网络信息安全及其防护措施二.docx

1、网络信息安全及其防护措施二网络信息安全及其防护措施(二)网络信息安全及其防护措施(二)在上一篇中，我们已经初步了解了网络信息安全，由于网络及信息安全问题的涉及的领域具有相当的广泛性，其安全问题的来源和因由也是相当复杂的，小草上网行为管理软路由在网络信息安全，也被是企业网络信息安全保障上有深入的研究，下面仅列出部分主要的安全问题成因，给大家对此有一个初步的了解：网络及信息安全问题的技术成因主要包括以下几个方面：1)电磁信号的辐射：由于网络设备以及计算机信息系统的特殊构造与工作方式，它不可避免地会向邻近空间辐射电磁波。这些泄露出来的电磁辐射信号频谱成分丰富，携带大量信息，从而对某些信息处理的信息安

2、全性造成威胁。目前网络通信中涉及到的传输电缆、计算机设备、网络系统设备均会不同程度的产生电磁场辐射向外泄露，对此只需要简单的仪器设备就可以在通信双方毫不知情的情况下对通信内容实施监听。2)网络协议的安全性：网络协议是计算机之间为了互联彼此共同遵守的通信规则。目前的互联网络所采用的主流协议TCP/IP协议构架主要是面向信息资源的共享的。由于在其设计之初人们过分强调其开发性和便利性，而对其安全性的设计上没有深思熟虑，因此相当部分的网络协议都存在严重的安全漏洞，给互联网留下了许多安全隐患。事实上，这已经成为当前网络及信息安全问题最主要根源之一。另外，某些网络协议缺陷造成的安全漏洞往往被黑客直接利用发

3、起安全攻击。比较典型的如FTP、SMTP、Telnet等应用协议，用户的口令等信息是以明文形式在网络中传输的，同时这些协议底层所依赖的TCP协议自身也并不能确保信号传输过程的安全。3)工作环境的安全漏洞：现有的操作系统和数据库系统等典型的企业用户工作环境，由于本身就是软件产品，软件产品的特殊性造成了其必然存在一定的已知及未知安全漏洞，包括自身的体系结构问题、对特定网络协议实现的错误以及系统开发过程中遗留的后门和陷门。这些来自系统底层的安全漏洞带来的安全隐患，有可能会使用户精心构建部署的应用系统毁于一旦。4)安全产品自身的问题：对于用户网络内部已经采用的网络及信息安全产品，其自身实现过程中的安全

4、漏洞或错误都有可能引发用户内部部门、企事业单位的大量业务依赖于信息系统安全运行，信息安全重要性日益凸显。大多数单位已经意识到了网络及信息安全问题的重要性，但往往由于部门负责人的信息化水平本身不高导致其对信息安全管理认知水平仍停留在较粗浅的低层次上。这主要表现在，没有配备专职的网络安全管理员或其业务素质不高，没有建立和落实完整的网络系统安全防范制度，没有对网络系统和安全产品的配置进行有效的管理等方面。网络及信息安全的规划从网络信息系统的稳定与安全、社会经济的有序发展和保护企业利益的角度来看，一定要高屋建瓴地进行网络信息安全保障体系建设规划工作，做好基础性工作和基础设施建设，建立信息安全保障。下面

5、主要介绍如何进行有效的网络及信息安全规划工作。风险分析和评估安全规划的第一步是对用户内部网络所面临的安全风险进行分析和评估。根据现代的经济运作理论，对于网络及信息安全方面的投资将被视为一种投资方式，这种投资将带来企业在运行管理成本、安全事故损失以及企业形象等方面的收益。在市场经济领域中任何一种投资都必须有相应的回报，因此投资前的一个重要措施就是风险分析和评估，用以确定所需的资金投入。安全风险分析和评估主要应从以下二个方面入手：1)安全威胁及其可见性分析：对用户企业所面临的各种潜在的安全威胁因素及其对外的可见性进行全面分析。安全威胁的存在不一定会造成事实的安全事故，安全威胁对外部是可见的，才有可

6、能引发安全事故。可能的安全威胁应包括软、硬件以及用户自身。2)组织对潜在安全风险的敏感性分析：这里的敏感性包括对安全事故造成的直接经济损失以及政治上和商业形象上的损失的敏感程度。敏感性分析的结果将直接关系到安全规划过程中对各类安全措施的投入比重和优先级问题。安全策略制定在安全风险分析和评估的基础上，应进一步制定网络系统的安全策略。在制定安全策略过程中应充分权衡安全性和方便性，并应注意使安全策略切实可行，与企业的技术和资金能力现状相适应。安全策略应包括一下两个层次的内容：1)整体安全策略制定：主要用于确立企业级的网络安全防范管理体制，并落实与之相配套的具体事实规划和所需人力、物力的落实计划，并应

7、明确违反安全策略行为的处理措施。整体的安全策略主要用于领导高层决策和管理使用。2)系统级的安全策略：在整体安全策略所确定的框架之上进一步从技术角度针对特定的系统专门制定详细的安全策略，主要用于具体的技术实施使用。在安全策略的制定和实施并不只是单纯的管理层的任务，而是应充分发挥技术人员的作用。系统的管理与维护在系统的运行过程中应进行一下几方面的管理与维护工作：1)数据备份：对系统中关键性的信息根据应用的特点确定备份的方式和备份策略。2)安全审计：对系统中的资源访问和各种异常情况进行安全审计，及时地发现系统配置中的安全漏洞并加以补救，并对已发生的安全事故进行责任追查。技术不是一切对于网络及信息安全

8、问题，需要着重指出的一个问题是：“技术不是一切”。某种程度上说，网络技术及信息技术本身就是技术含量很高的高科技，因此在网络及信息领域的整体安全解决方案中，技术因素必然是起着决定性作用的，这一点是不可否认的。事实上任何一种技术都是在正、反两方面的应用和较量的过程中逐步完善和发展起来的，对于网络及信息安全问题则更将是一场智慧与技术的反复较量。但同时也应该看到，网络及信息安全问题涉及到了人的因素。与任何其它涉及到人的问题一样，网络及信息安全领域中并不是只依靠单纯的技术力量就能有效解决一切问题的。1) 功能再强大的网络及信息安全产品，若使用者没有进行合理地配置或者正确地操作，其安全性能不但无法得到有效利用，还有可能形成许多新的安全漏洞。2)再完善的安全管理制度，只为了贪图一时方便而不去执行它，那么所有的安全措施都有可能形同虚设。最简单的例子是用户违反口令管理的规定选取过于简单的口令或干脆直接采用系统缺省口令就足以给网络黑客敞开大门。3)只要用户个人出于对工作条件的不满或其它情感因素，完全有可能利用其合法的用户身份从系统内部发起攻击或将系统内部信息透露给其它恶意用户。而根据美国FBI的统计，80%以上(奏效)的网络攻击都属于这种“后院起火”的类型。因此，在从技术角度加强网络及信息安全防范的同时，还必须加强对企业内部网络系统的安全管理，才能使公司在安全产品和技术方面的投资发挥其应有的作用。