計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全穩(wěn)定運(yùn)行的解決方案研究

劉金浪平 常

（1.中核四○四有限公司第五分公司 甘肅 732850；2.甘肅省電力公司蘭州供電公司 甘肅 730050）

計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全穩(wěn)定運(yùn)行的解決方案研究

劉金浪1平 常2

（1.中核四○四有限公司第五分公司 甘肅 732850；2.甘肅省電力公司蘭州供電公司 甘肅 730050）

內(nèi)網(wǎng)信息系統(tǒng)主要為企業(yè)內(nèi)部提供信息的傳遞合和分享，意義十分重大，在網(wǎng)絡(luò)技術(shù)促進(jìn)信息交流的同時(shí)，也出現(xiàn)了一些安全隱患對(duì)系統(tǒng)的安全構(gòu)成威脅，極易造成內(nèi)部信息失真或被篡改竊取，因此，必須采取相應(yīng)的防護(hù)措施保證系統(tǒng)安全運(yùn)行。

內(nèi)網(wǎng)信息系統(tǒng)；IP地址；操作系統(tǒng)；數(shù)據(jù)庫

0 引言

在當(dāng)前信息化時(shí)代，計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用促進(jìn)了信息交流，許多企業(yè)都建立有內(nèi)部網(wǎng)絡(luò)，實(shí)現(xiàn)了內(nèi)部的信息資源共享，該網(wǎng)絡(luò)系統(tǒng)屬于內(nèi)網(wǎng)，不與外部網(wǎng)絡(luò)直接相連，服務(wù)群是網(wǎng)絡(luò)中心的重要組成，主要有企業(yè)內(nèi)部管理服務(wù)器、E-mail服務(wù)器、SQL Server數(shù)據(jù)庫、財(cái)務(wù)系統(tǒng)等，只在企業(yè)內(nèi)部使用。如今，內(nèi)網(wǎng)信息系統(tǒng)的安全問題日益突出，如外圍存儲(chǔ)設(shè)備的應(yīng)用、密碼設(shè)置不當(dāng)、郵件附件帶有風(fēng)險(xiǎn)、IP地址的隨意更改等，都會(huì)影響到內(nèi)網(wǎng)信息系統(tǒng)的安全性，必須對(duì)其嚴(yán)加控制。

1 影響內(nèi)網(wǎng)平臺(tái)安全運(yùn)行的因素

內(nèi)部網(wǎng)絡(luò)因不與外網(wǎng)連接，具有一定的獨(dú)立性和封閉性，遭受外部攻擊的可能性有所降低，其安全隱患多來自于內(nèi)部。在實(shí)際的信息交流和共享中可發(fā)現(xiàn)，對(duì)信息系統(tǒng)的安全運(yùn)行造成重大影響的因素主要有以下幾點(diǎn)：

1.1 密碼設(shè)置不合理

密碼的安全程度與網(wǎng)絡(luò)信息系統(tǒng)密切相關(guān)，許多建立內(nèi)部網(wǎng)絡(luò)的企業(yè)都有專用的郵件服務(wù)器等，但大都對(duì)技術(shù)層面更加重視，而忽略了安全管理，在賬戶和密碼的設(shè)置方面稍有欠缺，如密碼比較單一，甚至內(nèi)部使用統(tǒng)一的密碼，員工通過在客戶端添加郵件賬號(hào)便可瀏覽他人郵件；有些內(nèi)部網(wǎng)絡(luò)，密碼設(shè)置較為簡單，如將公司或個(gè)人電話號(hào)碼設(shè)為密碼等行為，對(duì)郵件管理、文件服務(wù)器的安全都極為不利。尤其是重要文檔和機(jī)密信息，密碼設(shè)置更需加強(qiáng)重視，以word文檔為例，用戶如果只設(shè)8位數(shù)字密碼，很容易被破解，這就要求提高密碼的復(fù)雜度，如在數(shù)字中摻雜特殊符號(hào)或英文字母等。

1.2 IP地址的隨意改動(dòng)

某公司為提高內(nèi)網(wǎng)的運(yùn)行效率，根據(jù)IP制定了一些規(guī)則，如對(duì)某段的IP地址進(jìn)行限制，不得登陸QQ等，雖能起到較好的實(shí)際效果，卻也加大了維護(hù)難度。若員工擅自更改IP地址，計(jì)算機(jī)與服務(wù)器極易斷開，而對(duì)很多中小企業(yè)而言，考慮到節(jié)省成本，往往不會(huì)購置高級(jí)路由器，因而，控制員工私自上網(wǎng)的力度較小，方法不足。

1.3 郵件附件帶有風(fēng)險(xiǎn)

如今，郵件附件的應(yīng)用逐漸普及，由于其具有方便、快捷等優(yōu)點(diǎn)，人們更傾向于使用郵件附件進(jìn)行傳遞。而傳遞的主要內(nèi)容包括RAR壓縮文件、word文檔以及圖片等電子文檔，很容易附帶病毒。據(jù)調(diào)查數(shù)據(jù)顯示，郵件附件攜帶病毒的案例逐年增長，若不進(jìn)行嚴(yán)格控制，必會(huì)對(duì)網(wǎng)絡(luò)安全構(gòu)成威脅。

1.4 移動(dòng)設(shè)備的潛在隱患

便攜式移動(dòng)存儲(chǔ)設(shè)備使得信息傳遞和備份更為便捷，常見的移動(dòng)設(shè)備包括移動(dòng)硬盤、U盤等，企業(yè)雖然對(duì)此有嚴(yán)格控制，但實(shí)際中的應(yīng)用依舊很多。使用移動(dòng)設(shè)備有許多潛在的安全隱患，如內(nèi)部工作人員將未授權(quán)的信息或資料帶出；由于缺少相應(yīng)的保護(hù)措施，在傳遞信息時(shí)，可能會(huì)流到不安全區(qū)域；移動(dòng)設(shè)備是備份文件的良好方式，若保護(hù)工作不到位，對(duì)其控制不夠嚴(yán)格，極易造成信息的泄露，或?qū)⒛抉R、病毒帶入，對(duì)系統(tǒng)構(gòu)成威脅。

2 如何保證計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全穩(wěn)定地運(yùn)行

2.1 物理安全

創(chuàng)造良好的機(jī)房環(huán)境，安全設(shè)施配備齊全，安裝應(yīng)急報(bào)警系統(tǒng)，關(guān)于設(shè)備安全，至少應(yīng)保證設(shè)備具有防盜防毀的性能，同時(shí)還應(yīng)防止線路被截獲，防電磁信息輻射泄露，并加強(qiáng)安全管理，強(qiáng)化工作人員的安全意識(shí)。此外，還應(yīng)安裝防電磁干擾及屏蔽設(shè)備，尤其是較為重要的計(jì)算機(jī)終端和機(jī)房，必須采取屏蔽防干擾措施。通過采取各種物理安全措施，為計(jì)算機(jī)提供一個(gè)較好的電磁兼容的環(huán)境，保護(hù)服務(wù)器等硬件免受人為或自然的破壞。

2.2 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)系統(tǒng)的安全對(duì)信息傳遞具有重大意義，其安全隱患常表現(xiàn)為內(nèi)部人員通過竊聽信息，采用拒絕服務(wù)攻擊、篡改IP欺騙等方式攻擊系統(tǒng)，所以必須做好網(wǎng)絡(luò)層的安全防護(hù)工作，重點(diǎn)應(yīng)防止IP欺騙，加強(qiáng)IP的安全控制，設(shè)置訪問權(quán)限。同時(shí)，應(yīng)正確設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，正確使用加密模塊，對(duì)路由器的訪問控制列表進(jìn)行合理配置，對(duì)可能影響系統(tǒng)安全的各種服務(wù)必須禁止，定時(shí)對(duì)網(wǎng)絡(luò)所處狀態(tài)進(jìn)行評(píng)估，如發(fā)現(xiàn)有漏洞存在，必須及時(shí)修補(bǔ)，以免漏洞擴(kuò)大。此外，可通過對(duì)網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)控仔細(xì)分析信息包，如發(fā)現(xiàn)存在攻擊行為，需立即響應(yīng)。用戶在獲取資源或訪問網(wǎng)絡(luò)時(shí)，服務(wù)器應(yīng)將記錄保存，若遇到非法網(wǎng)絡(luò)，應(yīng)及時(shí)發(fā)出警報(bào)。網(wǎng)絡(luò)安全尤為重要，需從網(wǎng)絡(luò)隔離。網(wǎng)絡(luò)傳輸以及評(píng)估、安全審計(jì)等方面做綜合考慮。

2.3 系統(tǒng)安全

系統(tǒng)安全防護(hù)包括：①操作系統(tǒng)安全。操作系統(tǒng)極為重要，與整個(gè)信息系統(tǒng)的安全密切相關(guān)，因此，應(yīng)加大對(duì)其漏洞檢測(cè)、修補(bǔ)的力度，對(duì)系統(tǒng)日志、可以訪問等進(jìn)行仔細(xì)檢查；控制內(nèi)部人員對(duì)設(shè)備或文件的訪問；同時(shí)，盡量關(guān)閉其他冗余的服務(wù)；

②數(shù)據(jù)庫系統(tǒng)安全。該系統(tǒng)是儲(chǔ)存信息數(shù)據(jù)的核心，為提高其安全度，應(yīng)不斷完善安全機(jī)制，保證數(shù)據(jù)庫元素的完整性，設(shè)置訪問權(quán)限，并做好數(shù)據(jù)備份、審計(jì)追蹤等工作。

2.4 應(yīng)用安全

在做好上述安全防護(hù)工作的同時(shí)，還應(yīng)加強(qiáng)對(duì)應(yīng)用安全的重視，保證所傳遞信息的完整性、保密性及可用性。可建立PKI信任管理平臺(tái)，該平臺(tái)的授權(quán)管理設(shè)施包括屬性證書簽發(fā)機(jī)構(gòu)、用戶權(quán)限管理機(jī)構(gòu)、授權(quán)策略機(jī)構(gòu)等，技術(shù)開發(fā)人員可通過該平臺(tái)完成對(duì)安全應(yīng)用的二次開發(fā)，為信息應(yīng)用安全提供有力的保障。為保證PKI系統(tǒng)的正常運(yùn)行，每一個(gè)應(yīng)用都需要身份驗(yàn)證、數(shù)據(jù)保密、數(shù)據(jù)安全傳輸?shù)确?wù)，而且通過與具體應(yīng)用系統(tǒng)相連接，建立起十分有利的運(yùn)行環(huán)境，起著粘合劑的作用。此外，還應(yīng)注重病毒防護(hù)，針對(duì)病毒的多樣、傳播速度快等特性，建立防病毒系統(tǒng)，做到層層設(shè)防，避免出現(xiàn)薄弱環(huán)節(jié)。在內(nèi)部信息網(wǎng)絡(luò)中，主要對(duì)服務(wù)器和郵件服務(wù)器進(jìn)行防護(hù)，如安裝KILL for Windows NT Server 等。

2.5 加強(qiáng)信息安全管理

除了從技術(shù)方面做好安全防護(hù)工作，還應(yīng)加強(qiáng)安全管理，首先應(yīng)制定合理可行的安全管理制度，遵循多人負(fù)責(zé)、職責(zé)分離等原則，從對(duì)硬件設(shè)備、網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)及管理，以及意外應(yīng)急計(jì)劃。在網(wǎng)絡(luò)安全管理方面，隨著網(wǎng)絡(luò)的普及應(yīng)用，技術(shù)頻繁更新，管理越來越困難，因襲需加強(qiáng)安全管理，如研發(fā)相關(guān)系統(tǒng)，通過實(shí)時(shí)監(jiān)控，全面反映網(wǎng)絡(luò)運(yùn)行狀態(tài)，以控制對(duì)信息的訪問。在應(yīng)用安全管理方面，首先應(yīng)對(duì)信息安全進(jìn)行風(fēng)險(xiǎn)評(píng)估，綜合威脅行為的來源及影響程度等因素明確風(fēng)險(xiǎn)級(jí)別；其次，為了提前做好準(zhǔn)備，防止系統(tǒng)被破壞，應(yīng)在項(xiàng)目開始時(shí)就引入安全方面的規(guī)劃和驗(yàn)證。

3 結(jié)束語

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，信息交流更加方便，同時(shí)卻也存在著許多安全隱患，嚴(yán)重影響著信息系統(tǒng)的安全運(yùn)行，為此必須采取相應(yīng)的防護(hù)措施，維護(hù)系統(tǒng)的安全。許多企業(yè)或單位都建立有內(nèi)部網(wǎng)絡(luò)，需從物理設(shè)備、網(wǎng)絡(luò)、系統(tǒng)以及應(yīng)用等多層面進(jìn)行保護(hù)。

[1] 劉瑩.計(jì)算機(jī)信息網(wǎng)絡(luò)安全技術(shù)和防范措施探析[J].中國科技博覽，2013，22（16）：143-144

[2] 邱松.計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全防護(hù)分析[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2013，23（13）：140-141

[3] 李軼.計(jì)算機(jī)網(wǎng)絡(luò)信息安全形勢(shì)分析與防護(hù)[J].科技情報(bào)開發(fā)與經(jīng)濟(jì)，2012，20（23）：109-110

Safe and stable operation of the computer network information system solutions

Liu Jinlang1，Ping Chang2

the network information system is mainly for the enterprise internal information transfer and sharing，great significance，to promote information exchange in network technology at the same time，there have been some security hidden dangers threatening the safety of the system，easy to cause the internal information distortion or tamper with the theft，therefore，must take the corresponding protective measures to ensure the safe operation of the system.

network information system；IP address；The operating system. The database

book=127,ebook=1

TP315；TP309

A

1009-6833（2014）01-127-02