浙江大學(xué) 孫烷榕

網(wǎng)絡(luò)信息安全設(shè)計(jì)及管理策略的研究

浙江大學(xué) 孫烷榕

隨著計(jì)算機(jī)的普及應(yīng)用，互聯(lián)網(wǎng)技術(shù)廣泛應(yīng)用于政治、經(jīng)濟(jì)、文化等社會(huì)生活的各個(gè)區(qū)域，網(wǎng)絡(luò)有著開(kāi)放性、便捷性，為人們帶來(lái)方便、快捷、優(yōu)質(zhì)服務(wù)的同時(shí)，網(wǎng)絡(luò)信息安全日益受到人們的廣泛關(guān)注。因?yàn)椋坏┚W(wǎng)絡(luò)信息安全受到威脅，會(huì)使大量資料丟失，機(jī)密泄露，給企事業(yè)單位所帶來(lái)的損失會(huì)難以估量。因此，我們有必要了解威脅網(wǎng)絡(luò)信息安全的主要因素，并就其管理策略進(jìn)行深入探討。本文分析了威脅網(wǎng)絡(luò)信息安全的因素，并從四個(gè)方面，就如何建設(shè)網(wǎng)絡(luò)信息安全系統(tǒng)，提出了若干建議。

網(wǎng)絡(luò)信息安全；設(shè)計(jì)；管理策略

企業(yè)在發(fā)展的過(guò)程中，必然存在各種信息，有些信息可以對(duì)外公開(kāi)公布，社會(huì)公眾可以透過(guò)這些信息了解到企業(yè)的經(jīng)營(yíng)狀況；有些信息則屬于企業(yè)的機(jī)密，只有授權(quán)范圍之內(nèi)的少數(shù)人才能夠了解，因?yàn)樗P(guān)系著企業(yè)的生死存亡。隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)、通訊技術(shù)的飛速發(fā)展，使信息的處理與傳遞以前所未有的速度進(jìn)行。企業(yè)想要在利用計(jì)算機(jī)網(wǎng)絡(luò)化提高自身管理水平的同時(shí)，保證信息安全，就必須對(duì)企業(yè)的網(wǎng)絡(luò)信息安全系統(tǒng)進(jìn)行設(shè)計(jì)與規(guī)劃，科學(xué)構(gòu)建安全訪(fǎng)問(wèn)系統(tǒng)，以此來(lái)提高網(wǎng)絡(luò)信息安全。

一、威脅網(wǎng)絡(luò)信息安全的因素

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷提高，非法訪(fǎng)問(wèn)、密碼竊取以及惡意攻擊等安全威脅的手段也在不斷升級(jí)。這也在客觀上需要企業(yè)提高網(wǎng)絡(luò)信息安全設(shè)計(jì)水平，VPN、殺毒軟件、數(shù)據(jù)加密、身份認(rèn)證以及防火墻技術(shù)在企業(yè)中得到推廣使用，在網(wǎng)絡(luò)信息安全系統(tǒng)構(gòu)建上起到了一定的效果，但是這些產(chǎn)品的功能相對(duì)分散，相互的關(guān)聯(lián)性并不高，整體效益并不是十分理想。

（一）計(jì)算機(jī)病毒

計(jì)算機(jī)病毒是指編程人員在計(jì)算程序中插入一些能夠破壞計(jì)算機(jī)功能的數(shù)據(jù)，它能夠使計(jì)算機(jī)無(wú)法進(jìn)行正常使用，并且能夠進(jìn)行自我復(fù)制的計(jì)算程序代碼或者計(jì)算機(jī)指令。計(jì)算機(jī)病毒不能夠獨(dú)立存在，它只能夠寄生于其他程序里面，具有傳染性、隱蔽性、破壞性的特點(diǎn)。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，病毒種類(lèi)在不斷升級(jí)。當(dāng)今世界上的計(jì)算機(jī)活體病毒的各類(lèi)，已經(jīng)達(dá)到了14萬(wàn)之多，傳播途徑主要有硬盤(pán)、電子郵件以及依附于各種下載軟件之中。攜帶病毒的計(jì)算機(jī)只要運(yùn)行時(shí)，滿(mǎn)足了病毒制造者預(yù)設(shè)的條件，那么計(jì)算病毒就會(huì)爆發(fā)，輕者文件丟失、運(yùn)行速度減慢，重者則導(dǎo)致系統(tǒng)癱瘓、硬件損壞。比如圖一，為CIH病毒發(fā)作時(shí)的情況。

（二）黑客攻擊

提起黑客，我們都不陌生，他們是一些熱衷于研究、編寫(xiě)程序的專(zhuān)才。其中有些人利用掌握的知識(shí)推動(dòng)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，但是也有一些人則利用這些技術(shù)罪犯，獲取不正當(dāng)利益，比如進(jìn)入2002年，網(wǎng)絡(luò)犯罪分子開(kāi)始采用DDOS的手法對(duì)服務(wù)系統(tǒng)進(jìn)行攻擊，干擾在線(xiàn)商務(wù)。在寬帶網(wǎng)絡(luò)環(huán)境下，常見(jiàn)的攻擊方式主要有以下兩種：一是黑客發(fā)動(dòng)的，針對(duì)網(wǎng)絡(luò)設(shè)備與網(wǎng)絡(luò)服務(wù)的DDOS攻擊；二是利用蠕蟲(chóng)病毒進(jìn)行攻擊，從而造成網(wǎng)絡(luò)流量迅速增加，最終導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備徹底崩潰。DDOS的攻擊對(duì)象主要有域名服務(wù)器、網(wǎng)頁(yè)服務(wù)器以及郵件服務(wù)器，一旦受到DDOS的攻擊，服務(wù)器則會(huì)被來(lái)自四面八方的海量信息所淹沒(méi)。網(wǎng)絡(luò)黑客的目的就是用大量的垃圾信息來(lái)阻礙服務(wù)器的正常對(duì)信息的處理，然后借機(jī)切斷攻擊目標(biāo)的對(duì)外連線(xiàn)。黑客經(jīng)常把網(wǎng)絡(luò)與“僵尸電腦”相連，然后將大量的查詢(xún)要求傳送到開(kāi)放的DNS服務(wù)器中，這些查詢(xún)信息則會(huì)偽裝成被海量信息攻擊的目標(biāo)傳出，所以DNS服務(wù)器會(huì)把回應(yīng)信息傳到相應(yīng)的網(wǎng)址上去。傳統(tǒng)的身份認(rèn)證，外來(lái)攻擊者只是憑借獲取有關(guān)用戶(hù)身份憑證，就能夠以任何一臺(tái)設(shè)備而進(jìn)入網(wǎng)絡(luò)。就算是最嚴(yán)密的認(rèn)證系統(tǒng)也很難對(duì)網(wǎng)絡(luò)信息安全進(jìn)行保護(hù)。除此以外，企事業(yè)單位的員工能夠通過(guò)任意一臺(tái)沒(méi)有經(jīng)過(guò)確認(rèn)設(shè)備，以有效身份憑證進(jìn)入網(wǎng)絡(luò)系統(tǒng)，導(dǎo)致木馬程序、間諜軟件等惡意程序入侵系統(tǒng)，對(duì)網(wǎng)絡(luò)信息安全系統(tǒng)產(chǎn)生了嚴(yán)重威脅。

（三）協(xié)議設(shè)計(jì)上存在著缺陷

互聯(lián)網(wǎng)是建立在TCP/IP協(xié)議上的，這一協(xié)議在設(shè)計(jì)之初更偏重于效率，而忽略了安全因素，因此TCP/IP在設(shè)計(jì)之初，就存在一定的缺陷。

圖一 CIH病毒

圖二 網(wǎng)絡(luò)系統(tǒng)安全配置圖

圖三 應(yīng)用分配

1.安全策略不嚴(yán)謹(jǐn)。很多站點(diǎn)在防火墻的配置上增加了訪(fǎng)問(wèn)的權(quán)限，沒(méi)有考慮到這些權(quán)限可能被人利用，比如內(nèi)部員工濫用權(quán)限，無(wú)意中為黑客留下了線(xiàn)索，一旦黑客入侵，網(wǎng)絡(luò)維護(hù)人員往往毫無(wú)察覺(jué)。

2.信息容易被人竊取。多數(shù)企業(yè)互聯(lián)網(wǎng)上的流量都是沒(méi)有經(jīng)過(guò)加密的，這就使文件在傳送的過(guò)程中很容易被人竊取。而且基于TCP/IP協(xié)議的很多應(yīng)用服務(wù)都不同程度的存在一些安全問(wèn)題，很容易被人利用。

3.配置過(guò)于復(fù)雜。訪(fǎng)問(wèn)控制的配置通常是十分復(fù)雜的，這就非常容易造成配置上的錯(cuò)誤，而形成了安全隱患。目前，銀行之間在數(shù)據(jù)傳輸?shù)倪^(guò)程中，所采用的協(xié)議均是保密的，這就提高了安全性，防止網(wǎng)絡(luò)黑客的入侵。當(dāng)然，現(xiàn)階段我們還不能將TCP/IP與其實(shí)現(xiàn)代碼進(jìn)行保密處理，因?yàn)檫@將不利于TCP/IP網(wǎng)絡(luò)的發(fā)展，但是銀行的這種處理方式可以為我們網(wǎng)絡(luò)信息安全系統(tǒng)的設(shè)計(jì)拓寬一些思路。

二、網(wǎng)絡(luò)信息安全設(shè)計(jì)及管理策略

（一）網(wǎng)絡(luò)與系統(tǒng)安全的設(shè)計(jì)

網(wǎng)絡(luò)與系統(tǒng)安全的設(shè)計(jì)可以采用NetScreen-208防火墻設(shè)備，這種設(shè)備是當(dāng)前國(guó)內(nèi)市場(chǎng)上功能較為齊全的防火墻產(chǎn)品，它包括了8個(gè)自適應(yīng)10/100M以太網(wǎng)端口，這些端口能夠把網(wǎng)絡(luò)劃分成為多個(gè)區(qū)域，從而把需要保護(hù)的區(qū)域與潛在的相分離，在與網(wǎng)絡(luò)設(shè)備進(jìn)行連接時(shí)，這個(gè)設(shè)備的端口1與內(nèi)部網(wǎng)的主交換機(jī)相連接，而端口2則與DMZ區(qū)相連接，端口3與因特網(wǎng)的路由器相連接。

殺毒軟件可以采用瑞星網(wǎng)絡(luò)版軟件，這一軟件具有網(wǎng)絡(luò)管理功能，它主要是通過(guò)一個(gè)控制中心在整個(gè)網(wǎng)絡(luò)的內(nèi)部實(shí)現(xiàn)遠(yuǎn)程報(bào)警、智能升級(jí)以及遠(yuǎn)程管理等功能，有效的監(jiān)管病毒入口如圖二。

（二）涉密服務(wù)系統(tǒng)的設(shè)計(jì)

企業(yè)的內(nèi)部網(wǎng)站與數(shù)據(jù)庫(kù)服務(wù)系統(tǒng)，依據(jù)信息的秘密等級(jí)，主要分成涉密應(yīng)用與非涉密應(yīng)用兩種，同樣它們所依賴(lài)的服務(wù)器也可發(fā)分成涉密與非涉密兩類(lèi)。正如筆者描述的，涉密服務(wù)器主要處理的是涉密信息，而非涉密服務(wù)器主要處理的是非涉密信息。從安全等級(jí)考慮，涉密服務(wù)系統(tǒng)應(yīng)該是企業(yè)的重點(diǎn)保護(hù)對(duì)象。因此，我們可以在涉密服務(wù)器前配置相應(yīng)的安全網(wǎng)關(guān)，其設(shè)計(jì)如圖三。

用戶(hù)在訪(fǎng)問(wèn)頻密信息時(shí)，主要是基于HTTP協(xié)議，用戶(hù)在通過(guò)安全網(wǎng)關(guān)認(rèn)證之后，依據(jù)使用權(quán)限的不同，訪(fǎng)問(wèn)的內(nèi)容也有所區(qū)別。用戶(hù)在訪(fǎng)問(wèn)非涉密信息時(shí)，同樣是基于HTTP協(xié)議，但是能夠直接進(jìn)入非涉密服務(wù)器而獲取信息。

安全網(wǎng)關(guān)是涉密服務(wù)器的關(guān)口，同時(shí)也是用戶(hù)網(wǎng)絡(luò)身份認(rèn)證的中心，用戶(hù)和涉密服務(wù)器之間并沒(méi)有直接的相連，這就有效避免了黑客對(duì)涉密服務(wù)器的進(jìn)攻，保證了信息的安全。

（三）訪(fǎng)問(wèn)權(quán)限管理

在網(wǎng)絡(luò)信息安全系統(tǒng)中設(shè)置用戶(hù)角色、用戶(hù)等級(jí)、用戶(hù)權(quán)限等字段，加強(qiáng)訪(fǎng)問(wèn)權(quán)限的管理與控制，并將數(shù)據(jù)信息根據(jù)企業(yè)的實(shí)際需要，劃分為不同的等級(jí)階段；根據(jù)實(shí)際用戶(hù)的崗位設(shè)置劃分為不同的角色，網(wǎng)絡(luò)信息管理人員授予不同操作權(quán)限，劃分到不同的虛擬局域網(wǎng)之內(nèi)，形成不同的安全區(qū)域。

用戶(hù)則通過(guò)網(wǎng)絡(luò)查詢(xún)涉密系統(tǒng)的有關(guān)信息，使用HTTP協(xié)議與安全網(wǎng)關(guān)相連接，經(jīng)過(guò)身份認(rèn)證之后，再與涉密服務(wù)器相連接，最后進(jìn)行應(yīng)用系統(tǒng)。用戶(hù)在獲取信息時(shí)，由應(yīng)用系統(tǒng)依據(jù)用戶(hù)的角色、權(quán)限進(jìn)行相應(yīng)的限制。

（四）對(duì)傳遞的數(shù)據(jù)進(jìn)行加密

企業(yè)使用安全網(wǎng)關(guān)以后，與SSL建立通道，在這一安全通道上對(duì)用戶(hù)與服務(wù)器之間傳輸?shù)臄?shù)據(jù)信息進(jìn)行加密，保證機(jī)密信息不會(huì)被泄露。加密的算法可以由用戶(hù)自己進(jìn)行選擇，這就增加了系統(tǒng)的靈活性，可以滿(mǎn)足不同權(quán)限等級(jí)用戶(hù)的需要。

三、總結(jié)

綜上所述，隨著我國(guó)市場(chǎng)經(jīng)濟(jì)的快速發(fā)展以及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的普及，信息充斥著社會(huì)的每一個(gè)角落，不但真假難辨，其中還隱藏著某種威脅。現(xiàn)階段，影響我國(guó)網(wǎng)絡(luò)信息安全的因素有很多，比如計(jì)算機(jī)病毒；黑客攻擊；協(xié)議設(shè)計(jì)上存在著缺陷等等，而實(shí)現(xiàn)信息安全的設(shè)計(jì)也有很多，企業(yè)需要根據(jù)自身的發(fā)展的現(xiàn)狀，選擇相應(yīng)的信息安全設(shè)計(jì)方案，相信通過(guò)我們的共同努力，網(wǎng)絡(luò)信息安全的管理與設(shè)計(jì)必將會(huì)翻開(kāi)嶄新的一頁(yè)。

[1]蘇玉召,趙妍.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及其防護(hù)策略的研究[J].計(jì)算機(jī)與信息技術(shù),2006(05).

[2]戴啟艷.影響信息系統(tǒng)安全的主要因素及主要防范技術(shù)[J].中國(guó)科技信息,2010(06).

[3]林柏鋼.網(wǎng)絡(luò)與信息安全現(xiàn)狀分析與策略控制[J].信息安全與通信保密,2005(07).

[4]南溯.淺議計(jì)算機(jī)網(wǎng)絡(luò)維修和管理[J].電腦編程技巧與維護(hù),2010(04).

[5]張東生.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)與防范策略探析[J].電腦編程技巧與維護(hù),2011(02).

[6]朱燕.虛擬機(jī)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全教學(xué)中的應(yīng)用[J].電腦知識(shí)與技術(shù)(學(xué)術(shù)交流),2007(23).

[7]張愛(ài)民.淺談網(wǎng)絡(luò)信息安全面臨的問(wèn)題及其對(duì)策[J].電腦知識(shí)與技術(shù),2009(12).