計(jì)算機(jī)信息安全淺析

吳承輝

?

計(jì)算機(jī)信息安全淺析

吳承輝

福建省經(jīng)濟(jì)信息中心教育培訓(xùn)處

網(wǎng)絡(luò)信息時(shí)代，物理設(shè)備損壞、系統(tǒng)崩潰、病毒、黑客攻擊等都會對網(wǎng)絡(luò)信息安全構(gòu)成重大威脅，因此對網(wǎng)絡(luò)信息的保護(hù)就顯得尤為重要。針對以上各種威脅，該文從物理、內(nèi)網(wǎng)安全管理、身份認(rèn)證、病毒防治、軟件加密、防火墻使用等方面提出解決方案，從而使網(wǎng)絡(luò)信息安全得到充分保障。

網(wǎng)絡(luò)信息安全 安全隱患 安全策略

網(wǎng)絡(luò)信息安全問題涉及很多方面。很多人一提到網(wǎng)絡(luò)傳輸?shù)男畔踩?，總是會立即?lián)想到加密、防黑客、反病毒等專業(yè)技術(shù)問題。實(shí)際上，網(wǎng)絡(luò)環(huán)境下的信息安全不僅涉及到技術(shù)問題，而且涉及到管理方面的問題，技術(shù)問題雖然是最直接的保證信息安全的手段，但離開了管理的基礎(chǔ)，縱然有最先進(jìn)的技術(shù)，信息安全也得不到保障。

1 計(jì)算機(jī)信息安全隱患

1.1 病毒、木馬和惡意軟件的入侵

計(jì)算機(jī)病毒傳播方式多種多樣，其中以“木馬”、“蠕蟲”、“惡意軟件”病毒最令人頭痛。病毒可以通過移動存儲設(shè)備(如U盤)、局域網(wǎng)傳播，也可以在上網(wǎng)過程中被掛“木馬”網(wǎng)站感染。同時(shí)，由于計(jì)算機(jī)的殺毒軟件查殺某一病毒的能力總是滯后于病毒，絕大多數(shù)情況是在病毒已經(jīng)感染擴(kuò)散后，安全軟件才更新相關(guān)病毒數(shù)據(jù)庫并采取殺毒措施。因此，病毒往往防不勝防。

1.2 網(wǎng)絡(luò)黑客的攻擊

黑客攻擊是黑客自己開發(fā)或利用已有的工具尋找計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的缺陷和漏洞，并對這些缺陷實(shí)施攻擊。在計(jì)算機(jī)網(wǎng)絡(luò)飛速發(fā)展的同時(shí)，黑客技術(shù)也日益高超，目前黑客能運(yùn)用的攻擊軟件已有1000多種。從網(wǎng)絡(luò)防御的角度講，計(jì)算機(jī)黑客是一個(gè)揮之不去的夢魘。

1.3 非法訪問竊取、訪問與操作導(dǎo)致敏感信息外泄

計(jì)算機(jī)內(nèi)存儲的軟件和數(shù)據(jù)信息是供用戶在一定條件下進(jìn)行訪問的，訪問形式包括讀、寫、刪、改、拷貝、運(yùn)行等。對于一些重要或秘密的軟件和數(shù)據(jù)信息，若沒有采取特別的安全保密措施，一些有意或無意的非法訪問將會充滿危險(xiǎn)性。這些訪問可能來自本系統(tǒng)網(wǎng)絡(luò)的某個(gè)工作站，也可能來自因特網(wǎng)上不可知的某個(gè)終端。這種事情的發(fā)生，會給計(jì)算機(jī)及其信息數(shù)據(jù)帶來不可預(yù)見的災(zāi)難。

1.4 備份數(shù)據(jù)和存儲媒體的損壞、丟失

我們經(jīng)常采用磁盤陣列、磁帶、磁帶庫、光盤塔、光盤庫等專用硬件，加上適當(dāng)?shù)膫浞蒈浖M成數(shù)據(jù)備份與回復(fù)系統(tǒng)。然而即使有了完善的數(shù)據(jù)備份與恢復(fù)系統(tǒng)，仍可能存在備份數(shù)據(jù)和備份媒體損壞或丟失的危險(xiǎn)。如存儲媒介中的數(shù)據(jù)讀不出來，存儲媒介丟失、損壞等。

1.5 管理漏洞帶來的安全隱患

網(wǎng)絡(luò)信息安全問題的解決，三分靠技術(shù)，七分靠管理。根據(jù)調(diào)查表明，網(wǎng)絡(luò)信息安全威脅60%來自網(wǎng)絡(luò)內(nèi)部。人為的無意失誤、違規(guī)、瀆職等行為是造成網(wǎng)絡(luò)信息不安全的重要原因。網(wǎng)絡(luò)管理員考慮不周（如：設(shè)備轉(zhuǎn)手次數(shù)太多、沒有及時(shí)安裝補(bǔ)丁、錯(cuò)誤操作等），網(wǎng)絡(luò)硬件（路由器、服務(wù)器等）安全配置不當(dāng)，用戶安全意識不強(qiáng)，不按照安全規(guī)定操作，都會對網(wǎng)絡(luò)信息安全帶來威脅。在一個(gè)局域網(wǎng)內(nèi)部，計(jì)算機(jī)終端隨意接入到公司網(wǎng)絡(luò)，網(wǎng)絡(luò)內(nèi)主機(jī)非法外聯(lián)，內(nèi)部人員通過撥號、3G網(wǎng)絡(luò)等方式私自建立非法外聯(lián)網(wǎng)絡(luò)，內(nèi)部工作人員私自使用移動存儲介質(zhì)拷貝、復(fù)制、刪除計(jì)算機(jī)上存儲的工作文件，這些行為都可能造成內(nèi)部敏感信息的失泄密，同時(shí)也成為內(nèi)部網(wǎng)絡(luò)病毒感染的重要源頭。內(nèi)網(wǎng)缺少較強(qiáng)的安全審計(jì)系統(tǒng)。終端操作系統(tǒng)自帶的審計(jì)系統(tǒng)相對較弱，不便于實(shí)施統(tǒng)一管理。沒有審計(jì)系統(tǒng)，對用戶的違規(guī)行為和其他入侵行為缺乏監(jiān)管手段，也無法進(jìn)行責(zé)任認(rèn)定。因此加強(qiáng)內(nèi)網(wǎng)管理及員工的安全意識是網(wǎng)絡(luò)信息安全十分重要的一環(huán)。

2 計(jì)算機(jī)信息安全策略

網(wǎng)絡(luò)信息安全體系由物理安全、鏈路安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、信息安全五部分構(gòu)成。目前信息網(wǎng)絡(luò)布署的安全技術(shù)手段主要方式有以下幾個(gè)方面：

2.1 數(shù)據(jù)的物理安全

數(shù)據(jù)的物理安全包括設(shè)備安全和介質(zhì)安全。設(shè)備安全指計(jì)算機(jī)設(shè)備的防盜、防毀、防電磁泄漏發(fā)射、抗電磁干擾及電源保護(hù)等。我們應(yīng)該保護(hù)局域網(wǎng)絡(luò)中的計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、物理鏈路等基礎(chǔ)設(shè)施免受自然災(zāi)害、人為破壞和搭線攻擊，采取的防范措施有：①采用符合規(guī)范的計(jì)算機(jī)場地和機(jī)房；②主要網(wǎng)絡(luò)設(shè)備要置于專門的屏蔽室中，防止線路被竊??；③采用光電接口和光纜，減少線路被竊取概率；④介質(zhì)安全包括媒體本身的安全及媒體數(shù)據(jù)的安全。對媒體本身的安全保護(hù)是指防盜、防毀、防霉等，對媒體數(shù)據(jù)的安全保護(hù)是指防止記錄的信息不被非法竊取、篡改、破壞或使用。

為保證介質(zhì)的存放安全和使用安全，介質(zhì)的存放和管理應(yīng)有相應(yīng)的制度和措施：①存放重要數(shù)據(jù)和關(guān)鍵數(shù)據(jù)的各類記錄介質(zhì)，應(yīng)采取有效措施，如建立介質(zhì)庫、異地存放等，防止被盜、被毀和發(fā)霉變質(zhì)。②系統(tǒng)中有很高使用價(jià)值或很高機(jī)密程度的重要數(shù)據(jù)，或者對系統(tǒng)運(yùn)行和應(yīng)用來說起關(guān)鍵作用的數(shù)據(jù)，應(yīng)采用加密等方法進(jìn)行保護(hù)。③應(yīng)該刪除和銷毀的重要數(shù)據(jù)，防止被非法拷貝，應(yīng)由專人負(fù)責(zé)集中銷毀。

2.2 在網(wǎng)絡(luò)各個(gè)層次建立權(quán)限管理、身份驗(yàn)證和訪問機(jī)制

為保障網(wǎng)絡(luò)資源不被非法使用和非法訪問，我們應(yīng)在網(wǎng)絡(luò)系統(tǒng)的各個(gè)層次（物理設(shè)備、網(wǎng)絡(luò)配置、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)）建立用戶使用權(quán)限列表，檢查每個(gè)用戶使用網(wǎng)絡(luò)資源的合法性。身份認(rèn)證是在計(jì)算機(jī)網(wǎng)絡(luò)中確認(rèn)操作者身份的過程，分為用戶與主機(jī)間的認(rèn)證以及主機(jī)與主機(jī)之間的認(rèn)證。最常用的認(rèn)證方式就是“用戶+密碼”，這種認(rèn)證方法存在認(rèn)證過程不加密，密碼容易被破解和監(jiān)聽的缺陷。因此，又產(chǎn)生了多種的認(rèn)證方法，如：智能卡（IC卡）、短信密碼、動態(tài)口令牌、USB KEY、生物識別技術(shù)（如指紋識別、語音識別等）。身份認(rèn)證是整個(gè)網(wǎng)絡(luò)安全體系的基礎(chǔ)，它能確認(rèn)用戶的權(quán)限和責(zé)任。

2.3 病毒防治

在病毒肆虐的時(shí)代，反病毒已經(jīng)成為信息安全非常重要的一環(huán)，因此必須要配置可以服務(wù)于整個(gè)局域網(wǎng)的反病毒產(chǎn)品，構(gòu)造一套完整的集中防病毒網(wǎng)絡(luò)系統(tǒng)平臺，以確保網(wǎng)絡(luò)免于病毒的侵襲。集中防病毒系統(tǒng)應(yīng)有集中管理、遠(yuǎn)程安裝、智能升級、遠(yuǎn)程報(bào)警、分布查殺等多種功能。在發(fā)現(xiàn)病毒后安裝病毒查殺軟件屬于事后防治，計(jì)算機(jī)中的很多數(shù)據(jù)已被破壞，計(jì)算機(jī)的信息安全沒有等到保障。而集中防病毒系統(tǒng)屬于預(yù)防性防治，能最大限度減少病毒的感染，不給病毒傳播留下機(jī)會。

2.4 防火墻的使用

防火墻是目前最為流行也是使用最為廣泛的一種網(wǎng)絡(luò)安全技術(shù)。防火墻是一個(gè)系統(tǒng)，主要用來執(zhí)行兩個(gè)網(wǎng)絡(luò)之間的訪問控制策略。它可為各類網(wǎng)絡(luò)提供必要的訪問控制，但又不造成網(wǎng)絡(luò)瓶頸，并通過安全策略控制進(jìn)出系統(tǒng)的數(shù)據(jù)從而保護(hù)關(guān)鍵資源。

從防火墻的軟、硬件形式來分，防火墻可以分為硬件防火墻和軟件防火墻。就目前的實(shí)際情況來看，軟件類防火墻在阻擋技術(shù)水平相對較高的攻擊者前根本無法發(fā)揮其應(yīng)有的作用，因此對于那些對數(shù)據(jù)安全性要求較高的企業(yè)和部門來說，一定要設(shè)置相應(yīng)的硬件防火墻。

架構(gòu)防火墻要達(dá)到以下功能：①網(wǎng)絡(luò)安全的屏障，它可以過濾不安全的服務(wù)，這樣外部攻擊者就不能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。②強(qiáng)化網(wǎng)絡(luò)安全策略，它能將所有安全軟件（如口令、加密、身份認(rèn)證等）配置在防火墻上，這樣的集中安全管理更有效。③對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)，防火墻能記錄下所有的訪問并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供詳細(xì)信息。④防止內(nèi)部信息外泄，利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感數(shù)據(jù)外泄。

除了安全作用，防火墻還支持具有Internet服務(wù)的內(nèi)部網(wǎng)絡(luò)體系VPN（虛擬專用網(wǎng)）。

2.5 軟件加密

軟件加密技術(shù)是保障數(shù)據(jù)安全最基本、最核心的技術(shù)措施。軟件加密過程由形形色色的加密方法來具體實(shí)施，它以較小的代價(jià)獲得較大的安全保障。

目前采用的軟件加密方法可分為軟加密、硬加密和網(wǎng)絡(luò)加密。軟加密比較常見的有軟件子校驗(yàn)方式、密碼表加密、許可證管理方式、uskey以及光盤加密。硬加密主要有加密卡和加密鎖（如智能卡加密狗）等。網(wǎng)絡(luò)加密不同于使用本機(jī)軟件或硬件的加密方法，而由基于網(wǎng)絡(luò)的其它計(jì)算機(jī)或設(shè)備來完成加解密或驗(yàn)證工作，而網(wǎng)絡(luò)設(shè)備和客戶端之前通過安全通道進(jìn)行通訊。軟加密和硬加密都是實(shí)現(xiàn)一樣的加密算法，理論上強(qiáng)度相同，而隨著多核心處理器的發(fā)展，軟件加密已經(jīng)能趕上硬件加密的速度。但軟加密也存在不足，如密鑰的管理很復(fù)雜，同時(shí)由于是在用戶的計(jì)算機(jī)內(nèi)部使用軟件加密，容易給攻擊者采用分析程序進(jìn)行跟蹤、反編譯等手段進(jìn)行攻擊。硬加密也有不足，如大量占用存儲空間，制造商容易留下后門，從而給安全留下隱患。網(wǎng)絡(luò)加密是目前安全性最高的加密方式，但由于其高度依賴網(wǎng)絡(luò)，需要網(wǎng)絡(luò)一直保持通暢，實(shí)際使用中會造成很大的困難。綜上所述，軟加密、硬加密以及網(wǎng)絡(luò)加密都各有其優(yōu)缺點(diǎn)，可以根據(jù)實(shí)際不同級別的安全需要，選擇適合的加密方式。

2.6 對網(wǎng)絡(luò)系統(tǒng)進(jìn)行備份

網(wǎng)絡(luò)系統(tǒng)備份是指對網(wǎng)絡(luò)中的核心設(shè)備和數(shù)據(jù)信息進(jìn)行備份，以便在網(wǎng)絡(luò)出現(xiàn)意外時(shí)能快速、全面地恢復(fù)。網(wǎng)絡(luò)系統(tǒng)的運(yùn)行核心設(shè)備的備份主要包括核心交換機(jī)、核心路由器、重要服務(wù)器等。數(shù)據(jù)信息包括對網(wǎng)絡(luò)設(shè)備的配置信息、服務(wù)器數(shù)據(jù)等的備份。網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)備份是網(wǎng)絡(luò)日常維護(hù)工作的重要環(huán)節(jié)之一，做好相關(guān)備份工作，才能在網(wǎng)絡(luò)系統(tǒng)出現(xiàn)故障時(shí)及時(shí)、迅速、有效地恢復(fù)系統(tǒng)，確保系統(tǒng)的正常運(yùn)行。

2.7 內(nèi)網(wǎng)安全管理

網(wǎng)絡(luò)信息安全除了應(yīng)用必要的技術(shù)手段，網(wǎng)絡(luò)的運(yùn)維和管理同等重要。防止內(nèi)部信息外泄最重要的手段就是布置內(nèi)網(wǎng)監(jiān)控系統(tǒng)。內(nèi)網(wǎng)監(jiān)控系統(tǒng)必須具備以下普遍的功能：一是內(nèi)部網(wǎng)絡(luò)信息泄漏防范，防止在內(nèi)部網(wǎng)絡(luò)的主機(jī)上，利用網(wǎng)絡(luò)、存儲介質(zhì)、打印機(jī)等媒介，故意或者無意地泄露本地的敏感信息；二是對系統(tǒng)用戶帳號的管理，能夠?qū)⒂脩舻卿浵到y(tǒng)時(shí)的信息記錄下來；三是對系統(tǒng)資源安全管理，能夠?qū)υ谙到y(tǒng)上控制和限制某些特別程序的運(yùn)行，限制對文件重命名、刪除等操作；四是能夠監(jiān)視和控制整個(gè)系統(tǒng)的實(shí)時(shí)運(yùn)行情況，監(jiān)視內(nèi)部人員的使用情況；五是審計(jì)信息安全情況，在對內(nèi)部網(wǎng)絡(luò)的安全審計(jì)信息進(jìn)行記錄的同時(shí)，生成內(nèi)部網(wǎng)絡(luò)主機(jī)使用情況報(bào)告以及安全問題的分析報(bào)告等。內(nèi)網(wǎng)監(jiān)控不但可以為事故處理提供重要依據(jù)，而且可以對某些潛在的侵犯安全的攻擊源起到威懾作用。

除了從管理上進(jìn)行監(jiān)控以外，員工的計(jì)算機(jī)安全意識對網(wǎng)絡(luò)信息安全也非常重要。計(jì)算機(jī)的操作、安全制度的執(zhí)行都需要員工來執(zhí)行，加強(qiáng)員工的計(jì)算機(jī)網(wǎng)絡(luò)安全知識培訓(xùn)，提高員工的計(jì)算機(jī)操作水平和安全意識水平，可以從整體上提高計(jì)算機(jī)網(wǎng)絡(luò)的安全性。

3 結(jié)語

總之，隨著計(jì)算機(jī)網(wǎng)絡(luò)安全問題的不斷增多，計(jì)算機(jī)網(wǎng)絡(luò)安全越來越被人們重視。計(jì)算機(jī)網(wǎng)絡(luò)信息安全不僅是技術(shù)問題，也是管理問題。計(jì)算機(jī)網(wǎng)絡(luò)信息安全技術(shù)只是實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的工具，沒有任何方法能夠保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的絕對安全。我們應(yīng)當(dāng)綜合運(yùn)用多種安全技術(shù)，將軟硬件、管理制度、人員等有效結(jié)合，開發(fā)自身潛力，以有限資金確保計(jì)算機(jī)網(wǎng)絡(luò)信息安全。

[1] 王達(dá). 網(wǎng)管員必讀——網(wǎng)絡(luò)安全[M]. 北京:電子工業(yè)出版社，2007.

[2] 王宏偉.網(wǎng)絡(luò)安全威脅與對策[J]. 科技創(chuàng)業(yè)月刊，2006(5):179-180.

[3] 黃志洪.現(xiàn)代計(jì)算機(jī)新息安全技術(shù)[M]. 北京:冶金工業(yè)出版社，2004.