胡煒

摘要：網(wǎng)絡(luò)信息的安全關(guān)系到國家安全經(jīng)濟(jì)發(fā)展和文化建設(shè)等多個領(lǐng)域。伴隨著計算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)和信息化的發(fā)展，基于網(wǎng)絡(luò)的安全問題也日益突出。無論外部網(wǎng)還是內(nèi)部網(wǎng)都會受到安全問題的困擾，對此，應(yīng)采取積極對策，以保障網(wǎng)絡(luò)信息的安全。

關(guān)鍵詞：網(wǎng)絡(luò)信息；網(wǎng)絡(luò)安全；安全策略；數(shù)據(jù)加密；網(wǎng)絡(luò)攻擊

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2012)20-4826-02

Network Information Security and DefenseCivil Aviation College

HU Wei

(Guangzhou Zip Code, Guangzhou 510405,China)

Abstract: With the development of computer technology and information technology, network-based security has become increasingly prominent, and extranet or intranet are plagued by security problems. Positive measures should be taken in order to safeguard the security of network information.

Key words: network information; network security; security policy; data encryption; cyber attacks

1網(wǎng)絡(luò)信息安全的概念和含義

網(wǎng)絡(luò)信息安全包含三個基本要素。一是保密性，即保證信息為授權(quán)者享用而不泄露給未經(jīng)授權(quán)者。二是完整性，即數(shù)據(jù)的完整性（未被未授權(quán)篡改或損壞）和系統(tǒng)的完整性（系統(tǒng)未被非授權(quán)操縱，按既定的功能運(yùn)行）。三是可用性，即保證信息和信息系統(tǒng)隨時為授權(quán)者提供服務(wù)，而不要出現(xiàn)非授權(quán)者濫用卻對授權(quán)者拒絕服務(wù)的情況。實(shí)際上，計算機(jī)網(wǎng)絡(luò)信息安全，就是通過采用各種技術(shù)措施和管理措施確保網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行，從而保證網(wǎng)絡(luò)信息和數(shù)據(jù)的完整性、保密性和可用性，其目的是防止網(wǎng)絡(luò)傳輸后的信息和數(shù)據(jù)不會發(fā)生改變和泄露。

網(wǎng)絡(luò)信息系統(tǒng)是一個開放的信息共享的系統(tǒng)，因此網(wǎng)絡(luò)信息系統(tǒng)在接受不同需求的用戶訪問時存在很大的安全隱患。網(wǎng)絡(luò)信息的安全問題并不是單純的技術(shù)問題，它包含了技術(shù)及管理等多個方面。因此，在網(wǎng)絡(luò)信息安全問題上要綜合考慮，在用戶與安全之間尋找平衡點(diǎn)，通過技術(shù)和管理手段實(shí)現(xiàn)最佳安全效果。

2影響網(wǎng)絡(luò)及網(wǎng)絡(luò)信息安全的主要因素

對計算機(jī)和網(wǎng)絡(luò)信息安全造成威脅的可分為兩類：一是對網(wǎng)絡(luò)本身的威脅，即這種威脅是針對網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)軟件系統(tǒng)平臺的；二是對網(wǎng)絡(luò)中信息的威脅，即這種威脅是針對網(wǎng)絡(luò)中的數(shù)據(jù)以及處理這些數(shù)據(jù)的信息系統(tǒng)和應(yīng)用軟件的。

影響計算機(jī)網(wǎng)絡(luò)信息安全的因素有很多，其中一個主要的因素是來自于用戶在操作中的失誤，如口令選擇不慎，隨意將自己的賬戶借給他人或與他人共享等等，這些都會對網(wǎng)絡(luò)信息安全造成威脅。然而，計算機(jī)網(wǎng)絡(luò)信息安全所面臨的最大威脅則來自于人為的惡意攻擊。這種人為攻擊分兩種，一是主動攻擊，即以各種方式對系統(tǒng)和數(shù)據(jù)的有效性和完整性進(jìn)行有選擇性的破壞。二是被動攻擊，即在不影響網(wǎng)絡(luò)和系統(tǒng)正常運(yùn)行的情況下，對重要的機(jī)密信息進(jìn)行截獲和竊取。軟件本身存在的缺陷和漏洞以及由于安全配置不當(dāng)所造成的安全漏洞（如防火墻軟件配置的不正確），這些也是威脅網(wǎng)絡(luò)信息安全的因素之一。另外，還有一個威脅網(wǎng)絡(luò)信息安全的因素就是計算機(jī)病毒。計算機(jī)病毒由于其特點(diǎn)具有隱蔽性、潛伏性、傳染性和破壞性，因而對計算機(jī)網(wǎng)絡(luò)信息安全所造成的破壞也十分巨大。

3應(yīng)用于網(wǎng)絡(luò)信息安全的主要技術(shù)

隨著計算機(jī)技術(shù)及網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)信息安全的內(nèi)涵在不斷延伸，從早期的信息保密性到信息的完整性、可用性、可控性和不可否認(rèn)性，發(fā)展為攻擊、防范、監(jiān)測、控制、管理、評估等多方面的基礎(chǔ)理論和實(shí)施技術(shù)。目前，網(wǎng)絡(luò)信息常用的安全技術(shù)包括：入侵預(yù)防技術(shù)、防火墻技術(shù)、病毒防范技術(shù)、數(shù)據(jù)加密技術(shù)、漏洞掃描技術(shù)、蜜罐技術(shù)和系統(tǒng)容災(zāi)技術(shù)。

入侵預(yù)防技術(shù)就是根據(jù)事先設(shè)定好的防范規(guī)則，并依此規(guī)則來判斷哪些行為可以通過，哪些行為帶有威脅性。入侵預(yù)防技術(shù)重在預(yù)防，它能積極主動地加強(qiáng)桌面系統(tǒng)和服務(wù)器的安全，防止受到網(wǎng)絡(luò)攻擊和破壞。

防火墻技術(shù)是設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。防火墻是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)網(wǎng)絡(luò)自身的安全政策控制出入網(wǎng)絡(luò)的信息流，并具有較強(qiáng)的抗攻擊能力。

病毒防范技術(shù)的注入方式為無線電方式、“固化”式方式、后門攻擊方式和數(shù)據(jù)控制鏈攻擊方式等。病毒防范技術(shù)的應(yīng)用范圍主要是對病毒客戶端的管理、對郵件的傳播進(jìn)行控制、對有害信息進(jìn)行過濾及建立多層次多級別的防病毒系統(tǒng)。

數(shù)據(jù)加密技術(shù)是在傳輸過程或存儲過程中進(jìn)行信息數(shù)據(jù)的加解密，常用的加密體制是采用對稱加密和非對稱加密。對稱加密技術(shù)是指同時運(yùn)用一個密鑰進(jìn)行加密和解密；非對稱加密技術(shù)是指加密和解密所用的密鑰不一樣，它有一對密鑰，分別為“公鑰”和“私鑰”，這兩個密鑰必須配對使用。

漏洞掃描技術(shù)就是通過一定的方法來檢測系統(tǒng)中重要數(shù)據(jù)和文件是否存在黑客能利用的漏洞。通常有兩種方法，一是端口掃描法，即通過端口掃描獲知并查看是否存在漏洞。二是模擬黑客的攻擊法，即通過模擬攻擊測試安全漏洞。

蜜罐技術(shù)，簡單地說，就是通過真實(shí)或模擬的網(wǎng)絡(luò)和服務(wù)來吸引攻擊，然后分析黑客攻擊蜜罐期間的行為和過程，收集信息并發(fā)出預(yù)警。蜜罐技術(shù)雖然不會修補(bǔ)任何東西，也不會直接提高計算機(jī)網(wǎng)絡(luò)安全，但它卻是其他安全策略所不能替代的一種主動型防御技術(shù)。

系統(tǒng)容災(zāi)技術(shù)是指在較遠(yuǎn)的異地建立多套功能相同的IT系統(tǒng)，這些系統(tǒng)相互之間可以進(jìn)行健康狀態(tài)監(jiān)視和功能切換，當(dāng)一處系統(tǒng)因災(zāi)難停止運(yùn)行時，整個應(yīng)用系統(tǒng)可以切換到另一處，使得該系統(tǒng)功能可以繼續(xù)正常工作，這是異地容災(zāi)技術(shù)。還有一種本地容災(zāi)技術(shù)，即包括磁盤保護(hù)、數(shù)據(jù)保護(hù)和數(shù)據(jù)備份等，通過保護(hù)這些存儲設(shè)備達(dá)到系統(tǒng)不被外來對象入侵的目的。

4網(wǎng)絡(luò)信息安全防護(hù)思路

為了保證網(wǎng)絡(luò)信息的安全性，降低網(wǎng)絡(luò)信息面臨的安全風(fēng)險，靠單一的安全技術(shù)是不夠的。根據(jù)信息系統(tǒng)面臨的不同安全威脅和防護(hù)重點(diǎn)，有針對性地應(yīng)用一些不同的網(wǎng)絡(luò)安全防護(hù)方法。這里將給出一些有效的網(wǎng)絡(luò)安全防護(hù)思路。

1）基于主動防御的邊界安全控制：這是以內(nèi)網(wǎng)應(yīng)用系統(tǒng)保護(hù)為核心的，在各層的網(wǎng)絡(luò)邊緣建立多級的安全邊界，從而實(shí)施進(jìn)行安全訪問的控制，防止惡意的攻擊和訪問。

2）基于攻擊檢測的綜合聯(lián)動控制：所有的安全威脅都體現(xiàn)為攻擊者的一些惡意網(wǎng)絡(luò)行為，通過安全設(shè)備與網(wǎng)絡(luò)設(shè)備的聯(lián)動進(jìn)行有效控制，從而防止攻擊的發(fā)生。

3）基于源頭控制的統(tǒng)一接入管理：絕大多數(shù)的攻擊都是通過終端的惡意用戶發(fā)起，通過對介入用戶的有效認(rèn)證和終端檢查，可以降低網(wǎng)絡(luò)信息所面臨的安全威脅。

4）基于安全融合的綜合威脅管理：未來的大多數(shù)攻擊將是混合型的攻擊，功能單一的安全設(shè)備無法有效地防御這種攻擊。因而綜合性安全網(wǎng)關(guān)迅猛地發(fā)展起來。

5）基于資產(chǎn)保護(hù)的閉環(huán)策略管理：信息安全的目標(biāo)就是保護(hù)資產(chǎn)，實(shí)現(xiàn)信息安全重在管理。在資產(chǎn)保護(hù)中，信息安全管理是重點(diǎn)，安全策略加實(shí)施安全管理并輔以安全技術(shù)相配合，形成對資產(chǎn)的閉環(huán)保護(hù)。

5結(jié)束語

當(dāng)前，網(wǎng)絡(luò)攻擊手段正在不斷復(fù)雜化、多樣化，隨之產(chǎn)生的信息安全技術(shù)和解決方案也在不斷發(fā)展變化，同時，安全產(chǎn)品和解決方案也更趨于合理化、多樣化和適用化。因此，對網(wǎng)絡(luò)信息安全威脅和安全技術(shù)發(fā)展趨勢的現(xiàn)狀分析，并綜合各種安全防護(hù)思路的優(yōu)點(diǎn)，網(wǎng)絡(luò)信息的安全防護(hù)應(yīng)該逐步構(gòu)建成可防、可控、可信的信息網(wǎng)絡(luò)構(gòu)架。

參考文獻(xiàn)：

[1]張國祥.基于Apache的Web安全技術(shù)的應(yīng)用研究[J].武漢理工大學(xué)學(xué)報,2004(3).

[2]張仕斌.網(wǎng)絡(luò)安全技術(shù)[M].北京:清華大學(xué)出版社,2004.