杨瑶姬

中南空管局气象中心 广东 510405

0 前言

现代社会是飞速发展的信息化社会，如何打造一个安全的信息化网络就显得至关重要，无论大小企业都面临着如何构建安全的信息化网络的难题。下面我们首先对信息化网络中的几大大安全因素进行简要分析。

1 信息化网络安全性分析

1.1 网络管理

网络是互连的计算机系统和设备的集合，允许个人共享资源，比如计算机程序和信息。因为敏感的程序和信息也是通过网络存储或传输的，因此有效地保证网络安全对保护计算机资源和数据免受未经授权的访问，操纵，和使用是必不可少的。如果不安全地配置网络服务和设备，会使一个系统极容易受到内部或外部威胁，如：

(1) 在一些网络系统中没有适当地限制进入系统管理的权利，以及不必要的服务；

(2) 应用软件本身的一些弱点或者功能上的缺陷，可能导致未经授权的访问或服务中断；

(3) 虽然实施了隔离网络流量的控制，在应用和基础设施系统中仍然有可能发生外部攻击者绕过网络控制，来达到对内部网络的非法访问；

(4) 对穿越内部网络的某些重要设置敏感信息没有进行加密，反而使用明文传输从而导致这些信息很容易被窃听；

1.2 补丁管理

绝大部分的网络攻击都是基于操作系统或应用程序的漏洞进行的。当系统发现漏洞时，攻击者可能利用他们，从而造成重大损害。这些恶意的行为可能包括利用网站漏洞控制整个系统，从而能够阅读，修改，删除敏感信息；毁坏系统；破坏操作；或发动针对其他系统的攻击。如果我们能够根据具体的应用环境，及时发现这些漏洞并采取适当的处理措施进行修补，就可以有效地阻止入侵、蠕虫等事件的发生。随着操作系统和各种应用软件复杂化的增加，其内部存在的安全隐患也越来越多。一旦这些安全隐患被公布，系统和软件提供商就将推出更新补丁，以弥补安全隐患。这些补丁和软件更新程序的及时安装，是保障系统安全性的必要措施。

但是随着信息化建设步伐的加强，网络覆盖范围越来越大，网络上运行的服务器、客户端也越来越多。这种情况下，补丁管理成为对信息化网络的一个非常关键的过程，一个好的补丁管理流程可以帮助减轻许多来自系统安全性反面的挑战，确保电脑系统的安全。

1.3 用户账号和密码

一个计算机系统必须能够识别和区分用户，这样计算机系统上的活动才能与特定的个人相对应。当一个用户被分配到惟一的一个特定账户时，系统就能把该用户与其他用户区别开来，这一过程被称为识别。该系统还必须通过一些认证手段，来识别用户身份的正确性，比如密码，因为密码通常只有本人知道。身份识别和认证手段相结合，比如说用户账户和密码，提供了建立个人问责制和访问控制系统的基础。相应地，可以通过：

(1) 建立密码参数，如一些加密的位数，类型，和频率，用户根据这些参数来改变他们的密码，从而增强用来识别用户身份的密码强度：

(2) 利用密码进行加密来防止他们未经授权的个人信息的泄露；

(3) 应用程序来控制用户账户的使用。

来充分控制用户账户和密码，确保只有经过授权的用户才能访问系统。

1.4 用户权限和文件权限

“最小特权”是一个确保计算机系统和数据安全的基本原则。这意味着只有那些履行自己职责的用户才能被授予访问权限和权利。每个用户只能拥有刚够完成工作的最小权限。“用户权利”是能分配给用户或用户组的权利。文件和目录权限是与特定的文件或者目录绑定在一起的规则以及用户能够访问他们和访问程度的规范。为了避免用户无意中不必要的访问敏感文件和目录，任何组织都必须认真考虑其权利的转让和许可。一个安全的信息化网络应该考虑只授予用户能够执行工作职责所需的最低水平的特权。

2 构造安全的信息化网络

2.1 充分利用网络设备提高信息化网络的安全性

就信息化网络而言，因为现代企业大部分选择从物理上对生产网和互联网进行了分离，因此很大程度上阻止了外界对内部网络的非法访问。但是依然存在内部网络与外部网络的接入点。如果不能安全地配置这些接入点，将增大敏感信息的泄露和系统被非法修改的风险，甚至引起服务的中断。

在某种程度上，通过安装和配置这些接入点的网络设备，允许授权的网络服务请求，拒绝未经授权的请求，和限制某些不必要的服务和端口，是可以达到提高整个网络安全性能的目的。用来确保网络安全的设备包括：

(1) 防火墙，强化安全策略，有效地记录Internet上的活动，防止影响一个网段的问题通过整个网络传播，使可疑的访问被拒绝于门外；

(2) 路由器，访问控制列表，控制和过滤通过路由器的不同接口去往不同方向的信息点；

(3) 交换机，基于交换机端口划分VLAN，可以有效限制不同工作组间的用户二层互访。

2.2 建立完善的补丁管理流程

在建立补丁管理流程之前，首先需要针对网络环境现状进行分析，也就是分析系统环境，网络环境，信息系统重要等级等，以便下一步有针对性地跟踪系统所需要的补丁和要采取的措施。企业内部同时拥有多个系统，每个系统的重要性等级不同，操作系统及版本号也不同，我们需要在前期对这些系统数据进行收集，然后根据收集的数据制定相应的补丁安装计划。

表1 系统信息收集表

2.3 利用分层的密码管理实现用户区分

分层密码管理是指自上而下，系统的重要性越高，用户的权限越大，密码就越少人知道。信息化网络的其中一个特点就是，这个网络在同时为许多企业用户服务，同时也有许多技术人员在对这个网络进行维护。这种情形就需要利用不用的账户和密码来区分不同的用户。不同的用户使用不同的账户和密码来登录同一个系统，用户能够使用的功能由用户的角色来决定。这样就将维护人员和使用人员区分开来，大大降低了维护难度，从安全性上来讲，只有专业的技术人员才能对系统进行增加或限制服务，删除或安装程序，极大地保证了系统的可靠性和安全性。

2.4 对用户权限和文件权限实行“最小特权原则”

最小特权原则要求每个用户和程序在操作时应当使用尽可能少的特权，而角色允许主体以参与某特定工作所需要的最小特权去签入(Sign)系统。被授权拥有强力角色(Powerful Roles)的主体，不需要动辄运用到其所有的特权，只有在那些特权有实际需求时，主体才去运用它们。如此一来，将可减少由于不注意的错误或是侵入者假装合法主体所造成的损坏发生，限制了事故、错误或攻击带来的危害。它还减少了特权程序之间潜在的相互作用，从而使对特权无意的、没必要的或不适当的使用不太可能发生。这种想法还可以引伸到程序内部：只有程序中需要那些特权的最小部分才拥有特权。

在现代信息化网络中贯彻“最小特权原则”有利于防止，当入侵者取得系统管理员权限后欲访问一个高安全级别的文件，则很有可能被拒绝。因为用户(包括系统管理员)在登录后默认的安全级别是最低的，他无法访问高级别的文件，而安全级别的调整只有通过安全管理员才能完成。因此，安全管理员只要对敏感文件配置了合理的安全标记，系统管理员就无法访问这些文件。由此可知，安全管理员对系统管理员的权限进行了有力的限制。

3 结束语

本文从应用的角度出发，从网络设备，补丁管理，密码管理，用户权限和文件权限管理四个方面阐述了如何增强信息化网络的安全性。构建安全的信息化网络是一个长期并艰巨的过程，只要我们根据网络环境具体分析，制定了相应的安全方案，就一定能够逐步实现。

[1] INFORMATION SECURITY Progress Made, but Federal Aviation Administration Needs to Improve Controls over Air Traffic Control Systems.

[2] 张琳,黄仙姣.浅谈网络安全技术[J].电脑知识与技术.2010.

[3] 卢云燕.网络安全及其防范措施[J].科技情报开发与经济.2011.