周琳

計(jì)算機(jī)網(wǎng)絡(luò)信息安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。它主要是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系 統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。

隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，信息網(wǎng)絡(luò)已經(jīng)成為社會(huì)發(fā)展的重要保證。信息網(wǎng)絡(luò)涉及諸多領(lǐng)域，包括存儲(chǔ)、傳輸和處理的許多信息，這些網(wǎng)絡(luò)信息系統(tǒng)都依靠計(jì)算機(jī)網(wǎng)絡(luò)接收和處理信息，實(shí)現(xiàn)相互間的聯(lián)系和對(duì)目標(biāo)的管理、控制，以網(wǎng)絡(luò)方式獲得信息和交流信息已成為現(xiàn)代信息社會(huì)的一個(gè)重要特征。包括報(bào)社在內(nèi)的很多單位都已經(jīng)采取了全數(shù)字化內(nèi)部網(wǎng)絡(luò)辦公、排版、打印、輸出、印刷等一條龍的信息化渠道，但是在其中有很多是重要的信息，所以難免會(huì)吸引來(lái)各種攻擊（例如信息泄漏、數(shù)據(jù)篡改、數(shù)據(jù)刪添、計(jì)算機(jī)病毒等）。為了防止各種各樣的網(wǎng)路攻擊，提前做好報(bào)社內(nèi)部網(wǎng)路的信息安全就顯得尤為重要，下面從幾個(gè)方面談一談如何保證報(bào)社內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)安全

報(bào)社互聯(lián)網(wǎng)安全問(wèn)題的產(chǎn)生和解決，綜合技術(shù)和管理等多方面因素，我們可以從以下為四個(gè)方面著手解決：1、報(bào)社網(wǎng)絡(luò)對(duì)外的開放性，2、內(nèi)部網(wǎng)絡(luò)自身的脆弱性，3、訪問(wèn)的即時(shí)性，4、管理的困難性。

報(bào)社網(wǎng)絡(luò)對(duì)外的開放性

由于報(bào)社的工作性質(zhì)決定了稿件要在不同部門間流通、審閱、定稿，所以文件服務(wù)器的絕大多數(shù)文件是共享性質(zhì)的，也就是說(shuō)，內(nèi)部網(wǎng)絡(luò)上的每一個(gè)節(jié)點(diǎn)都是有訪問(wèn)和修改權(quán)限，同時(shí)，報(bào)社的編輯需要使用同一臺(tái)內(nèi)網(wǎng)節(jié)點(diǎn)訪問(wèn)互聯(lián)網(wǎng)，如果管理員或者用戶的技術(shù)水平限制、維護(hù) 管理工作量大等因素，設(shè)計(jì)時(shí)沒(méi)有充分考慮服務(wù)器所面對(duì)的外網(wǎng)安全威脅，工作階段也就留下了大量的安全漏洞。比如，系統(tǒng)的缺省安裝和弱口令，這樣就很容易使服務(wù)器暴露在互聯(lián)網(wǎng)的攻擊下，現(xiàn)在互聯(lián)網(wǎng)攻擊的手段越來(lái)越簡(jiǎn)單、越來(lái)越普遍，攻擊工具的功能卻越來(lái)越強(qiáng)，因此攻擊者也更為普遍。這時(shí)候需要管理員使用防火墻等工具來(lái)防范風(fēng)險(xiǎn)，“防火墻”是一種形象的說(shuō)法，其實(shí)它是一種由計(jì)算機(jī)硬件和軟件的組合，使互聯(lián)網(wǎng)與內(nèi)網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，它其實(shí)就是一個(gè)把互聯(lián)網(wǎng)與內(nèi)網(wǎng)隔開的屏障。

防火墻的技術(shù)實(shí)現(xiàn)通常是基于所謂“包過(guò)濾”技術(shù)，而進(jìn)行包過(guò)濾的標(biāo)準(zhǔn)通常就是根據(jù)安全策略制定的。在防火墻產(chǎn)品中，包過(guò)濾的標(biāo)準(zhǔn)一般是靠網(wǎng)絡(luò)管理員在防火墻設(shè)備的訪問(wèn)控制清單中設(shè)定。訪問(wèn)控制一般基于的標(biāo)準(zhǔn)有：包的源地址、包的目的地址、連接請(qǐng)求的方向、數(shù)據(jù)包協(xié)議（如TCP/IP等）以 及服務(wù)請(qǐng)求的類型等。

防火墻可以利用代理服務(wù)器軟件實(shí)現(xiàn)。早期的防火墻主要起屏蔽主機(jī)和加強(qiáng)訪問(wèn)控制的作用，現(xiàn)在的防火墻一般都具有加密、解密和壓縮、解壓等功能，這些技術(shù)增加了信息在互聯(lián)網(wǎng)上的安全性。網(wǎng)絡(luò)的安全性通常是以網(wǎng)絡(luò)服務(wù)的開放性為代價(jià)的，對(duì)防火墻的設(shè)置也不例外。防火墻的隔斷作用一方面加強(qiáng)了內(nèi)部網(wǎng)絡(luò)的安全，一方面卻使內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的信息系統(tǒng)交流受到阻礙，因此必須在防火墻上附加各種信息服務(wù)的代理軟件來(lái)代理內(nèi)部網(wǎng)絡(luò)與外部的信息交流，另外，防火墻只能阻截來(lái)自外部網(wǎng)絡(luò)的攻擊，而對(duì)于內(nèi)部網(wǎng)絡(luò)的安全還需要通過(guò)對(duì)內(nèi)部網(wǎng)絡(luò)的有效控制和管理來(lái)實(shí)現(xiàn)。這就引發(fā)了下一個(gè)方面的問(wèn)題。

內(nèi)部網(wǎng)絡(luò)自身的脆弱性

內(nèi)網(wǎng)是使用者主要是報(bào)社內(nèi)部編輯人員，本身內(nèi)網(wǎng)是比較安全的，但由于編輯需要使用互聯(lián)網(wǎng)找稿和圖片還有新聞線索，還有每個(gè)人的對(duì)電腦使用的習(xí)慣不同，再加上各種附加電子設(shè)備的使用，使看似安全的內(nèi)網(wǎng)暴露在各種危險(xiǎn)之下，比如使用優(yōu)盤，優(yōu)盤實(shí)際上是能夠從防火墻內(nèi)部感染內(nèi)部網(wǎng)路的常規(guī)途徑。優(yōu)盤價(jià)格便宜、體積小、存儲(chǔ)數(shù)據(jù)多，并且能夠在多種設(shè)備上使用。優(yōu)盤的普遍應(yīng)用促使網(wǎng)絡(luò)黑客開發(fā)出一種有針對(duì)性的惡意軟件，如臭名昭著的蠕蟲病毒，這種蠕蟲能夠在連接到USB端口的時(shí)候自動(dòng)執(zhí)行，更嚴(yán)重的是，默認(rèn)的操作系統(tǒng)設(shè)置一般都允許大多數(shù)程序（包括惡意程序）自動(dòng)運(yùn)行。對(duì)此，解決辦法就是修改計(jì)算機(jī)默認(rèn)的自動(dòng)運(yùn)行政策。優(yōu)盤并不是需要擔(dān)心的唯一的USB接口設(shè)備。許多設(shè)備都能夠把數(shù)據(jù)存儲(chǔ)到普通的文件系統(tǒng)中，并且通過(guò)一個(gè)USB接口或類似的連接進(jìn)行讀寫。包括數(shù)碼相機(jī)、打印機(jī)、掃描儀、傳真機(jī)，同時(shí)，同上面提到的優(yōu)盤一樣，光盤也是網(wǎng)絡(luò)感染的一個(gè)原因，表面上合法的可記錄介質(zhì)能夠用來(lái)拷貝數(shù)據(jù)進(jìn)出網(wǎng)絡(luò)。另外，智能手機(jī)能夠引起上面所說(shuō)的優(yōu)盤和筆記本電腦引起的同樣的威脅。而且，智能手機(jī)有可能避開傳統(tǒng)的數(shù)據(jù)泄漏保護(hù)解決方案。所以，需要在報(bào)社實(shí)施和執(zhí)行一定的設(shè)備控制和政策，規(guī)定什么設(shè)備可以進(jìn)入這個(gè)網(wǎng)路環(huán)境，以及什么時(shí)候可以進(jìn)入這個(gè)網(wǎng)路環(huán)境。然后，定期檢測(cè)這些政策的執(zhí)行情況。

訪問(wèn)的即時(shí)性

報(bào)社內(nèi)網(wǎng)經(jīng)常設(shè)置2-3個(gè)共享文件夾，用于存放保存已經(jīng)編寫好的文稿和圖片等，并且共享打印機(jī)等設(shè)備，在平時(shí)訪問(wèn)量不大情況下，網(wǎng)絡(luò)比較流暢，當(dāng)十幾個(gè)編輯同時(shí)訪問(wèn)的時(shí)候，有時(shí)候就會(huì)產(chǎn)生擁堵的情況，甚至?xí)a(chǎn)生網(wǎng)絡(luò)癱瘓。這時(shí)候訪問(wèn)的即時(shí)性問(wèn)題就顯現(xiàn)出來(lái)，如何解決呢，需要采取身份驗(yàn)證，訪問(wèn)控制和權(quán)限設(shè)置等措施安排好對(duì)文件和設(shè)備的訪問(wèn)優(yōu)先次序。

內(nèi)網(wǎng)身份驗(yàn)證是一致性驗(yàn)證的一種，驗(yàn)證是建立一致性證明的一種手段。身份驗(yàn)證主要包括驗(yàn)證依據(jù)、驗(yàn)證系統(tǒng)和安全要求。身份驗(yàn)證技術(shù)是在計(jì)算機(jī)中最早應(yīng)用的安全技術(shù)，現(xiàn)在也仍在廣泛應(yīng)用，目前最新的有兩種，一是基于USB Key的Windows系統(tǒng)登錄認(rèn)證方案：通過(guò)定制登錄GINA模塊，配合安全登錄策略，來(lái)提高Windows登錄認(rèn)證的安全性；二是基于802.1x協(xié)議的網(wǎng)絡(luò)接入認(rèn)證方案：通過(guò)定制認(rèn)證客戶端，配合交換機(jī)設(shè)備，有效阻止了未授權(quán)用戶或設(shè)備非法接入網(wǎng)絡(luò)。同時(shí)，這兩個(gè)方案將對(duì)用戶身份認(rèn)證轉(zhuǎn)變?yōu)閷?duì)USB.Key設(shè)備的認(rèn)證，省去了用戶頻繁輸入身份驗(yàn)證賬號(hào)和密碼的繁瑣性，體現(xiàn)了簡(jiǎn)潔高效。內(nèi)網(wǎng)訪問(wèn)控制是存取控制規(guī)定何種主體對(duì)何種客體具有何種操作權(quán)力。存取控制是網(wǎng)絡(luò)安全理論的重要方面，主要包括人員限制、數(shù)據(jù)標(biāo)識(shí)、權(quán)限控制、類型控制和風(fēng)險(xiǎn)分析，它一般與身份驗(yàn)證技術(shù)一起使用，賦予不同身份的用戶以不同的操作權(quán)限，以實(shí)現(xiàn)不同安全級(jí)別的信息分級(jí)管理。

4、管理的困難性

現(xiàn)在隨著網(wǎng)絡(luò)知識(shí)的普及，越來(lái)越多的人都喜歡在網(wǎng)上瀏覽和下載視頻文件，其中可能對(duì)局域網(wǎng)造成嚴(yán)重影響的還是通過(guò)一些點(diǎn)對(duì)點(diǎn)傳輸軟件，也就是平時(shí)說(shuō)的P2P軟件，如迅雷、電驢等等。這些P2P工具大多采用多線程、多節(jié)點(diǎn)、多服務(wù)器下載，可以占用大量的內(nèi)部外部網(wǎng)絡(luò)流量，耗盡網(wǎng)絡(luò)帶寬，從而使得堵塞網(wǎng)絡(luò)，導(dǎo)致各種正常的網(wǎng)絡(luò)辦公軟件使用受到限制，使得正常的網(wǎng)頁(yè)瀏覽、收發(fā)電子郵件都極為困難。所以，對(duì)這些上網(wǎng)行為必須進(jìn)行嚴(yán)格的管理。

傳統(tǒng)的網(wǎng)絡(luò)管理方法，一般是借助于防火墻禁止軟件、或者通過(guò)路由器限制軟件；并且通過(guò)防火墻限制下載軟件、限制在線視頻等等，或者通過(guò)路由器限制P2P軟件，通過(guò)交換機(jī)限制P2P軟件的使用等。但是，隨著這些軟件變得更為智能，這些軟件的端口都是可以自動(dòng)切換的，并且這些軟件的傳輸協(xié)議也大量采用P2P協(xié)議、UDP協(xié)議等點(diǎn)對(duì)點(diǎn)協(xié)議，而不僅僅是傳統(tǒng)的HTTP協(xié)議、TCP協(xié)議?？傊@些網(wǎng)絡(luò)工具的傳輸特征變得更為復(fù)雜、更為智能，從而使得封堵這些網(wǎng)絡(luò)工具變得更困難。對(duì)網(wǎng)絡(luò)管理員的工作提出了更多的挑戰(zhàn)。

總之，一個(gè)單位的計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)管理工作是一項(xiàng)非常有挑戰(zhàn)性的工作，作為報(bào)社的一名計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)工作者，要不斷的學(xué)習(xí)、思考，善于發(fā)現(xiàn)問(wèn)題，解決問(wèn)題，才能更好的保障報(bào)社工作的順利進(jìn)行和報(bào)紙的正常印刷制作。