1 網絡信息安全的含義及其特征

隨著計算機技術的飛速發展，信息網絡已經成為社會發展的重要保證。信息網絡涉及到國家的政府、軍事、文教等諸多領域，存儲、傳輸和處理的許多信息是政府宏觀調控決策、商業經濟信息、銀行資金轉賬、股票證券、能源資源數據、科研數據等重要的信息。其中有很多是敏感信息，甚至是國家機密，所以難免會吸引來自世界各地的各種人為攻擊（例如信息泄漏、信息竊取、數據篡改、數據刪添、計算機病毒等）。通常利用計算機犯罪具有很大的隱蔽性，這也大大刺激了計算機高技術犯罪案件的發生。計算機犯罪率的迅速增加，使各國的計算機系統特別是網絡系統面臨著很大的威脅，并成為嚴重的社會問題之一。

網絡信息安全有五大特征:

1）完整性 指信息在傳輸、交換、存儲和處理過程保持非修改、非破壞和非丟失的特性，即保持信息原樣性，使信息能正確生成、存儲、傳輸，這是最基本的安全特征。

2）保密性 指信息按給定要求不泄漏給非授權的個人、實體或過程，或提供其利用的特性，即杜絕有用信息泄漏給非授權個人或實體，強調有用信息只被授權對象使用的特征。

3）可用性 指網絡信息可被授權實體正確訪問，并按要求能正常使用或在非正常情況下能恢復使用的特征，即在系統運行時能正確存取所需信息，當系統遭受攻擊或破壞時，能迅速恢復并能投入使用?？捎眯允呛饬烤W絡信息系統面向用戶的一種安全性能。

4）不可否認性 指通信雙方在信息交互過程中，確信參與者本身，以及參與者所提供的信息的真實同一性，即所有參與者都不可能否認或抵賴本人的真實身份，以及提供信息的原樣性和完成的操作與承諾。

5）可控性 指對流通在網絡系統中的信息傳播及具體內容能夠實現有效控制的特性，即網絡系統中的任何信息要在一定傳輸范圍和存放空間內可控。除了采用常規的傳播站點和傳播內容監控這種形式外，最典型的如密碼的托管政策，當加密算法交由第三方管理時，必須嚴格按規定可控執行。

2 校園網絡信息安全應

校園網絡安全主要包括物理設備安全和網絡信息安全。物理設備的安全防范主要是防止設備被盜、雷擊、電流電壓過大而損毀。這些問題只要能加強常規檢查，做好基本防護措施就能得到解決。因此，校園網絡安全的核心問題是網絡信息安全。

2.1 賀州學院校園網絡信息安全狀況
我院校園網建設與大多數地方本科院校一樣，受到資金和技術條件的限制，面臨著如下方面的安全威脅。
2.1.1 設備的配置
安全網絡設備的配置安全是指在網絡設備上進行必要的設置，防止不懷好意的人取得網絡設備的控制權。我院部分管理員安全意識不強，沒有在網絡設備上配置必要的密碼或者密碼設置過于簡單，導致網絡故障頻繁發生。

2.1.2 管理上的漏洞
校園網絡信息安全“三分靠技術，七分靠管理”,所以，對于網絡管理相關人員應該要制定嚴格的管理制度，明確責任，嚴格實行責任追究制。對于因工作上的疏忽而造成重大設備損壞，關鍵保密信息泄露等產生嚴重不良影響的事件，要追究有關責任人的責任，直接與經濟利益和年考核掛鉤。

2.1.3 各種BUG的影響
計算機的操作系統和各類應用軟件不可避免地存在各種各樣的安全漏洞，流行于網絡上的很多病毒和木馬程序，很容易利用各種BUG竊取和泄露敏感信息。目錄共享導致信息的外泄。在校園網絡中，利用在對等網中對計算機中的某個目錄設置共享進行資料的傳輸與共享是人們常采用的一個方法。但是當一個目錄共享后就成了數據資料安全的一個嚴重隱患。

2.1.4 網絡攻擊
廣義的網絡攻擊包括很多方面。這里結合校園網絡安全的特點，重點介紹在校園網普遍發生的ARP攻擊和拒絕服務攻擊（DoS）。

ARP是一個位于TCP/IP協議中的一個底層協議，對應于數據鏈路層，負責將某個IP地址解析成對應的MAC地址，通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的進行。ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙，這種攻擊可讓攻擊者取得局域網上的數據封包甚至可篡改封包讓網絡上特定計算機或所有計算機無法正常連接，還能夠在網絡中產生大量的ARP通信使網絡阻塞甚至造成網絡中斷。ARP攻擊十分簡單對于一般熟悉網絡知識的人都可以使用WinArpAttacker軟件來進行ARP攻擊，使用某個用用戶不能正常連接或者是造成某個用戶的IP沖突。對于用戶正常連接造成很太的影響。

拒絕服務攻擊是通過攻擊主機、服務器、路由器等網絡設備，導致被攻擊網絡無法提供正常服務的一種攻擊方式。典型的拒絕服務攻擊表現為攻擊者向被攻擊網絡大量發送數據從而消耗其資源，使得合法用戶無法正常訪問服務器。

拒絕服務攻擊的方法多樣。攻擊者在發起攻擊時，可能采取單一手段的攻擊模式，也可能采取多種攻擊手段聯合使用的模式。就其攻擊手段來說。主要有以下幾種：

1）死亡之Ping 早期的網絡不支持大數據包，攻擊者通過網絡發送大量的大數據包到被攻擊者網絡，造成網絡堵塞以致癱瘓。目前的網絡已經能夠支持大包，這種方式已經不再是一個重要問題了。

2）UDP洪水攻擊 攻擊利用如chargen和echo等簡單的TCP/IP服務。相互發送大量數據以占滿帶寬，從而癱瘓網絡的方式。

3）SYN洪水攻擊 攻擊者通過向服務器發送連續的SYN握手信息來癱瘓服務器的攻擊方式。

4）LAND攻擊 該攻擊是讓服務器自己向自己發送SYN握手信息，以達到癱瘓主機的目的。

5）電子郵件炸彈 通過向一臺服務器大量地，不間斷地發送電子郵件，起到癱瘓服務器的作用。

6）分布式拒絕服務攻擊 它是威力最強大的拒絕服務攻擊方式，其主要采用多臺服務器對同一網絡同時發起攻擊，導致該網絡瞬間癱瘓。

3 網絡信息安全防范措施

根據我校校園網安全需求和安全威脅，我校的計算機網絡主要采取了以下的防范措施。

3.1 管理措施
我校對于校園網絡的管理進行了明確的分工，責任落實到具體的部門和具體的個人。設置了校內網絡中心專職管理部門，負責網絡運行維護與安全檢查的日常工作。網絡管理員負責整個網絡及信息的安全工作，建立網絡事故報告并定期匯報，及時解決突發事件和問題，同時制定了相應的管理制度。

1） 中心機房管理制度 規定中心機房由網絡中心單位負責人員進行管理，其他無關人員禁止進入中心機房。在機房中安裝了空調，保持網絡設備環境的適宜和干凈整潔，此外，網絡設備安裝在固定的機柜內，并安加鎖，確保網絡服務器的物理安全。

2） 訪問記錄和檢查處理制度 對每個使用網絡設備的人員都要進行記名登記制度，便于監督學生使用設備情況和損壞責任追究。此外，由網絡中心人員監控網絡的運行，建立和定期檢查網絡的訪問日志，發現惡意使用網絡和惡意攻擊時如實分析和上報并作出及時處理。

3） 口令安全管理 網絡管理員對入網計算機和使用者進行登記，由網絡中心負責對其進行監督和檢查，任何人不得更改IP及網絡設置。對于系統配置等一些統一規范的部分建立口令，防止學生等其他人員隨意訪問或修改。

3.2 數據備份
數據備份是把文件或數據庫從原來存儲的地方復制到其他地方的活動，其目的是為了在設備發生故障或發生其他威脅數據安全的災害時保護數據，將數據遭破壞的程度減到最小.它是通過增加數據的冗余度來達到保護數據安全的目的。如果數據被銷毀或破壞，數據備份將是恢復資料的唯一途徑。數據備份能在較短的時間內用比較小的代價，將有價值的數據存放到與初始創建的存儲位置相異的地方，在數據被破壞時，再在較短的時間和非常小的代價花費下將數據全部恢復或部分恢復。數據備份的可使用的介質很多，根據其使用的介質種類可以將數據備份方法分成如下若干種：軟盤備份、磁帶備份、可移動存儲備份、本機多硬盤備份、網絡備份.由網絡管理員負責網絡系統的數據備份，網絡管理員根據不同情況選擇相應一種或幾種的數據備份方法，利用Windows自帶的功能也可以實現正常備份、差異備份、增量備份。網絡系統的應用軟件采用雙機熱備份的方法，這是為了防止學校的數據或系統遭到破壞時可以很快的從另一臺主機那將數據或系統進行恢復。此外，數據庫采用定期手工備份和系統自動備份等手段保證數據的可靠性。

3.3 防火墻部署
我院在防火墻部署方案中，根據學校校園網安全策略和安全目標，配置了Cisco ASA5520防火墻，并將其部署在校園網的入口位置，它能很好的將Internet與學校內部網絡隔離開來，從而對內網和外網之間的訪問提供了安全保障。

防火墻是學校校園網絡的網關設備。網絡管理員根據學校校園網絡自身的安全需求和制定的安全策略，設計必要的安全過濾規則，該規則對流經防火墻的數據所使用的網絡協議和訪問端口號等內容進行檢測，監控通過防火墻的數據，允許和禁止特定數據包的通過，并對所有事件進行監控和記錄。如此，網絡管理員可以定期查看防火墻訪問日志，即可及時發現攻擊行為和不良的上網記錄，使校園內部網絡既能對外正常提供Web訪問、FTP下載等服務的同時，又能保護內部網絡不被惡意者攻擊，從而實現對校園網進行保護。

配置防火墻可防TCP、UDP等端口掃描、防源路由攻擊、ICMP攻擊、DoS/DDoS攻擊等，同時可提供監控和警告功能，支持URL過濾等，此外，可檢測、識別和驗證應用類型和處理流量，以便及時發現并阻止流量和用戶利用開放端口非法侵入網絡。通過配置防火墻，還可以對外部屏蔽一些校內網絡的資源，使外部用戶無法訪問這些資源，但對于公開的資源，比如校園網站，就可以給外部用戶正常訪問，從而確保校園網絡數據的部分開放性和安全性。

3.4 訪問權限控制
訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和訪問，訪問權限控制本質上是限制對資源使用，決定主體是否被授權對客體執行某種操作，只有經過授權的用戶在向系統正確提交并驗證通過身份后，才允許訪問特殊的系統資源.對系統中的不同用戶分配不同的權限，使角色和權限有效地連接起來，限制了非法用戶登錄系統并占用或破壞系統資源，同時限制了用戶的越權訪問或越權操作，只給授權的用戶使用授權的服務，大大增強了系統的信息安全性。此外，對訪問Internet進行了限制，統一經代理服務器接入Internet并安裝了防火墻，如此減少外部的威脅，確保校內網的安全性。

3.5 合法用戶自我防范
提高合法用戶的自我防范意識和安全意識。用戶不應該隨便告訴自己的口令給他人知道，應妥善保管和使用帳號和密碼，而且密碼的設置應數字、字母或特殊符號相結合，增加密碼的復雜性，且定期更換密碼。此外，用戶應減少資源的共享。

此外，為了做到安全上網，用戶應該做到幾點防范：安裝個人防火墻和殺毒軟件，并及時更新殺毒軟件，使用安全合理的密碼口令；不要隨意下載和運行不明軟件等，一般到官方網站下載需要的軟件；此外，必須提高個人的危險意識，不要隨意訪問一些陌生的網站，且要經得住一些惡意網站的誘惑，養成良好的上網習慣。

3.6 病毒防治
病毒防治是計算機網絡安全非常重要的措施。因為一旦病毒進入到整個校園網絡中感染、傳播，就會致使網絡系統資源遭到破壞，嚴重時甚至會導致網絡的癱瘓。對此，學院中的每臺計算機上都安裝了瑞星殺毒軟件，用以對已知病毒、黑客程序的查找，實時監控和清除，恢復被病毒感染的文件或系統。此外，網絡中心負責整個校園網的升級工作。由網絡中心定期地對軟件進行更新，借助瑞星全新研發的虛擬化引擎，能夠對木馬、后門、蠕蟲等惡意程序進行極速智能查殺，保證極高的病毒查殺率。我院主要采取了“防殺結合、以防為主、以殺為輔”的病毒防治策略。

3.7 制定緊急預案
網絡管理員監測校園網的日常運行情況，一旦發現網絡異常，網絡管理員要進行記錄，并迅速分析故障類型，采取緊急措施防止損失發生或降低損失程度，然后上報網絡中心或政府有關部門尋求援助以恢復系統的正常運行。

4 結束語

隨著網絡應用的深入普及，網絡信息安全變得越來越重要。如今，網絡信息安全要求對整個網絡信息系統進行保護和防范，以確保它們的安全性。

計算機網絡信息安全問題是一個長期而艱巨的問題。隨著科技的不斷發展，計算機網絡也會更加復雜，網絡安全包含復雜的技術問題，涉及的問題也很深。當然，網絡安全不僅是一個技術問題，也是一個社會道德問題和法律問題。要解決網絡信息的安全問題，必須采取技術和立法等多種手段進行綜合治理。

參考文獻：
[1] 徐明，張海平。網絡信息安全[M].西安：西安電子科技大學出版社，2006,7.
[2] 顧巧論，高鐵杠，賈春福。計算機網絡安全[M].北京：清華大學出版社，2004.
[3] 王達。網管員必讀-超級網管經驗談[M].北京：電子工業出版社，2005.