信息网络安全与保护策略探讨

【 摘 要 】 为了有效防止网络安全问题的侵害，我们使用了各种复杂的安全技术，如入侵检测、防火墙技术、准入控制技术等，尽管如此，计算机信息安全和网络安全问题还是频发。本文主要介绍目前在信息网络中存在的主要安全威胁并对网络安全的保护策略进行探讨。

【 关键词 】 网络安全；安全威胁；保护策略

Information Network Security and Protection Strategy is Discussed

Chai Zai-xing

（Shanxi Datang International Linfen Thermal Power Generation Co.， Ltd. ShanxiLinfen 041000）

【 Abstract 】 In order to effectively prevent the violation of the network security problem， we use a variety of complex software technology， such as intrusion detection， firewall technology， access control mechanism and so on， in spite of this， the computer information security and network security problems are frequent..This paper mainly introduces the present situation of the information network of the main security threat to network security protection strategy were discussed.

【 Keywords 】 network security； security threats； conservation strategies

1 引言

信息既是一种资源，也是一种财富。随着计算机网络的发展，尤其是Interner的普遍应用以来保护重要信息的安全性已经成为我们重点关注的问题了。网络在给我们提供极大方便的同时，也带来了诸多的网络安全威胁问题，这些问题一直在困扰着我们，诸如网络数据窃密、病毒攻击、黑客侵袭等。网络攻击活动日益猖獗，他们攻击网络服务器，窃取网络机密，进行非法入侵，对社会安全造成了严重的危害。因此，我们应针对网络结构体系来设计出一套适合的、先进的网络安全保护策略，并配合适的网络防护软件，为信息网络营造一个安全空间。

2 信息网络安全概念

信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。

信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。

3 信息网络安全的威胁

网络安全威胁问题是网络必然要面对的问题，网络安全潜在的威胁形形：有人为和非人为的、恶意和非恶意的、内部攻击和外部攻击等。对网络安全的威胁主要表现在非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等方面。安全威胁的主要途径：系统存在的漏洞、系统安全体系的缺陷、使用人员安全意识的薄弱、管理制度的薄弱；技术方面主要侧重于防范外部非法用户的攻击；管理方面则侧重于内部人为因素的管理。

网络安全威胁可以大致分成三种：一是人为无意中的失误而导致出现安全危机；二是人为方面的恶意攻击，也就是黑客袭击：三是网络软件的漏洞。这三个方面的因素可以基本涵盖网络安全所受到的威胁行为并将之归纳几个方面。

3.1 黑客入侵

由于网络边界上的系统安全漏洞或管理方面的缺陷（如弱口令），容易导致黑客的成功入侵。黑客可以通过入侵计算机或网络，使用被入侵的计算机或网络的信息资源，来窃取、破坏或修改数据，从而威胁信息网络安全。这是计算机网络所面临的最大威胁。些类攻击又可以分为两种：一种是网络攻击，即以各种方式有选择地破坏对方信息的有效性和完整性；另一类是网络侦察，它是在不影响网络正常工作的情况下，进行截取、窃取、破译以获得对方重要的机密信息。这两种攻击均可对计算机网络造成极大的危害。

3.2 病毒与陷门

计算机病毒是编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码，它具有寄生性、传染性、破坏性、潜伏性和可触发性等特点。计算机病毒主要是通过复制、传送数据包以及运行程序等操作进行传播，在日常的生活中，闪存盘、移动硬盘、硬盘、光盘和网络等都是传播计算机病毒的主要途经。陷门是在某个系统或某个文件中预先设置“机关”，诱你掉入“陷门”之中，一旦你提供特定的输入时，允许你违反安全策略，将自己机器上的秘密自动传送到对方的计算机上。计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。

3.3 操作系统与软件漏洞

操作系统和各类软件都是认为编写和调试的，其自身的设计和结构始终会出现问题，不可能无缺陷或者无漏洞，而这些漏洞会被计算机病毒和恶意程序所利用，这就使计算机处于非常危险的境地，一旦连接入互联网，危险就悄然而至。

3.4 拒绝服务攻击

拒绝服务攻击即攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。信息网络上提供的FTP、Web和DNS等服务都有可能遭受拒绝服务攻击。拒绝服务的主要攻击方法是通过消耗用户的资源，来增加服务器的负荷，当系统资源消耗超出服务器的负荷能力时，此时网络的正常服务失效。

3.5 后门与木马程序

后门是指软件在出厂时为了以后修改方便而设置的一个非授权的访问口令。后门的存在也使得计算机系统的潜在威胁大大增加。木马程序也属于一种特殊的后门程序，它受控于黑客，黑客可以对其进行远程控制，一但木马程序感染了电脑，黑客就可以利用木马程序来控制电脑，并从电脑中窃取黑客想要的信息。

3.6 权限安全配置

一些软件需要人为进行调试配置，而如果一些软件的配置不正确，那么其存在可以说形同虚设。有很多站点在防火墙的配置上将访问权限设置的过大，其中可能存在的隐患会被一些恶意分子所滥用。而黑客正是其中的一员，他们通常是程序设计人员，因此他们对于程序的编程和操作都十分了解，一旦有一丝安全漏洞出现，黑客便能够侵入其中，并对电脑造成严重的危害，可以说黑客的危害比电脑病毒的危害要大得多。

4 安全保护策略

4.1 网络物理隔离

由于不同的网络结构应该采用不同的安全对策，因此我们为了提高整个网络的安全性考虑，可以根据保密程度、保护功能和安全水平等差异，把整个网络进行分段隔离。这样可以实现更为细化的安全控制体系，将攻击和入侵造成的威胁分别限制在较小的范围内。

所谓物理隔离是通过网络与计算机设备的空间（主要包括网线、路由器、交换机、主机和终端等）分离来实现的网络隔离。物理隔离强调的是设备在物理形态上的分离，从而来实现数据的分离。完整意义上的物理隔离应该是指两个网络完全断开，网络之间不存在数据交换。然而实际上，由于网络的开放性和资源共享性等特点需要内外网之间进行数据交换。因此，我们通常所说的物理隔离是指能满足物理隔离的安全性要求的、相对的物理隔离技术。物理隔离的原理是使单个用户在同一时间、同一空间不能同时使用内部网和外部网两个系统。如果两个系统在空间上物理隔离，在不同的时间运行，那么就可以得到两个完全物理隔离的系统。

4.2 防火墙

防火墙是一种保障计算机网络安全的重要手段，它的主要目标就是通过控制网络的权限，并迫使所有的连接都经过这样的检查，防止一个需要保护的网络遭外界因素的干扰和破坏。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监视了内部网络和Internet之间地任何活动，保证了内部网络地安全。

常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。包过滤技术是在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤逻辑，检查数据据流中的每个数据包，根据数据包的源地址、目标地址，以及包所使用的端口确定是否允许该类数据包通过。

状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别，与传统包过滤防火墙的静态过滤规则表相比，它具有更好的灵活性和安全性。应用网关技术在应用层实现，它使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其他网络，其目的在于隐蔽被保护网络的具体细节，保护其中的主机及其数据。

4.3 入侵检测系统

入侵检测系统（IDS）是一种基于主动策略的网络安全系统。人侵主要是指对系统资源的非授权使用，它可能造成系统数据的丢失和破坏，或造成系统拒绝对合法用户进行服务等。入侵检测即检测入侵行为，并采取相应的防护措施。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析。从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统。

入侵检测系统的功能：（1）监视并分析用户和系统的活动；（2）异常行为模式的统计分析；（3）系统构造变化和弱点的审计；（4）操作系统的审计跟踪管理，识别违反安全策略的用户活动；（5）评估重要系统和数据文件的完整性；（6）检查系统配置和漏洞；（7）识别反映已知进攻的活动模式并向有关人士报警。

入侵检测系统IDS是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

4.4 静态被动保护策略

静态防护策略种类较多，主要有加密、数字签名、鉴别、访问控制技术、反病毒软件等。

（1）加密。加密的主要目的是防止信息的非授权泄漏。加密的方法多种多样，在信息网络中一般是利用信息变换规则把可读的信息变成不可读的信息。加密可以有效地对抗截收、非法访问等威胁。现代密码算法不仅可以实现加密，还可以实现数字签名、身份认证和报文完整性鉴别等功能。有效地对抗截收、非法访问、破坏信息的完整性、冒充、抵赖、重演等。

（2）数字签名。数字签名机制提供了一种鉴别方法，以解决伪造、抵赖、冒充和篡改等安全问题。数字签名采用一种数据交换协议，使得收发数据双方能够满足两个条件：接受方能够鉴别发送方宣称的身份；发送方事后不能否认他发送过数据这一事实。数据签名一般采用不对称加密技术，发送方对整个明文进行加密交换.得到—个值，将其作为签名。接收者使用发送者的公开密钥对签名进行解密计算，如其结果为对方身份，则签名有效，证明对方身份是真实的。

（3）鉴别。目的是验明用户或信息的正身。对实体声称的身份进行唯一的识别，以便验证其访问请求、保证信息来自或到达指定的源和目的。鉴别技术可以验证消息的完整性，对抗冒充、非法访问、重演等威胁。

（4）访问接入控制。要求对接入网络的权限进行控制，并设定相关的权限。计算机网络是个非常庞大、复杂的系统，在接入控制系统的设计中，要用到加密技术。

（5）杀毒软件。杀毒软件是我们最常用的软件，全世界几乎每台电脑都装有杀毒软件，利用杀毒软件来对网络进行安全保护是最为普通常见的技术方案，它的安装简单、功能便捷使得其普遍被人们所使用，但杀毒软件顾名思义是用来杀毒的，功能方面比较局限，一旦有商务方面的需要其功能就不能满足商务需求了，但随着网络的发展，杀毒技术也不断地提升，主流的杀毒软件对于黑客程序和木马的防护有着很好的保护作用。

4.5 网络系统安全

网络服务器的操作系统是一个比较重要的部分，网络操作系统最重视的性能是稳定性和安全性。而网络操作系统管理着计算机软硬件资源，其充当着计算机与用户间的桥梁作用。因此，我们一般可以采用以下设置来对网络系统安全进行保障。（1）将不必要的服务关闭。（2）为之制定一个严格的账户系统。（3）最小权限 。最小特权原则意味着系统的任一对象（无论是用户、管理员还是程序、系统等），应该仅具有它需要履行某些特定任务的那些特权。最小特权原则是尽量限制系统对侵入者的暴露并减少因受特定攻击所造成的破坏。将账户权限科学分配，不能滥放权利。

（4）对网络系统进行严谨科学的安全配置。（5）定期更换操作系统密码。

4.6 管理体制上的安全保护策略

（1） 管理制度的修订及制定长期的信息安全培训计划，培养公司员工的信息安全意识。

（2） 加强网络监管人员的信息安全意识，消除那些影响计算机网络通信安全的主观因素。计算机系统网络管理人员缺乏安全观念和必备技术，必须进行加强。

（3） 信息备份及恢复系统，为了防止核心服务器崩溃导致网络应用瘫痪，应根据网络情况确定完全和增量备份的时间点，定期给网络信息进行备份。便于一旦出现网络故障时能及时恢复系统及数据。

（4） 开发计算机信息与网络安全的监督管理系统。

（5） 有关部门监管的力度落实相关责任制，对计算机网络和信息安全应用与管理工作实行“谁主管、谁负责、预防为主、综合治理、人员防范与技术防范相结合”的原则，逐级建立安全保护责任制，加强制度建设，逐步实现管理的科学化、规范化。

5 结束语

网络安全保护是一项重要、复杂的工作。通过单一的保护手段进行防护，效果往往不能令人满意，采用多种安全保护方式相结合的保护策略可以取得更加有效的保护效果。随着技术的不断进步，未来将会有更多、更好、更成熟、更有效的网络安全策略出现。

参考文献

[1] 王群.计算机网络安全技术.清华大学出版社，2008.7.

[2] 简明.计算机网络信息安全及其防护策略的研究[J].科技资讯，2006.

[3] 吕良，杨波，陈贞翔.网络安全防护系统的研究与设计[J].山东大学学报（理学版），2009.

[4] 葛秀慧.计算机网络安全管理（第2版）.清华大学出版社.2008.5

作者简介：

柴再兴（1985-），男，天津蓟县人，助理工程师，本科。