安全資訊

互聯(lián)網(wǎng)已經(jīng)成為世界各國人民溝通的重要工具。進(jìn)入21世紀，以互聯(lián)網(wǎng)為代表的信息化浪潮席卷世界每個(gè)角落，滲透到經(jīng)濟、政治、文化和國防等各個(gè)領(lǐng)域，對人們的生產(chǎn)、工作、學(xué)習、生活等產(chǎn)生了全面而深刻的影響，也使世界經(jīng)濟和人類(lèi)文明跨入了新的歷史階段。然而，伴隨著(zhù)互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò )信息安全問(wèn)題日益突出，越來(lái)越受到社會(huì )各界的高度關(guān)注。如何在推動(dòng)社會(huì )信息化進(jìn)程中加強網(wǎng)絡(luò )與信息安全管理，維護互聯(lián)網(wǎng)各方的根本利益和社會(huì )和諧穩定，促進(jìn)經(jīng)濟社會(huì )的持續健康發(fā)展，成為我們在信息化時(shí)代必須認真解決的一個(gè)重大問(wèn)題。下面介紹下關(guān)于網(wǎng)絡(luò )安全防護的幾項措施。

網(wǎng)絡(luò )安全防護措施一、網(wǎng)絡(luò )系統結構設計合理與否是網(wǎng)絡(luò )安全運行的關(guān)鍵

全面分析網(wǎng)絡(luò )系統設計的每個(gè)環(huán)節是建立安全可靠的計算機網(wǎng)絡(luò )工程的首要任務(wù)。應在認真研究的基礎上下大氣力抓好網(wǎng)絡(luò )運行質(zhì)量的設計方案。為解除這個(gè)網(wǎng)絡(luò )系統固有的安全隱患，可采取以下措施。

  1、網(wǎng)絡(luò )分段技術(shù)的應用將從源頭上杜絕網(wǎng)絡(luò )的安全隱患問(wèn)題。因為局域網(wǎng)采用以交換機為中心、以路由器為邊界的網(wǎng)絡(luò )傳輸格局，再加上基于中心交換機的訪(fǎng)問(wèn)控制功能和三層交換功能，所以采取物理分段與邏輯分段兩種方法來(lái)實(shí)現對局域網(wǎng)的安全控制，其目的就是將非法用戶(hù)與敏感的網(wǎng)絡(luò )資源相互隔離，從而防止非法偵聽(tīng)，保證信息的安全暢通。

  2、以交換式集線(xiàn)器代替共享式集線(xiàn)器的方式將不失為解除隱患的又一方法。

網(wǎng)絡(luò )安全防護措施二、強化計算機管理是網(wǎng)絡(luò )系統安全的保證

1、加強設施管理，建立健全安全管理制度，防止非法用戶(hù)進(jìn)入計算機控制室和各種非法行為的發(fā)生;注重在保護計算機系統、網(wǎng)絡(luò )服務(wù)器、打印機等硬件實(shí)體和通信線(xiàn)路免受自然災害、人為破壞和搭線(xiàn)攻擊;驗證用戶(hù)的身份和使用權限，防止用戶(hù)越權操作，確保計算機網(wǎng)絡(luò )系統實(shí)體安全。

2、強化訪(fǎng)問(wèn)控制策略。訪(fǎng)問(wèn)控制是網(wǎng)絡(luò )安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò )資源不被非法使用和非法訪(fǎng)問(wèn)。各種安全策略必須相互配合才能真正起到保護作用，但訪(fǎng)問(wèn)控制是保證網(wǎng)絡(luò )安全最重要的核心策略之一。

(1)訪(fǎng)問(wèn)控制策略。它提供了第一層訪(fǎng)問(wèn)控制。在這一層允許哪些用戶(hù)可以登錄到網(wǎng)絡(luò )服務(wù)器并獲取網(wǎng)絡(luò )資源，控制準許用戶(hù)入網(wǎng)的時(shí)間和準許他們在哪臺工作站入網(wǎng)。入網(wǎng)訪(fǎng)問(wèn)控制可分三步實(shí)現：用戶(hù)名的識別與驗證;用戶(hù)口令的識別驗證;用戶(hù)帳號的檢查。三步操作中只要有任何一步未過(guò)，用戶(hù)將被拒之門(mén)外。網(wǎng)絡(luò )管理員將對普通用戶(hù)的帳號使用、訪(fǎng)問(wèn)網(wǎng)絡(luò )時(shí)間、方式進(jìn)行管理，還能控制用戶(hù)登錄入網(wǎng)的站點(diǎn)以及限制用戶(hù)入網(wǎng)的工作站數量。

(2)網(wǎng)絡(luò )權限控制策略。它是針對網(wǎng)絡(luò )非法操作所提出的一種安全保護措施。用戶(hù)和用戶(hù)組被賦予一定的權限。

共分三種類(lèi)型：特殊用戶(hù)(如系統管理員);一般用戶(hù)，系統管理員根據他們的實(shí)際需要為他們分配操作權限;審計用戶(hù)，負責網(wǎng)絡(luò )的安全控制與資源使用情況的審計。

(3)建立網(wǎng)絡(luò )服務(wù)器安全設置。網(wǎng)絡(luò )服務(wù)器的安全控制包括設置口令鎖定服務(wù)器控制臺;設置服務(wù)器登錄時(shí)間限制、非法訪(fǎng)問(wèn)者檢測和關(guān)閉的時(shí)間間隔;安裝非法訪(fǎng)問(wèn)設備等。防火墻技術(shù)是建立在現代通信網(wǎng)絡(luò )技術(shù)和信息安全技術(shù)基礎上的應用性安全技術(shù)，越來(lái)越多地應用于專(zhuān)用網(wǎng)絡(luò )與公用網(wǎng)絡(luò )的互聯(lián)環(huán)境之中，尤其以接入INTERNET網(wǎng)絡(luò )為甚。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監控了內部網(wǎng)和INTERNET之間的任何活動(dòng)，保證了內部網(wǎng)絡(luò )的安全。

(4)信息加密策略。信息加密的目的是保護網(wǎng)內的數據、文件、口令和控制信息，保護網(wǎng)上傳輸的數據。網(wǎng)絡(luò )加密常用的方法有線(xiàn)路加密、端點(diǎn)加密和節點(diǎn)加密三種。線(xiàn)路加密的目的是保護網(wǎng)絡(luò )節點(diǎn)之間的線(xiàn)路信息安全;端點(diǎn)加密的目的是對源端用戶(hù)到目的端用戶(hù)的數據提供保護;節點(diǎn)加密的目的是對源節點(diǎn)到目的節點(diǎn)之間的傳輸線(xiàn)路提供保護。用戶(hù)可根據網(wǎng)絡(luò )情況酌情選擇上述加密方式。

(5)屬性安全控制策略。當用文件、目錄和網(wǎng)絡(luò )設備時(shí)，網(wǎng)絡(luò )系統管理員應給文件、目錄等指定訪(fǎng)問(wèn)屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡(luò )服務(wù)器的文件、目錄和網(wǎng)絡(luò )設備聯(lián)系起來(lái)。屬性安全在權限安全的基礎上提供更進(jìn)一步的安全性。網(wǎng)絡(luò )上的資源都應預先標出一組安全屬性。用戶(hù)對網(wǎng)絡(luò )資源的訪(fǎng)問(wèn)權限對應一張訪(fǎng)問(wèn)控制表，用以表明用戶(hù)對網(wǎng)絡(luò )資源的訪(fǎng)問(wèn)能力。屬性設置可以覆蓋已經(jīng)指定的任何受托者指派和有效權限。網(wǎng)絡(luò )的屬性可以保護重要的目錄和文件，防止用戶(hù)對目錄和文件的誤刪、執行修改、顯示等。

(6)建立網(wǎng)絡(luò )智能型日志系統。日志系統具有綜合性數據記錄功能和自動(dòng)分類(lèi)檢索能力。在該系統中，日志將記錄自某用戶(hù)登錄時(shí)起，到其退出系統時(shí)止，所執行的所有操作，包括登錄失敗操作，對數據庫的操作及系統功能的使用。日志所記錄的內容有執行某操作的用戶(hù)所執行操作的機器IP地址、操作類(lèi)型、操作對象及操作執行時(shí)間等，以備日后審計核查之用。

網(wǎng)絡(luò )安全防護措施三、建立完善的備份及恢復機制

為了防止存儲設備的異常損壞，可采用由熱插拔SCSI硬盤(pán)所組成的磁盤(pán)容錯陣列，以RAID5的方式進(jìn)行系統的實(shí)時(shí)熱備份。同時(shí)，建立強大的數據庫觸發(fā)器和恢復重要數據的操作以及更新任務(wù)，確保在任何情況下使重要數據均能最大限度地得到恢復。

網(wǎng)絡(luò )安全防護措施四、建立安全管理機構

安全管理機構的健全與否，直接關(guān)系到一個(gè)計算機系統的安全。其管理機構由安全、審計、系統分析、軟硬件、通信、保安等有關(guān)人員組成。