[网络信息安全策略浅析]网络信息安全策略

　　【摘要】本文论述了网络环境下的信息安全技术，对网络破坏者的意图和可能采取的手段进行了说明，重点对网络安全策略和常用的网络信息安全技术进行了讨论。 　　【关键词】计算机；网络；安全；防火墙
　　
　　０.引言
　　安全的核心是人，必须以人为核心进行安全管理，采用各种先进的安全技术，使系统免受非法攻击，排除没有访问权限的使用者窃取系统机密信息，确保系统安全可靠地运行。
　　１.网络安全策略
　　计算机网络安全策略是关于网络安全问题的总的原则、对安全使用的要求及怎样保障网络的安全运行。在制定安全策略时，首先需要确定的原则为：准许访问除明确拒绝以外的全部服务还是拒绝访问明确准许以外的所有服务。前者由于用户可能使用不安全的服务而危及网络安全，只有在网络的实验阶段才可采用，后者一般被选择作为总的原则，总的原则确定后还应考虑的问题有。
　　１.1将系统资源分类，确定需保护的资源及其保护的级别，规定可以访问资源的实体和能够执行的动作。
　　１.2根据网络使用单位的实际需要确定内部网的服务类型，规定内部用户和外部用户能够使用的服务种类。
　　１.3规定审计功能，记录用户的活动及资源使用情况。
　　２.多层病毒防御体系
　　网络系统可能会受到来自于多方面的病毒威胁，包括来自互联网网关上、内部和外部的网段上，为了网络系统免受病毒所造成的损失，建议业务系统采用多层的病毒防卫体系。所谓多层病毒防卫体系，是指在每个台式机上要安装台式机的反病毒软件，在服务器上要安装基于服务器的反病毒软件，在互联网网关上要安装基于互联网网关的反病毒软件，因为对单位来说，防止病毒的攻击是每个员工的责任，人人都要做到自己使用的台式机上不受病毒的感染，从而保证整个网络不受病毒的感染。
　　２.1客户端的防病毒系统
　　根据统计，50％以上的病毒是通过软盘进入系统，因此对桌面系统的病毒应严加防范。采用桌面防病毒产品，来防止桌面机受到病毒的侵害。
　　２.2服务器的防病毒系统
　　如果服务器被感染，其感染文件将成为病毒感染的源头，它们会迅速从桌面感染发展到整个网络的病毒爆发。因此，基于服务器的病毒保护已成为业务系统的当务之急。所以，在业务系统的外部网与互联网及各连接的网段上重要的Web、Mail．服务器上采用专业的防病毒软件系统，提供了全面的基于服务器的病毒保护。
　　２.3互联网的防病毒系统
　　根据ICSA的报告，一般公司或单位的电脑感染病毒的来源有超过20％是通过网络下载文档感染，另外有26％是经电子邮件的附加文档所感染，由于很多业务系统连入互联网，很有可能受到来自互联网下载文件的病毒侵害及恶意的Java、ActiveX小程序的威胁。因此，此部分将成为业务系统防范的重点。
　　在业务系统的外部网与互联网连接的网段上Mail Server、Web server、DNS Server、等代理的服务器上安装专业防火墙软件系统，可防止来自于互联网上的病毒、恶意的Java、Active-x对业务网络应用系统所造成的破坏。
　　３.信息安全技术
　　网络安全性与每一层都有关系。在物理层，可通过把传输线封装在包含压氩气的封装管中来挫败偷听。任何钻管的尝试都会导致漏气、减压，并能触发警报装置。一些军用系统就采用了这种装置。在数据链路层，点点线上的分组在离开一台机器时被编上密码，到达另一台时再解码。在网络层，可以安装防火墙来限制分组的进出。在传输层，整个连接都能被加密(端端，即过程到过程)。在应用层可想办法采用一种通用的方法有效地解决身份认证或反拒认问题。
　　网络信息安全技术通常从防止信息窃密和防止信息破坏两方面来考虑。
　　防止信息窃密的技术通常采用通信反侦察、防电磁泄露、防火墙技术、密钥管理、通信保密、文件保密、报文鉴别、数字签名、存储加密等。
　　３.1通信反侦察
　　网络在传输信息过程中很容易被网络破坏者侦收，为了防止这一点，有线电通信常采用光缆和可防窃听的保密电缆线路等；无线电通信则通常采用扩频技术、悴发传输技术、毫米波和激光通信技术等，这几种通信手段都具有强的抗截获能力和抗干扰能力。
　　３.2防电磁泄露
　　计算机系统电磁辐射泄露也会使信息失密，因此，通常采用机房屏蔽和设备屏蔽技术来抑制和防护电磁辐射泄漏。机房屏蔽是用屏蔽室对计算机系统实施屏蔽。屏蔽性能最好的是采用实体的钢和钢板的双层屏蔽以及双层间绝缘的屏蔽室。设备屏蔽，比如为防止视频显示器电磁辐射，在其玻璃止喷涂一层导电薄膜，在玻璃周围用导电条将导电薄膜与机壳相连接地，达到屏蔽电磁场的效果。另外，还要从设备的研制和生产上加以考虑(如改善电路布局、搞好电源线路和信号线路滤波等)电子设备电磁辐射的防护和抑制。
　　３.3防火墙技术
　　防火墙是目前所有保护网络的方法中最能普遍接受的方法，而且防火墙技术还属于新兴技术，95％的入侵者无法突破防火墙。防火墙的主要功能是控制对受保护网络的非法往返访问，他通过监视、限制、更改通过网络的数据流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危险站点，用来防范内外部的非法访问。
　　防火墙是阻止网络入侵者对网络进行访问的任何设备。此设备通常是软件和硬件的组合体，他通常根据一些规则来挑选想要或不想要的地址。防火墙可用软件构成，也可由硬件或软、硬件共同构成。软件部分可以是专利软件、共享软件或免费软件，而硬件部分是指能支持软件部分运行的任何硬件。网络中的防火墙主要有包过滤器和应用网关两种类型。
　　３.4密钥管理
　　网络安全系统运行效率的高低与密钥管理密切相关，若对于DES和RSA密码体制丢失密钥，则整个网络安全系统变成为虚有。密钥管理由密钥的产生、分配和安装三个部分组成。
　　３.5通信保密
　　在计算机网络中，通信保密分为链路加密、节点加密和端对端加密。在三种方式中，端端加密从成本、）灵活性和保密性方面看是优于其他两种方式。端端加密指的是在发送结点加密数据，在中间结点传送加密数据（数据不以明文出现），而在接受结点解密数据。
　　３.6存储加密
　　网络信息不仅在传输过程中需要加密，而且存储时也要加密，这是为了防止非法拷贝和查询。存储加密可以较彻底的防止信息窃密。依据储存方式存储加密又文件加密和数据加密2种形式。由于文件加密以文件为单位进行加密，而数据库加密以数据库记录甚至以字段为单位进行加密，所以文件加密比数据库加密容易实现。
　　３.7报文鉴别
　　报文鉴别能提供对传输报文数据的有效性及完整性的验证，它是数据保密的一部分。它允许每个通信者验证收报文的来源、内容、时间性和规定的目的的地址。
　　３.8文件保密
　　网络中的重要资源是文件，网络安全系统一般采用口令、访问控制等安全措施，但这些措施抗渗透性不强，容易被伪造、假冒，从而使非法用户侵入文件名系统，针对这种攻击，必须采用文件加密来保护。这样，即使非法用户获得了文件，也无法看懂，只有文件的合法使用者用自己的秘密密钥，才能看到文件的真实原文。
　　３.9数字签名
　　在网络环境中，签署决定和文件是各部门负责人经常要做的事，因此在网络中要解决与书写签名有对等功能的数字签名问题。数字签名可以采用DES体制或RES体制，对于DES体制需要复杂的协议，并需要第三方仲裁服务。而公开密钥算法得到的数字签名是通用的、一般的签名，因为他能为任何存取发送方公开密钥的人所证实，因此RES体制常被采用。为达到只有合法发送方才能通过所持有的密钥对数据解密，人们通常把数据保密通信和数字签名合为一体。■
　　
　　【参考文献】
　　[1]吴煜煜等.网络与信息安全教程/21世纪高等院校计算机系列教材，水利水电出版社，2006.
　　[2].杨茂云.信息与网络安全使用教程.电子工业出版社，2007.