计算机信息安全浅析

2011-03-25 13:27吴承辉
海峡科学 2011年11期
关键词:防火墙加密信息安全

吴承辉



计算机信息安全浅析

吴承辉

福建省经济信息中心教育培训处

网络信息时代,物理设备损坏、系统崩溃、病毒、黑客攻击等都会对网络信息安全构成重大威胁,因此对网络信息的保护就显得尤为重要。针对以上各种威胁,该文从物理、内网安全管理、身份认证、病毒防治、软件加密、防火墙使用等方面提出解决方案,从而使网络信息安全得到充分保障。

网络信息安全 安全隐患 安全策略

网络信息安全问题涉及很多方面。很多人一提到网络传输的信息安全,总是会立即联想到加密、防黑客、反病毒等专业技术问题。实际上,网络环境下的信息安全不仅涉及到技术问题,而且涉及到管理方面的问题,技术问题虽然是最直接的保证信息安全的手段,但离开了管理的基础,纵然有最先进的技术,信息安全也得不到保障。

1 计算机信息安全隐患

1.1 病毒、木马和恶意软件的入侵

计算机病毒传播方式多种多样,其中以“木马”、“蠕虫”、“恶意软件”病毒最令人头痛。病毒可以通过移动存储设备(如U盘)、局域网传播,也可以在上网过程中被挂“木马”网站感染。同时,由于计算机的杀毒软件查杀某一病毒的能力总是滞后于病毒,绝大多数情况是在病毒已经感染扩散后,安全软件才更新相关病毒数据库并采取杀毒措施。因此,病毒往往防不胜防。

1.2 网络黑客的攻击

黑客攻击是黑客自己开发或利用已有的工具寻找计算机系统和网络的缺陷和漏洞,并对这些缺陷实施攻击。在计算机网络飞速发展的同时,黑客技术也日益高超,目前黑客能运用的攻击软件已有1000多种。从网络防御的角度讲,计算机黑客是一个挥之不去的梦魇。

1.3 非法访问窃取、访问与操作导致敏感信息外泄

计算机内存储的软件和数据信息是供用户在一定条件下进行访问的,访问形式包括读、写、删、改、拷贝、运行等。对于一些重要或秘密的软件和数据信息,若没有采取特别的安全保密措施,一些有意或无意的非法访问将会充满危险性。这些访问可能来自本系统网络的某个工作站,也可能来自因特网上不可知的某个终端。这种事情的发生,会给计算机及其信息数据带来不可预见的灾难。

1.4 备份数据和存储媒体的损坏、丢失

我们经常采用磁盘阵列、磁带、磁带库、光盘塔、光盘库等专用硬件,加上适当的备份软件组成数据备份与回复系统。然而即使有了完善的数据备份与恢复系统,仍可能存在备份数据和备份媒体损坏或丢失的危险。如存储媒介中的数据读不出来,存储媒介丢失、损坏等。

1.5 管理漏洞带来的安全隐患

网络信息安全问题的解决,三分靠技术,七分靠管理。根据调查表明,网络信息安全威胁60%来自网络内部。人为的无意失误、违规、渎职等行为是造成网络信息不安全的重要原因。网络管理员考虑不周(如:设备转手次数太多、没有及时安装补丁、错误操作等),网络硬件(路由器、服务器等)安全配置不当,用户安全意识不强,不按照安全规定操作,都会对网络信息安全带来威胁。在一个局域网内部,计算机终端随意接入到公司网络,网络内主机非法外联,内部人员通过拨号、3G网络等方式私自建立非法外联网络,内部工作人员私自使用移动存储介质拷贝、复制、删除计算机上存储的工作文件,这些行为都可能造成内部敏感信息的失泄密,同时也成为内部网络病毒感染的重要源头。内网缺少较强的安全审计系统。终端操作系统自带的审计系统相对较弱,不便于实施统一管理。没有审计系统,对用户的违规行为和其他入侵行为缺乏监管手段,也无法进行责任认定。因此加强内网管理及员工的安全意识是网络信息安全十分重要的一环。

2 计算机信息安全策略

网络信息安全体系由物理安全、链路安全、网络安全、系统安全、信息安全五部分构成。目前信息网络布署的安全技术手段主要方式有以下几个方面:

2.1 数据的物理安全

数据的物理安全包括设备安全和介质安全。设备安全指计算机设备的防盗、防毁、防电磁泄漏发射、抗电磁干扰及电源保护等。我们应该保护局域网络中的计算机系统、网络服务器、物理链路等基础设施免受自然灾害、人为破坏和搭线攻击,采取的防范措施有:①采用符合规范的计算机场地和机房;②主要网络设备要置于专门的屏蔽室中,防止线路被窃取;③采用光电接口和光缆,减少线路被窃取概率;④介质安全包括媒体本身的安全及媒体数据的安全。对媒体本身的安全保护是指防盗、防毁、防霉等,对媒体数据的安全保护是指防止记录的信息不被非法窃取、篡改、破坏或使用。

为保证介质的存放安全和使用安全,介质的存放和管理应有相应的制度和措施:①存放重要数据和关键数据的各类记录介质,应采取有效措施,如建立介质库、异地存放等,防止被盗、被毁和发霉变质。②系统中有很高使用价值或很高机密程度的重要数据,或者对系统运行和应用来说起关键作用的数据,应采用加密等方法进行保护。③应该删除和销毁的重要数据,防止被非法拷贝,应由专人负责集中销毁。

2.2 在网络各个层次建立权限管理、身份验证和访问机制

为保障网络资源不被非法使用和非法访问,我们应在网络系统的各个层次(物理设备、网络配置、操作系统、数据库、应用系统)建立用户使用权限列表,检查每个用户使用网络资源的合法性。身份认证是在计算机网络中确认操作者身份的过程,分为用户与主机间的认证以及主机与主机之间的认证。最常用的认证方式就是“用户+密码”,这种认证方法存在认证过程不加密,密码容易被破解和监听的缺陷。因此,又产生了多种的认证方法,如:智能卡(IC卡)、短信密码、动态口令牌、USB KEY、生物识别技术(如指纹识别、语音识别等)。身份认证是整个网络安全体系的基础,它能确认用户的权限和责任。

2.3 病毒防治

在病毒肆虐的时代,反病毒已经成为信息安全非常重要的一环,因此必须要配置可以服务于整个局域网的反病毒产品,构造一套完整的集中防病毒网络系统平台,以确保网络免于病毒的侵袭。集中防病毒系统应有集中管理、远程安装、智能升级、远程报警、分布查杀等多种功能。在发现病毒后安装病毒查杀软件属于事后防治,计算机中的很多数据已被破坏,计算机的信息安全没有等到保障。而集中防病毒系统属于预防性防治,能最大限度减少病毒的感染,不给病毒传播留下机会。

2.4 防火墙的使用

防火墙是目前最为流行也是使用最为广泛的一种网络安全技术。防火墙是一个系统,主要用来执行两个网络之间的访问控制策略。它可为各类网络提供必要的访问控制,但又不造成网络瓶颈,并通过安全策略控制进出系统的数据从而保护关键资源。

从防火墙的软、硬件形式来分,防火墙可以分为硬件防火墙和软件防火墙。就目前的实际情况来看,软件类防火墙在阻挡技术水平相对较高的攻击者前根本无法发挥其应有的作用,因此对于那些对数据安全性要求较高的企业和部门来说,一定要设置相应的硬件防火墙。

架构防火墙要达到以下功能:①网络安全的屏障,它可以过滤不安全的服务,这样外部攻击者就不能利用这些脆弱的协议来攻击内部网络。②强化网络安全策略,它能将所有安全软件(如口令、加密、身份认证等)配置在防火墙上,这样的集中安全管理更有效。③对网络存取和访问进行监控审计,防火墙能记录下所有的访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供详细信息。④防止内部信息外泄,利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感数据外泄。

除了安全作用,防火墙还支持具有Internet服务的内部网络体系VPN(虚拟专用网)。

2.5 软件加密

软件加密技术是保障数据安全最基本、最核心的技术措施。软件加密过程由形形色色的加密方法来具体实施,它以较小的代价获得较大的安全保障。

目前采用的软件加密方法可分为软加密、硬加密和网络加密。软加密比较常见的有软件子校验方式、密码表加密、许可证管理方式、uskey以及光盘加密。硬加密主要有加密卡和加密锁(如智能卡加密狗)等。网络加密不同于使用本机软件或硬件的加密方法,而由基于网络的其它计算机或设备来完成加解密或验证工作,而网络设备和客户端之前通过安全通道进行通讯。软加密和硬加密都是实现一样的加密算法,理论上强度相同,而随着多核心处理器的发展,软件加密已经能赶上硬件加密的速度。但软加密也存在不足,如密钥的管理很复杂,同时由于是在用户的计算机内部使用软件加密,容易给攻击者采用分析程序进行跟踪、反编译等手段进行攻击。硬加密也有不足,如大量占用存储空间,制造商容易留下后门,从而给安全留下隐患。网络加密是目前安全性最高的加密方式,但由于其高度依赖网络,需要网络一直保持通畅,实际使用中会造成很大的困难。综上所述,软加密、硬加密以及网络加密都各有其优缺点,可以根据实际不同级别的安全需要,选择适合的加密方式。

2.6 对网络系统进行备份

网络系统备份是指对网络中的核心设备和数据信息进行备份,以便在网络出现意外时能快速、全面地恢复。网络系统的运行核心设备的备份主要包括核心交换机、核心路由器、重要服务器等。数据信息包括对网络设备的配置信息、服务器数据等的备份。网络系统数据备份是网络日常维护工作的重要环节之一,做好相关备份工作,才能在网络系统出现故障时及时、迅速、有效地恢复系统,确保系统的正常运行。

2.7 内网安全管理

网络信息安全除了应用必要的技术手段,网络的运维和管理同等重要。防止内部信息外泄最重要的手段就是布置内网监控系统。内网监控系统必须具备以下普遍的功能:一是内部网络信息泄漏防范,防止在内部网络的主机上,利用网络、存储介质、打印机等媒介,故意或者无意地泄露本地的敏感信息;二是对系统用户帐号的管理,能够将用户登录系统时的信息记录下来;三是对系统资源安全管理,能够对在系统上控制和限制某些特别程序的运行,限制对文件重命名、删除等操作;四是能够监视和控制整个系统的实时运行情况,监视内部人员的使用情况;五是审计信息安全情况,在对内部网络的安全审计信息进行记录的同时,生成内部网络主机使用情况报告以及安全问题的分析报告等。内网监控不但可以为事故处理提供重要依据,而且可以对某些潜在的侵犯安全的攻击源起到威慑作用。

除了从管理上进行监控以外,员工的计算机安全意识对网络信息安全也非常重要。计算机的操作、安全制度的执行都需要员工来执行,加强员工的计算机网络安全知识培训,提高员工的计算机操作水平和安全意识水平,可以从整体上提高计算机网络的安全性。

3 结语

总之,随着计算机网络安全问题的不断增多,计算机网络安全越来越被人们重视。计算机网络信息安全不仅是技术问题,也是管理问题。计算机网络信息安全技术只是实现计算机网络系统安全的工具,没有任何方法能够保证计算机网络系统的绝对安全。我们应当综合运用多种安全技术,将软硬件、管理制度、人员等有效结合,开发自身潜力,以有限资金确保计算机网络信息安全。

[1] 王达. 网管员必读——网络安全[M]. 北京:电子工业出版社,2007.

[2] 王宏伟.网络安全威胁与对策[J]. 科技创业月刊,2006(5):179-180.

[3] 黄志洪.现代计算机新息安全技术[M]. 北京:冶金工业出版社,2004.

猜你喜欢
防火墙加密信息安全
构建防控金融风险“防火墙”
一种基于熵的混沌加密小波变换水印算法
信息安全专业人才培养探索与实践
保护信息安全要滴水不漏
高校信息安全防护
保护个人信息安全刻不容缓
认证加密的研究进展
在舌尖上筑牢抵御“僵尸肉”的防火墙
基于ECC加密的电子商务系统
基于格的公钥加密与证书基加密