计算机网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。它主要是指网络系统的硬件、软件及其系 统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。信息网络涉及诸多领域,包括存储、传输和处理的许多信息,这些网络信息系统都依靠计算机网络接收和处理信息,实现相互间的联系和对目标的管理、控制,以网络方式获得信息和交流信息已成为现代信息社会的一个重要特征。包括报社在内的很多单位都已经采取了全数字化内部网络办公、排版、打印、输出、印刷等一条龙的信息化渠道,但是在其中有很多是重要的信息,所以难免会吸引来各种攻击(例如信息泄漏、数据篡改、数据删添、计算机病毒等)。为了防止各种各样的网路攻击,提前做好报社内部网路的信息安全就显得尤为重要,下面从几个方面谈一谈如何保证报社内部计算机网络安全
报社互联网安全问题的产生和解决,综合技术和管理等多方面因素,我们可以从以下为四个方面着手解决:1、报社网络对外的开放性,2、内部网络自身的脆弱性,3、访问的即时性,4、管理的困难性。
报社网络对外的开放性
由于报社的工作性质决定了稿件要在不同部门间流通、审阅、定稿,所以文件服务器的绝大多数文件是共享性质的,也就是说,内部网络上的每一个节点都是有访问和修改权限,同时,报社的编辑需要使用同一台内网节点访问互联网,如果管理员或者用户的技术水平限制、维护 管理工作量大等因素,设计时没有充分考虑服务器所面对的外网安全威胁,工作阶段也就留下了大量的安全漏洞。比如,系统的缺省安装和弱口令,这样就很容易使服务器暴露在互联网的攻击下,现在互联网攻击的手段越来越简单、越来越普遍,攻击工具的功能却越来越强,因此攻击者也更为普遍。这时候需要管理员使用防火墙等工具来防范风险,“防火墙”是一种形象的说法,其实它是一种由计算机硬件和软件的组合,使互联网与内网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内网隔开的屏障。
防火墙的技术实现通常是基于所谓“包过滤”技术,而进行包过滤的标准通常就是根据安全策略制定的。在防火墙产品中,包过滤的标准一般是靠网络管理员在防火墙设备的访问控制清单中设定。访问控制一般基于的标准有:包的源地址、包的目的地址、连接请求的方向、数据包协议(如TCP/IP等)以 及服务请求的类型等。
防火墙可以利用代理服务器软件实现。早期的防火墙主要起屏蔽主机和加强访问控制的作用,现在的防火墙一般都具有加密、解密和压缩、解压等功能,这些技术增加了信息在互联网上的安全性。网络的安全性通常是以网络服务的开放性为代价的,对防火墙的设置也不例外。防火墙的隔断作用一方面加强了内部网络的安全,一方面却使内部网络与外部网络的信息系统交流受到阻碍,因此必须在防火墙上附加各种信息服务的代理软件来代理内部网络与外部的信息交流,另外,防火墙只能阻截来自外部网络的攻击,而对于内部网络的安全还需要通过对内部网络的有效控制和管理来实现。这就引发了下一个方面的问题。
内部网络自身的脆弱性
内网是使用者主要是报社内部编辑人员,本身内网是比较安全的,但由于编辑需要使用互联网找稿和图片还有新闻线索,还有每个人的对电脑使用的习惯不同,再加上各种附加电子设备的使用,使看似安全的内网暴露在各种危险之下,比如使用优盘,优盘实际上是能够从防火墙内部感染内部网路的常规途径。优盘价格便宜、体积小、存储数据多,并且能够在多种设备上使用。优盘的普遍应用促使网络黑客开发出一种有针对性的恶意软件,如臭名昭著的蠕虫病毒,这种蠕虫能够在连接到USB端口的时候自动执行,更严重的是,默认的操作系统设置一般都允许大多数程序(包括恶意程序)自动运行。对此,解决办法就是修改计算机默认的自动运行政策。优盘并不是需要担心的唯一的USB接口设备。许多设备都能够把数据存储到普通的文件系统中,并且通过一个USB接口或类似的连接进行读写。包括数码相机、打印机、扫描仪、传真机,同时,同上面提到的优盘一样,光盘也是网络感染的一个原因,表面上合法的可记录介质能够用来拷贝数据进出网络。另外,智能手机能够引起上面所说的优盘和笔记本电脑引起的同样的威胁。而且,智能手机有可能避开传统的数据泄漏保护解决方案。所以,需要在报社实施和执行一定的设备控制和政策,规定什么设备可以进入这个网路环境,以及什么时候可以进入这个网路环境。然后,定期检测这些政策的执行情况。
访问的即时性
报社内网经常设置2-3个共享文件夹,用于存放保存已经编写好的文稿和图片等,并且共享打印机等设备,在平时访问量不大情况下,网络比较流畅,当十几个编辑同时访问的时候,有时候就会产生拥堵的情况,甚至会产生网络瘫痪。这时候访问的即时性问题就显现出来,如何解决呢,需要采取身份验证,访问控制和权限设置等措施安排好对文件和设备的访问优先次序。
内网身份验证是一致性验证的一种,验证是建立一致性证明的一种手段。身份验证主要包括验证依据、验证系统和安全要求。身份验证技术是在计算机中最早应用的安全技术,现在也仍在广泛应用,目前最新的有两种,一是基于USB Key的Windows系统登录认证方案:通过定制登录GINA模块,配合安全登录策略,来提高Windows登录认证的安全性;二是基于802.1x协议的网络接入认证方案:通过定制认证客户端,配合交换机设备,有效阻止了未授权用户或设备非法接入网络。同时,这两个方案将对用户身份认证转变为对USB.Key设备的认证,省去了用户频繁输入身份验证账号和密码的繁琐性,体现了简洁高效。内网访问控制是存取控制规定何种主体对何种客体具有何种操作权力。存取控制是网络安全理论的重要方面,主要包括人员限制、数据标识、权限控制、类型控制和风险分析,它一般与身份验证技术一起使用,赋予不同身份的用户以不同的操作权限,以实现不同安全级别的信息分级管理。
4、管理的困难性
现在随着网络知识的普及,越来越多的人都喜欢在网上浏览和下载视频文件,其中可能对局域网造成严重影响的还是通过一些点对点传输软件,也就是平时说的P2P软件,如迅雷、电驴等等。这些P2P工具大多采用多线程、多节点、多服务器下载,可以占用大量的内部外部网络流量,耗尽网络带宽,从而使得堵塞网络,导致各种正常的网络办公软件使用受到限制,使得正常的网页浏览、收发电子邮件都极为困难。所以,对这些上网行为必须进行严格的管理。
传统的网络管理方法,一般是借助于防火墙禁止软件、或者通過路由器限制软件;并且通过防火墙限制下载软件、限制在线视频等等,或者通过路由器限制P2P软件,通过交换机限制P2P软件的使用等。但是,随着这些软件变得更为智能,这些软件的端口都是可以自动切换的,并且这些软件的传输协议也大量采用P2P协议、UDP协议等点对点协议,而不仅仅是传统的HTTP协议、TCP协议。总之,这些网络工具的传输特征变得更为复杂、更为智能,从而使得封堵这些网络工具变得更困难。对网络管理员的工作提出了更多的挑战。
总之,一个单位的计算机网络维护管理工作是一项非常有挑战性的工作,作为报社的一名计算机网络维护工作者,要不断的学习、思考,善于发现问题,解决问题,才能更好的保障报社工作的顺利进行和报纸的正常印刷制作。