計算機信息安全技術(shù)網(wǎng)絡(luò)安全建設(shè)

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了計算機信息安全技術(shù)網(wǎng)絡(luò)安全建設(shè)范文，希望能給你帶來靈感和參考，敬請閱讀。

【摘要】互聯(lián)網(wǎng)的普及給人們生產(chǎn)生活帶來了巨大的變化，同時也帶來了新的規(guī)則和潛在的風險，因此我們需要通過技術(shù)水平的提升和安全意識的提高來控制這些風險。計算機信息通過網(wǎng)絡(luò)的傳輸可以完成眾多工作，已經(jīng)滲透到了金融、軍事、公共管理、教育等各個領(lǐng)域，其中不乏一些重要的涉及國家利益和財產(chǎn)安全的信息，如果遭受病毒侵害、數(shù)據(jù)竊取、個人信息泄露等問題，勢必會對社會的公共安全造成直接影響。本文將通過當前威脅到網(wǎng)絡(luò)信息安全的各類影響因素以及行為進行分析，并以GT公司的網(wǎng)絡(luò)信息安全方案設(shè)計作為案例來論述網(wǎng)絡(luò)信息安全的措施的有效性，希望可以通過技術(shù)手段來控制計算機信息風險。

【關(guān)鍵詞】計算機技術(shù)；信息安全；網(wǎng)絡(luò)；設(shè)計 

前言

經(jīng)濟全球化和信息全球化是必然趨勢，因此加快信息化建設(shè)是各國家以及企業(yè)的重要工作。每天都有大量的信息通過網(wǎng)絡(luò)進行傳輸，就以全球肺炎造成的全球經(jīng)濟生活停滯為例，雖然這次災(zāi)難造成了前所未有的經(jīng)濟損失，但是也同樣給互聯(lián)網(wǎng)經(jīng)濟帶來了空前的發(fā)展機遇。從個人信息數(shù)據(jù)的采集與分析，以及各地區(qū)生產(chǎn)和生活中進行的信息交互，使網(wǎng)絡(luò)信息產(chǎn)生了爆發(fā)性的增長。但是巨量的信息沖次在網(wǎng)絡(luò)上，也給這些信息帶來了風險，比如非法者會通過病毒、入侵以及人為破壞的方式來獲得大量有用信息，從而進行詐騙、竅取、非法謀利等行為，給社會造成了不良的影響和直接損失。GT公司是一家大型集團公司，其對于信息安全較為重視，但是由于企業(yè)發(fā)展以及信息化的推廣，使得企業(yè)的網(wǎng)絡(luò)信息安全受到了考驗，因此需要對公司網(wǎng)絡(luò)信息系統(tǒng)進行安全性進行重新設(shè)計，從而提升網(wǎng)絡(luò)安全。

一、常見的威脅網(wǎng)絡(luò)信息安全表現(xiàn)形式

1.1網(wǎng)絡(luò)軟件的漏洞和“后門”

軟件的特性決定了其無法徹底解決的缺陷或者漏洞，所以眾多黑客會通過尋找軟件中的漏洞來進行非法活動，從而獲得其目的，這類事件在生活中較為常見。此外對于網(wǎng)絡(luò)軟件影響較大的或者是危害較大的是“后門”，該手段是軟件設(shè)計者通過給自我設(shè)計一個漏洞的方式，進行有目的性的操作，以獲得某種利益。不論是無意間設(shè)計的漏洞還是故意設(shè)計的漏洞都會對網(wǎng)絡(luò)安全造成直接影響。

1.2黑客的威脅和攻擊

黑客是神秘的職業(yè)，同時也是當前計算機信息安全面臨的較大的問題，相對于利用漏洞的方式進行的破壞行為與主動采取攻擊行動的黑客來說，黑客的危險性要更加突然且目的性更加明確。黑客通常是采取非破壞性和破壞性兩種手段來對計算機信息安全產(chǎn)生直接危害，其主要的目的是通過專門設(shè)計的程序或者技術(shù)來入侵目的地，為了獲得其期望的作息。一般是采取特洛伊木馬、郵件攻擊等手段來達到目的。

1.3垃圾郵件和間諜軟件

垃圾郵件是商務(wù)活動中會經(jīng)常遇到的一種危害，非法者會通過在正常郵件中插入垃圾郵件的方式來使郵箱用戶強行接收垃圾郵件，從而獲得其商業(yè)目的。此外還有利用捆綁安裝的方式，將間諜軟件與正常商業(yè)軟件綁在一起，當用戶下載需要的商業(yè)軟件時，會將間諜軟件一并下載和安裝，從而成為黑客或者非法者的“肉雞”用來作為網(wǎng)絡(luò)攻擊的資源或者直接竊取個人信息。

1.4計算機病毒

計算機病毒是大家談之色變的東西，破壞性的病毒可以使我們的計算機失去運算能力，甚至直接產(chǎn)生破壞硬件的損害。而計算機病毒的傳播速度是非常驚人的，通常都是在人們不知不覺便完成了傳播動作，從而造成數(shù)據(jù)被竊取或者被破壞的結(jié)果。

二、GT公司網(wǎng)絡(luò)信息安全方案設(shè)計

通過結(jié)合相關(guān)信息安全技術(shù)對體系結(jié)構(gòu)進行深入研究，從而提出本次關(guān)于網(wǎng)絡(luò)信息安全的方案。本次方案依據(jù)GT公司的業(yè)務(wù)結(jié)構(gòu)以及組織架構(gòu)，分別從廣域網(wǎng)傳輸、網(wǎng)絡(luò)邊界、信息安全管理以及內(nèi)部環(huán)境安全防護四個方面提出改進。

2.1廣域網(wǎng)傳輸安全防護

GT公司業(yè)務(wù)涉及大量的與客戶以及供應(yīng)商的商業(yè)數(shù)據(jù)，因此設(shè)計了基于各子公司局域網(wǎng)和廣域網(wǎng)之間的IP保密機，從而保障公司的信息不直接暴露在外網(wǎng)，并且防止惡意截取等行為，同時又可以保障集團總部與各子公司的信息互愛。

2.2網(wǎng)絡(luò)邊界安全防護

為了進一步加強網(wǎng)絡(luò)信息安全的主動性，GT公司增加了網(wǎng)絡(luò)邊界安全防護子系統(tǒng)，該系統(tǒng)包含了防火墻設(shè)備以及入侵檢測機制，通過防火墻來控制外部非法訪問等行為，通過入侵檢測則是通過安全機制檢索的方式來識別非法訪問等行為，采取積極的措施。

2.3信息安全管理節(jié)點

受GT公司在集團的組織結(jié)構(gòu)影響，其是隸屬于集團下的子公司，由于網(wǎng)絡(luò)安全授權(quán)服務(wù)器位于集團總部，因此GT公司只能歸類為二級信息安全管理節(jié)點。二級信息安全管理節(jié)點的特征是，需要建立與集團總部的聯(lián)系并獲得相關(guān)授權(quán)，在對內(nèi)的網(wǎng)絡(luò)信息安全管理方面則是為對部客戶提供安全管理服務(wù)，包括安全管理平臺建立、身份認證、病毒預警以及防病毒、安全審計、主機管控等主動信息安全管理機制。

2.4內(nèi)部計算環(huán)境安全防護

建立在GT公司內(nèi)部的計算環(huán)境安全防護是由核心交換機在完成的，包括了病毒預警以及安全審計兩類探針，由于部署在公司機房因此可以快速的對廣域網(wǎng)的數(shù)據(jù)進行全面的鏡像審查，從而主動發(fā)現(xiàn)潛在的非法入侵和探測，從而提升廣域網(wǎng)的信息安全性。在該系統(tǒng)中，包含了身份認證USBKey，用于病毒防控的軟件以及主動審計的管控主機。通過網(wǎng)絡(luò)安全記錄的分析與審計來實現(xiàn)主動風險識別，其主要目的是為了實現(xiàn)對非法外聯(lián)、訪問、拷貝、病毒傳播等的有效控制。

三、設(shè)備選型和技術(shù)分析

3.1防病毒和病毒預警系統(tǒng)

隨著GT公司網(wǎng)絡(luò)信息系統(tǒng)計算機終端數(shù)量的增加，病毒感染事件層出不窮，防病毒形勢非常嚴峻，傳統(tǒng)防病毒軟件已經(jīng)無法滿足要求，所以需要一套基于先進模型的病毒防護產(chǎn)品。本次選用安天公司的私有云安全系統(tǒng)和病毒預警系統(tǒng)。該系統(tǒng)可以通過對終端的檢測和監(jiān)控，并結(jié)合針對網(wǎng)絡(luò)中病毒傳輸行為的預警系統(tǒng)，將這些數(shù)據(jù)在內(nèi)部云服務(wù)器進行整體匯總，并自動分析和識別威脅，再把相應(yīng)的處置方案分發(fā)到每一個終端節(jié)點。從而及時的在入侵、傳播擴散、破壞等多個環(huán)節(jié)對抗威脅，提供全面的阻止、監(jiān)測、追溯能力，有效的提升了企業(yè)整體的威脅防御效果和安全管控能力。

3.2身份認證系統(tǒng)

本方案的身份認證系統(tǒng)采用中國電科30所的產(chǎn)品，并依據(jù)GT公司網(wǎng)絡(luò)信息安全的要求進行了部署。主要解決GT公司對于多層次身份要求的需求，實現(xiàn)身份證認證和數(shù)字簽名兩種形式，從而提升了更廣闊的用戶選擇機會。具體體系結(jié)構(gòu)組成如下。（1）CA證書管理系統(tǒng)。這個系統(tǒng)采用分層管理的體制結(jié)構(gòu),結(jié)構(gòu)呈樹狀分層。簽發(fā)中心（CA）是該體系的基礎(chǔ)，負責審核并受理下級注冊中心的建立申請，為下級注冊中心簽發(fā)數(shù)字證書。（2）身份認證卡。身份認證卡（USBKey）用于存儲使用者的數(shù)字證書信息，從而可以通過基于數(shù)字證書技術(shù)的USBKey標識用戶身份，代替?zhèn)鹘y(tǒng)的用戶名/口令的用戶身份鑒別方式。（3）準入控制系統(tǒng)。準入控制系統(tǒng)為主機/設(shè)備/用戶提供了基于802.1x方式的網(wǎng)絡(luò)接入強制認證機制，并利用PKI機制（證書）來完成認證過程。

3.3防火墻設(shè)備

作為一般企業(yè)常用的防護設(shè)備，防火墻仍然是當前性價比較高的網(wǎng)絡(luò)信息安全防護方式。本次方案選擇了天融信公司的產(chǎn)品，其原因是穩(wěn)定、高效且經(jīng)過市場的充分檢驗，可以滿足GT公司的需求。本次方案在防火墻上應(yīng)用了透明模式、路由模式、混合模式三種，從而解決GT公司在不同網(wǎng)絡(luò)應(yīng)用下的網(wǎng)絡(luò)信息安全防護。防火墻透明模式是應(yīng)用在局域網(wǎng)內(nèi)部，防火墻主要是起到交換接口的作用，并不對WLAN的數(shù)據(jù)包進行處理。路由模式則是應(yīng)用在需要進行授權(quán)管理的網(wǎng)絡(luò)環(huán)境中，起到了IP管理的功能?；旌夏Ｊ絼t是應(yīng)用在需要進行交換接口的網(wǎng)絡(luò)環(huán)境中。防火墻設(shè)備主要功能如下：（1）網(wǎng)絡(luò)安全保障是防火墻的基礎(chǔ)功能之一。其起到的是過濾來自外部的惡意攻擊，從而減少對內(nèi)部網(wǎng)絡(luò)的侵害。防火墻是通過建立在信息過濾規(guī)則的基礎(chǔ)上來對可能對內(nèi)部網(wǎng)絡(luò)造成影響和損害的訪問進行拒絕，從而保障內(nèi)部網(wǎng)絡(luò)的信息安全性。（2）通過防火墻可以起到對網(wǎng)絡(luò)訪問和存取行為進行審計的作用。網(wǎng)絡(luò)日志審計是當前較為常用的主動防控手段，通過對網(wǎng)絡(luò)安全設(shè)備的訪問日志來進行分析和識別，從而找到隱藏在日常訪問記錄中的風險記錄，從而建立新的審計規(guī)劃，從而拒絕這些存在風險性的訪問行為，提升網(wǎng)絡(luò)信息安全性。（3）通過對內(nèi)部信息的控制來起到信息泄漏的效果。防火墻不僅可以防御外部的入侵訪問，還可以通過內(nèi)部發(fā)送規(guī)則的建立來防止內(nèi)部網(wǎng)絡(luò)的信息發(fā)出，當防火墻識別到符合規(guī)則的信息時即采取拒絕動作，從而減少內(nèi)部信息泄漏。

3.4入侵檢測系統(tǒng)

入侵檢測系統(tǒng)是當前網(wǎng)絡(luò)信息安全管理方面主動防御效果較好的設(shè)備，本方案選擇了啟明星品牌的TGA004-1型千兆網(wǎng)絡(luò)檢測預警系統(tǒng)。該系統(tǒng)的部署與集團總部的部署保持一致，從而可以借助多級安全節(jié)點的系統(tǒng)智能更新，來提升主動防御的水平，此外該設(shè)備性能也較為穩(wěn)定可靠，適合在集團架構(gòu)的企業(yè)進行應(yīng)用。系統(tǒng)的部署包含了在PC服務(wù)器上的管理軟件和數(shù)據(jù)庫以及安裝在核心交換機處的檢測傳感器硬件設(shè)備，通過軟硬結(jié)合的方式來完成龐大的外部數(shù)據(jù)的檢測和分析以及風險的處理，是通過與服務(wù)直連的方式來實現(xiàn)高效性。

四、結(jié)語

本文從常見的威脅網(wǎng)絡(luò)信息安全的形式出發(fā)，通過對安全機制及相關(guān)技術(shù)分析，確定了該方案擬采用的相關(guān)安全技術(shù)，包括：防病毒、主機管控、身份認證、防火墻、入侵檢測等的防護方案設(shè)計，并對實現(xiàn)這些功能的設(shè)備的選型進行介紹，從而保障防護機制可以獲得有效的實現(xiàn)。通過本方案的實施，可以增強GT公司網(wǎng)絡(luò)信息安全的防護能力，提升企業(yè)計算機信息安全的管理能力，減少企業(yè)的損失同時，提升信息化水平。

參考文獻

[1]杭州華三通信技術(shù)有限公司.新一代網(wǎng)絡(luò)建設(shè)理論與實踐[M].北京:電子工業(yè)出版社，2013,269-305.

[2]石志國.計算機網(wǎng)絡(luò)安全教程[M].北京:清華大學出版社,2014,23-36.

[3]高永強.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用[M].北京:人民郵電出版社,2013,69-75.

[4]馮元.計算機網(wǎng)絡(luò)安全基礎(chǔ)[M].北京:科學出版社,2013,13-32.

作者：郭子煒 單位：濟南市疾病預防控制中心