网络信息安全的保护技术和策略方案

网络信息安全的保护技术和策略方案

一、引言

Internet是世界上最大的互联网，它是全球最大的信息超级市场，目前Internet正成为人们不可缺少的工具。然而，Internet 是一个全开放的信息系统，已经成为各国信息战的战略目标，窃密和反窃密、破坏与反破坏的斗争是全方位的，不只是个人、集团级的行为，而且是国家级的行为。自Internet问世以来，资源共享和信息安全一直作为一对矛盾体而存在着，计算机网络资源共享的进一步加强随之而来的信息安全问题也日益突出，各种计算机病毒和网上黑客（Hackers）对Internet的攻击越来越激烈，许多网站遭受破坏的事例不胜枚举。

那么，黑客的攻击为什么屡屡得手呢？其主要有以下几个原因：

* 现有网络系统具有内在安全的脆弱性。

* 对网络的管理思想麻痹，没有重视黑客攻击所造成的严重后果，舍不得投入必要的人力、财力、物力来加强网络安全性。

* 没有采取正确的安全策略和安全机制。

* 缺乏先进的网络安全技术、工具、手段和产品。

* 缺乏先进的系统恢复、备份技术和工具。鉴于上述原因，为了加强Internet信息安全保护，有必要针对目前黑客对Internet网站采取的攻击手段制定相应有效的防范措施。

二、Internet选择的几种安全模式

目前，在Internet应用中可采取各种的防卫安全模式，归纳起来不外乎以下几种方式：1. 无安全防卫：

这在Internet应用初期多数采取此方式，安全防卫上不采取任何措施，只使用从销售商那里提供的安全防卫措施。这种方法是不采取的，应当摒弃它。

2. 模糊安全防卫：

采用这种方式的网站总认为自己的站点规模小，对外无足轻重，没人知道，即使知道，黑客也不会对其实行攻击。这种想法是非常错误的，事实上，只要是一个网站，很快就会引起人们的关注。因为，许多入侵者并不是瞄准特定目标，只是想闯入尽可能多的机器，虽然它们不会永远驻留在你的站点上，但它们为了掩盖闯入你网站的罪证，势必将对你的网站的有关内容进行破坏，从而给你们的网站带来重大损失。为此要求每个站点要进行必要的登记注册。这样，一旦有人使用服务时，提供服务的人知道它从哪来，但是这种站点防卫信息很容易被发现，例如登记时会有站点的软、硬件以及所用操作系统的信息，黑客就能从这发现安全漏洞，同样在站点与其它站点连机或向别人发送信息时，也很容易被入侵者获得有关信息，因此这种模糊安全防卫方式也是不可取的。

3. 主机安全防卫：

主机安全防卫可能是最常用的一种防卫方式，即每个用户对自己的机器加强安全防卫，尽可能避免已知的可能影响特定主机安全的问题，这是主机安全防卫的本质。但是由于环境的复杂性和多样性，例如操作系统的版本不同、配置不同以及不同的服务和不同的子系统都会带来各种安全问题。即使这些安全问题都解决了，主机防卫还要受到销售商软件缺陷的影响，有时也缺少有合适功能和安全的软件。

可是主机安全防卫对一个小的网站或是有强烈安全要求的基地是很合适的，但随着机器数量的增加和有权使用机器的用户数的增加，这种安全防卫比一个计算机网络安全防卫工作还难搞。

4. 网络安全防卫：

这是目前Internet中各网站所采取的安全防卫方式，网络安全防卫方式也就是将注意力集中在控制不同主机的网络通道和所提供的服务上，要比上述几种防卫方式更有效，网络安全防卫包括建立防火墙来保护内部系统和网络、运用各种可靠的认证手段（如：一次性密码

等），对敏感数据在网络上传输时，采用密码保护的方式进行。

三、安全防卫的技术手段

在Internet中，对各网站中的信息安全，在技术上主要是计算机安全和信息传输安全这二个技术环节，主要是由这二方面来完成网络中各种信息的安全。

1. 计算机安全技术

* 健壮的操作系统：

操作系统是计算机和网络中的工作平台，在选用操作系统时，应选用软件工具齐全、丰富、缩放性强，如果有很多版本可供选择，应选用户群最少的那个版本，这样使入侵者用各种方法（如Unix中采用预编译的方法来攻击计算机）攻击计算机的可能性减少，另外还要有较高访问控制和系统设计等安全功能。

* 容错技术

计算机尽量使其具有较强的容错能力，例如，组件全冗余、没有单点硬件失效、动态系统域、动态重组、错误校正互连：通过错误校正码和奇偶校验的结合保护数据和地址总线；在线增减域或更换系统组件，创建或删除系统域，而不干扰系统应用的进行，也可以采取双机备份同步校验方式，保证网络系统在一个系统由于意外而崩溃时，计算机进行自动切换以确保正常运转，保证各项数据信息的完整性和一致性。

2. 网络信息安全技术有以下几种技术：

1) 网络访问控制技术

防火墙技术：

它是一种有效的网络安全机制，用于确定哪些内部服务允许外部访问，以及允许哪些外部服务访问内部服务，其准则就是：一切未被允许的就是禁止的；一切未被禁止的就是允许的，防火墙有下列几种类型：

a) 包过滤技术：

通常安装在路由器上（网络层），对数据进行选择，它以IP包信息为基础，对IP源地址，IP目标地址、封装协议（TCP/UDP/ICMP/IPtunnel）、端口号等进行筛选，在OSI协议的网络层进行。

b) 代理服务技术：

通常由二部分构成，服务端程序和客户端程序、客户端程序与中间节点（Proxy Server）连接，中间节点与要访问的外部服务器实际连接，与包过滤防火墙不同之处在于内部网和外部网之间不存在直接连接，同时提供审计和日志服务。

c) 复合型技术：

把包过滤和代理服务两种方法结合起来，可形成新的防火墙，所用主机称为保垒主机，负责提供代理服务。

d) 审计技术：

通过对网络上发生的各种访问过程进行记录和产生日志，并对日志进行统计分析，从而对资源使用情况进行分析，对异常现象进行追踪监视。

e) 路由器加密技术：

加密路由器对通过路由器的信息流进行加密和压缩，然后通过外部网络传达室输到目的端进行解压缩和解密。

2) 信息确认技术

安全系统的建立都依赖于系统用户之间存在的各种信任关系，目前在安全解决方案中，多采用二种确认方式。一种是第三方信任，另一种是直接信任，以防止信息被非法窃取或伪造，可靠的信息确认技术应具有：具有合法身份的用户可以校验所接收的信息是否真实可靠，并且十分清楚发送方是谁；发送信息者必须是合法身份用户，任何人不可能冒名顶替伪造信