天津市武清区93534部队 曹治龙

探析网络安全防护措施

天津市武清区93534部队 曹治龙

对网络安全现状、内涵、表现形式、安全措施进行了深入分析和探讨，为正确理解网络安全防护具有一定参考价值。

网络安全；表现形式；防护措施

一、引言

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统能够连续可靠正常地运行，网络服务不中断。网络安全的本质就是网络上的信息安全。因此，凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关理论和技术都是网络安全的探讨领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、信息论等多种学科的综合性学科。

二、网络安全现状

随着计算机技术的飞速发展，信息网络已经成为社会发展的重要保证。很多敏感信息，甚至是国家机密都难免会吸引来自世界各地的各种人为攻击。诸如：信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等。同时，网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方方面的考验。2011年12月21日，国内知名程序员网站CSDN遭到黑客攻击，大量用户数据库被公布在互联网上，600多万个明文的注册邮箱被迫裸奔。2011年12月29日，支付宝用户大量泄露，被用于网络营销。泄露总量达1500万～2500万之多，泄露时间不明。2012年2月4日，黑客集团Anonymous公布了一份来自1月17日美国FBI和英国伦敦警察厅的工作通话 录音，时长17分钟。因此，网络安全令人担忧。

三、网络安全内涵

网络安全是指通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。其含义随着“角度”的变化而变化。第一，从个人或企业的角度来讲，都希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护，并且被授权时，可随时存取自己所需要的信息。而网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。可控性即对信息的传播及内容具有控制能力。可审查性即出现安全问题时，系统能够提供依据与手段。第二，从网络运行和管理者角度来说，希望对本地网络信息的访问、读写等操作受到保护和控制，避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用以及非法控制等威胁，并能制止和防御网络黑客的攻击。第三，对安全保密部门来说，都希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵，避免机要信息泄露，对社会产生危害，给国家造成损失。第四，从社会教育和意识形态角度来讲，网络上不健康的内容，会对社会的稳定和人类的发展造成阻碍，必须对其进行控制。另外，随着计算机技术的迅速发展，在计算机上处理的业务由基于单机的数学运算、程序设计、文件处理、办公自动化等发展到复杂的内部网、外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时，系统的连接能力也在不断的提升。但在连接能力、信息流通能力提高的同时，网络连接的安全问题也日益突出。

四、网络安全的表现形式

（一）物理安全

网络的物理安全是整个网络系统安全的前提。在网络工程建设中，由于网络系统属于弱电工程，耐压值很低。因此，在网络工程的设计和施工中，必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害；考虑布线系统与照明电线、动力电线、通信线路、暖气管道之间的距离；考虑布线系统和绝缘线、裸体线以及接地与焊接的安全；必须建设防雷系统，不仅要考虑建筑物防雷，还必须考虑计算机及其它弱电耐压设备的防雷。总体来说，物理安全的风险主要有，地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获；高可用性的硬件；双机多冗余的设计；机房环境及报警系统、人的安全意识等，因此要尽最大可能避免网络的物理安全风险。

（二）网络结构安全

网络拓扑结构的设计也直接影响到网络系统的安全。例如：在外部和内部网进行通信时，内部网络设备的安全就会受到威胁，同时也影响到同一网络上的许多其它系统。透过网络传播，还会影响到连上Internet/Intranet的其它网络。影响所及，还可能涉及法律、金融等安全敏感领域。因此，我们在设计时一定要将服务器和外网及内部其它业务网络进行必要的隔离，避免网络结构信息外泄，同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其它的请求服务在到达主机之前遭到拒绝。

（三）系统的安全

系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信赖。目前大都认为没有绝对安全的操作系统可供选择，无论是Windows还是UNIX操作系统，其开发厂商必然有其Back-Door。因此，没有绝对安全的操作系统。不同的用户应从不同的方面对其网络作详尽的分析，尽可能选择安全性高的操作系统。另外，还要对操作系统进行安全配置，加强登录过程的认证，确保用户的合法性。其次应该严格限制登录者的操作权限，将其操作限制在能够完 成任务的最小范围内。

（四）应用系统的安全

应用系统的安全跟具体的应用有关，不仅涉及面广，而且是动态的、变化的。例如：以目前Internet上应用最为广泛的E-mail系统来说，其解决方案不下二十种。其安全手段涉及各种方式。因此，在应用系统的安全性上，主要应考虑尽可能建立安全的系统平台，通过专业的安全工具及时发现漏洞，修补漏洞，提高系统的安全性。同时，应用的安全性涉及到信息、数据的安全性。信息的安全性涉及到机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。在某些网络系统中，涉及到很多机密信息，如果这些信息遭到窃取或破坏，将对经济、社会、政治产生严重的影响。因此，对用户使用计算机必须进行身份认证，对重要信息的通讯必须授权，传输必须加密。采用多层次的访问控制与权限控制手段，实现对数据的安全保护。采用加密技术，保证网上 传输信息的机密性与完整性。

（五）管理的安全风险

管理是网络安全中最重要的部分。责权不明，安全管理制度不健全及缺乏可操作性等都可能引起安全管理的风险。当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据。这就要求我们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。另外，制定健全的管理制度和严格的管理措施，保障网络的安全运行，使其成为一个具有良好的安全性、可扩充性和易管理性的信 息网络。

五、网络安全措施

（一）安全技术手段

1.物理措施：保护网络关键设备(如交换机、路油器等)，制定严格的网络安全规章制度，采取防辐射、防火以及安装UPS电源等措施。

2.访问控制：对用户访问网络资源的权限进行严格的认证和控制。例如，进行用户身份认证，口令加密、更新和鉴别，设置用户访问目录和文件的权限等。

3.数据加密：加密是保护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。防止计算机网络病毒，安装网络防病毒系统。

4.网络隔离：网络隔离有两种方式，一种采用隔离卡来实现，另一种采用网络安全隔离网闸来实现。隔离卡主要用于对单台机器的隔离，网闸主要用于对整个网络的隔离。

5.其他措施：包括信息过滤、容错、数据镜像、数据备份和审计等。对此，解决办法有数据加密技术和防火墙技术等。数据加密是对网络中传输的数据进行加密，到达目的地后再解密还原为原始数据，目的是防止非法用户截获后盗用信息。防火墙技术是通过对网络的隔离和 限制访问等方法来控制网络的访问权限。

（二）安全防范意识

拥有网络安全意识是保证网络安全的重要前提。许多网络安全事件的发 生都和缺乏安全防范意识有着密切关系。

（三）主机安全检查

要保证网络安全，就要进行网络安全检查。第一，要全面了解系统，评估系统安全性，认识到风险所在，迅速、准确解决网络安全问题。第二，使用创新型自动主机安全检查工具，颠覆传统系统保密检查和系统风险评测工具操作的繁冗性，利用一键操作对内部网络计算机进行全面的安全保密检查及精准的安全等级判定，并对 评测系统进行强有力的分析处置和修复。

（四）主机物理安全

服务器运行的物理安全环境十分重要，主要指机房的设施状况、通风系统、电源系统、防雷、防火系统以及机房的温度、湿度条件等。这些因素都会影响到服务器的寿命和数据的安全。尽可能把服务器存放在专门的机柜内。若只能放在开放式机架上，则请将电源用胶带绑定在插槽上，避免别人无意中碰动电源。其次，安装完系统后，重启服务器，在重启的过程中把键盘和鼠标拔掉，这样在系统启动后，普通的键盘和鼠标接上去不会起作用。另外，要跟机房值班人员搞好关系，同时不得罪其他维护人员，以排除人为因素的可能性。

六、结束语

本文探讨的网络安全防护措施，解析清楚，可实施可操作性强，必将会在未来网络安全防护中发挥其应有的作用。

[1]黄中伟.计算机网络管理与安全技术[M].北京:人民邮电出版社,2007.

[2]宁丽莎.浅谈计算机机房的确管理与维护[J].信息科技,2008.

[3]霍扬,龚俭.计算机网络故障分析及维护研究[J].硅谷,2008.