中美铝业网络信息安全的设计与实现

由于网络在组建初期，注重的是整个信息网络的使用效果，而安全方面问题考虑得比较少，几年来，病毒及黑客的攻击，其中最有代表性的“熊猫烧香”、ARP、各色“特洛伊木马”和“后门”等等，使我们的计算机网络及信息资源都受到不同程度的冲击，甚至付出了惨痛的代价；2007年12月，我厂计算机系统在ARP、木马程序等病毒的攻击中，信息中心服务器瘫痪，全厂网络系统不能正常运行，给我厂生产经营造成巨大损失。另外内部窃密和破坏、越权访问等也给我厂信息安全构成了严重的威胁，使我们越来越清醒的认识到信息安全的重要性。

据统计，全世界由于信息系统的脆弱而导致的经济损失，每年达数亿美元，并呈逐年上升趋势。据美国《金融时报》报道，现在平均每20秒就发生一起黑客入侵计算机互联网的事件；互联网的防火墙超过1/3被攻破。据2014年1月的中国互联网络发展状况统计报告显示，在过去一年中，超过九成的中国互联网用户的计算机曾被入侵。面对日益严重的信息安全问题，不仅使上网企业及用户蒙受了巨大经济损失，而且使国家的安全与面临着严重威胁。网络信息系统的安全问题，已成为各国政府有关部门、各大行业和各企业、事业单位领导人关注的热点问题。

面对日益严重的网络安全问题，各国政府和有关企业投入了大量的人力、财力，采取了一系列的方法和措施，确保网络信息系统的正常运转。据调查，目前国外除了对信息安全标准做了许多研究外，人们的大量精力主要还是集中在对安全技术和网络安全产品的研究和开发上。国内也还没有统一的网络系统安全设计模式与标准，一些安全产品公司根据自己对安全问题的认识和理解，只是在进行网络信息系统设计时，做了一些这方面的尝试。

为了解决中美铝业信息安全的问题，制订一个完整的、全方位的信息安全解决方案，我们分析了影响中美铝业信息安全的各个要素，主要存在于三个方面，即操作系统安全，数据安全以及网络安全。

操作系统在设计初期重点考虑的是为用户提供基于主机的多用户分时管理和共享资源，安全问题不是考虑的重点，导致操作系统的安全漏洞比较多；数据安全主要在于内部窃密和破坏、截取信息、冒充和抵赖等；而网络安全主要在于越权访问、黑客及病毒的攻击。

数据加密技术是解决网络上数据安全的主要方法，而加密算法是核心。目前数据加密算法很多，最有名的算法由美国颁布的数据加密标准DES为代表的传统密钥密码算法和以RSA算法为代表的公开密钥算法。而保证网络安全的主要技术和产品在于防火墙，国内的防火墙技术也已日趋成熟。

要确保中美铝业信息安全，只有加强这三个方面的安全设计。我们针对操作系统的漏洞，对操作系统的安全登录及访问权限等进行设计；采用不对称数据加密技术、多重数字签名技术等对数据安全进行设计；根据现有成熟防火墙的技术和管理规则，结合中美铝业生产实际情况及安全要求，对中美铝业防火墙访问控制列表进行设计，有效地防止了病毒及黑客的攻击，保证了企业信息网络的安全。

中美铝业信息网络安全性分析及解决方法：

一、操作系统

中美铝业操作系统主要为windows系统，对这种造作系统主要存在下列问题。

1.操作系统的体系结构造成操作系统本身的不安全

这是计算机系统不安全的根本原因。操作系统的程序可以动态连接，包括I/O的驱动程序和系统服务，都可以用打补丁的方式进行动态链接。

2.进程创建

操作系统不安全的另一个原因在于它可以创建进程，甚至支持在网络的节点上创建和激活远程进程，更重要的是被创建的进程可以继承创建进程的权限。这一点使得可以在远端服务器上全装“间谍”软件。若再把这种间谍软件以补丁的方式“打”在一个合法的用户上，尤其“打”在一个特权用户上，间谍软件就可以使系统进程与作业的监视程序都监测不到它的存在。

3.守护进程

操作系统通常都提供守护进程，这是一些系统进程，守护进程在等待一些条件的出现，一旦有满足要求的条件出现，程序便继续运行下去。这些进程容易被攻击者利用。

4.远程调用

操作系统提供远程过程调用（RPC）服务，RPC服务本身也存在一些可以被非法用户利用的漏洞。

5.系统提供debug（调试器）与wizard（向导）

操作系统提供debug（调试器）与wizard（向导），许多研制系统软件的人员，他们的基本技能就是开发补丁程序和系统调试器。掌握了两种技术，非法访问将变得很容易。

6.无口令入口

许多操作系统安排有无口令入口，这是为系统开发人员提供的便捷入口，但它也是攻击者的利用通道。另外，操作系统还有隐蔽通道。

针对操作系统的问题，主要从以下几个方面去解决：

①全登陆方面。在windows中，每个用户必须通过用户账户登录到系统中即使同一台计算机，不同的用户也用不能的用户进行登陆。

②用户账户管理方面。用户账户由系统管理员管理。管理员根据网络系统要求，为使用网络的用户创建用户账户并授予想用的权限，若有人员调动或不用的帐号，可以进行修改或删除。

③户组方面。任何人要使用网络，则必须在网络的某个域中设有用户账户。为了方便于管理，将执行同一任务或共享同一资源的用户组，统一授予访问权限。

④访问权限。对不同的文件及软件定制不同的标准权限和特殊权限，用来限制不同用户的目录和文件的访问。

⑤审核方面。审核是对用户操作行为的跟踪，管理员可根据审核结果来控制用户的操作。Windows可对用户登录注销、文件对象访问、用户权限使用、用户组管理等进行跟踪和审核。

二、数据安全

中美铝业的数据安全主要在于数据的存储、信息及信息传输过程中的安全性。

1.数据存储安全

数据存储是信息传输利用的前提，因此，数据存储安全是信息安全的基础。

数据存储安全是指数据在存储过程中，其完整性、可用性和保密性没有遭到破坏，数据在存储过程中安全有效。数据在存储过程中，其安全性主要受到非法访问、破坏信息、物理设备故障等原因。

2.信息安全

企业网络一个重要的作用，就是通过信息和信息服务，实现网络用户的信息资源共享，但是由于信息安全的需要，这种共享只能在一定的范围内进行，防止由于信息共享造成信息的破坏和泄密。

随着计算机网络技术的发展和信息共享的需求，计算机网络提供多种多样的信息方式和信息服务方式，在我单位，网络共享主要有www方式，ftp服务器方式及E-mail电子邮件方式几种。这三种方式中，主要存在非法访问、非法上载、非法信息和不完善的CGI程序。

为了防止用户非法访问受控信息和保密信息，必须对存储信息采用访问控制技术，由于计算机信息存储系统主要为windows系统，其信息访问控制采用系统提供安全控制技术和自行设计安全控制相结合的办法来实现。主要方法为：

①信息用户身份鉴别；

②访问权限控制；

③审计跟踪；

④控制文件的物理位置和逻辑组织；

⑤病毒防护；

⑥数据备份。

三、信息传输安全

信息传输是信息利用的一个重要环节，所以信息传输安全在信息安全中有非常重要的作用。在信息的传输中，主要针对信息被截取以及信息冒充和抵赖进行设计。

截取就是窃听，指在信息的通讯线路中，设法找到一个节点，在通讯的过程中截取信息，网络中截取信息是很容易做到的，所以在信息传输过程中，为了防止数据截收，比较有效的方法就是对传输数据进行加密。当今的主流加密技术为：密钥加密、公钥加密、单向函数及数字签名。现阶段河南能源包括中美铝业所使用的正是数字签名技术。

四、网络安全

越权访问，黑客及病毒的攻击给中美铝业信息网络造成严重的威胁，而对防火墙的设计是解决这些问题的主要方法。

一个好的防火墙系统应具有以下五方面的特征：

1.所有在内部网络和外部网络之间传输的数据必须通过防火墙。

2.只有被授权的合法数据，即防火墙系统中安全策略允许的数据，可以通过防火墙。

3.防火墙本身不受各种攻击的影响。

4.使用目前新的信息安全技术，比如现代密码技术、一次口令系统、只能卡等。

5.人机界面良好，用户配置使用方便，易管理。系统管理员可以方便的对防火墙进行设置，对internet的访问者，被访问者、访问协议以及访问方式进行控制。

在内部和外部网之间设置的防火墙可以提高被保护网络的安全性。主要由以下几个方面的优点：

①保护网络中脆弱的服务；

②为网络控制的“要塞点”；

③集中安全性；

④增强保密性、强化私有权；

⑤审计和告警；

⑥防火墙可以限制内部网络的暴露程度；

⑦安全政策执行；

⑧限制有用的网络服务；

⑨无法防护内网用户的攻击；

⑩无法防备病毒，抵御基于数据的攻击；

不能防备新的网络安全问题；

大量潜在的后门。