网络信息安全与防护探析

1信息安全概念

计算机信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。也可以根据计算机通信网络特性，通过相应的安全技术和措施，对计算机通信网络的硬件、操作系统、应用软件和数据等加以保护，防止遭到破坏或窃取，其实质就是要保护计算机通讯系统和通信网络中的各种信息资源免受各种类型的威胁、干扰和破坏。计算机通信网络的安全是指挥、控制信息安全的重要保证。总之，我们必须加强计算机通信网络安全防范意识，提高防范手段。

2信息安全的内容

2.1硬件安全

即网络硬件和存储媒休的安全。要保护这些硬设施不受损害，能够正常工作。

2.2软件安全

即计算机及其网络各种软件不被篡改或破坏，不被非法操作或误操作，功能不会失效，不被非法复。

2.3运行服务安全

即网络中的各个信息系统能够正常运行并能正常地通过网络交流信息。通过对网络系统中的各种设备运行状况的监测，发现不安全因素能及时报警并采取措施改变不安全状态，保障网络系统正常运行。

2.4数据安全

即网络中存在及流通数据的安全。要保护网络中的数据不被篡改、非法增删、复制、解密、显示、使用等。它是保障网络安全最根本的目的。

3信息安全风险分析

3.1计算机病毒的威胁

随着Internet技术的发展、企业网络环境的日趋成熟和企业网络应用的增多。病毒感染、传播的能力和途径也由原来的单一、简单变得复杂、隐蔽，尤其是Internet环境和企业网络环境为病毒传播、生存提供了环境。

3.2黑客攻击

黑客攻击已经成为近年来经常出现的问题。黑客利用计算机系统、网络协议及数据库等方面的漏洞和缺陷，采用后门程序、信息炸弹、拒绝服务、网络监听、密码破解等手段侵入计算机系统，盗窃系统保密信息，进行信息破坏或占用系统资源。

3.3信息传递的安全风险

企业和外部单位，以及国外有关公司有着广泛的工作联系，许多日常信息、数据都需要通过互联网来传输。网络中传输的这些信息面临着各种安全风险，例如：①被非法用户截取从而泄露企业机密；②被非法篡改，造成数据混乱、信息错误从而造成工作失误；③非法用户假冒合法身份，发送虚假信息，给正常的生产经营秩序带来混乱，造成破坏和损失。因此，信息传递的安全性日益成为企业信息安全中重要的一环。

3.4软件的漏洞或“后门”

随着软件系统规模的不断增大，系统中的安全漏洞或“后门”也不可避免的存在，比如我们常用的操作系统，无论是Windows还是UNIX几乎都存在或多或少的安全漏洞，众多的各类服务器、浏览器、一些桌面软件、等等都被发现过存在安全隐患。大家熟悉的尼母达,中国黑客等病毒都是利用微软系统的漏洞给企业造成巨大损失,可以说任何一个软件系统都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞，这也是网络安全的主要威胁之一。

3.5身份认证和访问控制存在的问题

企业中的信息系统一般供特定范围的用户使用，信息系统中包含的信息和数据也只对一定范围的用户开放，没有得到授权的用户不能访问。为此各个信息系统中都设计了用户管理功能，在系统中建立用户、设置权限、管理和控制用户对信息系统的访问。这些措施在一定程度上能够加强系统的安全性。但在实际应用中仍然存在一些问题。如部分应用系统的用户权限管理功能过于简单，不能灵活实现更详细的权限控制；各应用系统没有一个统一的用户管理，使用起来非常不方便，不能确保账号的有效管理和使用安全。

4信息安全的对策

4.1安全技术

为了保障信息的机密性、完整性、可用性和可控性，必须采用相关的技术手段。这些技术手段是信息安全体系中直观的部分，任何一方面薄弱都会产生巨大的危险。因此，应该合理部署、互相联动，使其成为一个有机的整体。具体的技术介绍如下：

4.1.1加解密技术在传输过程或存储过程中进行信息数据的加解密，典型的加密体制可采用对称加密和非对称加密。

4.1.2VPN技术VPN即虚拟专用网，通过一个公用网络(通常是因特网)建立一个临时的、安全的连接．是一条穿过混乱的公用网络的安全、稳定的隧道。通常VPN是对企业内部网的扩展，可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。

4.1.3防火墙技术防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设置障碍，防止外界对内部资源的非法访问，以及内部对外部的不安全访问。

4.1.4入侵检测技术人侵检测技术IDS是防火墙的合理补充，帮助系统防御网络攻击，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。人侵检测技术从计算机网络系统中的若干关键点收集信息，并进行分析，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。

4.1.5防病毒技术随着计算机技术的不断发展，计算机病毒变得越来越复杂和高级，对计算机信息系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件，从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC上，即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒，一旦病毒入侵网络或者从网络向其它资源传染，网络防病毒软件会立刻检测到并加以删除。

4.1.6安全审计技术包含日志审计和行为审计。日志审计协助管理员在受到攻击后察看网络日志，从而评估网络配置的合理性和安全策略的有效性，追溯、分析安全攻击轨迹。并能为实时防御提供手段。通过对员工或用户的网络行为审计，可确认行为的规范性，确保管理的安全。

4.2安全管理

只有建立完善的安全管理制度。将信息安全管理自始至终贯彻落实于信息系统管理的方方面面，企业信息安全才能真正得以实现。具体技术包括以下几方面。

4.2.1开展信息安全教育，提高安全意识员工信息安全意识的高低是一个企业信息安全体系是否能够最终成功实施的决定性因素。据不完全统计，信息安全的威胁除了外部的(占20％)，主要还是内部的(占8O％)。在企业中，可以采用多种形式对员工开展信息安全教育，例如：①可以通过培训、宣传等形式，采用适当的奖惩措施，强化技术人员对信息安全的重视，提升使用人员的安全观念；②有针对性地开展安全意识宣传教育，同时对在安全方面存在问题的用户进行提醒并督促改进，逐渐提高用户的安全意识。

4.2.2建立完善的组织管理体系完整的企业信息系统安全管理体系首先要建立完善的组织体系，即建立由行政领导、IT技术主管、信息安全主管、系统用户代表和安全顾问等组成的安全决策机构，完成制定并信息安全管理规范和建立信息安全管理组织等工作，从管理层面和执行层面上统一协调项目实施进程。克服实施过程中人为因素的干扰，保障信息安全措施的落实以及信息安全体系自身的不断完善。

4.2.3及时备份重要数据在实际的运行环境中，数据备份与恢复是十分重要的。即使从预防、防护、加密、检测等方面加强了安全措施，但也无法保证系统不会出现安全故障，应该对重要数据进行备份，以保障数据的完整性。企业最好采用统一的备份系统和备份软件，将所有需要备份的数据按照备份策略进行增量和完全备份。要有专人负责和专人检查，保障数据备份的严格进行及可靠、完整性，并定期安排数据恢复测试，检验其可用性，及时调整数据备份和恢复策略。目前，虚拟存储技术已日趋成熟，可在异地安装一套存储设备进行异地备份，不具备该条件的，则必须保证备份介质异地存放，所有的备份介质必须有专人保管。

5信息安全的方法

从信息安全属性的角度来看，每个信息安全层面具有相应的处置方法。

5.1物理安全

指对网络与信息系统的物理装备的保护，主要的保护方式有干扰处理、电磁屏蔽、数据校验、冗余和系统备份等。

5.2运行安全

指对网络与信息系统的运行过程和运行状态的保护，主要的保护方式有防火墙与物理隔离、风险分析与漏洞扫描、应急响应、病毒防治、访问控制、安全审计、入侵检测、源路由过滤、降级使用以及数据备份等。

5.3数据安全

指对信息在数据收集、处理、存储、检索、传输、交换、显示和扩散等过程中的保护，使得在数据处理层面保障信息依据授权使用，不被非法冒充、窃取、篡改、抵赖，主要的保护方式有加密、认证、非对称密钥、完整性验证、鉴别、数字签名和秘密共享等。

5.4内容安全

指对信息在网络内流动中的选择性阻断，以保证信息流动的可控能力，主要的处置手段是密文解析或形态解析、流动信息的裁剪、信息的阻断、信息的替换、信息的过滤以及系统的控制等。

5.5信息对抗

指在信息的利用过程中，对信息真实性的隐藏与保护，或者攻击与分析，主要的处置手段是消除重要的局部信息、加大信息获取能力以及消除信息的不确定性等。

6对网络信息安全的前景

随着网络的发展，技术的进步，网络安全面临的挑战也在增大。一方面，对网络的攻击方式层出不穷，攻击方式的增加意味着对网络威胁的增大；随着硬件技术和并行技术的发展，计算机的计算能力迅速提高。另一方面，网络应用范围的不断扩大，使人们对网络依赖的程度增大，对网络的破坏造成的损失和混乱会比以往任何时候都大。这些网络信息安全保护提出了更高的要求，也使网络信息安全学科的地位越显得重要，网络信息安全必然随着网络应用的发展而不断发展。随着信息技术的飞速发展，影响通信网络安全的各种因素也会不断强化，因此计算机网络的安全问题也越来越受到人们的重视，以上简要的分析了计算机网络存在的几种安全隐患，并探讨了计算机网络的几种安全防范措施。总的来说,网络安全不仅仅是技术问题,同时也是一个安全管理问题。网络攻击的日益猖獗已经对网络安全造成了很大的威胁。我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。

作者：李军鹏 单位：南京大学