括指紋、聲音、手跡、虹膜等)；第三種也是現(xiàn)在電子政務(wù)和電子商務(wù)領(lǐng)域最流行的身份認(rèn)證方式——基于USBKey的身份認(rèn)證。

以上技術(shù)均可概括為兩類，即主動防御保護(hù)技術(shù)和被動防御保護(hù)技術(shù)。主動防御保護(hù)技術(shù)的實(shí)現(xiàn)方式一般采用數(shù)據(jù)加密、身份鑒別、存取控制、權(quán)限設(shè)置和虛擬專用網(wǎng)絡(luò)等技術(shù)來實(shí)現(xiàn)。被動防御保護(hù)技術(shù)的實(shí)現(xiàn)方式主要有防火墻技術(shù)、入侵檢測系統(tǒng)、安全掃描器、口令驗(yàn)證、審計跟蹤、物理保護(hù)及安全管理等。

三、結(jié)語

隨著計算機(jī)技術(shù)和通信技術(shù)的發(fā)展，信息交換將日益成為企業(yè)與企業(yè)之間、政府與政府之間或政府與企業(yè)之間日常事務(wù)往來的重要手段。因此，認(rèn)清網(wǎng)絡(luò)信息安全的重要性，采取必要的安全策略，對于保障網(wǎng)絡(luò)信息的安全性將十分重要。同時，計算機(jī)安全技術(shù)目前正處于蓬勃發(fā)展的階段，新技術(shù)層出不窮，其中也不可避免地存在一些漏洞，因此，進(jìn)行網(wǎng)絡(luò)信息安全防范要不斷追蹤新技術(shù)的應(yīng)用情況，及時升級、完善自身的防御措施。