卞洪 （天津體育科研所 天津 300191)

隨著計算機網(wǎng)絡(luò)在體育科研領(lǐng)域的普及應(yīng)用，在提高科研水平和工作效率的同時也存在著一定的隱患，這就是網(wǎng)絡(luò)的安全性問題。作為一個聯(lián)機事務(wù)系統(tǒng)，網(wǎng)絡(luò)安全性與網(wǎng)絡(luò)使用的便利性和開放性是矛盾的。體育科研計算機網(wǎng)絡(luò)安全突出強化系統(tǒng)與數(shù)據(jù)的安全性。依照網(wǎng)絡(luò)安全工程化方法設(shè)計、建設(shè)的體育科研機構(gòu)安全信息網(wǎng)絡(luò)，為確保體育科研管理系統(tǒng)穩(wěn)定、持久、安全的運行，系統(tǒng)的安全保障及維護管理顯得尤為重要。

1 影響網(wǎng)絡(luò)安全的因素

1.1 自然因素

1.1.1 自然災害 指因地震、水災、火災、風暴、雷擊、靜電等造成的災害。

1.1.2 環(huán)境干擾 指高、低溫沖擊；電壓降低、過壓或過載；振動沖擊；電磁波干擾和輻射干擾等。

1.1.3 軟、硬件的故障 引起安全策略失效，出現(xiàn)系統(tǒng)癱瘓。

1.2 人為因素

人為因素是造成系統(tǒng)安全威脅的主要來源。

1.2.1 操作失誤 是過失性的。網(wǎng)絡(luò)用戶涉及各級人員和各類專業(yè)技術(shù)人員，由于他們對計算機和網(wǎng)絡(luò)的認知程度不等，在信息系統(tǒng)正常運行期間及其他的操作時，難免出現(xiàn)操作不當或失誤。

1.2.2 非法使用資源 主要是對體育科研計算機網(wǎng)絡(luò)系統(tǒng)資源的非法使用，非法瀏覽其無權(quán)訪問的數(shù)據(jù)庫和文件。

1.2.3 惡意操作 惡意刪除、修改、毀壞系統(tǒng)或數(shù)據(jù)文件，直接破壞建筑設(shè)施或設(shè)備，將病毒文件傳入網(wǎng)內(nèi)。

1.3 計算機病毒

網(wǎng)絡(luò)目前已成為傳播病毒的重要途徑，輕則影響系統(tǒng)運行的速度，重則將導致整個網(wǎng)絡(luò)的癱瘓。

2 網(wǎng)絡(luò)安全的控制策略

2.1 入網(wǎng)訪問控制

入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問[1]提供了第一層訪問控制，它控制用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源。入網(wǎng)訪問控制可分為3個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未過，該用戶便不能進入該網(wǎng)絡(luò)。目前黑客已經(jīng)收集口令并形成字典，通過獲得機構(gòu)計算機網(wǎng)絡(luò)中重要的服務(wù)器或主機的登錄用戶名及密碼后，便可以對被攻擊目標進行控制，這無疑會干擾體育科研系統(tǒng)的正常運轉(zhuǎn)，從而給科研機構(gòu)帶來巨大損失。

2.2 防火墻控制

防火墻是防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)，進而訪問內(nèi)部網(wǎng)絡(luò)資源的有效屏障。在網(wǎng)絡(luò)各節(jié)點的出口處或網(wǎng)絡(luò)內(nèi)部不同安全域之間安裝防火墻設(shè)備，利用防火墻在網(wǎng)絡(luò)通信時執(zhí)行一種訪問控制尺度，對出入系統(tǒng)的所有信息進行動態(tài)數(shù)據(jù)包篩選，允許系統(tǒng)同意訪問的人與數(shù)據(jù)進入自己的內(nèi)部網(wǎng)絡(luò)，同時將不允許的用戶與數(shù)據(jù)拒之門外，最大限度地阻止[2]網(wǎng)絡(luò)中的黑客來訪問自己的網(wǎng)絡(luò)，防止他們隨意更改、移動甚至刪除網(wǎng)絡(luò)上的重要信息。由于這種防火墻安裝在被保護網(wǎng)絡(luò)與路由器之間的通道上，因此也對被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)起到隔離作用。

2.3 數(shù)據(jù)加密

密碼技術(shù)[3]是網(wǎng)絡(luò)安全最有效的技術(shù)之一。一個加密網(wǎng)絡(luò)，不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，而且也是對付惡意軟件的有效方法之一。加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。加密是對信息存儲和傳輸過程中的保護手段，并使之具有一定的抗攻擊強度。未經(jīng)授權(quán)的人，即使采用各種手段獲得了數(shù)據(jù)的訪問權(quán)，也無法理解實際的信息內(nèi)容。如果科研網(wǎng)管中心與Internet互聯(lián)，那么，全球各地的主機都可以對其發(fā)起攻擊。當攻擊者通過物理或網(wǎng)絡(luò)連接（無線或有線）方式竊取到所傳輸?shù)臄?shù)據(jù)包后，如果傳輸?shù)氖敲魑?，就會造成信息泄密。而?shù)據(jù)加密就是按確定的加密變換方法對未經(jīng)加密的數(shù)據(jù)（明文）進行處理，使之成為難以識讀的數(shù)據(jù)（密文）。加密變換不僅可以用于數(shù)據(jù)保密性的保護，也可以用于數(shù)據(jù)的完整性檢測。

2.4 存取控制

科研信息的特點是分散處理、高度共享，系統(tǒng)應(yīng)確定每個用戶的操作范圍，設(shè)置系統(tǒng)的權(quán)限。對于獲得使用權(quán)的用戶，還要根據(jù)預先定義好的用戶操作權(quán)限進行存取控制，保證用戶只能存取他有權(quán)存取的數(shù)據(jù)。通常將存取權(quán)限的定義（稱授權(quán)）經(jīng)編譯后存儲在數(shù)據(jù)字典中，每當用戶發(fā)出存取數(shù)據(jù)庫的操作請求后，DBMS查找數(shù)據(jù)字典，根據(jù)用戶權(quán)限進行合法權(quán)檢查，若用戶的請求超過了定義的權(quán)限，系統(tǒng)將拒絕執(zhí)行此操作。

2.5 系統(tǒng)監(jiān)控和鎖定控制

對網(wǎng)絡(luò)實施監(jiān)控，系統(tǒng)對所有科研人員的各種操作進行跟蹤，服務(wù)器記錄用戶對網(wǎng)絡(luò)資源的訪問，保留修改記錄，便于分析和追查。對非法的網(wǎng)絡(luò)訪問，服務(wù)器應(yīng)以圖形、文字或聲音等形式報警，以引起網(wǎng)絡(luò)管理員的注意。如有非法黑客企圖攻擊、破壞網(wǎng)絡(luò)系統(tǒng)，網(wǎng)絡(luò)服務(wù)器會實施鎖定控制，[4]自動記錄企圖嘗試進入網(wǎng)絡(luò)的次數(shù)，如果非法訪問的次數(shù)達到設(shè)定數(shù)值，那么該帳戶將被自動鎖定。

2.6 計算機病毒的預防與控制

2.6.1 安裝正版殺毒軟件，啟動實時防護功能，形成一周內(nèi)下載升級包的管理制度。

2.6.2 網(wǎng)絡(luò)防病毒系統(tǒng)應(yīng)基于策略集中管理的方式，并應(yīng)提供病毒定義的實時自動更新功能。

2.6.3 加強對計算機專業(yè)人員和廣大使用計算機的各類科研人員的計算機信息系統(tǒng)安全教育和培訓；對系統(tǒng)和信息的存儲外設(shè)作使用說明和保護措施，堵住外界病毒的傳染渠道；不能隨意將本系統(tǒng)計算機與外界系統(tǒng)連通，防止病毒侵入；建立系統(tǒng)應(yīng)急計劃，以便在系統(tǒng)遭受病毒破壞時將系統(tǒng)的損失降低到最小程度；盡量不采用軟盤引導，以增強硬盤的安全性，并定期對軟盤和硬盤進行檢測和殺毒等。

3 網(wǎng)絡(luò)安全的科學管理

3.1 物理安全

3.1.1 場地環(huán)境安全 主要是指機房等中心區(qū)域的選擇，應(yīng)遠離有害的氣體源；有較好的防風、防水、防火、防地震及防雷擊的條件。機房環(huán)境保持合適的室內(nèi)溫度，一般控制在21℃±3℃；相對濕度控制在45%～65%范圍內(nèi)；空氣的潔凈度一般在30～100萬級；保證電源電壓平穩(wěn)，避免靜電損害。

3.1.2 設(shè)備安全 ①對傳導發(fā)射[5]的防護。對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合。

②對輻射的防護。采用各種電磁屏蔽措施，如對設(shè)備的金屬屏蔽和各種接插件的屏蔽，同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離。

③抗電磁干擾。即在計算機系統(tǒng)工作的同時，利用干擾裝置產(chǎn)生一種與計算機系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來掩蓋計算機系統(tǒng)的工作頻率和信息特征。

3.1.3 硬件保證 不設(shè)軟驅(qū)、光驅(qū)，自帶硬盤，不但能提高數(shù)據(jù)傳輸速度，更可以有效地杜絕病毒侵入，抑制和防止電磁泄漏。

3.1.4 存儲介質(zhì)安全 主要防護要求有防火、防高溫、防潮、防霉、防水、防震、防電磁場和防盜等。對存儲介質(zhì)要分門別類定期進行檢查和清理。

3.2 軟件安全

3.2.1 在主機內(nèi)或擴充槽里裝入特殊硬件裝置 這種硬件裝置內(nèi)有標識碼或有“電子鎖”，[6]或者包含一小段專用程序。

3.2.2 采用特殊標記的磁盤 通過特殊格式化方法對磁盤上的某一磁道或某一扇區(qū)作非正式的格式化操作。

3.2.3 “軟件指紋” 利用硬件設(shè)備給軟件所在的軟盤做上永久性的標記。這種標記既不可能被復制，又會永遠保留在軟盤上，不能被格式化程序所擦除。

3.2.4 限制技術(shù) 為了控制軟件的使用周期和使用次數(shù)，在軟件加密過程中設(shè)置軟件的使用期限，或限制軟件的運行次數(shù)。例如“時間炸彈”就是在軟件中隱藏的程序，使軟件在某個時期后不能運行。

3.3 嚴格的管理制度

3.3.1 遵守國家標準、行業(yè)標準以及國際相關(guān)的安全標準，是構(gòu)建系統(tǒng)安全的保障和基礎(chǔ)。使用標準硬件、標準軟件、標準配置以及把文件放在標準位置，對服務(wù)進行集中管理。

3.3.2 體育科研網(wǎng)絡(luò)不是一般的通用性產(chǎn)品，具有很強的專業(yè)特點，在運行中仍然有必要對軟件進行變動，所以要保證系統(tǒng)的安全是可以用戶化的，這就使網(wǎng)絡(luò)安全變成了一個動態(tài)的過程，只有通過各種持續(xù)的軟件維護活動，及時地進行技術(shù)和設(shè)備的升級換代，才能使系統(tǒng)持久地滿足體育管理工作的需要。

3.3.3 機房管理。制定嚴格的入網(wǎng)操作規(guī)程、網(wǎng)絡(luò)安全保密制度、病毒預防和檢查制度及編寫網(wǎng)絡(luò)線路結(jié)構(gòu)圖等。服務(wù)器、工作站執(zhí)行運行日志管理制度。數(shù)據(jù)備份與恢復，使用存儲介質(zhì)，定期將系統(tǒng)業(yè)務(wù)數(shù)據(jù)備份下來，以保證數(shù)據(jù)意外丟失或毀壞時能盡快恢復，將損失降到最低點。

3.4 各類人員的業(yè)務(wù)知識與安全技能培訓

網(wǎng)絡(luò)安全是一門新興的技術(shù),需要全體人員共同努力，了解安全工具的局限性和雙刃性以及錯誤的配置帶來的問題。理解整體系統(tǒng)的工作流程和本單位的業(yè)務(wù)流程，掌握各自崗位上基本系統(tǒng)操作，對計算機網(wǎng)絡(luò)系統(tǒng)集成、網(wǎng)絡(luò)管理等方面的知識有一個比較全面的認識，在工作中逐步積累網(wǎng)絡(luò)運行管理的實踐經(jīng)驗。同時為了將安全隱患減少到最低，加強計算機信息系統(tǒng)安全的教育和培訓，讓每一位成員都成為安全衛(wèi)士，才能實現(xiàn)真正意義上的全方位的安全。

4 結(jié)束語

隨著計算機網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和進步，使得計算機網(wǎng)絡(luò)系統(tǒng)的安全面臨越來越大的挑戰(zhàn)。同時由于計算機網(wǎng)絡(luò)系統(tǒng)應(yīng)用范圍的不斷擴大，使得廣大體育科研人員對網(wǎng)絡(luò)的依賴程度也逐步增大，不經(jīng)意對網(wǎng)絡(luò)系統(tǒng)的破壞造成的損失和混亂的機率就會比以往任何時候都大。但網(wǎng)絡(luò)安全是相對的，不可能建立一個絕對安全的網(wǎng)絡(luò)，網(wǎng)絡(luò)安全標準和措施是在多種因素中尋找一種動態(tài)的平衡。因此，認清網(wǎng)絡(luò)安全的重要性和必要性，加強科學化管理，規(guī)范業(yè)務(wù)行為是保障網(wǎng)絡(luò)安全的關(guān)鍵手段和重要措施，應(yīng)在實際工作中逐步建立起一套科學、嚴密、行之有效的網(wǎng)絡(luò)安全管理體系。■

[1]李增智.計算機網(wǎng)絡(luò)管理[M].西安:西安交通大學出版社,2008:62-84.

[2]趙斌斌.網(wǎng)絡(luò)安全與黑客工具防范[M].北京:科學出版社，2006：102-133.

[3]蔡立軍.計算機網(wǎng)絡(luò)安全技術(shù)[M].北京:中國水利水電出版社，2008：92-147.

[4]甘仞初.網(wǎng)絡(luò)攻擊與防范[M].北京:經(jīng)濟科學出版社，2006:212-241.

[5]傅鉛生，羅正軍.計算機與網(wǎng)絡(luò)技術(shù)[M].北京:北京大學出版社,2009：57-132.

[6]袁家政.計算機網(wǎng)絡(luò)安全與應(yīng)用技術(shù)[M].北京:清華大學出版社，2007：87-151.