電子通信論文刊發網絡信息安全中的作用

　　本篇文章是由《通信技術》發表的一篇電子通信論文，雜志1967年創刊，是國內創辦時間長、影響大的計算機專業媒體，2004版中文核心期刊。主要報道信源處理、傳輸、業務與系統、網絡、移動通信、信息安全等方面的先進技術、理論研究成果和最新動態。

　　摘要：網絡信息的安全與否直接影響到人們的工作和生活，還影響到社會的政治、經濟、文化和軍事等各個領域。網絡信息安全離不開安全三要素：人、技術和管理。本文著重對網絡信息安全存在的問題，安全三要素在安全保障中的作用及安全防范策略等進行了分析和探討。

　　關鍵詞：安全三要素 計算機網絡 信息安全 防范策略 保障作用

　　在信息技術飛速發展的今天，黑客技術和計算機病毒也在不斷隨之變化，其隱蔽性、跨域性、快速變化性和爆發性使網絡信息安全受到了全所未有的威脅。在這種攻與防的信息對抗中人、技術和管理都是不可或缺的重要環節。

　　一、網絡信息安全的問題在哪里?

　　(一)技術層面的問題

　　1.網絡通信線路和設備的缺陷

　　(1)電磁泄露：攻擊者利用電磁泄露，捕獲無線網絡傳輸信號，破譯后能較輕易地獲取傳輸內容。

　　(2)設備監聽：不法分子通過對通信設備的監聽，非法監聽或捕獲傳輸信息。

　　(3)終端接入：攻擊者在合法終端上并接非法終端，利用合法用戶身份操縱該計算機通信接口，使信息傳到非法終端。

　　(4)網絡攻擊。

　　2.軟件存在漏洞和后門

　　(1)網絡軟件的漏洞被利用。

　　(2)軟件病毒入侵。

　　(3)軟件端口未進行安全限制。

　　(二)人員層面的問題

　　1.系統使用人員保密觀念不強，關鍵信息沒進行加密處理，密碼保護強度低;文檔的共享沒有經過必要的權限控制。

　　2.技術人員因為業務不熟練或缺少責任心，有意或無意中破壞網絡系統和設備的保密措施。

　　3.專業人員利用工作之便，用非法手段訪問系統，非法獲取信息。

　　4.不法人員利用系統的端口或者傳輸的介質，采用監聽、捕獲、破譯等手段竊取保密信息。

　　(三)管理層面的問題

　　1.安全管理制度不健全。缺乏完善的制度管理體系，管理人員對網絡信息安全重視不夠。

　　2.監督機制不完善。技術人員有章不循，對安全麻痹大意，缺乏有效地監督。

　　3.教育培訓不到位。對使用者缺乏安全知識教育，對技術人員缺乏專業技術培訓。

　　二.網絡信息安全的防范策略

　　(一)技術層面的防范策略

　　1.網絡的基礎設施安全防范策略

　　(1)減少電磁輻射。傳輸線路做露天保護或埋于地下，無線傳輸應使用高可靠性的加密手段，并隱藏鏈接名。

　　(2)使用防火墻技術，控制不同網絡或網絡安全域之間信息的出入口，保護網絡免遭黑客襲擊。

　　(3)使用可信路由、專用網或采用路由隱藏技術。

　　(4)網絡訪問控制。訪問控制是網絡安全防范和保護的核心策略之一。包括入網、權限、目錄級以及屬性等多種控制手段。

　　2.軟件類信息安全防范策略

　　(1)安裝可信軟件和操作系統補丁，定時升級，及時堵漏。

　　(2)應用數據加密技術。將明文轉換成密文，防止非法用戶理解原始數據。

　　(3)提高網絡反病毒技術能力。使用殺毒軟件并及時升級病毒庫。對移動存儲設備事前掃描和查殺。對網絡服務器中的文件進行掃描和監測，加強訪問權限的設置。在網絡中，限制只能由服務器才允許執行的文件。

　　(4)使用入侵檢測系統防止黑客入侵。一般分為基于網絡和基于主機兩種方式。還可以使用分布式、應用層、智能的入侵檢測等手段。

　　(5)數據庫的備份與恢復。

　　(二)人員層面的防范策略

　　1.對人員進行安全教育。加強對計算機用戶的安全教育、防止計算機犯罪。

　　2.提高網絡終端用戶的安全意識。提醒用戶不使用來歷不明的U盤和程序，不隨意下載網絡可疑信息。

　　3.對人員進行法制教育。包括計算機安全法、計算機犯罪法、保密法、數據保護法等。

　　4.加強技術人員的安全知識培訓。

　　(三)管理層面的防范策略

　　1.建立安全管理制度。對重要部門和信息，嚴格做好開機查毒，及時備份數據。

　　2.建立網絡信息綜合管理規章制度。包括人員管理、運維管理、控制管理、資料管理、機房管理、專機專用和嚴格分工等管理制度。

　　3.建立安全培訓制度。使安全培訓制度化、經常化，不斷強化技術人員和使用者的安全意識。

　　三、安全三要素的保障作用更重要

　　在保證網絡信息安全的過程中，技術是核心、人員是關鍵、管理是保障，我們必須做到管理和技術并重，技術和措施結合，充分發揮人的作用，在法律和安全標準的約束下，才能確保網絡信息的安全。

　　(一) 技術的核心作用

　　不管是加密技術、反病毒技術、入侵檢測技術、防火墻技術、安全掃描技術，還是數據的備份和恢復技術、硬件設施的防護技術等，都是我們做好網絡信息安全防護的核心要素，技術支撐為我們建立一套完整的、協調一致的網絡安全防護體系起到了核心的作用。

　　(二)人員的關鍵作用

　　人也是安全的一部分。人的作用是不可低估的，不管是使用者，還是程序開發人員、技術維護人員，還是網絡黑客，都是我們構建網絡安全環境的關鍵因素，成也在人，敗也在人。

　　(三)管理的保障作用

　　管理是不可缺失的，不論是技術上的管理，還是對人的管理，不論是技術規則，還是管理制度，都是網絡信息安全的保障。很多安全漏洞都來源于管理的疏忽或者安全培訓的缺失。