信息网络的安全与防范策略
【摘要】随着当前社会信息化程度的不断提高,信息网络在人们的工作、生活中得到广泛应用,对信息网络的依赖性也愈来愈高。而计算机病毒、网络攻击等借助信息网络的便携性、互联性、大众性,日益给信息安全带来严重威胁,信息网络安全问题引起社会的高度重视。本文分析了信息网络安全的现状与特点,从硬件安全、软件安全、网络安全、数据安全、用户安全、安全制度等方面,提出了信息网络安全的一些防范策略。
【关键词】信息网络安全防护网络安全数据安全
信息网络安全是指防止信息网络本身及其采集、加工、存储、传输的信息数据被故意或偶然的非授权泄露、更改、破坏或使信息被非法辨认、控制,即保障信息的可用性、机密性、完整性、可控性、不可抵赖性。伴随各个领域中计算机的广泛应用,通过计算机信息系统管理着政府部门和企事业单位的经济、政治、办公、商务等有关信息,通过计算机网络为承载的信息系统实现了前所未有的快速发展。所以,计算机信息系统变成了一些黑客、不法分子经常攻击目标,妄图窃取数据信息或者破坏信息系统。加强计算机信息系统的安全,也就变成了人们越来越高度关注的安全问题。
1信息网络安全面临的威胁
信息网络面临的威胁主要来自:电磁泄露、雷击等环境安全构成的威胁,软硬件故障和工作人员误操作等人为或偶然事故构成的威胁,利用计算机实施盗窃、诈骗等违法犯罪活动的威胁,网络攻击和计算机病毒构成的威胁等。信息网络自身的脆弱性主要包括:在信息输入、处理、传输、存储、输出过程中存在的信息容易被篡改、伪造、破坏、窃取、泄漏等不安全因素;信息网络自身在操作系统、数据库以及通信协议等存在安全漏洞和隐蔽信道等不安全因素;在其他方面如磁盘高密度存储受到损坏造成大量信息的丢失,存储介质中的残留信息泄密,计算机设备工作时产生的辐射电磁波造成的信息泄密。
2信息网络安全防护措施
防护信息网络系统的安全,需要针对信息系统所依赖的硬件环境、软件环境、网络环境、数据环境等采取专门的防范策略。
2.1硬件环境安全
信息网络正常运转的基础是可靠的网络硬件和相关运行环境,它们的安全对信息系统的安全有着直接的影响。一要确保信息网络机房的安全,要遵循国家颁布的《电子信息系统机房设计规范》、《建筑物电子信息系统防雷技术规范》、《计算站场地技术要求》、《计算站场地安全技术》等技术要求,为信息网络提供良好的硬件运行基础环境;二要确保信息网络硬件的安全,可以采取多种保护的技术,如硬件访问控制技术,防电磁泄露技术,防复制技术,还原技术等,这些技术均可对计算机硬件实施有效的保护。
2.2软件环境安全
2.2.1操作系统安全
属于系统级安全范围,其主要功能是控制系统的运行,管理计算机各种资源,是其它软件运行的支撑环境。而操作系统应用越多,相应的软件漏洞也会随之增多,恶意攻击者经常会通过这些漏洞,实施对操作系统进行各种攻击。而安装软件补丁则可以有效地提高系统受到攻击的风险,提高系统防御能力。为了保证操作系统的安全性,需要制定必要的安全机制保护操作系统的安全,如部署、采用防病毒系统、漏洞扫描、补丁升级等技术。
2.2.2应用软件安全
应用软件安全是所有软件研发过程中的关键部分,它包含了软件研发周期内为了防止程序缺陷所采取的所有步骤。那些存在于应用软件需求,设计,研发,配置,升级或者维护环节中的瑕疵都可能成为招致网络攻击的漏洞。用户除了要对应用软件的功能性进行检测外,还需根据软件运行的特定环境对其安全性进行检测和审查,在使用过程当中进行安全性跟踪,并经常性地进行定期维护,确保应用软件安全。
2.2.3防病毒系统
病毒威胁是网络系统最常受到侵袭的方式,因此为了防止系统受到病毒的滋扰与破坏,我们可采用多渠道、多层次的构建病毒防控体系的方式达到提高网络安全性能的目的。首先我们可在每台计算机、服务器及网关中安装正版的防毒、杀毒软件,针对不同的防毒类型、网络系统服务目的安装相应的企业级防毒系统,从而做到集中控制、防护为首、防杀结合的有效保护。
2.2.4漏洞扫描
是指基于漏洞数据库,通过扫描等手段,对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测(渗透攻击)行为。利用漏洞扫描系统,可以发现系统提供服务漏洞的情况、Web服务器全部TCP分配的端口使用情况、一些专用协议的安全评估等。根据扫描结果,可以有针对性的对系统漏洞及时填补。
2.3网络安全
伴随信息网络延伸,特别是3G和WiFi的大量普及,使信息共享和通信更加容易实现,而网络通信协议普遍使用的标准主要基于TCP/IP架构。TCP/IP并不是一个而是多个协议, TCP和IP是其中最基本也是最主要的两个协议,由于最初TCP/IP是在可信任环境中开发出来的成果,在协议设计的总体构想和设计的时候基本上未考虑安全问题,不能提供人们所需要的安全性和保密性,从而也能够使非法用户从远程实施对信息系统的数据的非授权访问,破坏或者拦截数据。基于确保网络安全的考虑,可以实施VPN、防火墙、入侵检测技术、身份认证等技术,保障信息系统的安全。
2.3.1虚拟专用网络
虚拟专用网络(Virtual Private Network,VPN)依靠二层或三层的网络加密协议,在本地网络或异地网络之间,在通信网络上,架设一条专有的通讯线路,实施安全、保密通信,而无需布设实际物理线路。
2.3.2防火墙技术
防火墙可以防止外部用户对内部网络资源的非授权访问,保护内部的设备及各种信息资源,也可以阻止内部用户对外部网络的攻击行为。通过防火墙的安全策略,对网络之间及网络内部传输的数据包检查,判断数据包是否可以放行,同时对网络运行状态进行监控,从而保护网络的安全。
2.3.3入侵检测和入侵防御系统
入侵检测系统(Intrusion Detection System,IDS)实时监视网络的数据传输情况,当存在异常的数据传输或访问行为时,IDS发出警报或者实施主动的保护反应手段。
入侵防御系统(Intrusion Prevent System,IPS)是一种主动、智能的入侵检测、防范、阻止系统,它不需要人为干预就可以预先对入侵活动和攻击性网络流量进行拦截,避免其造成任何损失。
2.3.4高强度身份认证
和使用用户名及口令简单的认证不同,采用PKI体制的数字证书技术的身份认证和系统登录可以提供强度更高的安全包含。在用户登录信息系统时,以后对资源进行访问时,均要使用证书及会话的信息进行用户真实身份的验证,阻止用户的非法假冒行为。PKI技术体制还可以用在其它许多方面来加强信息的安全性,如系统的单点登录,日志审计与管理,权限控制与管理,安全电子邮件,安全的WWW网站,电子印章,域用户智能卡登录等。
2.3.5合理的权限控制
合理的为网络用户授予相应的权限是保护信息网络一种重要安全保护措施。用户和用户组被赋予一定的权限,有权访问某些目录、子目录、文件和其他资源,可以对这些文件、目录、设备执行指定操作。根据访问权限可将用户分为以下几类:特殊用户(即系统管理员);一般用户,系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。
2.3.6审查系统日志
经过详细地审查你的系统日志文件,可以获得系统是如何被侵入的,入侵过程中,攻击者执行了哪些操作,以及哪些远程主机访问了自己主机等相关信息。通过定期对系统日志进行审计,及时发现日志当中异常活动的记录,并采取相应的安全措施。
2.4数据安全
数据安全有两方面的含义,一是数据本身的安全,主要是指采用现代密码算法对数据进行主动保护,如数据保密、数据完整性、双向强身份认证等,二是数据防护的安全,主要是采用现代信息存储手段对数据进行主动防护,如通过磁盘阵列、数据备份、异地容灾等手段保证数据的安全。
2.5用户安全
虽然信息网络提供了较完善的安全防范策略,但因用户的应用水平不高或疏忽所致的安全隐患,仍对整个系统安全造成了重大影响。用户一是要掌握基本的网络安全防护知识,如系统漏洞补丁、防病毒软件的安装的及时更新等;二是要保管好系统登录帐号及密码并定期更新,防止因帐号密码的泄露造成对系统的安全隐患;三是要按规定慎重使用移动存储介质,防止病毒的交叉感染。
2.6信息网络安全制度
信息网络的安全管理,不仅要看所采用的安全技术和防范措施,还要看它所采取的管理措施和执行力度。只有将两者紧密结合,才能使信息网络安全确实有效。因此,需要根据信息网络的每一个环节,制定相应的切实可行安全制度并认真组织实施,是保障信息网络安全的重要手段。全面而且安全的管理制度主要有以下几点:设备的安全管理制度、操作的安全管理制度、计算机网络安全的管理制度、密钥安全管理制度等等。
3结束语
信息网络安全是个系统工程,是在攻击和防御,发现与修补,技术力量此消彼长变化的一个动态过程。而随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,必须综合利用安全防护技术,确保信息的安全性、可靠性,增加信息网络在遭受各种入侵情况下的抗攻击能力。