網(wǎng)絡(luò)信息安全保障的應(yīng)用探索

宋月紅

（聊城大學(xué) 建筑工學(xué)院，聊城 252059）

0 引言

互聯(lián)網(wǎng)的廣泛應(yīng)用和普及，帶來(lái)了經(jīng)濟(jì)的繁榮和發(fā)展，豐富和活躍了人們的精神文化生活，大大推進(jìn)了社會(huì)文明建設(shè)的進(jìn)程。但同時(shí)隨著人們信息化期望程度的加深，網(wǎng)絡(luò)與信息安全問(wèn)題也已赫然擺在世人面前。

1 網(wǎng)絡(luò)安全問(wèn)題的表現(xiàn)形式

1.1 病毒、木馬威脅加劇

據(jù)國(guó)內(nèi)信息安全廠商瑞星公司2008年11月份報(bào)告統(tǒng)計(jì)顯示，2008年的前10個(gè)月，互聯(lián)網(wǎng)上共出現(xiàn)新病毒9306985個(gè)，是2007年同期的12.16倍，木馬病毒和后門程序之和超過(guò)776萬(wàn)，占總體病毒的83.4%，病毒數(shù)量呈現(xiàn)出了井噴式爆發(fā)。事實(shí)證明，現(xiàn)在借助病毒木馬牟利的黑色產(chǎn)業(yè)鏈已經(jīng)形成。

1.2 安全漏洞

2008年安全漏洞被曝光的頻率及數(shù)量比以往都要多。存在的主要十大安全漏洞分別是：瀏覽器漏洞、Adobe Flash漏洞、ActiveX漏洞、SQL注入式攻擊、Adobe Acrobat閱讀器漏洞、CMS漏洞、Apple QuickTime漏洞、Web2.0元素(如Facebook應(yīng)用、網(wǎng)絡(luò)廣告等)、Realplayer漏洞和DNS緩存漏洞等。

1.3 黑客行為，數(shù)據(jù)泄露

根據(jù)國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心的分析報(bào)告，2007年全國(guó)計(jì)算機(jī)病毒感染率已經(jīng)高達(dá)91.5%，其中相當(dāng)部分已經(jīng)被黑客控制。黑客行為：其核心特點(diǎn)是利用網(wǎng)絡(luò)用戶的失誤或系統(tǒng)的脆弱性因素，針對(duì)特定目標(biāo)進(jìn)行拒絕服務(wù)攻擊或侵占。Websense安全實(shí)驗(yàn)室最新報(bào)告也顯示，29%的惡意攻擊中包含數(shù)據(jù)竊取程序，這表明攻擊者已經(jīng)將竊取核心機(jī)密數(shù)據(jù)和信息作為其主要目標(biāo)。

1.4 垃圾郵件的泛濫

其核心特點(diǎn)是以廣播的方式鯨吞網(wǎng)絡(luò)資源，影響網(wǎng)絡(luò)用戶的正?；顒?dòng)。附帶調(diào)查性垃圾郵件，以獲取終端用戶的個(gè)人信息為目的。許多垃圾郵件均使用同一個(gè)社交網(wǎng)站群組。一旦用戶鏈接到目的網(wǎng)址，會(huì)被要求填寫一張個(gè)人信息表。這些信息可能被出售給營(yíng)銷公司，也可能用于將來(lái)發(fā)送垃圾郵件。

1.5 有害信息的惡意傳播

其核心特點(diǎn)是以廣泛傳播有害言論的方式，來(lái)控制、影響社會(huì)的輿論。

2 網(wǎng)絡(luò)信息安全的保障措施

信息網(wǎng)絡(luò)的通信是由通信協(xié)議堆棧完成的，通信協(xié)議大致可分為應(yīng)用層、傳輸層、網(wǎng)絡(luò)層、鏈路層和物理層。采用通信協(xié)議分層的方式對(duì)網(wǎng)絡(luò)通信進(jìn)行安全控制可滿足信息網(wǎng)絡(luò)安全通信的需要，保障信息傳輸?shù)臋C(jī)密性、完整性和可用性。針對(duì)網(wǎng)絡(luò)通信的安全控制需求，設(shè)計(jì)出通信的安全的控制結(jié)構(gòu)，具體如表1所示。

2.1 以人為本，確保安全制度的建立和落實(shí)

根據(jù)實(shí)際情況和所采用的技術(shù)條件，制定出切實(shí)可行又比較全面的各類安全管理制度。主要有：計(jì)算機(jī)網(wǎng)絡(luò)安全管理制度、計(jì)算機(jī)病毒防治管理制度、操作系統(tǒng)和數(shù)據(jù)庫(kù)安全管理制度、軟件安全管理制度、密鑰安全管理制度等。制度的建立切不能流于形式，重要的是落實(shí)和監(jiān)督。另外，要強(qiáng)化工作人員的安全教育和法制教育，真正認(rèn)識(shí)到計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的重要性和解決這一問(wèn)題的長(zhǎng)期性、艱巨性及復(fù)雜性。

表1 通信安全控制結(jié)構(gòu)

2.2 利用訪問(wèn)與控制策略，確保網(wǎng)絡(luò)信息安全

訪問(wèn)控制策略是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，其任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問(wèn)。各種網(wǎng)絡(luò)安全策略必須相互配合才能真正起到保護(hù)作用，而訪問(wèn)控制是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問(wèn)控制策略包括入網(wǎng)訪問(wèn)控制策略、操作權(quán)限控制策略、目錄安全控制策略、屬性安全控制策略、網(wǎng)絡(luò)服務(wù)器安全控制策略、網(wǎng)絡(luò)監(jiān)測(cè)、鎖定控制策略和防火墻控制策略等7個(gè)方面的內(nèi)容。

2.3 利用防火墻控制網(wǎng)絡(luò)信息安全

防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來(lái)攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。

1）數(shù)據(jù)包過(guò)濾(Packet Filtering)技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾邏輯， 被稱為訪問(wèn)控制表(Access Control Table)。通過(guò)檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號(hào)、 協(xié)議狀態(tài)等因素，或它們的組合來(lái)確定是否允許該數(shù)據(jù)包通過(guò)。 數(shù)據(jù)包過(guò)濾防火墻邏輯簡(jiǎn)單，價(jià)格便宜，易于安裝和使用， 網(wǎng)絡(luò)性能和透明性好，它通常安裝在路由器上。路由器是內(nèi)部網(wǎng)絡(luò)與Internet連接必不可少的設(shè)備， 因此在原有網(wǎng)絡(luò)上增加這樣的防火墻幾乎不需要任何額外的費(fèi)用。

數(shù)據(jù)包過(guò)濾防火墻的缺點(diǎn)有二：一是非法訪問(wèn)一旦突破防火墻，即可對(duì)主機(jī)上的軟件和配置漏洞進(jìn)行攻擊； 二是數(shù)據(jù)包的源地址、目的地址以及IP的端口號(hào)都在數(shù)據(jù)包的頭部，很有可能被竊聽(tīng)或假冒。

2）應(yīng)用級(jí)網(wǎng)關(guān)(Application Level Gateways)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過(guò)濾和轉(zhuǎn)發(fā)功能。它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過(guò)濾邏輯，并在過(guò)濾的同時(shí)，對(duì)數(shù)據(jù)包進(jìn)行必要的分析、 登記和統(tǒng)計(jì)，形成報(bào)告。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上。

數(shù)據(jù)包過(guò)濾和應(yīng)用網(wǎng)關(guān)防火墻有一個(gè)共同的特點(diǎn)，就是它們僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過(guò)。 一旦滿足邏輯，則防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)建立直接聯(lián)系， 防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài)，這有利于實(shí)施非法訪問(wèn)和攻擊。

3）代理服務(wù)(Proxy Service)也稱鏈路級(jí)網(wǎng)關(guān)或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人將它歸于應(yīng)用級(jí)網(wǎng)關(guān)一類。它是針對(duì)數(shù)據(jù)包過(guò)濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)， 其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的＂ 鏈接＂， 由兩個(gè)終止代理服務(wù)器上的＂ 鏈接＂來(lái)實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器， 從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。此外，代理服務(wù)也對(duì)過(guò)往的數(shù)據(jù)包進(jìn)行分析、注冊(cè)登記， 形成報(bào)告，同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡。

防火墻能有效地防止外來(lái)的入侵，它在網(wǎng)絡(luò)系統(tǒng)中的作用是：控制進(jìn)出網(wǎng)絡(luò)的信息流向和信息包；提供使用和流量的日志和審計(jì)；隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié)；另外防火墻引起或IE瀏覽器出現(xiàn)故障，也可導(dǎo)致可以正常連接，但不能打開(kāi)網(wǎng)頁(yè)。

2.4 利用數(shù)據(jù)加密技術(shù)控制網(wǎng)絡(luò)信息安全。

數(shù)據(jù)傳輸加密技術(shù)目的是對(duì)傳輸中的數(shù)據(jù)流加密，常用的方針有線路加密和端到端加密兩種。前者側(cè)重在線路上而不考慮信源與信宿，是對(duì)保密信息通過(guò)各線路采用不同的加密密鑰提供安全保護(hù)的。后者則指信息由發(fā)送者端自動(dòng)加密，并進(jìn)入TCP/IP數(shù)據(jù)包回封，然后作為不可閱讀和不可識(shí)別的數(shù)據(jù)穿過(guò)互聯(lián)網(wǎng)，當(dāng)這些信息一旦到達(dá)目的地，將被自動(dòng)重組、解密，成為可讀數(shù)據(jù)。數(shù)據(jù)存儲(chǔ)加密技術(shù)目的是防止在存儲(chǔ)環(huán)節(jié)的數(shù)據(jù)失密。

數(shù)據(jù)傳輸加密技術(shù)是為增強(qiáng)普通關(guān)系數(shù)據(jù)庫(kù)管理系統(tǒng)的安全性，提供一個(gè)安全適用的數(shù)據(jù)庫(kù)加密平臺(tái)，對(duì)數(shù)據(jù)庫(kù)存儲(chǔ)的內(nèi)容實(shí)施有效保護(hù)。它通過(guò)數(shù)據(jù)庫(kù)存儲(chǔ)加密等安全方法實(shí)現(xiàn)了數(shù)據(jù)庫(kù)數(shù)據(jù)存儲(chǔ)保密和完整性要求，使得數(shù)據(jù)庫(kù)以密文方式存儲(chǔ)并在密態(tài)方式下工作，確保了數(shù)據(jù)安全。

3 結(jié)束語(yǔ)

隨著計(jì)算機(jī)技術(shù)和通信技術(shù)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)將日益成為重要信息交換手段，滲透到社會(huì)生活的各個(gè)領(lǐng)域，只有采取強(qiáng)有力的安全策略，才能保障網(wǎng)絡(luò)信息的安全性。

[1] 汪?；?淺議網(wǎng)絡(luò)安全問(wèn)題及防范對(duì)策[J].信息技術(shù),2007.

[2] 劉修峰,范志剛.網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)安全分析[J].網(wǎng)絡(luò)安全,2006.

[3] 趙丹麗,管建和.網(wǎng)絡(luò)通信與安全探討[J].軟件導(dǎo)刊,2008.