APP下载

网络信息安全设计及管理策略的研究

2012-06-01浙江大学孙烷榕

电子世界 2012年1期
关键词:黑客信息安全服务器

浙江大学 孙烷榕

网络信息安全设计及管理策略的研究

浙江大学 孙烷榕

随着计算机的普及应用,互联网技术广泛应用于政治、经济、文化等社会生活的各个区域,网络有着开放性、便捷性,为人们带来方便、快捷、优质服务的同时,网络信息安全日益受到人们的广泛关注。因为,一旦网络信息安全受到威胁,会使大量资料丢失,机密泄露,给企事业单位所带来的损失会难以估量。因此,我们有必要了解威胁网络信息安全的主要因素,并就其管理策略进行深入探讨。本文分析了威胁网络信息安全的因素,并从四个方面,就如何建设网络信息安全系统,提出了若干建议。

网络信息安全;设计;管理策略

企业在发展的过程中,必然存在各种信息,有些信息可以对外公开公布,社会公众可以透过这些信息了解到企业的经营状况;有些信息则属于企业的机密,只有授权范围之内的少数人才能够了解,因为它关系着企业的生死存亡。随着计算机技术、网络技术、通讯技术的飞速发展,使信息的处理与传递以前所未有的速度进行。企业想要在利用计算机网络化提高自身管理水平的同时,保证信息安全,就必须对企业的网络信息安全系统进行设计与规划,科学构建安全访问系统,以此来提高网络信息安全。

一、威胁网络信息安全的因素

随着计算机网络技术的不断提高,非法访问、密码窃取以及恶意攻击等安全威胁的手段也在不断升级。这也在客观上需要企业提高网络信息安全设计水平,VPN、杀毒软件、数据加密、身份认证以及防火墙技术在企业中得到推广使用,在网络信息安全系统构建上起到了一定的效果,但是这些产品的功能相对分散,相互的关联性并不高,整体效益并不是十分理想。

(一)计算机病毒

计算机病毒是指编程人员在计算程序中插入一些能够破坏计算机功能的数据,它能够使计算机无法进行正常使用,并且能够进行自我复制的计算程序代码或者计算机指令。计算机病毒不能够独立存在,它只能够寄生于其他程序里面,具有传染性、隐蔽性、破坏性的特点。随着计算机网络技术的飞速发展,病毒种类在不断升级。当今世界上的计算机活体病毒的各类,已经达到了14万之多,传播途径主要有硬盘、电子邮件以及依附于各种下载软件之中。携带病毒的计算机只要运行时,满足了病毒制造者预设的条件,那么计算病毒就会爆发,轻者文件丢失、运行速度减慢,重者则导致系统瘫痪、硬件损坏。比如图一,为CIH病毒发作时的情况。

(二)黑客攻击

提起黑客,我们都不陌生,他们是一些热衷于研究、编写程序的专才。其中有些人利用掌握的知识推动计算机网络技术的发展,但是也有一些人则利用这些技术罪犯,获取不正当利益,比如进入2002年,网络犯罪分子开始采用DDOS的手法对服务系统进行攻击,干扰在线商务。在宽带网络环境下,常见的攻击方式主要有以下两种:一是黑客发动的,针对网络设备与网络服务的DDOS攻击;二是利用蠕虫病毒进行攻击,从而造成网络流量迅速增加,最终导致计算机网络设备彻底崩溃。DDOS的攻击对象主要有域名服务器、网页服务器以及邮件服务器,一旦受到DDOS的攻击,服务器则会被来自四面八方的海量信息所淹没。网络黑客的目的就是用大量的垃圾信息来阻碍服务器的正常对信息的处理,然后借机切断攻击目标的对外连线。黑客经常把网络与“僵尸电脑”相连,然后将大量的查询要求传送到开放的DNS服务器中,这些查询信息则会伪装成被海量信息攻击的目标传出,所以DNS服务器会把回应信息传到相应的网址上去。传统的身份认证,外来攻击者只是凭借获取有关用户身份凭证,就能够以任何一台设备而进入网络。就算是最严密的认证系统也很难对网络信息安全进行保护。除此以外,企事业单位的员工能够通过任意一台没有经过确认设备,以有效身份凭证进入网络系统,导致木马程序、间谍软件等恶意程序入侵系统,对网络信息安全系统产生了严重威胁。

(三)协议设计上存在着缺陷

互联网是建立在TCP/IP协议上的,这一协议在设计之初更偏重于效率,而忽略了安全因素,因此TCP/IP在设计之初,就存在一定的缺陷。

图一 CIH病毒

图二 网络系统安全配置图

图三 应用分配

1.安全策略不严谨。很多站点在防火墙的配置上增加了访问的权限,没有考虑到这些权限可能被人利用,比如内部员工滥用权限,无意中为黑客留下了线索,一旦黑客入侵,网络维护人员往往毫无察觉。

2.信息容易被人窃取。多数企业互联网上的流量都是没有经过加密的,这就使文件在传送的过程中很容易被人窃取。而且基于TCP/IP协议的很多应用服务都不同程度的存在一些安全问题,很容易被人利用。

3.配置过于复杂。访问控制的配置通常是十分复杂的,这就非常容易造成配置上的错误,而形成了安全隐患。目前,银行之间在数据传输的过程中,所采用的协议均是保密的,这就提高了安全性,防止网络黑客的入侵。当然,现阶段我们还不能将TCP/IP与其实现代码进行保密处理,因为这将不利于TCP/IP网络的发展,但是银行的这种处理方式可以为我们网络信息安全系统的设计拓宽一些思路。

二、网络信息安全设计及管理策略

(一)网络与系统安全的设计

网络与系统安全的设计可以采用NetScreen-208防火墙设备,这种设备是当前国内市场上功能较为齐全的防火墙产品,它包括了8个自适应10/100M以太网端口,这些端口能够把网络划分成为多个区域,从而把需要保护的区域与潜在的相分离,在与网络设备进行连接时,这个设备的端口1与内部网的主交换机相连接,而端口2则与DMZ区相连接,端口3与因特网的路由器相连接。

杀毒软件可以采用瑞星网络版软件,这一软件具有网络管理功能,它主要是通过一个控制中心在整个网络的内部实现远程报警、智能升级以及远程管理等功能,有效的监管病毒入口如图二。

(二)涉密服务系统的设计

企业的内部网站与数据库服务系统,依据信息的秘密等级,主要分成涉密应用与非涉密应用两种,同样它们所依赖的服务器也可发分成涉密与非涉密两类。正如笔者描述的,涉密服务器主要处理的是涉密信息,而非涉密服务器主要处理的是非涉密信息。从安全等级考虑,涉密服务系统应该是企业的重点保护对象。因此,我们可以在涉密服务器前配置相应的安全网关,其设计如图三。

用户在访问频密信息时,主要是基于HTTP协议,用户在通过安全网关认证之后,依据使用权限的不同,访问的内容也有所区别。用户在访问非涉密信息时,同样是基于HTTP协议,但是能够直接进入非涉密服务器而获取信息。

安全网关是涉密服务器的关口,同时也是用户网络身份认证的中心,用户和涉密服务器之间并没有直接的相连,这就有效避免了黑客对涉密服务器的进攻,保证了信息的安全。

(三)访问权限管理

在网络信息安全系统中设置用户角色、用户等级、用户权限等字段,加强访问权限的管理与控制,并将数据信息根据企业的实际需要,划分为不同的等级阶段;根据实际用户的岗位设置划分为不同的角色,网络信息管理人员授予不同操作权限,划分到不同的虚拟局域网之内,形成不同的安全区域。

用户则通过网络查询涉密系统的有关信息,使用HTTP协议与安全网关相连接,经过身份认证之后,再与涉密服务器相连接,最后进行应用系统。用户在获取信息时,由应用系统依据用户的角色、权限进行相应的限制。

(四)对传递的数据进行加密

企业使用安全网关以后,与SSL建立通道,在这一安全通道上对用户与服务器之间传输的数据信息进行加密,保证机密信息不会被泄露。加密的算法可以由用户自己进行选择,这就增加了系统的灵活性,可以满足不同权限等级用户的需要。

三、总结

综上所述,随着我国市场经济的快速发展以及计算机网络技术的普及,信息充斥着社会的每一个角落,不但真假难辨,其中还隐藏着某种威胁。现阶段,影响我国网络信息安全的因素有很多,比如计算机病毒;黑客攻击;协议设计上存在着缺陷等等,而实现信息安全的设计也有很多,企业需要根据自身的发展的现状,选择相应的信息安全设计方案,相信通过我们的共同努力,网络信息安全的管理与设计必将会翻开崭新的一页。

[1]苏玉召,赵妍.计算机网络信息安全及其防护策略的研究[J].计算机与信息技术,2006(05).

[2]戴启艳.影响信息系统安全的主要因素及主要防范技术[J].中国科技信息,2010(06).

[3]林柏钢.网络与信息安全现状分析与策略控制[J].信息安全与通信保密,2005(07).

[4]南溯.浅议计算机网络维修和管理[J].电脑编程技巧与维护,2010(04).

[5]张东生.计算机网络安全技术与防范策略探析[J].电脑编程技巧与维护,2011(02).

[6]朱燕.虚拟机技术在计算机网络安全教学中的应用[J].电脑知识与技术(学术交流),2007(23).

[7]张爱民.浅谈网络信息安全面临的问题及其对策[J].电脑知识与技术,2009(12).

猜你喜欢

黑客信息安全服务器
欢乐英雄
多少个屁能把布克崩起来?
网络黑客比核武器更可怕
通信控制服务器(CCS)维护终端的设计与实现
信息安全专业人才培养探索与实践
保护信息安全要滴水不漏
高校信息安全防护
中国服务器市场份额出炉
得形忘意的服务器标准
计算机网络安全服务器入侵与防御