宋月红

（聊城大学 建筑工学院，聊城 252059）

0 引言

互联网的广泛应用和普及，带来了经济的繁荣和发展，丰富和活跃了人们的精神文化生活，大大推进了社会文明建设的进程。但同时随着人们信息化期望程度的加深，网络与信息安全问题也已赫然摆在世人面前。

1 网络安全问题的表现形式

1.1 病毒、木马威胁加剧

据国内信息安全厂商瑞星公司2008年11月份报告统计显示，2008年的前10个月，互联网上共出现新病毒9306985个，是2007年同期的12.16倍，木马病毒和后门程序之和超过776万，占总体病毒的83.4%，病毒数量呈现出了井喷式爆发。事实证明，现在借助病毒木马牟利的黑色产业链已经形成。

1.2 安全漏洞

2008年安全漏洞被曝光的频率及数量比以往都要多。存在的主要十大安全漏洞分别是：浏览器漏洞、Adobe Flash漏洞、ActiveX漏洞、SQL注入式攻击、Adobe Acrobat阅读器漏洞、CMS漏洞、Apple QuickTime漏洞、Web2.0元素(如Facebook应用、网络广告等)、Realplayer漏洞和DNS缓存漏洞等。

1.3 黑客行为，数据泄露

根据国家计算机病毒应急处理中心的分析报告，2007年全国计算机病毒感染率已经高达91.5%，其中相当部分已经被黑客控制。黑客行为：其核心特点是利用网络用户的失误或系统的脆弱性因素，针对特定目标进行拒绝服务攻击或侵占。Websense安全实验室最新报告也显示，29%的恶意攻击中包含数据窃取程序，这表明攻击者已经将窃取核心机密数据和信息作为其主要目标。

1.4 垃圾邮件的泛滥

其核心特点是以广播的方式鲸吞网络资源，影响网络用户的正常活动。附带调查性垃圾邮件，以获取终端用户的个人信息为目的。许多垃圾邮件均使用同一个社交网站群组。一旦用户链接到目的网址，会被要求填写一张个人信息表。这些信息可能被出售给营销公司，也可能用于将来发送垃圾邮件。

1.5 有害信息的恶意传播

其核心特点是以广泛传播有害言论的方式，来控制、影响社会的舆论。

2 网络信息安全的保障措施

信息网络的通信是由通信协议堆栈完成的，通信协议大致可分为应用层、传输层、网络层、链路层和物理层。采用通信协议分层的方式对网络通信进行安全控制可满足信息网络安全通信的需要，保障信息传输的机密性、完整性和可用性。针对网络通信的安全控制需求，设计出通信的安全的控制结构，具体如表1所示。

2.1 以人为本，确保安全制度的建立和落实

根据实际情况和所采用的技术条件，制定出切实可行又比较全面的各类安全管理制度。主要有：计算机网络安全管理制度、计算机病毒防治管理制度、操作系统和数据库安全管理制度、软件安全管理制度、密钥安全管理制度等。制度的建立切不能流于形式，重要的是落实和监督。另外，要强化工作人员的安全教育和法制教育，真正认识到计算机网络系统安全的重要性和解决这一问题的长期性、艰巨性及复杂性。

表1 通信安全控制结构

2.2 利用访问与控制策略，确保网络信息安全

访问控制策略是网络安全防范和保护的主要策略，其任务是保证网络资源不被非法使用和非法访问。各种网络安全策略必须相互配合才能真正起到保护作用，而访问控制是保证网络安全最重要的核心策略之一。访问控制策略包括入网访问控制策略、操作权限控制策略、目录安全控制策略、属性安全控制策略、网络服务器安全控制策略、网络监测、锁定控制策略和防火墙控制策略等7个方面的内容。

2.3 利用防火墙控制网络信息安全

防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

1）数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑， 被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、 协议状态等因素，或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用， 网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备， 因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。

数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击； 二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。

2）应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、 登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。

数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。 一旦满足逻辑，则防火墙内外的计算机系统建立直接联系， 防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。

3）代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术， 其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的＂ 链接＂， 由两个终止代理服务器上的＂ 链接＂来实现，外部计算机的网络链路只能到达代理服务器， 从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记， 形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。

防火墙能有效地防止外来的入侵，它在网络系统中的作用是：控制进出网络的信息流向和信息包；提供使用和流量的日志和审计；隐藏内部IP地址及网络结构的细节；另外防火墙引起或IE浏览器出现故障，也可导致可以正常连接，但不能打开网页。

2.4 利用数据加密技术控制网络信息安全。

数据传输加密技术目的是对传输中的数据流加密，常用的方针有线路加密和端到端加密两种。前者侧重在线路上而不考虑信源与信宿，是对保密信息通过各线路采用不同的加密密钥提供安全保护的。后者则指信息由发送者端自动加密，并进入TCP/IP数据包回封，然后作为不可阅读和不可识别的数据穿过互联网，当这些信息一旦到达目的地，将被自动重组、解密，成为可读数据。数据存储加密技术目的是防止在存储环节的数据失密。

数据传输加密技术是为增强普通关系数据库管理系统的安全性，提供一个安全适用的数据库加密平台，对数据库存储的内容实施有效保护。它通过数据库存储加密等安全方法实现了数据库数据存储保密和完整性要求，使得数据库以密文方式存储并在密态方式下工作，确保了数据安全。

3 结束语

随着计算机技术和通信技术的发展，计算机网络将日益成为重要信息交换手段，渗透到社会生活的各个领域，只有采取强有力的安全策略，才能保障网络信息的安全性。

[1] 汪海慧.浅议网络安全问题及防范对策[J].信息技术,2007.

[2] 刘修峰,范志刚.网络攻击与网络安全分析[J].网络安全,2006.

[3] 赵丹丽,管建和.网络通信与安全探讨[J].软件导刊,2008.