浅谈信息安全保护策略

【摘 要】随着计算机技术的迅速发展，公司由使用计算机完成的工作已由基于单机的文件处理、自动化办公，发展到今天的企业内部网。计算机网络的应用领域已从传统的小型业务系统逐渐向大型业务系统扩展。计算机网络在为人们提供便利、带来效益的同时，也使人类面临着信息安全的巨大挑战。组织和单位的计算机网络是黑客攻击的主要目标。如果黑客组织能攻破组织及单位的计算机网络防御系统，他就有访问成千上万计算机的可能性。据统计，近年来因网络安全事故造成的损失每年高达上千亿美元。计算机系统的脆弱性已为各国政府与机构所认识。

【关键词】信息安全； 威胁；防御策略；防火墙

1 计算机信息网络安全概述

所谓计算机信息网络安全，是指根据计算机通信网络特性，通过相应的安全技术和措施，对计算机通信网络的硬件、操作系统、应用软件和数据等加以保护，防止遭到破坏或窃取，其实质就是要保护计算机通讯系统和通信网络中的各种信息资源免受各种类型的威胁、干扰和破坏。计算机通信网络的安全是指挥、控制信息安全的重要保证。

根据国家计算机网络应急技术处理协调中心的权威统计，通过分布式密网捕获的新的漏洞攻击恶意代码数量平均每天112次，每天捕获最多的次数高达4369次。因此，随着网络一体化和互联互通，我们必须加强计算机通信网络安全防范意思，提高防范手段。

2 计算机信息安全常见的威胁

以上这些因素都可能是计算机信息资源遭到毁灭性的破坏。像一些自然因素我们是不可避免的，也是无法预测的；但是像一些人为攻击的、破坏的我们是可以防御的、避免的。因此，我们必须重视各种因素对计算机信息安全的影响，确保计算机信息资源万无一失。

3 计算机信息的安全的防御策略

根据计算机网络系统的网络结构和目前一般应用情况，我们采取可两种措施：一是，采用漏洞扫描技术，对重要网络设备进行风险评估，保证网络系统尽量在最优的状态下运行；二是，采用各种计算机网络安全技术，构筑防御系统，主要有：防火墙技术、VPN技术、网络加密技术、身份认证技术、网络的实时监测。

3.1 漏洞扫描技术

漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞：在端口扫描后得到目标主机开启的端口以及端口上的网络服务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在；通过模拟黑客的攻击手法，对目标主机系统进行攻击的安全漏洞扫描，如测试弱口令等，若模拟攻击成功，则表明目标主机系统存在安全漏洞。

3.2 防火墙技术

防火墙是网络安全的屏障，一个防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境更安全，信息的安全就得到了保障。使用防火墙软件可以在一定程度上控制局域网和Internet之间传递的数据。

防火墙一般是指用来在两个或多个网络间加强访问控制的一个或一组网络设备。从逻辑上来看，防火墙是分离器、限制器和分析器；从物理上来看，各个防火墙的物理实现方式可以多种多样，但是归根结底他们都是一组硬件设备（路由器、主机）和软件的组合体；从本质上来看，防火墙是一种保护装置，它用来保护网络数据、资源和合法用户的声誉；从技术上来看，防火墙是一种访问控制技术，它在某个机构的网络与不安全的网络之间设置障碍，阻止对网络信息资源的非法访问。

3.3 计算机网络的加密技术（ipse）

采用网络加密技术，对公网中传输的IP包进行加密和封装，实现数据传输的保密性、完整性。它可以解决网络在公网的数据传输安全性问题，也可以解决远程用户访问内网的安全问题。IP层是TCP/IP网络中最关键的一层，IP作为网络层协议，其安全机制可以对其上层的各种应用服务提供透明的覆盖安全保护。IP安全是整个TCP/IP 安全的基础，是网络安全的核心。ipse 提供的安全功能或服务主要包括：访问控制、无连接完整性、数据起源认证、抗重放攻击、机密性、有限的数据流机密性。

3.4 身份认证

身份认证的作用是阻止非法实体的不良访问。有多种方法可以认证一个实体的合法性，密码技术是最常用的，但由于在实际系统中有许多用户采用很容易被猜测的单词或短语作为密码，使得该方法经常失效。其他认证方法包括对人体生理特征的识别、智能卡等。随着模式识别技术的发展，身份识别技术与数字签名等技术结合，使得对于用户身份的认证和识别更趋完善。

3.5 入侵检测技术

入侵检测技术是对入侵行为的检测，他通过收集和分析网络行为、安全日志、审计数据、其他网络上可以获得的信息以及计算机系统中若干关键的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击，外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。

3.6 虚拟专用网技术

虚拟专用网（Virtual private Network，VPN） 是一门网络技术，提供一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式；是通过一个公用网络（通常是因特网）建立起一个临时的、安全的连接，是一条穿过不安全的公用网络的安全、稳定的隧道。

下面，我们主要谈一下防火墙在网络信息安全中的应用。

4 防火墙防御策略

4.1 防火墙的基本概念

所谓“防火墙”，是指一种将内部网和公众网络（如Internet）分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通信时执行的一种访问控制手段，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络，防止他们更改、复制和毁坏你的重要信息。

4.2 防火墙的功能

1）过滤掉不安全服务和非法用户。

2）控制对特殊站点的访问。

3）提供监视Internet安全和预警的方便端点。

4.3 防火墙的优点

1）防火墙能强化安全策略

因为Internet上每天都有上百万人在那里收集信息、交换信息，不可避免地会出现个别品德不良的人，或违反规则的人，防火墙是为了防止不良现象发生的"交通警察"，它执行站点的安全策略，仅仅容许"认可的"和符合规则的请求通过。

2）防火墙能有效地记录Internet上的活动

因为所有进出信息都必须通过防火墙，所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点，防火墙能在被保护的网络和外部网络之间进行记录。

3）防火墙限制暴露用户点

防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。

4）防火墙是一个安全策略的检查站

所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。

4.4 防火墙的不足

1）防火墙不能防范不经由防火墙的攻击。例如，如果允许从受保护网内部不受限制的向外拨号，一些用户可以形成与Internet的直接的连接，从而绕过防火墙，造成一个潜在的后门攻击渠道。

2）防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。

3）防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时，就会发生数据驱动攻击。

4.5 防火墙的类型

根据防火墙所采用的技术不同，我们可以将它分为四种基本类型：包过滤型、网络地址转换―NAT、型和状态监测型。

包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术，工作在网络层。网络上的数据都是以“包”为单位进行传输的，数据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，如数据的源地址、目标地址、源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。但包过滤防火墙的缺点有三：一是，非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是，数据包的源地址、目的地址以及IP 的端口号都在数据包的头部，很有可能被窃听或假冒；三是，无法执行某些安全策略。

网络地址转化―NAT。 “你不能攻击你看不见的东西”是网络地址转换的理论基础。网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。当数据包流经网络时，NAT将从发送端的数据包中移去专用的IP地址，并用一个伪IP地址代替。NAT软件保留专用IP地址和伪IP地址的一张地址映射表。当一个数据包返回到NAT系统，这一过程将被逆转。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。如果黑客在网上捕获到这个数据包，他们也不能确定发送端的真实IP地址，从而无法攻击内部网络中的计算机。NAT技术也存在一些缺点，例如，木马程序可以通过NAT进行外部连接，穿透防火墙。

型防火墙也可以被称为服务器，它的安全性要高于包过滤型产品， 它分为应用层网关和电路层网关。服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，服务器相当于一台真正的服务器；而从服务器来看，服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给服务器，服务器再根据这一请求向服务器索取数据， 然后再由服务器将数据传输给客户机。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部结构的作用，这种防火墙是网络专家公的最安全的防火墙。缺点是速度相对较慢。

监测型防火墙是新一代的产品，这一技术实际已经超越了最初的防火墙定义。它是由Check Point 软件技术有限公司率先提出的，也称为动态包过滤防火墙。总的来说，具有：高安全性，高效性，可伸缩性和易扩展性。实际上，作为当前防火墙产品的主流趋势，大多数服务器也集成了包过滤技术，这两种技术的混合显然比单独使用具有更大的优势。总的来说，网络的安全性通常是以网络服务的开放性和灵活性为代价的，防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失。除了使用了防火墙后技术，我们还使用了其他技术来加强安全保护，数据加密技术是保障信息安全的基石。所谓数据加密技术就是使用数字方法来重新组织数据，使得除了合法受者外，任何其他人想要恢复原先的“消息”是非常困难的。目前最常用的加密技术有对称加密技术和非对称加密技术。对称加密技术是指同时运用一个密钥进行加密和解密，非对称加密技术就是加密和解密所用的密钥不一样。

4.6 防火墙的配置

1）双宿堡垒主机防火墙

一个双宿主机是一种防火墙，拥有两个联接到不同网络上的网络接口。例如，一个网络接口联到外部的不可信任的网络上，另一个网络接口联接到内部的可信任的网络上。这种防火墙的最大特点是IP层的通信是被阻止的，两个网络之间的通信可通过应用层数据共享或应用层服务来完成。一般情况下，人们采用服务的方法，因为这种方法为用户提供了更为方便的访问手段。

2）屏蔽主机防火墙

这种防火墙强迫所有的外部主机与一个堡垒主机相联接，而不让它们直接与内部主机相连。为了实现这个目的，专门设置了一个过滤路由器，通过它，把所有外部到内部的联接都路由到了堡垒主机上。下图显示了屏蔽主机防火墙的结构。

3）屏蔽主机防火墙

在这种体系结构中，堡垒主机位于内部网络，屏蔽路由器联接Internet和内部网，它是防火墙的第一道防线。屏蔽路由器需要进行适当的配置，使所有的外部联接被路由到堡垒主机上。并不是所有服务的入站联接都会被路由到堡垒主机上，屏蔽路由器可以根据安全策略允许或禁止某种服务的入站联接（外部到内部的主动联接）。

对于出站联接（内部网络到外部不可信网络的主动联接），可以采用不同的策略。对于一些服务，如Telnet，可以允许它直接通过屏蔽路由器联接到外部网而不通过堡垒主机；其他服务，如WWW和SMTP等，必须经过堡垒主机才能联接到Internet，并在堡垒主机上运行该服务的服务器。怎样安排这些服务取决于安全策略。

5 结束语

随着信息技术的发展，影响通信网络安全的各种因素也会不断强化，因此计算机网络的安全问题也越来越受到人们的重视，以上我们简要的分析了计算机网络存在的几种安全隐患，以及一般采取的几种安全防范策略，主要讨论了防火墙在网络信息安全中所起到的作用。总的来说，网络安全不仅仅是技术问题，同时也是一个安全管理问题。我们必须综合考虑安全因素，制定合理的目标、技术方案和相关的配套法规等。世界上不存在绝对安全的网络系统，随着计算机网络技术的进一步发展，网络安全防护技术也必然随着网络应用的发展而不断发展。

【参考文献】

[1]田园.网络安全教程[M].人民邮电出版社，2009.

[2]周学广.信息安全学[M].机械工业出版社，2008.

[3]丰继林，高焕之.网络安全技术[M].清华大学出版社，2009.